蓝丰生化内控问题分析

『壹』 关于企业内部控制失效的表现及对策分析

给你两个文献资料：

企业内部控制,是指企业为了保证业务的有效
进行和资产的安全与完整,防止、发现和纠正错误与
舞弊,保证会计资料的真实、完整而制定和实施的政
策、措施及程序。新修订的《会计法》十分重视企业
内部控制的问题,在第27 条中明确规定了企业内部
监督(即企业内部控制中的会计控制) 的基本要求。
然而,从当前实际情况看,大多数企业在充分发挥内
部控制作用方面都不同程度地存在一定差距。
1 企业内部控制失效的表现:
1. 1 会计信息失真
近年来,企业由于会计工作秩序混乱,核算不实
而造成的信息失真现象较为严重。如常规性的印单
(票) 分管;重要空白凭证保管使用制度及会计人员
分工中的“内部牵制”原则等得不到真正的落实;会
计凭证的填制缺乏合理有效的原始凭证支持;人为
捏造会计事实,篡改会计数据,设置账外账,隐瞒或
虚报收入和利润,资产不清,债务不实等等。
1. 2 费用支出失控,潜在亏损增加
某些企业为了搞活经济,允许部门经理开支一
定比例的费用。但对这部分费用的适用范围无明确
规定,更无约束监督机制,导致部门经理挥霍浪费,
使本来微利的企业出现亏损,本来亏损的企业雪上
加霜;有的企业由于财务物资内控管理薄弱,物资购
销制度松驰,存货采购、验收、保管、运输、付款等职
责未严格分离,存货的发出未按规定手续办理,也未
及时与会计记录相核对,对多年来的毁损、报废、短
缺、积压等不作处理,致使巨额潜亏隐藏在库存中,
造成国有资产大量流失。
2 企业内部控制失效的成因
2. 1 企业内部控制体制不顺
主要表现在:会计岗位设置和人员配置不当,业务交叉过杂,会计人员兼职过多,职责不明;会计的
事前审核,事中复核和事后监督流于形式;有相当一
部分企业也未能充分发挥应有的作用,内部审计工
作得不到应有的重视和支持。
2. 2 企业内部控制制度不完善,执行不得力
目前相当一部分企业对建立内部控制制度不够
重视,内部控制制度残缺不全或有关内容不够合理;
更多的是有章不循,将已订立的企业内部控制制度
“印在纸上,挂在墙上,”以应付有关部门的检查、审
计。而不管内部控制制度执行情况如何,遇到具体
问题多强调灵活性,使内部控制制度流于形式,失去
了应有的刚性和严肃性[1 ] 。
2. 3 考核企业干部政绩、业绩机制不完善
长期以来,对企业干部政绩、业绩的考核以目标
利润完成为主要依据,缺乏对其他相关指标的综合
考察,有些企业领导为在任期内出“成绩”,便指使财
会人员弄虚作假。还有些业务主管部门,为了加快
本系统的经济发展,在没有进行科学论证的情况下,
下达一些脱离实际的经济增长考核指标,而部分企
业领导者为讨好主管部门借此显示自己的能力,通
过提供虚假会计信息等手段“实现”上级主管部门下
达的有关指标。
2. 4 会计人员素质较低
近几年来,会计队伍迅速扩大,但对会计人员的
思想教育,业务培训没有跟上,有些培训流于形式,
根本起不到提高会计人员素质的作用,具体表现在:
一些根本不具备从业资格,靠人情关系混进会计队
伍的人员,仍然呆在会计岗位上,这些人只凭长官意
志办事,法律、法则、制度懂行不多,但却没有不敢造
的报表,没有不敢花的钱;还有部分会计人员无视财
经纪律,为了个人利益,顺从领导意图办事,甚至为
讨好领导,在弄虚作假上帮着出点子,造成会计信息
失真,财务报表被歪曲等。
2. 5 外部监督乏力
为了加强监督,中国已形成了包括政府监督(如
注册会计师、社会舆论等的监督) 在内的企业外部监
督体系。然而,如此大的一个监督体系其监督效果
却不尽如人意,究其原因主要有三个方面:一是各种
监督的功能交叉标准不一,再加上分散管理,缺乏横
向信息沟通,未能形成有效的监督合力。二是各种
监督没有按照设定的目标进行,有的甚至以平衡预
算和创收为目的,监督弱化问题严重。三是不规范
的执业环境和不正当的业务竞争,以及对注册会计
师监督不力等。
3 完善企业内部控制的对策
3. 1 构筑严密的企业内部控制体系
企业内部控制体系,具体应包括三个相对独立
的控制层次:第一层次是在企业一线“供—产—销”
全过程中融入相互牵制,相互制约的制度,建立以防
为主的监控防线。有关人员在从事业务时,必须明
确业务处理权限和应承担的责任,对一般业务或直
接接触客户的业务,均要做好复核,重要业务最好实
行双签制,禁止一个人独立处理业务的全过程。第
二层次是设立事后监督,即在会计部门常规性的会
计核算的基础上,对其各个岗位,各项业务进行日常
性和周期性的核查,建立以“堵”为主的监控防线。
事后监督可以在会计部门内设立一个具有相应职务
的专业岗位,配备责任心强,工作能力全面的人员担
任此职,并纳入程序化,规范化管理,将监督的过程
和结果定期直接反馈给财务部门的负责人,中小企
业如不需配备专职人员,可由财务部门负责直接此
项工作。第三个层次是以现有的稽核、审计、纪律检
查部门为基础,成立一个直接归董事会管理并独立
于被审计部门的审计委员会。审计委员会通达内部
常规稽核,离任审计,落实举报、监督审查企业的会
计报表等手段,对会计部门实施内部控制,建立有效
的以“查”为主的监督防线。以上三个层次构筑的内
部控制体系以企业发生的经济业务和会计部门进行
“防、堵、查”递进式的监督控制,对于及时发现问题,
防范和化解企业经营风险,将具有重要的作用。
3. 2 建立有效的激励机制
为了保证企业内部控制制度能有效地发挥作
用,并使之不断地得到完善,企业必须定期对内部控
制制度的执行情况进行检查与考核,看企业内部控
制制度在执行中有何成绩,出现了什么问题,为什么
某项内部控制制度不能执行或不完全执行,可能产
生或已经造成什么后果。对于严格执行内部控制制
度的,给予精神鼓励和物质奖励;对于违规违章的,
坚决给予行政处分和经济处罚,并与职务升降挂钩。
3. 3 深化产权制度改革,建立健全现代企业制度
内部控制能否真正成为管理者的内在需求,是
企业内部控制制度是否流于形式的关键。而要使内
部控制成为企业的内在需求,主要取决于两点:一是
会计信息是否决定着企业的决策;二是企业是否通
过提供真实的会计信息取信于社会。这两点目前许
多企业都未做到。这种现象从表面上看好像是领导
认识不高,实际上是许多领导明知故犯,“对财经纪__律不了解或了解不深”只是借口而已,这背后更深层
次的原因,就是产权制度和代理问题。因此,只有通
过产权制度改革,建立现代企业制度,使企业领导人
与企业兴衰息息相关,企业领导者才会有动力去实
施企业内部控制制度,企业内部控制制度才会真正
发挥其应有的作用。
3. 4 加强对内部控制行为主体“人”的控制
企业内部控制失效,经营风险,会计风险产生,
行为主体全是人(这里指的人是指一个企业从领导
到有关业务经办人员) 。只有上下一致,及时沟通,
随时把握相关人员的思想、动机和行为,才能把内部
控制工作做好。具体讲除领导本身应以身作则起表
帅作用外,还应做好以下几点工作:第一,要及时掌
握企业内部会计人员思想行为状况。内部业务人
员、会计人员违法违纪、必然有其动机,因此企业领
导及部门负责人要定期对重点岗位人员的思想和行
为进行分析,着重了解他们是否有赌博、炒股、经商、
与社会劣迹人员往来和追求超常消费等情况,掌握
可能使有关人员犯罪的外因,以便采取措施加以防
范和控制。第二,对会计人员进行职业道德教育和
业务培训。职业道德教育要从正反两方面加强对会
计人员的法纪政纪、反腐倡廉等方面的教育,增强会
计人员自我约束能力,自觉执行各项法律法规,遵守
财经纪律,做到奉公守法、廉洁自律;加强对会计人
员的继续教育,要特别重视对那些业务能力差的会
计人员的基础业务知识的培训,以提高其工作能力,
减少会计业务处理的技术错误。
3. 5 强化外部监督
督促企业不断完善内部控制制度,财政、税务、
审计等部门要合理分工,建立岗位责任制,并注意加
强彼此间的信息交流,定期互通情报,形成有效的监
督合力;应加强以企业内部控制的了解,检查与监
督,加大执法力度,增加威慑力;有关部门必须切实
抓好对注册会计师的社会监督职责到位;鼓励与支
持广播电视、报刊等新闻媒体对企业(特别是上市公
司) 违法违纪行为曝光,充分发挥舆论监督作用。
3. 6 建立良好的信息沟通系统
一个良好的信息和沟通系统可以使企业及时掌
握营运状况,提供内容全面、及时正确的信息,并在
有关部门和人员之间进行沟通。目前,大中型企业
的会计核算基本上脱离了手工操作的账务处理过
程,许多企业内部控制的很大一部分也实现了计算
机化,这既节省时间提高了工作效率,又减少了人为
因素对内部控制效果的影响,今后还要特别注意开
发与引进先进的企业财务与管理软件,逐步建立高
质量的企业信息沟通系统。
3. 7 进一步加强内部审计
联合国公共行政和财政处编制的《发展中国家
政府审计手册》认为:在20 世纪,政府审计的重要发
展之一是对内部控制观念的确认,以及创建内部审
计单位,并把它作为内部控制系统的关键部分。内
部审计通过对一个单位的内部控制加以系统的检查
和评估,提交审计报告,其中包括对各种经营活动无
偏见的、公正的、实事求是的分析和经过证实以后而
应采取改进行动的合理建议,以协助各级管理部门
有效地履行其职责。
3. 8 全力推进内部控制国家化
从国外的情况来看,内部控制制度的建立,多是
一种外部力量推动的结果,从内部控制制度的受益
对象来看,也并不仅仅局限于企业内部,还包括其他
的利益相关者,如外部股东、债权人、政府等。针对
投资者风险意识普遍薄弱的情况,公司或公司的上
级管理部门,应面向广大外部投资者和公司员工,定
期举办风险知识培训班,运用实证或案例分析的方
法,分析近期利益和远期利益的关系,强调内部控制
的重要性,形成一种人人都重视风险控制的环境。
3. 9 应注重内部控制制度的弹性设计
再完美的制度都不可能是一成不变的,设计者
应根据经营范围、企业文化、科技水平等的变化,不
断调整内部控制系统,同时要注意组织之间上下、左
右的协调关系。

