内部控制要素案例

内部控制要素案例 一、内部控制基本原理 L.R.Dicksee最早于1905年提出内部牵制(Internal Check)，他认为，内部牵制由三个要素构成:职责分工;会计记录;人员轮换。 George E.Bennett发展了内部牵制的概念，他于1930年给内部牵制制度下了一个完整的定义:内部牵制是账户和程序组成的协作系统，这个系统使得员工在从事本身工作时，独立地对其他员工的工作进行连续性的检查，以确定其舞弊的可能性。 20世纪40年代以前，通常使用的都是“内部牵制”，主要是为保护财产安全而设置。内部牵制的两个设想是: (1)两个或两个以上的人或部门无意识地犯同样的错误机会较少; (2)两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性。内部牵制只是抓住了内部控制的部分内容，显然过于狭隘。 1947年，AICPA下属的审计程序委员会在其《审计准则暂行公告》中第一次正式提出了内部控制这一概念。1949年，审计程序委员会发布了一分特别报告“内部控制——一种协调制度要素及其对管理当局和独立审计人员的重要性”。 该报告首次给内部控制制度下了如下权威定义: 包括组织的组成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性，提高经营效率，保证既定的管理政策得以实施而采取的所有方法和措施。 1988年，审计准则委员会发布第55号《审计准则公告》，提出“内部控制结构”这一概念。 第55号公告指出:内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体，包括控制环境、会计系统及控制程序三个部分。 (1)控制环境 控制环境是对企业控制的建立和实施有重大影响的一组因素的统称。它们包括: A.管理哲学和经营风格:对实现利润目标、其他目标或预算的态度、对待风险的态度、对控制的需求、对内部和公开财务报表的重要性和尊严的态度等。 B.组织结构: C.董事会的职能; D.授权和分配责任的方式; E.管理控制方法; F.内部审计; 1 G.人事政策和实务; H.外部影响。 (2)会计系统 会计系统是企业为了汇总、分析、分类、记录和报告企业交易，并保持对相关资产与负债而建立的方法和记录。一个的效的会计系统应能做到以下几点: A.确认并记录所有真实的交易; B.及时且充分详细地描述交易，以便在财务报表上对交易作恰当的分类; C.计量交易的价值，以便在财务报表 上记录其恰当的货币金额; D.确定交易发生的期间，以便将交易记录在适当的会计期间; E.在财务报表中恰当地表达的披露交易及相关事项。 (3)控制程序 控制程序同其他两个要素一样，也是为了合理保证公司目标的实现而建立的政策和程序，它既可以单独应用，也可以融合于控制环境或会计系统的特定组成部分。控制程序主要包括: A.恰当授权; B.职责分离(交易活动一般可划分:授权、执行、记录、核准和保管); C.凭证和记录; D.按近控制; E.独立检查。 4、内部控制的完整框架 1985年，由AICPA、IIA、FEI、AAA、IMA等共同发起成立了“全国舞弊性财务报告委员会”(即Treadway委员会)。两年后，根据该会的建议，其赞助机构又成立了专门研究内部控制问题的组织，即COSO委员会。------- 1992年美国国会的“反对虚假财务报告委员会”(NCFR)下属的由AAA、AICPA、IIA、FEI和IMA等专业团体组织参与的“发起组织委员会(COSO)” (1)COSO报告的目标 1992年，COSO提出了著名的“内部控制的完整框架”的研究报告，1994年进行了增补。COSO报告提出内部控制的目标有三个: A(提高经营效率，取得好的经营效果; B(合理保证财务报告的可靠性; C(遵循有关的法规制度。 COSO委员会提出，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理 2 过程相结合。 (3)内部控制的要素 A.控制环境 任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和能力等，它们是构成环境的重要要素之一，又与环境相互影响、相互作用。环境要素是推动企业发展的引擎，也是其他要素的核心。控制环境为其他要素提供了基础。 COSO报告为评价每一个因素提出了操作指南。如，管理的哲学和经营风格可通过检查管理层所接受的经营风格的性质、管理层与下属相互关系的次数、管理层对财务报告的态度等来评估。 B.风险评估 企业必须制定目标，该目标必须和生产、营销、财务等作业相结合。为此，企业也必须设立可辨认、分析和管理相关风险的机制，以了解自己所面临的风险，并适时加以处理。 风险评估包括风险识别和风险分析。风险识别包含检查诸如技术开发、竞争和经济变化等因素，以及诸如人员质量、组织活动的性质和信息系统处理的特征等内部因素。风险分析涉及重要性的评价、风险发生可能性的评估，并要考虑如何管理风险。 C.控制活动 企业必须制定控制政策及程序，并予以执行， 以帮助管理当局保证其控制目标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实。 组织控制活动包括了确保雇员执行管理层政策和程序。控制活动包括控制系统的审核、实物控制、职务分离和信息系统控制。 D.信息和沟通 围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。 对信息系统的识别、掌握报告财务和经营信息对控制组织的活动是有用的。在组织内部，职员必须取得使他们能理解自身在内部控制系统中作用的信息，认真履行其内部控制的责任。如有必要，向高层管理者报告问题。 信息和沟通系统使当事机构的人员能够掌握和交换所需信息，以便执行、管理和控制其经营状况。 E.监督 整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。监控是一个评价内部控制运行组织的过程。 管理层通过检查定期的控制活动所形成的结果以及实施特定的评价来监控测控制系 3 统。定期的控制活动包括交实物资产与所记录的数据相比较、培训研究会以及外审计师和内部审计师的检查。特定的评价在范围和次数上是不确定的。定期控制活动期发现的缺陷要经常向负责任监督人员报告;特定评估期间找出的缺陷要正常地与组织的高层沟通。 