2014年8月16-17日·貴陽公司治理與企業內部控制

——講師張慶龍北京國家會計學院教授、博士、博士后、博士生導師審計與風險管理研究所所長、審計系主任、北京市審計局特聘專家、中國審計學會教育分會理事、中國商業會計學會理事、北京市財政學會理事今天要解決的幾個問題2公司治理為什么需要內部控制內部控制如何理解目標管理與流程管理孰優孰劣企業生命周期與管理決策重點內部控制與風險管理的關系與協調企業內部控制建設的流程、重點與標桿案例企業內部控制的評價的組織設計與具體評價內容

3

公司治理為什么需要內部控制？

愿景戰略團隊核心競爭力市場定位流程再造如何做？宏觀問題溝通控制激勵如何管？微觀問題引子：企業成功的三個關鍵要素

偉大的公司都有一個嚴格的公司治理。一個嚴格的公司治理，就是要有一個獨立和有效的內部審計。

管理格言:一流的公司靠公司治理;二流的公司靠團隊;三流的公司靠能人。

公司治理

言

6公司治理是一場制衡的游戲，這場游戲的主宰者是激勵與約束！

——張慶龍激勵約束公司治理公司治理

7

公司治理

8

有效的公司治理外部審計的監督機制內部審計的監督機制利用保障公司決策與股東利益的一致性；增加決策的正確性有效防范不應承擔的風險

降低融資成本獲得企業發展需要的資金增強企業競爭力

吸引投資者增強投資者、債權人、供應商的信心

公司治理

9

提升我國公司治理水平首先要建立優良的公司治理機構和機制，充分發揮內部審計的作用

其次是有效的運作，使公司治理中的各主體各司其職

最后是通過利用內、外部審計鑒證后的財務信息，投資者和其他利益相關者可以確定或解除管理層的受托經濟責任提高我國公司治理水平是充分發揮我國內部審計作用的前提

公司治理

10

內部控制如何理解？內部控制為什么會受到如此關注2001年開始的會計丑聞會計監管理念由重結果轉為結果過程并重美國出臺sox法案，要求在美上市公司執行強調COSO內部控制的權威性在美上市央企執行美國法律企業失敗的案例修改為全面風險管理框架企業內部控制基本規范中央企業全面風險管理指引12內控是什么……

內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。=為什么控制+控制什么+誰來控制幫助達成組織目標風險:人，財物，信息董事會、經理層、員工層13內控是什么……

√√

是門鎖，是剎車√

是護腕、護膝√

是安全帶，是保險絲√

是救生圈，是防彈衣√

是緊箍咒，是抓手×

不是口號標語

不是制度手冊

不是萬能補藥

不是公證處多了一份程序，多了一份制約，才多了一份安全、多了一份保障。

14

15內控的作用：舞弊三角理論法律法規借口壓力

機會

不敢

不愿

不能職業道德內部控制內控是一套體系化的方法促進流程制度的完善,其終極目標是保障企業的經營效率與效果在內部控制多重目標下我們把運營效率與效果、實現發展戰略目標提出來作為內部控制首先要保證的2大目標，其余三個目標作為基礎目標處理。提高經營效率和效果，促進實現發展戰略經營的合規資產的安全財務報告的真實COSO內控框架對內部控制的定義

：內部控制是受企業董事會、管理層和其他人員影響，為經營的效率效果、財務報告的可靠性、相關法規的遵循性等目標的實現而提供合理保證的過程。財政部《企業內部控制基本規范》中內部控制的定義：是由董事會、監事會、經理層和全體員工實施的、旨在為實現：合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略的過程。眾多集團公司的內控建設內控建設歷程證明：內控是一個包括建設、檢查、整改、修訂等在內的動態過程，而且伴隨著企業業務發展、內部管理發展、經濟活動環境變化持續更新19COSO對企業風險管理的定義2004，COSO出臺《企業風險管理(ERM)：整體框架》

誰做？由企業的董事會、管理層和其他員工共同參與應用于企業戰略制定和企業內部各個層次和部門的，

用于識別可能對企業造成潛在影響的事項并在其風險偏好范圍內管理風險的，為企業目標的實現提供合理保證的過程。許多企業已設置了CRO——首席風險官

做啥？

為啥？什么是風險管理？是什么指企業圍繞總體經營目標，通過在企業管理的各個環節和經營過程中執行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統，從而為實現風險管理的總體目標提供合理保證的過程和方法。做什么在自愿申報的基礎上，編報風險管理自我評價報告。附：內部控制的整體框架信息與溝通持續監控控制活動風險評估控制環境COSO建立公司層面的目標和風險評估過程制定識別，傳達會計準則變化（GAAP)及內部控制或其運行環境變化的程序參股公司層面目標建立具體的活動目標制定必要的政策和程序使該政策和程序所包含的控制在實踐中得以貫徹實施管理層制定清晰明確的財務及經營目標并進行差異分析和追蹤合理分配工作職責以降低舞弊風險保護文檔，記錄及實物資產的安全確保信息系統安全，對信息系統安全政策及程序的合規性進行監控信息系統為管理層決策提供支持開放并改善信息系統以適應公司的戰略目標管理層提供保證并監控在信息系統開發和測試中的人力和財務資源的參與度管理層對所有主要數據中心建立業務持續計劃/災難恢復計劃管理層對員工的責任和職責進行有效溝通并建立針對潛在問題的溝通渠道來自外部的信息在公司內部及時有效的進行溝通，使管理層能夠采取及時適合的行動定期評估內部控制及人員實施內部控制管理意見，及時改進缺陷，適當回應監管部門的報告及建議管理層利用內部審計協助進行監控內控中的個別（專項）評價流程匯報內控缺陷流程管理層的正直，道德價值觀和行為管理層的控制意識和運作類型管理層對員工能力的承諾董事會和審計委員會的監督組織架構已經權責的分配授權的界面應該清晰人力資源政策和實踐附：企業風險管理八大要素內部環境風險管理理念、風險文化、董事會勝任能力評估、管理方法與經營模式風險偏好目標制定戰略目標-其他相關目標-選擇目標-風險偏好-風險容忍度事件識別事件-影響戰略及目標的因素-方法和技術-事件相互依存性-事件類別-風險和機遇風險評估固有風險-殘存風險-可能性和影響-方法和技術-相關性風險對策確認風險對策-評估風險對策-選擇對策方案-風險組合觀控制活動與風險對策相結合-控制活動類型-一般控制-應用控制-特定主體信息與溝通信息-戰略和整合系統-溝通監控個別評估-持續評估

