股份内控缺陷怎么分析

㈠ 如何将《内控手册》要求融入到企业的管理流程当中

首先行业不同，方式方法也不同，以一个行业为例
XY股份有限公司为符合上市公司内控法规要求，提高企业经营管理水平和风险防范能力，促进企业可持续发展，根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求，聘请外部咨询公司，2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求，结合国外公司经验，企业内部控制体系建设通常分为4个阶段，内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计，其中前3个阶段是内控建设核心工作，需由企业主导完成，内控审计由审计师在企业配合下实施。

为做实做好内控规范体系建设工作，公司于2011年3月正式成立内控工作领导小组，由公司董事长牵头，高层领导主管、总部各部门负责人及各分子公司总经理作为组员，负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会，对公司内控建设工作进行了部署和动员，并制定公司内控实施计划及工作方案。
一、建立内控建设组织架构，明确相关人员职责。
内部控制建设作为一项长期系统性地工程，并非一蹴而就，公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下，并明确董事长为内部控制实施工作的第一责任人；公司总经理、副总经理为内控实施的具体负责人。
（一）内控领导小组职责
经第六届第十次董事会审议通过，公司成立风险管理委员会，成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士，作为内控工作领导小组。
风险管理委员会对董事会负责，主要履行以下职责：
（1）负责营造良好的内部控制建设环境；
（2）负责制定公司内部控制战略规划，提出总体建设方案；
（3）负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制，以及重大决策的风险评估报告；
（4）部署内部控制建设、执行及监督活动等；
（5）审议《内控手册》的编制、修改及更新；
（6）提交《内部控制评价报告》；
（7）协调公司内部控制建设的重大事项；
（8）考核内部控制建设的相关人员，保持公司整体利益和方向的一致性。
（二）内控项目小组职责
1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组，主要履行下列职责：
（1）全面贯彻执行风险管理委员会关于内部控制建设的精神和方针；
（2）制定公司内部控制建设阶段性的目标及实施方案，提交风险管理委员会审核；
（3）负责内部控制建设的有效实施和运行，落实内部控制建设的具体责任；
（4）研究提出《内部控制评价报告》；
（5）负责公司《内控手册》的编制、修改及更新；
（6）审核在内部控制建设过程中存在的问题，督促各部门进行整改。
2、公司在风险管理委员会办公室细分为4大系统，即风控系统、战略与证券系统、财务系统和运营系统，明确各系统的具体职责。
3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部，配备33名专职人员。各业务单位、职能部门及子公司（事业部）在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
4、审核委员会作为公司内部控制体系有效性的监督机构，监督内部控制的有效实施和内部控制自我评价情况，审核及监督外部审计机构是否独立客观及审计程序是否有效，审核公司的财务信息及其披露，协调内部控制审计及其他相关事宜。
（三）责任部门及工作预算
与内控工作小组相对应，公司确认了内部控制建设的责任部门，即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算，包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化，公司聘请询公司作为外部咨询机构为公司提供专业支持，协助公司梳理、构建及完善内部控制总体架构，帮助公司识别内部控制存在的薄弱环节和主要风险，有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作，为公司培养内部控制建设及评价人才。
二、内控体系建设工作具体推进
内部控制建设工作，公司将分为五个阶段，时间从2011年4月1日至2012年1月31日，总体安排如下：
（一）确定内控实施范围（2011年4月10日前完成）
根据证监局文件精神，结合公司实际，本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
按照《企业内部控制基本规范》及其配套指引要求，结合公司业务性质，公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程，以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
各流程责任人如下（××代表责任人姓名）：
流程第一责任人 具体负责人 内控协调人 中介机构责任
发展战略 × × ×
组织架构 × × × ×
……
注：上述责任人适用于内控建设中的每个阶段。
（二）风险识别及评估（2011年5月31日前完成）
1、流程梳理：公司通过访谈、审阅文档或问卷调查等方式梳理流程，明确上述12大流程的相应子流程，完善组织架构和审批授权指引，根据统一的模板编制业务流程图。在流程梳理过程中，及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程，采取相应的措施规范操作流程，避免内部舞弊等重大风险出现，提高工作效率。
2、风险识别：结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料，从风险发生的可能性和影响程度，对子流程中涉及到的每个控制点进行综合分析，识别固有风险，评价风险等级，形成风险清单。
3、文档记录：根据风险等级，识别流程中的关键控制活动，并在流程图中进行编号；编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
4、查找内控缺陷：将公司现有制度和控制措施流与风险清单进行比对，通过穿行测试、控制测试等手段，获取关于内控设计和运行有效性的证据，查找内控缺陷，形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层，管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
（三）确定内控缺陷整改方案（2011年6月30日前完成）
1、编制《内部控制管理建议书》：公司对发现的内控缺陷进行分类分析，确定内控缺陷的重要性程度，区分设计缺陷和运行缺陷，形成《内部控制管理建议书》。
2、制定内控缺陷整改方案：公司根据《内部控制管理建议书》和具体的控制缺陷，提出整改时间及责任部门、人员，形成内控缺陷整改方案。
3、提交审议：内控缺陷整改方案应当经过风险管理委员会审议通过。
（四）内控缺陷整改（2011年9月30日前完成）
1、落实整改、提交报告：责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改，完善公司各项内部控制管理制度和控制措施，提交《内控缺陷整改报告》；内控项目组连同中介机构对缺陷整改情况进行运行有效性测试，形成《内控运行测试报告》。
2、编制《内部控制手册》：内控项目组根据风险清单和各项内控文档等资料，编制《内部控制手册》，并对手册内容进行实施辅导和推进执行。
3、编制《内控自我评估工作指引》：内控项目组编制《内控自我评估工作指引》，为下一步内控自我评价工作的开展奠定基础。
4、提交审议：《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
（五）内控持续推进和内控自我评价
公司在内控体系成果完成后，将予以持续推进，并根据辖区证监局要求，公司将于每季度结束后的10个工作日内，向证监局报送内控进展情况说明，并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
通过以上工作，公司初步建立健全了内部控制体系，有效提高了内控管理水平。
三、企业内控体系的“落地”和持续推进
XY公司在完成内控体系初步建设完成后具体推行过程中，一些部门和员工或因对新的内控制度理解不够，或因由于长期工作习惯难以改变，或因内控制度变革触及自身利益而不愿遵循，使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去，并保持内控体系的持续完善和提高，是管理层迫切需要解决的难题。
为了切实将内控制度体系真正“落地”，XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施，有力地保证了内控建设的持续维护，公司的内控建设取得了卓有成效的进展。
具体来说，采取的主要措施有：
（一）完善内控工作组织架构，成立内控部，强化审计部，建立推进内控工作的组织机构和运行机制。
通过对国际大企业内控建设的现状和过程的全面考察，XY公司发现要实行有效的内部控制，必须建立相配套的组织架构。为此，公司由管理高层成立了内控工作领导小组，各子公司管理层对应的成立内控管理小组；在部门设置上，XY公司新成立了内控部，各下属子公司根据其规模大小设立内控部或内控负责岗，负责内控建设工作；在内控监督上，转变了原有的审计部的职责，增加了内控评价和检查的功能，并由公司董事会的审计委员会直接领导，在规模较大的子公司同时设立内部审计专员，负责子公司的内控自查。
（二）注重内控环境建设，进行全方位内控培训。