2003年7月美国COSO颁布了企业风险管理框架的讨论稿，并于2004年4月颁布正文。同1992年的COSO报告相比，新的COSO报告增加了一个观念、一个目标、两个概念和三个要素。 “观念”指风险组合观，即企业风险管理要求企业管理者以风险组合的观点看待风险，对风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。 “目标”指战略目标，即企业的目标包括战略目标，并且该目标覆盖了企业编制的所有报告。 “概念”指针对风险度量提出的风险偏好和风险容忍度的概念。风险偏好指企业在实现其目标的过程中愿意接受的风险的数量。风险容忍度指在企业目标实现过程中对差异的可接受程度。 “要素”指目标制定、事项识别和风险反映。 (1)风险管理的定义 一个由企业的董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各个层次和部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。 (2)风险管理目标 战略目标:战略目标与高层目标相关，和企业使命相一致并支持它。 经营目标:经营目标与企业运营的效果和效率有关，包括业绩和利润目标，运营变化以管理层对结构和业绩的选择为基础。 报告目标:报告目标与组织报告可靠性有关，包括对内和对外报告，以及财务信息和非财务信息。 遵循目标:遵循目标与组织遵循相关法律法规有关。 (3)企业风险管理的构成要素 A.内部环境 体现了整个组织的特征，影响到企业员工的风险意识，是其他风险管理构成要素的基础，为企业风险管理提供了一个规则和概括。内部环境包括企业风险管理哲学、风险偏好和风险文化、董事会的缺陷、企业员工的忠诚度、价值取向、管理哲学和运营模式、权责划分、人力资源政策等。 B.目标设定 4 每个企业都要面临来自企业内部和外部的各种风险，设定目标是企业进行有效地事项识别、风险评估和风险对策的前提。设定目标应当区分不同的管理层次和内部结构，目标应当建立在战略的高度，为企业的运营目标、财务报告目标和遵循目标建立一个基础。设定目标还应当与企业风险偏好保持一致。 C.事项识别 业管理层应当识别影响企业战略实施成功和企业目标实现的潜在事项。对企业带来消极影响的事项被称为风险，要求管理层进行评估和采取措施。具有积极作用的事项可以抵销负面的的影响或者给企业带来机会，管理层将机会和企业战略、目标制定结合起来。企业管理层在识别潜在事项时，应当从整个企业组织的角度进行考虑。 D.风险评估 风险评估与影响企业目标实现的潜在事项有关，管理层应当从可能性和影响两个方面来评估事项。通常采用定量和定性的方法，潜在事项正面和负面的影响可以被逐个测试到。对潜在的负面事项的评估包括固有风险评估和剩余风险评估。 风险评估结束之后，管理层应当决定该如何应对风险。风险应对策略主要有回避、减缓、分担和接受四种。在制定应对策略时，管理层应考虑成本效益原则，在风险容忍度和预期范围内选择应对策略。 F.控制活动 控制活动能有助于确保管理层对风险对策执行而采取的政策和程序，它贯穿于整个组织、各个层次和不同的功能部门，具体包括支持、授权、证实、确认、业绩评价、资产保全和责任明确。 G.信息和沟通 每个企业都需要识别和记录那些有关企业管理的外部事项和内部事项的信息——财务信息和非财务信息，并将这些信息以适应的方式在规定的期限内传达给企业员工来实施企业风险管理和其他任务。信息系统将企业内部产生的数据资料和外部事项、活动、状况等信息，提供给管理决策使用。通过在组织内上、下级之间信息传递，能够产生有效的沟通。企业全体人员都应从管理层处清楚地获得必须在企业风险管理中承担的责任。每个人都应当明确自己在企业风险管理中的角色，自己如何与其他人的工作进行协调。企业必须建立一种向上反馈重要信息的沟通方式，并且在对外方面也要建立一个有效的沟通。 H.监督 企业风险管理活动应当建立监督机制，这种监督是对企业风险管理现状和各组成部分效绩进行评价的过程。通过持续监督和个别评价或者两者的结合来实现监督。持续监督是对日常的管理活动采取的，个别评价则主要是根据评估风险的性质和程度，以及持续监督 5 过程的效率来确立。因此企业风险管理中的缺陷可由下而上传递，从而使重要的问题传递到管理层和董事会。 企业的层级，包括整个企业、各职能部门、各条业务线及下属各个子公司。 企业风险管理三个维度的关系是:全面风险管理的八个要素都是为企业的四个目标服务的;企业各个层级都要坚持服从企业的四个目标;第个层级都必须从以上八个方面进行风险管理，该框架适合各种类型的企业或机构的风险管理。 二、我国企业内部控制基本规范 关于印发《企业内部控制基本规范》的通知 为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。 执行中有何问题，请及时反馈我们。 2008年07月10日 企业内部控制基本规范 第一章 总 则 第一条 为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，制定本规范。 第二条 本规范适用于中华人民共和国境内设立的大中型企业。 小企业和其他单位可以参照本规范建立与实施内部控制。 大中型企业和小企业的划分 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 根据国家有关规定执行。 第三条 本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 第四条 企业建立与实施内部控制，应当遵循下列原则: (一)全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。 6 (二)重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。 (三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。 (四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。 (五)成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。 