1、企業內部控制與風險管理研究-以萬科為例目錄 HYPERLINK /admin/article/article_add.php l _Toc299692185 第一章概述. 5 HYPERLINK /admin/article/article_add.php l _Toc299692186 第一節內部控制與風險管理理論的形成和發展. 5 HYPERLINK /admin/article/article_add.php l _Toc299692187 一、內部控制理論的形成和發展. 5 HYPERLINK /admin/article/article_add.php l _Toc299692188

2、 二、風險管理理論的形成和發展. 6 HYPERLINK /admin/article/article_add.php l _Toc299692189 第二節內部控制與風險管理的定義. 7 HYPERLINK /admin/article/article_add.php l _Toc299692190 一、關于內部控制相對權威的定義. 7 HYPERLINK /admin/article/article_add.php l _Toc299692191 二、關于風險管理相對權威的定義. 8 HYPERLINK /admin/article/article_add.php l _Toc299692

3、192 三、內部控制各組成要素的定義. 8 HYPERLINK /admin/article/article_add.php l _Toc299692193 四、風險管理各組成要素的定義. 9 HYPERLINK /admin/article/article_add.php l _Toc299692194 第二章內部控制與風險管理關系的理論研討. 10 HYPERLINK /admin/article/article_add.php l _Toc299692195 第一節內部控制的與風險管理的聯系. 10 HYPERLINK /admin/article/article_add.php l _

4、Toc299692196 一、COSO框架和國內規范中內部控制和風險管理的聯系. 10 HYPERLINK /admin/article/article_add.php l _Toc299692197 二、COSO框架中內部控制與風險管理的聯系. 10 HYPERLINK /admin/article/article_add.php l _Toc299692198 第二節內部控制與風險管理的區別. 11 HYPERLINK /admin/article/article_add.php l _Toc299692199 一、內部控制與風險管理提出主體和動機不同. 11 HYPERLINK /adm

5、in/article/article_add.php l _Toc299692200 二、內部控制體系與風險管理體系建立的順序不同. 11 HYPERLINK /admin/article/article_add.php l _Toc299692201 三、內部控制體系與風險管理體系適應面和時效性不同. 12 HYPERLINK /admin/article/article_add.php l _Toc299692202 本章小結. 12 HYPERLINK /admin/article/article_add.php l _Toc299692203 第三章內部控制與風險管理關系的實證研討.

6、13 HYPERLINK /admin/article/article_add.php l _Toc299692204 第一節內部控制實踐（以萬科為例）. 13 HYPERLINK /admin/article/article_add.php l _Toc299692205 一、國內監管部門對于企業內部控制的要求. 13 HYPERLINK /admin/article/article_add.php l _Toc299692206 二、萬科施行內部控制相關工作介紹. 13 HYPERLINK /admin/article/article_add.php l _Toc299692207 三、萬

7、科內部控制評價報告. 15 HYPERLINK /admin/article/article_add.php l _Toc299692208 第二節風險管理實踐（參考萬科經驗）. 23 HYPERLINK /admin/article/article_add.php l _Toc299692209 一、風險管理的必要性. 23 HYPERLINK /admin/article/article_add.php l _Toc299692210 二、風險管理體系和籌建工作策劃. 24 HYPERLINK /admin/article/article_add.php l _Toc299692211 三

8、、風險管理體系的建立部分工作介紹. 25 HYPERLINK /admin/article/article_add.php l _Toc299692212 四、風險管理體系. 36 HYPERLINK /admin/article/article_add.php l _Toc299692213 五、風險管理體系的施行、監督和持續改進. 37 HYPERLINK /admin/article/article_add.php l _Toc299692214 本章小結. 37 HYPERLINK /admin/article/article_add.php l _Toc299692215 第四章總結

9、. 39引言2006年6月6日，國務院國有資產監督管理委員會發布關于印發中央企業全面風險管理指引的通知，要求各中央企業實際執行。通知發布以后，除了中央企業根據此風險管理指引建立和施行風險管理制度外，許多立志做大做強、希望持續、健康、穩定發展的企業也積極借鑒此指引，學習風險管理知識，建立并施行風險管理制度。2008年5月22日，財政部、證監會、審計署、銀監會、保監會聯合發布關于印發企業內部控制基本規范的通知，要求自2009年7月1日起在上市公司范圍內施行企業內部控制基本規范，并鼓勵非上市的大中型企業執行。要求上市公司對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期

10、貨業務資格的 HYPERLINK /view/134754.htm t _blank 會計師事務所對內部控制的有效性進行審計。這是國內第一次對企業，特別是上市公司內部控制提出明確要求。2010年4月15日，財政部、證監會、審計署、銀監會、保監會聯合發布關于印發企業內部控制配套指引的通知，要求自2011年1月1日起在境內外同時上市的公司施行企業內部控制配套指引，自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行；在此基礎上，擇機在中小板和創業板上市公司施行。鼓勵非上市大中型企業提前執行。請各上市公司及相關非上市大中型企業切實做好執行前的各項準備工作。執行企業內部控制基本規范及

