张庆龙教授公司治理与企业内部 控制上

2014年8月16-17日·贵阳公司治理与企业内部控制

——讲师张庆龙北京国家会计学院教授、博士、博士后、博士生导师审计与风险管理研究所所长、审计系主任、北京市审计局特聘专家、中国审计学会教育分会理事、中国商业会计学会理事、北京市财政学会理事今天要解决的几个问题2公司治理为什么需要内部控制内部控制如何理解目标管理与流程管理孰优孰劣企业生命周期与管理决策重点内部控制与风险管理的关系与协调企业内部控制建设的流程、重点与标杆案例企业内部控制的评价的组织设计与具体评价内容

3

公司治理为什么需要内部控制？

愿景战略团队核心竞争力市场定位流程再造如何做？宏观问题沟通控制激励如何管？微观问题引子：企业成功的三个关键要素

伟大的公司都有一个严格的公司治理。一个严格的公司治理，就是要有一个独立和有效的内部审计。

管理格言:一流的公司靠公司治理;二流的公司靠团队;三流的公司靠能人。

公司治理

言

6公司治理是一场制衡的游戏，这场游戏的主宰者是激励与约束！

——张庆龙激励约束公司治理公司治理

7

公司治理

8

有效的公司治理外部审计的监督机制内部审计的监督机制利用保障公司决策与股东利益的一致性；增加决策的正确性有效防范不应承担的风险

降低融资成本获得企业发展需要的资金增强企业竞争力

吸引投资者增强投资者、债权人、供应商的信心

公司治理

9

提升我国公司治理水平首先要建立优良的公司治理机构和机制，充分发挥内部审计的作用

其次是有效的运作，使公司治理中的各主体各司其职

最后是通过利用内、外部审计鉴证后的财务信息，投资者和其他利益相关者可以确定或解除管理层的受托经济责任提高我国公司治理水平是充分发挥我国内部审计作用的前提

公司治理

10

内部控制如何理解？内部控制为什么会受到如此关注2001年开始的会计丑闻会计监管理念由重结果转为结果过程并重美国出台sox法案，要求在美上市公司执行强调COSO内部控制的权威性在美上市央企执行美国法律企业失败的案例修改为全面风险管理框架企业内部控制基本规范中央企业全面风险管理指引12内控是什么……

内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。=为什么控制+控制什么+谁来控制帮助达成组织目标风险:人，财物，信息董事会、经理层、员工层13内控是什么……

√√

是门锁，是刹车√

是护腕、护膝√

是安全带，是保险丝√

是救生圈，是防弹衣√

是紧箍咒，是抓手×

不是口号标语

不是制度手册

不是万能补药

不是公证处多了一份程序，多了一份制约，才多了一份安全、多了一份保障。

14

15内控的作用：舞弊三角理论法律法规借口压力

机会

不敢

不愿

不能职业道德内部控制内控是一套体系化的方法促进流程制度的完善,其终极目标是保障企业的经营效率与效果在内部控制多重目标下我们把运营效率与效果、实现发展战略目标提出来作为内部控制首先要保证的2大目标，其余三个目标作为基础目标处理。提高经营效率和效果，促进实现发展战略经营的合规资产的安全财务报告的真实COSO内控框架对内部控制的定义

：内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。财政部《企业内部控制基本规范》中内部控制的定义：是由董事会、监事会、经理层和全体员工实施的、旨在为实现：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略的过程。众多集团公司的内控建设内控建设历程证明：内控是一个包括建设、检查、整改、修订等在内的动态过程，而且伴随着企业业务发展、内部管理发展、经济活动环境变化持续更新19COSO对企业风险管理的定义2004，COSO出台《企业风险管理(ERM)：整体框架》

谁做？由企业的董事会、管理层和其他员工共同参与应用于企业战略制定和企业内部各个层次和部门的，

用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的，为企业目标的实现提供合理保证的过程。许多企业已设置了CRO——首席风险官

做啥？

为啥？什么是风险管理？是什么指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。做什么在自愿申报的基础上，编报风险管理自我评价报告。附：内部控制的整体框架信息与沟通持续监控控制活动风险评估控制环境COSO建立公司层面的目标和风险评估过程制定识别，传达会计准则变化（GAAP)及内部控制或其运行环境变化的程序参股公司层面目标建立具体的活动目标制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施管理层制定清晰明确的财务及经营目标并进行差异分析和追踪合理分配工作职责以降低舞弊风险保护文档，记录及实物资产的安全确保信息系统安全，对信息系统安全政策及程序的合规性进行监控信息系统为管理层决策提供支持开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的人力和财务资源的参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和职责进行有效沟通并建立针对潜在问题的沟通渠道来自外部的信息在公司内部及时有效的进行沟通，使管理层能够采取及时适合的行动定期评估内部控制及人员实施内部控制管理意见，及时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监控内控中的个别（专项）评价流程汇报内控缺陷流程管理层的正直，道德价值观和行为管理层的控制意识和运作类型管理层对员工能力的承诺董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰人力资源政策和实践附：企业风险管理八大要素内部环境风险管理理念、风险文化、董事会胜任能力评估、管理方法与经营模式风险偏好目标制定战略目标-其他相关目标-选择目标-风险偏好-风险容忍度事件识别事件-影响战略及目标的因素-方法和技术-事件相互依存性-事件类别-风险和机遇风险评估固有风险-残存风险-可能性和影响-方法和技术-相关性风险对策确认风险对策-评估风险对策-选择对策方案-风险组合观控制活动与风险对策相结合-控制活动类型-一般控制-应用控制-特定主体信息与沟通信息-战略和整合系统-沟通监控个别评估-持续评估

