风险管理导向的企业内控体系建设

主讲：韩伟华

随着我国市场经济的发展和企业环境的变化，现代企业所面临的不确定性因素越来越大，风险已成为影响企业经营管理目标实现的重要因素。内部控制制度下的企业管理，其核心是风险管理。

本课程以风险管理为核心，将风险应对策略和方法嵌入各业务流程的具体业务活动中，融入各项规章制度，对构建有效的企业内部控制框架体系进行了探讨。

目  录

一、正确认识风险，理解相关概念

二、风险管理方法论

三、风险管理实施方法

四、如何建立内控体系

五、内控的关键点

六、典型内部控制设计实例

一、正确认识风险，理解相关概念

问题：民营企业如今面临哪些风险?

定价风险、政治和安全风险、新技术突破风险、管理决策失误风险、利润下降风险、资金短缺风险、高素质员工缺乏风险、顾客忠诚度下降风险、产业整合风险、低成本竞争风险、进入壁垒降低的风险、合规成本的增加风险、生产力缺乏增长的风险……

（一）理解风险的基本概念

国资委发布的《中央企业全面风险管理指引》（以下简称《指引》)对企业风险的定义是：“未来的不确定性对企业实现其经营目标的影响。”

企业风险按其内容不同可分为市场风险、产品风险、经营风险、投资风险、外汇风险、人事风险、体制风险、购并风险、自然灾害风险、公共危机、政策风险、外交风险等。

按照风险的来源不同，又可以分为外部风险和内部风险。

（1）企业外部风险包括：顾客风险、竞争对手风险、政治环境风险、法律环境风险、经济环境风险等；

（2）企业内部风险包括：产品风险、营销风险、财务风险、人事风险、组织与管理风险等。

立足于企业的生产经营活动来进行企业风险评估，主要评估企业内部风险，兼顾企业外部风险。

企业经营风险从风险产生的根源看，可分为可控风险和不可控风险，可控是指是否人为可控。那么，可控风险中的人为因素是什么呢？由于有不同利益的偏好，不同的人对风险的意识、对风险的态度就不一样。

比如内控有时会与企业战略产生矛盾，原因就在于CEO和CFO有不同的利益偏好，CEO要扩张、要投资，要并购；CFO则更关注一系列风险问题。

企业管理风险是指管理运作过程中因信息不对称、管理不善、判断失误等影响管理的水平。这种风险具体体现在构成管理体系的每个细节上，可以分为四个部分：管理者的素质、组织结构、企业文化、管理过程。

若管理出现问题，将会给企业与管理者造成无法挽回的损失。

（二）全面风险管理的目标

1．确保将风险控制在与总体目标相适应并可承受的范围内；

2．确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；

3．确保遵守有关法律法规；

4．确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；

5．确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。

（三）什么是内部控制？

国外较为经典的是美国审计准则委员会（ASB）对内部控制的定义。1972年，ASB制定《审计准则公告》，该公告循着《证券交易法》的路线进行研究和讨论，对内部控制提出了如下定义：“内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。“

