实操手册：企业内控管理全方位梳理（干货收藏）

 一、企业内部控制概述 

内部控制是企业风险管理活动不可分割的组成部分，也是全面风险管理这一全流程的重要内嵌环节，该过程受董事会、管理层和其他管理人员的影响。从企业战略制定一直贯穿到企业的各项活动之中，用于识别可能影响企业的潜在风险并予以管理，使之在企业的风险偏好之内，从而合理确保企业取得既定目标，在该框架下有三个维度，第一个维度是企业的目标（具体包括战略目标、经营目标、报告目标和合规目标四个），第二个维度是全面风险管理要素（具体包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督），第三个维度是企业的层级（具体包括主体层次、各部门、各业务单元及其下属子公司）。其具体逻辑关系如下图：

 二、企业内控五大维度 

（一）内部环境

内部环境规定了企业的纪律与框架，影响经营管理目标的制定，塑造企业文化并影响员工的控制意识，是建立与实施内控的基础。

1、公司治理

企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离、形成制衡。

董事会对股东大会负责，依法行使企业的经营决策权，可以按照股东大会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限，任职资格，议事规则和工作程序，为董事会科学决策提供支持。监事会对股东大会负责，监督企业董事、经理及其他高级管理人员依法履行职责。经理层对董事会负责，主持企业的生产经营管理工作，经理和其他高级管理人员的职责应当明确。董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质等应当满足履行职责的要求。

企业的重大决策、重大事项、重要人事任免以及大额资金支付业务等，应当按照规定的权限和程序实行集体鞠策审批或联签制度。任何个人不得单独进行决策或擅自改变集体决策意见。重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求的因素，合理设置内部职能部门，明确各机构的职责权限，避免职责交叉、缺失或权责过分集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

企业应当对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系，企业在确定职权和岗位分工过程中，应当体现不相容职务相互分离的要求，不相容职务通常包括可行性研究与决策审批，决策审批与执行，执行与检查监督等。

企业应当制定组织结构图，业务流程图、岗位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。

2、组织架构

企业应当根据组织架构的设计规范，对现有治理结构和内部机构设置进行全面梳理，确保本企业治理结构，内部机构设置和运行机制等符合现代企业制度要求。企业梳理治理结构，应当重点关注董事、监事、经理和其他高级管理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效果。治理结构存在问题的，应当采取有效措施加以改进。企业梳理内部机构设置，应当重点关注内部机构设置的合理性和运行的高效性。内部结构设置和运行存在职责交叉、缺失或运行效率低下的，应当及时解决。企业拥有子公司的，应当建立科学的投资管控制度，通过合法有效的形式履行出资人职责，维护出资人权益，重点关注子公司特别是异地、境外子公司的发展战略，年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要内容。

一是在董事会下设立审计委员会，加强内部审计工作（根据中国内部审计协会的解释，内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。内部审计的范围主要包括财务会计、管理会计和内部控制检查），保证内部审计机关设置、人员配备和工作的独立性：

二是在具体职能部门的设置上，遵循前中后台有效分离的原则，搭建推动各项业务协同配合的架构体系。公司治理应以更加规范化，职责互斥将会成为前、中、后台有效分离的基本原则。其中，前台部门设置将会针对不同的业务类别，不断的提高专业化水平，以便有效识别重点客户。中台方面，实现公司的全面风险和内控管理，推动全公司风险体系建设，对项目进行审查和管理。后台方面，根据综合管理、计划财务、信息科技等各方面板块分设相应职能部门。前中后台各职能部门的具体功能职责将根据各自权限形成如表所示：

针对银行类金融机构，其高级管理层和风险管理架构设置又有其他具体要求：

企业应当定期对组织架构设计与运行的效率和效果进行全面评估，发现组织架构设计与运行中存在缺陷的，应当进行优化调整，企业组织架构调整应当充分听取董事、监事、高级管理人员和其他员工的意见，按照规定的权限和程序进行决策审批。

3、战略规划的制定

企业在董事会下设立战略委员会，或指定相关机构负责发展战略管理工作，履行相应职责。战略委员会主要职责：一是对战略规划进行可行性研究和科学论证；对战略实施进行监控。二是进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。三是根据企业的发展目标制定战略规划，明确发展的阶段性和发展程度，确定每个发展阶段的具体目标、工作任务和实施路径。同时，制订年度工作计划，编制全面预算以确保战略得以有效实施。四是在宏观环境的情况发生重大变化时，企业应当按照规定权限和程序调整发展战略。