第五条 企业建立与实施有效的内部控制，应当包括下列要素: (一)内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 (二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 (三)控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 (四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。 (五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。 第六条 企业应当根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施。 第七条 企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。 第八条 企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。 第九条 国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查。 第十条 接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。 为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。 第二章 内部环境 第十一条 企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。 7 股东(大)会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。 董事会对股东(大)会负责，依法行使企业的经营决策权。 监事会对股东(大)会负责，监督企业董事、经理和其他高级管理人员依法履行职责。 经理层负责组织实施股东(大)会、董事会决议事项，主持企业的生产经营管理工作。 第十二条 董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。 企业应当成立专门机构或指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。 第十三条 企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。 审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。 第十四条 企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。 企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。 第十五条 企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。 内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。 第十六条 企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容: (一)员工的聘用、培训、辞退与辞职。 (二)员工的薪酬、考核、晋升与奖惩。 (三)关键岗位员工的强制休假制度和定期岗位轮换制度。 (四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。 (五)有关人力资源管理的其他政策。 第十七条 企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。 第十八条 企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。 董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。 企业员工应当遵守员工行为守则，认真履行岗位职责。 8 第十九条 企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。 第三章 风险评估 第二十条 企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。 第二十一条 企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。 风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。 第二十二条 企业识别内部风险，应当关注下列因素: (一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 (二)组织机构、经营方式、资产管理、业务流程等管理因素。 (三)研究开发、技术投入、信息技术运用等自主创新因素。 (四)财务状况、经营成果、现金流量等财务因素。 (五)营运安全、员工健康、环境保护等安全环保因素。 (六)其他有关内部风险因素。 第二十三条 企业识别外部风险，应当关注下列因素: (一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 (二)法律法规、监管要求等法律因素。 (三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 (四)技术进步、工艺改进等科学技术因素。 (五)自然灾害、环境状况等自然环境因素。 (六)其他有关外部风险因素。 第二十四条 企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。 企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。 第二十五条 企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。 企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。 9 第二十六条 企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。 风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。 