23

内部控制是合规还是管理活动？内部控制建设及评价的责任主体及职责24成立内控体系建设项目管理机构

董事会内控体系建设委员会•负责对项目实施过程中重大事项决策•负责内控体系建设的领导工作•审批有关工作成果•制定工作范围、工作实施计划

咨询机构•提供项目技术支持•协助项目小组进行记录与财务报告相关的内部控制业务流程负责人

负责描述业务流程和有关控制确认流程记录文件识别主要控制措施确认、改进并反馈内部控制缺陷项目工作室记录内部控制评估内部控制设计的有效性测试内部控制执行的有效性对内控缺陷提出整改建议将工作成果提交内控体系建设委员会审阅项目工作文档管理等内控目标的关系

分解经营目标

反映报告目标企业生存与发展资产目标卫士保安谋士高参战略目标前提保证合格目标内部控制的原则27重要性制衡性成本效益适应性全面性28内控的原则：全面与重要\制衡性\适应性\成本与效益•全面覆盖，投入多•靠组织与业务牵制多•可靠但可能臃肿规模内控复杂度高•抓重点和关键，投入少•靠人情和信任的控制•高效但可能高风险低“刘关张”式“螺丝钉”式小型大型内控的局限uuuu决策是由人在合适的时间、依据现有的信息，在企业经营的压力下作出的。就算是设计得完好的内控，也会因员工执行时对指令的误解、粗心、疲倦等差错而失效。部门经理、高级管理者出于各种目的不实表达、提供错误文件等越过控制制度的行为。两人或更多人合伙隐藏事实真相。u资源有限，控制会产生相关的开支。人的因素固有局限成本-收益原则

人的判断

执行出错管理者越权合伙同谋

30

1.监管部门要求

2012年3月，国资委出台《关于中央企业开展管理提升活动的指导意见》，提出力争用2年时间，通过全面开展管理提升活动，加快推进中央企业管理方式由粗放型向集约化、精细化转变，全面提升企业管理水平，为“做强做优、培育具有国际竞争力的世界一流企业”工作奠定坚实基础。要求中央企业重点做好以下几个方面的工作：1.找准管理短板和瓶颈问题，实现重点突破。2.强化向管理要效益理念，切实加强基础管理。3.统筹推进专项提升，全面落实整改措施。4.总结固化成果，构建长效机制。主要相关法规简介——关于中央企业开展管理提升活动的指导意见

31

2012年5月，财政部、国资委联合下发《关于加快构建中央企业内部控制体系有关事项的通知》国资发评价〔2012〕68号总体安排是：已在全集团范围内建立起内部控制体系的中央企业，应当重点抓好有效执行和持续改进工作，着力提升内部控制的健全性和有效性；主业资产实现整体上市或所属控股上市公司资产比重超过60%、尚未在全集团范围内启动内部控制建设工作的中央企业，应当统筹规划、协同推进全集团内部控制体系建设，着力抓好集团总部与各类子企业同步建设与稳步实施工作，于2012年建立起覆盖全集团的内部控制体系；其他中央企业应当抓紧启动内部控制体系建设工作，确保2013年全面完成集团内部控制体系的建设与实施工作。各中央企业应当自2013年起，于每年5月31日前向国资委报送内部控制评价报告，同时抄送派驻本企业监事会。各中央企业要高度重视内部控制工作，统筹协调，周密部署，抓紧推进内部控制建设与实施工作，采取有力措施保证内部控制有效执行，推动经营管理水平不断提升。

三鹿集团简介三鹿的前身是1956年成立的幸福乳业合作社，经过50年艰苦创业，三鹿已发展成为集奶牛饲养、乳品加工、科研开发为一体的大型企业集团，是全国三大乳业集团之一。但从2007年12月起，三鹿集团陆续收到消费者投诉，反映有部分婴幼儿食用该集团生产的婴幼儿系列奶粉后尿液中出现红色沉淀物等症状。

2008年12月24日，石家庄市中级人民法院已经对三鹿发出破产令，正式宣告石家庄三鹿股份有限公司破产，其资产清算进入法律程序。小介绍

三聚氰胺

三聚氰胺，C3H6N6,又称蜜胺,常见塑料化工原料，也可作为灭鼠药。其特点为氮原子很多。食品工业检测中，采用“凯氏定氮法”推算蛋白质的含量，因三聚氰胺的氮原子较多，而被添加进人类食品，宠物食品，家畜饲料中。

破产事件经过

2007年,三鹿集团实现销售收入100.16亿元,同比增长15.3%。但是这种高增长背后隐藏的内部控制及其环境问题却被严重忽视。从2007年12月份起,三鹿就陆续接到一些患泌尿系统结石病儿童家长的投诉,一些媒体也开始以“某品牌”影射三鹿,但是三鹿并未就此引起足够重视,加强企业内部控制,导致事态日益恶化。据估计,9.02亿元的巨额医疗费和赔款已经造成三鹿集团严重资不抵债。2008年12月25日,石家庄市委、市政府发布三鹿破产消息,破产裁定书已送达石家庄三鹿集团有限公司,一个曾经作为奶业龙头的企业一夜之间消失。

08年5月医院爆发幼儿结石。

6月南京媒体报道幼儿批量发病，亦可见质检总局网站投诉。

7月，长沙株洲衡阳，患者家属投诉质量问题，长沙食品质量安全监督检测中心检测合格。

9月11日，三鹿宣布召回8月6日前的部分批次产品，总量700吨。

9月12日，三鹿确认为此事件是由于不法奶农为获取更多的利润向鲜牛奶中掺入三聚氰胺。

9月11日甘肃：甘肃上报59例，死亡1例

9月8日，中国人民解放军第一医院泌尿科接收了一名来自甘肃岷县的特殊患者，病人是一名8个月大的婴儿，患有“双肾多发性结石”和“输尿管结石”病症，这是该院自6月28日以来收治的第14名患有相同疾病的不满周岁的婴儿，这14名婴儿有着许多相同点：都来自甘肃农村，均不满周岁，都食用过三鹿奶粉。