XY公司通过一系列的培训和辅导，提高各层级管理人员和基础员工对内控理念的认识，营造有利的内控工作开展的文化环境。首先，公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》，在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识，减少内控推进的思想阻力。
其次，公司根据内控规范实施的进度，围绕内部控制的各个方面，开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训，对内控制度的编制和实施起了极大的推进作用。
（三）建立内控推进的沟通机制，保证内控建设持续性和问题解决的及时性。
自内控制度建设正式推进以来，为了保证推进的执行力，公司开展了全方位的信息沟通机制，实现了信息的实时传递，和通畅的上传下达。
首先，XY公司建立了周例会制度。内控领导小组每周组织内控工作例会，由公司董事或审计委员会主任主持，参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”，汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项，并由内控领导小组组长对相关的具体问题提出意见和工作指导，会后股份公司内控部负责对每家子公司进行回复，保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会，并抄送相关子公司的管理层，保证管理高层对内控进展的时刻了解。
其次，公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结，由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报，督促各子公司的内控执行力。
第三，建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报，以实时处理可能的重大风险。此外，股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开，作为信息直接传递的一个重要渠道，帮助股份公司及时了解下属子公司内控风险。
（四）完善内控评价检查机制，建立了多层次的内控检查体系。
为了保证内控制度的落地和真正有效的执行，公司从各子公司到股份公司的内控部和审计部，再到外部独立的第三方中介，建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查，通过发放内控调查清单以及内控专员的现场检查，发现子公司在内控建设中的不足，并及时下发风险联系函、风险关注函和风险警示函，以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主；关注函主要是对子公司发生的业务表示关注，一般要求对方在一定时间内给出书面说明；警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化，审计部编制了内控评价底稿通过检查，对子公司形成内控建设的量化评价，并针对检查中发现的问题出具改进建议，并要求各子公司在规定的时间内予以整改，总部内控部对子公司整改措施和整改质量进行全程的监督，整改完成后，审计部及时予以复查，确保审计中发现的问题能及时整改。
（五）将内控建设纳入绩效考核，通过奖惩机制实现内控的有效性。
首先，为有效发挥各下属子公司的管理者在内控推进中的作用和积极性，自200×年开始，股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中，明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核，激励管理层切实关注和推动内控的执行工作，从而为内控工作的推进建立良好环境。
其次，对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》，对各个子公司的内控负责人实施全面的内控建设考核，明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制，进一步促进了委派内控人员的工作落实力度；其次，对于股份委派的财务负责人，也在其年度考核的总分中（100分制）纳入了相当比重的的内控建设的相关内容，从财务职能加强了对子公司的内控推进。
（六）充分发挥专业中介机构力量
XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务，在整个体系建立过程中，充分发挥咨询公司专业力量，并聘请专业顾问对公司人员进行培训，提高公司人员内控理念和技能。在内控体系初步建立之后，仍继续与咨询公司保持合作，借助咨询公司在专业及独立性方面优势，共同推进公司内控持续建设工作，在内控持续建设工作中，专业咨询公司提供了大量了专业意见和培训辅导服务，帮助公司完善各项成果，使得公司的内控持续建设取得了令人瞩目的成效。
四、企业内控体系建设过程的经验和启示
在公司董事会、各层级管理人员和基础员工不懈努力下，公司内部控制体系的建设取得了一系列的良好效果，全公司各级员工的风险管理意识显著提高，对风险的理解和重视切入到各个业务和管理环；强化了各项经营活动的规范化操作，实现了重大经营活动的集体化决策机制，有效防范了决策风险；提高了公司的财务管理水平，保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全；加强了公司对新经营环境下管理风险的关注；完善了公司的风险预警机制，提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中，主要的经验和启示有：
1、公司董事会和最高管理层的重视和亲自参与
在XY公司董事会，无论是大股东委派董事、非执行董事还是独立董事，都非常重视和关心内部控制体系的建设工作。作为公司的大股东，集团对股份公司的内控建设给予了极大的理解和支持，有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通，对于内部控制推进中出现的任何问题，董事会层面时刻给予相应和支持。
在公司管理层方面，成立了内控领导小组，投入了大量的人力和财力，带领企业员工共同进行内部控制建设，为内部控制的推进提供了良好的内部环境，同时也激发员工的积极性和主动性，推动企业内部控制朝更顺利、更完善的方向发展。
2、对内部控制理念以及其与公司其他管理体系关系的认识统一
XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训，帮助各级管理者以及基层员工了解内部控制的主要原理和价值，减少内控实施中的思想阻力。其次，公司统一了内控体系与其他管理体系的认识，内部控制和风险管理不是一套孤立的新的体系和制度，而是一种基于“目标－风险－控制－监督”框架的管理思路，这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去，是对企业原有的管理制度的整合和提升。
3、制定了清晰明确的内部控制战略规划
公司根据自身实际情况，在订并提出了内部控制的五年两步走的规划，并将其纳入到公司的5年战略规划中。第一阶段（3年），通过自上而下的刚性要求，构建全面的统一化的集团内部控制架构，并通过理念灌输形成内控推进的文化范围；第二阶段（2年），通过自下而上的，自觉的内控体系的完善，形成各个产业公司的特色化内部控制。这一从强制到自觉，从理念普及到制度完善再到内控手册的表格化提升的建设步骤，使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态，稳步推进，逐步加深，为内部控制的发展道路勾画了清晰路径。
4、因企制宜的实施方案
XY公司意识到对于集团化企业，内部控制不能是一刀切的，公司要实行内部控制，需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上，结合企业经营实践，基于先主后次的重要性原则以及成本收益原则，提出了以若干业务循环作为公司内控建设的主要循环范围。
其次，考虑公司的人员能力和素质，在内控成果上也没有一步到位册，而是以制度建设为基础，通过制度规范，到流程优化再到风险提炼，逐步实现内部控制的层层递进。
第三，在内控推进上，公司充分考虑下属各产业公司的业务特点，确定适合各公司的内部控制方式和侧重点。
5、循序渐进的实施步骤
（1）自上而下的理念推进向自下而上的流程推进的递进。
在内控实施的第一阶段，公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一，并向各子公司传达，之后各子公司则进行自下而上的内控流程推进，即各产业公司根据自身的内部流程，进行制度的完善，并经由公司内控部审核后实施。
（2）由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
公司内控部结合外部力量制定框架性的制度，明确各业务循环的关键控制点和操作要求，各产业公司根据自身业务情况，在满足框架制度要求的前提下制定适合企业自身的管理制度，以求更贴近产业公司的经营管理实践。
（3）普遍性、通用性的风险点向专业性、针对性的风险点的递进。
公司首先根据对产业公司实际情况的调研，绘制公司的全面风险数据库，梳理出具有普遍性的通用性主要风险点，之后，各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险，以实现内部控制的完善。
（4）抓重点公司，抓主要循环和风险、抓典型事件。
公司的内部控制遵循重要性原则，关注重点公司级重要循环与风险，并关注典型事件，以期通过重点带动全面，推动内部控制的发展。
6、借助外部专业中介机构推动内控建设
外部专业机构相对具有更丰富的内控专业力量和实施经验，并且具有客观性和独立性，XY公司在整个体系建立过程中，充分发挥咨询公司专业力量，但也没有完全依赖中介机构甩手不管，而是充分参与和配合，在内控建设过程中，实现知识传递和内控人才培养，取得了较好的实施效果。

