生物医疗低温存储箱公司治理与内部控制总结（参考）

泓域/生物医疗低温存储箱公司治理与内部控制总结 生物医疗低温存储箱 公司治理与内部控制总结 目录 一、 产业环境分析 3 二、 生物医疗低温存储行业国内市场 3 三、 必要性分析 4 四、 企业风险管理 4 五、 内部控制 14 六、 内部控制的重要性 17 七、 内部控制的局限性 20 八、 信息控制 23 九、 沟通控制 33 十、 举报投诉制度 37 十一、 举报人保护制度 41 十二、 机构投资者治理机制 44 十三、 经理人市场 46 十四、 信息披露机制 51 十五、 监督机制 57 十六、 公司基本情况 62 十七、 发展规划分析 63 十八、 组织机构管理 67 劳动定员一览表 67 十九、 SWOT分析 69 二十、 项目风险分析 75 二十一、 项目风险对策 77 一、 产业环境分析 云南省，简称云或滇，中国23个省之一，位于西南地区，省会昆明。介于北纬21°8′～29°15′，东经97°31′～106°11′之间，东部与贵州、广西为邻，北部与四川相连，西北部紧依西藏，西部与缅甸接壤，南部和老挝、越南毗邻，云南省总面积39.41万平方千米。截至2019年末，云南省常住人口4858.3万人，比2018年末增加28.8万人。云南省地势呈现西北高、东南低，自北向南呈阶梯状逐级下降，属山地高原地形，山地面积占全省总面积的88.64%。地形以元江谷地和云岭山脉南段宽谷为界，分为东西两大地形区。东部为滇东、滇中高原，是云贵高原的组成部分，表现为起伏和缓的低山和浑圆丘陵；西部高山峡谷相间，地势险峻，形成奇异、雄伟的山岳冰川地貌。云南省地跨长江、珠江、元江、澜沧江、怒江、大盈江6大水系。云南气候基本属于亚热带和热带季风气候，滇西北属高原山地气候。截至2019年8月，云南省下辖8个地级市，8个自治州，17个市辖区、16个县级市、67个县，29个自治县，合计129个县级区划。177个街道、683个镇、400个乡、140个民族乡，合计1400个乡级区划。2019年，云南生产总值（GD）23223.75亿元，比2018年增长8.1%，高于全国2.0个百分点。 二、 生物医疗低温存储行业国内市场 受全球人口老龄化加剧和国民健康意识加强的大环境影响，各国政府及人民对医疗卫生及健康的支出也日益增加，为医疗器械行业带来增长契机。此外，疫情之下，生物医疗行业发展急速升温，得益于疫苗冷链需求行业的提升，低温存储安全领域更是迎来了爆发式的增长。根据GlobalMarketInsights发布的数据，全球生物医疗低温存储市场规模2018年达到27.47亿美元，预计在2025年有望达到36.47亿美元，年均复合增速4.13%。国内生物医疗低温存储设备市场规模从2016年22.22亿元增长至2021年49.03亿元，年复合增长率为17.15%。预计到2028年，我国生物医疗低温存储设备市场规模将达到215.43亿元。 三、 必要性分析 1、提升公司核心竞争力 项目的投资，引入资金的到位将改善公司的资产负债结构，补充流动资金将提高公司应对短期流动性压力的能力，降低公司财务费用水平，提升公司盈利能力，促进公司的进一步发展。同时资金补充流动资金将为公司未来成为国际领先的产业服务商发展战略提供坚实支持，提高公司核心竞争力。 四、 企业风险管理 （一）企业风险管理（2004）架构 1、基本框架 2004年，COSO为企业风险管理确立了一个可普遍接受的定义，该定义融入众多观点并达成共识，为各组织识别风险和加强对风险的管理提供了坚实的理论基础，即企业风险管理是一个受企业董事会、管理层和其他人士影响的过程，运用于制订战略之中，并且贯穿整个企业，用以识别可能影响该企业的潜在事项，并且将风险控制在风险偏好的范围之内，为达到实体目标提供合理的保证。 企业风险管理（2004）框架的主要贡献就在于，其重新界定了风险管理，即由目标、要素和组织三个维度组成的有机整体。 第一维度为企业的目标，即战略目标、经营目标、报告目标和合规目标。在主体既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标。企业风险管理框架力求实现主体的战略目标、经营目标、报告目标和合规目标。战略目标与高层目标相关，和企业使命相一致，企业所有的经营管理活动必须长期有效地支持该使命。经营目标与企业运营的效果和效率相关，包括业绩和利润目标，运营变化以管理当局对结构和业绩的选择为基础，旨在使企业能够高效地使用资源。报告目标与组织报告可靠性相关，包括对内报告和对外报告，涉及财务和非财务信息。合规目标层次较低，也是最基础的目标，与组织遵循相关法律法规有关。 第二维度为构成要素，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。 第三维度组织是企业的层级，包括主体层次、分部、业务单元及子公司。 三个维度的关系是，全面风险管理的八个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上八个方面进行风险管理。 2、构成要素 第二维度企业风险管理包含八个相互关联的要素。它们来源于管理当局经营企业的方式，并与管理过程整合在一起。这些构成要素的含义如下。 内部环境——内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观，以及他们所处的经营环境。 目标设定——必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。 事项识别——必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被反馈到管理当局的战略或目标制订过程中。 风险评估—一通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。 