9月10日南京：南京出现10例。从今年3月开始，南京鼓楼医院泌尿外科孙西钊教授陆续接到了南京儿童医院送来的10例泌尿结石样本。经国内先进的结石红外光谱自动分析系统分析，这是一种极其罕见的结石。孙教授告诉记者，这10年来，他一共分析过全国各地的结石成分4710例，从来没有见过这种病例，而且都发生在尚在喝奶的婴儿身上。

9月9日陕甘宁甘肃率先发现。甘肃省卫生厅接到解放军第一医院的电话报告，该院收治的婴儿患肾结石病例明显增多，近几个月已达十几例，患儿均食用了三鹿牌配方奶粉。

9月1日，豫、赣、鄂多省爆发：三鹿公司相关负责人表示，患病婴儿都在食用价格在18元左右同一品牌的奶粉，而2008年，由于原材料价格上涨等因素，三鹿公司的奶粉最低零售价都在25-30元，今年三鹿没有18元价位的奶粉。三鹿慧幼系列的奶粉已经于今年7月底停止生产。内控分析由于三鹿婴幼儿配方奶粉搀杂致毒化学物三聚氰胺曝光，三鹿集团被迅速推向破产，引发“中国奶业的大地震”，田文华由此成为“中国乳业的罪人”。在这场“9.11事件”中，三鹿集团的内部控制到底扮演了什么样的角色？我们运用其五目标和五要素的分析方法，对三鹿集团进行内部控制案例分析。内部控制五要素分析内部环境——重要基础该要素是内部控制框架的基础所在，涵盖治理结构、机构设置及权责分配、内部审计、人力资源政策、公司文化、诚信与道德观等多方面内容。虽然内部控制更强调相互牵制的制度性安排，但显然人的因素在内部控制，尤其是内部环境中发挥着重要的作用。咱们常说“道德使之不愿、法律使之不敢、制度使之不能”，这说明诚信与道德观也许是公司文化在某种程度上是高于制度本身的。资料显示，三鹿集团早在2008年3月就接到消费者反映，但直到2008年8月三鹿已经秘密召回部分问题奶粉之时，却仍然没有将事件真相及可能产生的后果公之于众，有媒体称这种做法直接导致此后的一个多月里又有一批婴儿食用了三鹿问题奶粉。显然此次事件在某种程度上检验了三鹿集团决策层的诚信与道德观。事实上除了三鹿集团外，向牛奶中添加三聚氰胺的耿氏兄弟等不法分子、告知这些不法分子通过添加三聚氰胺可通过检测的技术人员、销售给不法分子三聚氰胺化工原料的人员，都存在着只顾利益不顾消费者健康的问题，而这种环境因素可能才是真正导致此次事件的罪魁祸首。

我国的内部控制基本规范中将职业道德修养和专业胜任才能作为聘用员工的重要标准，要求公司加强文化建设，培育积极向上的价值观和社会责任感，这对培育一个良好的环境氛围，更好地发挥内部控制的风险防范作用有着积极的意义，而要实现这个目标显然非一朝一夕之功。

内部环境是企业建立与实施有效内部控制的重要基础。三鹿集团的大股东享有56%的控股权，第二大股东是持有43%的股权，其余1%的零散股份由小股东持有。从表面上看，三鹿集团具有形成良好治理的所有权结构。但大股东三鹿乳业公司推行的是员工持股，并且由经营者持大股，96%左右的股份由900多名老职工拥有，因此，三鹿集团的实际控制人或者说股权相当分散。以田文华为代表的强势管理层的存在，使得三鹿集团的治理结构演变成内部人控制。风险评估——重要环节风险评估是企业建立与实施有效内部控制的重要环节。咱们理解，一般的公司内部控制都是针对常规事项进行设计的（如奶粉的营养成分是否达标等），而对例外事项（如添加三聚氰胺）则重视不足。这对内部控制的设计提出了挑战。食品加工公司除了对原料采购、作品加工、存储储藏、物流配送等各个环节进行风险评价、分析之外，还应当就最可能产生风险的环节设立应对措施，例如风险评估时针对生产的奶粉原料中可能会含有那些有害物质，原料提供者添加这些物质的可能性以及消费者食用这些物质的后果严重性等进行评价、排序，并从原料采购、产成品的检测验收等方面设定有针对性的指标，以提高内部控制的效率和效果。

我国乳品加工厂一般没有自己的奶源，主要采用的原奶采购模式，就是“奶农——奶站——乳企”，三鹿集团也不例外。奶源短缺和竞争激烈是近年来我国奶业发展的突出特征。没有足够的优质奶源，发展战略的实现就会放缓，而要取得优质奶源必须提高价格、严把质量检验关，否则，风险就会无限放大。不幸的是，三鹿集团铤而走险，选择了低价和放松质量检验。河北行唐县一位参与奶站经营的农民反映，蒙牛、伊利来行唐收奶，奶价一般比三鹿集团贵0.10元甚至0.20元，其化验程序复杂，相对比较严格。控制活动——重要手段控制活动是建立与实施有效内部控制的重要手段。按照业务流程进行生产经营管理是确保产品质量的一种最基本控制活动，三鹿集团违背业务流程的情况是存在的。2005年7月5日，天津市河西区质量技术监督局执法人员在一库房内发现，“三鹿原味酸牛奶”生产日期是2005年7月6日。拆开包装箱后，里面一千克袋装原味酸牛奶的生产日期也是6日。执法人员在司机提供的发货凭证上确定这批酸牛奶是在本月4日发出的。现场检查表明，这批三鹿酸牛奶已经涉嫌伪造生产日期。这即是三鹿“早产奶”事件。