23

內部控制是合規還是管理活動？內部控制建設及評價的責任主體及職責24成立內控體系建設項目管理機構

董事會內控體系建設委員會?負責對項目實施過程中重大事項決策?負責內控體系建設的領導工作?審批有關工作成果?制定工作范圍、工作實施計劃

咨詢機構?提供項目技術支持?協助項目小組進行記錄與財務報告相關的內部控制業務流程負責人

負責描述業務流程和有關控制確認流程記錄文件識別主要控制措施確認、改進并反饋內部控制缺陷項目工作室記錄內部控制評估內部控制設計的有效性測試內部控制執行的有效性對內控缺陷提出整改建議將工作成果提交內控體系建設委員會審閱項目工作文檔管理等內控目標的關系

分解經營目標

反映報告目標企業生存與發展資產目標衛士保安謀士高參戰略目標前提保證合格目標內部控制的原則27重要性制衡性成本效益適應性全面性28內控的原則：全面與重要\制衡性\適應性\成本與效益?全面覆蓋，投入多?靠組織與業務牽制多?可靠但可能臃腫規模內控復雜度高?抓重點和關鍵，投入少?靠人情和信任的控制?高效但可能高風險低“劉關張”式“螺絲釘”式小型大型內控的局限uuuu決策是由人在合適的時間、依據現有的信息，在企業經營的壓力下作出的。就算是設計得完好的內控，也會因員工執行時對指令的誤解、粗心、疲倦等差錯而失效。部門經理、高級管理者出于各種目的不實表達、提供錯誤文件等越過控制制度的行為。兩人或更多人合伙隱藏事實真相。u資源有限，控制會產生相關的開支。人的因素固有局限成本-收益原則

人的判斷

執行出錯管理者越權合伙同謀

30

1.監管部門要求

2012年3月，國資委出臺《關于中央企業開展管理提升活動的指導意見》，提出力爭用2年時間，通過全面開展管理提升活動，加快推進中央企業管理方式由粗放型向集約化、精細化轉變，全面提升企業管理水平，為“做強做優、培育具有國際競爭力的世界一流企業”工作奠定堅實基礎。要求中央企業重點做好以下幾個方面的工作：1.找準管理短板和瓶頸問題，實現重點突破。2.強化向管理要效益理念，切實加強基礎管理。3.統籌推進專項提升，全面落實整改措施。4.總結固化成果，構建長效機制。主要相關法規簡介——關于中央企業開展管理提升活動的指導意見

31

2012年5月，財政部、國資委聯合下發《關于加快構建中央企業內部控制體系有關事項的通知》國資發評價〔2012〕68號總體安排是：已在全集團范圍內建立起內部控制體系的中央企業，應當重點抓好有效執行和持續改進工作，著力提升內部控制的健全性和有效性；主業資產實現整體上市或所屬控股上市公司資產比重超過60%、尚未在全集團范圍內啟動內部控制建設工作的中央企業，應當統籌規劃、協同推進全集團內部控制體系建設，著力抓好集團總部與各類子企業同步建設與穩步實施工作，于2012年建立起覆蓋全集團的內部控制體系；其他中央企業應當抓緊啟動內部控制體系建設工作，確保2013年全面完成集團內部控制體系的建設與實施工作。各中央企業應當自2013年起，于每年5月31日前向國資委報送內部控制評價報告，同時抄送派駐本企業監事會。各中央企業要高度重視內部控制工作，統籌協調，周密部署，抓緊推進內部控制建設與實施工作，采取有力措施保證內部控制有效執行，推動經營管理水平不斷提升。

三鹿集團簡介三鹿的前身是1956年成立的幸福乳業合作社，經過50年艱苦創業，三鹿已發展成為集奶牛飼養、乳品加工、科研開發為一體的大型企業集團，是全國三大乳業集團之一。但從2007年12月起，三鹿集團陸續收到消費者投訴，反映有部分嬰幼兒食用該集團生產的嬰幼兒系列奶粉后尿液中出現紅色沉淀物等癥狀。

2008年12月24日，石家莊市中級人民法院已經對三鹿發出破產令，正式宣告石家莊三鹿股份有限公司破產，其資產清算進入法律程序。小介紹

三聚氰胺

三聚氰胺，C3H6N6,又稱蜜胺,常見塑料化工原料，也可作為滅鼠藥。其特點為氮原子很多。食品工業檢測中，采用“凱氏定氮法”推算蛋白質的含量，因三聚氰胺的氮原子較多，而被添加進人類食品，寵物食品，家畜飼料中。

破產事件經過

2007年,三鹿集團實現銷售收入100.16億元,同比增長15.3%。但是這種高增長背后隱藏的內部控制及其環境問題卻被嚴重忽視。從2007年12月份起,三鹿就陸續接到一些患泌尿系統結石病兒童家長的投訴,一些媒體也開始以“某品牌”影射三鹿,但是三鹿并未就此引起足夠重視,加強企業內部控制,導致事態日益惡化。據估計,9.02億元的巨額醫療費和賠款已經造成三鹿集團嚴重資不抵債。2008年12月25日,石家莊市委、市政府發布三鹿破產消息,破產裁定書已送達石家莊三鹿集團有限公司,一個曾經作為奶業龍頭的企業一夜之間消失。