民营企业内部控制的现状及失效的原因分析
摘 要:民营企业要在瞬息万变的市场经济中生存和发展就必须加强管理,建立企业内部控制制度。在我国企业内部控制制度的体系与内容结构还有待完善,尤其是民营企业的内部控制制度更加薄弱。该文就民营企业的内部控制现状及失效的原因进行了分析。
关键词:民营企业;内控制度;现状;失效原因;分析
在信息技术突飞猛进的时代背景下,作为民营企业,如何才能保持自己旺盛的生命力,在新一轮经济全球化的竞争格局中实现可持续发展,成为每一个民营企业管理者最关注的课题。瞬息万变的市场加剧了企业之间的竞争,高科技的广泛应用带来了新的经营风险,要想生存和发展,就必须加强管理,提高效益,充分认识到内部控制的重要性。
一、民营企业内部控制现状
(一)法人治理结构不规范
内部控制制度的建设及有效运行,有赖于企业内部良好的法人治理结构。现代企业的所有权与经营权的分离,使管理范围增大,管理层次增多,管理职能逐步分解,客观上需要一个规范的法人治理结构,加强内部控制,以保障所有者、经营者、债权人等的合法权益。但是,近年来,一些民营企业虽然形式上也建立了法人治理结构,但远未达到内部权力制衡的效果。很多公司内部董事长、总经理由一人担任,董事担任监事的也屡见不鲜。许多企业的董事会成员大多由企业的经理人员担任,董事会难以发挥监督经理人员的作用。监事会成员的薪水和职位的升迁大都由总经理或董事长决定,使监事会形同虚设,难以有效发挥其监督职能。财务会计信息系统的运作受企业经理的直接领导,财务监督被架空,相互制衡的法人治理结构无法建立,内部控制制度不能有效运行。会计信息失真,专权独断等现象阻碍了企业的发展,影响了经济秩序,是假数字、假报表出笼的重要原因之一。
(二)有法不依、有章不循、执法不严的现象较为严重
内部控制制度重在执行,其中人的因素至关重要。有的单位内部控制制度建设得较为完善,但由于单位领导人不够重视,或执行人员业务水平有限,职业道德素质不高,造成内部控制制度有名无实,单位内部管理依然失控。如有的单位负责人私自对外投资,收益不入账,中饱私囊;有的单位内部各职能部门都开设银行账户和私设小金库,资金管理严重失控;有的单位甚至发生负责人卷巨额公款外逃的现象。
(三)内部控制制度建设滞后不能适应新的经济情况
会计电算化已得到普及,互联网迅猛发展,电子商务迅速兴起,这些都带来了新问题,对内部控制制度建设也提出了更高的要求。但从目前来看,面对层出不穷的经济新情况,内部控制制度建设严重滞后。由于内部控制制度建设的滞后性,经济生活当中出现了一些新问题。如财务人员利用专业会计软件公司的技术人员更改原始电子账簿,制造虚假会计信息,使会计信息严重失真并很难恢复到真实情况。
二、民营企业内部控制失效的原因
(一)法人治理结构不完善,内控组织虚位
如一些经改制而组建的民营企业的管理者,他们的管理思想和经营方式还停留在行政领导的角色上,没有从根本上转变经营观念,把企业当作自主经营、自负盈亏的法人实体和经营个体。企业的公司制改造也没有从根本上解决这个问题。我国许多上市公司虽然设立了董事会、监事会,聘任了总经理班子,但在实际工作中,董事会的监控作用严重弱化,“董事”不“懂事”,经常只是一个“虚职”,而且缺少必要的常设机构。总经理往往兼任董事或董事长,权力不能有效地被监督,一些机构设置没有起到应有的作用,甚至根本就没有设置,股份公司仅仅具有了现代企业的外壳,而没有从根本上形成真正的法人治理结构,没有明确界定董事会、审计委员会和管理者的权限和责任。同时公司也还没有形成合理的人力资源管理机制。企业管理者的产生依然具有很强的政府色彩,这样产生的管理者习惯于用行政命令的方式“治理”企业,而不是管理企业。大多数管理者还不习惯应用现代管理的控制方法,对下属人员的工作不能实施科学、有效的监督。很多公司要么没有内部审计机构,要么建立的内部审计机构不能发挥有效的监督作用。由于公司法人治理结构的不完善,缺乏有效的控制措施,从而产生了大量“内耗”,无形中提高了公司的经营成本。
(二)风险意识差,内部压力不足
由于社会经济环境的变化,企业间竞争越来越激烈,企业经营风险不断提高。然而,从我国民营企业的现状来看,企业的风险意识并没有提到应有的高度,没有形成风险意识,更缺乏有效的风险管理机制。对一个持续经营的民营企业而言,常见的企业风险包括战略风险(不恰当的行动纲领和发展规划导致的风险)、经营风险(不适宜的经营手段导致的风险)、财务风险(失去融资能力或遭致无法承受的债务而导致的风险)、信息风险(不相关、不真实信息报告导致的风险)、环境与法律风险(环境骤变和政策不明朗导致的风险)、灾害风险(战争、自然灾害等人为不可抗拒的因素造成的风险)。正是因为风险的存在,风险管理才成为必要。企业管理的重要内容之一就是建立风险评估系统,认识和分析企业整体目标及各活动层目标,以及影响这些目标实现的内在和外在因素、发生的概率及可能的后果,并采取相应的控制措施。因此,风险防范既是企业管理的必要部分,也是内部控制机制建立的内在动力。换句话说,内部控制的建立是与风险管理的要求相并存的。正是因为存在各种各样的风险,企业才应该建立良好的内部控制系统,配合风险管理,实现企业目标。
(三)信息流通不畅,职责不清,责任不明
一个良好的信息系统应能确保组织中的每个人都清楚地知道其所承担的特定职责。我国民营企业往往存在着“谁都可以管,谁都又可以不管”这样一些区域。出了问题以后常常是互相推卸责任,互相指责,最终不了了之,无法追究责任。企业内部控制体制不顺。主要表现在:会计岗位设置和人员配置不当,业务交叉过杂,会计人员兼职过多,职责不明;会计的事前审核、事中复核和事后监督流于形式;有相当一部分企业没有建立内部审计机构,已建立内部审计机构的企业也未能充分发挥应有的作用,内部审计工作得不到应有的重视和支持。
(四)内控机制不健全,控制乏力
为了确保其指令被贯彻执行,民营企业管理者要制定各种措施和程序,一般包括授权和批准、职责划分、设计和运用恰当的凭证、恰当的安全措施、独立的检查和评价等。为了保证控制目标的实现,民营企业必须制定控制政策及程序,并予以执行,管理阶层必须确保其辨认并用以处理风险的行动已经有效落实。我国民营企业内部控制活动中最大的一个薄弱环节就是考核奖惩机制不够健全、有效。计划可能是好的,但由于没有人去考核,去检查或者说没有认真地去考核、去检查,而只是搞形式,走过场,其执行效果往往很差。无论制度多么先进、多么完备,在没有有效控制、考核的情况下,都很难发挥出它应有的作用。而且,整个内部控制的过程必须施以恰当的监督,并通过监督活动在必要时对其加以修正。由于管理体制和管理方式的问题,我国企业内部控制的监督很薄弱,管理控制的方法不够先进,内部审计机构没有起到应有的作用。
(五)会计人员素质较低
近几年来,会计队伍迅速扩大,但对会计人员的思想教育、业务培训没有跟上,有些培训流于形式,根本起不到提高会计人员素质的作用。突出表现在:一些根本不具备从业资格,靠人情关系混进会计队伍的人员,仍然呆在会计岗位上,这些人只凭管理者意志办事,法律、准则、制度懂得不多,但却没有不敢造的报表,没有不敢花的钱;还有部分会计人员无视财经纪律,为了个人利益,顺从领导意图办事,甚至为讨好领导,在弄虚作假上帮着出点子,造成会计信息失真,财务报表被歪曲等。 (六)外部监督乏力
为了加强监督,我国已形成了包括政府监督(如财政、审计、税务、证券监管等部门的监督)和社会监督(如注册会计师、社会舆论等的监督)在内的企业外部监督体系。然而,如此大的一个监督体系其监督效果却不尽如人意。究其原因主要有三个方面:一是各种监督的功能交叉、标准不一,再加上分散管理、缺乏横向信息沟通,未能形成有效的监督合力;二是各种监督没有按照设定的目标进行,有的甚至以平衡预算和创收为目的,监督弱化问题严重;三是不规范的执业环境和不正当的业务竞争,以及对注册会计师监督不力,使得“经济警察”的作用并没有发挥出来。