--------------转自新浪微博《马军生-内部控制博客》

㈡ 内控缺陷分为哪三类

内部控制缺陷按照内部控制严重程度分类可分重大缺陷、重要缺陷、一般缺陷。

㈢ 从五大要素分析企业内控存在的问题

风险可以分为三类，即可预防风险(内部风险)、策略风险和外部风险。为追求盈利而自愿接受的策略风险和外部风险是无法通过制定规则来规避的，但规则却可以协调员工的价值观和行为方式，有效地改变或避免内部风险。内部风险，大多与企业内部的舞弊和疏忽有关，建立并执行严格的内部控制系统是降低此类风险的主要手段。

企业应当如何制定规则来控制内部风险？中欧国际工商学院会计学教授、EMBA学术副主任、首席财务官课程(CFO)学术主任苏锡嘉在中欧管理论坛上，就“危机中的企业和企业中的危机”的主题，深入讲解企业领导者如何在日益复杂的外部环境中加强企业内部控制，有效管理风险，提升经营业绩等问题。

COSO是在美国做舞弊调查的机构，延伸到了内部控制，提出内部控制的框架。COSO最基本的内部控制框架，(是)所谓的“三目标、五要素”。三目标，一是有效率且有效果的使用公司资源，后面两个目标是COSO加上去的——财务报表和合规。在三个目标中形成了从下到上、从基本到高端的五个要素。

