內控體系建設

作為內控管理的第一站，內控戰略規劃的重要地位在於其對以後實施內控系統建設的所有方面的影響。合理的戰略規劃可以使企業的內控管理效率大幅度提高，確保企業的治理水平迅速達到所有者和管理層的預期目標。

制定企業內控戰略規劃具體應該注意掌握以下幾個方面：

1．與企業戰略目標保持嚴格一致

企業戰略目標是制定企業所有具體業務目標的基礎，內控戰略目標也必須符合企業總體戰略目標確定的方向。當前，關於企業的戰略目標、原景、核心價值觀等的主流觀點基本上都是圍繞著如何發展成為一個有社會責任感的企業來確定的。

內控戰略目標通常可以按照企業希望達到的發展水平來確定。假如某企業的戰略目標是在一定的期限內成為本行業的領導者並希望基業常青，那麼其內控體系的戰略目標就必須為符合這一要求提供有力的支撐；既不能高於這個目標，也不能低於這個目標。惟此，才能被企業內所有利益相關者和運營管理的所有參與者所接受。

此外，內控戰略目標可以根據企業的發展狀況分階段確定。例如在某個階段達到行業先進水平；某階段達到國內同行業先進水平；某階段達到國際先進水平等。

2．明確實現目標的具體標誌

事先確定內控戰略實現的具體標誌，既可以為企業制訂年度內控工作計劃或績效考核目標提供具體的依據，也可以為日後評價本企業內控戰略目標的實現狀況提供評價依據。

例如：某企業的內控戰略目標是達到本省同行業先進水平。那麼，企業就必須對本省的同行業內控管理的基本情況有所了解。然後確定自己的評價標準或實現標誌。評價標準可以具體設置為：企業內控管理程序建設情況；內控組織系統建設情況；內控審計手段的先進和有效程度；舞弊案件的損失指標；企業的風險指標；全體員工對內控管理的理解情況等等。

3．明確內控工作理念

這是開展企業內控工作的基本準則，否則不但內控體系起不到應有的積極作用，反而會成為企業發展的掣肘之物。例如建立“寓監督於服務”之中的工作理念，就可以避免單純的監督審計容易引起抵觸的缺陷；按照內控五要素，建立全面預防風險的原則，就可以為開展內控工作提供具體的評價依據。

4．認同

內控戰略目標確定過程必須經過所有者或最高管理層的批准和確認。能夠在獲得高層批准前，先徵求下屬分、子公司管理層的意見並取得一致意見也是非常必要的。這些舉措可以為日後推行內控管理減少阻力。

內控機構設置的主要工作包括：確定機構名稱、層級、彙報對象、專業人員的具體名稱、工作崗位設置、工作內容確定、人員選拔和素質要求、工作的具體原則等。以下將主要討論組織機構的設置、內控工作的具體內容和崗位確定。

1．組織機構設置

目前中國規模較大的國有或上市公司，通常都會在監督決策層設置監事或獨立董事、董事會下的審計委員會；在運營管理層則設置內部審計部或監察部等職能部門。應該說已經建立了內控組織機構。但關鍵是這些機構存在許多缺陷，這些問題構成了當前公司治理的主要障礙之一。具體表現如下：

*具體執行機構缺失

比如，企業中通常沒有具體的執行機構為監事或獨立董事的實現監督職能提供“硬體”條件；這使得監事或獨立董事的職務常常“淪為”一種對外形象功能，在人員安排上以安排退休前的資深領導為主。審計委員會通常也處於相同的情況，其獲得信息的來源主要是董事長和總經理等高層管理者，無法真正履行其監督職能。

*內部審計部通常在工作範圍以及報告對象上處境尷尬

一般企業的審計範圍僅限於財務審計；其工作報告對象通常只是其監督對象的財務總監或總經理。筆者認為，比較理想的內控管理組織機構，應當在一定獨立性的條件下，能夠具體介入企業日常運營管理工作。這一點應當和外部審計有所區別。一些像BP這樣的國際化大公司在其業務組織機構中就使用了內控部代替內部審計部。表面看，只是名稱不同，但實際上卻有著非常大的區別。主要表現在：

A.獨立性程度不同

內部審計部通常按照審計規則要求，為保持完全的獨立性不得介入企業的日常經營活動。而內控部則可以較深入地介入企業的日常經營活動，了解更多的情況並提供管理諮詢服務，從而達到“寓監督於服務之中”的效果。