根据警方抓获的耿某介绍，在2007年底前向三鹿集团销售的牛奶就屡次因检验不合格而被拒收。而三鹿集团对这种“屡次不合格”牛奶的提供者居然没有“诚信记录”，在其向牛奶中添加三聚氰胺，使得“问题”奶进一步演化为“毒奶”而顺利通过检测后没有保持“合理怀疑”。从事实看，三鹿集团能够在2007年前“屡次”查出耿某提供的牛奶不合格，说明公司拥有严格的采购验收制度并得到切实执行，但如果能对日常控制活动中发现的部分不良信息进行收集、整理，并对异常现象（屡次不合格的原料提供者后来提供的都是合格原料）寻找合理解释，以进一步提高控制活动的效率效果，则发现“耿某”类不法分子的伎俩并非全无可能。

重大风险的预警机制和突发事件的应急处理机制的失灵，是三鹿集团存在的另一个重大问题。三鹿集团在对毒奶粉事件知情的情况下，继续生产和对外销售，导致事态扩大。事情暴露后，三鹿集团采取对媒体隐瞒和否认的做法，从坚决否认到遮遮掩掩，从推卸责任到被迫道歉，在事件到了无法隐瞒的时候，才开始产品的全面召回。信息与沟通——重要条件信息与沟通是建立与实施有效内部控制的重要条件。在发展过程中，三鹿集团的企业规模不断膨胀，以致无法有效地管理企业。按食品安全法规定，食品安全事故的发生单位应当及时向事故发生地县级卫生行政部门报告。但三鹿集团“长期隐瞒问题”，９月１５日“三鹿事件”曝光，三鹿集团多次否认自己奶粉出现问题，并拿出“甘肃省质检局”的质检报告，证实无毒。但在同天晚上，“三鹿集团”自打耳光，承认自己700吨奶粉受到污染；声誉基本为零，再无翻身的机会。内部监督——重要保证内部监督是建立与实施有效内部控制的重要保证，包括日常监督和专项监督两大方面。驻站员监督检查，是日常监督中重要的一环，作为中国食品工业百强、农业产业化国家重点龙头公司，三鹿对内部监督不能说不重视，因为其作品是经过“1100道检测”的。但是三鹿集团未能落实到位，导致在原奶进入三鹿集团的生产企业之前，缺乏对奶站经营者的有效监督。发现内部控制缺陷，修正与完善内部控制系统，专项监督不可或缺。2004年，“大头娃娃”事件没有让三鹿集团警醒，只是看到农村奶粉市场的外部扩张，没有将关注点放在内部控制机制的完善上。2005年“早产奶”事件，三鹿集团本应开展全面的业务流程专项大检查，但除了将销售部门有关人员调离岗位，对直接负责人扣除20%年薪之外，没能从消除内控隐患的角度去解决问题。内部控制五目标分析

合法合规性——底线

合法合规是内部控制的最低目标。三鹿集团身处关系国计民生的食品行业，不仅没有信守承诺——向社会提供优质乳制品，反而在市场和利润的利益诱惑面前，置合法合规性于不顾，在三鹿婴幼儿奶粉里掺入大量的有毒化学原料“三聚氰胺”，致使数名婴儿死亡。这种见利忘义、逆道而行的做法，是三鹿集团悲剧的罪魁祸首。

资产安全性——警戒线

资产安全是内部控制的传统目标。三鹿集团是曾经的行业龙头和银行的优质客户，2007年底净资产为12.24亿元，资产负债率仅为24%。但随着毒奶粉事件曝光，三鹿集团近150亿元无形资产瞬间灰飞烟灭。三鹿所有的奶粉在全国下架，接受顾客的退赔要求，全国所有的加工厂停产整顿。三鹿集团的总负债保守估算接近20亿元，最终破产。这表明违背合法合规底线的资产安全，是极其脆弱的，更是靠不住的。信息真实完整性——主线信息真实完整是内部控制的永恒目标。田文华曾强调，“诚信对企业而言，就如同生命对于个人……”只可惜三鹿集团言行不一，其信息披露没能遵循诚信原则。2008年6月，三鹿集团检验发现奶粉中含有三聚氰胺，但管理层对新西兰恒天然集团要求采取的应对措施置若罔闻，意图瞒天过海。恒天然集团因反映情况无果，最终直接向中国政府反映情况。不及时披露信息，甚至瞒报、谎报信息，三鹿集团的信息目标与内部控制要求是背道而驰的。