『贰』 医保局 内控 存在问题

首先，内控风险管理是一个管控过程，而不是停留在规章制度中的教条，因而企业、单位中的每一个员工、每一个岗位、每一个流程都属于内控管理的一部分。
建立内控管理分析制度，先要要找出社会保险内控管理的“风险点”，包括岗位职责是否有交叉；业务衔接是否存在漏洞隐患；健全规章制度；内控环境建设；优化管控过程实现管控体系。
建议建立内控管理制度的步骤：
1.内控评测——提高内控评测的质量与效率；
2.缺陷整改——实现内控管理持续跟踪，解决部门间配合问题；
3.报告呈现——保证内控管理的实时性；。
本来想提及自动化管理的部分，但感觉不太适应楼主的提问。
如果资金充裕的话，建议找专业的风险管理评估公司做专业质询。
如，普华、慧点等。

扩展阅读：【保险】怎么买，哪个好，手把手教你避开保险的这些"坑"

『叁』 内控与案防自我剖析

关于内控和案防制度执行年活动的自我剖析
随着内控和案防制度执行年活动的不断推进，作为一名新入职员工，我清醒的认识到合规经营意识、风险防范意识的淡薄，各项规章制度学习不够深入，存在工作内容不明确、业务能力不强的问题。但本人深刻的认识到转变心态、加强学习的重要性和紧迫性，在深入学习内控和案防制度执行年活动的有关文件精神，结合自身工作实际情况，深入细致的查找存在的问题、剖析存在问题的原因，提出切实可行的改进措施，转变理念，提高能力、自我完善。现就本人的自我剖析汇报如下：
一、存在的主要问题
（一）学习缺乏主动性，不系统、不深入。首先是学习不够主动，往往是自己学学各项规章制度，平时很少请教阅历深、经验丰富的老同事，同时自己没有制定较详细的学习计划，虽然很渴望学习，做个同事中的佼佼者，但又不知学的东西那些事重点，作为新员工首先应该了解那些制度，那些东西是必须掌握，缺少师傅的指导。在学习的深入性和系统性上也做得不够，由于刚刚接触新工作，很多知识都是新鲜的，有许多生僻的知识往往学后就丢，浅尝辄止，钻得不深，学得不够。
（二）心态失衡，缺乏进取心。由于在制度执行上的显失公平，难免会产生心理落差、消极的心态，对工作产生埋怨和抵触情绪，思想消极，缺乏激情和进取精神。一直以来我渴望把自己的知识和热情体现到工作中去，感染和带动整个团队，营造良好的工作氛围，但由于心态失衡，情绪低落，只是怀着负责任的态度应付工作。
二、存在问题的原因
一是自身学习不够，思想素质、认识水平不高。特别是对三个代表的学习、理解不够透彻和深入。没能完全运用科学的理论武装自己的头脑、指导自己的言行，从而导致认识上、行为上的一些偏差。二是自我要求不够严格，反映出一定程度的失之于宽，缺乏积极进取精神。无论是思想意识还是工作上，有时思考问题、处理问题显得不够严谨。
三、改进措施
（一）勤奋学习，学以致用。不断加强自身对本行业新政策、新法规的学习，随时掌握新动向，疑惑问题主动请教经验丰富的老员工，不断提高自身分析问题和解决问题的能力和水平。抓紧时间系统学好理论和业务知识，开阔思路，拓宽知识面，在学习中提高，把学习到的知识应用到实际工作中。联系实际，进行理性思考，努力解决自己思想上存在的问题。
（三）加强业务学习，严格要求，自我加压。始终保持积极向上、昂扬奋进的精神状态，自重自省、自警自励，在工作中自觉地服从、服务于大局，自觉地把自己的工作同全局联系起来，坚持高标准、严要求，努力做好本职工作。

『肆』 从五大要素分析企业内控存在的问题

风险可以分为三类，即可预防风险(内部风险)、策略风险和外部风险。为追求盈利而自愿接受的策略风险和外部风险是无法通过制定规则来规避的，但规则却可以协调员工的价值观和行为方式，有效地改变或避免内部风险。内部风险，大多与企业内部的舞弊和疏忽有关，建立并执行严格的内部控制系统是降低此类风险的主要手段。

