管控风险 创造价值

一、内部控制是什么？

内部控制，是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。

内部控制的作用指，内部控制的固有功能在实际工作中对企业的生产经营活动及外部社会经济活动所产生的影响和效果。在社会化大生产中，内部控制作为企业生产经营活动的自我调节和自我制约的内在机制，处于企业中枢神经系统的重要位置。企业规模越大，其重要性越显著。可以说，内部控制的健全、实施与否，是单位经营成败的关键

二、企业为什么难以解决内控上存在的问题？

一个企业在生存、发展的过程中，必定会面临各种各样的风险，如决策管理风险、政策法规风险、制度缺陷风险、流动性风险、市场风险、信用风险和操作风险等。在风险面前，企业并不是无能为力的，可以通过建立内控体系来防范和化解风险。

但企业最大的风险在于对风险的无知和无视，对已知的风险企业一定有相应的控制措施，而对未知的风险，往往是防不胜防。企业常常发现不了自己存在的风险，一是由于外部时刻在变化的复杂环境造成的，另一原因是只缘身在此山中。不知道风险在哪儿，当然不可能建立应对风险的控制措施了。我认识的一些企业家曾和我说，企业里面的人在做事上经常马马虎虎，在对待问题上经验主义，制度都有，但风险事件层出不穷。

三、内控体系建立的四大关键步骤

关键步骤一：搭框架

企业内控体系的框架搭建依据四层分法，也可以称为两横两纵——

第一层分法（横向）：按行业划分，分传统制造类、化工类、金融投资类、房地产类、建筑施工类、物流类、商业流通类、服务类、移动互联类……；

第二层分法（横向）：按企业所处阶段划分，培育期企业、成长期企业、成熟期企业、衰退期企业；

第三层分法（纵向）：按企业类型划分，分为多元化集团、专业化集团、单体企业、分支机构；

第四层分法（纵向）：按专业分类，企业的内控包括：公司层面的控制、业务层面的控制和信息层面的控制。公司层面的内控包括：组织架构、人力资源、社会责任、企业文化；业务活动层面的内控包括：战略、人力资源、资金、采购、资产、销售、研发、工程、担保、业务外包、财务报告、全面预算、合同管理；信息层面的内控包括：内部信息传递和信息系统。

企业如果没有依据四层框架分析来搭建适合自己的内控体系，就会走入内控搭建的误区，要么是走形式，要么建立的内控体系不符合企业实际情况，就好比给自己穿了一件不合适的外套，内控变成了负担。

举例：某集团企业处在快速发展阶段，无关多元化，分子公司多，站在集团的角度，如何实现对分子公司的控制，管哪些不管哪些，内控与集团管控如何融合，面对如此复杂的集团化企业的全面内控体系建设，我们建议企业的内控建设先从财务内控着手，开展财务内控管理体系的梳理和设计其原因有三：

首先，财务管理体系是整个集团运营的核心，解决了财务管理体系的关键矛盾，整个集团的内部控制问题就至少解决了一半的内部控制难题。

其次，财务管理部门的经理业务水平较高，对生产经营的各个环节均有深度的掌握和全面的认识，梳理各业务活动内部控制会起到事半功倍的效果。

再者，从财务管理往企业价值链的前端延伸，可以一直伸向销售、采购、生产、物流、研发、信息系统架构等各个环节，甚至可以将管控要求最终延伸到人力资源管理、企业的组织架构、公司的治理层面等内控环境层面。

思路确定后，咨询项目组为该集团量体裁身，首先从财务集团管控角度做了一次深度培训，使集团各层面的负责人都认识到集团管控不是一个简单的问题，而是一个系统问题。而财务内控先从资金入手。全面梳理了集团资金管理内部银行模式中出现的各业务活动流程。项目组为集团设计了资金计划管理模板、编制了资金计划上报和资金平衡管理流程；理顺了结算部与二级公司之间内部银行结算业务流程上的不衔接之处，规范了结算部与融资部就银行业务办理过程中的业务交接程序和责任界定，重新编制了《资金管理制度》，包括：资金计划、票据、现金、银行存款、其他货币资金、信用证、借款、融资、备用金、网银等各种事项的管理规定。在制度中明确各责任主体在资金活动中的职责与权限，强调资金内控的各项风险控制措施。因为着手准，单点突破，效果很快呈现。

关键步骤二：找风险

中国企业所处的发展阶段差异非常大，不同成长阶段，不同规模，不同所有制的企业，企业的风险不一样，集团企业更多关心战略风险、管控风险，投资风险，资金风险……而单体企业更关心市场风险、生产风险、质量安全风险。风险不一样，内控上存在的缺陷表现形式不一样，控制的方式也存在很大的差异。

发现一个企业的内控缺陷不是看他有没有制度和审批，如果没有那是内控设计上的缺陷，如果有了，但企业风险仍然存在，那是执行缺陷，而企业好多的问题就是在设计上有，但执行上不能执行，或设计上没有，执行上往往形成了约定俗成的不成文规定。那么，有经验与没有经验的人来判断这个缺陷就会有很大差异了，当一个缺陷被认定时，设计内控体系时就会按照原定的逻辑来梳理流程，加强关键点、风险点控制，并通过制度来固化。当一个内控规定不能在企业的经营实践中执行时，简单的提出加强控制是不能解决问题的。这种情况一定是企业管理上存在的客观情况，有的是企业的问题，有的是行业的特色。如果是企业的问题时，就要帮助企业解决执行上的问题，不是强行要求就可以的，这时内控与企业的业务、与企业生产、质量控制、与企业的激励放权措施，与企业的管控模式，与企业的用人机制都有关。当发现一个控制事项不能有效执行时，我们会分析其是系统问题还是单项问题，如果是单项问题，解决的办法会比较容易，如果是系统的问题，需要提供专项的解决办法。

