内控设计四步法.doc

此文档收集于网络，如有侵权，请联系网站删除内控设计四步法内控设计通过四步完成。第一步是内控体系的评价。评价的时候就通过各种方式方法，个别访谈法，调查问卷法，比较分析法，标杆法，抽样法，实地查验法，重新执行法，重新执行就是现场有人走一遍，我就跟着看，这个流程到底有些什么问题，组织专题讨论会，看看我们目前的内控体系，有没有好处。有人说先生，你不是说我们内控还没有做，那你对内控评价什么，所这里，我为什么刚才把内控特别定义为第一代、第二代、第三代、第四代，一个企业最起码有第一代内控，就是内部牵制，肯定有，甚至内控制度肯定有，制度化的内控，因为他们公司只要有制度，这个制度在一定层面上还是形成一个内控，只不过没那么全面，有些漏洞而已，甚至他们公司有一个结构性内控，有一个基本环境，文化还是有的，这个控制程序有的，会计控制最起码是有的，不健全而已，多少是有的，所以是可以评价的，目前你的内控现状是怎样的，因为我们不是完全地平地起高楼，企业只要活着，只要经营着就有内控，就好象一个企业只要活着，就有管理一样，有一定的战略一样，并不存在完全真空，全无的这么一个情况，在生活里面是找不着的。那么它的内控的有效性，我们如何评价呢？我们针对五方面，首先是否针对风险设置了合理的细化控制目标，不仅要找出风险，而且对这个风险的细化控制目标有没有。比如财务风险，是你的一个风险，你细化控制目标有没有，财务风险到底控制到什么程度，控制到没人做假帐，还是控制到每一分钱的使用我都知道，还是水至清则无鱼，睁一只眼，闭一只眼。任何企业都要设置这么一个细化的目标，而且是一组系列的计划目标，才能使得你的内控有所方向，我们要具体来给你设计内控的话，不能说控制你的财务风险，以及控制你的法务风险，你的法律风险，比如说先生，你说我要控制法律风险，那你要告诉我，一年从头到尾毫无官司打，还是每打官司必胜，还是认识几个法官，和高位建立很好的关系，无论多大的法律官司我都能压下来，还是什么，你要给我一个目标，我才能帮助你建立内控，内控就是一系列实施措施，是否针对细化控制目标，设置了对应的控制活动，每一个细化控制目标，对应一个乃至于多个控制活动，比如你要控制没人做假帐怎么办。以前我认识一个企业家，他看这个员工出差是否勤勉，他就看他从机场到社区，是不是坐大巴，以及在市内办事的时候，会不会坐公汽，你有出租车票也无所谓，你坐过公汽没有，他这一招很有用，因为他的员工已经大手大脚惯了，到任何地方都是打的，从来没有坐过大巴，那么他这一看，你这很浪费，控制活动。有些企业里面，比如说采购，是抽出30%进行复查，一旦复查出来有问题，就一直彻查到位，就这个人的采购一直彻查到位，几十年前的老案子也能被翻出来，就是某一次失手了，等等。所有的控制目标好建立，但是基于控制目标的控制活动，你到底怎么建立。像有些公司里面，为了防止子公司里面的人徇私舞弊，就建立了举报信箱，举报信箱每天有人去查，当然有些公司更厉害，直接董事长的BBS上面，随时可以信息上去，像王石，如果王石的子公司出事，王石首先知道，王石直接打电话给子公司老总，子公司老总才后知道，所以子公司都害怕，都抢在王石知道前把事情先摆平，所以都属于相应的控制活动。控制活动有很多重，除了刚才讲过的七大措施以外，细化的可以说，只要人活着，控制活动就每刻都在繁衍，随时可以产生很多。另外相关控制活动是如何进行的，进行得是不是强有力等等，另外相关控制活动是否得到持续一致的支持，是三天打鱼两天晒网，还是一直有人在管理这方面的东西。很早之前，我认识一个财务人员，这个人很傻，每次来一个国外客户，每次来他都要去查这个公司的信誉，大家都以为他是神经病，有一次这个公司又来一个大的订单，他又去按惯例查这个公司的信誉，居然发现这个公司早就破产了，换言之，这次是骗货，他们破产了，已经支付不了了，他把你的货采购出去，肯定是骗你的钱，像这种事情，其实除非有经验的人，不会每次都去查信誉的，他是吃过这个亏，所以他每次查信誉，坚持了好多年，才查出了一次犯罪，但是事实上这个坚持成本早就可以够了，内控就是这样一个活动，坚持五年、十年不出事，只要把一次控制住了，整个为这个系统所花的钱全部赚出来了，你不能指望天天出事，那这个有问题。