企业应当如何制定规则来控制内部风险？中欧国际工商学院会计学教授、EMBA学术副主任、首席财务官课程(CFO)学术主任苏锡嘉在中欧管理论坛上，就“危机中的企业和企业中的危机”的主题，深入讲解企业领导者如何在日益复杂的外部环境中加强企业内部控制，有效管理风险，提升经营业绩等问题。

COSO是在美国做舞弊调查的机构，延伸到了内部控制，提出内部控制的框架。COSO最基本的内部控制框架，(是)所谓的“三目标、五要素”。三目标，一是有效率且有效果的使用公司资源，后面两个目标是COSO加上去的——财务报表和合规。在三个目标中形成了从下到上、从基本到高端的五个要素。

一、控制环境。控制环境就是要建立企业的文化，让正直的人能得到重用。企业文化看不见、摸不着，但带来的影响是非常大的。做管理就是要形成企业里面的小环境，这个小环境让每个人都有意愿把自己身上光明、阳光的一面展现出来，把自己身上负面、不体面的东西想办法压下去。前两年美国有个团队做了一个研究，对美国财富500强的大公司说请给我一张名单，去年你们公司管理团队流失的人有多少个？列出来后告诉我有哪几个人，公司如果有可能的话是一定想办法留住他们的。他找这些人一个一个地去问，很多人给的理由居然是什么？我看到办公室里很多同事上班用公司的电话讲私人的事情，或者用公司的信封寄私人的信件，我不愿意和这些人成为同事。这告诉大家一个道理，公司文化最重要的作用就是把具有相同价值观的人聚集在一起，把不认同这个价值观的人驱离公司，久而久之，所有留在公司的人都是具有同样价值观的人。

公司是由人组成的，所以一个好的公司文化必须要从建立、从招到最合适的人开始。招聘员工其实风险非常大。因为环境诚信有问题，怎样保证这些人正直、可靠，这是非常关键的。运作到后面，要建立各种各样的机制、机构，董事会、审计委员会，并形成一定的经营风格、管理风格；很多时候，一把手决定了这个企业做事情是什么风格，而且很多风格一旦形成就很难改变。在一个没有宗教信仰的环境中，防范风险的难度比其他环境大一些。

二、风险评估。风险是将来要发生的可能，在它没发生之前就找出来，难度很大。风险有各种各样的分类，一是内部风险，自己做事情能解决掉的风险；二是外部风险，市场环境突变、自然灾害等等；还有固有风险、剩余风险。

风险识别的关键是看到每个风险发生的几率有多大？产生的损失有多大？如果发生的损失可能非常大而且发生的概率非常大，最好的办法是咱们不干这个事情。我造成的风险可能非常大，但发生概率并不是太高，什么办法？转移，一个办法是买保险，(把)部分(风险)转移给别人；还有找人合资，找人分享。如果发生概率挺大(但)损失不会太大，最典型的是产品出质量问题，对策是加强质量控制措施，减少不良频率的发生。如果我采取措施防范，可能成本抵不上得来的好处。

你真正树立(风险)观念以后，你的行动变得完全不一样。有两家公司在日本福岛地震(中)的表现，告诉你(要)有风险意识。今天晚上谁都不要回家，立刻查出来世界上有什么东西只在日本福岛地区生产的，不管跟我们公司有没有关系，全世界去找，不管价钱统统买下来，一个晚上整个公司扑在这个(事情)上面。第二天全部做完以后，现在回去睡觉，大家等着数钱吧！说起来道德上有点恶劣，但从商业敏感度来讲绝对厉害。第二个例子是上海汽车在福岛地震的第二天早上9点钟紧急召开集团办公会议，董事长只提一个问题，福岛地区生产如果不恢复，上海汽车生产可以维持多少时间？因为汽车很多配件都是日本生产的。全公司立刻报上来，6个月。第二个问题，继续查零配件世界上有没有可代用的东西？一项一项落实，报告上来每一样东西世界上都有替代品。又问，能不能用？不能。因为所有汽车零部件用上去必须要有一个认证过程，认证过程多长？最短9个月。董事长说从今天开始全公司全力以赴解决认证问题，一定要在6个月之内解决认证。公司对于风险防范的事情，一有点事情立刻想到(会)受什么影响，一天都不能耽搁。

风险还有一些思考，第一是应不应该回避风险？你要想清楚一点，做企业本质上讲就是冒险，成功的企业家都是愿意冒险的，不愿意冒险的人不可能会成功。但我们永远想清楚，企业需要冒险，但必须是只冒可以承受的风险，绝对不冒不能承受的风险。比如，我说我掏1块硬币拿出来跟你玩，翻到正面你给我5块钱，翻到反面你给我5块钱，挺好玩的，玩一下。我再说，翻到正面你给我5个亿，翻到反面我给你5个亿？玩不玩？你这时候不会想万一我今天赚了5个亿晚上怎么花这个钱呢？你首先想到(的是)万一我输了，我到哪里拿5个亿还给这家伙？我能不能承担起这个风险？我才做。如果成功了会有多大的好处？

企业冒险，影响生死存亡的风险是决定。中国人经常说用人不疑、疑人不用，这是非常虚伪的，因为在现代的商业社会里，疑不疑人是对他负不负责，最好的(是)我不给你任何犯错误的机会。所以我到每一家公司做独董，给做风险控制、内部管理的人只给你八个字，相对独立、合理欢迎。

我们鼓励创新，创新是不是等同于冒险？是不是一旦创新、风险控制一定会差？越是具有创新能力的公司更多使用控制。创新和控制其实是不矛盾的，真正要创新有效，不是像无头苍蝇一样到处乱投钱，这不是创新。

如果你面临如下选择，一种是牺牲核心员工以消除重大风险，二是保护核心员工但可能留下重大风险，你选择哪一个？保护核心员工和消除重大风险，哪一个更重要？消除重大风险。首先把风险堵上再说，牵涉到不管什么人以后再说，再冤枉这一刀必须斩下去。从道理上讲，风险防范为上，保护核心员工为次；但真正叫你动手，那个人看上去那么的无辜，你现在为了一点风险要把他先宰下来，你下得了手吗？如果下不了手，临阵畏缩，你觉得这个人有没有罪？应不应该受到处罚？这些都是在实际风险控制中非常实际的问题。碰到这些让你困惑的(问题的)时候，很多人往往觉得下不了手，但下不了手，真的导致风险爆发的话很可能整只船就沉下去。我让大家想一想，被误伤的这个人心里会怎么样？会不会怨恨？电影里面的“007”真是高尚，回到警察总部来毫无怨言，而且要继续拼杀，实际工作中没人做得到。没人做得到会怎么样？带来下面一个问题，这些人如果证明真的是冤枉的，应不应该、能不能够让他回来官复原职？基本规律是打死也不能让他回来。

为什么？告诉你一个简单的例子。雷诺汽车前几年发生一件事情，一个副总举报、揭发另一个副总把公司机密的商业资料透露给竞争对手，拿出证据来，公司董事会震怒之下把那个副总和手下一帮人全部开除了。一年之后，事实证明举报是阴谋报复，诬告的副总再开除，(被冤枉的)那个副总要求回公司，雷诺(说)要多少钱可以商量，回来一点商量(余地)都没有。为什么？不仅是心态变了，你要想清楚，当时公司上下经过一场非常剧烈的政治变动，把那条线的人调出去了，现在如果让它回来，公司不得安宁，他要回来(整)原来整过他的人，每个人重新站队，这个公司折腾不起，(所以)不能回来。你要想清楚，个人对于公司来讲永远是次要的。