08年5月醫院爆發幼兒結石。

6月南京媒體報道幼兒批量發病，亦可見質檢總局網站投訴。

7月，長沙株洲衡陽，患者家屬投訴質量問題，長沙食品質量安全監督檢測中心檢測合格。

9月11日，三鹿宣布召回8月6日前的部分批次產品，總量700噸。

9月12日，三鹿確認為此事件是由于不法奶農為獲取更多的利潤向鮮牛奶中摻入三聚氰胺。

9月11日甘肅：甘肅上報59例，死亡1例

9月8日，中國人民解放軍第一醫院泌尿科接收了一名來自甘肅岷縣的特殊患者，病人是一名8個月大的嬰兒，患有“雙腎多發性結石”和“輸尿管結石”病癥，這是該院自6月28日以來收治的第14名患有相同疾病的不滿周歲的嬰兒，這14名嬰兒有著許多相同點：都來自甘肅農村，均不滿周歲，都食用過三鹿奶粉。

9月10日南京：南京出現10例。從今年3月開始，南京鼓樓醫院泌尿外科孫西釗教授陸續接到了南京兒童醫院送來的10例泌尿結石樣本。經國內先進的結石紅外光譜自動分析系統分析，這是一種極其罕見的結石。孫教授告訴記者，這10年來，他一共分析過全國各地的結石成分4710例，從來沒有見過這種病例，而且都發生在尚在喝奶的嬰兒身上。

9月9日陜甘寧甘肅率先發現。甘肅省衛生廳接到解放軍第一醫院的電話報告，該院收治的嬰兒患腎結石病例明顯增多，近幾個月已達十幾例，患兒均食用了三鹿牌配方奶粉。

9月1日，豫、贛、鄂多省爆發：三鹿公司相關負責人表示，患病嬰兒都在食用價格在18元左右同一品牌的奶粉，而2008年，由于原材料價格上漲等因素，三鹿公司的奶粉最低零售價都在25-30元，今年三鹿沒有18元價位的奶粉。三鹿慧幼系列的奶粉已經于今年7月底停止生產。內控分析由于三鹿嬰幼兒配方奶粉攙雜致毒化學物三聚氰胺曝光，三鹿集團被迅速推向破產，引發“中國奶業的大地震”，田文華由此成為“中國乳業的罪人”。在這場“9.11事件”中，三鹿集團的內部控制到底扮演了什么樣的角色？我們運用其五目標和五要素的分析方法，對三鹿集團進行內部控制案例分析。內部控制五要素分析內部環境——重要基礎該要素是內部控制框架的基礎所在，涵蓋治理結構、機構設置及權責分配、內部審計、人力資源政策、公司文化、誠信與道德觀等多方面內容。雖然內部控制更強調相互牽制的制度性安排，但顯然人的因素在內部控制，尤其是內部環境中發揮著重要的作用。咱們常說“道德使之不愿、法律使之不敢、制度使之不能”，這說明誠信與道德觀也許是公司文化在某種程度上是高于制度本身的。資料顯示，三鹿集團早在2008年3月就接到消費者反映，但直到2008年8月三鹿已經秘密召回部分問題奶粉之時，卻仍然沒有將事件真相及可能產生的后果公之于眾，有媒體稱這種做法直接導致此后的一個多月里又有一批嬰兒食用了三鹿問題奶粉。顯然此次事件在某種程度上檢驗了三鹿集團決策層的誠信與道德觀。事實上除了三鹿集團外，向牛奶中添加三聚氰胺的耿氏兄弟等不法分子、告知這些不法分子通過添加三聚氰胺可通過檢測的技術人員、銷售給不法分子三聚氰胺化工原料的人員，都存在著只顧利益不顧消費者健康的問題，而這種環境因素可能才是真正導致此次事件的罪魁禍首。

我國的內部控制基本規范中將職業道德修養和專業勝任才能作為聘用員工的重要標準，要求公司加強文化建設，培育積極向上的價值觀和社會責任感，這對培育一個良好的環境氛圍，更好地發揮內部控制的風險防范作用有著積極的意義，而要實現這個目標顯然非一朝一夕之功。

內部環境是企業建立與實施有效內部控制的重要基礎。三鹿集團的大股東享有56%的控股權，第二大股東是持有43%的股權，其余1%的零散股份由小股東持有。從表面上看，三鹿集團具有形成良好治理的所有權結構。但大股東三鹿乳業公司推行的是員工持股，并且由經營者持大股，96%左右的股份由900多名老職工擁有，因此，三鹿集團的實際控制人或者說股權相當分散。以田文華為代表的強勢管理層的存在，使得三鹿集團的治理結構演變成內部人控制。風險評估——重要環節風險評估是企業建立與實施有效內部控制的重要環節。咱們理解，一般的公司內部控制都是針對常規事項進行設計的（如奶粉的營養成分是否達標等），而對例外事項（如添加三聚氰胺）則重視不足。這對內部控制的設計提出了挑戰。食品加工公司除了對原料采購、作品加工、存儲儲藏、物流配送等各個環節進行風險評價、分析之外，還應當就最可能產生風險的環節設立應對措施，例如風險評估時針對生產的奶粉原料中可能會含有那些有害物質，原料提供者添加這些物質的可能性以及消費者食用這些物質的后果嚴重性等進行評價、排序，并從原料采購、產成品的檢測驗收等方面設定有針對性的指標，以提高內部控制的效率和效果。