B.審計檢查範圍不同

雖然當前的內部審計部在審計範圍上也在力求突破傳統的財務審計，向運營管理審計方面發展，但畢竟受到從業人員資格和工作背景的限制，無法真正實現其對運營管理的有效監督檢查。而內控部由於在雇傭人員方面沒有局限性（非財務和審計資格的人員也可以參加內控審計檢查工作），因此，可以做到對企業的全面運營管理實行更有效的監督檢查。

C.報告對象不同

內部審計部通常只是向企業的CEO報告工作，向CEO負責。因此，許多涉及CEO本人利益的問題通常無法得到徹底解決，甚至根本無法解決。而內控部則可以在向企業CEO報告工作的同時，還能直接向審計委員會、甚至監事或獨立董事報告工作。這在一定程度上保證了審計報告的真實可靠性。

任何企業在推行某個新的管理方法前，最大的問題就是如何快速、有效地轉變人們已經習慣了的各種傳統工作方法和思路。由於採用現代企業內控管理的具體操作方法將直接影響到企業現有的權力結構，這就意味著會遇到巨大的阻力。為此，企業內控管理人員必須要對所有相關利益者進行系統的內控培訓，在系統運行之前，把阻力減到最小。培訓的內容主要有：編製培訓資料、確定培訓計劃以及實施培訓。

1．編製培訓資料

*通過各種渠道收集內控管理資料和各種案例。內控案例應當以本企業已經發生的事件為主，適當選用社會案例；

*根據本企業實際情況，篩選資料；

*使用各種演示手段，組織編排演示文本，電子版本和紙質版本；

*培訓資料應盡量使用各種案例解釋各種概念。

2.確定培訓計劃

*確定培訓對象

內控培訓對象應該包括企業董（監）事、CEO、CFO等全體高層管理人員和普通管理人員。普通管理人員中應當包括庫房保管、司磅人員、質量檢驗人員、保衛幹事等敏感崗位的操作人員。

*培訓方法

脫產專門培訓和現場在崗培訓，單獨溝通交流培訓以及工作交流培訓等多種形式。

*確定培訓的目標和具體實施的時間以及考核評價培訓效果。內控培訓應該和企業的其他培訓計劃相結合。

3．實施培訓

對於董（監）事、CEO或CFO、公司總經理等高級管理人員，通常採用單獨交流的方式介紹內控管理的要點；

對於專業內控管理人員則需要進行全面的脫產專門培訓並結合其他在崗和工作交流培訓；

對於其他普通管理人員則以短期脫產集中培訓結合現場其他在崗培訓。

在整個受訓的人群中，對高級管理人員的培訓是整個培訓的重點。鑒於財務總監在內控體系中的重要性，企業在考慮選聘財務總監時，應當儘可能選擇具有內控工作背景的財務人員。國際上的一些著名企業如GE公司，其選拔的財務總監通常是來自從事過內部控制（內部審計）工作的人員。具有從事內控（內部審計）工作背景的人員將成為未來財務總監的重要來源。

有關內控培訓方面的工作，如果企業限於自身培訓力量和其他考慮，通常可以委託其他專業管理公司的專家來協助進行。這種培訓通常限於集中的脫產培訓。但日常培訓主要還得依靠企業內部力量完成。

嚴格地說，自從企業策劃內控戰略開始，就可以看作是進入了內控作業的實施階段，這裡指的是具體實施內控作業階段。內控作業的內容主要包括：

1．制定企業內控管理程序，或者運營管理程序

內控的實質就是法制化、程序化管理。內控管理程序與傳統的企業管理程序的最大區別是以系統的方法設計業務流程並且事前就充分考慮規避各種潛在的管理風險。因此，內控部門在組織各職能部門編製內控管理程序時應當首先對所有的業務流程中存在的各種潛在的風險進行評估並且在程序設計中予以規避。這裡包括組織牽制、授權系統確定、政策規定等等。制定企業內控管理程序應當充分考慮與企業現有的質量管理體系的兼容問題。

2．評估檢查企業的授權管理系統

任何一家企業無論是否有內控管理，一定存在一套授權管理系統。但問題是這些存在的授權管理系統是否科學、清晰合理，是否存在越權和越級的潛在風險。這就需要內控專業人員對系統進行評估並提出修改調整意見。內控人員需要與公司的CEO、CFO以及人力資源部和各業務部門共同合作，對現有的崗位職責進行調整。崗位職責在內控管理中屬於一般授權管理。建立臨時特別授權管理制度。