三、控制活动。控制活动有很多措施。有一家公司，所有的存货采购，任何东西采购进来，如果十天之内没一个人领用的话，总经理的电脑上会有一个红灯亮起来，(他)立刻查当初是谁提出请购的？请购理由是什么？批准理由是什么？为什么买进来以后十天没用？资金成本由谁承担？这个(制度)建立起来以后，类似错误不会犯第二次。公司不怕犯错误，最怕犯重复性的低级错误，这是公司不能忍受的。

建立控制制度，有些事情非常重要：

一是区分不相容职务，就是奉行一个基本原则——两个人干一件事情总比一个人自己干要安全，因为两个人有一个监督和约束。有些工作天生不能由一个人干，比如会计和出纳不能由一个人干。我举一个例子，这是企业担保的职能，把担保这个环节中牵涉到几个管理环节，我1、2、3、4、5、6、7列出来，至少有7个职能，哪几个必须由不同的人做。现在，不相容职务如果划分出来，做出来以后仍然出问题，这种风险在哪里？什么情况下不相容职务分离开来最后还是出事了？串通。所有的控制措施最怕的一件事情就是串通。怎样解决串通的可能？这是每个公司都绞尽脑汁的事情。有的比较小的企业、有些老板会有一些私人的独门秘诀。有些老板说，我的独门秘诀就是今天出纳不在、会计在的时候说，你小子注意，出纳反映好几次了，你经常上班的时候遛出去，会计听到(之后)对出纳恨得都牙痒痒的；(但)等到他们两个人哪一天说穿了、说透了，(老板)就惨了，所以这不是控制，这是权谋。也有一些人说，我的基本原则是这两个人绝对不能一男一女，特别不能年龄相近，一定不能是同乡，不能(是)一个学校毕业的等等，让你两个人共同语言越少越好。怎么解决串通问题始终是一个困惑。关键岗位必须强制连续休假10天以上，休假期间一定有人顶岗。比如新加坡把英国银行搞垮的这些人都有一个共同的特点，工作特别辛苦，好几年都没有休假了。他怎么可以休假？他一休假全部都要露馅的。

二是明确岗位责任，我一再强调必须要有书面的岗位责任承诺书，每年要签一次，(这)带来两大好处。第一个好处是每年对每个岗位重新做一个复核，对他承担的责任做一个提醒，尽管是例行公事但至少是一个提醒。第二个，一旦有什么事情上法庭，有法律作用的文件，也就是说你承诺过必须尽到这个责任，如果你没有做到，(在)法律上必须负责任。岗位责任承诺书，现在基本上大的公司一定要你签，但岗位责任承诺书本身公司要有认证和复核，最怕你没有准确描述。

三是作业流程图，把每一个步骤落实到纸面上，你先走什么、后走什么。比如供应商评选，这件事情在每个公司中都是一个非常非常烦人的事情，为什么？因为很多作业流程都是非正式的，一旦非正式的东西放在纸面上来会发现无穷无尽的争吵。碰到类似的问题，四个部门的负责人放在一起，这个事情做下去了，一旦划到流程图不行了，必须先到他这里，我用流程做下去，四个人全部跳起来说，这怎么行呢？现在的话如果我同意了，你们3个人分分钟可以否决我，我说什么意思啊？现在他们3个人不同意的东西，我连看到的机会都没有了？一旦划到流程谁有权做什么，因为牵涉到不同部门的利益、牵涉到责任再划分，这是一个非常大的麻烦。

四、信息与沟通。现在是信息时代，让信息在企业中间起到一个良好的作用，这是极其关键的。对于信息控制，关键的一点就是在合适的时间让人得到合适的信息。这句话说起来容易，做到太难了。现在每个企业多多少少都有自己的信息系统，但天量的信息每天在产生，究竟起什么作用？企业里几乎没有人说得清楚。企业接触信息的授权在绝大部分企业里都是不精细的，信息系统由于很多看不见的东西，只要有人在里面有机会打一个补丁，带来的后果不堪设想。有的补丁损失还有一些，有的补丁带来很大的(损失)。

上海有一家法资超市，欧尚超市，里面有个小伙子管计算机系统，每天营业结束关门以后，他把营业数据汇总统计送到法国总部，这注定了他每天下班都在其他人之后。有时候他肚子饿，他有一天晚上肚子饿就走到超市拿面包，我在上班工作，拿一个面包吃，数量万一和计算机的数字不对，要负责任的。(于是)他就吃一个面包，打一个补丁，弄完以后发现这一招很简单，肚子饿就到前面拿面包吃。千不该、万不该，一天有个装卸工是他朋友，肚子饿不饿，要不要吃面包？你随便拿。你怎么有这个本事？我保证你没有问题。到底怎么弄的？我老实告诉你们，我在计算机打一个补丁，谁也看不出来。那个人比他多一个心眼，面包可以拿，那钱也可以拿啊！他说不对，钱我拿不到，钱都在收银那里。他说你别管了，收银员我搞定，计算机你搞定，这个人就买通收银员。他招募了20多名收银员，计算机上做一个补丁。(后来)法国总部发现这家分店每天营业额不如以前，好几个人查也查不出来。后来有一次法国来的人，非常偶然，捡起小票一看就知道，打出去有一个抵扣项，几个月的时间(他们)拿了200多万。超市是利很薄的行业，一个店拿掉200多万是非常大的数字。

计算机系统如果被人做手脚是非常危险的，但计算机系统用得好，有时候可以帮助你控制，毕竟计算机是毫不留情的。我有一个学生经营星巴克咖啡，他说有一家店老是怀疑有问题，因为这家店的营业收入和消耗怎么都对不起来，总觉得有问题。后来仔细分析发现，两家店串通，我们账上只进3杯，我给你还是给5杯，最大的可能就是每次收银机(打开)出来的时候，如果要做手脚停留的时间一定比平时长。他就测算这家店每次超过多少秒的收银行为出现的概率和其他分店是不是不一样？一分析，明显多，就知道这家公司肯定有问题，计算机告诉你的不可能有假，专门在收银机上偷偷装了摄像头，一查就查出来了，所以电脑可以帮助你把握风险，这是信息的质量问题。

五、监控。监控是到了最后一关了，就像足球场上的守门员绕过你进球了，所以所有公司领导一定想办法让你知道，你承担的是最后的责任。很多人没意识到我这个责任有多大。企业领导最后做监控通常用什么手段来做？签名。但太多人签名签得太随意。

我曾经在一家大型企业做独董，我就看不下去了，我说签名签得太随意，我开董事会的时候要求董事会给我一个授权，我这个要求太冠冕堂皇了，没人有理由否定，董事会一致同意给我这个授权。我拿着授权把风险控制的人召集起来，我说现在(我)得到董事会正式授权，允许我对监控做一次检查，现在你们只听我的，不听任何其他人的，做什么？替我把公司上上下下，从董事长、总经理开始所有人去年的签名随机抽查100个，列成表，要做的事情就是找到这个人说，你去年几月几日在什么东西上签名，现在请你告诉我当时签名掌握了什么证据？有什么理由相信你这个签名是负责任的？十有八九被问的人一头雾水。我把所有调查下来的结果列成一张表摊到董事会桌面上，我说这就是我们公司的签名。我这样做会对很多人以后签名起到非常大的提醒作用。

我同时(还)要做一件事，减少公司签名的数量，特别是要杜绝几个人共同签名。几个人共同签名说起来是集体负责，其实是没有人负责的。一方面减少签名，另一方面做到每一个签名的人必须让他明白你承担什么责任。

签名意味着三件事情。第一件事情是你掌握了签名所需要的所有证据；第二，你明白签名以后可能产生的后果；第三，你愿意承担签名带来的所有责任。所以一个公司要建立文化，让签名的人知道签名意味着三件事情，如果没有想清楚这三件事情你千万不要签，在这个立场上监控所起的作用。