在内控管理工作中，您是否遇到过以下情形：

当财务部门审批销售部门的差旅费或交际应酬费时，总听到销售人员在抱怨：审的也太严了吧，我们在前面冲锋陷阵，你们反而在后边拉我们后腿。

在对供应商进行招投标的过程中，采购部门认为处处按照采购部门的规章制度办事，怎么到了法务部或管理部，选中的供应商就迟迟批不下来呢？

公司管理层天天说风险，为什么员工对风险却没什么概念？是领导在危言耸听，还是风险管理和控制就是领导的事儿？

制度整合了，流程也更新了，但在执行的过程中，反而觉得比以前更麻烦了，花的时间更多了。

类似的困惑和问题一定还有不少，它们都和企业的内部控制与风险管理体系息息相关。

（四）风险管理与内控的不同侧重点

（五）风险驱动因素分析

风险驱动的一般因素包括：

1．导致错误和舞弊的因素

犯罪危险因素：某些员工的犯罪倾向而导致的损失增加的可能性

道德危险因素：企业的某些员工因其不遵守职业道德及伦理的倾向而引起可能损失的增加

心理危险因素：由于某些员工的工作疏忽而引起的可能损失的增加

能力风险因素：管理层或员工能力不足，难以适应内外环境的变化

2．其他导致风险的因素

经济环境因素：竞争环境及其变化，企业内部环境的变化

法律危险因素：立法机关颁布并由法庭执行的法律条文或者政府政策的发布和执行而引起的损失频率和严重程度的增加

物质危险因素：由于其特点、类型、使用等可能导致损失发生的企业物质财产

二、风险管理方法论

【案例1】中兴通讯的被制约与华为控股的备胎计划

2018年，美国对中国的中兴集团启动了制裁，一时间使得中兴的业务受到了巨大的打击，因为中兴设备中有大量美国企业在提供零部件。而今年，美国又再度对中国的华为集团启动了制裁——禁止所有美国企业购买华为设备，也禁止美国企业向华为出售零配件。但令特朗普没想到的是，华为集团开启了强大的“备胎计划”。

华为表示，在多年前就有所预计，并在研发、业务连续性等方面进行了大量投入和充分准备，能够保障在极端情况下，公司经营不受大的影响。

华为官方称，“华为备胎”计划中拥有芯片，其中，除了大家熟知的华为手机芯片，麒麟系列外，还有服务器芯片（鲲鹏系列）、基站芯片、基带芯片、AI芯片等。即使安卓系统不能使用，也没关系，华为也有自己的手机操作系统。