11、企業內部控制配套指引的上市公司和非上市大中型企業，應當對內部控制的有效性進行自我評價，披露年度自我評價報告，同時應當聘請會計師事務所對財務報告內部控制的有效性進行審計并出具審計報告。上市公司聘請的會計師事務所應當具有證券、期貨業務資格；非上市大中型企業聘請的會計師事務所也可以是不具有證券、期貨業務資格的大中型會計師事務所。這份通知對上市公司和非上市大中型企業施行內部控制提出了強制性要求。自2008年五部委對企業施行內部控制提出明確甚至強制性要求以來，國內企業普遍表現出疑惑：2006年國資委發布的中央企業全面風險管理指引中對內部控制系統的定義是：本指引所稱內部控制系統，指圍繞風險管理策略目標，針

12、對企業戰略、規劃、產品研發、投融資、市場運營、財務、內部審計、法律事務、人力資源、采購、加工制造、銷售、物流、質量、安全生產、環境保護等各項業務管理及其重要業務流程，通過執行風險管理基本流程，制定并執行的規章制度、程序和措施。同時明確：風險管理體系包括風險管理策略、風險理財策略、風險管理的組織職能體系、風險管理信息系統和內部控制系統。國資委的風險管理指引將內部控制系統作為風險管理體系的一個組成部分。然而，2008年五部委發布的企業內部控制基本規范對內部控制的定義是：內部控制是由企業董事會、監事會、經理層和全體員工施行的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產

13、安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。內部控制有五個方面的組成要素：控制環境、風險評估、控制活動、信息與溝通、監控。其中控制環境是基礎、風險評估是依據、控制活動是手段、信息與溝通是載體、監控是保證。這個定義不僅超出了國資委對內部控制系統的定義范圍，而且與國資委所稱的風險管理體系似是而非。內部控制究竟該怎么理解、如果施行？內部控制和風險管理有何聯系和區別，企業該如何解決原有風險管理體系和強制性內部控制要求的問題？兩者是統一的還是矛盾的？是否必須將原有風險管理體系推翻后重新建立內部控制體系？企業界掀起了一股學習內部控制的熱潮，學術界不斷推出內部控制研究理論，社

14、會上各種類型的內部控制培訓班遍地生花、層出不窮筆者這幾年一直在一家國有房地產企業負責風險管理工作，并有幸參加了幾次國內比較高級的內部控制與風險管理培訓、研討會議。通過這些培訓和研討，本人較廣泛的了解到國內企業（特別是房地產企業）施行風險管理的實踐經驗和現實狀況，也了解到其他企業對于內部控制普遍存在疑惑的現實問題，而且，這些疑惑并沒有通過培訓和研討得到有效解決。內部控制與風險管理培訓班一般將內部控制和風險管理由不同講師分別講解，對于二者的關系，則不予涉及或含糊表達。筆者這兩年也經常關注相關學術文章，理論界對內部控制和風險管理的關系至今也沒有一個權威的結論。然而，企業的風險管理工作必須推進，五部委

15、提出的內部控制要求必須執行。在這樣的情況下，筆者迫于工作壓力，不得不從解決現實問題的角度來研究：內部控制的理論和實踐？風險管理的理論和實踐？內部控制與風險管理的區別和聯系？企業如何能夠持續施行風險管理又同時滿足五部委企業內部控制基本規范及企業內部控制配套指引的要求？備注：內部控制從字面上存在多種解釋，如：內部主體施行的控制方法；內部主體建立的控制體系；內部主體主動施行的控制方法；內部主體被動施行的控制方法；內部主體主動建立的控制體系；內部主體被動建立的控制體系；內部局部施行的控制方法；內部全面施行的控制方法；內部局部建立的控制體系；內部全面建立的控制體系比較國資委和五部委對內部控制的定義可知，

16、國資委將內部控制定義為內部局部建立的控制體系，五部委將內部控制定義為內部全面建立的控制體系。也許，這么多可能解釋正是學術界對內部控制研究不清的根源，也是企業界難于操作的重要原因。本文對內部控制的研究不可能面面俱到，特以五部委企業內部控制基本規范及企業內部控制配套指引的所稱的內部控制作為研究對象，并將其與風險管理進行對比研究。第一章 概述第一節內部控制與風險管理理論的形成和發展一、內部控制理論的形成和發展18世紀的產業革命掀起了 HYPERLINK /Economic/ 經濟發展高潮，出現了公司制這種企業組織形式。19世紀初，經濟的發展使公司規模不斷擴大，所有權和經營權分離，所有者認為管理者不可

17、能面面俱到，于是要求在企業內部建立“內部牽制制度”。二戰后，內部牽制制度逐漸演變成較為嚴密的內部控制系統。1949年，美國會計師協會的審計程序委員會在內部控制：一種協調制度要素及其對管理當局和獨立注冊會計師的重要性的報告中，對內部控制首次作了權威性定義：“內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施。這些方法和措施都用于保護企業的財產，檢查會計信息的準確性，提高經營效率，推動企業堅持執行既定的管理政策?！?9世紀80年代以來，內部控制的研究進一步向具體內容深化。1992年COSO HYPERLINK /admin/article/article_add.php l _ft

