内控管理

内控管理

近日来沸沸扬扬的国美内斗事件，是中国国内证券市场成立以来史无前例的新闻焦点。先有大股东黄光裕身陷囹圄，后有“黄陈”对国美控制权的激烈争夺，至此国美的内部控制和企业管理风险问题全面爆发。如今，国美已经成就了一个完整版的中国企业内部控制和风险管理案例，为广大管理者敲响了警钟！

对于企业内控，2002年美国因为安然事件出台了《萨班斯-奥克斯利法案》，而中国亦有五部委最新发布的《企业内部控制基本规范》及其配套指引，显然企业只有建立了行之有效的内部控制体系，才能获得稳定且持续的发展。

企业内部控制规范体系在我国的启用尚处在起步阶段，根据多年为各类企业提供风险管理和内部控制服务的实践总结，从实际操作角度出发，详细了解COSO内控框架精髓，并配以国内外典型案例，来说明内控体系构建的具体步骤，结合企业自身现状寻求解决内控系统问题的方法，真正让内控体系从企业内部开始，从上至下全面的把企业武装起来！

问题所在

“会议越开越多，流程越设越长，涉及的部门越来越多，风险是否真的越来越少？”“如果每次审批总是进入例外管理的程序，那花费时间讨论正常流程又起什么作用？”“内控部门是不是文档制造机？如果一个事项应该在几个文档里体现，但实际却只在一个文档体现，即使我们愿意执行又该怎么执行呢？”铂略咨询Linked-F研究显示，跨国企业的内控部门经常受到来自业务部门的各种挑战。铂略认为，如何向业务部门解释内控是做好内控的关键工作。内控部门第一步就是要给业务部门树立正确的内控观念，明确业务部门和内控部门的业绩区别。

业务部门，是要带领企业高质高效的达成企业的经营目标，将其价值最大化。这个目标是企业的自主性目标，是自己给自己的压力。它所实现的措施都是积极性的措施，是为了实现要带领企业有效率的的达成企业的价值最大化。而内控，更多的是外部强加给我们的，它要求我们企业里的每个人应该使用正确的方法，做该做的事情，而不是不择手段的用你的智慧和能力去实现企业价值的最大化。从这个意义上说，内控的目标是强制性的，它的措施是防御性的。所以COSO（美国反舞弊性财务报告委员会发起组织）的报告里写到“再好的内部控制体系，它不能够把一个劣迹斑斑的或没有经营智商的管理层变成一个非常有经验、头脑和能力的管理层。”所以他的作用不在于智慧和能力，它的作用在于去完成外界强制要完成的事情，在企业实现主要目标的前提下。它是一种防御性措施，它所强调的是一种必须做的义务和责任，而不是智慧和能力。

内部控制的设计指南

铂略咨询Linked-F认为：一个公司如果没有内部控制设计，那么内部控制是不存在的。所以要了解内部控制设计的一些基本的策略，基本的策略是什么，内部控制有哪些重要的原则。比如说我们经常讲的职能的分权（separation of duty）这就是内部控制重要的原则，除了这个原则以外，我们还有什么原则需要遵循呢？我们需要哪些内部控制的手段可以帮助我们减少内部控制方面的风险呢？这些就是我们在设计内部控制的时候可以去使用的东西，可以作为我们基本的调料或原材料，使我们在设计内部控制的时候可以用这些手段，另个地方要注意那些原则。所以我们要总结出内部控制设计的策略、原则和手段。

另外，内部控制的设计集中体现在文档指南，所以文档指南应该如何去设计和书写。越来越多的经理人，包括会前有一些问题提到我们流程的梳理到底是谁应该做的事情，我们内部控制就是要帮助他们做流程的再造。虽然我们内部控制经理是和各个职能的经理在专业方面是有差异的，但是毋庸置疑，我们越来越多的被卷入到了流程改造、标准化、和流程再造方面的工作区。所以为了做好这个工作，我们必须有一个非常清晰，非常完整的技术体系要掌握，这个体系我把它叫做企业模型技术。

这个企业所有的规章制度统统加起来我们可以把它叫做企业模型，企业整个的运转都是在模型所规定的规则内进行的，当然，有很多事情是例外的，不可能为每一件事去建立规则，所以那些经常出现的，主要的业务类型，要建立规则，让各个工作人员，各个岗位的去执行，按照标准去做，但是对于偶尔出现的，可以不建规则，特事特办，这些我们叫做例外管理，但是企业里大部分发生的事情都是重复性的，所以对于大部分的很多重复性的事件来讲，我们对每一件事情都做一个标准化的流程，就成为我们内部控制人员必须关注的一项工作了，所以我们要掌握企业模型，企业建模的技术，对于我们内部控制人员，真是一项非常好的财富，所以在第三个设计指南话题里面，我们要把企业模型的技术掌握起来，所以我讲课我会讲到。