一、控制环境。控制环境就是要建立企业的文化，让正直的人能得到重用。企业文化看不见、摸不着，但带来的影响是非常大的。做管理就是要形成企业里面的小环境，这个小环境让每个人都有意愿把自己身上光明、阳光的一面展现出来，把自己身上负面、不体面的东西想办法压下去。前两年美国有个团队做了一个研究，对美国财富500强的大公司说请给我一张名单，去年你们公司管理团队流失的人有多少个？列出来后告诉我有哪几个人，公司如果有可能的话是一定想办法留住他们的。他找这些人一个一个地去问，很多人给的理由居然是什么？我看到办公室里很多同事上班用公司的电话讲私人的事情，或者用公司的信封寄私人的信件，我不愿意和这些人成为同事。这告诉大家一个道理，公司文化最重要的作用就是把具有相同价值观的人聚集在一起，把不认同这个价值观的人驱离公司，久而久之，所有留在公司的人都是具有同样价值观的人。

公司是由人组成的，所以一个好的公司文化必须要从建立、从招到最合适的人开始。招聘员工其实风险非常大。因为环境诚信有问题，怎样保证这些人正直、可靠，这是非常关键的。运作到后面，要建立各种各样的机制、机构，董事会、审计委员会，并形成一定的经营风格、管理风格；很多时候，一把手决定了这个企业做事情是什么风格，而且很多风格一旦形成就很难改变。在一个没有宗教信仰的环境中，防范风险的难度比其他环境大一些。

二、风险评估。风险是将来要发生的可能，在它没发生之前就找出来，难度很大。风险有各种各样的分类，一是内部风险，自己做事情能解决掉的风险；二是外部风险，市场环境突变、自然灾害等等；还有固有风险、剩余风险。

风险识别的关键是看到每个风险发生的几率有多大？产生的损失有多大？如果发生的损失可能非常大而且发生的概率非常大，最好的办法是咱们不干这个事情。我造成的风险可能非常大，但发生概率并不是太高，什么办法？转移，一个办法是买保险，(把)部分(风险)转移给别人；还有找人合资，找人分享。如果发生概率挺大(但)损失不会太大，最典型的是产品出质量问题，对策是加强质量控制措施，减少不良频率的发生。如果我采取措施防范，可能成本抵不上得来的好处。

你真正树立(风险)观念以后，你的行动变得完全不一样。有两家公司在日本福岛地震(中)的表现，告诉你(要)有风险意识。今天晚上谁都不要回家，立刻查出来世界上有什么东西只在日本福岛地区生产的，不管跟我们公司有没有关系，全世界去找，不管价钱统统买下来，一个晚上整个公司扑在这个(事情)上面。第二天全部做完以后，现在回去睡觉，大家等着数钱吧！说起来道德上有点恶劣，但从商业敏感度来讲绝对厉害。第二个例子是上海汽车在福岛地震的第二天早上9点钟紧急召开集团办公会议，董事长只提一个问题，福岛地区生产如果不恢复，上海汽车生产可以维持多少时间？因为汽车很多配件都是日本生产的。全公司立刻报上来，6个月。第二个问题，继续查零配件世界上有没有可代用的东西？一项一项落实，报告上来每一样东西世界上都有替代品。又问，能不能用？不能。因为所有汽车零部件用上去必须要有一个认证过程，认证过程多长？最短9个月。董事长说从今天开始全公司全力以赴解决认证问题，一定要在6个月之内解决认证。公司对于风险防范的事情，一有点事情立刻想到(会)受什么影响，一天都不能耽搁。

风险还有一些思考，第一是应不应该回避风险？你要想清楚一点，做企业本质上讲就是冒险，成功的企业家都是愿意冒险的，不愿意冒险的人不可能会成功。但我们永远想清楚，企业需要冒险，但必须是只冒可以承受的风险，绝对不冒不能承受的风险。比如，我说我掏1块硬币拿出来跟你玩，翻到正面你给我5块钱，翻到反面你给我5块钱，挺好玩的，玩一下。我再说，翻到正面你给我5个亿，翻到反面我给你5个亿？玩不玩？你这时候不会想万一我今天赚了5个亿晚上怎么花这个钱呢？你首先想到(的是)万一我输了，我到哪里拿5个亿还给这家伙？我能不能承担起这个风险？我才做。如果成功了会有多大的好处？

企业冒险，影响生死存亡的风险是决定。中国人经常说用人不疑、疑人不用，这是非常虚伪的，因为在现代的商业社会里，疑不疑人是对他负不负责，最好的(是)我不给你任何犯错误的机会。所以我到每一家公司做独董，给做风险控制、内部管理的人只给你八个字，相对独立、合理欢迎。

我们鼓励创新，创新是不是等同于冒险？是不是一旦创新、风险控制一定会差？越是具有创新能力的公司更多使用控制。创新和控制其实是不矛盾的，真正要创新有效，不是像无头苍蝇一样到处乱投钱，这不是创新。