企业现在大量工作实际上用中介在做，怎样善于利用中介的力量帮助你？比如审计师，审计师承担法定的发表独立审计意见的责任，但(这)并不妨碍你请他们帮你一个忙。我到很多公司都会对审计师说，我知道你法律上没有这个责任，但就算你帮我一个忙。什么忙？第一，你到下面去看，会看到很多不一样的地方，请你帮我注意观察一下我下面的人在干什么？哪怕他们在聊八卦的事情请你帮我听一听下面的人关心什么？有没有问题？第二，请你告诉我，我下面的人称不称职？你们的工作做得好不好，这样一来好处是什么？好处是审计费用一分钱也不增加，但额外得到了一些你想要的信息。企业所有的中介服务，你应该想方设法想一想，能不能让他多提供一点有价值的服务？

内部控制最怕的是什么？最怕的是制度形成、装订成册，锁进抽屉，从此无人问津，这是最可怕的。所以每个企业要保证制度做下去有后续的行为，这时很多公司想有一套措施，保证制度的缺陷能够得到及时的报告。所谓缺陷，一种是设计缺陷，一种是执行缺陷。有一家大型的集团公司采用的办法是每一家分公司自己报，你今年内部控制有几个设计缺陷，然后叫总集团审计部去查，两个数字分别报到董事长这里。这是一个非常大的羞辱，每一个分公司几年以后要报内部控制结果的时候都战战兢兢的。你必须要有一个办法让下面的人不敢掉以轻心。

网上调查很多企业内部控制执行最难的是什么？绝对占第一位是一把手舞弊。这是中国特殊的问题。中航油在新加坡出事以后，当初我们想要一点面子，是不是让中国证监会调查？新加坡交易所断然拒绝，说让我们调查，不能让中国调查，他调查以后形成一个200多页的调查报告，调查出来的第一个结论让所有人都大吃一惊。第一个结论是中航油的内部控制制度是世界一流的，他专门花了几百万的钱请安永会计师事务所设计了一套完整的内部控制(制度)，而且他知道中国人比较讲情面、讲关系，两个关键岗位，一个是风险控制官，一个是操盘手，(这)两个岗位专门找了老外来做，两个澳大利亚老外，这样不讲情面。但是这么好的一套制度居然会出这么大的一个漏洞，接下来的结论非常简单，这套制度管住了所有人，除了陈久霖。换句话说，再好的制度只要有一个人可以置身制度之外，这个制度就是废纸。好的制度涵盖了所有人、所有的经营环节，这是一个非常明显的事实。销售付款，销售、采购这两个在所有制造性企业里都是最大的风险。销售和采购正好是两个阶段，做采购的人在公司是孙子，在别人那里是大爷；做销售在公司里是大爷，到别人那里是孙子。潜在利益非常多，销售的人说我稍微晚一点付款行不行？最怕(的情况是)你给他的工资明显低，而那个人还是每天阳光灿烂上班，十有八九这里面肯定有补偿机制在里面。

内部控制，如果你的大老板不是非常积极的想做这件事，我劝你千万别去干，因为这件事情没有真正高层的决心和热情，你一定做不下去。因为这件事情牵涉到两件事情对他影响最大。第一件事，利益格局；第二件事，成本。所谓利益格局是企业中间任何现行制度的改变，通常都会动到某些人的奶酪，你都不知道奶酪在哪里，你无形之中会伤害一些人的利益。比如采购制度的改变、供应商的选择，特别是一些公司推集中采购的时候，集团采购经常会碰到莫名其妙的障碍，这个障碍就是你动了某些人的奶酪。

公司做内部控制最经常出现的现象(是)，公司老板推一套新的控制制度，部门经理就会说，老总啊，我同意，我们公司真需要一套新的控制制度，这套控制制度我从心底里赞成，但恐怕今年业绩完不成了，我个人觉得业绩完不成没关系，新的制度应该推。老板一听就急了，董事会承诺过。老总你不讲理啊，你又要推制度，又要达到业绩，这实在太难了，要么这样好不好？我知道业绩承诺过、公告过，今年全力以赴先把业绩做好，这个制度明年大家来推。这个话说完老板会说什么？老板说看来也只有这样了。明年还会不会推？十有八九提都不会有人提了。一个新制度推下去，如果你对阻力预先没有足够的估计，十有八九后果一定惨重。

二是收益与成本。你能够防范的风险仅仅是一种可能，但你花下去的成本是一个实实在在的数字，很多人讲我花钱有没有必要？因为你说的风险怎么从来没有发生过？如果你没有思想准备就做不下去。

三是控制和效果。控制程序越多就越不爽、越不方便，节奏越慢。如果你要高效率的，能不能做到？这个东西有时候就是非常微妙的，有时候一个离奇古怪的念头很可能证明是正确的念头。恒大许家印当时投票(买足球队)，结果只要一票就够了，许家印不管董事会其他人，做得风生水起。如果按照正常风险控制的程序，许家印这个足球(对)是无论如何不能买的，现在买下来对公司是正面还是负面的？看起来很可能是正面的。换句话说，风险控制如果严格按照程序未必让你做出最有利的决策，(它的)作用主要是避免危险决策，但不能帮你形成最高效的决策。企业从根本而言是靠出好产品、好服务来挣钱的，不是靠好的风险控制挣钱的。所有企业的一切行为必须为企业创造价值。风险控制如果不能带来经营改善，不能带来价值增加，所有控制(行为)都不应该存在。所以必须要有经营观念在风险控制里面。

做风险控制本质上讲，是一个非常让人难受的工作。为什么？风险控制(从)根本上来讲，是一个成本中心。成本中心是什么呢？花的钱看得到，但真正产生的价值未必能看到。所以做这个行业的人非常苦恼的是风险控制要做到极致的是公司里大大小小的事情，一点事情都不出，但如果公司一点事情都不出，公司就会问要这些人干什么？

我举一个例子。现在外面有H7N9，禽流感得了这个病一定会死人，你相信我，花500元买这颗药，你吃下去，一年真的没有得这个病，我现在问你一句话，你会不会感激我？100％不会。因为你一年之后看，张三、李四、王五都没有得病。这里最大的问题是我们永远没办法证明本来就不会得病还是吃了我这个药不得病。如果企业没有足够的雅量，很多时候，在成本压力大的时候，这方面会舍不得投入；(但)等到你真正看出拿掉(风险控制)的作用，通常就太迟了。

