编者按：陈缨对内部控制有几点认识。第一，内控是全员性的工作，需要全员来参与;第二，内控需要体系的土壤，就是内控环境的建设非常重要，一把 手和管理层的重视非常重要;第三，内控体系需要长期一贯的坚持，尤其当你需要通过新兴系统来实施内控的时候，这是一个长期的系统工程;第四，内控体系建设 的核心要建立健全内控自评体系为主的这样的一个体系，自己发现问题，知道风险在哪;第五，培训很重要;第六，是自己做和专业机构需要结合起来，需要专业咨 询机构给一些方法和体系的支撑，但是最后问题的发现和改善还是要自己来做。

　　企业的风险包括战略风险、经营风险和财务风险，本主题围绕运用管理会计的理论和方法帮助企业防范各类风险，提升管理控制水平。

　　日本企业如何应对声誉风险

　　管理会计可大可小，如果狭义的理解管理会计，就是成本、预算、绩效考核、决策支持等。如果把管理会计理解成一个广义的概念，那管理的范畴就非常的大，可以说风险管理也是管理会计的一个组成部分。

　　风险管理，仿佛是一个比较古老的话题。日本经济产业研究所教授古贺智敏介绍的声誉风险管理则让与会嘉宾眼前一亮。

　　将风险管理引入公司治理

　　国内企业对经营管理非常熟悉，但在战略管理、风险管理的研究和经验方面，还是比较欠缺。

　　风险管理和风险披露对可持续的业务发展非常重要。尤其是在经济飞速发展的今天，现代企业的经营越来越多元化，风险点也是越来越多。

　　因此，风险管理被认为是业务科持续发展的最根本的因素。

　　尤其是涉及到公司治理，将财务风险指向的管理，变成了一个综合性、统和性和战略性的声誉风险的管理。

　　“过去，风险管理更多的是涉及财务方面的风险管理，在审计领域是非常重要的话题。而现在的风险管理，需要一个更广泛的视角，即可持续的风险管理。”古贺智敏认为，将风险管理过程和风险信息的揭示两者结合起来。

　　作为增加企业的透明度和责任制为目的的重要组成部分，风险管理和公司治理是息息相关的。风险管理与公司治理、公司声誉紧密联系在一起。

　　“所谓声誉，其实就是公司长期良好表现的积累，经济上的、社会责任上的。”古贺智敏认为，一个好的声誉战略风险管理模型应该包括：根据股东要求和公司资源设定清晰的战略、通过持续监控战略目标和实际表现来最小化声誉风险、通过和股东的持续对话来提高战略目标。

　　战略性的声誉管理

　　如何战略地进行声誉管理?古贺智敏给出了答案，战略性的声誉管理其实是一种全新的理念，到今天为止，还没有一个固定或者是完整的定义来说明什么是战略性的声誉管理。

　　2007年，日本某电机公司低估损失十几亿，被迫接受美国证券交易委员会(SEC)的调查。“这则案例的背后是财务部门及会计系统、内外部审计机构及审计体系、公司治理及监督控制功能、公司文化和管理结构、与子公司之间的沟通等诸多方面的缺陷。”古贺智敏说。

　　众所周知，日本也遭受过地震的灾害和核危机，这也包括人力资本和物力资本的减值。由于地震的原因，很多公司和他们的子公司，必须要搬迁到其他地方，甚至是海外。这就会影响到公司财务资本和财务资金的减少。也会影响到一个国家整体的经济环境。

　　古贺智敏通过对比风险管理和综合声誉风险的区别发现一条“三步走”的步骤。即第一步是包括目标的设定，第二步是包括分析和实施，第三步是监控和报告。

　　这不仅适用于传统的风险管理，也可以适用于声誉的风险管理，因此，可以用这个框架来帮助企业进行声誉风险的管理。

　　“进行风险经济风险管理的原因，就是要帮助企业获得一个长期的价值创造和成长。”古贺智敏说分析表明，持续发展声誉的三个方面是指财务指向的声 誉风险、社会风险和环境风险。其中，经济风险又分国际风险和国内经济风险。这三者一起造就了一个企业能否长期发展，并且能否长久维护企业的声誉。

　　古贺智敏介绍，风险管理首先是公司企业治理当中不可缺少的一部分，公司治理由董事会的决策、风险管理和内控、信息披露和问责、审计和保险这四部分构成。

　　“如果是公司治理做得好，就可以影响到企业的声誉，这也是为何风险管理信息披露和公司治理，包括公司的决策都是紧密相连的。”古贺智敏说。

　　决定风险管理和审计和信息披露都会和公司的风险管理和公司的声誉有非常大的一个关联。声誉风险能否得到很好的控制，就要看公司中是否有非常好的公司治理体系，这两者是相辅相成的。

　　内控体系建设的平衡之道

　　控制和效率之间，如何做到平衡?宝钢集团在管控体系与风险管理方面不断探索与实践，摸索出一套适合企业自身发展的平衡之道。

　　管控系统的协同需求

　　发展模式决定了管控，而管控模式也决定了内控采取操作的方式。宝钢集团的发展得益于改革开放，自1978年建厂，宝钢集团至今已有35年的历史，后来经过了全国范围的兼并重组，目前形成了4500万吨的产能。