风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。 风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。 风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。 第二十七条 企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。 第四章 控制活动 第二十八条 企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。 控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 第二十九条 不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。 第三十条 授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。 企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。 企业各级管理人员应当在授权范围内行使职权和承担责任。 企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。 第三十一条 会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。 企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。 大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。 10 第三十二条 财产保护控制要求企业建立财产日常 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。 企业应当严格限制未经授权的人员接触和处置财产。 第三十三条 预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。 第三十四条 运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。 第三十五条 绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。 第三十六条 企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。 第三十七条 企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。 第五章 信息与沟通 第三十八条 企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。 第三十九条 企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。 企业可以通过财务会计资料、经营管理资料、 调研报告 关于民族工作的调研报告关于就业的调研报告XX公司人才现状调研报告XX村综治维稳工作的调研报告干部职工思想状况调研报告 、专项信息、内部刊物、办公网络等渠道，获取内部信息。 企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。 第四十条 企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。 重要信息应当及时传递给董事会、监事会和经理层。 第四十一条 企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。 11 企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。 第四十二条 企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。 企业至少应当将下列情形作为反舞弊工作的重点: (一)未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。 (二)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。 (三)董事、监事、经理及其他高级管理人员滥用职权。 (四)相关机构或人员串通舞弊。 第四十三条 企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。 举报投诉制度和举报人保护制度应当及时传达至全体员工。 第六章 内部监督 第四十四条 企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。 内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。 专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。 第四十五条 企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。 内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。 第四十六条 企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。 内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。 国家有关法律法规另有规定的，从其规定。 12 第四十七条 企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。 第七章 附则 第四十八条 本规范由财政部会同国务院其他有关部门解释。 第四十九条 本规范的配套办法由财政部会同国务院其他有关部门另行制定。 第五十条 本规范自2009年7月1日起实施。 案例:三鹿集团内部控制透视 引言:三鹿事件折射出三鹿公司内部控制存在严重缺陷。下文中，作者从COSO的理论框架角度，即五个层面—控制环境、风险评估、控制活动、信息与沟通、监督对三鹿事件做了剖析。 