如果你面临如下选择，一种是牺牲核心员工以消除重大风险，二是保护核心员工但可能留下重大风险，你选择哪一个？保护核心员工和消除重大风险，哪一个更重要？消除重大风险。首先把风险堵上再说，牵涉到不管什么人以后再说，再冤枉这一刀必须斩下去。从道理上讲，风险防范为上，保护核心员工为次；但真正叫你动手，那个人看上去那么的无辜，你现在为了一点风险要把他先宰下来，你下得了手吗？如果下不了手，临阵畏缩，你觉得这个人有没有罪？应不应该受到处罚？这些都是在实际风险控制中非常实际的问题。碰到这些让你困惑的(问题的)时候，很多人往往觉得下不了手，但下不了手，真的导致风险爆发的话很可能整只船就沉下去。我让大家想一想，被误伤的这个人心里会怎么样？会不会怨恨？电影里面的“007”真是高尚，回到警察总部来毫无怨言，而且要继续拼杀，实际工作中没人做得到。没人做得到会怎么样？带来下面一个问题，这些人如果证明真的是冤枉的，应不应该、能不能够让他回来官复原职？基本规律是打死也不能让他回来。

为什么？告诉你一个简单的例子。雷诺汽车前几年发生一件事情，一个副总举报、揭发另一个副总把公司机密的商业资料透露给竞争对手，拿出证据来，公司董事会震怒之下把那个副总和手下一帮人全部开除了。一年之后，事实证明举报是阴谋报复，诬告的副总再开除，(被冤枉的)那个副总要求回公司，雷诺(说)要多少钱可以商量，回来一点商量(余地)都没有。为什么？不仅是心态变了，你要想清楚，当时公司上下经过一场非常剧烈的政治变动，把那条线的人调出去了，现在如果让它回来，公司不得安宁，他要回来(整)原来整过他的人，每个人重新站队，这个公司折腾不起，(所以)不能回来。你要想清楚，个人对于公司来讲永远是次要的。

三、控制活动。控制活动有很多措施。有一家公司，所有的存货采购，任何东西采购进来，如果十天之内没一个人领用的话，总经理的电脑上会有一个红灯亮起来，(他)立刻查当初是谁提出请购的？请购理由是什么？批准理由是什么？为什么买进来以后十天没用？资金成本由谁承担？这个(制度)建立起来以后，类似错误不会犯第二次。公司不怕犯错误，最怕犯重复性的低级错误，这是公司不能忍受的。

建立控制制度，有些事情非常重要：

一是区分不相容职务，就是奉行一个基本原则——两个人干一件事情总比一个人自己干要安全，因为两个人有一个监督和约束。有些工作天生不能由一个人干，比如会计和出纳不能由一个人干。我举一个例子，这是企业担保的职能，把担保这个环节中牵涉到几个管理环节，我1、2、3、4、5、6、7列出来，至少有7个职能，哪几个必须由不同的人做。现在，不相容职务如果划分出来，做出来以后仍然出问题，这种风险在哪里？什么情况下不相容职务分离开来最后还是出事了？串通。所有的控制措施最怕的一件事情就是串通。怎样解决串通的可能？这是每个公司都绞尽脑汁的事情。有的比较小的企业、有些老板会有一些私人的独门秘诀。有些老板说，我的独门秘诀就是今天出纳不在、会计在的时候说，你小子注意，出纳反映好几次了，你经常上班的时候遛出去，会计听到(之后)对出纳恨得都牙痒痒的；(但)等到他们两个人哪一天说穿了、说透了，(老板)就惨了，所以这不是控制，这是权谋。也有一些人说，我的基本原则是这两个人绝对不能一男一女，特别不能年龄相近，一定不能是同乡，不能(是)一个学校毕业的等等，让你两个人共同语言越少越好。怎么解决串通问题始终是一个困惑。关键岗位必须强制连续休假10天以上，休假期间一定有人顶岗。比如新加坡把英国银行搞垮的这些人都有一个共同的特点，工作特别辛苦，好几年都没有休假了。他怎么可以休假？他一休假全部都要露馅的。

二是明确岗位责任，我一再强调必须要有书面的岗位责任承诺书，每年要签一次，(这)带来两大好处。第一个好处是每年对每个岗位重新做一个复核，对他承担的责任做一个提醒，尽管是例行公事但至少是一个提醒。第二个，一旦有什么事情上法庭，有法律作用的文件，也就是说你承诺过必须尽到这个责任，如果你没有做到，(在)法律上必须负责任。岗位责任承诺书，现在基本上大的公司一定要你签，但岗位责任承诺书本身公司要有认证和复核，最怕你没有准确描述。

三是作业流程图，把每一个步骤落实到纸面上，你先走什么、后走什么。比如供应商评选，这件事情在每个公司中都是一个非常非常烦人的事情，为什么？因为很多作业流程都是非正式的，一旦非正式的东西放在纸面上来会发现无穷无尽的争吵。碰到类似的问题，四个部门的负责人放在一起，这个事情做下去了，一旦划到流程图不行了，必须先到他这里，我用流程做下去，四个人全部跳起来说，这怎么行呢？现在的话如果我同意了，你们3个人分分钟可以否决我，我说什么意思啊？现在他们3个人不同意的东西，我连看到的机会都没有了？一旦划到流程谁有权做什么，因为牵涉到不同部门的利益、牵涉到责任再划分，这是一个非常大的麻烦。

