企业内部控制流程梳理与风险识别主讲：赵玉梅目录一、认识内控流程二、认识风险识别三、如何建立与改进一、认识内控流程（一）案例——典型内控事件（二）内部控制的概念（三）内控问题及产生原因（一）案例——典型内控事件：安然公司(Enron Corporation)：原是世界上最大的综合性天然气和电力公司之一，在北美地区是头号天然气和电力批发销售商。

辉煌业绩：世界最大的能源公司，500强排名第7，曾被称为“美国最有创新精神的公司”。

严重问题：（1）2001年末，安然宣布第三季度亏损6.4亿美元。

美国证监会进行调查，发现该公司1997以来虚报利润5.8亿美元。

（2）2001年末安然申请破产保护。

在之前10个月内，公司因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利。

（3）2006，安然主席及CEO被美国法院认定有罪，前创始人受多项指控，其中4项银行欺诈罪将导致最高120年监禁的判决；前CEO受19项指控最终判24年监禁；CFO也被判刑10年。

（4）半年多时间，股市市值缩水2.5万亿美元；安然公司破产直接导致美国金融机构损失200亿美元。

深层原因：（1）会计舞弊：通过财务作假和滥用会计方法，隐瞒亏损，掩盖债务和巨大的交易风险（1997以来虚报利润5.8亿美元），误导投资人以牟取私利。

（2）业务集中：业务集中在“能源衍生品交易”，公司出现任何信用风险后，带来一连串灾难性后果，造成现金流困难。

（3）恶性扩张：追求“管理创新”，自封“世界领先公司”，业务不断扩张，从天然气、电力业务，到风力、水力、投资、木材、广告、互联网宽带业务等，无所不包。

风险事件的反思：（1）安然、世通、施乐、安达信等公司欺诈，会计造假丑闻使投资大众遭受巨大的损失。

（2）中航油（新加坡）违规操作被判刑并罚款，巴林银行由于私自交易被1英镑价格交易。

（3）在2000年至2002年期间，由于在美国发生的涉及巨型公司财务丑闻，导致资本市场损失了7万亿美金的市值。

（4）诚信危机震撼着美国及国际社会，美国企业的假账丑闻一时间成为全球舆论的焦点。

强化内部控制是有效防范风险的重要手段：（1）知名企业失败案例与内部控制缺陷密切相关；（2）内部控制能够做到事前防范，及时发现苗头并予以补救。

（二）内部控制的概念内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果、促进企业实现发展战略。

1．内部控制是融入在企业经营管理活动之中的一系列行为，不是一个额外的附加体系。

内部控制是经营管理活动的一部分；内部控制的对象是经营管理过程的主体和活动；内部控制要融入经营管理的每个环节；内部控制要从被动到主动；内部控制要从附加到融入。

2．内部控制强调“全员参与”全体员工都担负内部控制实施的责任；管理者要带头垂范，要“入局”；内部控制与企业内“人人”“事事”都有关。

3．内部控制责任体系董事会：对内部控制的建立健全和有效实施负最终责任；审计委员会：负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等；监事会：对董事会建立与实施内部控制进行监督；管理层：负责组织领导企业内部控制的日常运行；企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作；内审部门：结合内部审计监督，对内部控制的有效性进行监督检查。

（三）内控问题及产生原因二、认识风险识别（一）企业风险识别的概念（二）企业内部控制与风险管理的联系与区别（三）风险识别方法（一）企业风险识别的概念风险识别：指识别所有可能对组织产生负面影响的损失风险，即找出影响预期目标实现的主要风险。

企业风险识别是指对企业面临的尚未发生的潜在的各种风险进行系统的归类分析，从而加以认识与辨别的过程。

识别过程包括两个阶段：首先是风险的辨识，要找出各种风险及其存在之处，然后对其进行分析，主要分析引起风险的各种原因和可能的结果。

1．风险识别的原则系统性、连续性和全面性。

2．风险识别的内容（1）环境风险指由于外部环境意外变化打乱了企业预定的生产经营计划，而产生的经济风险。

引起环境风险的因素有：①国家宏观经济政策变化，使企业受到意外的风险损失；②企业的生产经营活动与外部环境的要求相违背而受到的制裁风险；③社会文化、道德风俗习惯的改变使企业的生产经营活动受阻而导致企业经营困难。

（2）市场风险指市场结构发生意外变化，使企业无法按既定策略完成经营目标而带来的经济风险。

导致市场风险的因素主要有：①企业对市场需求预测失误，不能准确地把握消费者偏好的变化；②竞争格局出现新的变化，如新竞争者进入，所引发的企业风险；③市场供求关系发生变化。

（3）技术风险这是指企业在技术创新的过程中，由于遇到技术、商业或者市场等因素的意外变化而导致的创新失败风险。

其原因主要有：①技术工艺发生根本性的改进；②出现了新的替代技术或产品；③技术无法有效地商业化。

（4）生产风险指企业生产无法按预定成本完成生产计划而产生的风险。

引起这类风险的主要因素有：①生产过程发生意外中断；②生产计划失误，造成生产过程紊乱。

（5）财务风险由于企业收支状况发生意外变动给企业财务造成困难而引发的企业风险。

（6）人事风险凡是涉及企业人事管理方面的风险就称为人事风险。

3．风险识别应关注的因素风险承受度：是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

（1）内部风险单位识别内部风险，应当关注下列因素：①高级管理人员的职业操守、员工专业胜任能力等人力资源因素；②组织机构、业务活动方式、资产管理、业务流程等管理因素；③研究开发、技术投入、信息技术运用等自主创新因素；④财务状况、经营成果、现金流量等财务因素；⑤营运安全、员工健康、环境保护等安全环保因素；⑥其他有关内部风险因素。