经营效率和效果性——生命线经营效率和效果是内部控制的核心。内部控制是利润动机的自然产物。三鹿集团采取的是“牌子（三鹿集团）+奶源（地方小乳品厂）”的经营策略，收购地方加工厂、增资扩产，贴牌生产。但三鹿集团旗下子公司、联营企业大多厂房破旧、设备简陋，资金投入、机器设备及内部管理跟不上，奶源的卫生安全管理处于盲点状态，产品质量管理水平大大降低，经济效益和社会效益、生态效益割裂，经营风险不断累积。这种饮鸩止渴式的经营效率和效果，使得内部控制不过是虚妄之谈。战略实现性——愿景线战略实现是内部控制的最高目标。三鹿集团制定了积极扩张的企业发展战略，目标是确保配方奶粉、力争功能性食品和酸牛奶产销量全国第一，液态奶及乳饮料保持前三位。但在全球性原奶危机的背景下，奶源短缺和竞争激烈是近年来奶业发展的突出特征。1998-2006年，我国奶制品产量从60万吨增加到1622万吨，增长近28倍，原奶供应能力出现巨大缺口，没有足够的优质奶源，发展战略的实现就应放缓。三鹿集团盲目冒进的结果，是欲速则不达。三鹿案件给我们怎样的启示呢？三鹿集团为我国企业敲响了警钟:创建和谐的企业内部控制环境,关乎企业的盛衰荣辱和生死存亡。企业的内部控制环境是内部控制的关键,确定了一个企业的基调,它影响着整个企业内部所有人员的控制意识。在三鹿集团的案例中,如果该企业具有良好的内部控制环境,就有可能降低“事件”发生的可能性。所以,企业应从各个方面优化内部控制环境,使企业能够提高效率和功效,防患于未然,为企业健康运行提供保障。同时我们应看到，内部控制的实施远比想象中的复杂和困难。如何将内部控制的要素、理念、框架、结构与企业的实际经营活动结合起来，将内控的设计、评价、改进真正落实，这是一项长期而艰巨的任务。尤其是内部环境的培育问题、内部控制实施的内在动力问题更非短期可见效的活动。作为企业管理的有机组成部分，内部控制不应是空中楼阁，它应该深植于企业的日常经营管理之中。

目标管理与流程管理孰优孰劣？目标管理

VS流程管理什么是目标管理传统语录：不管黑猫白猫，逮住耗子就是好猫。典型的目标管理。以大厨师炒菜为例，把鱼香肉丝炒到了顾客满意的程度就叫做目标管理，至于大厨师炒菜的方法，我们是不关心的。什么是过程管理我们把大厨师炒菜的步骤分成20个阶段，也就是20道工序，第一个人切葱花，第二个人切肉丝。。。。。，如果不好吃就重新调整第2、5、9道工序，还不好吃，再调整3、7、14道工序，还不好吃，就调整18、19道工序，就这样也许经过无数次调整后，我们终于能够炒出跟大厨师一样好吃的菜，在这时，葱花的长度必须是1.1厘米，肉丝的长度必须是1.3厘米，酱油必须是2勺。以后就按照这个调整后的流程炒菜，每个人都按照这个工序严格要求来做。按照这个流程办事，而不管结果，这就是过程管理。目标管理的缺点大厨师一走，就把什么都带走了。如果靠大厨炒菜，端出来什么就是什么，如果客户定制，就需要大厨调整，但是下一次还能不能炒出同样的菜，不知道，目标管理不可修改，因为我们不知道大厨师炒菜的方法，过程管理可以修改，因为我们知道所有流程。过程管理可以积累经验，目标管理是个结果，好也是他，坏也是他，并且往往胜者为王，败者为寇。中国人浮躁的文化，太渴望结果，而不是过程管理。

57

58

59

60

61

62

企业生命周期与内部控制的决策

63

各阶段企业内控要点

64

微型企业内控要点

65

小型企业内控要点

66

小型企业内控要点

67

中型企业内控要点

68

成熟期企业内控要点

69

哪些企业亟需加强和规范风险管理及内部控制为什么我们开始关注流程管理？关注资本投入和组成来源关注市场份额扩大关注销售收入体现规模关注销售目标实现目标管理突出过渡期（继续做大做强，但追求规模胜于强）：横向：复制纵向：产业链整合，兼并重组实现垄断；收入稳定；走向多元化；金融类型产品带来风险增大；成本增加，成本成为关注重心；进入价值链管理阶段。

71

内部控制与风险管理的关系与协调内部控制与风险管理还关注由于外部环境所造成的风险。内部控制：以流程为基础，更加关注企业内部流程执行中的风险。73从内部控制到风险管理(ERM)内部环境控制环境更宽1.增加战略目标，2.提出新理念：

•风险组合观

•风险偏好

•风险容忍度控制活动风险评估信息沟通监

控目标设定事项识别风险评估风险应对控制活动信息沟通监

控

主要相关法规简介——国资委中央企业全面风险管理指引

2006年6月，国资委《中央企业全面风险管理指引》中规定：“开展全面风险管理应当以对重大风险、重大事件的管理和重要流程的内部控制为重点。”

风险管理初始信息

风险评估风险管理策略

风险管理解决方案风险管理流程风险管理的监督与改进战略风险方面的信息财务风险方面的信息市场风险方面的信息运营风险方面的信息法律风险方面的信息风险辨识风险分析风险评价风险承担风险规避风险转移风险转换风险对冲风险补偿风险控制风险解决具体目标所需的组织领导所涉及的管理及业务流程所需的条件、手段等资源风险事件发生前、中、后所采取的具体应对措施以及风险管理工具部门和业务单位自查和检验风险管理职能部门检查和检验内部审计部门监督评价中介机构评价