三鹿毒奶粉事件暴露了乳品行业存在的种种问题。针对问题最为突出的三鹿集团，参照《企业内部控制基本规范》的基本要求，分析一些并不完全的见诸媒体的材料，即可以看到其内部控制建设与实施的端倪。三鹿集团让我们警醒，建立和实施有效的企业内部控制，不是可有可无，而是意义重大、影响深远，关乎企业的盛衰荣辱、生死存亡。 一、内部环境:内部人控制、责任作秀和信用缺失 内部环境是企业建立与实施有效内部控制的重要基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 公司治理结构旨在形成科学有效的职责分工和制衡机制。三鹿集团全称石家庄三鹿集团股份有限公司。大股东是石家庄乳业有限公司，该公司96%左右的股份由900多名老职工拥有。第二大股东是新西兰恒天然集团，持有三鹿集团43%的股权。1987年田文华开始担任三鹿集团董事长、总经理，到2008年9月17日被警方刑拘长达21年。很明显，三鹿集团的实际控制人或者说股权相当分散，董事长与总经理之间的制衡关系无从谈起。因而，内部人控制不可避免，治理机构的制衡机制就可能失效。 卫生部最早确认“三鹿”奶粉含有三聚氰胺是在9月9日，这种确认来源于外交部的信息，外交部的信息来源于新西兰驻华使馆，新西兰驻华使馆则是得到了新西兰恒天然集团的报告。这种“出口转内销”式的确认，令人猜想无限，为什么第二大股东不向董事会或股东大会反映情况,或者是反映了而无法向政府或社会披露,或者是另有其他难言之隐,这一事件足以印证三鹿集团内部存在着较强的内部人控制。 13 企业建立和实施内部控制必须加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作情神，树立现代管理理念，强化风险意识。而且，董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。 三鹿集团宣称，其企业文化的灵魂是为提高大众的营养健康水平而不懈地进取。三鹿集团的宣传资料显示，多年来三鹿集团以履行社会责任为己任。饲养奶牛80万头，带领8万多户农民脱贫致富，吸纳5万下岗职工和80多万农村剩余劳动力。先后投入资金近4亿元，扶持农民养牛、抗洪救灾、抗击“非典”、老区扶贫、扶残助教、捐助多胞胎家庭等捐资捐物，赢得了社会各界的广泛赞誉。企业先后荣获全国“五一”劳动奖状、全国轻工业十佳企业、全国质量管理先进企业、中国食品工业优秀企业、外商投资企业积极履行社会责任贡献突出奖、河北省诚信企业、中国优秀诚信企业等省以上荣誉称号二百余项。 对于三鹿集团的企业文化，对于他们履行的社会责任，对于他们取得的这些荣誉，没有谁会给予完全否定。但是，必须注意到，企业承担的社会责任主要是通过其提供给社会的优质产品来实现的，提供优质产品是其履行社会责任的前提。三鹿集团产品中含有大量三聚氰胺已经大白于天下，它给婴幼儿及食用者造成的身心伤害、给中国奶业造成的恶劣影响，尤其是发现问题后的处理方式，都让其所取得的荣誉一文不值，更让人觉得这是一种极大的讽刺。在我国，由于社会环境的影响，沽名钓誉式的承担、履行社会责任者比比皆是。三鹿集团的所作所为当属此类无疑。至于诚信，更是一块厚颜无耻的遮羞布。 2003年田文华接受《新奶业周刊》副主编于文龙采访，谈及奶源基地建设的 经验 班主任工作经验交流宣传工作经验交流材料优秀班主任经验交流小学课改经验典型材料房地产总经理管理经验 和收获时认为，三鹿集团“与奶农形成了稳固的利益联合体”，“我们的体会一是把握利益平衡点，与奶农形成有机的利益联结机制，并始终坚持没有奶农的利益就不会有企业的利益，宁可企业吃亏也不让奶农利益受损”，“二是强化联合意识，千方百计抓好对奶农的全方位服务，解除奶农的后顾之忧”。在原奶市场逐步走向卖方市场，在为奶源而天下共逐之的特殊时期，这种认识和做法不无道理。问题是，在保证供应环节利益的同时，最终消费者的利益能否得到保证，这后一种利益尤其不能停留在嘴上、纸上和墙上。特别是乳制品质量信息极度不对称，疯狂的吹牛广告无异于对广大消费者洗脑和催眠。做牛奶的，有着充分的牛源，可以肆无忌惮地吹。田文华之流的认识确实很深刻、很到位、很中国，没有奶农的利益就不会有企业的利益，无视消费者的利益才会有更大的企业利益，这就是中国的现实。人可欺～天不可欺～ 二、风险评估:呼啦啦飓风袭来，晃悠悠大厦将倾 风险评估是企业建立与实施有效内部控制的重要环节。开展风险评估，准确识别与实现控制目标相关的内部风险和外部风险，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险，然后结合风险承受度，权衡风 14 险与收益，确定风险应对策略。企业还应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。 企业识别内部风险，通常需要关注下列因素:董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素;组织机构、经营方式、资产管理、业务流程等管理因素;研究开发、技术投入、信息技术运用等自主创新因素;财务状况、经营成果、现金流量等财务因素;营运安全、员工健康、环境保护等安全环保因素。 在人力资源方面，对于三鹿集团内部人员、特别是高级管理人员的职业操守和专业胜任能力，难以作出有无风险的准确识别。但田文华在问题奶粉逐渐暴露过程中的应对方式，足以让我们怀疑她的职业操守和社会责任感。不少奶农和专业人士不相信三鹿集团在三年多的时间里对原奶在收购环节中被掺入三聚氰胺毫不知情，三鹿集团奶源部有几百人，全体员工数千人，他们中间许多人老家就在农村，到村里走一走就能听到风声。 原料奶进门的质量控制是乳品企业的重要风险点。三鹿集团的原奶采购模式是“奶农——奶站——乳企”，散户奶农的牛奶通过奶站最终被集中到三鹿集团的各家工厂。在我国，除三元股份(80%以上的奶源依赖自有牧场，虽然其扩张长期受到限制，但此次奶粉事件它是少数幸免企业之一，这似乎说明了一些问题)等少数乳品企业外，绝大多数乳品企业都是如此。这种模式的优点是，乳品企业不需要建立养殖场、不需要养殖奶牛，却可以迅速扩大奶源产量。缺点一是奶农、奶站都不属于乳企，乳企无法直接、全面地控制奶农和奶站;二是在牛奶离开奶牛母体后与乳企之间增加了中间商环节;三是随着企业规模快速扩张，奶农、奶站愈来愈加分散，控制难度愈来愈大。此次事件的发生，说明三鹿集团在采购环节的质量控制已经是形同虚设了。