18、n1 o 1內部控制整合框架將內部控制定義為，“受董事會、管理層及其他人員影響的，為達到經營活動的效率和效果、財務報告的真實可靠性、遵循相關 HYPERLINK /Law/ 法律法規等目標提供合理保證而設計的過程?！彼ㄈ齻€目標：與運營有關的目標，即確保企業的經營效率和效果；與財務報告有關的目標，即確保財務報告真實可靠；與法律法規的遵循有關的目標，即確保企業經營過程中遵守有關的法律法規。它由五個方面的要素組成：控制環境、風險評估、控制活動、信息與溝通、監控。其中控制環境是基礎、風險評估是依據、控制活動是手段、信息與溝通是載體、監控是保證。2000年安然、世通事件讓政府和公眾進一步認識到公司內

19、部控制的重要性。2002年美國國會通過薩班斯法案，提出披露內部控制報告的強制要求。SEC HYPERLINK /admin/article/article_add.php l _ftn2 o 2亦相應地于2003年8月發布規則，具體規定了與財務報告相關內部控制工作的內容和格式。我國1997年開始施行的獨立審計具體準則第九號-內部控制與審計風險中對內部控制的定義是：“內部控制是被審計單位為了保證業務活動的有效進行，保護資產的安全與完整，防止、發現、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和施行的政策與程序?！?008年6月28日發布，自2009年7月1日起施行的，由財政部、證監會、審

20、計署、銀監會、保監會聯合制定的企業內部控制基本規范，稱內部控制是由企業董事會、監事會、經理層和全體員工施行的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。二、風險管理理論的形成和發展風險管理起源于 HYPERLINK /view/2398.htm t _blank 美國。19世紀30年代，由于受到19291933年的世界性 HYPERLINK /view/20838.htm t _blank 經濟危機的影響，美國約有40左右的 HYPERLINK /view/20233.htm t _bl

21、ank 銀行和企業破產，經濟倒退了約20年。為應對經營危機，許多大中型企業都在內部設立了保險管理部門，負責安排企業的各種保險項目，當時的風險管理主要依賴保險手段。1938年以后，美國企業風險管理開始采用科學的方法，并逐步積累豐富的經驗。上個世紀50年代，風險管理發展成為一門學科，風險管理一詞才正式形成。上世紀70年代以后逐漸掀起全球性的風險管理運動，隨著企業面臨的風險的復雜多樣性和風險 HYPERLINK /view/514167.htm t _blank 費用的增加， HYPERLINK /view/64741.htm t _blank 法國從美國引進了風險管理并在法國國內傳播開來。與此同時

22、， HYPERLINK /view/1554.htm t _blank 日本也開始進行 HYPERLINK /view/3586802.htm t _blank 風險管理研究。近30年來，美國、 HYPERLINK /view/3565.htm t _blank 英國、法國、 HYPERLINK /view/3762.htm t _blank 德國、日本等 HYPERLINK /view/8426.htm t _blank 國家先后建立起全國性和地區性的風險管理協會。1983年在美國召開的風險和保險管理協會年會上，世界各國專家學者云集 HYPERLINK /view/7708.htm t _b

23、lank 紐約，共同討論并通過了“101條風險管理準則”，它標志著風險管理的發展已進入了一個新的發展階段。1986年，由 HYPERLINK /view/3622.htm t _blank 歐洲11個國家共同成立的“歐洲風險研究會”將風險研究擴大到國際交流范圍。1986年10月，風險管理國際學術討論會在 HYPERLINK /view/3593.htm t _blank 新加坡召開，風險管理已經由環 HYPERLINK /view/16056.htm t _blank 大西洋地區向亞洲 HYPERLINK /view/1559454.htm t _blank 太平洋地區發展。2004年的COS

24、O風險管理整合框架將風險管理定義為，“由企業的董事會、管理層以及其他人員共同施行的，應用于戰略制定有企業各個層次的活動，旨在識別影響企業的各種潛在事件，并按照企業的風險偏好管理風險，為企業目標的實現提供合理保證的過程。”風險管理的目標有四個：報告類目標、經營類目標、遵循性目標以及戰略目標。風險管理的組成要素有八個：內部環境、目的設定、事件識別、風險評估、風險對策、控制活動、信息與溝通和監控。中國對于風險管理的研究開始于上世紀80年代，一些學者將風險管理和安全系統工程理論引入中國，在少數企業試用中感覺比較滿意。2006年6月6日，國務院國有資產監督管理委員會發布關于印發中央企業全面風險管理指引的

25、通知將風險管理定義為：企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。目前，中國大部分企業缺乏對風險管理的認識，也沒有建立專門的風險管理機構。作為一門學科， HYPERLINK /view/1027674.htm t _blank 風險管理學在中國仍舊處于起步階段。第二節內部控制與風險管理的定義一、關于內部控制相對權威的定義目前，國際上關于內部控制相對權威的定義是1992

26、年COSO內部控制整合框架對于內部控制的定義：內部控制是受董事會、管理層及其他人員影響的，為達到經營活動的效率和效果、財務報告的真實可靠性、遵循相關 HYPERLINK /Law/ 法律法規等目標提供合理保證而設計的過程。國內關于內部控制相對權威的定義是五部委聯合制定并發布的企業內部控制基本規范中對于內部控制的定義：內部控制是由企業董事會、監事會、經理層和全體員工施行的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。內部控制有五個方面的組成要素：控制環境、風險評估、控制活動、信息與溝通、監控