风险管理基本方法包括：

（一）收集风险管理信息

（二）进行风险评估

（三）制定风险管理策略

（四）提出和实施风险管理解决方案

（五）风险管理的监督与改进

（一）收集风险管理信息

环境风险

1．竞争者：竞争者令企业失去原有的市场竞争优势

2．敏感性：企业无法对变化的环境作出有效及时的反应

3．股东关系：直接关系到企业在资本市场上的筹资能力

4．资本的可获得性：公司可能无法筹措到足够的资金来支持自身发展

5．灾难性损失：自然灾害给企业造成巨大的损失

6．政策法规风险：由政策法规的不可测性及变化给企业带来损失

7．行业风险：由于行业有关要素变化，使企业丧失在行业中的优势地位

8．金融市场风险：由于金融市场的价格波动给企业的金融性资产造成损失

营运风险

1．客户满意：由于对客户服务不够重视造成营业额下降

2．人力资源：岗位人员资格和能力不够

3．产品开发：新产品无法被市场接受

4．效率：企业效率低下令成本高

5．能力：企业生产能力过剩或者不足

6．表现差异：企业的运作水平与国际先进水准之间还存在巨大的差距

7．时间拖延：业务流程耗时过多

8．存货遗失：由于管理不当，存货的遗失给企业业绩造成巨大的损失

9．符合：由于员工的失误，造成产品不能符合市场的需要，无法完成企业的预期目标

10．业务中断：企业可能由于主要原材料供应的突然中断或有经验人员的流失等原因造成业务的中断，给公司的发展造成不利影响

11．采购：企业可能由于缺乏材料供应商的选择余地造成采购成本偏高，影响企业产品竞争力

12．商品定价：定价的不合理，比如企业使用现行市价与客户签订远期合同，由于市场价格的波动给企业带来可能的损失

13．产品或服务失败：由于某种产品的失败给企业的整个形象造成影响

14．环境：由于企业破坏环境而受到第三方或政府的罚款

15．健康和安全：由于对安全生产不够重视造成员工的伤亡，给企业造成不必要的损失

16．商标被侵蚀：由于产品或服务的质量不佳，造成企业名誉受损

财务风险

1．货币风险：货币汇率的波动直接影响企业的业绩

2．利率风险：利率波动可能会增加企业的借款费用和减少投资项目的产出

3．流动性：资产变现能力差可能企业陷入财务危机

4．现金转移速度：现金的回笼速度直接影响企业对现金的使用效率

5．结算：企业资金在两国市场上运作，可能由于两个市场结算时间不同给企业的现金流带来影响

6．再投资：资金在短期高回报投资项目结束回笼后无法再次获得相同回报的投资机会

7．信用：客户长期拖欠货款造成企业现金被大量挤占

授权风险

1．领导力：业务流程的负责人没有领导力

2．职权：员工不能尽职或者做本不应由其完成的工作

3．限制：管理层超越职权限制，滥用权利

4．表现激励：由于表现评估制度不合理致使员工对工作缺乏兴趣

5．沟通：公司内部上下以及横向沟通不够造成内部合作不够紧密

舞弊风险

1．管理欺诈：管理层在会计报表中作假蒙骗总公司领导和投资者

2．雇员欺诈：雇员私自挪用公司资产造成企业重大损失

3．非法行为：管理人员或员工擅自以公司名义作出违法行为使企业蒙受损失

4．无授权使用：员工未经授权，为其他目的使用公司资产

管理风险

1．定价风险：定价不合理造成对企业业绩的影响

2．合同执行：公司可能由于没能按期完成合同，造成公司被大量罚款和最终失去某个客户

3．衡量：由于缺乏可靠的衡量标准，造成管理层决策较为随意，容易造成决策失误给企业带来损失

4．符合性：公司流程中所执行的目标和业绩考核标准与公司总体的目标所要求的不相符合

5．管理报告：向有关部门递交的报告不完整、不准确、不及时，导致企业决策失误

战略风险

1．环境监视：无法及时发现竞争环境所发生的变化，及时调整战略

2．业务组合：企业没有良好的业务组合来实现其业绩的最大化和分散风险

3．价值评估：管理层没能从战略角度评估某项业务

4．衡量标准：组织衡量标准只关注短期业绩或与业务战略不一致

5．组织结构：组织架构与变化了的企业战略不相适应

6．资源分配：资源分配无法维持企业在市场中的有利地位

7．生命周期：企业没能依照产品的生命周期及时调整自身的战略

法律风险

企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例，并至少收集与本企业相关的以下信息

1．国内外与本企业相关的政治、法律环境；

2．影响企业的新法律法规和政策；

3．员工道德操守的遵从性；

4．本企业签订的重大协议和有关贸易合同；

5．本企业发生重大法律纠纷案件的情况；

6．企业和竞争对手的知识产权情况。

【案例2】娃哈哈偷税门

2008年4月，宗庆后被曝10年间偷漏个税10亿元的消息被传得沸沸扬扬，有娃哈哈的有关人士在接受媒体采访时大曝内幕，并明确表示举报宗庆后偷税是达能的阴谋，而宗庆后补缴税款时并不知有人举报。

宗庆后和达能的几份合同之中，的确都提到由宗庆后自己来付税，但据他所知，达能每次支付时，都差了一部分没有给宗庆后，表示已在新加坡帮他完税了。这让宗庆后长期认为每一笔钱都帮他上税了，才导致了现在的这种情况。娃哈哈方面后来拿出证据，证明宗庆后的确是被达能欺骗，导致多年来没有缴纳税款，偷税罪名就没有成立。

对宗庆后此次事件来看，我们应该从中吸取经验和教训，防止类似的事情在我们企业发生。剖析娃哈哈税案不难发现，企业在成长，但企业内部的一些财务人员面对新的税收政策，他们的知识却没能跟上，没有及时去消化吸收新的政策，这就导致在某些时候，企业没有及时依法缴税，尽管这样并非是恶意的，但是一不小心也会给企业带来不应有的损失。

（二）进行风险评估

1．风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。

2．风险分析是对辨识出的风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件。

3．风险评价是评估风险对企业实现目标的影响程度、风险的价值等。

4．进行风险辨识、分析、评价，应将定性与定量方法相结合。

5．企业在评估多项风险时，应根据对风险发生可能性的高低和对目标的影响程度的评估，绘制风险坐标图，对各项风险进行比较，初步确定对各项风险的管理优先顺序和策略。

风险的识别常用方法

Ø 头脑风暴（集体讨论）           

Ø 合同结构分析

Ø 问卷调查、管理层访谈  

Ø 行业参照、行业标杆比较

Ø 业务流程分析

Ø 情境分析（最好和最差情境）

Ø 研讨会

Ø 事件分析  

Ø 调查与审计

Ø 政策分析

Ø 专家咨询

风险分析——分布图

（三）制定风险管理策略

一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。

企业应根据不同业务特点统一确定风险偏好和风险承受度，即企业愿意承担哪些风险，明确风险的最低限度和不能超过的最高限度，并据此确定风险的预警线及相应采取的对策。

确定风险偏好和风险承受度，要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；同时，也要防止单纯为规避风险而放弃发展机遇。

企业应根据风险与收益相平衡的原则以及各风险在风险坐标图上的位置，进一步确定风险管理的优选顺序，明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排。