我听说过一个最愚蠢的人是，他埋怨，他自从参加了保险以来，保险公司没给他赔过一分钱，这个有问题，保险公司赔得越多，证明你可能已经死掉了。另外实施相关控制活动的人员是否有相应的权限和能力，我们就从这五方面来查控制活动的有效性。刚才是控制活动有没有，控制系统健不健全，另外这是第二个维度，假使有，你这个控制活动是否有效，最后查完以后，我们得到一个最体报告，在把这个报告给出去，通过了，你们在这方面设计缺陷是什么，运行缺陷是什么，流程设计过程本身就有缺陷，把这类的风险防不住。还有流程是科学的，执行过程当中，有些人瞎整，出现了运行缺陷，分别又可以用重要缺陷、一般缺陷来表述，当然这是大的分类，如果详细分类，你还要给很多评述，很多详细的标准，一般来讲的话，企业里面，我们大概分成三大类，然后再给他排上一个权重的话，企业自然就知道，要优先改善什么东西，因为具体实施过程当中，这类东西很多。这是第一步，现有内控体系的评价，整个内控体系是不是健全，有没有哪方面行，哪方面不行，能不能防住。其次内控的有效性，最后出一个内控评价的标准，设计缺陷是哪些，运行缺陷是哪些，这个是第一步，评价。20万或30万，钱收到手了。第二步，对它再造或优化。如何再造或优化呢，我们首先来看看，第一步，内控体系的环境的评价，整个环境，如果环境不足再来设计，所以你们知道，现在很多企业，内控出来了以后，首先要做企业文化，治理一般都做过了，岗位设置、人力资源，基本上这个企业不要不是太痴，太傻基本都有，上市公司起码都有，缺就缺文化，所以王吉朋这些人趁机发了一些小财，但是治理的文化，除了传统上彭建芬，华夏基石他们做的文化以外，特指其中一个文化，风险文化，事实上目前很多公司，文化里面的风险文化，他不做，从风险意识的建设，到风险理念的传播，建立正确的风险责任观，以及传播风险理念和风险意识，以及个人岗位对风险管理的责任，每一个岗位都在进行风险管理，不能说风险管理是风险管理部的事，那么这个环境，这个整个做完，就是内控环境优化。假设他们公司没事的话也罢了，所以做内控过程里面你们看，到第二步，如果找出一个文化来做做的话，起码是80万，这就是110万了，治理再稍微优化一下，收他20万，130万就收到手了。第三步风险评估。这个风险评估按我们目前普遍的看法的话，收个4、50万是没问题的。风险评估，按照COSO体系，就是几大方面，我们来看看，战略目标方面，你的风险管理，设定一些目标，如何实现战略，如何实现运行目标，如何实现报告目标，如何实现合法性、合规性目标，这属于风险管理的目标，你首先拿出一个目标来，战略上，你的战略要100%地达成，毫不受影响，还是哪些方面可以忍受一些达不到，你的报告上面，哪些报告要完全真实，哪些报告你要容忍一些不真实、滞后，哪些报告要超前上来，必须不折不扣地达到，因为你唯有提出具体要求，我们才能帮你做内控。所以内控是这么来的，首先设定目标，尤其是设定目标的细节。比如说我们要设计财务风险，那么这是随便举例，至少这28方面，都要达成，比如说由管理当局批准订单的价格及销售条款，如果管理当局没审过这个合同的话，这个合同就是无效合同等等。每一个风险管理目标，不仅要设计大的目标，还要细化到这个层面，但是你们要知道，中国做不会这么做的，这么做起码要过百万美金才能做下来，审查个一年，我们现在快的三个月要结案，所以说说，一定要知道，我们讲的理念和实际操作过程当中还是不同的。为什么呢？实际操作过程还是一个商业过程，所以商业过程就是有限的钱，有限的天数，有限的资源，反过来说，它也是有限的要求，不是无限的要求。首先把目标和细化目标设定了以后，我们再来识别，对应于目标和对应细化目标的风险，世界上有很多风险，不是每一个风险你都去分析，克林顿出事以后怎么办，不关我们的事，我们只考虑我们的资产安全被侵害了，我们子公司的人把资产卖掉了，单子被偷出去了，信息流失了，等等情况下出现什么问题，我们要把这些问题控住。那么针对这些问题的内部风险是哪些，外部风险是哪些，要识别出来，找出来，然后对风险一一加以评价。风险评价简单讲的话，就两个维度，这个风险出现的概率高不高，这个风险一旦出现，影响大不大。