我國乳品加工廠一般沒有自己的奶源，主要采用的原奶采購模式，就是“奶農——奶站——乳企”，三鹿集團也不例外。奶源短缺和競爭激烈是近年來我國奶業發展的突出特征。沒有足夠的優質奶源，發展戰略的實現就會放緩，而要取得優質奶源必須提高價格、嚴把質量檢驗關，否則，風險就會無限放大。不幸的是，三鹿集團鋌而走險，選擇了低價和放松質量檢驗。河北行唐縣一位參與奶站經營的農民反映，蒙牛、伊利來行唐收奶，奶價一般比三鹿集團貴0.10元甚至0.20元，其化驗程序復雜，相對比較嚴格?？刂苹顒印匾侄慰刂苹顒邮墙⑴c實施有效內部控制的重要手段。按照業務流程進行生產經營管理是確保產品質量的一種最基本控制活動，三鹿集團違背業務流程的情況是存在的。2005年7月5日，天津市河西區質量技術監督局執法人員在一庫房內發現，“三鹿原味酸牛奶”生產日期是2005年7月6日。拆開包裝箱后，里面一千克袋裝原味酸牛奶的生產日期也是6日。執法人員在司機提供的發貨憑證上確定這批酸牛奶是在本月4日發出的。現場檢查表明，這批三鹿酸牛奶已經涉嫌偽造生產日期。這即是三鹿“早產奶”事件。

根據警方抓獲的耿某介紹，在2007年底前向三鹿集團銷售的牛奶就屢次因檢驗不合格而被拒收。而三鹿集團對這種“屢次不合格”牛奶的提供者居然沒有“誠信記錄”，在其向牛奶中添加三聚氰胺，使得“問題”奶進一步演化為“毒奶”而順利通過檢測后沒有保持“合理懷疑”。從事實看，三鹿集團能夠在2007年前“屢次”查出耿某提供的牛奶不合格，說明公司擁有嚴格的采購驗收制度并得到切實執行，但如果能對日?？刂苹顒又邪l現的部分不良信息進行收集、整理，并對異?，F象（屢次不合格的原料提供者后來提供的都是合格原料）尋找合理解釋，以進一步提高控制活動的效率效果，則發現“耿某”類不法分子的伎倆并非全無可能。

重大風險的預警機制和突發事件的應急處理機制的失靈，是三鹿集團存在的另一個重大問題。三鹿集團在對毒奶粉事件知情的情況下，繼續生產和對外銷售，導致事態擴大。事情暴露后，三鹿集團采取對媒體隱瞞和否認的做法，從堅決否認到遮遮掩掩，從推卸責任到被迫道歉，在事件到了無法隱瞞的時候，才開始產品的全面召回。信息與溝通——重要條件信息與溝通是建立與實施有效內部控制的重要條件。在發展過程中，三鹿集團的企業規模不斷膨脹，以致無法有效地管理企業。按食品安全法規定，食品安全事故的發生單位應當及時向事故發生地縣級衛生行政部門報告。但三鹿集團“長期隱瞞問題”，９月１５日“三鹿事件”曝光，三鹿集團多次否認自己奶粉出現問題，并拿出“甘肅省質檢局”的質檢報告，證實無毒。但在同天晚上，“三鹿集團”自打耳光，承認自己700噸奶粉受到污染；聲譽基本為零，再無翻身的機會。內部監督——重要保證內部監督是建立與實施有效內部控制的重要保證，包括日常監督和專項監督兩大方面。駐站員監督檢查，是日常監督中重要的一環，作為中國食品工業百強、農業產業化國家重點龍頭公司，三鹿對內部監督不能說不重視，因為其作品是經過“1100道檢測”的。但是三鹿集團未能落實到位，導致在原奶進入三鹿集團的生產企業之前，缺乏對奶站經營者的有效監督。發現內部控制缺陷，修正與完善內部控制系統，專項監督不可或缺。2004年，“大頭娃娃”事件沒有讓三鹿集團警醒，只是看到農村奶粉市場的外部擴張，沒有將關注點放在內部控制機制的完善上。2005年“早產奶”事件，三鹿集團本應開展全面的業務流程專項大檢查，但除了將銷售部門有關人員調離崗位，對直接負責人扣除20%年薪之外，沒能從消除內控隱患的角度去解決問題。內部控制五目標分析

合法合規性——底線

合法合規是內部控制的最低目標。三鹿集團身處關系國計民生的食品行業，不僅沒有信守承諾——向社會提供優質乳制品，反而在市場和利潤的利益誘惑面前，置合法合規性于不顧，在三鹿嬰幼兒奶粉里摻入大量的有毒化學原料“三聚氰胺”，致使數名嬰兒死亡。這種見利忘義、逆道而行的做法，是三鹿集團悲劇的罪魁禍首。

資產安全性——警戒線

資產安全是內部控制的傳統目標。三鹿集團是曾經的行業龍頭和銀行的優質客戶，2007年底凈資產為12.24億元，資產負債率僅為24%。但隨著毒奶粉事件曝光，三鹿集團近150億元無形資產瞬間灰飛煙滅。三鹿所有的奶粉在全國下架，接受顧客的退賠要求，全國所有的加工廠停產整頓。三鹿集團的總負債保守估算接近20億元，最終破產。這表明違背合法合規底線的資產安全，是極其脆弱的，更是靠不住的。信息真實完整性——主線信息真實完整是內部控制的永恒目標。田文華曾強調，“誠信對企業而言，就如同生命對于個人……”只可惜三鹿集團言行不一，其信息披露沒能遵循誠信原則。2008年6月，三鹿集團檢驗發現奶粉中含有三聚氰胺，但管理層對新西蘭恒天然集團要求采取的應對措施置若罔聞，意圖瞞天過海。恒天然集團因反映情況無果，最終直接向中國政府反映情況。不及時披露信息，甚至瞞報、謊報信息，三鹿集團的信息目標與內部控制要求是背道而馳的。

