《财务风险体系建设与制度设计》训练营 收获总结

dirui

《财务风险体系建设与制度设计》训练营

收获总结

导语

俗话说“没有规矩，不成方圆”，内控就是企业内部的法律法规，它是企业从“人治”到“法治”的结果。有效的内控可以帮助企业提高效率、降低风险，是企业做大、做强、可持续发展的必经之路。而作为一名财务经理人，做好内控也是我们赖以生存和进阶的关键所在！

所以，对企业内部控制和风险管理的整体框架、及重点应用问题进行梳理，是非常有必要的。因为只有这样掌握了整体思路框架，能把握住全局和重点问题，并具备一定的知识密度，才能让我们不受限于目前所处的环境和各种不同的细节，从而更加游刃有余地应对不同民营企业的问题，更好地帮助企业家解决他们心头的难题，满足他们的要求。

带着这样的想法，马上也是要开始新的一年了，所以我抓紧时间对今年7月王老师的《财务风险体系建设与制度设计》线上训练营课程进行了复盘总结，主要是围绕着课程的脉络设计、咨询项目中的高频应用问题，结合自身有感触的点展开的。具体包括：

内控和风险管理二者之间的关系是什么？

面向风险的内部控制是如何做的？在上市公司和中小民营企业中，有何区别？

在中小民营企业中，主要都存在哪些风险？都有哪些常见内控问题？

高手级内控是怎么做的？业财融合和传统财务的区别表现在哪？

内控是如何分工的？什么情况下由谁来写制度？以采购内控为例，采购内控的完整内容应该是什么？

财务制定制度有哪些技巧？

财务在审核别人写的制度时，要点是什么？

如何搭建企业内控和风险管理制度体系，才能真正满足老板心中的想法和要求？

以上这些，可以说都是在实战中，做好内控、风控工作的重点和难点所在。另外，王老师还分享了很多帮企业做内控咨询项目时的具体思路、思考要点、结构干货和最佳实践。经过这2周以来的认真回顾，又一次感到了这些结构、工具和思维方式在实务工作中的落地性，也帮助我们开拓了视野、提升了格局。下面就分享下我的学习收获，是按照10个重点问题进行展开的。

一、内控和风险管理之间的关系

通常的内控，是指对于经常发生的事情定个规矩。而风险管理通常是指，对于可能发生、发生概率并不高，但是一旦发生可能会导致重大结果的事情，进行管理的过程。对尚未发生、偶尔发生、结果重大的事情加以思考和管理，就叫风险管理。

比如说，有些企业会有舞弊的可能，甚至已经隐隐存在这种事，他不会天天舞弊，但是在某些方面舞弊一把可能就有重大损失，那这种事情我们就必须要考虑。比如像美国安然、四通公司那样的事情，不会在各个公司都出现，但是一旦出现就会对整个资本市场产生重大冲击，那这样的事情即使付出相当的代价，也要管。

所以我们要考虑的就是，在公司的经营活动当中，有多少这样的事情值得我们去管，或者是可以考虑去管。然后接下来考虑怎么管，用什么样的方式才能让公司的投入和产生的效果能配比，做好风险与代价、投入与产出之间的权衡。如果金钱投入的少，那智慧和精力的投入就要多。

所以可以看出，风险管理的全过程是包含了内控的；相对于内控，风险管理的范围要宽广得多，手法也灵活得多！在风险管理的全过程当中，一个环节成文了、成规矩了，就称为内控，叫做面向风险的内部控制。

另外在实际工作中，尤其是咨询、培训工作中，COSO总结的风险管理魔方也非常好用。它是从3个层面来说事的，也覆盖了企业在战略、经营、财务等各方面的风险，非常全面、深入，所以我们要利用好这个工具。

二、面向风险的内部控制是怎么做的？在上市公司和中小民营企业中，有何区别？

1、面向风险的内部控制怎么干？在任何领域都先要考虑风险。马云说，领先半步生，也就是说，我们的思维方式要比企业现在所处环境、组织的环境要稍微高级一些，否则就无法引领，只能是跟随。