企业应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善。其中，应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效，并提出定性或定量的有效性标准。

风险管理策略选择

（四）提出和实施风险管理解决方案

企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。

方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具（如：关键风险指标管理、损失事件管理等）。

企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。

企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。

制定内控措施

1．建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等，任何组织和个人不得超越授权做出风险性决定；

2．建立内控报告制度。明确规定报告人与接受报告人，报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等；

3．建立内控批准制度。对内控所涉及的重要事项，明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任；

4．建立内控责任制度。按照权利、义务和责任相统一的原则，明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度；

5．建立内控审计检查制度。结合内控的有关要求、方法、标准与流程，明确规定审计检查的对象、内容、方式和负责审计检查的部门等；

6．建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩；

7．建立重大风险预警制度。对重大风险进行持续不断的监测，及时发布预警信息，制定应急预案，并根据情况变化调整控制措施；

8．建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设，形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系。完善企业重大法律纠纷案件的备案管理制度；

9．建立重要岗位权力制衡制度，明确规定不相容职责的分离。主要包括：授权批准、业务经办、会计记录、财产保管和稽核检查等职责。

对内控所涉及的重要岗位可设置一岗双人、双职、双责，相互制约；明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任；将该岗位作为内部审计的重点等。

（五）风险管理的监督与改进

风险管理报告一般应包括以下几方面的实施情况、存在缺陷和改进建议：

1．风险管理基本流程与风险管理策略；

2．企业重大风险、重大事件和重要管理及业务流程的风险管理及内部控制系统的建设；

3．风险管理组织体系与信息系统；

4．全面风险管理总体目标。

三、风险管理实施方法

全面风险管理实施4步法

1．组织机构建设

2．风险管理职责落实

3．建立风险管理信息系统

4．建立风险管理文化

（一）组织机构建设

（二）风险管理职责落实——董事会

董事会通过下列方式提供针对企业风险管理的监督：

（1）公布组织的风险管理政策、风险偏好。知道并同意主体的风险偏好

（2）知道组织面临的最主要战略风险；

（3）董事会负责确定组织风险管理的战略方向，创造并维护一个能够让风险管理机制有效运行的大环境。审核主体的风险管理策略，并其进行考核；

（4）获悉主体重大的风险以及管理当局是否恰当地应对；

（5）知道组织实际经营效果与各方预期之间的差异及其后果；

（6）知道风险管理系统是否在有效运行；

履行以下职责：

1．批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；

2．批准风险管理措施，纠正和处理任何组织或个人超越风险管理制度做出的风险性决定的行为；

3．督导企业风险管理文化的培育；

风险管理职责落实——管理当局

（1）恰当地建立企业风险管理的所有构成要素

（2）为高级管理人员提供领导和指引。

CEO与他们一起构建该主体企业风险管理基础的价值观、原则和主要的经营政策。CEO和关键的高级管理人员制订战略目标、战略和有关的高层次目标。制订广义的政策，并构建主体的风险管理理念、风险容量和文化。针对主体的组织结构、关键政策的内容和沟通以及主体将要采用的计划和报告系统的类型采取行动。

（3）定期与负责主要职能领域——销售、营销、生产、采购、财务、人力资源的高级管理人员进行会谈，以便对他们的职责，包括他们如何管理风险，进行核查。CEO获得对经营中固有的风险、风险应对和必要的控制改进以及现状和正在进行的努力的了解。为了完成这种职责，CEO必须清楚地确定他或她所需要的信息。