四、信息与沟通。现在是信息时代，让信息在企业中间起到一个良好的作用，这是极其关键的。对于信息控制，关键的一点就是在合适的时间让人得到合适的信息。这句话说起来容易，做到太难了。现在每个企业多多少少都有自己的信息系统，但天量的信息每天在产生，究竟起什么作用？企业里几乎没有人说得清楚。企业接触信息的授权在绝大部分企业里都是不精细的，信息系统由于很多看不见的东西，只要有人在里面有机会打一个补丁，带来的后果不堪设想。有的补丁损失还有一些，有的补丁带来很大的(损失)。

上海有一家法资超市，欧尚超市，里面有个小伙子管计算机系统，每天营业结束关门以后，他把营业数据汇总统计送到法国总部，这注定了他每天下班都在其他人之后。有时候他肚子饿，他有一天晚上肚子饿就走到超市拿面包，我在上班工作，拿一个面包吃，数量万一和计算机的数字不对，要负责任的。(于是)他就吃一个面包，打一个补丁，弄完以后发现这一招很简单，肚子饿就到前面拿面包吃。千不该、万不该，一天有个装卸工是他朋友，肚子饿不饿，要不要吃面包？你随便拿。你怎么有这个本事？我保证你没有问题。到底怎么弄的？我老实告诉你们，我在计算机打一个补丁，谁也看不出来。那个人比他多一个心眼，面包可以拿，那钱也可以拿啊！他说不对，钱我拿不到，钱都在收银那里。他说你别管了，收银员我搞定，计算机你搞定，这个人就买通收银员。他招募了20多名收银员，计算机上做一个补丁。(后来)法国总部发现这家分店每天营业额不如以前，好几个人查也查不出来。后来有一次法国来的人，非常偶然，捡起小票一看就知道，打出去有一个抵扣项，几个月的时间(他们)拿了200多万。超市是利很薄的行业，一个店拿掉200多万是非常大的数字。

计算机系统如果被人做手脚是非常危险的，但计算机系统用得好，有时候可以帮助你控制，毕竟计算机是毫不留情的。我有一个学生经营星巴克咖啡，他说有一家店老是怀疑有问题，因为这家店的营业收入和消耗怎么都对不起来，总觉得有问题。后来仔细分析发现，两家店串通，我们账上只进3杯，我给你还是给5杯，最大的可能就是每次收银机(打开)出来的时候，如果要做手脚停留的时间一定比平时长。他就测算这家店每次超过多少秒的收银行为出现的概率和其他分店是不是不一样？一分析，明显多，就知道这家公司肯定有问题，计算机告诉你的不可能有假，专门在收银机上偷偷装了摄像头，一查就查出来了，所以电脑可以帮助你把握风险，这是信息的质量问题。

五、监控。监控是到了最后一关了，就像足球场上的守门员绕过你进球了，所以所有公司领导一定想办法让你知道，你承担的是最后的责任。很多人没意识到我这个责任有多大。企业领导最后做监控通常用什么手段来做？签名。但太多人签名签得太随意。

我曾经在一家大型企业做独董，我就看不下去了，我说签名签得太随意，我开董事会的时候要求董事会给我一个授权，我这个要求太冠冕堂皇了，没人有理由否定，董事会一致同意给我这个授权。我拿着授权把风险控制的人召集起来，我说现在(我)得到董事会正式授权，允许我对监控做一次检查，现在你们只听我的，不听任何其他人的，做什么？替我把公司上上下下，从董事长、总经理开始所有人去年的签名随机抽查100个，列成表，要做的事情就是找到这个人说，你去年几月几日在什么东西上签名，现在请你告诉我当时签名掌握了什么证据？有什么理由相信你这个签名是负责任的？十有八九被问的人一头雾水。我把所有调查下来的结果列成一张表摊到董事会桌面上，我说这就是我们公司的签名。我这样做会对很多人以后签名起到非常大的提醒作用。

我同时(还)要做一件事，减少公司签名的数量，特别是要杜绝几个人共同签名。几个人共同签名说起来是集体负责，其实是没有人负责的。一方面减少签名，另一方面做到每一个签名的人必须让他明白你承担什么责任。

签名意味着三件事情。第一件事情是你掌握了签名所需要的所有证据；第二，你明白签名以后可能产生的后果；第三，你愿意承担签名带来的所有责任。所以一个公司要建立文化，让签名的人知道签名意味着三件事情，如果没有想清楚这三件事情你千万不要签，在这个立场上监控所起的作用。

企业现在大量工作实际上用中介在做，怎样善于利用中介的力量帮助你？比如审计师，审计师承担法定的发表独立审计意见的责任，但(这)并不妨碍你请他们帮你一个忙。我到很多公司都会对审计师说，我知道你法律上没有这个责任，但就算你帮我一个忙。什么忙？第一，你到下面去看，会看到很多不一样的地方，请你帮我注意观察一下我下面的人在干什么？哪怕他们在聊八卦的事情请你帮我听一听下面的人关心什么？有没有问题？第二，请你告诉我，我下面的人称不称职？你们的工作做得好不好，这样一来好处是什么？好处是审计费用一分钱也不增加，但额外得到了一些你想要的信息。企业所有的中介服务，你应该想方设法想一想，能不能让他多提供一点有价值的服务？