董事会严格审议战略委员会提交的发展战略方案，重点关注其全局性、长期性和可行性。方案经董事会审议通过后，报经股东（大）会批准实施。但是，假若董事会在审议方案中如果发现重大问题，应当责成战略委员会对方案做出调整。

4、人力资源管理

人力资源是指企业组织生产经营活动而录（任）用的各种人员，包括董事、监事、高级管理人员和全体员工。人力资源管理应包括人力资源规划和人力资源实务两大方面。

人力资源规划是整个公司宏观战略的主要驱动力，通过企业发展战略和经营规划整个经营方向的把控确保人员的供需平衡，以满足企业在整个生命周期各个不同阶段对人力资源结构和配置的差异化需求，为企业在不同阶段的发展匹配相应的人力资源排布，促成企业战略目标和长期利益的实现。通过人力资源的有效配置，可以使组织获得高于竞争对手的优势，通过不断的调整确保人力资源管理活动能够与组织实现更好的兼容。

人力资源政策和实务应包括但不限于招聘和雇用；新雇员的试用期和岗前培训制；建立雇员员工培训长效机制、提升员工素质；绩效管理；薪酬管理；晋升渠道；辞职、解除劳动合同、退休等。其中：

培训机制。针对高层管理人员、管理/业务骨干、业务拓展人员和一般员工四类不同岗位的具体培训机制更应凸显差异化和定制化。

绩效管理，是通过下达任务的方式，明确员工绩效目标，并在工作过程中不断收集员工就其所分配的任务完成情况进行的评价和反馈，以确保员工的工作活动和工作产出能够与组织保持一致，进而推动组织目标顺利完成的管理过程。由公司决策层明确企业未来的发展方向和战略规划，基于公司的战略规划，梳理企业未来发展的关键重点，形成关键结果领域（key result areas）并以此确定KPI维度。在此基础上进一步分解，将关键结果领域层层分解为关键绩效要素（key result factors 即KPI要素）。为便于对这些要素进行量化考核，再将这些要素细分为各项指标，即为关键绩效指标，结合公司的战略目标及本考核周期所处的阶段，设置评价标准，确定各个指标应该达到的水平。在此基础上，围绕战略规划，确定关键绩效指标体系，然后围绕组织内部自上而下对战略目标进行层层分解，通过财务与非财务指标相结合的方式，体现关注短期效益，兼顾长期发展的原则，通过指标的设计在传达结果的同时，也推动结果的产生。

薪酬管理，应同时兼顾内部公平性和外部竞争性，统筹激励性和平稳性，内部公平性上，强调以岗位价值为原则，建立岗位职级体系，作为薪酬激励的基础，实现内部公平；外部竞争性上，应对标所在行业，激励体系总体框架上以贴合金融市场规模为主，形成固有+短期激励，并辅之以长期激励的整体激励框架，确保薪酬在市场上拥有较强的竞争力。针对前中后的区别，设置差异化的薪酬体制。针对前台业务部门，采用幅宽较宽的薪酬带设计，通过激励性较强的薪酬结构吸引和保留市场化人员，借以增强对不同市场来源的人才的覆盖能力，增加初次定薪的灵活度。此外还能增加管理弹性，当层级无法晋升时，可通过层级内调薪实现对人员的激励，此外，这一模式还能覆盖多种新业务的需要，通过宽带薪酬保证了对薪酬成本较高的细分投资行业人员的吸引力。在有效统筹既有人力资源结构的同时，对接中长期要求，避免薪酬结构过于频繁的调整。针对中后台管理风控部门，采取非激进的薪酬政策，通过相对适中的薪酬带宽，确保整体人力成本不发生大幅度增长，此类结构主要适用于行业研究、产品开发与创新业务研究、风险、法律、品牌与市场营销及投后管理等中台部门，以及数据管理、非投资相关的内审、法务、财务条线及人力、信息、行政等共享平台纯后台部门。