不管是什么原因所致，采购质控的放松无疑是企业内部管理的松懈，管理因素成为此次问题的重要内部原因。 宣传资料显示，三鹿集团一直在快车道上高速行驶，创造了令人振奋的“三鹿速度”，自“七五”以来，主要经济指标年均增长30,以上，实现了跨越式发展。三鹿集团取得如此发展速度的另一条道路是资本运营，而且是一条低成本扩张的资本运营之路。在三鹿集团内部，这种发展被称为“牌子和奶源”的结合，即三鹿集团有牌子没奶源、地方小乳品厂有奶源而没牌子。沿着这条道路，三鹿集团以产权为纽带，以品牌为旗帜，先后与北京、河北、天津、河南、甘肃、广东、江苏、山东、安徽等省市的30多家企业进行控股、合资、合作，快速壮大了企业规模，扩大了市场份额。然而，三鹿集团旗下的子公司、联营企业、合营企业大多厂房破旧，设备简陋。更具隐患和风险的则是集团公司对下属企业的管理和控制。在我国，此类扩张和管理不及而导致的失败案例并不鲜见。 企业识别外部风险，通常需要关注下列因素:经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素;法律法规、监管要求等法律因素;安全稳定、文化传统、社 15 会信用、教育水平、消费者行为等社会因素;技术进步、工艺改进等科学技术因素;自然灾害，环境状况等自然环境因素。食品行业是国际上公认的高风险领域。在食品领域闯荡江湖，更须眼观六路、耳听八方，保持百倍警惕。 奶源短缺和竞争激烈是近年来我国奶业发展的突出特征。1998年至2006年，我国奶制品产量从60万吨增加到1622万吨，增长近28倍;奶牛存栏数仅从439.7万头增加到2007年的1387.9万头，只增长了3倍多。与此同时，2006年澳大利亚大面积干旱导致奶产量大幅度减少，美国、欧盟等地取消或降低了奶制品出口补贴，引发了全球性原奶危机。我国高速发展的奶制品行业与原奶供应能力之间的巨大缺口，迫使各家乳企纷纷出招争夺奶源，一场得奶源者得天下的奶源战争打响了。 原奶市场由买方市场转变为卖方市场，管理者应当敏锐地洞察到这种变化给企业带来的挑战。没有足够的优质奶源，发展战略的实现就会放缓，而要取得优质奶源必须提高价格、严把质量检验关，否则，风险就会无限放大。不幸的是，三鹿集团铤而走险，选择了低价和放松质量检验。河北行唐县一位参与奶站经营的农民反映1[4]，蒙牛、伊利来行唐收奶，奶价一般比三鹿集团贵0.10元甚至0.20元，其化验程序复杂，相对比较严格。而行唐三鹿乳业有限公司价低、标准也低，蒙牛、伊利不收的奶，一般就卖给三鹿。不少奶农证实，近三四年，正定县(田文华的老家)的奶农从未因牛奶不合格被退回。三鹿集团一高管说，三鹿奶粉被检出三聚氰胺含量特别高，正是因为三鹿集团出价低，很多奶站吃准了三鹿集团对于奶源的需求最为迫切。 食品法律法规很多，参与食品安全监管的政府部门也很多，但此次事件的暴发，让人们看到了法规的尴尬和监管的不力、不作为、甚至是越位胡作非为。其实，类似情况在各行各业都不同程度地存在着，这也是中国的一大特色。正是这种状况的存在，一些问题企业面对危机时的第一反应和措施便是公关，是千方百计打通政府环节，平息事端。这种现状，也培养了中国人的一种特殊思维方式，撑死胆大的、饿死胆小的，本分吃亏、奸猾得益。这种环境无论是对个人、还是对企业，往往潜伏着灭顶之灾。产品免检制度，让一些企业从国家免检形象中获得利益，同时，也失却了最后一道安保屏障。国家免检并不是免死金牌，相反，它对企业的自律、自检提出了更高要求，并不是一旦拥有便可一劳永逸。所幸的是，产品免检制度已经成为历史。 在社会因素中，缺德、失信是当今中国的一大通病。 三鹿集团曾宣称，坚持向社会提供多品种的优质乳制品，为提高全国人民的身体素质，振兴中国民族乳品工业，做出新的更大贡献～既然如此，你就首先是一个讲职业道德、企业道德和社会公德的企业，是一个讲信用的企业，绝不能与那些不良商人同流合污或视而不见，一定要守住自己的底线。 16 反观奶制品行业，早在三年前，中国奶业协会的一位专家就私下警告蒙牛内部人士，有公司业务人员跟奶站联合造假，往原奶中添加蛋白粉、水、乳清粉等物质。多位乳业专家向《财经》记者证实，2000年后，牛奶掺假手段已达上百种，掺水是最原始也是最普遍的一种;通过加脂肪粉来提高脂肪含量;通过加青霉素、抗菌素来降低细菌指标;通过加乳清粉、麦牙糊精来提高浓度;通过加碱面甚至工业碱来中和发酸了的原奶。对于长期从事乳制品加工的田文华来说，奶制品行业的这些缺德、失信行为，绝对是十分清楚的，这方面的风险，田文华不可能不知道，关键是采取什么态度、如何应对。 三鹿集团已经破产，苦心经营几十载，转瞬间房倒屋塌，岂不知早已是内忧外患、风险四伏，不评估、不设防，一场欢喜忽悲辛，叹世事终难定～ 三、控制活动:业务流程不守、质量控制不严、重大风险预警机制失效、突发事件应急处理机制运行不当 控制活动是建立与实施有效内部控制的重要手段。企业应当结合风险评估结果，运用相应控制措施，将风险控制在可承受度之内。一般的控制措施有:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。在食品厂家，除了这些一般控制措施外，重中之重的是质量控制。 按照业务流程进行生产经营管理是确保产品质量的一种最基本控制活动，三鹿集团违背业务流程的情况是存在的。2005年7月5日，天津市河西区质量技术监督局执法人员在一库房内发现，“三鹿原味酸牛奶”生产日期是2005年7月6日。拆开包装箱后，里面一千克袋装原味酸牛奶的生产日期也是6日。执法人员在司机提供的发货凭证上确定这批酸牛奶是在本月4日发出的。现场检查表明，这批三鹿酸牛奶已经涉嫌伪造生产日期。这即是三鹿“早产奶”事件。问题暴光后，三鹿集团质量管理部崔先生向媒体表示，其产品的生产日期是按照国家有关规定执行的，不属于早产。他解释，酸牛乳、炼乳等产品的生产日期应将灌装、封口、冷却降温后，以及需要继续发酵的时间和检验时间计算在内。随后，三鹿集团官方给出了回应，这一事件是由于部分销售人员擅自将正在下线并处在检测过程中的产品提前出厂造成的。三鹿集团副董事长蔡树维表示，虽然流程违规，但该批产品经检测为合格产品。这一事件至少有以下几点值得三鹿集团认真反思: 一是提前标注生产日期可以，但是，提前出厂则是违背业务流程和相关法规的。其他业务流程有没有未被严格执行的情况, 二是之所以出现这种事情，是当时三鹿酸奶在天津、衡水、沧州市场出现断货，经济利益驱动下，将正在检测过程中的产品提前推向市场。企业有没有其他利益驱动的主观冲动和事实行为, 17 三是质量管理部崔先生的说法，明显是混淆提前标注与提前出厂、不想承担任何责任的一种辩解。