疯牛病，中国人得上疯牛病的概率很低，一旦得上疯牛病以后死掉了，所以就不管他，如果为疯牛病去防要花很多钱，防不上，反而有可能打疫苗染上疯牛病，疯牛病就不防，染上就死了算了，也治不好，所以这是赌命，治疗疯牛病也是愚不可及的事情。比如说娶个跨国新娘，最后被诈骗了怎么办，你干脆不娶不就得了，这个风险不去搞了，等等等等，就是这么评价。当然还有一个评价维度，此风险是否可以被管理，有些确切是风险，但管不住。比如说出门遇车祸怎么办，这个就不能管了，否则你就在家里不出去，躲在家里也可能地震被砸死，所以这类的风险管理毫无意义，到这一步，是系统原因了，再去追究已经没有追究的必要了，有些风险可能既是高概率，高风险的，但是你是根本防不住的，也不管它了，差不多是这么几个维度。然后风险评价过以后，对风险排队，一个企业的风险成千上万个，但是只有少数有重大价值的风险，才值得被我们专门建立一个风险应对计划，去管理，有些风险是发生以后才能管理，只能建立预案，比如说中国要发洪水，发洪水之前，中共中央根本没法管理，只能是黄河决堤了以后，动员我们上去，我们经常在新闻联播里说，中共中央迅速启动了预案，就是这个概念，预案管理。有些风险是事前就警告，事中监控，中共中央这次建立一个干部考核制度，必须在第一现场，第一时间把事故给它搞下去，所以以后我们现场工作人员会越来越手段强硬，暴力抗法，什么群众集会，首先盖下去，打死几个人也不惜，这种人可能被奖励，把事故压下去了，凡是事故扩大了，官员要撤职，以后在基层会出现大量的胡锦涛式干部，直接现场去压事故，因为目标建立的本身就非常有意义，引导官员的行为会发生变化，以后事故压下来了，当然还有一个压，就是让记者来不了，不让记者知道，另外现场闹事的人，第一个把他干掉，这样一来，事就没有了，所以风险应对的概念。采用定性定量结合的办法，按照风险发生的可能性和影响程度，对他进行排序和分析，确定重点和优先控制的风险。其次，企业进行风险分析，应该充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的正确性。企业应该根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对的策略，就是这个风险到底该怎么办。有些时候，有些风险根本不能碰，有些风险可以碰一碰，有些风险管它呢，发生了再说，有不同的风险策略。另外，企业应该合理分析，准确掌握董事心理，及高级管理人员关键岗位的风险偏好，采取适当的控制措施，避免因个人风险偏好，给企业经营带来重大的损失。所以对管理者个人的风险偏好还要进行管理，这是风险应对。内外部风险识别，这个就一句话，刚才我们不是已经建立了目标和细化目标吗，那就根据目标和细化目标去找，哪些是内部风险，哪些是外部风险，所有的选项进行识别。比如说一个老企业家死掉，找不到接班人就是风险，脑筋僵化是个风险等等，就这么多健康风险、继承风险就是风险。在团队里面还有很多风险，要识别。评估就很简单了，概率、影响度，根据概率和影响度，把事物分成三六九等，加以解决，最后建立风险应对的基本策略。规避，就是老子不干，这类事情我碰到以后，绕着弯走，明明有可能被欺骗，比如说经常短信告诉我，我中奖了，我到福建去领奖八万元，那你说我去不去呢，正确的选择就是把短信删掉，有些人去了，回不来，这个就属于大傻瓜了，要规避。还有人多处我们就不去，这都属于规避的做法，甚至有些人干脆路上碰到陌生人搭路都不说话，比如说现在有很多人会问，比如你从飞机场出来，你是不是这班飞机，他问你第一句话，第二句话是我钱丢了你给我赞助点钱，我很早之前去北京的时候，发现北京人很热情，大哥，你是不是哪一班，因为广播里已经说了，我说是的，然后你看，我把来北京的钱丢了，我就想，哥们穿得这么好，肯定也不会骗，又过两步，又叫大哥，也丢了，我说北京贼很多，丢了就丢了，又碰到第三个就知道了，这是一种风气了，以后再到北京，叫大爷我都不理了，规避。转嫁呢，发现这个风险我一个人背不起，我找个合资公司，我建立一个分品牌，或是建立什么，总之要把这个风险转嫁出去，不能成为我一个人的风险。