　　宝钢集团副总经理陈缨说，随着钢铁主业的发展，集团现在已经不再是一个单纯的钢铁企业公司，已经形成了一个与钢铁相关的多元企业，这也决定了宝钢为何会采用现在的管控模式。

　　集团管控一直是个难题，这个难度不亚于风险管理，而产业扩张的背后实际上对宝钢集团的管控体系提出了挑战。

　　“从运营管控的特点来看，管理是主题词。”在陈缨看来，运营管控十分重要，通过内控对企业、战略、实施以及操纵层面等等进行全面的控制，通过管理，会直接介入公司，影响公司所有的流程和制度。

　　宝钢集团采用的中间管控模式是战略管控，它是介于财务管控和运营管控之下的。在这样的管控之下，总部制定总体战略，通过对策略性和全局性的业务来进行管理，来确保整个集团的运作。

　　“管控采取什么样的模式，其实是一个平衡，是在控制和效率之间的平衡。”陈缨说。

　　战略管控“四步走”

　　在战略管控模式之下，集团总部重点管战略、管重大投资，管领导的投融资风险。既然选择了战略管控这样的一种模式，怎样落实战略管控的模式成为最重要的问题。为此，陈缨团队总结了四个方面的途径。

　　首先是公司的治理。通过完善子公司的治理来建立管理的机制是基础。在建立规范的董事会的基础上，做授权经营。

　　在集团层面，集团梳理了派出董事分类的授权，同时也强调“权责对等”。

　　其次是关于子公司重大事项决策程序的梳理，这样的梳理是责任的梳理，是工作流程的梳理，也是管理责任的梳理;第三个方面，在完善了公司治理，在 明确了子公司的权限之后，总部战略管控管哪些、控哪些也是要明确的;第四就是集团的过程监督，过程不参与、不介入，但是从最终的管控反而要加强。

　　另外，审计结果是共享的。这样的方式，使得整个的审计体系能够在集团发挥更好的效果。另外在集团审计部除了传统的审计，宝钢还强化了管理审计。

　　全方位内控落地

　　实际上，对企业而言，内控是风险管理最核心的一部分。

　　风险可分为内部风险和外部风险而言，内控有没有落实，很大程度上决定了内部纯粹的风险是不是受控。

　　“在战略管控的模式下，内控管理可能有点尴尬，就是需要平衡的问题。你在战略管控的模式下，如果不管子公司的内控就说风险管好了，没有人相 信。”陈缨坦言，从内部管控来看，内部控制就是制度的流程和岗位的操作，如果管得太多，是否对流程进行了限制，这个是要有一个平衡的限制。

　　过去的7年时间里，内部控制在宝钢从股份公司到集团里都有得到实践。在董事会的要求下，内部控制以战略管控为出发点，内部控制体系原则的总体原则是三项，一是战略管控，责任清晰;二是可测量可评估、可验证;三是分层、分阶段、抓重点。

　　从操作来看，其实是实施了三个方面的操作，第一是在公司层面，第二是在流程控制方面，第三是在岗位层面。

　　从具体操作来看，集团风险导向和内部导向的思路主要有五个方面，即公司层面、流程层面、岗位层面、监督层面和软环境建设。

　　首先是在财务核算的环节，宝钢通过共享服务中心这样的一个服务方式，来落地内控管理。

　　从财务共享来看，宝钢把财务的核算部分独立出来以后，拿标准的财务系统做一个工具，在集团里面做覆盖。

　　而这其中，覆盖的过程不是一个简单的过程，是一个工作流的梳理过程，是一个标准化的过程。所以当信息系统覆盖到了以后，从财务核算来看，就实现了流程的标准核算以及内控标准的一致性，这样使得财务方面的内控，通过这样的方式来落地了。

　　陈缨对内部控制有几点认识。第一，内控是全员性的工作，需要全员来参与;第二，内控需要体系的土壤，就是内控环境的建设非常重要，一把手和管理 层的重视非常重要;第三，内控体系需要长期一贯的坚持，尤其当你需要通过新兴系统来实施内控的时候，这是一个长期的系统工程;第四，内控体系建设的核心要 建立健全内控自评体系为主的这样的一个体系，自己发现问题，知道风险在哪;第五，培训很重要;第六，是自己做和专业机构需要结合起来，需要专业咨询机构给 一些方法和体系的支撑，但是最后问题的发现和改善还是要自己来做;最后就是几个关系的处理，包括内控自评，和外部审计之间的关系，包括全面风险为基础的内 控体系和财务报告的内控体系的关系，怎么样平衡和兼顾。

　　管理控制师该如何应对波动性

　　“波动性!”来自德国WHU管理学院教授伍兹·夏法尔从更加全局的视角分享了我们面临的环境及财务人员之应对。他是德国销量第一的管理控制教科书《管理控制引论(13版)》的作者之一。