27、。其中控制環境是基礎、風險評估是依據、控制活動是手段、信息與溝通是載體、監控是保證。二、關于風險管理相對權威的定義目前，國際上關于風險管理相對權威的定義是2004年的COSO風險管理整合框架對于風險管理的定義：風險管理是由企業的董事會、管理層以及其他人員共同施行的，應用于戰略制定有企業各個層次的活動，旨在識別影響企業的各種潛在事件，并按照企業的風險偏好管理風險，為企業目標的實現提供合理保證的過程。國內關于風險管理相對權威的定義是2006年6月6日，國務院國有資產監督管理委員會發布關于印發中央企業全面風險管理指引的通知中對于風險管理的定義：風險管理是企業圍繞總體經營目標，通過在企業管理的各個環節

28、和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。風險管理的目標有四個：報告類目標、經營類目標、遵循性目標以及戰略目標。風險管理的組成要素有八個：內部環境、目的設定、事件識別、風險評估、風險對策、控制活動、信息與溝通和監控。三、內部控制各組成要素的定義1 .控制環境控制環境提供企業紀律與架構，塑造企業文化，并影響企業員工的控制意識，是所有其它內部控制組成要素的基礎。控制環境的因素具體包括：誠信的原則和道德價值觀、評定員

29、工的能力、董事會和審計委員會、管理哲學和經營風格、組織結構、責任的分配與授權、人力資源政策及實務。2.風險評估每個企業都面臨來自內部和外部的不同風險，這些風險都必須加以評估。評估風險的先決條件，是制定目標。風險評估就是分析和辨認實現所定目標可能發生的風險。具體包括：目標、風險、環境變化后的管理等等。3.控制活動企業管理階層辯識風險，繼之應針對這種風險發出必要的指令?？刂苹顒?，是確保管理階層的指令得以執行的政策及程序，如核準、授權、驗證、調節、復核營業績效、保障資產安全及職務分工等?？刂苹顒釉谄髽I內的各個階層和職能之間都會出現，這主要包括：高層經理人員對企業績效進行分析、直接部門管理、對信息處理

30、的控制、實體控制、績效指標的比較、分工。4.信息與溝通企業在其經營過程中，需按某種形式辨識、取得確切的信息，并進行溝通，以使員工能夠履行其責任。信息系統不僅處理企業內部所產生的信息，同時也處理與外部的事項、活動及環境等有關的信息。企業所有員工必須從最高管理階層清楚地獲取承擔控制責任的信息，而且必須有向上級部門溝通重要信息的方法，并對外界顧客、供應商、政府主管機關和股東等做有效的溝通。主要包括：信息系統、溝通。5.監控內部控制系統需要被監控。監控是由適當的人員，在適當及時的基礎下，評估控制的設計和運作情況的過程。監控活動由持續監控、個別評估所組成，其可確保企業內部控制能持續有效的運作。具體包括：

31、持續的監控活動、個別評估、報告缺陷。四、風險管理各組成要素的定義1、內部環境內部環境包含組織的基調，它為主體內的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀以及他們所處的經營環境。2、目標設定必須先有目標，管理當局才能識別影響目標實現的潛在事項。企業風險管理確保管理當局采取適當的程序去設定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。3、事項識別必須識別影響主體目標實現的內部和外部事項，區分風險和機會。機會應被反饋到管理當局的戰略或目標制訂過程中。4、風險評估通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據。風

32、險評估應立足于固有風險和剩余風險。5、風險應對管理當局選擇風險應對、回避、承受、降低或者分擔風險，采取一系列行動以便把風險控制在主體的風險容限和風險容量以內。6、控制活動制訂和執行政策與程序以幫助確保風險應對得以有效實施。7、信息與溝通確保有關員工履行其職責的信息得以識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。8、監控對企業風險管理進行全面監控，必要時加以修正。監控可以通過持續的管理活動、個別評價或者兩者結合來完成。第二章內部控制與風險管理關系的理論研討第一節 內部控制的與風險管理的聯系一、COSO框架和國內規范中內部控制和風險管理的聯系總體上來說，國內關

33、于內部控制和全面風險管理的內容基本參照或遵從了COSO委員會內部控制管理框架和全面風險管理框架，但結合國內的實際情況和一些前沿的研究成果，國內對于內部控制和全面風險管理在各自領域都有不同程度的調整、拓展和延伸。1、目標緯度：財政部關于內部控制的定義相對COSO委員會對內部控制定義在實現目標上有所拓展，增加了企業戰略目標和資產的安全完整目標。而在國資委全面風險管理的實現目標增加了“確保企業建立針對各項重大風險發生后的危機處理計劃，保護企業不因災害性風險或人為失誤而遭受重大損失。”另外，其他四個目標也與COSO全面風險管理四個目標在表述上有所差異，使之更適應我國企業經營管理表述習慣或者更具體而易于