『伍』 如何评价内控有效性的分析与研究

（一）有效的内部控制是一个范围，不是绝对的保证
有效的内部控制是提供合理保证，不是100%的保证。美国《证劵交易法》对合理保证的解释是：“这是一种详细的水平和保证程度，它能够使谨慎的高级职员在处理事务的时候感到满意”。所谓的一个范围指的是有效的内部控制不是一个点，而是一个区间，在合理保证和绝对保证之间必然存在一个区间（陈汉文和张宜霞，2008）。这个区间之间只有上限，即100%，下限是人们根据实际情况作出的判断，这是一个不确定的数值。所以，有效的内部控制仅仅为企业目标的实现提供一个合理的保证，而不是绝对的保证，也可以说有效的内部控制仅仅是存在的一个判定的区间，而不是一个点。内部控制的目标实现如果在这个范围内，就可以说这个内部控制是有效的，反之，则是无效的。
（二）内部控制目标不同，有效的内部控制含义也不同
每个企业的内部控制目标是不同的，所以有效的内部控制的概念也会因此有差别，当然合理保证的内容也会不同。遵循法规和财务的可靠性两个目标通常在企业的可控范围之内，因此，内部控制一般都能合理保证其实现。而对企业的战略目标，企业的内部控制不可能完全杜绝错误的判断和决策，因为战略目标不仅仅受到自身因素的影响，还受到外部环境的影响，而外部环境是复杂多变的，这个时候，企业就很难以控制。因此，企业管理层为了做出更好的决策，都会利用内部控制，然而此时，仍然不能保证这些目标的实现。因此，有效的内部控制对于财务报告的可靠性和企业的战略目标而言是不同的。那么这个时候对企业的内部控制有效性如何做出评价呢？仍然是判断企业内部控制目标的实现是否属于该范围，如果属于，内部控制就是有效的内部控制，否则，就是无效的内部控制。
（三）内部控制的认定环节应该是执行的有效性
为了实现设计有效、全面和详细，在进行内部控制制度设计时，必须考虑到内部控制的五大目标的实现，然而最终使得相关机构设计出来的内部控制制度不符合企业的实际情况，最终大部分都没有被企业接受。实际上，对于认定环节到底是“设计有效”更重要还是“执行有效”更重要，这个问题一直面临一个很难抉择的处境，因为要使内部控制制度的设计更有效，内部控制的构建既要考虑到全面性，也要考虑设计的详细，又要考虑成本效率和效益的原则，还要考虑易于用到实践中去，“这就充分暴露出内部控制在‘设计有效’和执行有效之间存在着相互替代的矛盾效应”，内部控制的这种替代效应会造成企业管理者顾此失彼，在进行选择的时候，到底是考虑“设计有效”更重要还是“执行有效”更重要呢？毫无疑问，当然是内部控制制度的执行更重要，这也是内控的最终目标，当两者出现冲突的时候，内部控制执行的有效性是首先要考虑到的。
如何才能做到内部控制的执行有效性呢？主要有以下两个方面：
1.内部控制制度的设计要以执行有效为基础
成本效益原则是在设计内部控制制度时首先要考虑的。要设计一个符合企业实际情况的内部控制制度一定要花费成本，比如在聘请注册会计师实施内部控制审计或者引入外部咨询机构进行内部控制设计和评价工作，一定会增加企业的成本。但是在执行内部控制制度的时候，只有建立一套科学且符合企业实际情况的内控体系，内部控制制度才能得到真正得到落实。企业才能真正做大做强，打造成“百年老店”，同时，内部控制制度的设计必须遵循内部控制框架理论，并且结合企业的实际情况，体现企业的经营理念和组织结构等个性特征。
2.建立风险管控为导向的内部控制制度
内部控制制度是在管控企业风险的基础上建立的，首先要对企业的业务流程进行全面的梳理，找到企业的主要风险控制点，根据企业的风险控制点有针对性的去设计内部控制制度；其次，将内部控制制度应用于实践，任何一个内控制度是否有效且能否得到良好的执行，不能仅局限于理论上，必须接受实践的检验。最后，结合企业的实际情况，发现内部控制实际运行的时候存在问题，并不断改进。
内部控制有效性的评价方法：
对内部控制设计和执行两个方面进行评价是目前国内外得到普遍认可的观点。很显然，内部控制设计有效，但并不意味着内部控制就能得到很好的执行，因此内部控制有效性既要设计有效，还要执行有效，美国证券交易委员会（SEC）也规定：在进行内部控制有效性评价的时候，应该考虑内控设计和执行两个方面的有效。目前对内部控制有效性的评价主要定性和定量两种方法，基于对内部控制有效性理论框架的构建，然后在此基础上，构建数学模型，运用数据和指标进一步对内部控制有效性进行评价。
（一）定性方法
国内外对于内部控制有效性评价的定性评价研究主要有风险基础法和详细评价法两种方法，这两种方法都是基于COSO提出的内部控制整体框架理论中的三大目标和五要素。
1.详细评价法。这种方法首先以权威机构制定出的内部控制制度框架为参考标准，根据内部控制构成的要素去评价内部控制的设计有效性，然后，再对内部控制运行有效性进行测试之后，最后做出内部控制设计和实施的有效性的评价，最终确定内部控制是否有效。此种方法优点是不需要高度的专业判断，但也有很多缺点，一方面因为这种简单的对照方法去评价会造成高成本、低效率；另一方面这样得出的结论不可靠。尽管权威制定且得到普遍认可的内部控制框架理论是一个通用的标准，但是并没有考虑到企业本身所处的实际情况，比如企业的规模、企业的行业以及外部的环境。由于这些缺点，美国实务和理论界后来提出了风险基础法
2.风险基础法。风险基础法是风险到控制，首先评估内部控制的风险，在识别风险产生的原因；最后对存在的内部控制缺陷进行评估，确定其是否有效。这种方法的优点是：一方面，可以结合每个企业的特定情况，比如企业所处的规模、所处的行业和所处的国家等情况，避免详细解释法的简单核对，能提高广泛的适用性和灵活性，降低成本，提高效率；另一方面，风险基础法是在进行风险评估的基础上，对内部控制的有效性进行测试范围以及收集证据，这样同样可以降低成本，提高效率。风险基础法的唯一缺点是需要更高程度的专业判断。
（二）定量法
内部控制有效性评价的定量方法是选取指标建立模型，主要有模糊综合评价法，层次分析法和经验判断法等。模糊综合评价法有以下研究：以货币资金会计控制、实物资产会计控制等9个方面为要素（周春喜，2002），此种方法的有点事方法使用、简洁和可操作，缺点是综合评价设计因素多且复杂，研究如何建立与评价内部会计控制的问题仍然有必要；以控制环境、风险评估、内部管理控制、内部会计控制和监督控制为要素（温涛，2004），优点是建立多层模糊综合评价模型将定性指标定量化，更有利于实践工作，但缺点是权重因和因素集代表性有待进一步探讨；层次分析法有以下研究：以风险评估、控制点确定、关键控制点确定、对应设计指标为要素（戴彦，2006），优点是重点提出在企业庞大的体系运作下，要找准切入点进行评价，不足之处还需要更多实例验证；以内部环境、目标制定等7项为要素（姚靠华、蒋玲玲，2007），优点是有效解决了各因素重要性难以量化的问题，达到了定量定性相结合的目的，但是如何推广需要进一步探讨。
从上述方法可知内部控制有效性的评价方法有了一定的完善和发展，但目前仍然有不少缺陷，比如模糊数学方法运用使得一些定量指标模糊化，使得评价结果不准确，而且其运作起来也很复杂。因此，采用单一的指标和模型不能对内部控制有效性进行科学合理的评价，将来研究发展更倾向于采用综合指标和综合的评价体系对内部控制有效性进行评价。