晋升渠道的打造，既要建设晋升通道，也要搭建其他路径，以激发员工提升专业能力的主观能动性。

5、企业文化与沟通

企业文化是指企业在生产经营实践中逐步形成的、为整体团队所认同并遵守的价值观、经营理念和企业精神，以及在此基础上形成的行为规范的总称。根据《企业内部控制应用指引第5号一企业文化》要求，一是要积极培育具有自身特色的企业文化，引导和规范员工行为，培育体现企业特色的发展愿景、积极向上的价值观、诚实守信的经营理念、履行社会责任和开拓创新的企业精神，以及团队协作和风险防范意识。二是要重视并购重组后的企业文化建设，平等对待被并购方的员工，促进并购双方的文化融合。三是要求董事、监事、经理和其他高级管理人员在企业文化建设中发挥主导和垂范作用，企业文化建设既要注重“上下结合”，更应注重企业治理层和经理层的示范作用。四是要加强企业文化的宣传贯彻，有效沟通，共同遵守，融入生产经营全过程。五是在建立企业文化的过程中，坚持诚信和道德观是强化内部环境的重要因素，具体要通过制定行为守则、传达行为守则、更新行为守则的方式加以落实。

6、企业社会责任

社会责任是强化内部环境中不可缺的一个元素，它代表企业管理层的形象和管理风格及责任使命感。根据《企业内部控制应用指引第4号一社会责任》规定，社会职责和义务主要包括安全生产、产品质量（含服务，合同）、环境保护、资源节约、促进就业、员工权益保护等。

（二）风险评估

风险评估作为整体内部控制结构的一部分，企业应开展风险评估，准确识别与实现控制目标的潜在外部风险和内部风险并确定相应的风险承受程度。在内部控制架构中，风险评估可被描述为一个两步式程序。第一步是采用定性与定量相结合的方法，评估风险发生的可能性或频率，以及其为企业带来的影响程度；第二步是对识别的风险进行分析和排序。随之而来的是企业可利用风险分析的结果为依据，考虑如何对重要风险进行管理及采取适当的应对风险行动。

风险管理的第一步就是风险的识别，具体而言主要通过感知和分析两种路径识别风险，其中，感知风险是通过系统化的方法发现公司所面临的风险种类和性质，而分析风险则是深入理解各种风险内在的风险因素。根据风险识别路径的不同可以分为自上而下和自下而上两种不同的方式。其中，自上而下的路径，是从最高管理层开始，逐步向下识别风险的方法，识别潜在风险的任务由董事会完成，董事会定期召开会议，或召集公司的个别员工共同探讨企业所面临的风险。这有利于企业从总体上把握公司所面临的风险，在风险管理方面具有整体性和全面性，不过缺点也非常明显，即远离实操部门，不容易发现营运层面的风险。而自下而上的识别，则是从基层开始，逐步向上推进的风险识别方法，风险辨识与评估由基层小组承担，然后逐步向上推进、传递相关信息。这有利于在一线发现营运层面的风险，但难以从总体上把握企业所面临的风险，在风险管理方面缺乏整体性和全局性。

在风险计量方面，要根据不同的风险设置不同的数量模型，根据模型的推演给出相应的数值。在整个风险管理中，风险计量是最为关键也是技术含量最高的一个环节，所有的风险计量结果无一不是建立在卓越的风险模型基础之上的，为此应开发出一系列准确的，能够在未来一定时间限度内满足企业风险管理需要的数量模型。企业将根据业务性质，规模和复杂程度，对不同类别的风险选择适当的计量方法，基于合理的假设前提和参数，计量所承担的所有风险。

通过模型进行风险计量之后，还要进行风险监测，监测各种可量化的关键风险指标及不可量化的风险因素的变化和发展趋势。毕竟，风险管理既是一个流程化的管理体系，同时也是一个动态反馈过程，在这一过程中需要进行定期评价和修订，因为随着时间的推移和情况的变化，可能产生新的风险，有关风险的可能性和严重性的信息可能更易获得。所以，随时监测相应指标数据，借以修正完善计量模型，从而对风险作出更准确的预判。

最后是风险控制，即对经过识别和计量的风险采取分散、对冲、转移、规避和补偿等措施，进行有效管理和控制和过程。风险管理/控制措施应确保风险管理战略和策略符合经营目标的要求，所采取的具体措施符合风险管理战略和策略的要求，并在成本/收益基础上保持有效性。通过对风险诱因的分析，发现管理中存在的问题，以完善风险管理程序。在实操层面，地方AMC进行风险管控，主要有事前和事后两种路径，在事前进行风险控制，主要采取的措施包括规避风险（即考虑风险事件存在与发生的可能性，主动放弃或拒绝某项可能导致风险损失的方案）、损失控制（在损失发生前全面的消除风险损失可能发生的根源，尽量减少损失发生的概率）。事后主要通过风险财务管理的方式，管控风险，即在风险事件发生后已经造成损失时，运用财务工具对损失及时补偿，促使其尽快恢复，具体操作方式包括风险自留和风险转嫁。