2、面对这些风险我们如何想办法，包括风险的可能性、严重性等不同的问题，包括事先、事中、事后怎么想办法、定规矩。

3、然后再加上正常的程序，正常的权限等，就是个不错的制度。

比如可以思考下，在采购领域，主要的风险都有哪些呢？然后所有的动作，都围绕着降低这些风险为目标，加上些正常办事的规矩，就是很好的内控。所以，这就要求我们必须得有想法，不但要知道风险点在哪，还要能针对风险来想办法，否则就很难布局防控。即使暂时想不出办法，也要先把风险想出来，再一点点想办法！

所以，面向风险写制度、做内控时是怎么做的？首先要把风险列出来。在非上市公司里，这些风险点往往是不写出来的，就直接开始写这事怎么办，风险点是在写制度人的脑子里的。在风险点的应对中，有的东西甚至都不写在制度里，而是写在组织结构里！而在上市公司，可能就为了把这个制度写得很规范，会按照内控的基本规范，先写的风险。

所以，我们要先知道在企业各个领域有什么风险，比如：资金方面、资产方面、收入方面、成本费用方面、采购方面、研发方面、人力资源方面等。知道风险，是现代企业做内控的一个前置！如果没有这些，就意味着仅仅写了一个套路，而根本没有考虑到里边的风险点。

所以中小民营企业的内控该怎么做？总结起来就是风险加规矩。先看企业的风险有哪些，然后为了应对这些风险，会定哪些规矩，就算有些规矩不一定是为了应付风险，只是说这件事办起来得有一定的明确程序，这也属于内控。所以，面对风险加上日常办事的规矩，就可以作为做内控时的一个主要思路。

三、民营企业三大内控问题

不同于大型集团公司、外企和上市公司，没规矩乱、效率低，损失错误严重，舞弊非常常见，这3大问题是民营企业考虑事情时的重大出发点！而面向风险的内部控制，仍然是应对这些问题非常好用的方法。虽然它不是唯一的方法，但是是落在财务领域的方法。

另外，很多人会提出质疑，内控和风险管理能提高效率吗？明明是降低了效率啊？要明确的是，内控和风控能提高的是公司整体、及中高层管理者的效益和效率，而会增加中低层的工作量。

四、中小民营企业风险地图

在风险管理过程中，不同于大公司会先制定风险管理的目标，中小民营企业往往会先鉴别自家的风险事件，也就是进行风险识别，再制定目标，是反着的。那么，总结民营企业的风险地图，民营企业多数存在以下风险（着重财务领域手法）：

1、战略风险：公司架构、股权结构、业务结构的风险，过于激进、过于冒险的商业模式等。这些是民营企业面向资本的时候，常见的重大风险，可以检查下自己企业有没有。

2、合法合规风险：比较严重的包括，偷税、违法经营、非法集资/集资诈骗、骗贷、安全环保等；不太严重的包括，重要资产权属不清、价值不实、投资不实、产品责任问题等。

3、财务风险：资金风险、管理失控、业务复杂财务管控不到位的风险等。

4、信息风险。

5、经营风险。

6、其他风险（黑名单）。

以上是民营企业常见的风险，主要集中在战略、合规和财务领域。所以，做好风险识别工作非常关键。

五、高手级内控的定位，业财融合和传统财务的差别

财智东方把内控分为了入门级、合格级、高手级和自由级4个级别。要了解它们分别的定位、管理期待和问题所在，管控的深度不同，薪资也不同。这样分级的意义就是在于，让我们能了解到自己所处的级别，在哪个级别就考虑哪个级别的事，同时也为下一个级别做好准备。

那么，高手级内控的定位是什么呢？第一，叫深入业务过程、业财融合，这就和合格级内控的要求有了明显提升，也就是说高手级内控，要深入到研产供销、项目、服务当中去。第二，叫提高业务效果，降低业务风险，这也是合格级内控中未提到的。第三，叫按照既有规则，适当灵活处理各种业务内控问题。第四，叫做能成为领导的管理助手了。