34、理解。從這個角度來說，特別是內部控制實現目標的拓展使得其與全面風險管理實現目標差異不大。2、要素緯度：財政部內部控制通知形式上借鑒了COSO 報告5要素框架，同時在內容上體現了風險管理8要素框架的實質；國資委全面風險管理指引中則沒有明確指出是5要素還是8要素，但通過風險管理基本流程將全面風險管理的一些要素融合到流程中，從實質來說，也體現的是8要素的COSO全面風險管理框架。二、COSO框架中內部控制與風險管理的聯系內部控制與風險管理都是由“企業董事會、管理層以及其他人員共同施行的”，強調了全員參與的觀點，指出各方在內部控制或風險管理中都有相應的角色與職責。內部控制與風險管理都明確是一個“過程”

35、，不是某種靜態的東西。其本身并不是一個結果，而是實現結果的一種方式。企業內部控制與風險管理都是滲透于企業各項活動中的一系列行動。這些行動普遍存在于管理者對企業的日常管理中，是企業日常管理所固有的。內部控制與風險管理都是為企業目標的實現提供合理的保證。設計合理、運行有效的內部控制與風險管理能夠向企業的管理者和董事會在企業各目標的實現上提供合理的保證。風險管理的目標有四類，其中三類與內部控制相重合，即報告目標、經營目標和遵循性目標。但報告目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內對外發布的非財務類報告準確可靠。另外，風險管理增加了戰略目標，即與企業的遠景或使命相關的高層次目標。這意味

36、著風險管理不僅僅是確保經營的效率與效果，而且介入了企業戰略（包括經營目標）制定過程。風險管理與內部控制的組成要素有五個方面是重合的，即（控制或內部）環境、風險評估、控制活動、信息與溝通、監督。這些重合是由它們目標的多數重合及實現機制相似決定的。風險管理增加了目標設定、事件識別和風險應對三個要素。在重合的要素中，內涵也有所擴展，例如內部控制環境包括誠實正直品格及道德價值觀、員工素質與能力、董事會與審計委員會、管理 HYPERLINK /zhexue/ 哲學與經營風格、組織結構、權利與責任的分配、人力資源政策和實踐等七個方面。風險管理的“內部環境”除包括上述七個方面外，還包括風險管理哲學、風險偏好

37、和風險文化三個新內容。在風險評估要素中，風險管理要求考慮內在風險與剩余風險，以期望值、最壞情形值或概率分布度量風險，考慮時間偏好以及風險之間的關聯作用。在信息與溝通方面，風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理，規定了信息的深度與及時性等。第二節內部控制與風險管理的區別一、內部控制與風險管理提出主體和動機不同風險管理是企業自我驅動，主要是企業為保障目標實現而自覺建立和施行的風險管理體系。內部控制從字面上是內部主體建立和施行的控制體系或者在內部環境內建立和施行的控制體系，可以理解將其理解為與風險管理相同的概念。但是，企業根據外部監管要求建立和施行的內部控制，是外部所有者和監

38、管者為保障公眾權益而要求“內部主體”必須在“內部環境”建立和施行的控制體系。這樣的內部控制就是迫于外部監管要求而施行的控制，與風險管理的提出主體不同，建立和施行管理體系的動機也不相同。二、內部控制體系與風險管理體系建立的順序不同內部控制規范主要以財務報告為起點，具體要求由點及面逐漸擴展。內部控制側重于會計控制和審計活動等，一般局限于財務相關部門，特點是要求較低、范圍較小，涉及部門較少，并沒有滲透或應用于企業管理過程和整個經營系統，因此，有時看上去風險管理與內部控制是相互獨立的兩件事。風險管理制度以對業務流程的分析為基礎，從線及面逐漸擴展，并強調關鍵節點控制。風險管理側重業務開展和市場交易層面，

39、典型的風險管理關注特定業務中與戰略選擇或經營決策相關的風險與收益的比較，它貫穿于企業管理過程的各個方面。三、內部控制體系與風險管理體系適應面和時效性不同內部控制規范條款精煉，且較長時期保持內容固定，可普遍適用于各種業務類型的企業。風險管理制度根據不同企業、不同業務類型及不同目標制定，一旦業務發生變化或相關方發生變化，就應該進行適應性調整，所以，相對嚴格按照外部規范建立起來的內部控制體系，企業在業務分析基礎上建立的風險管理體系適用面較窄、適應期較短。本章小結通過本章的研討可見，內部控制是因監管要求而提出并逐漸細化，風險管理是根據經營需要而產生并逐步提升。內部控制和風險管理的目標和組成要素基本相同

40、，因此，兩者存在走向統一的理論基礎。通俗而形象的說，風險管理就像一個人的自我修煉，追求目標是盡善盡美，修煉方法是不斷自我反省審視和批評檢討，而且審視的范圍隨著修煉程度不斷深入和廣泛。內部控制基本規范就像企業公民道德標準，對于修為不足的無德之人，道德標準也許高于其行為表現，對于修為高深的有德之人，道德標準也許遠遠低于其行為表現。內部控制和風險管理是管理體系相輔相存的兩個方面，只是內部控制側重于所有者視角和財務視角，風險管理側重于經營者視角和業務視角。對于立志做大做強，追求制度化、規范化、標準化管理的企業，風險管理與內部控制異曲同工，通過適當的完善，其自覺建立的風險管理體系就可以滿足內部控制基本規