比如说有很多人在恋爱时期，采取AA制，这是转嫁风险，如果恋爱不成，也没什么重大风险。当然最中国的一种方式，还要同时和好几个人恋爱，时间也不耽误，当然我估计AA制差不多对方是不干的。还有一种流派是今天第一次见面，很豪华请一顿，能够一次性达成关系就行，否则我们第二次就不要见面了，我钱花不起，也属于一种转嫁或规避的做法。还有一种人是承担，出了事再说，那么容易出事吗？出事再说，这种人胆子很大，往往也很容易把这个事做成，属于那种不怕，因为世上毕竟很费事搞一个事的人很少，所以你们有时候会看到，有些骗局，能维持很长时间不破，像PPG，被骂了这么长时间才倒闭，PPG真的很厉害，我看网上把PPG骂得要死，但是并不妨碍他每天有这么大的销售额进来，实在太可怕了，他就完全不去设防，比如说他进行一些质量控制，提高产品品质，事实上是能活下来的，但是他的老总想短期里面卷走最多的钱，这是他的目标，比如说他与其给你邮购来成本是20块的衬衫，倒不如邮购来8块钱的衬衫，反正你已经骂了，是吧，他再扭转风气，扭转认识的话很困难，名气已经臭了，那么这就是一般意义上的风险应对。好，你们看，走到这里呢，我们对整个内部环境进行了分析，然后对风险进行了评估，企业里面要实现财务目标，要实现战略目标，要实现合规目标，要实现信息对称的目标，要实现资产安全的目标，甚至有些目标还可以细化。与这些目标相对应的，是企业面临法律风险、战略风险、管理风险、环境风险，国有企业还有国资委的抑制风险，民营企业的话，还有用工风险，还有当地发展的风险，太多太多风险。比如说在浙江，这两年因为产业升级，凡是做污染产业的，全部搞到盐城去了，盐城有一个著名的化学园区，全中国最大，号称利用黄海的自净能力，据说污染物到黄海里去，会和沙结合，沙沉淀的过程就是去污的过程，这不知道是哪个伟大的教授发明的说法，实在太可怕，当初我就认为这个有问题，结果青岛搞奥帆的时候，连续五次红潮，海藻都杀不完，利用军队连续奋战了30多天，刚搞完，早上欢送，晚上红潮又来。当时7、8月的暖流，讲简单，就是从黄海直接运动，就是从盐城直接去青岛的，都知道从浙江过去的。这次盐城又整个城市水污染，就是由此而来的，谁都看到，这一类的风险，整个越来越普遍了，也因此成思危等人认为，21世纪整个进入了风险时代，必须对风险进行严格的控制，所以风险的控制就很重要。那么紧接着呢，风险评估完了以后，就针对外部风险要建立一些控制活动，和内部的风险进行控制活动，把风险要控制活动化。这里你们一定要记住一个基本事实，不管是内部风险还是外部风险，企业里面第一，都多多少少有些制度流程的基础，第二，这些原有的制度和流程的基础，都不全面，不系统。第三，不仅要建立一些流程和制度，并且配套的还有一些措施要上去，否则的话这个风险是控制不住的。那么外部风险的应对，社会上各种搭建的法律风险，等等，每一项风险都制定一个相应的计划，当然请注意，是大风险。小风险制定一个总体的监控计划就好了，每季度或者每半年把这些风险重新评估一下，看哪些风险卷土重来了，哪些风险影响度降低了，根据风险权重高低的变化，加以管理注意力的变化。而内部风险呢，相应的主要是根据我们刚才进行风险评估的结果，尤其是战略、财务、人力资源、投资、合作、并购、研发、品牌、供应链、营销等方面的风险加以控制，大的风险，这类风险往往是对我们实现我们的财务，各种目标，一般来讲有严重影响，其次是近期问题暴露较多的，中央认为必须控制住的，这22个子系统，就不说了。以及其他在诊断过程当中揭示的子系统，我们在诊断过程当中，发现这里，从风险链来说，是个风险评估的过程，从我们的角度来讲，就是诊断的过程，我们整个就是综合诊断，过程里面发现问题。那么所有发现的问题，我们就通过这四个动作加以解决。比如说你们看，我们要对资金进行控制，我们首先要进行这四个动作，第一，资金业务循环的模型要建立，不仅要建立一个流程，把整个流程与流程之间的关联性，就是把所有这一块的流程画成一个团块，就是业务模型，简单地讲是流程，复杂地讲是业务模型，画出来。再次模型一画出来以后，通过访谈法，各种方法，找出这个上面相应的弊端，弊端是什么。