3．潛在利益衝突調查

為保證內控管理的組織牽制原則得到有效的實施，當前的主流非家族經營管理的企業通常需要在處理日常業務中避免產生僱員與企業發生利益衝突的情況。為此，企業內控管理人員應當根據企業實際情況設計一套利益衝突調查文件並提出規避潛在利益衝突發生的具體措施。然後組織下屬企業開展全面的利益衝突調查，最後根據調查結果提出處理意見，包括替代控制措施。

4．編製年度內控審計指導，實施內控審計

無論是內部審計還是內控審計，都應當在審計前制定審計指導。編製審計指導應當依據一般內部審計準則要求結合本企業實際情況和需要編製。具體的審計項目應當按照內控五要素（內控框架）進行分類。這裡需要再次強調，內控審計和傳統的內部審計在審計範圍上不同，包括了財務之外的其他運營管理工作，如職工安全與環境保護，質量管理和生產現場管理，6S管理，6西格瑪管理、精益生產等內容，因此，在設計內控審計指導時應當和相關業務部門進行充分的合作，保證審計項目和審計資源配置的合理性。為便於對各下屬企業的內控管理進行客觀橫向比較，內控審計指導可以同時附帶建立評分系統。這樣，內控審計人員在審計檢查過程中可以提出客觀科學的評價結果。

在完成對所有下屬公司的年度審計后，內控管理人員就可以對各企業的實際情況進行量化分析比較，為分析企業的管理風險提供客觀依據。內控審計指導應當根據企業管理風險變化情況，定期進行調整更新。實施年度內控審計，通常可以要求下屬企業內控人員參加，通過交叉審計對下屬企業內控人員進行業務培訓。

5．組織風險評估

控制管理風險是內控的根本目的。因此，企業內控部應當定期對各下屬企業的管理風險進行評估。管理風險評估應當事先進行全面的規劃。包括確定風險評估的對象（各種業務程序和處理環節），風險種類的確定，風險等級的評定，評估人員的組成，評估表格的設計，評估結果分析等。風險評估是開展內控工作的基礎，也是制訂內控管理程序的重要依據。各個企業由於所處行業不同，地域不同，競爭程度不同，產品種類不同，其管理風險也有很大的不同。突出重點，抓住高風險項目，是平衡企業控制風險和投入成本的重要手段。

6．內控問題調查（ICRQ）

為保證企業內控管理得到有效執行，各企業的下屬機構除了要接受總部的內控審計和外部審計外，還應當定期或不定期舉行自我檢查。自我檢查的主體是各分、子公司總經理和各業務部門負責人。分、子公司的內控管理人員牽頭組織實施。總部內控部通常應當根據上年度審計發現的問題，結合最新企業風險變化情況等，編製企業年度內控問題調查提綱發給各分、子公司供其參考。分、子公司內控人員可以根據本企業實際情況和需要，對自查內容進行補充。企業內控問題調查表，應當根據企業管理風險變化情況和以前年度審計發現的普遍弱點進行調整。

7．舞弊案件調查

舞弊問題對企業造成的損失是造成企業效益下降甚至導致企業破產的重要原因。因此，預防舞弊風險當然也就成為企業內控管理的主要內容。舞弊問題產生的後果，通常可以用貨幣數量來反映。舞弊損失數量是企業內控管理工作績效考核的重要指標。內控人員應當定期或不定期對企業發生的舞弊案件進行調查並分析匯總舞弊發生的原因，為管理者採取預防措施提供依據。對於國內企業，特別是國有企業來說，舞弊案件通常由監察部或紀檢委負責調查。但是，對於沒有這些機構的外資企業或上市公司來說，就需要由內控部和內控人員介入調查。內控部每年應當對企業發生的舞弊情況進行匯總分析並為管理層提出相應的預防措施。

8．評價考核內控工作

評價考核企業內控人員的工作包括兩部分。首先是內控人員績效完成情況。根據每年與內控人員簽定的績效協議，對其工作進行考核評價；其次，對內控管理完成好的企業內控人員進行表彰。為保證內控人員工作的相對獨立性和權威性，內控部將對下屬分、子機構的內控人員招聘和解僱提出意見。