（4）确保组织里各级机构及员工都有恰当的风险意识；

（5）知道组织应当如何进行危机处理；

（6）知道如何管理与投资机构的沟通；

风险管理职责落实——财务部门（风险管理部门）

风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作，它的职责包括：

（1）编制规章制度

（2）对各业务单位的风险进行组合管理

（3）度量风险和评估风险的界限

（4）建立风险信息系统和预警系统、厘定关键风险指标

（5）负责风险信息披露、沟通、协调员工培训和学习的工作

（6）按风险与回报的分析，为各业务单位分配经济资本金

风险管理职责落实——内部审计

内部审计部门在风险管理方面，主要负责研究提出：

（1）全面风险管理监督评价体系，

（2）制定监督评价相关制度，

（3）开展监督与评价，出具监督评价审计报告。

内部审计师

（1）内部审计进行独立、客观的审查和咨询活动，以便在于增加企业的价值和改进经营。

（2）内审通过系统的方法，评价和改进企业的风险管理、控制和治理流程的效益，帮助企业实现其目标。

（3）起到内部警察和咨询师的作用。

（三）建立风险管理信息系统

1．风险管理信息系统的组成

①风险管理信息报告体系

②风险管理常用工具、模型及模板

③风险管理的办公辅助系统

④内部控制流程与制度的文档控制机制

⑤风险管理的IT系统

2．风险管理信息系统应能够进行对各种风险的计量和定量分析、定量测试；能够实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态；能够对超过风险预警上限的重大风险实施信息报警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。

3．风险管理信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。

（四）建立风险管理文化

1．由上而下，身体力行，建立严谨的“风纪”，使员工能上行下效

2．订立管理原则和行为规范

3．通过绩效管理的方法，鼓励正确的行为和态度

4．加强培训和沟通

5．企业必须建立有效机制，使员工能从企业本身或其他企业所犯的错误（或接近犯错）的经验中，吸取教训

6．大力加强员工法律素质教育，制定员工道德诚信准则，形成人人讲道德诚信、合法合规经营的风险管理文化

四、如何建立内控体系

（一）内部控制设计——基本原则

1．相互牵制原则

2．协调配合原则

3．岗位匹配原则

4．成本效益原则

5．整体结构原则

（二）内部控制设计——控制手段

1．批准，授权和确认

管理层授权员工在授权范围内去实施某些活动以及去执行某些交易。另外，管理层会详细说明那些在员工实施和执行前需要主管批准的活动和业务。主管的批复（书面文本或电子文本）表明他（或她）已经审核并确认该活动或业务是符合既定的政策和流程的。

2．调节

将不同的数据放在一起，比较确认其差异，在必要时做出正确的调整。

3．对业绩的评价

管理层将目前企业的业绩与预算、预测、历史数据、竞争者情况或其他标准进行比较，以识别目标的完成情况，以及需要跟进的异常结果。

4．资产安全

通过授权才能使用设备、存货、有价证券、现金和其他受限制的资产；定期的进行盘点并与控制记录上的数量进行比较。

5．职责分离

将责任分离给不同的人来降低出错或出现不适当行为的风险。通常情况下，授权、记录（会计）、以及处理相关资产（保管）等责任要分开。

6．信息系统的控制

信息系统的控制被分为两大类：一般控制和应用控制。

一般控制通常包括数据中心执行的控制，获取和维持系统软件的控制，数据库安全的控制，以及发展和维持应用程序系统的控制。

应用程序控制，比如计算机匹配，以及编辑账单等被程序化在应用软件中；他们被设计来帮助确保业务流程的完整和准确，授权和有效。

普通控制通常是用来支持应用程序控制的职能的；两者都需要去确保信息流程的完整和准确。

（三）内部控制设计——流程、步骤

1．识别关键流程

问题1：如何避免现有关键流程在识别过程中被遗漏？

问题2：如何发现现有流程于建立时已遗漏某一关键流程？

（三）内部控制设计——流程、步骤

1．识别关键流程

问题1：如何避免现有关键流程在识别过程中被遗漏？

问题2：如何发现现有流程于建立时已遗漏某一关键流程？

应收账款流程

2．确认内控关键点

（1）抓住运营过程中“最重要”的因素；

（2）识别运营过程中“经常变化”的地方

（3）监测“非标准行为”