所以，业财融合在这时全面出现，要深度介入业务，要由管控晋级到帮助业务高效率、低风险地达到自己的目标了，风险管理前瞻性的思考与手法，得到了深度应用！那么，业财融合和传统财务的重大差别，主要体现在哪呢？

传统财务是控制业务，而业财融合主要是帮助业务实现他们的经营目标，也有控制，但是帮助业务成为了主要工作。所以，业财融合并不是工具手法变了，而是目标变了！我们用到的仍然是预算、分析、内控、成本、绩效管理这些手法，但是管理目标变了，导致变成业财融合了。因为我们要帮助业务，所以不得不对业务有更深入的了解，控制的时候说no就行了，帮助的时候不是仅仅说no就行的。这是业财融合和传统财务的一个重要区别！

六、内控如何分工的？以采购内控为例

内控是如何分工的？以采购内控为例，且先不管谁来干，我们首先要了解的是采购内控的完整内容是什么，先做到心中有数是关键！然后再看企业出现了什么情况，再决定这些事应该由谁来写，谁来干。这才是做内控正确的姿势。

那么一个采购过程，如果从相对完善的角度来看，需要做的事情包括：请购、比价、定采购合同、到货验收、出现问题要处理、付款、记账等。在现实中，多数企业的采购是从请购开始的。但如果一个企业的采购仅做成这个流程，其实很多重要的事情都是控制不住的，所以还要在其中加入一些控制动作。

如：做采购计划，定采购策略，供应商管理，竞价竞标、竞标采购，采购定价机制，对供应商定期的事后评价，反舞弊的措施等。这才是在整个采购内控中，或者叫风险管理的程序中，需要考虑的相对完整的内容，一定要在脑子里先有数。然后才是看企业的具体情况，出现了什么，再决定由谁来写。

那么在这个过程中，财务要看什么呢？需要注意，财务是要从控制的角度、大棒的角度去看事的！看在他们做的计划里，有没有权力过于集中的地方，有没有有失控制的地方。

也就是说，采购的整个流程应该是，从计划-策略-供应商管理（竞标比价的一些基本要求，竞标比价制度，还有一些简易采购方法）-请购-采购-验收-付款-记录-事后的评价。脑子里要记下这样一个大的过程，这个过程里边很多地方，都贯穿着权力的划分，谁比谁官大，谁比谁官小。所以在这之外，还得加上组织结构的调整、重大的权限表。而这种组织架构的调整，背后都意味着激烈的斗争，所以财务一定要学会借力！

接下来，制度应该由谁来写呢？要分情况来考虑。通常来讲，以改善内部管理为目的的，谁具体做这个工作，谁来写制度是最合适的，因为他最了解。而如果是为了防范舞弊，则往往需要财务着手、或由外部机构来写比较合适。因为业务部门自己写的话，一定会给自己留下无数个缝隙。所以制度由谁写，主要看是以提升管理为目的，还是以收拾人为目的的。以反舞弊、解决现在的争权夺利问题为目的的，那就是谁要动用这个制度作为工具，谁来写最合适。

所以，我们平时总想去抄上市公司或其他企业的制度，其实根本是行不通的！因为上市公司和民营企业，或者各公司制度的内容，其实差别是非常大的。如果不理解制度背后的东西，各种人的心态、权利的分布、利益的纷争，那做出来的内控往往效果不大。

七、制定制度的技巧，以采购制度为例

1、总结主要问题/风险点。

有些上市公司的内控运行比较顺畅，没出现太大的问题，原来他们写的采购制度中，主要的问题和风险点是照抄《企业内部控制应用指引-采购业务》里面的。而中小民营企业的主要问题和风险点就是舞弊。因为舞弊作为一个最基础的原因，才导致买的质量不好，买的贵，付款又很急，供应商很差但还一直在使用，这一系列的问题和风险点。

所以不同公司的风险点不同，清理问题的要点都不一样。像刚才说的上市公司，采购制度就可以从请购开始写。而以舞弊为主要风险点的企业，则要从采购计划开始写，要详细、可操作。所以不太一样。