9．參加公司董事會會議，對下屬企業總經理、財務總監在執行內控政策和遵循授權管理方面的情況提出獎懲建議。

參加公司的重要決策會議，對重大項目實施提出管理風險控制方案。例如內控先行的概念。眾所周知，萬丈高樓平地起，無數失敗的案例表明，造成一個好項目日後失敗的眾多原因中，沒有預先建立嚴格的內控體系並按照程序規定操作是其中最重要的原因。

10.組織保險業務

購買企業保險，除了能夠彌補各種突發事件給企業造成的損失外，同時也具有預防管理風險的作用。要做好企業內控工作，除了利用內部資源外，保險業務也可以成為促進企業內控管理的有效工具。如何選擇購買保險項目，如何事先準備預防保險事故發生以及如何準備保險索賠資料等，都和企業內控管理有重要的關係。

11.培訓企業高級管理人員

內控工作的一個重要內容就是培訓企業高級管理人員，特別是財務總監。實踐表明，有財務背景的專業人員在得到內控審計培訓后，通常可以很好地勝任企業財務總監的工作。從事過一定時期的內控審計工作后，通常就有機會得到作為一名合格財務總監所需要具備的許多條件。比如良好的職業道德、敏銳的風險意識、出色的溝通技巧、較多的處理疑難問題的經驗等等。

12.內控工作報告

企業內控部工作報告對象將包括董（監）事、CEO和總經理等人。內控工作報告有定期和非定期兩種。定期報告主要是定期分析企業總體內控狀況，當前存在的高風險問題，各種審計結果，以及針對薄弱問題提出的改進意見和建議。好的內控人員可以成為企業董事長、CEO的安全事務助理。

由於打破了內部審計師的工作範圍，可以列入實施內控作業的項目還可以增加。這裡特別要提出的是“內控服務”的觀念。我們通常所說的“寓監督於服務之中”就是為了體現這一觀念。它從本質上改變了傳統的內部審計觀念。從實踐經驗來看，如果要想使企業的內控管理體系真正發揮作用，就必須拋棄單純監督審計的觀念，代之以監督審計與服務並重。內控服務的內容主要應當以提供管理諮詢意見和建議為主。

根據內控五要素的解釋，檢查和評估是內控框架體系的一部分。這裡的檢查評估除了日常對企業各個業務操作的檢查評估外，也包括對正在實施的內控系統的檢查評估。內控部和外部審計師（也包括將來社會上成立的獨立的內控體系評估機構）將構成檢查評估的主體。進入本站的主要工作內容有：

1．內部自我檢查評估

由集團內控部負責，對企業已經實施的各項內控工作進行全面的檢查和評估。從戰略規劃和年度內控工作計劃開始，到組織機構設置和運營情況，再到培訓工作和實施內控作業，進行全方位的檢查評估，然後提出改進措施。2．外部審計師的評估

根據《公司法》規定，所有企業都應當通過外部審計機構的年度審計。外部審計師在實施審計時，為規避其審計風險，通常要對被審計對象的內控體系進行檢查評估。因此，獲得外部審計師的評價意見和建議，將從另外的角度為企業改進內控管理體系提供重要的依據。