董事会就全面风险管理工作的有效性对股东（大）会负责风险管理委员会对董事会负责总经理对全面风险管理工作的有效性向董事会负责设立专职部门或确定相关职能部门履行全面风险管理职责董事会下设立审计委员会，内审部门对审计委员会负责其他职能部门及各业务单位接受风险管理职能部门和内部审计部门的组织、协调、指导和监督指导和监督其全资、控股子企业信息技术应用于风险管理实践风险管理信息系统保障风险信息量化值的要求风险管理信息系统的功能要求风险管理信息系统应该实现跨部门的集成与共享风险管理系统应确保安全、稳定运行风险管理信息系统的建设与更新风险管理文化风险管理文化建设的目标和任务风险管理文化的内涵风险管理文化和传播和培育的方法中央企业全面风险管理指引75国资委2011年的分类？？战略风险：投资风险、政策风险、战略管理风险、“走出去”风险、宏观经济风险、产业结构风险、改制风险等。运营风险：健康安全环保风险、人力资源风险、经营风险、技术风险、集团管控风险、信息风险、产品风险、公司治理风险、研究开发风险、资源保障风险、信息系统安全风险等。市场风险：市场需求风险、价格风险、竞争风险、汇利率风险、信用风险、证券市场风险等。财务风险：现金流风险、预收应付风险、存货风险、成本费用风险等法律风险：合同管理风险、知识产权风险、法律纠纷风险、合规风险等2012年12月文件《关于2013年中央企业开展全面风险管理工作有关事项的通知》一、提升风险研判能力各中央企业要紧密围绕企业发展战略，结合“做强做优、培育具有国际竞争力的世界一流企业”核心目标的要求，加强对未来中长期所面临风险的全局性、趋势性研判，准确定位风险管理工作的方向和重点，切实为企业实现经营目标提供支撑和保障。要及时把握并深入分析国内外形势的变化，提高企业对经营环境变化的敏锐性和对发展趋势的预判能力，及时调整当期经营策略和应对措施，合理控制纯粹风险，稳妥把握机会风险。要认真总结近期企业内外部发生的各类重大风险损失事件和典型案例，从中汲取经验教训，举一反三，采取切实有效措施，杜绝类似事件在本企业重复发生。二、加强重大风险的全过程管理各中央企业要以重大风险管理为抓手，不断提升全面风险管理工作的实效性。要紧密围绕企业战略目标和当期经营目标开展风险评估，建立常态化风险评估机制，不断完善风险评估方法和流程，切合实际地制定重大风险评判标准。要进一步完善重大风险的管理策略，明确风险偏好和风险承受度，据此制定重大风险的解决方案，明确重大风险的责任主体和应对措施，并合理配置资源，确保重大风险管理措施落到实处。要建立重大风险的监控预警机制，科学设置监控指标，及时掌握、分析重大风险的变化趋势，动态调整管理策略，实现对重大风险的动态管理和有效管控。三、将风险管理与日常经营管理有机融合各中央企业要将全面风险管理与日常经营管理有机融合，特别要提高全面风险管理服务于重大事项决策的能力。要注重营造良好风险管理文化氛围，加强企业风险管理政策的宣贯力度，建立风险管理工作宣传和培训常态化机制，倡导将风险意识和风险管理思想融入日常经营管理活动中，尤其是战略决策、投资并购、“三重一大”等重大事项决策过程中。要进一步明确董事会、经理层的风险管理责任，风险管理职能部门的风险管理业务指导责任，以及审计部门的风险管理工作监督责任。要注重发挥制度和流程的规范性作用，通过固化流程将风险管理理念、方法和技术嵌入日常经营管理和重大事项决策过程中，特别是要建立重大事项的专项风险评估制度，构建风险管理服务于日常经营管理和重大事项决策的长效机制。四、提升风险管理工作制度化、规范化水平各中央企业要进一步健全、完善全面风险管理工作机制，提高风险管理工作的制度化、规范化水平。要建立健全风险管理报告制度，强化风险管理信息沟通机制，确保风险信息传递准确、顺畅，处理及时、有效。要积极探索建立风险管理评价与考核制度，制定科学可行的风险管理评价办法和标准，将风险管理纳入企业绩效考核指标体系中，建立风险责任追究机制。要建立风险管理专业人才培养体系，明确风险管理岗位的专业能力要求，建立持续教育和业务考核机制，打造专业化风险管理团队。要进一步健全以风险管理为导向的内部控制系统，营造良好内部控制环境，通过强化制度建设，规范业务流程，确保内部控制的有效性，切实发挥内部控制对防范风险的重要基础作用。南京中北违规行为对董事及高管的影响