經營效率和效果性——生命線經營效率和效果是內部控制的核心。內部控制是利潤動機的自然產物。三鹿集團采取的是“牌子（三鹿集團）+奶源（地方小乳品廠）”的經營策略，收購地方加工廠、增資擴產，貼牌生產。但三鹿集團旗下子公司、聯營企業大多廠房破舊、設備簡陋，資金投入、機器設備及內部管理跟不上，奶源的衛生安全管理處于盲點狀態，產品質量管理水平大大降低，經濟效益和社會效益、生態效益割裂，經營風險不斷累積。這種飲鴆止渴式的經營效率和效果，使得內部控制不過是虛妄之談。戰略實現性——愿景線戰略實現是內部控制的最高目標。三鹿集團制定了積極擴張的企業發展戰略，目標是確保配方奶粉、力爭功能性食品和酸牛奶產銷量全國第一，液態奶及乳飲料保持前三位。但在全球性原奶危機的背景下，奶源短缺和競爭激烈是近年來奶業發展的突出特征。1998-2006年，我國奶制品產量從60萬噸增加到1622萬噸，增長近28倍，原奶供應能力出現巨大缺口，沒有足夠的優質奶源，發展戰略的實現就應放緩。三鹿集團盲目冒進的結果，是欲速則不達。三鹿案件給我們怎樣的啟示呢？三鹿集團為我國企業敲響了警鐘:創建和諧的企業內部控制環境,關乎企業的盛衰榮辱和生死存亡。企業的內部控制環境是內部控制的關鍵,確定了一個企業的基調,它影響著整個企業內部所有人員的控制意識。在三鹿集團的案例中,如果該企業具有良好的內部控制環境,就有可能降低“事件”發生的可能性。所以,企業應從各個方面優化內部控制環境,使企業能夠提高效率和功效,防患于未然,為企業健康運行提供保障。同時我們應看到，內部控制的實施遠比想象中的復雜和困難。如何將內部控制的要素、理念、框架、結構與企業的實際經營活動結合起來，將內控的設計、評價、改進真正落實，這是一項長期而艱巨的任務。尤其是內部環境的培育問題、內部控制實施的內在動力問題更非短期可見效的活動。作為企業管理的有機組成部分，內部控制不應是空中樓閣，它應該深植于企業的日常經營管理之中。

目標管理與流程管理孰優孰劣？目標管理

VS流程管理什么是目標管理傳統語錄：不管黑貓白貓，逮住耗子就是好貓。典型的目標管理。以大廚師炒菜為例，把魚香肉絲炒到了顧客滿意的程度就叫做目標管理，至于大廚師炒菜的方法，我們是不關心的。什么是過程管理我們把大廚師炒菜的步驟分成20個階段，也就是20道工序，第一個人切蔥花，第二個人切肉絲。。。。。，如果不好吃就重新調整第2、5、9道工序，還不好吃，再調整3、7、14道工序，還不好吃，就調整18、19道工序，就這樣也許經過無數次調整后，我們終于能夠炒出跟大廚師一樣好吃的菜，在這時，蔥花的長度必須是1.1厘米，肉絲的長度必須是1.3厘米，醬油必須是2勺。以后就按照這個調整后的流程炒菜，每個人都按照這個工序嚴格要求來做。按照這個流程辦事，而不管結果，這就是過程管理。目標管理的缺點大廚師一走，就把什么都帶走了。如果靠大廚炒菜，端出來什么就是什么，如果客戶定制，就需要大廚調整，但是下一次還能不能炒出同樣的菜，不知道，目標管理不可修改，因為我們不知道大廚師炒菜的方法，過程管理可以修改，因為我們知道所有流程。過程管理可以積累經驗，目標管理是個結果，好也是他，壞也是他，并且往往勝者為王，敗者為寇。中國人浮躁的文化，太渴望結果，而不是過程管理。

57

58

59

60

61

62

企業生命周期與內部控制的決策

63

各階段企業內控要點

64

微型企業內控要點

65

小型企業內控要點

66

小型企業內控要點

67

中型企業內控要點

68

成熟期企業內控要點

69

哪些企業亟需加強和規范風險管理及內部控制為什么我們開始關注流程管理？關注資本投入和組成來源關注市場份額擴大關注銷售收入體現規模關注銷售目標實現目標管理突出過渡期（繼續做大做強，但追求規模勝于強）：橫向：復制縱向：產業鏈整合，兼并重組實現壟斷；收入穩定；走向多元化；金融類型產品帶來風險增大；成本增加，成本成為關注重心；進入價值鏈管理階段。

71

內部控制與風險管理的關系與協調內部控制與風險管理還關注由于外部環境所造成的風險。內部控制：以流程為基礎，更加關注企業內部流程執行中的風險。73從內部控制到風險管理(ERM)內部環境控制環境更寬1.增加戰略目標，2.提出新理念：

?風險組合觀

?風險偏好

?風險容忍度控制活動風險評估信息溝通監

控目標設定事項識別風險評估風險應對控制活動信息溝通監

控

主要相關法規簡介——國資委中央企業全面風險管理指引

2006年6月，國資委《中央企業全面風險管理指引》中規定：“開展全面風險管理應當以對重大風險、重大事件的管理和重要流程的內部控制為重點。”

風險管理初始信息

風險評估風險管理策略

風險管理解決方案風險管理流程風險管理的監督與改進戰略風險方面的信息財務風險方面的信息市場風險方面的信息運營風險方面的信息法律風險方面的信息風險辨識風險分析風險評價風險承擔風險規避風險轉移風險轉換風險對沖風險補償風險控制風險解決具體目標所需的組織領導所涉及的管理及業務流程所需的條件、手段等資源風險事件發生前、中、后所采取的具體應對措施以及風險管理工具部門和業務單位自查和檢驗風險管理職能部門檢查和檢驗內部審計部門監督評價中介機構評價