3．企業為獲得更為專業的內控評價意見，也可以邀請具有一定資格的其他獨立第三方對企業進行檢查評估。

在工作中，您是否遇到過以下情形：

當財務部門審批銷售部門的差旅費或交際應酬費時，總聽到銷售人員在抱怨：審的也太嚴了吧，我們在前面衝鋒陷陣，你們反而在後邊拉我們後腿。

在對供應商進行招投標的過程中，採購部門認為處處按照採購部門的規章制度辦事，怎麼到了法務部或管理部，選中的供應商就遲遲批不下來呢？

公司管理層天天說風險，為什麼員工對風險卻沒什麼概念？是領導在危言聳聽，還是風險管理和控制就是領導的事兒。

制度整合了，流程也更新了，但在執行的過程中，反而覺得比以前更麻煩了，花的時間更多了。

財務總監及其他相關的高級管理人員

負責內部控制和內部審計部門的經理、主管和其他管理人員

財務與其他職能部門的經理和管理人員

掌握先進的內部控制、風險管理、職業舞弊及內部審計等理論

掌握快速診斷企業內部控制缺陷的方法，評價內部控制的效果並進行改進

提升管理層對內部控制自我評估的能力，建立有效的內部控制環境

明確如何結合企業自身特點、建立適合企業自身情況的內部控制系統

通過企業運作中的典型實例幫助學員明確主要業務活動中的控制要點、控制標準和控制方法

缺乏內部控制的企業常見原因分析

對內部控制相關理論的全面介紹

控制環境

內部控制的實質——風險管理

內部控制活動

內部審計簡介

職業舞弊

內控的建立和執行

薩奧法案及公司治理

什麼是真正的“內部”？什麼是真正的“控制”？

企業發展的基石——內控體系和企業目標

內部人控制的陷阱

內控的局限性——成本與效益

角色與職責

可為與不可為

內控的基礎——控制環境

權責分配與內部環境

內部審計與內部環境

人力資源政策與內部壞境

企業文化與內部環境

案例：三鹿事件

發現千里之堤的蟻穴

應對變化

評估

案例：諾基亞與西門子之爭

量體裁衣——內控的設置

業務活動內部控制設計

它山之石

控制活動的類型

防範於未然

控制活動與風險評估相結合

IT控制

具體問題具體分析

評估

案例：商業巨星的隕落——再論安然事件

信息——也許你從未留意

溝通——一定要知道的內容

案例：部門間的資源共享

持續性監督活動

角色與定位

獨立評估

報告缺陷

案例：訂報單引出一起私分國有資產案

由於內控體系建設這一課題比較宏觀，對研究人員的學術功底和實戰技能要求非常高，所以在國內很少有研究機構和培訓機構涉足這一領域。但少並不代表沒有，國內第一培訓機構——中商國際管理研究院就是這一領域的專業研究和培訓機構，其在內控體系建設，內控制度建設，內控機制建設等方面都有建樹，在市場上頗有知名度和影響力，南方建材，深圳發展銀行，廣核電等企業都曾引進它的研究成果，也取得了很好的成效收益。

1.把制度建設理解成重新制定規章制度。進行制度梳理的目的是讓企業在現有制度的基礎上對照市場現狀及未來走勢加以完善，而不是推倒重來；另外在梳理流程的過程中也要對風險進行識別和排序，將風險分成不同等級，再制定相應的應對措施，不可一擁而上，否則只能適得其反。2.將內控制度建設當成花瓶式的“擺設”。企業內部的內控制度指引下發了，學習活動也召開了，然後，就此過後，內部控制一切照舊。實在是表面光鮮內里糟。要避免這些問題，企業就要變被動內控為主動內控。要能看到內控產生的長遠效益，自覺地做好內控，最好的方法是領導人帶頭做起，重視執行監督稽查獎懲機制，以制治人。

3.追求完美。盲目追求個別和局部的最優可能會導致整體或系統變壞。對於內控，要追求一種對整體或系統而言的穩定持續控制，這才是整體和系統的勝利。

一個企業在生存、發展的過程中，必定會面臨各種各樣的風險，如決策管理風險、政策法規風險、制度缺陷風險、流動性風險、市場風險、信用風險和操作風險等。在風險面前，企業並不是無能為力的，可以通過建立內控體系來防範和化解風險。內部控制體系的建設一直是國內外一些管理先驅公司的重點內容，對於集團全方位強化基礎管理和提升管理水平都有積極的意義。如何從傳統的複核、牽制等控制手段到以財務會計活動為中心的會計控制，再經內控整體框架理念而至目前的企業全面風險管理，都是現今集團企業最為關注的問題。

2002年美國因為安然事件出台了《薩班斯-奧克斯利法案》，而中國亦有五部委最新發布的《企業內部控制基本規範》及其配套指引，顯然企業只有建立了行之有效的內部控制體系，才能獲得穩定且持續的發展。在了解企業全面風險管理體系框架和構建方法的基礎上，通過大量生動案例，來了解集團風險及內控管理體系的思想、流程、方法、工具和實施技能，識別潛在的風險，並針對潛在的風險研究對策。

風險管理首先必須基於管控

集團企業發展面臨較多風險

關於集團型公司及其風險

集團管控體系的建立

集團管控的運作

集團管控的誤區

集團管控與風險管控

如何正確理解全面風險管理體系

多元化集團必須基於戰略和戰略性運營層面進行管控

專業化企業通過核心能力和協作機制來控制風險

全面風險管理體系與全面風險管控體系

風險管理體系和風險管控體系

全面風險管理體系的五大模塊是一個經營循環

全面風險管理的五大步驟

寶鋼集團風險管理實踐

內外部風險識別

外部因素包括經濟、商業、自然環境、政治、社會和技術因素等

內部因素包括企業的基礎設施、人員、生產過程和技術等事項。

事項識別

潛在的事項

企業事項識別的方法