『陆』 中航油案例, 从内控角度分析

二、原因分析
(一)控制环境失效
企业内部控制环境决定其他控制要素能否发挥作用，是内部控制其他因素作用的基础，直接影响企业内控的贯彻执行，是企业内控的核心。中航油事件正是由于内部治理结构存在严重缺陷、外部治理对公司干涉极弱导致的。“事实先于规则”，成为中国航油(新加坡)在期货交易上的客观写照。中国证监会的监管人士向媒体透露了这样一个经过：中国航油(新加坡)在2001年上市后并没有向证监会申请海外期货交易执照，后来证监会看到其招股书有期货交易一项，才主动为其补报材料。中航油用新加坡上市公司的身份为掩护同国内监管部门展开博弈，倚仗节节上升的市场业绩换取控股方航油集团的沉默，从而进入期货和期权业务；而监管方对此不仅没有追究到底，还放任其“先斩后奏”的行为，直至投机和亏损的真实发生。而中航油的董事会更是形同虚设，普华永道对公司董事会成员、管理层、经手交易员进行详细问询，出具了详细的调查报告。透过当事人之口，中航油(新加坡)这家一度被认为是“样板”的海外国企，内控混乱不堪、主事人不堪其任、治理结构阙如纸上谈兵。
(二)风险意识薄弱
中航油内部的《风险管理手册》设计完善，规定了相应的审批程序和各级管理人员的权限，通过联签的方式降低资金使用风险；采用世界上最先进的风险管理软件系统将现货、纸货和期货三者融合在一起，全盘监控。但是自2003年开始，中国航油的澳大利亚籍贸易员Gerard Rigby开始进行投机性的期权交易；陈久霖声称，自己并不知情。而在3月28日获悉580万美元的亏损后，陈久霖本人同意了风险管理委员会主任Cindy Chong和交易员Gerard Rigby提出的展期方案。这样，陈久霖亲自否定了由他本人所提议拟定的“当任何一笔交易的亏损额达到50万美元，立即平仓止损”的风险管理条例，也无异于对手下“先斩后奏”的做法给予了事实上的认可。
(三)信息系统失真
中航油(新加坡)通过做假账欺骗上级。在新加坡公司上报的2004年6月份的财务统计报表上，新加坡公司当月的总资产为42.6亿元人民币，净资产为11亿元人民币，资产负债率为73％。长期应收账款为11.7亿元人民币，应付款也是这么多。从账面上看，不但没有问题，而且经营状况很好。但实际上，2004年6月，中航油就已经在石油期货交易上面临3580万美元的潜在亏损，仍追加了错误方向“做空”的资金，但在财务账面上没有任何显示。由于陈久霖在场外进行交易，集团通过正常的财务报表没有发现陈久霖的秘密。新加坡当地的监督机构也没有发现，中航油新加坡公司还被评为2004年新加坡最具透明度的上市公司。这么大的一个漏洞就被陈久霖以做假账的方式瞒天过海般的掩盖了这么久，以至于事情的发生毫无征兆。
(四)管理失控，监督虚无
中航油(新加坡)董事兼中航油集团资产与财务管理部负责人李永吉身，没有审阅过公司年报。其次，即使李永吉想审阅年报，也有困难。因为身为海外上市公司董事，他英语不好，所以不能从财务报表中发现公司已经开始从事期权交易。荚长斌兼任中航油(新加坡)董事长及中航油集团总裁。他强调，由于中航油集团并没有其他子公司在中国以外上市，所以董事的职责对他而言是不熟悉的。他指出，直到2004年11月30日，董事会一直都没有对陈久霖有“真正的”管辖权。与李永吉一样，荚长斌声称，语言障碍使得他对中航油(新加坡)缺乏了解和监管，而且，尽管身为中航油(新加坡)董事长，他的财务信息却来自位于北京的中航油集团财务部。同时，由于监事会成员绝大多数缺乏法律、财务、技术等方面的知识和素养，监事会的监督功能只能是一句空话。而内部审计平时形同虚设，这种监管等于没有。在经营过程中内部控制失效、董事会和监事会监督功能虚化、缺乏必要的内部审计，中航油的悲剧就这样产生了。
三、思考
中航油事件给大型国有企业敲响了警钟。目前，我国国有企业内部控制虽然存在一定的问题，但内部控制的重要性已经引起企业的重视。中航油内部控制的失败，更是引发了对国有企业内部控制的新思考：
(一)必须健全管理机构，理清管理职责。
现代企业制度中所有权和经营权的分离，导致经营管理者实质上拥有了企业控制权，由此管理者自己管理自己，自己监督评价自己，势必产生滥用职权、牟取私利、独断专行等后果。对内部控制而言，一个积极、主动参与的董事会是相当重要的。如何实现董事会对经理人员的监督，是企业日常监督中最为重要的环节。只有发挥董事会的作用和潜能，股东及其他利益团体的利益才能真正受到保护。
(二)应从细节控制转向风险管理。
企业内部控制制度不可能脱离其赖以生存的环境及企业内外部的各种风险因素。制定风险管理目标是控制过程的一个重要环节，因此，企业要在整个组织内部制定协调一致的目标，找出企业关键性的风险因素，进行风险评估，设置关键控制点。由于有限的管理资源和可观的控制成本，使得企业的精力不能放在所有的细枝末节上，所以，就要求董事会和管理层特别重视可能发生重大风险的环节，且将风险管理作为内控的最主要内容，从而提高决策者判断、控制和驾驭风险的能力。
(三)应从关注内控建立转向内控运行和评价。
中航油(新加坡)公司在设计内控时，也是花了相当大精力的，但在如何保证实施制度方面，却缺乏应有的措施。因此，内控必须要有一个监督机制来促使它的执行。内部审计是企业自我独立评价的一种活动，具有得天独厚的优势。它本身在企业中不直接参与相关的经济活动，处于相对独立的位置，但同时又处在各项管理活动中，对企业内部的各项业务比较熟悉，对发生的事件比较了解。公司的内部审计直接对董事会负责，任何重要的审计决策都经董事会批准。这既保证了公司内部审计的相对独立性，又保证了其权威性。在这样的前提下，内审部门通过对内控的审查和评价，可以从中找出控制薄弱点，发现内部控制不尽完善和执行无力之处，进而提出改进意见和措施，以监督其他控制政策和程序的有效执行。
(四)内控的对象应从基层转向高管。
中航油事件的致命原因从根本上说是个人权力过大，缺乏对个人权力的有效制约和监管，使得个人凌驾于制度之上，制度得不到执行。一个表面看起来制度规章明确、组织健全、人员齐备、技术先进的内控或风险管理体系，其在实际运行中能否有效管理风险和防止重大损失的发生，关键在于高层领导在这个体系中所发挥的作用。这不仅因为他们是内控的首要责任主体和最基础的推动力，更重要的是他们本身所拥有的绝对权力，所以高层领导必须纳入到以相互检查和权力制衡为基本原则的整个内控体系中，成为控制和约束的重要对象。否则，高层领导将具有超越内控约束的特殊权力，从而导致整个内控或风险管理机制形同虚设，从根本上丧失有效性。

『柒』 江苏蓝丰生物化工股份有限公司怎么样

简介：江苏蓝丰生物化工股份有限公司（原江苏苏化集团新沂农化有限公司）是由江苏苏化集团有限公司投资参股成立的大型农化企业。强强联合，以成功实现资源共享、优势互补。公司已成为全国最大的有机磷、光气化产品生产基地――甲胺磷、多菌灵、甲基硫菌灵、环嗪酮、酯类医药中间体，产品畅销国内外。年产10000吨有机磷项目二○○五年二月投产。占地1000亩的苏化集团新沂工业园已进入初步设计阶段，大光气、烯丙异噻唑、高效盖草能、甲维盐、草甘磷、氯氰菊酯等，一大批高新技术农药项目将在工业园安家投产。公司拥有自营进出口权，主要生产杀菌剂、杀虫杀螨剂、除草剂和光气医药中间体四大系列产品。企业通过ISO9001国际质量体系认证。公司拥有年产光气10000吨的优势，可生产高质量的医药中间体；同时拥有省级技术开发中心，可承接各种光气化产品的开发及代理加工业务。公司以市场为导向，不断加大科技投入，依靠科技进步和技术创新提高产品档次，增强市场竞争能力，努力打造农化行业的航母。公司所在地江苏省新沂市地理条件优越，东接连云港白塔埠机场，西邻徐州观音机场，陇海铁路、新长铁路、京沪和霍连高速公路在此交汇，是重要的交通枢纽城市。
法定代表人：杨振华
成立时间：1990-10-11
注册资本：34008.6278万人民币
工商注册号：320300000017224
企业类型：股份有限公司(上市)
公司地址：江苏新沂经济开发区苏化路1号

『捌』 企业内部控制案例分析

企业内控体系主要方针和目标就是建立公司一套完整的内部控制制度，包括内控环境评价、风险评估、控制活动、信息与沟通、内部监督五大要素。首先要对公司的内部控制环境进行评价，其次对公司存在的风险进行评估，第三是评价公司的控制活动，第四看公司信息与沟通的流畅与否，最后评价公司的内部监督体系。通过以上五个要素的评估，找出公司存在内控问题，加以改进和完善，逐步建立一套完整的内部控制系统，就是内控体系的方针和目标。由于这是个系统工程，不好进行案例分析，希望你能从方针和目标中得到帮助。