风险应对——管理当局选择风险应对—回避、承受、降低或者分担风险——采取一系列行动以便把风险控制在主体的风险容忍度和风险容量以内。 控制活动—一制订和执行政策与程序以帮助确保风险应对得以有效实施。 信息与沟通一一相关的信息以确保员工履行其职责的方式和时机，能被识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。 监控——对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。 企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都会影响其他构成要素。 3、企业风险管理（2004）框架面临的问题 企业风险管理（2004）框架在对企业风险管理进行定义时所强调的最重要也是最独具一格的一点是“贯穿整个企业，应用于战略制定中”。而这一点在实践中却被误读，甚至被无视。COSO最初在编制ERM框架时采用了类似于内部控制框架所使用的立方体。虽然COSO对立方体右侧的内容进行了修改，删除了有关活动和流程，改为侧重于范围更广的实体和运营单位及分支机构，但许多企业依然试图在过于细微的层面实施该框架，例如运用于流程层面而非战略制定。许多组织机构将企业风险管理作为一种保证活动来实施，而不是将其视为一种更佳的企业管理方式，从而失去了治理效果。 2008年金融危机以及2011年的日本海啸所引发的经济大萧条，“黑天鹅”“大变脸”事件频频爆发，ERM有关问题和价值的主张便开始明朗起来，令许多企业进入危机应对模式，企业风险管理的实施也因此受到企业特别是C级高管的真正重视。6月24日，COSO委员会发布《企业风险管理：风险与战略和绩效的协调》，以向公众征求意见，截止日期为2016年9月30日。 （二）企业风险管理（2016）框架的内容 相对于企业风险管理（2004）框架，新版企业风险管理（风险与战略和绩效的协调）（2016）使用了构成元素加原则的结构，包括5个构成元素，细分为23条原则，2013年COSO组织更新了企业内部控制框架的部分内容，在文章的整体结构上就是采用的这种结构新的结构加强了新框架的可读性、可用性和一致性。新版ERM框架的五要素和23个原则。 新版框架对ERM的定义为：组织在创造、保存、实现价值的过程中赖以进行风险管理的，与战略制订和实施相结合的文化、能力和实践。可以看到，新版框架简化了ERM的定义以方便阅读和记忆。新定义方便的是所有读者的理解，而不只是风险管理从业者。新定义包括文化和能力而不只是过程，更加强调风险与价值的相结合，突出价值创造而不只是防止损失，这样也避免了和内部控制定义的界限不清。新版框架中，ERM被视为战略制定的重要组成和识别机遇、创造和保留价值的必要部分。新版框架中ERM不再是主体的一个额外的或是单独的活动，而是融入主体的战略和运营当中的有机部分。 新版框架注意到了自旧版框架发布以来，组织在实践ERM过程中遇到的一些问题，包括对风险管理工作的定位，风险管理工作的范围和目标等，新版框架定义了风险管理工作的高度，包括：战略和业务目标与使命、愿景和价值观不匹配的可能性；选定的战略所隐含的意义；执行战略过程中的风险。 1、风险治理和文化 风险治理和文化构成了ERM所有其他部分的基础。风险治理定下主体的基本基调，加强ERM的重要性并确立ERM的监管责任的分配；文化则是主体的价值观、行为准则和对风险的理解。 （1）实现董事会对风险的监督。董事会对主体的风险监督负有首要责任。 （2）建立治理和运作模式。在明确的责任分配下，组织应该建立完整的运营模式和汇报体系。 （3）定义期望的组织行为。董事会和管理层通过定义其期望的行为将组织核心价值和对风险的态度具体化。 （4）展现对诚实和道德的承诺。组织制定基调，建立员工行为准则并对偏离准则的行为做出回应。 （5）加强问责。组织确保各个层级的个体在风险管理方面的职责明确，并确保其自身在提供准则和指导方面的职责明确。 （6）吸引、发展并留住优秀的个体。致力于根据战略和业务目标构筑人力资本，管理层通过在不同层面建立人力资源管理体系来吸引、培训、指导人才，评价和留住人才。 2、风险、战略和目标设定 ERM通过制订战略和业务目标的过程与主体的战略计划融合在一起。通过对商业环境的理解，组织可以得到对内在和外在因素的看法以及它们对风险的影响。组织在战略制订中确定其风险偏好，而业务目标使得战略得以实践并形成主体日常的运营。 （1）考虑风险和业务环境。组织考虑业务环境对风险图谱的潜在影响；组织要理解业务环境，考虑内部和外部的环境和不同的利益相关者。 （2）定义风险偏好。组织在创造、保存和实现价值的过程中定义风险偏好。 （3）评估可供选择的战略。组织评估可替代的战略和对风险状况的影响。 （4）建立业务目标的同时考虑风险。组织建立不同层次的业务目标以制定和支持战略的同时考虑风险。 （5）定义可接受的绩效浮动区间。可接受的绩效浮动也可以理解为风险容忍度。 3、执行中的风险 组织识别并评估可能影响其实现战略和业务目标的风险，结合企业的风险偏好，对风险按照其严重程度排分优先次序，组织选择风险应对的方法并对绩效进行监控以做出调整。这样，企业对追求战略和业务目标时所面临的风险量建立起一个组合的观念。 （1）识别执行中的风险。组织识别执行过程中影响业务目标实现的风险。 （2）评估风险的严重程度。风险评估的重要工具是风险热力图，热力图从风险发生的可能性和影响程度两方面对风险进行评级。风险评价要从固有风险、目标剩余风险和实际剩余风险三个层级进行。 （3）区分风险的优先次序。组织结合风险偏好，选定对风险排分优先等级的标准，然后对所有识别的风险进行排分。 （4）识别并选择风险响应。这些控制活动在《内部控制—一整合框架》中已经介绍。 （5）评估执行中的风险。组织需要对绩效进行监测，如