再次呢，针对弊端，每一个弊端至少要对应一个控制点，甚至有时候还不止，而每一个控制点对应的都是一个具体的控制流程。最后所有的控制流程汇编在一起，就是一个内控手册，对不对，这个我们很容易理解。我们首先来看看，这是一般意义上整个公司的资金流动的一个模型，整个公司资金怎么进，怎么出，怎么来的，怎么走的，这个其实远远无所谓，任何一个东西我们都可以划成这个东西，只是大家请注意，这个业务模型，尽量不要按它书面上的，除非企业里所有的流程都得到了执行，如果都按企业里做过的咨询来实施的话，我们就做不下去了，我们的客户很少按照他们咨询过的来进行，一般都是按照常理，按照习俗来进行，都不会按流程走。所以我们画这个业务模型的时候，请注意，是按它的时态画，而不是按所做过的咨询。然后资金管理过程当中，常见的弊端就这么多，截留、挪用、虚冒、出借、现金超额存放、白条、非法违规出借，所以你们经常听说，银行那些小出纳，甚至柜台人员，可以携款几百万元逃掉，就证明我们银行水平实在是太差了，柜台都可以携款几百万跑掉。如果是行长携款几百万的话，倒有情可源，但行长也不屑于携带区区几百万跑掉，资金管理过程当中，这是大的不顺，我们公司的资金管理都会出错，所以实在是太可笑了，全世界范畴里面，资金管理，侵占、贪污，这些问题实在是不胜枚举。弊端一一找出来以后，不是在这里找出来，而是在这里找出来，哪些点上容易冒占，那些点上容易挪用，是这样，找出来以后，再一一找控制点。比如说资金的控制点里面，如果这些控制控制住了，基本上就已经完全没问题了，当然这只是把结果告诉大家，一般要用之前介绍过的事件识别法，一一去识别，那么最后识别的，我们把结果告诉大家，就这么多东西，只要做到这些东西的话，资金一般都不会出问题，我们公司资金前不久出问题，讲简单一点，是王会计没有严格执行会计制度，我们出问题的话，那大笔使用资金的单位出问题，简直是小儿科了。之前介绍过，就不多说了。那么找出业务控制点以后，就把业务控制起来了，所以最后根据以上设计出若干控制流程。首先控制流程的设计，再次强调，控制目标是该流程的目的，每一个控制点，找出一个缺陷点，对应一个控制点，那么这个控制点有控制目标，这个点就是防止滥用，这个点就是防止贪污，这个点就是防止挪用。所以为什么你看，过去中国有个卖鞋的公司，叫百信，百信鞋业，你们可能都见到过，都是号称本城最低的，百信鞋业的一个子公司的老总就可以厉害到什么程度呢，他就可以每月挪用50万拿出来炒股，可见公司管理水平太差了，因为他们公司资金流量很大，所以截留一个月小意思。那时候情况又特别好，截留一个月，拿出来50万炒炒股小意思，他日子就过得很好，后来出事了以后，百信鞋业才开始管理，这个问题实在太多了。所以每一个控制点，都应该有它明确的目标，然后控制流程要结合各种现有的程序，控制流程请注意，控制流程不是平地起高楼，现有已经有一些流程，而且这些流程，都有法律法规做支撑，一般不会错到哪里去，或者有历史经验做支撑。我们控制流程一般去，等于派一个党代表，把这些山大王给收了，是这个概念。当然有些地方完全没有基础流程，那就重新来，我们停下来还可以加收钱，路上故意车坏了，要求多给钱的概念。好，最后，把流程不仅设计出来，而且把它措施化，配上一些措施，比如说审批、审核、复核、记帐、核对、清点清查等等，最后，把它控制流程，控制制度，配套控制流程，流程有控制点，再予以监督措施，一句话，控制制度化，制度流程化，流程岗位化，把内控和风险控制嵌入流程，使得它具有可操作性。讲是这么讲，其实我们操作的时候，我讲操作流程比较简单，企业里面去，给你诊断，不给你控制目标，因为控制目标主要是为了股东利益最大化，都是符合控制目标的，根据诊断找出来20个风险，找出来，然后每一个风险对应若干流程，具体变成流程优化了，就一般意义上，变成流程优化了。那么传统我们做流程的做法是，基本要求，过去的惯例基础之上制定一个流程，等于把现有流程画出来而已，规范化，但是现在我们做流程的话，我们认为基于基本业务要求和过去的惯例，首先对这个现有的事实进行业务风险识别，这个里面的风险到底在哪里，然后对风险给予评估，找出风险，对风险进行评估，看这个风险是高级风险、低级风险、中级风险，风险应对，我们怎么控住，然后形