41、范的要求，內部控制的具體要求又可以促進其進一步提升風險管理水平。第三章內部控制與風險管理關系的實證研討第一節內部控制實踐（以萬科為例）一、國內監管部門對于企業內部控制的要求2008年5月22日，財政部、證監會、審計署、銀監會、保監會聯合發布關于印發企業內部控制基本規范的通知，要求自2009年7月1日起在上市公司范圍內施行企業內部控制基本規范，并鼓勵非上市的大中型企業執行。要求上市公司對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的 HYPERLINK /view/134754.htm t _blank 會計師事務所對內部控制的有效性進行審計。這是國內

42、第一次對企業，特別是上市公司內部控制提出明確要求。2010年4月15日，財政部、證監會、審計署、銀監會、保監會聯合發布關于印發企業內部控制配套指引的通知，要求自2011年1月1日起在境內外同時上市的公司施行企業內部控制配套指引，自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行；在此基礎上，擇機在中小板和創業板上市公司施行。鼓勵非上市大中型企業提前執行。請各上市公司及相關非上市大中型企業切實做好執行前的各項準備工作。執行企業內部控制基本規范及企業內部控制配套指引的上市公司和非上市大中型企業，應當對內部控制的有效性進行自我評價，披露年度自我評價報告，同時應當聘請會計師事務所對

43、財務報告內部控制的有效性進行審計并出具審計報告。上市公司聘請的會計師事務所應當具有證券、期貨業務資格；非上市大中型企業聘請的會計師事務所也可以是不具有證券、期貨業務資格的大中型會計師事務所。這份通知對上市公司和非上市大中型企業施行內部控制提出了強制性要求。二、萬科施行內部控制相關工作介紹2005年年度報告中，萬科企業股份有限公司（以下簡稱萬科）的致股東書中明確將建立與業務快速發展相匹配的風險管理體系作為未來十年的重點目標之一。并說明其風險管理主要包括三方面的工作：第一是加強對外部環境變化趨勢的研究和把握，做到及時應變；第二是秉持“現金為王”原則，完善現金流管理體系；第三是強化職員職務行為準則宣

44、導，完善內部監控機制。萬科在總部設立了風險管理部門，負責在全公司內部開展例行財務審計和離任審計、對制度和流程的執行情況進行審查監督，并為經營管理和業務開展提供法律和政策支持等。2006年年度報中，萬科在其公司治理情況中說明為了加強內部風險控制，萬科董事會 2004 年12 月批準了公司內部控制制度，公司逐步形成了完整的內部控制體系。2006年為了有效地挖掘和利用內部資源，推動風險管理進一步深入，公司主動邀請公司核數師以外的人員進行審計，并形成相關制度，強化風險控制意識。2007年年度報告中，萬科以深圳證券交易所發布深圳證券交易所上市公司內部控制指引為契機，對公司的業務流程進行梳理并組織總部及子

45、公司相關部門和人員進行了必要的檢查與評價。并在公司治理結構中增加了內部控制自我評價報告?；诖四繕耍f科制定了內部控制體系建設工作程序：成立內控項目聯合工作組，總部和各子公司分別成立內控專項小組，內控項目聯合工作組負責公司整體內控建設工作的計劃、施行，總部和各子公司內控專項小組負責本公司內控建設的具體工作。內控項目聯合工作組和總部內控專項小組在對公司業務控制活動進行風險評估的基礎上，確定 2007 年度內控建設的范圍及業務流程，并就內控體系設計與測試制定出詳細的施行計劃。內控項目聯合工作組采取先試點后推廣的模式開展公司的內控建設工作。首先選取總部和部分子公司進行試點，通過訪談、實地考察等方式，

46、了解其內控現狀，并據此設計相應內控流程的標準模板（即內控手冊）。隨后，采用集中封閉辦公模式，對總部及大范圍子公司內控專項小組成員進行培訓和推廣，由其以標準模板為基礎，對照控制目標，完成各自公司內控手冊的本地化設計工作，并根據確定的本地化內控手冊對各自公司存在的內控缺陷情況進行梳理和整改。 2007 年下半年，萬科對總部及大范圍子公司組織了兩輪內控符合性測試，同時委托外部審計師進行內控審計。內控項目聯合工作組根據內控測試以及內控審計結果，分析現有控制活動符合性的差異情況，并與各公司制定了詳細的改善計劃并監督施行。2008 年度，萬科以財政部等五部委聯合發布的企業內部控制基本規范為參考，對公司的內

47、控體系進行了梳理及優化，并組織總部及各控股公司對內控設計及執行情況進行了系統的自我評價。2009 年度，萬科參照財政部等五部委聯合發布的企業內部控制基本規范及深交所上市公司內部控制指引等相關規定，堅持以風險導向為原則，對公司的內控體系進行持續的改進及優化，以適應不斷變化的外部環境及內部管理的要求。萬科建立了覆蓋總部、各控股公司及各業務部門的三級自我評估體系，組織總部及各控股公司對內控設計及執行情況進行了系統的自我評價。并通過風險檢查，內部審計等對公司內部控制的設計及運行的總體情況進行了獨立評價。2010年度，萬科除了參照財政部等五部委聯合發布的企業內部控制基本規范及深交所上市公司內部控制指引等