董事會就全面風險管理工作的有效性對股東（大）會負責風險管理委員會對董事會負責總經理對全面風險管理工作的有效性向董事會負責設立專職部門或確定相關職能部門履行全面風險管理職責董事會下設立審計委員會，內審部門對審計委員會負責其他職能部門及各業務單位接受風險管理職能部門和內部審計部門的組織、協調、指導和監督指導和監督其全資、控股子企業信息技術應用于風險管理實踐風險管理信息系統保障風險信息量化值的要求風險管理信息系統的功能要求風險管理信息系統應該實現跨部門的集成與共享風險管理系統應確保安全、穩定運行風險管理信息系統的建設與更新風險管理文化風險管理文化建設的目標和任務風險管理文化的內涵風險管理文化和傳播和培育的方法中央企業全面風險管理指引75國資委2011年的分類？？戰略風險：投資風險、政策風險、戰略管理風險、“走出去”風險、宏觀經濟風險、產業結構風險、改制風險等。運營風險：健康安全環保風險、人力資源風險、經營風險、技術風險、集團管控風險、信息風險、產品風險、公司治理風險、研究開發風險、資源保障風險、信息系統安全風險等。市場風險：市場需求風險、價格風險、競爭風險、匯利率風險、信用風險、證券市場風險等。財務風險：現金流風險、預收應付風險、存貨風險、成本費用風險等法律風險：合同管理風險、知識產權風險、法律糾紛風險、合規風險等2012年12月文件《關于2013年中央企業開展全面風險管理工作有關事項的通知》一、提升風險研判能力各中央企業要緊密圍繞企業發展戰略，結合“做強做優、培育具有國際競爭力的世界一流企業”核心目標的要求，加強對未來中長期所面臨風險的全局性、趨勢性研判，準確定位風險管理工作的方向和重點，切實為企業實現經營目標提供支撐和保障。要及時把握并深入分析國內外形勢的變化，提高企業對經營環境變化的敏銳性和對發展趨勢的預判能力，及時調整當期經營策略和應對措施，合理控制純粹風險，穩妥把握機會風險。要認真總結近期企業內外部發生的各類重大風險損失事件和典型案例，從中汲取經驗教訓，舉一反三，采取切實有效措施，杜絕類似事件在本企業重復發生。二、加強重大風險的全過程管理各中央企業要以重大風險管理為抓手，不斷提升全面風險管理工作的實效性。要緊密圍繞企業戰略目標和當期經營目標開展風險評估，建立常態化風險評估機制，不斷完善風險評估方法和流程，切合實際地制定重大風險評判標準。要進一步完善重大風險的管理策略，明確風險偏好和風險承受度，據此制定重大風險的解決方案，明確重大風險的責任主體和應對措施，并合理配置資源，確保重大風險管理措施落到實處。要建立重大風險的監控預警機制，科學設置監控指標，及時掌握、分析重大風險的變化趨勢，動態調整管理策略，實現對重大風險的動態管理和有效管控。三、將風險管理與日常經營管理有機融合各中央企業要將全面風險管理與日常經營管理有機融合，特別要提高全面風險管理服務于重大事項決策的能力。要注重營造良好風險管理文化氛圍，加強企業風險管理政策的宣貫力度，建立風險管理工作宣傳和培訓常態化機制，倡導將風險意識和風險管理思想融入日常經營管理活動中，尤其是戰略決策、投資并購、“三重一大”等重大事項決策過程中。要進一步明確董事會、經理層的風險管理責任，風險管理職能部門的風險管理業務指導責任，以及審計部門的風險管理工作監督責任。要注重發揮制度和流程的規范性作用，通過固化流程將風險管理理念、方法和技術嵌入日常經營管理和重大事項決策過程中，特別是要建立重大事項的專項風險評估制度，構建風險管理服務于日常經營管理和重大事項決策的長效機制。四、提升風險管理工作制度化、規范化水平各中央企業要進一步健全、完善全面風險管理工作機制，提高風險管理工作的制度化、規范化水平。要建立健全風險管理報告制度，強化風險管理信息溝通機制，確保風險信息傳遞準確、順暢，處理及時、有效。要積極探索建立風險管理評價與考核制度，制定科學可行的風險管理評價辦法和標準，將風險管理納入企業績效考核指標體系中，建立風險責任追究機制。要建立風險管理專業人才培養體系，明確風險管理崗位的專業能力要求，建立持續教育和業務考核機制，打造專業化風險管理團隊。要進一步健全以風險管理為導向的內部控制系統，營造良好內部控制環境，通過強化制度建設，規范業務流程，確保內部控制的有效性，切實發揮內部控制對防范風險的重要基礎作用。南京中北違規行為對董事及高管的影響