内部控制最怕的是什么？最怕的是制度形成、装订成册，锁进抽屉，从此无人问津，这是最可怕的。所以每个企业要保证制度做下去有后续的行为，这时很多公司想有一套措施，保证制度的缺陷能够得到及时的报告。所谓缺陷，一种是设计缺陷，一种是执行缺陷。有一家大型的集团公司采用的办法是每一家分公司自己报，你今年内部控制有几个设计缺陷，然后叫总集团审计部去查，两个数字分别报到董事长这里。这是一个非常大的羞辱，每一个分公司几年以后要报内部控制结果的时候都战战兢兢的。你必须要有一个办法让下面的人不敢掉以轻心。

网上调查很多企业内部控制执行最难的是什么？绝对占第一位是一把手舞弊。这是中国特殊的问题。中航油在新加坡出事以后，当初我们想要一点面子，是不是让中国证监会调查？新加坡交易所断然拒绝，说让我们调查，不能让中国调查，他调查以后形成一个200多页的调查报告，调查出来的第一个结论让所有人都大吃一惊。第一个结论是中航油的内部控制制度是世界一流的，他专门花了几百万的钱请安永会计师事务所设计了一套完整的内部控制(制度)，而且他知道中国人比较讲情面、讲关系，两个关键岗位，一个是风险控制官，一个是操盘手，(这)两个岗位专门找了老外来做，两个澳大利亚老外，这样不讲情面。但是这么好的一套制度居然会出这么大的一个漏洞，接下来的结论非常简单，这套制度管住了所有人，除了陈久霖。换句话说，再好的制度只要有一个人可以置身制度之外，这个制度就是废纸。好的制度涵盖了所有人、所有的经营环节，这是一个非常明显的事实。销售付款，销售、采购这两个在所有制造性企业里都是最大的风险。销售和采购正好是两个阶段，做采购的人在公司是孙子，在别人那里是大爷；做销售在公司里是大爷，到别人那里是孙子。潜在利益非常多，销售的人说我稍微晚一点付款行不行？最怕(的情况是)你给他的工资明显低，而那个人还是每天阳光灿烂上班，十有八九这里面肯定有补偿机制在里面。

内部控制，如果你的大老板不是非常积极的想做这件事，我劝你千万别去干，因为这件事情没有真正高层的决心和热情，你一定做不下去。因为这件事情牵涉到两件事情对他影响最大。第一件事，利益格局；第二件事，成本。所谓利益格局是企业中间任何现行制度的改变，通常都会动到某些人的奶酪，你都不知道奶酪在哪里，你无形之中会伤害一些人的利益。比如采购制度的改变、供应商的选择，特别是一些公司推集中采购的时候，集团采购经常会碰到莫名其妙的障碍，这个障碍就是你动了某些人的奶酪。

公司做内部控制最经常出现的现象(是)，公司老板推一套新的控制制度，部门经理就会说，老总啊，我同意，我们公司真需要一套新的控制制度，这套控制制度我从心底里赞成，但恐怕今年业绩完不成了，我个人觉得业绩完不成没关系，新的制度应该推。老板一听就急了，董事会承诺过。老总你不讲理啊，你又要推制度，又要达到业绩，这实在太难了，要么这样好不好？我知道业绩承诺过、公告过，今年全力以赴先把业绩做好，这个制度明年大家来推。这个话说完老板会说什么？老板说看来也只有这样了。明年还会不会推？十有八九提都不会有人提了。一个新制度推下去，如果你对阻力预先没有足够的估计，十有八九后果一定惨重。

二是收益与成本。你能够防范的风险仅仅是一种可能，但你花下去的成本是一个实实在在的数字，很多人讲我花钱有没有必要？因为你说的风险怎么从来没有发生过？如果你没有思想准备就做不下去。

三是控制和效果。控制程序越多就越不爽、越不方便，节奏越慢。如果你要高效率的，能不能做到？这个东西有时候就是非常微妙的，有时候一个离奇古怪的念头很可能证明是正确的念头。恒大许家印当时投票(买足球队)，结果只要一票就够了，许家印不管董事会其他人，做得风生水起。如果按照正常风险控制的程序，许家印这个足球(对)是无论如何不能买的，现在买下来对公司是正面还是负面的？看起来很可能是正面的。换句话说，风险控制如果严格按照程序未必让你做出最有利的决策，(它的)作用主要是避免危险决策，但不能帮你形成最高效的决策。企业从根本而言是靠出好产品、好服务来挣钱的，不是靠好的风险控制挣钱的。所有企业的一切行为必须为企业创造价值。风险控制如果不能带来经营改善，不能带来价值增加，所有控制(行为)都不应该存在。所以必须要有经营观念在风险控制里面。

做风险控制本质上讲，是一个非常让人难受的工作。为什么？风险控制(从)根本上来讲，是一个成本中心。成本中心是什么呢？花的钱看得到，但真正产生的价值未必能看到。所以做这个行业的人非常苦恼的是风险控制要做到极致的是公司里大大小小的事情，一点事情都不出，但如果公司一点事情都不出，公司就会问要这些人干什么？

我举一个例子。现在外面有H7N9，禽流感得了这个病一定会死人，你相信我，花500元买这颗药，你吃下去，一年真的没有得这个病，我现在问你一句话，你会不会感激我？100％不会。因为你一年之后看，张三、李四、王五都没有得病。这里最大的问题是我们永远没办法证明本来就不会得病还是吃了我这个药不得病。如果企业没有足够的雅量，很多时候，在成本压力大的时候，这方面会舍不得投入；(但)等到你真正看出拿掉(风险控制)的作用，通常就太迟了。