2、清理问题要点。比如：舞弊、权力过于集中、没有适当的分工、没有公司内部其他监督的出现等。

3、将要点分解，思考管理要求。通过布局几个地方，让他们做采购计划，考虑采购策略、供应商管理、竞标比价等。这些可能原来都没有，但重要的事情全都套在这里面，把这些理顺了下边就顺其自然了。

4、适当分工。如果业务实在不配合或能力不配套，财务推不出去了，就只能自己做了。在很多时候，财务都是解决企业这些问题的一个入口！

5、权限与组织结构的配套。如果发现采购制度没人执行，没人能以采购之外第三方的东西来监督一下，或者采购自己就不爱干，那就要配套组织结构的调整。

八、别人制定的制度我们如何参与，如何看？

内控的机制和方法：

1、理清责权及标准：1）将公司的事权、人权、财权等重要权力明确下来；2）将问题通过制度和流程梳理到有权利的人面前；3）为事项定合适的标准、流程和要求。

2、提高管理效率：1）便于授权，解放管理者；2）便于按标准处理；3）便于鉴别例外，进行例外管理。

3、降低风险：1）制度的不完整会导致较高风险；2）制度的遵从度不好会导致较高风险；3）制度的不深入会导致较高风险。

所以在制定内控的方法与机制当中，这些都值得我们考虑。如上所说：权力问题，权利如何划分？如何提高效率？如何降低风险？都要融入当中。

无论是我们自己来写制度，还是别人写然后我们来看，都要看一些东西。主要是看，内控的方法、工具、手法在制度里有没有体现出来，比如说：分权，增加节点，增加过程，明确要求。明确什么要求？像供应商管理，如何评价供应商的几点要求，细节他们可以写，但是这些大的要求必须得出现。这类叫做，看权力的布局，看主要的过程有没有遗漏，看这些大的节点，明确的要求是不是都存在。

所以，财务如何审核其他领域的内控规范？哪些是从正常干活的角度可以不考虑，而从财务控制的角度，往往需要考虑一下？王老师总结了非常干货的几条，包括：程序的完整性，恰当性；风险点的覆盖面，是不是重要的风险点都在里面了；处理方法的恰当性；使用标准的合适性，如果看不出来是否合适，要把能看出来的人加进来；权利责任的分布是否合适；战略政策是否符合；布局监控点和监控手法等。

所以说，像实质性的内容，像属于HR的、生产的、技术的部分，财务不见得比他们更专业，所以基本可以不看。财务重点要看的是以上这些！看他有没有把不属于他的权利，交到自己身上了；把本来属于自己的责任，推出去了。所以，财务看的是权利、责任、风险点！一定要明确。

九、内控的表现，组织结构与权限表

通常我们认为的内控，就是写出来的制度、流程等。但实际上，内控的范围是比制度流程要多一些的。内控的通常表现包括：制度，流程图，授权表，手册，表格、单据，组织结构图，授权性文件或邮件等。其中，组织结构图代表了最大的权责划分，谁听谁的；有了组织结构之后，剩下的就是权限。那么，不同的人都有什么权限？权限有哪些重大的不同？我们可以把企业中的权利，分为人权、财权和事权三种。

财权：财务平时接触最多的是财权。财权就是我干什么事，如：费用报销、采购、销售、重要资产的变动、投资等，达到什么样的金额，由哪个级别来审批。

人权：人权就是与用人有关的权利，各部门用人的相关事项。

事权：事权就是事先都想好，办什么事，不考虑金额，大体上要谁知情、谁审核、谁审批、谁否决。这些权利都要在公司写明白，不写明白就会打架，阶级斗争会渗透到各个很细小的领域。

所以，财权、人权、事权有重大的不同。有很多公司事权模糊，人权模糊，遇到事就直接问上级领导就完了。这样一事一问也可以，因为这些事不太经常发生。但在实战工作中，这些都是斗争的一些关键节点！就是大家如果真的相互找毛病、相互掣肘、相互拆台，这些全都是拆台的手法。