80南京中北違規行為對董事及高管的影響

81失控導致失敗！

82在你我的身邊……

83常見的內部控制薄弱環節

84企業內部控制建設中的流程重點與標桿案例85內部控制建設中的常見問題及注意事項1.內控規劃方面，可能存在下述情況：未制定內控規劃，或規劃脫離實際；將合規定為內控建設的終極目標，陷于機械化、表面化，不利于戰略目標的實現；未制定年度實施計劃，規劃成為空中樓閣。為此，應充分考慮公司實際制定內控規劃。2.組織機構方面，可能存在以下實際情況：領導組組長不是公司一把手，不利于內控工作落實；領導組組長是一把手，但從不過問內控工作；工作組成員缺乏代表性，譬如沒有生產單位的人員；工作組成員無暇顧及內控工作；工作組成員不了解內控規范。為此，應采取成立內控領導小組和工作小組、由一把手擔任組長并督促內控工作等措施。3.選聘咨詢機構方面，可能存在幾種情況：由內審或財務部門牽頭做內控，不聘請咨詢機構，可能因經驗、人手不足而失??；通過招投標方式選聘的，只看標書，缺乏現場述標；建設內控過程中，放手讓咨詢機構做，缺乏與咨詢機構的定期、充分溝通；內控建設結束，對咨詢機構提交的成果驗收不嚴格。為此，應邀請咨詢機構現場述標，詳細評標，并嚴格驗收工作成果等。4.內控環境建設方面，可能存在幾種情況：認為內控環境比較虛，業務流程控制較實際有效；忽視內控文化、風險意識的培育，未把推行內控規范作為管理優化、文化提升的重要契機；認為戰略規劃是公司的秘密，不需提交股東大會審批；認為子公司不需要制定戰略規劃；關鍵崗位未定期輪崗；法律意識淡薄。為此，應相應加強措施，加強內控環境建設。5.工作內容方面，可能存在一些具體情況：僅按18項內控應用指引設定工作內容，不涉及應用指引中未述及或較少述及的內容，譬如關聯交易等；機械地與18項應用指引對標，忽視企業的實際；認為內控審計僅抽查幾家大公司，不查小公司，存在僥幸心理；未識別主要流程和高風險區域，眉毛胡子一把抓；有的老廠認為，生產領域制度、規程較全，技術相對成熟穩定，風險較小，而資金、資產等財務領域風險較高。為此，內控實施應覆蓋母子公司全體，應結合實際設定工作內容，識別主要流程和高風險領域等。6.風險管理機制建設方面，可能存在下述情況：未形成風險管理機制，既無領導機構、歸口部門，亦無風險分析團隊、風險評估方法；生產管理領域風險識別、評估、控制工作比較到位，財務、經營風險管理較弱；風險評估缺乏相應的基礎性數據；不清楚公司層面和業務層面的風險承受度，更無定量分析；未系統總結、提煉公司的風險類型和層次。為此，應明確歸口部門，組建風險分析團隊等。7.內控宣貫方面，可能存在下述情況：宣貫次數和參加人數較少；培訓教師側重于理論；宣貫形式單一；宣貫工作虎頭蛇尾，只是在項目啟動時宣貫。為此，應對培訓人員實行簽到、考試、發放培訓證書；多形式、不間斷宣傳內控；重視項目結束、移交成果后的宣貫等。8.流程梳理方面，可能存在幾種情況：沒有流程圖，以文字描述替代；僅將現行的工作流程畫成流程圖，未進行流程評估和優化；在落實流程或步驟責任人時，相互推諉，不愿承擔責任；流程圖濫用，事無巨細都畫流程圖；流程圖中步驟曲折、復雜難懂；業務經辦人員無法清晰地描述流程，甚至不同的人描述的流程不一致；流程圖之間缺乏銜接和對應關系，無法形成閉環；流程圖和制度不一致；流程圖和管理信息系統(MIS)中的流程不一致。為此，繪制的流程圖要清晰易懂；確保流程圖之間具備銜接和對應等。9.風險矩陣設計方面，可能存在幾種情況：識別的風險過于理論化；過于依賴流程圖識別風險；對重大錯報或舞弊風險識別不足；未充分討論風險，風險評估不當；關鍵控制點識別不當甚至是錯誤；控制措施與風險點缺乏對應關系；控制手段不當，過多地依賴手工控制和發現性控制；控制頻率設計錯誤，未根據業務事項發生的頻率和重要性設計控制頻率；流程負責人不明確；控制文檔不全面或不存在；會計科目不正確，甚至用的是舊會計準則科目；財務報表相關認定不準確。為此，應綜合采用流程圖法、財務狀況法、事故樹等多種風險識別方法；保持控制措施與風險點之間的對應關系等。10.制度修編方面，可能存在幾種情況：拿來主義，從別的公司照搬或直接下載；潛規則，故意不固化成制度，留下操作空間；制度不夠標準化；引用文件已作廢；制度和流程圖缺乏對應關系；具體業務制度違反公司《章程》；制度之間打架；部門自己制定制度，未在公司層面統一發布；未設立企管部門，制度修編缺乏歸口部門；未將風險點、控制措施嵌入制度，導致風險矩陣和制度兩張皮；制度修編完畢，束之高閣。為此，應根據內控規范和相關法規修編制度，規避合規性風險；結合公司實際修編制度，杜絕簡單的拿來主義和潛規則等。11.撰寫內控手冊方面，可能存在下述情況：未撰寫內控手冊；照搬別的公司的內控手冊；對咨詢機構提交的內控手冊不加復核或不認真復核，導致執行困難；手冊與流程不一致，與制度脫節；控制目標、風險點、流程描述缺乏對應關系；手冊內容不完整、未涵蓋內控五要素；未包含內控評價。為此，應確保手冊與流程、制度具備對應關系；確保控制目標、風險點、流程描述具備對應關系等。對照標準、整理制度、梳理現狀有沒有：缺失的制度要起草，起草制度首先要給予現狀全不全：不全的制度要補充，補充制度的最低要求是滿足監管好不好：是否能夠起到控制的作用做沒做：根據實際情況，做穿行測試，注意健全應急流程。四個層面的制度與管理梳理內部控制建設實施的總體流程框架內部控制與流程梳理之間的關系《內控規范》確定的內部控制目標能合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。要落實內控目標，必然涉及到企業經營活動中的所有流程。因此，企業內控的有效實施必須建立在企業業務流程清晰描述的基礎之上，從具體業務流程中識別關鍵內控節點，通過合理設置組織機構與崗位，落實內控責任。達到在具體流程環節中，明確內控要求與規則，使流程在合規條件下運轉的要求。

企業內控流程如何建立？建立企業內控流程，必須先從企業業務流程的建立和梳理入手。企業的流程是一系列活動的連接流轉，一般將流程活動分為兩類：A類是管控類活動（各級別各部門經理人的決策、審批、評審、會審、簽字、授權、批準等）；B類是專業類活動（比如市場調研、發貨、設計等）。管控活動屬于內控活動，專業活動根據內控要求進行崗位分設制衡的則屬于內控措施（制度要求），內控制度將對專業活動的作業規范提出要求。企業內控流程的建立與企業業務流程的建立，其描述的方法是一致的，只是兩者關注的重點不同。企業業務流程體系是從企業所有業務為企業創造價值的角度梳理和建立，而企業內控流程則須對業務流程中的內控關鍵控制點進行描述和要求。因此可以說，企業內控流程是企業業務流程中落實內控要求的流程子集。其實包括內控體系在內的企業各種管理體系（如質量管理體系等）均要落實到企業具體業務活動（即業務流程）中去執行。