48、相關規定，堅持以風險導向為原則，對公司的內控體系進行持續的改進及優化，以適應不斷變化的外部環境及內部管理的要求。根據企業風險管理需要和內部控制基本規范的要求，萬科對組織結構進行了優化調整，將總部財務管理部調整為財務與內控管理部，下設稅務管理部和法務部，將風險管理部調整為審計監察部。三、萬科內部控制評價報告1、內部環境 治理結構萬科按照公司法、證券法等法律、行政法規、部門規章的要求，建立了規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成了科學有效的職責分工和制衡機制。股東大會、董事會、監事會分別按其職責行使決策權、執行權和監督權。股東大會享有法律法規和公司章程規定的合法權

49、利，依法行使公司經營方針、籌資、投資、利潤分配等重大事項的表決權。董事會對股東大會負責，依法行使企業的經營決策權。董事會建立了審計、薪酬與提名、投資與決策三個專業委員會，提高董事會運作效率。董事會 11 名董事中，有 4 名獨立董事。獨立董事擔任各個專業委員會的召集人，涉及專業的事項首先要經過專業委員會通過然后才提交董事會審議，以利于獨立董事更好地發揮作用。監事會對股東大會負責，除了通常的對公司財務和高管履職情況進行檢查監督外，還通過組織對控股公司的項目巡視，加強對各控股公司業務監督。管理層負責組織施行股東大會、董事會決議事項，主持企業日常經營管理工作。萬科堅持與第一大股東及其關聯企業在業務、

50、人員、資產、機構及財務等方面完全分開，保證了公司具有獨立完整的業務及自主經營能力。 機構設置及權責分配萬科結合自身業務特點和內部控制要求設置內部機構，明確職責權限，將權利與責任落實到各責任單位。董事會負責內部控制的建立健全和有效施行。董事會下設立審計委員會，審計委員會負責審查企業內部控制，監督內部控制的有效施行和內部控制自我評價情況，指導及協調內部審計及其他相關事宜等。監事會對董事會建立與施行內部控制進行監督。管理層負責組織領導企業內部控制的日常運行。萬科在內控責任方面明確各控股公司第一負責人為內控第一負責人，落實各一線公司各部門的內控責任，在總部統一的管理框架下，自我能動地制定內控工作計劃并

51、監督落實?？偛考耙痪€公司持續進行內控宣傳培訓工作，提升各級員工的內控意識、知識和技能。萬科總部設立財務與內控管理部具體負責組織協調內部控制的建立、施行及完善等日常工作，通過編制內部控制評估表、內控調查表、專項研討會等，組織總部、各控股公司、各業務部門進行自我評估及定期檢查，推進內控體系的建立健全?？偛扛鲗I部門及各控股公司均設有內控專員等相關內控管理崗位，負責本單位內部控制的日常管理工作。 內部審計萬科設立了審計監察部全面負責內部審計及內部監察工作，通過執行綜合審計、專項審計或專項調查等業務，評價內部控制設計和執行的效率與效果，對公司內部控制設計及運行的有效性進行監督檢查，促進內控工作質量的持

52、續改善與提高。對在審計或調查中發現的內部控制缺陷，依據缺陷性質按照既定的匯報程序向管理層或審計委員會及監事會報告。并督促相關部門采取積極措施予以改進和優化。 人力資源政策人才是萬科的資本，萬科制定和施行有利于企業可持續發展的人力資源政策，將職業道德修養和專業能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續教育，不斷提升員工素質。萬科職員手冊明確了“以德為先”原則，是否具備良好的職業道德，是萬科判斷人才的首要標準。人力資源部制定各崗位的職位說明書，明確了每個崗位的職責和權限。定期進行專業人員的專業化考試，建立輪崗、交流機制，培養專業人員全面的知識和技能。每年人力資源部制定相關培訓計劃，組

53、織具體培訓活動。為進一步完善萬科職業道德風險防范體系，萬科于 2010年 9月設立了“萬科陽光網”以作為舉報職務舞弊的專門網站，用于宣傳萬科的廉政政策，收集各類舉報信息，預防和打擊職務舞弊和犯罪。萬科還建立了全體員工的利益沖突申報制度，發布了員工內部購房制度等制度；萬科制定了關鍵崗位員工強制休假制度和定期崗位輪換制度，以加強員工的自律及預防舞弊行為的發生。 企業文化萬科秉承“創造健康豐盛的人生”的核心價值觀，倡導“客戶是我們永遠的伙伴”、“人才是萬科的資本”、“陽光照亮的體制”及“持續的增長和領跑”、“做卓越的綠色企業”等價值理念，專注于為客戶提供優質的生活空間和服務，充分尊重人才，追求開放透