举例：某集团企业存在短贷长投，企业也知道这是风险，但长时间这么过来了，没有出问题，大家也就习以为常了。从内控要求来看，企业的流动资金紧张，企业存在短贷长投现象时，从内控的角度一定会指出缺陷，在制度上规定不允许短贷长投，但企业资金上的问题一时解决不了，新的风险就出现了，那么企业解决此类内控问题时，需要从根源上找问题，建立资金风险分析模型和预警模型，为企业提供更多融资渠道指引，帮助设计内部资金平衡计划，平衡内部资金需求。

举例：当企业存在大量逾期应收账款，而企业在应收款管理上有严格的管理规定，销售合同也按内控要求走了所有审批环节，可企业的应收账款量越来越大，逾期款也越来越多，如果仅仅从制度上去要求加强应收款控制是不能解决问题的，如果制度上规定不允许赊销，我相信这样的内控制度是行不通的。怎么解决这样的内控问题，好的内控体系需要从如何建立客户信用评价体系，如何建立销售人员激励体系，如何将回款与责任人员薪酬绩效挂钩来解决问题。

关键步骤三：建规则

企业存在风险，存在内控管理上的缺陷，就需要加强内控文化建设，通过完善一系列的制度、流程形成共同遵守的规则。

内控规则最重要的成果是针对内控形成的各项内控手册。常规的内控手册的构成分6大手册，包括总则、环境分册、风险评估分册、控制活动分册、信息沟通分册、内部监督分册。但手册的内容构成不同咨询团队提供的产品会有较大差异。这其中最关键差异就是适用。而适用与否，不是谁都能实现的。内控要解决的不仅仅是控制的问题，更多是要解决企业发展与风险控制的协同。

关键步骤四：持续评价与提升

内部控制规范体系是一个企业内部控制应有的基本管理要求，在规范的基础上进行控制才是最有效率和效果的。内部控制改进体系是规范体系运行和完善的机制保障，只有通过监督改进机制，一个规范的体系才能很好地运行、完善。

内控风险和评价，内控风险评价报告有时是为满足上市公司信息披露用的。而企业本身需要定期提报一份真实的内控评价报告，让决策层清楚的知道企业存在哪些风险，通过控制措施降低了哪些风险，还存在哪些剩余风险。定期评价，不断改进循环，企业才能处在稳定上升的发展态势中。内控风险评价上最大的优势是不仅能帮助企业找到风险，而且有对风险的评估能力，设计应对风险的模型，能清晰的通过风险评估工具指出控制的效果，并合理的评估还存在的剩余风险。所谓剩余风险是指那些未能为企业所控制的战略风险和各经营流程的流程风险。一般来说，剩余风险往往具有一定的财务后果。它可能导致企业财务报表的重大错报，使企业财务报表重大错报的风险增加，也可能导致企业管理层舞弊，严重者还可能导致企业破产。

四、专业化的内控咨询能为企业带来怎样的不同？

咨询公司在风险管理上有自己的咨询工具和方法，更重要的是为多家企业提供过类似的咨询服务，形成了完整的风险数据库，也积累了多家企业应对风险的经验和方法，同时因置身事外，能更客观公正的评价公司的管理。

内控咨询简单的来说是咨询公司抛开经验主义，从第三方的角度来帮助企业查找企业管理上存在的现实的问题及潜在的风险，然后帮助企业建立制度化风险评估及科学风险预测、科学风险应对的体系。

内控体系所要实现的目标是进行内控体系建设的出发点和指导；一个完善的内控体系能实现多方面的目标。但是，不同的企业在发起内控体系建设项目时，往往对内控体系所要实现的目标有侧重点或阶段性的要求；从企业咨询需求的角度，不同阶段，不同类型、不同状况的企业对内控的需求也不一样，很多咨询机构在应对客户的咨询需求时都会面临两种或三种咨询思路，一种是合规性需求的咨询思路，一种符合企业应用需求的内控制度、流程体系梳理，第三种是帮助企业建立真正防控风险，能落地实施的内控体系。这三者的区别主要在是否符合企业实际，是否能落地实施。企业请咨询公司做内控体系就像买衣服，买衣服的标准不同，最后的结果也会有很大的差异，是想要时尚，还是想要品牌，还是想要合适，时尚的东西好看不好用，品牌的东西贵还不一定合体，真想买到适合自己需要的衣服，首先需要企业自己有鉴赏能力、有执行的能力，如果自己的鉴赏能力和执行力不够，那么至少能把自己的真实需求表达清楚，而且还要配置与需求匹配的资源（包括时间、参与实施推动的人，内部协调机制），量体裁衣做出来的衣服肯定是最合身的，能愿意为合适的内控体系支付成本也是很关键的。

咨询在一定程度上能协助客户进一步明确其对内控体系的要求和期望，在咨询和客户之间，以及客户决策层之间形成一致认知。

企业内控体系的建设不是推倒重来，而是结合企业的实际情况，将散布于企业管理各个方面的相关元素按照框架的要求和标准进行补充、修正和组合。使企业的内控体系更具系统性和科学性。内控咨询产品的形成，一是能保证工作的有序推进，二是对开展内部控制体系建设工作进行了整体策划，明确了建设目标、建设思路、建设方法，确定了项目建设阶段，并为企业提出明确的实施工作计划。企业建立内控体系就应该真正把内控作为强化企业管理的抓手，紧密结合企业实际，总结管理经验，优化控制环境，不断创新，推进管理水平提升。

附：合同管理内部控制风险点及主要防控措施一览表

合同管理内部控制流程图

一、工作步骤示意图

二、工作流程图

三、风险点及主要防控措施一览表

（一）合同订立阶段

（二）合同履行阶段

本文转自新政策前言