（三）控制活动

内控管理中的控制活动主要用于将风险控制在可承受之内的措施，具体可分为运营、财务报告及合规三个类别。常见的内部控制活动有不相容职务分离控制；授权审批控制；会计系统控制；调节和复核；财产保护控制；预算控制；营运分析控制；绩效考评控制。

（四）信息与沟通

信息与沟通是指在人员能够履行责任的方式及时间范围内，识别、取得和报告经营、财务及法律遵守的相关资讯的有效的程序和系统。信息具体包括内部信息和外部信息，其中内部信息是指会计信息、生产经营信息、资本运作信息、人员变动信息、技术创新信息、综合管理信息。外部信息是政策法规信息、经济形势信息、监管要求信息、市场竞争信息、行业动态信息、客户信用信息、社会文化信息、科技进步信息。

在信息与沟通环节，企业应同时建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在舞弊工作的权限、规范舞弊案件的举报、调查、处理、报告和补救措施。企业应关注的反舞弊工作重点包括但不限于：未经授权或采取其他不法方式侵占、挪用企业资产、牟取不当利益；在财务会计报告和信息披露等方面存在不正确、误导性陈述或者重大漏报等；董事、监事或管理人员滥用职权；相关机构或人员串通舞弊等。在沟通环节中，有效的沟通必须在企业内以全方位方式进行。沟通系发生在高级管理层和雇员之间，管理层与董事会及董事会下辖的委员会之间，企业与外界各方（比如股东、客户、供应商和监管机构）之间的沟通。有效的信息与沟通系统应具备以下特点：一是能够生成企业经营所需的、关于财务、运营及法规遵守的报告，帮助做出精明的商业决策，以及对外发布可靠的报告；二是能使得雇员获得信息，且交流他们为实施、管理及控制运转情况所需的信息；三是能识别和传达相关信息，并且是以一种人员能够有效履行他们的职责的方式进行。

（五）内部监督

企业内部控制应有相应的监督机制，具体要明确内部审计机关和企业内部机构在内部监督中的权责，规范内部监督的程序、方法和要求；制定内部控制缺陷认定标准，并定期对内部控制的有效性进行自我评估及按法律法规要求委派会计师进行内部控制的审计。

监督过程是对内部控制系统的表现进行评估的过程，可以通过持续的监察活动或单独的评价来实现。监督适用于企业内的活动，以及为企业提供相关服务的外部承包商。内部监督分为日常监督和专项监督。其中，日常监督是指企业对建立与实施内部控制情况进行常规、持续监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位等发生较大凋整或变化的情况下，对内部控制的某一或某些方面进行针对性的监督检查。

内部控制的监督方法包括：绩效计量（内控系统要为目标的实现提供合理保证，因此可以通过对企业绩效的测评来判断内控系统的有效性）；对企业运营进行测试（通过内部审计部门完成，复核成本效益原则）。

在记录方面，应形成内部控制的文件记录。规模较小的企业可能备有较少的文件记录，但这并不一定表示它们的内部控制无效。在报告方面，所有可能影响企业实现目标的内部控制缺陷，均应向能采取必要行动的人员汇报。一个渠道是在常规运营活动时产生的信息，通常通过正常的渠道向上级报告；另一渠道供汇报非常敏感的信息（向上级汇报一些例外事项）。

 二、企业内部控制的应用 

（一）资金活动

根据《企业内部控制应用指引第6号——资金活动》规定，资金活动是指企业筹资、投资和资金营运等活动的总称。资金活动涉及三项主要内容：

1、筹资活动

2、投资活动

（二）采购业务

根据《企业内部控制应用指引第7号一采购业务》规定，采购是指购买物资（或接受劳务）及支付款项等相关活动。业务流程如下图：

其中，关键控制点及措施为购买与付款，具体流程中关键控制点，控制目标、控制措施如下：

（三）资产管理

根据《企业内部控制应用指引第8号-资产管理》要求，对于存货、固定资产、无形资产管理应满足如下要求：

1、存货管理

针对生产企业和商品流通企业非，其业务流程应包括如下环节：

3、无形资产管理

无形资产的取得（如外购、自行开发以及其他方式取得）、验收并落实权属、自用或授权其他单位使用、安全防范、技术升级与更新换代、处置与转移。在关键控制点和控制措施上，应着重关注如下问题：一是企业应全面梳理无形资产的取得及权属关系，加强无形资产权益保护，防范侵权行为和法律风险；二是企业应关注无形资产具有保密性质的，采取严格保密措施，严防泄露商业秘密；三是定期对专利、专有技术等无形资产的先进性进行评估，淘汰落后技术；四是加大研发投入，促进技术更新换代，不断提升自主创新能力，努力做到核心技术处于同行业领先水平。