54、明的體制和公平的回報，積極促進公司業績的持續增長和市場地位的提升，推動公司向綠色企業轉型，在投資者、客戶、員工等各方面，實現產品和服務的均好發展。萬科高度重視企業文化的宣傳和推廣，每年組織全公司范圍內的“目標與行動”專題活動，由公司管理層進行公司目標和價值觀的宣講并要求所有員工簽署受訓確認書。在任用和選拔優秀人才時，一貫堅持“德才兼備、以德為先”的原則，把持續培養專業化、富有激情和創造力的職業經理隊伍作為公司創立和發展的一項重要使命。2、風險評估為促進公司持續、健康、穩定發展，實現經營目標，萬科根據既定的發展策略，結合不同發展階段和業務拓展情況，全面系統持續地收集相關信息，及時進行風險評估，動

55、態進行風險識別和風險分析，并相應調整風險應對策略。萬科由相關部門負責對經濟形勢、產業政策、市場競爭、資源供給等外部風險因素以及財務狀況、資金狀況、資產管理、運營管理等內部風險因素進行收集研究，并采用定量及定性相結合的方法進行風險分析及評估，為管理層制訂風險應對策略提供依據。2010 年度，面對宏觀政策的日益收緊、行業走向的高度不確定以及競爭態勢的新挑戰，萬科著重于提升企業的經營質量、管理效率和專業能力，努力促進公司發展由規模速度型向質量效益型轉變。報告期內，公司始終保持充分的謹慎，發揮“戰略縱深”優勢，綜合運用各種渠道，以合理的價格獲取優質的土地資源，存貨管理堅持采取“量出為入”策略，與此同時

56、，萬科不斷深入推動成本優化，積極開展成本對標，提高集中采購度水平，嚴格控制成本，并采取嚴格費用預算和預算監督，降低費用水平，以及積極拓展融資渠道等風險應對措施，以保障各城市和區域的均衡發展，持續提升為股東持續創造價值的能力。3、控制活動萬科的主要控制措施包括：不相容職務分離控制公司在崗位設置前會對各業務流程中所涉及的不相容職務進行分析、梳理，考慮到不相容職務分離的控制要求，施行相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。授權審批控制公司各項需審批業務有明確的審批權限及流程，明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。公司及各控股公司的日常審批業務通過在信息化平臺上進

57、行自動控制以保證授權審批控制的效率和效果。會計系統控制公司嚴格遵照國家統一的會計準則和會計制度，建立了規范的會計工作秩序，制定了萬科集團會計管理及核算規范及各項具體業務核算制度，不斷加強公司會計管理，提高會計工作的質量和水平。與此同時，公司不斷加強財務信息系統的建設和完善，財務核算工作全面實現信息化，有效保證了會計信息及資料的真實、完整。財產保護控制公司建立了財產日常管理制度和定期清查制度，各項實物資產建立臺賬進行記錄、管理，堅持進行定期盤點及賬實核對等措施，保障公司財產安全。預算控制公司通過編制營運計劃及成本費用預算等施行預算管理控制，明確各責任單位在預算管理中的職責權限，規范預算的編制、審

58、定、下達和執行程序，并通過對營運計劃的動態管理強化預算約束，評估預算的執行效果。運營分析控制公司建立了運營情況分析制度，并通過運營管理平臺，實現了對公司運營的信息化管理。公司管理層通過月度經營例會、季度經營例會、年度經營例會、總裁辦公會等形式，定期開展運營情況分析，發現潛在問題，及時調整經營策略?？冃Э荚u控制萬科制定了萬科集團績效考核管理辦法以明確規范績效考核工作，堅持客觀公正、規范透明、績效導向原則，按期組織季度考核、年度考核，使績效考核結果能為薪酬分配、優才甄選與培養、團隊優化、薪金福利調整等提供決策依據。萬科將上述控制措施在下列主要業務活動中綜合運用，對各種業務及事項施行有效控制，促進內

59、部控制有效運行。銷售2010 年度，萬科持續加強對銷售相關業務的管控職責，制定及修訂了包括明源銷售系統使用規范、萬科集團銷售現場收款管理辦法、萬科集團營銷費用分類管理規范等在內的銷售管理制度，遵循合約明晰、授權審批和不相容職務相分離的原則，使用銷售管理平臺對項目定價、認購、折扣、簽約、回款等業務施行全程控制和記錄。萬科進一步梳理和細化了銷售收款等高風險環節的控制流程，加強了對銷售費用管理的控制力度。實際業務控制中，所有業務操作均需履行公司設定的審批流程，其中重大和關鍵業務操作必須由子公司管理層審批后方可施行。與此同時，銷售管理制度體系中也通過設計復核、檢查監督機制以完善對業務操作的管控。成本萬

60、科成本管理部負責成本相關流程的管控。萬科修訂了包括萬科集團房地產開發企業成本核算指導等在內的成本管理制度，不斷推動成本優化，施行成本對標管理。提高集中采購度水平，嚴格管控成本。萬科使用成本管理軟件，對項目運作全過程成本信息進行計劃管理和動態跟蹤記錄。項目確定后，各子公司成本管理部根據公司總部統一要求編制項目成本計劃（目標成本），經子公司管理層審批確認后執行，同時錄入公司成本管理系統。項目開發過程中，已發生成本由專人負責及時錄入成本軟件，同時成本管理部門定期對待發生成本做出預測，并在必要時進行調整，從而對項目成本形成動態跟蹤管理。各子公司財務管理部門負責項目動態成本中的非合同費用錄入。此外，各公