80南京中北违规行为对董事及高管的影响

81失控导致失败！

82在你我的身边……

83常见的内部控制薄弱环节

84企业内部控制建设中的流程重点与标杆案例85内部控制建设中的常见问题及注意事项1.内控规划方面，可能存在下述情况：未制定内控规划，或规划脱离实际；将合规定为内控建设的终极目标，陷于机械化、表面化，不利于战略目标的实现；未制定年度实施计划，规划成为空中楼阁。为此，应充分考虑公司实际制定内控规划。2.组织机构方面，可能存在以下实际情况：领导组组长不是公司一把手，不利于内控工作落实；领导组组长是一把手，但从不过问内控工作；工作组成员缺乏代表性，譬如没有生产单位的人员；工作组成员无暇顾及内控工作；工作组成员不了解内控规范。为此，应采取成立内控领导小组和工作小组、由一把手担任组长并督促内控工作等措施。3.选聘咨询机构方面，可能存在几种情况：由内审或财务部门牵头做内控，不聘请咨询机构，可能因经验、人手不足而失败；通过招投标方式选聘的，只看标书，缺乏现场述标；建设内控过程中，放手让咨询机构做，缺乏与咨询机构的定期、充分沟通；内控建设结束，对咨询机构提交的成果验收不严格。为此，应邀请咨询机构现场述标，详细评标，并严格验收工作成果等。4.内控环境建设方面，可能存在几种情况：认为内控环境比较虚，业务流程控制较实际有效；忽视内控文化、风险意识的培育，未把推行内控规范作为管理优化、文化提升的重要契机；认为战略规划是公司的秘密，不需提交股东大会审批；认为子公司不需要制定战略规划；关键岗位未定期轮岗；法律意识淡薄。为此，应相应加强措施，加强内控环境建设。5.工作内容方面，可能存在一些具体情况：仅按18项内控应用指引设定工作内容，不涉及应用指引中未述及或较少述及的内容，譬如关联交易等；机械地与18项应用指引对标，忽视企业的实际；认为内控审计仅抽查几家大公司，不查小公司，存在侥幸心理；未识别主要流程和高风险区域，眉毛胡子一把抓；有的老厂认为，生产领域制度、规程较全，技术相对成熟稳定，风险较小，而资金、资产等财务领域风险较高。为此，内控实施应覆盖母子公司全体，应结合实际设定工作内容，识别主要流程和高风险领域等。6.风险管理机制建设方面，可能存在下述情况：未形成风险管理机制，既无领导机构、归口部门，亦无风险分析团队、风险评估方法；生产管理领域风险识别、评估、控制工作比较到位，财务、经营风险管理较弱；风险评估缺乏相应的基础性数据；不清楚公司层面和业务层面的风险承受度，更无定量分析；未系统总结、提炼公司的风险类型和层次。为此，应明确归口部门，组建风险分析团队等。7.内控宣贯方面，可能存在下述情况：宣贯次数和参加人数较少；培训教师侧重于理论；宣贯形式单一；宣贯工作虎头蛇尾，只是在项目启动时宣贯。为此，应对培训人员实行签到、考试、发放培训证书；多形式、不间断宣传内控；重视项目结束、移交成果后的宣贯等。8.流程梳理方面，可能存在几种情况：没有流程图，以文字描述替代；仅将现行的工作流程画成流程图，未进行流程评估和优化；在落实流程或步骤责任人时，相互推诿，不愿承担责任；流程图滥用，事无巨细都画流程图；流程图中步骤曲折、复杂难懂；业务经办人员无法清晰地描述流程，甚至不同的人描述的流程不一致；流程图之间缺乏衔接和对应关系，无法形成闭环；流程图和制度不一致；流程图和管理信息系统(MIS)中的流程不一致。为此，绘制的流程图要清晰易懂；确保流程图之间具备衔接和对应等。9.风险矩阵设计方面，可能存在几种情况：识别的风险过于理论化；过于依赖流程图识别风险；对重大错报或舞弊风险识别不足；未充分讨论风险，风险评估不当；关键控制点识别不当甚至是错误；控制措施与风险点缺乏对应关系；控制手段不当，过多地依赖手工控制和发现性控制；控制频率设计错误，未根据业务事项发生的频率和重要性设计控制频率；流程负责人不明确；控制文档不全面或不存在；会计科目不正确，甚至用的是旧会计准则科目；财务报表相关认定不准确。为此，应综合采用流程图法、财务状况法、事故树等多种风险识别方法；保持控制措施与风险点之间的对应关系等。10.制度修编方面，可能存在几种情况：拿来主义，从别的公司照搬或直接下载；潜规则，故意不固化成制度，留下操作空间；制度不够标准化；引用文件已作废；制度和流程图缺乏对应关系；具体业务制度违反公司《章程》；制度之间打架；部门自己制定制度，未在公司层面统一发布；未设立企管部门，制度修编缺乏归口部门；未将风险点、控制措施嵌入制度，导致风险矩阵和制度两张皮；制度修编完毕，束之高阁。为此，应根据内控规范和相关法规修编制度，规避合规性风险；结合公司实际修编制度，杜绝简单的拿来主义和潜规则等。11.撰写内控手册方面，可能存在下述情况：未撰写内控手册；照搬别的公司的内控手册；对咨询机构提交的内控手册不加复核或不认真复核，导致执行困难；手册与流程不一致，与制度脱节；控制目标、风险点、流程描述缺乏对应关系；手册内容不完整、未涵盖内控五要素；未包含内控评价。为此，应确保手册与流程、制度具备对应关系；确保控制目标、风险点、流程描述具备对应关系等。对照标准、整理制度、梳理现状有没有：缺失的制度要起草，起草制度首先要给予现状全不全：不全的制度要补充，补充制度的最低要求是满足监管好不好：是否能够起到控制的作用做没做：根据实际情况，做穿行测试，注意健全应急流程。四个层面的制度与管理梳理内部控制建设实施的总体流程框架内部控制与流程梳理之间的关系《内控规范》确定的内部控制目标能合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。要落实内控目标，必然涉及到企业经营活动中的所有流程。因此，企业内控的有效实施必须建立在企业业务流程清晰描述的基础之上，从具体业务流程中识别关键内控节点，通过合理设置组织机构与岗位，落实内控责任。达到在具体流程环节中，明确内控要求与规则，使流程在合规条件下运转的要求。

企业内控流程如何建立？建立企业内控流程，必须先从企业业务流程的建立和梳理入手。企业的流程是一系列活动的连接流转，一般将流程活动分为两类：A类是管控类活动（各级别各部门经理人的决策、审批、评审、会审、签字、授权、批准等）；B类是专业类活动（比如市场调研、发货、设计等）。管控活动属于内控活动，专业活动根据内控要求进行岗位分设制衡的则属于内控措施（制度要求），内控制度将对专业活动的作业规范提出要求。企业内控流程的建立与企业业务流程的建立，其描述的方法是一致的，只是两者关注的重点不同。企业业务流程体系是从企业所有业务为企业创造价值的角度梳理和建立，而企业内控流程则须对业务流程中的内控关键控制点进行描述和要求。因此可以说，企业内控流程是企业业务流程中落实内控要求的流程子集。其实包括内控体系在内的企业各种管理体系（如质量管理体系等）均要落实到企业具体业务活动（即业务流程）中去执行。