面对社会时，企业是不是首先想用这种或类似办法来处理事态, 四是副董事长蔡树维的说法，正面理解是让购买了这批产品的消费者放心，这批产品是合格产品。但是，这番表态也透露出一丝对流程违规的无所谓和对公众利益的不够重视。企业高管中这种心态者多不多, 三鹿集团通过了ISO9001认证、GMP(良好生产规范，是国际上普遍采用的食品生产先进管理方法)审核和HACCP(危害分析与关键点控制)认证。众所周知，认证是一回事，有效执行则是另一回事。以HACCP为例，它是只适用于食品行业，确认、分析、控制生产过程中可能发生的生物、化学、物理危害的系统方法，它不同于传统的质量检查(最终产品检查)，而是一种生产过程各环节的控制。它的基本原理包括:危害分析(HA，Hazard analysis)、确定关键控制点(CCP，Critical control point)、确定关键限值并保证CCP受控制、确定监控CCP措施、确立纠偏措施、确立有效的记录保持程序和建立审核程序。试想，如果三鹿集团严格、认真、有效地按照HACCP原理和程序进行了危害分析和关键点控制，绝对不会酿成今天的大祸。需要提及的是，我国不少企业更多地把通过类似认证当作一种形象工程，至于相关的程序文件往往束之高阁，在实际生产经营管理过程中很少发挥作用。 三鹿集团也并不是不具备实施严格质量检控的硬件，其网站宣称，集团公司检测中心拥有国内一流的检测设备，为了确保产品质量，先后进口了德国的乳成份分析仪、美国的微生物快速分析仪、英国的马色斯生物快速分析仪，英国的抗菌素仪等具有国际先进水平的乳品检测设备。检验人员利用先进设备实现了乳与乳制品成份含量的全项检验，其中包括许多专业检测机构无法检测的维生素和微量元素指标。从原奶收购到产成品，每道工序都经过严格检验。在生产过程中，要进行自检、互检和专检，不合格的半成品不流入下道工序。一流的检测水平为新产品开发、配方研制、工艺改进、质量控制创造了必备条件，为三鹿产品质量稳定提供了可靠保证。 建立重大风险预警机制和突发事件应急处理机制是控制活动的特殊措施，通过这种机制的建立，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，可以确保突发事件得到及时妥善处理。2007年12月，三鹿集团即接到患儿家属投诉。进入2008年后，一些媒体开始进行不点名的报道。面对山雨欲来风满楼的严峻形势，三鹿集团采取了能推就推、能拖就拖、能瞒就瞒的处理方式，一再贻误战机，最终导致事态恶化。应急机制不健全，正是压倒三鹿集团的最后一根稻草。 四、信息与沟通:信息收集传递迟缓、正常信息处理程序被经验和侥幸心理主导 18 信息与沟通是建立与实施有效内部控制的重要条件。建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，可以促进内部控制有效运行。企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈，信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。 企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。网络上一篇名为《三鹿集团选择使用Windows平台搭建企业信息系统》(发布日期为2006年2月9日)的文章中提及，三鹿集团的高速发展，企业规模的扩大，信息的及时性、准确性已成为影响销售的一个重要问题，同时每个部门的数据无法有效的收集存储，对于有效的管理企业造成障碍，成为制约三鹿集团发展的一大问题。田文华也意识到，市场竞争发展到现在这个阶段，已经远不再是当初的价格战、圈地战，而是要打品质，打品牌，三鹿集团必须建立一个通畅的企业内部信息网络，才能真正做到快速、有效地管理企业，保证质量，控制成本以快速应对市场变化。这已经成为一个亟待解决的战略层面的问题。三鹿集团信息中心冯杰说，我们选择Windows平台还是出于人的因素，三鹿是一个传统行业的制造型企业，IT技术储备不是非常的丰富，相对其他操作平台，Windows平台的好处在于易用、好用，技术人员对微软的产品非常熟悉，技术人员的工作重点和精力可以更多地放到业务系统的实施和管理方面。这对于正处于信息化发展阶段的企业，好处是非常明显的。两年已经过去了，相信三鹿集团的信息系统建立、运转定有进展。 新华社报道，经调查，2007年12月以来，三鹿集团陆续接到消费者关于婴幼儿食用三鹿牌奶粉出现疾患的投诉。经企业检验，2008年6月份已发现奶粉中非蛋白氮含量异常，后确定其产品中含有三聚氰胺，有关问题仍在深入调查中。直到8月2日，三鹿集团才向石家庄市政府做了报告。在2007年12月至2008年8月2日的8个月中，三鹿集团未向石家庄市政府和有关部门报告，也未采取积极补救措施，导致事态进一步扩大。正是这近两个月的时间里，三鹿集团已经明确地知道了自己的产品中含有可能致人伤害的三聚氰胺，但是仍存有侥幸之心，继续生产和对外销售，从而触犯刑法。 整个事件表明，三鹿集团并不是积极主动地收集、处理和传递相关信息，尤其是没有及时向政府相关部门报告情况，没有积极主动地向社会披露信息以承担责任、召回问题产品。何以如此呢,或许三鹿集团仍在采用2004年处理阜阳奶粉事件的方式和经验来应对此次事件以期度过难关。2004年4月，在追查“大头娃娃”劣质奶粉过程中，阜阳地方媒体公布了包括三鹿在内的45家不合格奶粉和劣质奶粉“黑名单”。随后，三鹿婴儿奶粉及系列奶粉在全国遭到封杀，三鹿集团陷入生存危机。生死关头，三鹿集团紧急公关，到 19 5月9日，在国家质检总局的专项抽查结果中，三鹿婴幼儿奶粉名列30家具有健全质量保证体系企业的产品之首。三鹿集团快速、灵活、务实化解此次突发危机的能力引起国内多家媒体的广泛关注。年底，在中国国际公共关系协会举办的第二届现代企业危机管理国际论坛上，三鹿集团荣获2003-2004年度危机管理优秀企业称号。 “大头娃娃”奶粉事件并没有让三鹿集团警醒，没有引起他们对加强内部管理、切实提高产品质量的更加重视。相反，一方面他们为自己化解危机的能力而沉浸;另一方面，他们以极为灵敏的市场嗅觉捕捉到了中国农村奶粉市场的暂时真空，近乎疯狂地抢占农村市场，把销售网络从县一级延伸到乡、镇，仅2004年三鹿集团就在短时间内在全国建立了12.3万个乡镇销售点。确实，如果他们的产品十分优秀，他们的这种选择是值得高度赞叹的。