業務流程及制度框架梳理方法流程梳理的具體方法為：1．部門負責人訪談。訪談的主要內容為本部門負責的具體工作內容及主要職責。通過部門負責人訪談劃分出該部門主責的一級流程和二級流程。2．部門職員訪談。訪談的內容為該職員負責的具體工作內容、主要職責及可參照的企業現有制度。通過部門基層職員的訪談，將二級流程進一步細分成三級流程。3．部門負責人及職員確認并修訂。將已劃分出的三級業務流程交給部門負責人和基層職員進行確認，并完成最終修訂。4．為已梳理出的流程進行編號。5．確定流程類型。流程類型分為已建立流程和待建立流程。6．確定主責部門。主責部門指本流程主要的執行部門，可以是一個，也可以是多個。7．相關制度對標。根據企業現有的全套制度，與本流程進行對標，找出對本流程具有規范或指導性作用的制度。若某個流程沒有可對標制度，則做上標記（即為內控制度缺失）。106明確每個流程步驟的執行部門及崗位明確每個具體步驟的操作內容明確每個步驟的輸入和輸出文檔明確流程中的控制點繪制工具：Visio部門負責人及職員訪談收集該流程輸入和輸出的一套文檔繪制流程圖控制點標示流程圖確認流程圖作用流程圖繪制步驟流程圖繪制方法107流程圖繪制——流程圖的幾種形式108流程人力資源規劃管理流程流程文件編號:XX有限公司本流程共1頁之第1頁生效日期:相關部門責任人備注流程協調控制部門:人力資源部總責任人:人力資源部經理制訂人:審核:簽署:人力資源部總經理分發人力資源需求表部門負責人填寫人力資源需求公司分管領導審批公司人力資源狀況和市場供給狀況分析編制人力資源規劃批準通過公司發展戰略人事專員人力資源部經理人力資源部經理人力資源需求統計表存檔否人力資源規劃執行人員招聘管理流程人力資源規劃方案是副總審核通過是否示例109示例110示例111示例3.流程圖繪制——流程圖的幾種形式112示例3.流程圖繪制——流程圖的幾種形式113流程圖繪制——流程圖符號說明企業流程與內控要求的建立與梳理

——采購與付款流程為例1、

描述采購與付款業務流程。書面流程描述通常采用泳道式兩維流程圖，一個維度是職能帶或為部門或為崗位，另一維度為流程的進程。以職能帶為泳道來界定部門或崗位在流程中的職責劃分。采購與付款業務流程的職能帶將包括使用部門、倉儲、采購、質檢、財務等部門，還包括企業高管等決策層。流程將包括采購需求、庫存平衡、采購預算、采購計劃、選擇供應商、采購合同、入庫檢驗、入出庫、財務付款等內容，并設置適當審核、審批環節來進行描述。其中的一些流程環節可以細化分解為二級、三級子流程，如采購合同簽訂流程、財務付款流程等。

2、

明確采購與付款的業務目標采購與付款流程的業務目標主要包括經營目標、財務報告目標、合規性目標等三個方面。規范采購與付款流程的業務目標是：確保采購業務按規定流程和適當授權進行，實現預期目標；其財務報告目標是：確保采購與付款業務及其相關會計賬目的核算真實、完整、規范，防止差錯和舞弊，保證賬實相符，財務會計報告合理揭示采購業務享有的折扣或折讓；其合規性目標是：保證采購及付款業務、相關采購、招標合同等符合國家有關法律法規要求，確保采購付款以及相關貨幣資金管理符合國家有關部門的法規要求。

針對業務目標的確定，識別與分析相關主要業務風險。經營風險主要是：由于采購業務流程設計不合理或控制不當，可能導致采購物資數量、質量及其價格偏離目標要求，或出現差錯和舞弊；財務風險主要是：可能導致會計核算多記、錯記、漏記物資采購成本和應付賬款以及其他應計負債，造成核算和報表反映不真實、不完整、不規范；合規風險主要是：可能導致采購業務處理違反國家有關規定而受到行政處罰或法律制裁。

3、

分析采購與付款的業務風險4、

確定并說明采購與付款業務流程的關鍵控制點為了從內部來控制上述業務風險，必須規范采購與付款業務流程的同時，對關鍵控制點進行具體的描述。

采購申請和采購計劃的關鍵控制點是檢查庫存平衡。符合控制定額的辦理領用（發貨），定額不足的將編制采購計劃，需要經需求部門領導審核后報采購部門。

采購部門的采購預算需要經部門領導審核后報高層主管領導審批。

采購計劃應包括采購價格、需求時間、供應商、采購合同、采購物資的技術指標。

選擇供應商時，需與供應商就價格、交貨周期、付款方式、供貨質量要求等進行談判確定的，由采購、財務及相關技術部門等人員組成談判組，提出初步意見，報授權領導審定后由采購部門牽頭談判；對公司要求實施集中采購的物資，應按公司的相關規定辦理；屬招標采購范圍的，應組織招標采購。

5、

采購合同簽訂流程子流程及其關鍵控制點采購合同簽訂子流程圖的職能帶將包括供應商、采購部門、法律審核部門、財務部門、質檢及相關技術部門、業務分管高層、財務總監等，流程環節主要有擬定與修改合同、合同審核審定、合同簽訂、合同存檔備案等。采購合同簽訂流程的關鍵控制點：

大宗批量與較重要物資采購必須簽訂合同。由采購部門擬定合同文本后，送財務、法律和技術等有關部門審核。

財務、法律和技術等有關部門依據職責權限認真審核合同有關條款，提出修改意見交采購部門修改合同文本。

分管采購業務的領導和財務總監審定合同，交授權人員簽訂合同。原件留采購部門，副本報財務、檢驗、法律等部門備案。6、

采購與付款流程對崗位職責分工的主