业务流程及制度框架梳理方法流程梳理的具体方法为：1．部门负责人访谈。访谈的主要内容为本部门负责的具体工作内容及主要职责。通过部门负责人访谈划分出该部门主责的一级流程和二级流程。2．部门职员访谈。访谈的内容为该职员负责的具体工作内容、主要职责及可参照的企业现有制度。通过部门基层职员的访谈，将二级流程进一步细分成三级流程。3．部门负责人及职员确认并修订。将已划分出的三级业务流程交给部门负责人和基层职员进行确认，并完成最终修订。4．为已梳理出的流程进行编号。5．确定流程类型。流程类型分为已建立流程和待建立流程。6．确定主责部门。主责部门指本流程主要的执行部门，可以是一个，也可以是多个。7．相关制度对标。根据企业现有的全套制度，与本流程进行对标，找出对本流程具有规范或指导性作用的制度。若某个流程没有可对标制度，则做上标记（即为内控制度缺失）。106明确每个流程步骤的执行部门及岗位明确每个具体步骤的操作内容明确每个步骤的输入和输出文档明确流程中的控制点绘制工具：Visio部门负责人及职员访谈收集该流程输入和输出的一套文档绘制流程图控制点标示流程图确认流程图作用流程图绘制步骤流程图绘制方法107流程图绘制——流程图的几种形式108流程人力资源规划管理流程流程文件编号:XX有限公司本流程共1页之第1页生效日期:相关部门责任人备注流程协调控制部门:人力资源部总责任人:人力资源部经理制订人:审核:签署:人力资源部总经理分发人力资源需求表部门负责人填写人力资源需求公司分管领导审批公司人力资源状况和市场供给状况分析编制人力资源规划批准通过公司发展战略人事专员人力资源部经理人力资源部经理人力资源需求统计表存档否人力资源规划执行人员招聘管理流程人力资源规划方案是副总审核通过是否示例109示例110示例111示例3.流程图绘制——流程图的几种形式112示例3.流程图绘制——流程图的几种形式113流程图绘制——流程图符号说明企业流程与内控要求的建立与梳理

——采购与付款流程为例1、

描述采购与付款业务流程。书面流程描述通常采用泳道式两维流程图，一个维度是职能带或为部门或为岗位，另一维度为流程的进程。以职能带为泳道来界定部门或岗位在流程中的职责划分。采购与付款业务流程的职能带将包括使用部门、仓储、采购、质检、财务等部门，还包括企业高管等决策层。流程将包括采购需求、库存平衡、采购预算、采购计划、选择供应商、采购合同、入库检验、入出库、财务付款等内容，并设置适当审核、审批环节来进行描述。其中的一些流程环节可以细化分解为二级、三级子流程，如采购合同签订流程、财务付款流程等。

2、

明确采购与付款的业务目标采购与付款流程的业务目标主要包括经营目标、财务报告目标、合规性目标等三个方面。规范采购与付款流程的业务目标是：确保采购业务按规定流程和适当授权进行，实现预期目标；其财务报告目标是：确保采购与付款业务及其相关会计账目的核算真实、完整、规范，防止差错和舞弊，保证账实相符，财务会计报告合理揭示采购业务享有的折扣或折让；其合规性目标是：保证采购及付款业务、相关采购、招标合同等符合国家有关法律法规要求，确保采购付款以及相关货币资金管理符合国家有关部门的法规要求。

针对业务目标的确定，识别与分析相关主要业务风险。经营风险主要是：由于采购业务流程设计不合理或控制不当，可能导致采购物资数量、质量及其价格偏离目标要求，或出现差错和舞弊；财务风险主要是：可能导致会计核算多记、错记、漏记物资采购成本和应付账款以及其他应计负债，造成核算和报表反映不真实、不完整、不规范；合规风险主要是：可能导致采购业务处理违反国家有关规定而受到行政处罚或法律制裁。

3、

分析采购与付款的业务风险4、

确定并说明采购与付款业务流程的关键控制点为了从内部来控制上述业务风险，必须规范采购与付款业务流程的同时，对关键控制点进行具体的描述。

采购申请和采购计划的关键控制点是检查库存平衡。符合控制定额的办理领用（发货），定额不足的将编制采购计划，需要经需求部门领导审核后报采购部门。

采购部门的采购预算需要经部门领导审核后报高层主管领导审批。

采购计划应包括采购价格、需求时间、供应商、采购合同、采购物资的技术指标。

选择供应商时，需与供应商就价格、交货周期、付款方式、供货质量要求等进行谈判确定的，由采购、财务及相关技术部门等人员组成谈判组，提出初步意见，报授权领导审定后由采购部门牵头谈判；对公司要求实施集中采购的物资，应按公司的相关规定办理；属招标采购范围的，应组织招标采购。

5、

采购合同签订流程子流程及其关键控制点采购合同签订子流程图的职能带将包括供应商、采购部门、法律审核部门、财务部门、质检及相关技术部门、业务分管高层、财务总监等，流程环节主要有拟定与修改合同、合同审核审定、合同签订、合同存档备案等。采购合同签订流程的关键控制点：

大宗批量与较重要物资采购必须签订合同。由采购部门拟定合同文本后，送财务、法律和技术等有关部门审核。

财务、法律和技术等有关部门依据职责权限认真审核合同有关条款，提出修改意见交采购部门修改合同文本。

分管采购业务的领导和财务总监审定合同，交授权人员签订合同。原件留采购部门，副本报财务、检验、法律等部门备案。6、

采购与付款流程对岗位职责分工的主