㈣ 内控审计中内控缺陷一般描述有哪些

1、无详细的内部控制制度（设计缺陷）
2、内部控制制度流于形式，未对照执行（执行缺陷）
3、相关岗位职责未分离
4、无对账、盘点流程
等等

㈤ 什么是内部控制制度的缺陷

内部控制缺陷是内部控制制度的建立或者执行没有达到预期标准，内部控制制度无法为企业内部控制目标实现提供合理的保证。内部控制缺陷分为设计缺陷和运行缺陷。

企业为实现内控目标必需的重要控制措施不足，或者设计不合理，致使内部控制目标不能实现属于设计缺陷；内部控制执行者没有依据内部控制制度的要求执行，或者执行者不具备有效地实施内部控制的能力，致使内部控制目标不能实现属于运行缺陷。

内部控制缺陷依据影响的程度可分为重大缺陷、重要缺陷和一般缺陷，其中一项或多项控制缺陷致使企业严重偏离控制目标属于重大缺陷。企业被评估认定有重大缺陷存在，不得出具内部控制有效结论的内部控制评价报告。

(5)股份内控缺陷怎么分析扩展阅读

内部控制缺陷和内部控制局限性的共性表现为：两者都以目标为判断的准绳，内部控制缺陷表现在不能为控制目标的实现提供合理保证，而内部控制局限性体现在能够为控制目标的实现提供合理保证但不能为控制目标的实现提供绝对保证。它们都产生于内部控制设计和运行两个环节。

内部控制缺陷和内部控制局限性的区别在于：内部控制缺陷是内部控制设计者在设计过程中未意识到缺点，以及内部控制执行过程中不按设计意图运行而产生运行结果偏差的可能。

内部控制局限性则是设计者在设计过程中事先预留的风险敞口，以及运行过程中按照设计意图运行也无法实现控制目标的可能。

由于内部控制存在着局限性，内控只能为控制目标的实现提供合理保证，而不是绝对保证；内部控制缺陷的存在使得内部控制过程无法为控制目标的实现提供合理保证。

㈥ 内部控制缺陷的类型有哪些.请通过具体案例进行分析说明

内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

1、按照内部控制缺陷的本质分类
(1)设计缺陷：设计缺陷是指企业缺少为实现控制目标的必需控制，或现存的控制并不合理及未能满足控制目标。分为系统的缺陷和手工的缺陷。
(2)运行缺陷：运行缺陷是指设计合理及有效的内部控制，但在运作上没有被正确地执行。包括不恰当的人员执行，未按设计的方式运行，如频率不当等。例如：“物资采购申请金额已超其采购权限，却未向上级公司申请安排大宗物品采购”(这存在权限管理规定，却未在实际操作中妥善执行)。
2、按照内部控制严重程度分类
(1)重大缺陷：重大缺陷也称实质性漏洞，是指一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。
(2)重要缺陷：重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注。例如，有关缺陷造成的负面影响在部分区域流传，为公司声誉带来损害。
(3)一般缺陷：是指除重要缺陷、重大缺陷外的其他缺陷。
应答时间：2021-01-07，最新业务变化请以平安银行官网公布为准。
[平安银行我知道]想要知道更多？快来看“平安银行我知道”吧~
https://b.pingan.com.cn/paim/iknow/index.html

㈦ 什么是内控缺陷按重要性程度可分哪几类它们的涵义是什么

内部控制缺陷是指公司内部控制的设计或运行无法合理保证内部控制目标的实现。
按照内部控制严重程度分类：
(1)重大缺陷
重大缺陷也称实质性漏洞，是指一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。
(2)重要缺陷
重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注。例如，有关缺陷造成的负面影响在部分区域流传，为公司声誉带来损害。
(3)一般缺陷
是指除重要缺陷、重大缺陷外的其他缺陷。

㈧ 内控缺陷的认定

严格的讲，没有看到过对内控缺陷认定标准一致性的条款，但是从评价的客观性，评价的质量，标准是应该连续，一贯，一致并没有错。
企业内部控制评价指引
第四章内部控制缺陷的认定
第十六条 内部控制缺陷包括设计缺陷和运行缺陷。企业对内部 控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照 规定的权限和程序进行审核后予以最终认定。
第十七条 企业在日常监督、专项监督和年度评价工作中，应当 充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程 度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。
重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。
一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。
重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上 述要求自行确定。
第十八条 企业内部控制评价工作组应当建立评价质量交叉复 核制度，评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交企业内部控制评价部门。
第十九条 企业内部控制评价部门应当编制内部控制缺陷认定 汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析 和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者 经理层报告。重大缺陷应当由董事会予以最终认定。
企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险 控制在可承受度之内，并追究有关部门或相关人员的责任。

楼主可以留邮箱，我有一套很全的内控资料。

㈨ 审计人员在对大华公司进行审计时，发现该公司内部控制制度存在严重缺陷。在此情况下，审计人员能否依赖

公司内部控制制度存在严重缺陷，首先看管理当局声明书是否承认存在内控缺陷，否则不信赖；其次，比较大华业绩在行业地位，比重不大则不改变成本的趋势分析及结论；其三，核对发票正副本数据、日期和客户名称，如果存在头尾不一致情况对销货发票副本、大华提供的盘点单和发料汇总表等证据需要重新审查核实。