　　情景分析助力企业成长

　　波动性是一个战略的挑战。作为一个管理会计或者是财务总监应该怎么做呢?伍兹·夏法尔说，波动性是不可避免的，波动性在我们的环境当中是一个新的常规。这样的一个信息化也会改变管理会计的角色，以及改变财务总监的角色。

　　伍兹·夏法尔在WHU管理学院里做了一项问卷调查，结果表明，成功的德国企业会更多使用情景分析和敏感度分析工具加以应对。

　　调查结果显示，那些更加好的应对波动性的德国企业，它们会更加多的使用敏感度分析和情境分析。

　　通过对最成功的公司和最不成功的公司之间的比较可以发现，公司的成功和一些工具之间是有很高的相关度的，就是说越是成功的公司，他们会越多的使用这样的一些工具。

　　但是这个和管理会计有什么关系呢?这个和我们的财务人员有什么关系呢?伍兹·夏法尔说，在德国的公司，如果是说这些公司的财务人员，能够鼓励公司的管理层，或者是说公司的董事会去做这样的一些情境分析。

　　所谓情景分析就是让管理层来讨论未来不同的情况，进而挑战自己原先的一些既定想法和假设。敏感度分析则是测试投资和规划在面对不同参数时的敏感度。

　　“对于敏感度的分析，要测试企业的投资和规划，看它们对于不同参数的敏感度如何。例如原材料的变化，结果会有一些什么样的改变。”伍兹·夏法尔说。

　　伍兹·夏法尔与嘉宾分享了他们的研究成果，其实有三个成功的要素。首先数据必须是高质量的，否则，一直在讨论的数据的质量，并不是现实发生的; 其次，要确保调整好自身系统，因为系统等于是在随时的汇报，保证了你所获得的数据的质量是有意义的;最后是横向整合还是纵向整合。

　　企业文化是处理波动性的关键

　　在公司当中，是否能及时认识到风险?伍兹·夏法尔通过对德国控制师的调研发现，问题的瓶颈不在于认识不到有危险，而更多的是在于能够去优化和讨 论这个问题，及时做出讨论。有很多工具可以让你用来意识到有风险，其实是要先有风险，让你意识到风险，并且利用工具来确保决定的正确性，并且及时地去落 实。

　　德国的汉莎航空公司是国际知名公司，与其他许多航空公司都存在竞争，由于汉莎公司不能及时预测到航空业的周期性变化，因此一旦出现风险和问题，控制师必须及时做出反映。

　　对于如何做到这一点，伍兹·夏法尔说，要减少固定成本和增加可变成本。

　　“控制师其实是要作为业务伙伴来工作的，管理层必须要很认真的对待他，他应该是一个高层人物，并不仅仅是会计师而已。”伍兹·夏法尔说。

　　最关键的还是企业文化。“企业文化是处理波动性的关键，在德国企业中，管理控制师们一直在试图保障公开透明及内部讨论式的企业文化。”在伍兹·夏法尔看来，如果公司内部能够公开去挑战现状，这样的公司要比其他的公司成功的多。

　　内控在企业中的应用

　　“内控出问题的时候，对公司和个人都是非常大的损失。”汉高大中华区CFO朱海先生曾在安达信任职，对风险有切身的感受。他认为，控制不当只是症状，真正的内控是一个程序、一个系统。

　　对于内控，形象的比喻是，汽车开到200公里时速的时候，需要一个怎么样的刹车?“那如果反过来看，可以问，在没有刹车的情况下，汽车能开多快?所以，我认为合理的内控不是帮助减速，而是提速。”朱海先生说。

　　结合自身经验，朱海强调了3点：一是审计的独立性。在美国公司内部，如果存在内部冲突，审计可以保证财务的独立性。二是全面的风险评估，这在跨国企业内部特别显著。三是高管需要以身作则。

　　“在审计当中，如果发现有重大的审计事项，要立即有一个红灯的标志。”朱海说，我们注意到目前外资企业在国内的集团里，在人员流动频繁的情况下，高管的流动性是怎么样的，甚至是财务的评估是怎么样的。

　　朱海结合萨班斯法案的要求详细分析了公司内控的流程及其步骤。一般来说，外部的审计公司会被分享到内部审计的一些方案里面。但是是否外审公司能依赖于内审呢?很大的程度上外审公司可能是自己要做一些审计项目。

　　在《萨班斯法案》的要求下，每一个季度CEO和CFO要对内部的控制和内部的报表的准确性有一个评估。这个评估过程是十分严肃，在美国被认为是一个法律文件。

　　因此，朱海提供了一个独立性测试。“没有一家公司能够承担起大量的内部测试工作。所以在足够大的财务部里，我们设计的是让一些部门去审另外一些部门。比如说应付会计去审应收会计。”朱海说。

　　另外，在每一年开始，会有一个测试的步骤，这个测试的计划，基本上是覆盖了公司的整个流程，是由CFO批准的。在每家公司输入财务人员或者是内部人员之后，会对本公司自测风险，做初步的评估。

　　“不过，有些测试可能并不全面，但是至少我们这个做到了一个初步的测试，所以我认为这个是一个很重要的方面。同时这个也是给外部的审计来控制内部的测试。”朱海说。(来源：中国会计报)