例如：

客户资信评审的关键控制点：

批准：授信额度调整是否有相应的文件（如过往信用记录）支持

发货后出具销售发票的控制点：

核对：发票与订单内容

检查：出具发票的时间/内容/准确

3．建立内控标准（政策）

4．建立内控措施——管理客户信用风险

5．建立内控流程

在明确了内控目标、风险以及相应的控制措施后，企业即可建立相应的内控流程。

（1）根据客户过往的交易记录确认资信情况以确保授信额度与授信期适当

（2）发货后出具销售发票

（3）寄出发票给客户

（4）财务记录应收账款

（5）定期与客户进行对账工作

（6）信贷部催收应收账款

（7）信贷部应收账款账龄报告

（8）用户汇款，财务冲账……

内控流程图+文字说明（表格）

内部控制流程完善

五、内控的关键点

（一）为什么会出现内控问题

1．利益驱动，使每个人都存在背离控制的动机。

2．是否背离，取决于得失利害的权衡。

3．如何控制，取决于成本——效益的平衡。

4．控制是为实现目标提供合理保证，引导约束人的行为按照既定目标前进

（二）控制的类型

从控制主体看

包括，外部控制——他律，内部控制——自律

从控制效力看

包括，法律——强制，行政——弱强制，约定控制——非强制

从控制方式看

包括，组织控制——结构性，制度控制——功能性，流程控制——状态性

从内控的深度看

包括：合规型内控（包括符合证交所，证监会，萨班斯法案的要求等）

管理型内控（包括将内控和风险管理融入日常经营中，降低不确定因素对目标实现的影响，提高执行力），增加股东价值（将风险管理融入战略和目标，通过风险管理增加利润，优化内部资源分配和投资决策）

（三）内部控制的局限主要表现在：

1．内部管理人员滥用职权、蓄意营私舞弊等，导致内部控制失去应有的控制效能。

2．内部人员相互串通作弊导致相关内部控制失去作用。

3．内部人员素质不适应岗位要求，影响内部控制功能的正常发挥。

4．成本效益问题。

5．对于不经常发生或未预计到的经济业务，原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。

（四）管理与内控的重建——业务流程重组的信号

损失市场份额

交货期延长

竞争能力下降

生产率降低

客户满意程度降低

新近的政府改革／立法

行业趋势正在发生改变

陈旧的信息技术方法

六、典型内部控制设计实例

（一）采购控制程序设计

1．采购过程中的风险

2．共同防范道德风险——普通的采购程序之外

供应商大会

致供应商的公开信

向供应商公开公司的诚信规范

要求采购员签署诚信规范

建立供应商的投诉渠道

供应商回访

（二）销售中的风险和内控设计

销售政策，涵盖内容很广泛，包括内容：

定价

渠道管理

信用控制

价格补偿

市场促销

售后服务

……

2．信用政策——内容清单

信用政策的主要内容：

（1）目标

（2）客户信用状况的判定

（3）信用额度

（4）信用期限

（5）收账政策

（6）对担保的要求

（7）授权表

（8）信用调查发起时机

（三）营销业务中的舞弊行为

1．直接侵占

（1）截留物品（截留退货、截留样品奖品促销品等）

（2）截留货款

（3）截留返利、奖励

（4）虚报售后服务开销

（5）截留营销人员提成或佣金

2．串通客户

（1）夸大品质问题，压价或增加补货量

（2）与客户串通攫取公司利益

（3）与客户分摊明佣或暗佣

（4）行贿

（5）与中间商合谋欺骗终端消费者

（6）跑单

（四）大型项目的风险控制

1．项目风险的表现

不能按时完成

不能按质完成

不能按预算完成

2．项目销售指导战略

分包认证策略

分包商和供应商资源的认证

外配套预算模型的制定和单价询价

3．项目主要风险清单

（五）内部控制框架——COSO

COSO的关键概念：

1．当内部控制被“植入”经营活动中时是最有效的

2．组织中不同级别的员工都对内部控制负有责任

3．内部控制不能够提供绝对的保证

4．内部控制是有效的法人治理结构的主要因素

5．如果没有实现公司整体范围内的风险管理，就无法建立整合的内部控制系统

（六）我国的内部控制发展

1．《中央企业全面风险管理指引》

2．《企业内部控制规范》和《17项具体规范》（货币资金、采购与付款、存货、对外投资、工程项目、固定资产、销售与收款、筹资、成本费用、担保、合同、对子公司的控制、财务报告编制、信息披露、预算、人力资源政策、计算机信息系统）

（七）风险管理魔方——对风险管理的全方位理解

（八）风险管理做不到的

将风险降低到0，即使是舞弊风险。

1．风险管理与未来有关，未来本身就有不确定性。

2．风险管理仅仅起到识别战略偏差，并一定程度纠正偏差的作用，不能保证战略的实现。

以下因素可能导致风险管理失败：

（1）管理当局的判断失误

（2）培训、沟通的滞后，员工的误解或疏忽

（3）恶意串通

（4）管理当局凌驾

（5）过分依赖系统和制度

（6）风险管理受成本效益的约束