（2）外部风险企业识别外部风险，应当关注下列因素：①经济形势、财政管理体制、融资环境、市场竞争、资源供给等经济因素；②法律法规、监管要求等法律因素；③安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；④技术进步、工艺改进等科学技术因素；⑤自然灾害、环境状况等自然环境因素；⑥其他有关外部风险因素。

（二）企业内部控制与风险管理的联系与区别1．企业内部控制与风险管理的内涵内部控制一般是指企业为合理保证实现经营管理目标，确保财务财产的安全完整，保证企业运营战略和有关规章制度的有序进行，确保企业高效率的运行而在公司里实行的调节、管制、计划和评估的方式及其技术措施的总称。

除此之外，内部控制还是在特定的环境下，公司要提升其自身运营效率并充分获取利用所有资本，实现企业的管理目标而在公司内实行的一系列约束和调整的策略、流程和措施。

风险管理是指公司在经营管理中对于一些风险源实施辨别、确认、评估与监管，在适当的时候也可以实施一些有效的方法对其进行监控与预防，从而给公司带来更大的安全保障的程序。

随着国际经济形势日益复杂，企业面临着更加严峻的生存压力，“全面风险管理”的概念获得广泛认可。

2．企业内部控制与风险管理的联系内部控制和风险管理理论并不是相互独立的两类理论，二者在实施主体、组成要素以及实施目标等方面都密切相关。

第一，内部控制与风险管理实施目标虽不尽相同，但二者在本质上都是通过一系列措施和手段，达到增加企业价值、使企业利润最大化的目的；第二，内部控制与风险管理实施主体与实施客体基本相同，都是由企业董事会、管理层以及其他人员共同实施，其实施客体都是企业员工、资产以及企业在经营管理过程中形成的关系。

值得注意的是，内部控制与风险管理并不仅针对企业董事会和管理层，二者需要企业全体人员的共同参与，企业高管与员工的区别在于其在内部控制和风险管理实施过程中的管理责任不尽相同；第三，内部控制与风险管理都是一个动态的过程，都需要在实施过程中进行反馈与调节，使得企业内部控制和风险管理能够在一定限度内对环境变化作出相应调控；第四，内部控制是全面风险管理的重要组成部分，内部控制与风险管理组成要素在一些方面是相互重合的，风险管理对目标设定、事件识别和风险对策方面作出了更为细致的规范和要求；第五，全面风险管理以健全的内部控制为基础，公司对风险实施管理就必须要有科学、先进的管理措施，倘若没有完善的内部控制制度，那么企业风险监管也将无法顺利实施。

3．企业内部控制与风险管理的区别首先，内部控制与风险管理职能定位不一致。

企业施行内部控制制度的目的是维护自身财产的安全与完整，从而确保会计信息质量及其他管理信息的真实、可靠和及时。

风险管理的目的是以最低的成本应对企业风险，从而使企业避免损失，实现利润最大化。

全面风险管理在制定合理的内部控制，保证企业经营合法合规和财务财产安全的同时，还需要对企业在战略制定和业务模式选择等方面提供合理保证。

其次，企业内部控制与风险管理活动范围不尽相同。

内部控制只是企业公司治理的一项职能，而企业的风险管理则在治理程序中的每个部分都存在，公司进行内部监督控制的方式除了表现在对事中和事后的控制，最主要的是公司于事先规划方针的过程中就全面了解到危机的严重性。

最后，内部控制与风险管理对风险的对策不同。

企业在经营过程中，需要对所面对的风险采取必要的措施和手段，如采取避免风险、控制风险、分散与中和风险、承担风险、转移风险等方法，对企业风险进行管理，使运营战略与风险回报相协调，从而达到降低企业经营风险、增加企业价值的目的。

（三）风险识别方法曾发生过这样一个生产事故：技术部门借用其他产品的图纸，并在此基础上进行了一些修改，但这个修改并没有通知到位。

生产部门看到图纸后以为是其他产品工艺，并按此执行了生产工艺，结果直到生产完成后才发现工艺做错，所做的所有产品报废。

企业的事故发生后，企业当然会非常紧急的排查、解决、整改，但是对于企业而言，更重要的不是等待事故的到来，而是防患于未然，这也是为何企业内控中非常强调风险评估的原因。

内控管理常常都是风险导向，因此,对于企业来说，企业内控的基础工作应该是风险识别。

在企业内控的五大要素中，风险评估分别包括风险识别、风险分析以及风险应对这三个过程，而风险识别则是风险评估的第一步。

对于业务风险和管理风险而言，最方便的风险识别载体就是流程，因为固化过的流程有明确的步骤和责任主体，便于按节点的进行风险识别。

因此企业做内控建设的时候，很强调企业是否具有健全完整的流程体系，通过流程作为载体，可以更快捷有效的进行企业内控的工作。

利用流程来进行风险识别的步骤主要有三步：筛选、模拟以及归类。

对于一个有着完整流程体系的企业来说，首先要从其固化流程的风险筛选开始做起。

这种筛选往往采用的是经验法，即由相关部门对其所熟悉的流程中可能产生风险的节点进行汇总上报。