第一个是策略、原则和手段。第二个是内部控制的文档指南，它是整个内部控制体系设计的一个灵魂。第三个是企业建模技术的应用如何在内部控制的设计过程中去应用我们企业建模的技术。那么企业建模技术是什么样子呢？我们就是要在这个环节去掌握。第四个方面，就是要有能力，将内部控制、文档指南具体到一个流程，我们怎么帮助我跟他们合作时的风险识别出来，并加以应对。或者说我怎么在空白的领域，空白的企业，如何去建立它的内部控制体系，这就需要有详细设计的能力。

详细设计

详细设计内部控制体系，是需要有很深厚的功底的，这也是铂略咨询Linked-F会员关注的焦点问题。它主要是分成三个方面，一个是内控环境的一种设计，第二个是内控手段的设计和相对机制的设计。这里重点是在内控手段，因为内控手段有十个领域要去做，包括采购、资产、生产、销售、会计、人事、信息、杂物、财务、综合。内部控制涉及到企业的方方面面，所以首先要有一个体系性的框架的东西在心里。然后，一个一个地去设计刚才所说的内控指南的策略、原则、手段、技术在内控文档指南的整个体系设计的指导下，每一个要素对内部控制环境，对内部控制手段的每一个领域，以及针对机制的详细的设计。

风险管理

在内控工作中，您是否遇到过以下情形：

当财务部门审批销售部门的差旅费或交际应酬费时，总听到销售人员在抱怨：审的也太严了吧，我们在前面冲锋陷阵，你们反而在后边拉我们后腿。

在对供应商进行招投标的过程中，采购部门认为处处按照采购部门的规章制度办事，怎么到了法务部或管理部，选中的供应商就迟迟批不下来呢？

公司管理层天天说风险，为什么员工对风险却没什么概念？是领导在危言耸听，还是风险管理和控制就是领导的事儿。

制度整合了，流程也更新了，但在执行的过程中，反而觉得比以前更麻烦了，花的时间更多了。

类似的困惑和问题一定还有不少，它们都和企业的内部控制与风险管理体系息息相关。

安越的课程以丰富多样的案例为基础，揭示这些困惑和问题的实质，并提出切实可行的解决之道。

收益

掌握先进的内部控制、风险管理、职业舞弊及内部审计等理论。

掌握快速诊断企业内部控制缺陷的方法，评价内部控制的效果并进行改进。

提升管理层对内部控制自我评估的能力，建立有效的内部控制环境。

明确如何结合企业自身特点、建立适合企业自身情况的内部控制系统。

通过企业运作中的典型实例帮助学员明确主要业务活动中的控制要点、控制标准和控制方法。

优势

将内部控制与企业的经营管理融为一体，切实可用的风险识别和评估方法，树立企业全体的风险意识，提供可以即刻进行实施的控制工具，涵盖业务循环的各个方面。

适用对象

财务总监及其他相关的高级管理人员，负责内部控制和内部审计部门的经理、主管和其他管理人员，财务与其他职能部门的经理和管理人员。

什么是真正的“内部”?什么是真正的“控制”?

企业发展的基石

内控体系

企业目标

内部人控制的陷阱

内控的局限性

成本与效益

COSO内控框架

角色与职责

其可为与不可为

内部环境

内控的基础

控制环境

权责分配与内部环境

内部审计与内部环境

人力资源政策与内部环境

企业文化与内部环境

案例：三鹿事件

风险评估

发现千里之堤的蚁穴

应对变化

评估

案例：诺基亚与西门子之争

内控建立

量体裁衣——内控的设置

业务活动内部控制设计

内控体系建立和执行的五个阶段

如何确定和分解目标如何识别风险

如何建立控制政策：二维表、流程图、文字描述

如何有效执行内控

如何监督内控的执行状况：执行过程中的监督和独立评估

他山之石

控制活动

控制活动的类型

防范于未然

控制活动与风险评估相结合

IT控制

具体问题具体分析

控制活动的评估

案例：商业巨星的陨落——再论安然事件

信息沟通

案例：部门间的资源共享

内部审计

持续性监督活动

角色与定位

独立评估

报告缺陷

案例：订报单引出一起私分国有资产案

职业舞弊

常见的舞弊行为

职业舞弊与内部控制的关系

公司治理

萨班斯法案与公司治理

萨班斯法案的内容框架

S302及S404

企业在遵循S404所面临的主要障碍