十、制度基于深度的分析与思考-库存归属

仓库归谁管？在企业的不同阶段，会有不同的考虑：

1、仓库最主要的职责是，物的收发存。当物流有重大矛盾的时候，通常是和哪个部门的矛盾最尖锐，就归哪个部门管。因为有上下级管理关系，可以灵活调配资源，所以这个矛盾一定程度就会化解。

2、仓库的第二个职能是，仓库要反映出信息来，就是收了多少，发了多少，存了多少，以便公司利用这些信息做决策、做管理、做分析等。这是仓库的信息职能。

3、仓库的第三个职能是，仓库的管理职能。当仓库管理出现问题的时候，仓库往往会升级管理。

这三个职能有基础和拔高之分。收发存是最基础的，仓库之所以存在就为了这个目的。这个目的达成了以后，就可以拔高，要把数记好了。然后数也记好了，再拔高仓库管理。比如：库存不要太高，要把过期损失降下来，整个仓库的安全库存要把握好，以尽量降低缺货损失等。

所以，在公司发展的不同阶段，仓库的主要矛盾不一定会体现在哪层。所以仓库的归属，也并没有一个固定的结论，要分阶段看。

结语

以上就是我对这次课程的复盘。最后王老师总结出了一个内控大模型，不同于COSO魔方（太复杂了）和国家层面的18个具体规范（不分层级、不分大类），这个模型覆盖的范围会更广、更具实用性。它可以这样看，说一个企业有战略规划，那么这个战略会通过一定的细分，转化为各个业务领域的计划和目标。

那么在这些当中，我们可以一分为二看，一类事是沿用原来的做法适当改善（给经常发生的事定个规矩，属于内控的领域），一类事是要创新和大幅改善的（不确定性大，发生风险的概率较高，用风险管理的办法；关于如何看风险，可以参考内控18个具体规范中的风险点总结、民营企业风险地图、风险矩阵等，再结合着课程中所讲的，像采购当中的常见问题和大流程，包括销售管理的、资产管理的等，形成自己的一套，记住并逐渐完善）。

但是不管怎么样，因为每家的管理要求不一样，所以原来的事怎么做，要不要适当改善，新的事情可能遇到什么，大家要在一块去想一想、碰一碰，领导提要求，我们用风险的方法去琢磨，公司这一类的事可能遇到什么问题。那么想10多条，再结合着别人说的，大家整合一下，那这个领域主要的问题和风险，其实就都出来了。

接下来，为了避免遗漏一些重要的东西，我们还要做一个相关制度流程、规范的架构（比如可以一章写一块，20章差不多了。尤其要关注的是，非老板亲自安排和操作的事，其他的人开始插手了，我们就要着重考虑了）。关于这个架构，可参考课上讲的2个完整的结构，一是内控的4个等级，一是换个视角进退自如。对照这2个大结构，就能验证自己公司还有哪些重要遗漏了，这是从结构上。至于细节上，可参考具体制度讲解，如：采购内控、销售内控、资产管理制度、资金管理制度要点等。

如果没有什么重要遗漏了，就把大家达成一致的想法写出来，先有人打个草稿，然后大家再进行讨论、修订。修订完了，这就是一个文字性的东西，叫内控的具体表现。然后再经过几番争论，大家都没什么意见了，就可以真正实施了，出了问题再调整。

以上就是这个内控的大模型。最后还强调了，真正的内控代表的是企业的能力，是要长期培养的。而做内控最重要的点在于两块，一是就是企业中都有哪些事，这些事可能有哪些风险点，大家对这些风险点有什么看法、想法、做法，这些想法我们要插进去一些管控点。二是当大家都没想法的时候，我们有没有自己的一套想法！

当这两块有了之后，就可以写制度了。而这两块也是最挑战人的，因为最核心的能力，战略、业务和管理能力都体现在这！所以，我们在心中一定要有自己的一套思路框架，并在实践中不断地完善它，而不能是别人说不出来，我们也说不出来。要知道作为高手级内控，别人说不出来，我们要能说得出来；别人说的东西有重要的遗漏，我们要能鉴别得出来；别人在哪里藏权力了，我们大体上能鉴别得出来，这才可以。

心中有数，方能脚下有路！

狄蕊

2021年12月