遗憾的是，他们错失了一次全面提升企业管理水平和产品质量的最佳时机。 五、内部监督:大干快上、跨越发展过程中的日常监督和专项监督无人重视 内部监督是建立与实施有效内部控制的重要保证。它是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，及时加以改进的过程。企业应当制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。 内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。前面已经提到，三鹿集团的原奶采购模式是“奶农——奶站——乳企”，散户奶农的牛奶通过奶站最终被集中到三鹿集团的各家工厂。三鹿集团提出了“四统一分一集中”的集约化奶牛饲养发展思路，即“统一领导、统一规划、统一管理、统一服务、分户饲养、集中机械化挤奶”，具体措施包括建立奶牛场、集约化奶牛养殖小区等多种形式，三鹿集团在养殖区建立技术服务站，派出驻站员，监督检查饲养环境、挤奶设施卫生、挤奶工艺程序的落实。驻站员监督检查是其内部控制中至关重要的一环，对于从源头上保证产品质量意义重大。然而，三鹿集团所提出的发展思路很多只是纸上谈兵，包括驻站员监督检查等并没有严格实施，在原奶进入三鹿集团的生产企业之前，缺乏对奶站经营者的有效监督。而蒙牛在这方面就要小心谨慎得多，行唐县委宣传部新闻科的刘文武科长曾经考察过蒙牛在行唐的奶源生产链条，蒙牛也通过当地奶站收集原奶，但是奶站的工作人员是蒙牛派驻的，而且在行唐县南桥镇增加了一个“奶台”环节，从奶站送来的原奶被放入“奶台”的大罐中，然后用一套瑞典的设备进行检测，合格之后，再运送到加工厂，负责运输的车辆配备有卫星定位系统，到了工厂之后还要进行二次检验，以及不定期的巡回检查，派驻奶站的工作人员也会定期轮岗。如果三鹿集团的驻站员监督检查能够落实到位，如果有内部控制的专门监督机构能够对驻站员的工作进行日常监督，发现并报 20 告这种控制方式存在的缺陷或有效性，及时予以改进和加强，三鹿集团的问题绝对不会是现在这样的严重。 专项监督是指在企业发展战略、组织结构、经营活动、业务流程，关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。早产奶事件发生后，三鹿集团将销售部门有关人员调离岗位，对酸奶销售直接负责人采取了扣除20%年薪的处罚。按理说，这是企业开展全面的业务流程专项大检查的一个极好时机，不知三鹿集团是否安排这样的工作。“大头娃娃”奶粉事件后，三鹿集团把注意力集中到了农村奶粉市场的进一步开拓上，将自己的产品到底有没有质量问题搁置一边，再一次放弃了整固山河的历史机遇。过去数年，三鹿集团相继兼并了山东、河北、陕西、河南、甘肃等省的一些濒临破产的中小企业，使得三鹿的组织结构发生了很大变化。行唐三鹿乳业有限公司由三鹿集团控股51%，另外49%的股权由行唐县政府控制，自从三鹿集团收购之后，没增添任何新设备和资金，开动老机器就开始生产奶粉，厂区内景象破旧不堪。三鹿集团旗下类似这样的分公司或子公司比比皆是。这种扩张导致了资金投入跟不上、机器设备及内部管理跟不上的现实，埋下了诸多的安全隐患。面对这种组织结构的大变化，进行内部控制有效性的专项监督检查更为必要。 21 下面是赠送的保安部制度 范本 协议范本下载族谱范本下载临帖范本下载公司章程范本下载监理月检范本下载 ,不需要的可以编辑删除!!!!谢谢! 保安部工作制度 一、认真贯彻党的路线、方针政策和国家的法津法觃,按照####年度目标的要求,做好####的安全保卫工作,保护全体人员和公私财物的安全,保持####正常的经营秩序和工作秩 序。 二、做好消防安全工作,认真贯彻“预防为主”的方针,教育提高全体人员的消防意识和防火知识,配备、配齐####各个楼层的消防器材,管好用好各种电器设备,确保####各通道畅 通,严防各种灾害事故的发生。 三、严格贯彻值班、巡检制度,按时上岗、到岗,加经对重要设备和重点部位的管理,防止和打击盗窃等各种犯罪活劢,确保####内外安全。 四、、加强保安队部建设,努力学习业务知识,认真贯彻法律法觃,不断提高全体保安人员的思想素质和业务水平,勤奋工作,秉公执法,建设一支思想作风过硬和业务素质精良的保安队伍。 11、保持监控室和值班室的清洁干净,天天打扫,窗明地净。 12、服从领导安排,完成领导交办任务。 22 5、积极扑救。火警初起阶段,要全力自救。防止蔓延,尽快扑灭,要正确使用灭火器,电器,应先切断电源。 6、一旦发生火灾,应积极维护火场秩序,保证进出道路畅通。看管抢救重要物资,疏散危险区域人员。 九、协同本部门或其他部门所进行的各项工作进行记录。 保安员值班操作及要求 一、交接岗 1、每日上午9时和下午 19时 为交接岗。 2、交接岗时将当班所接纳物品清点清楚,以及夜班所发生的情况未得到解决的需> 面汇报。检查值班室内外的卫生状况,地面无纸屑,桌面无杂物,整齐清洁。 23 二、执勤 1、7:50 — 8:10、13:50 —14:10立岗迎接上班人员;12:00 — 12:20 、18:00 — 18:20立岗送下班人员。 2、值勤时做到遇见领导立岗,检查物品立岗,外来人员进出立岗。 3、门卫室值勤时,应做到坐姿端正,注规监规器的劢态,做好接待工作,值勤期间不看书报电规,听收音机。不不无关人员聊天,劝阻无关人员不要在门卫室寄存物品或打电话,禁止打瞌睡。 4、维持门口秩序,使之保持畅通。 5、熟记消防,报警,救护及内部联系电话。 三、巡逻 巡逻是防盗及发现####有不安全因素的重要措施。 1、每天按照巡检制度定时轮流巡逻。 2、巡逻时思想集中,保持高度警惕,不吸烟,不不无关人员闲聊,幵将每一点所发生情况记录清楚,巡逻时做到勤走劢,勤思考,勤观察。发现问题及时报告。 3、白天加强对观众区、办公区及楼道的巡逻,夜晚以机房为重点进行检查,每晚零点之后巡查不少于两次。 四、防火工作 1、严格门卫制度,严禁无关人员,将易燃易爆物品带入####。 2、发现违反安全觃定的电源和火种,应予以切断和熄灭,应报告####领导采取相关措施。 24 3、值勤时发现物质储存,保管不符合防火要求,消防器材移作他用及非正常使用灭火器,应及时阻止,幵报告,提请有关部门整改。 4、发生火灾先拨打 119 向消防部队报警,幵立即报告####领导。报警时简要讲清####地址,电话号码及火情,同时派人在门口接应,引导消防车进入火场,向消防人员介绍水源,总电闸部位等。 25