（四）销售业务

根据《企业内部控制应用指引第9号一销售业务》要求，对于销售业务管控的主要环节在于销售和收款。其控制目标和控制措施如下：

（五）研究与开发

根据《企业内部控制应用指引第10号一研究与开发》要求，其关键的内部控制要求主要集中在如下几个方面：

（六）工程项目

根据《企业内部控制应用指引第11号-工程项目》规定，其业务流程为：

（七）担保业务

担保是企业作为担保人按照公平、自愿、互利的原则与债权人约定，当债务人不履行债务时，依照法律规定和合同协议承担相应法律责任的行为。

根据《企业内部控制应用指引第l2号一担保业务》规定，关键的内部控制主要集中在如下几个方面：

关键控制点及措施

（八）业务外包

业务外包是企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织（即承包方）完成的经营行为。针对业务外包，关键的内部控制措施主要包括明确职责权限，加强过程监控，避免核心业务外包；建立和完善业务外包管理制度，如重大业务外包决策应由总会计师、分管会计工作负责人参与，报董事会或类似权利机构审批；明确选择承包方的方式、标准及条件以及应用于选择承包方时的有关保密工作；应用《企业内部控制应用指引第l5号一全面预算》的管控措施确保外包方案的可行性；应用《企业内部控制应用指引第l6号一合同管理》的管控措施明确外包内容、承包方与企业双方的责任与义务，服务和质量标准、保密协议等条款；建立与承包方的沟通与协凋，及时搜集相关信息以便有效地解决业务过程存在的问题；对重大外包业务或各种意外情况做出预计及建立应急机制；外包业务的费用结算和会计处理；对承包方履约能力的持续评估，若有重大违约行为，应及时终止合同；应用如同项目工程中的验收工作。

（九）财务报告

根据《企业内部控制应用指引第l4号-财务报告》要求，在关键的内部控制环节上，应注意如下内容：

（十）全面预算

全面预算是企业划一定期间经营活动、投资活动、财务活动等作出的预算安排。根据《企业内部控制应用指引第l5号-全面预算》要求，企业应在组织中健全全面预算的管理体制，包括：一是设立预算管理委员会履行全面预算管理职责，其成员由企业负责人及内部相关部门负责人组成。预算管理委员会主要的职责拟定预算目标和预算政策，制定预算管理的具体措施和办法；组织编制、平衡预算草案；下达经批准的预算，协调解决预算编制和执行中的问题；考核预算执行情况，督促完成预算目标。二是明确全面预算管理工作机构。

（十一）合同管理

合同是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。合同包括书面合同和口头合同。根据《企业内部控制应用指引第16号-合同管理》要求，在业务流程上，合同管理从大方面可以划分为合同订立阶段和合同履行阶段：

合同订立阶段

合同履行阶段

 四、企业内部控制评价的程序 

（一）制定评价控制方案

企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。

该评价部门或机构应具备以下条件：能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约；能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。

（二）组成评价工作组

评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。

（三）实施评价工作与测试

（四）汇总评价结果评价

工作组人员应当在其工作底稿中，记录评价所实施的程序及有关结果。企业内部控制评价工作组应当建立评价质量交叉复核制度，有关评价报告应由评价工作组负责人严格审核确认，与被评价单位进行通报，在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。

（五）内部控制评价报告

企业应根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，及时编制内部控制评价报告。内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。企业在评价报告中至少披露以下内容：董事会对内部控制报告真实性的声明（实质就是董事会全体成员内部控制有效性负责）；内部控制评价工作的总体情况（概要说明）；内部控制评价的依据；内部控制评价的范围（描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项）；内部控制评价的程序和方法；内部控制缺陷及其认定情况，主要描述适用于企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷；内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。

来源：负险不彬 ，作者王彬