金融机构串通舞弊内控分析

A. 内部控制风险的内部控制风险案例分析

一、高校内部控制风险的含义
风险是指在一定条件下和一定时期内，由于各种结果发生的不确定性而导致行为主体遭受损失的大小以及这种损失发生可能性的大小。高校内部控制风险则是由于高校内部控制的构建和执行等方面存在很多不确定因素，使内部控制在发挥风险防范作用的同时，影响高校内部控制功效发挥和目标实现或导致内部控制失效的不确定性。
二、高校内部控制风险的特征
(一)普遍性
随着高校规模不断扩大，经济多元化发展，高校所拥有的资产和负债大幅增加，高校内部控制风险也日益显现。高校内部控制风险客观普遍地存在于高校管理的各个环节，它受到控制环境、风险评估、控制措施、信息与沟通、监督等要素的影响。当内控制度五大要素对内部控制起到积极作用时，产生内部控制风险的可能性就小，反之，就会越大。
(二)隐蔽性
高校内部控制风险的隐蔽性表现为，由于疏漏未建立相应内部控制制度或者人为违反内部控制，如果这种行为没有被发现，或者没有产生任何经济损失，就形成了一种潜在的风险，当这种潜在的风险不断地膨胀和累积时，就会形成现实风险，影响高校的发展。因此，高校的内控风险具有很强的隐蔽性。
(三)可控性
高校内部控制风险虽然是客观存在的，但并不是说风险不可抵御和控制。恰恰相反，只要高校重视内部控制制度，加强风险管理，建立风险评价机制，及时发现内部控制中的管理漏洞，并予以纠正，就会减少内部控制风险，促进高校健康持续发展。
(四)危害性
高校内部控制潜在风险一旦转化成现实风险，危害是非常大的，损失也是不可估量的。当高校制定一项筹资计划时，如果没有科学的财务管理制度，不对财务进行预警分析，不对筹资成本进行可靠估算，可能导致高额债务，资不抵债，资金链断裂，甚至倒闭。因此，一定要加强内部控制风险管理，防患于未然。
三、高校内部控制风险的主要内容
高校内部管理的主要内容包括财务管理、人力资源管理、教学管理、学生管理、招生就业管理等。每一个管理环节都应该建立完善的内部控制制度，保证管理任务的完成，但并不是每项控制制度都能真正发挥控制作用，由此会产生各种内控风险。
(一)财务风险
财务风险是高校内控制度中最重要的风险，也是内控制度的终极风险，所有的内控风险最后都会转化成财务风险。财务风险主要包括不严谨的预算风险、高成本的筹资风险、盲目的投资风险、不严密的控制活动风险、不慎的合同风险，以及其他内控管理转嫁的风险。如果各个环节的风险不进行合理规避，一旦形成现实风险，会影响资金使用效益，甚至资金链断裂，使学校面临重大财务风险。
(二)人力资源风险
高校人力资源风险主要是由于对人力资源管理的科学性、复杂性和系统性的认识不足，在实施人力资源的工作设计与工作分析、人才招聘、绩效管理、以及晋升、培训等各个环节中管理不当所造成可能性危害。人力资源水平在一定程度上决定了高校的整体水平，人力资源开发能力在一定程度上影响着高校的发展前途，人才是高校竞争的重要手段。如果高校人力资源管理出现漏洞势必造成管理不善，资源浪费，人才流失，甚至丧失竞争的机会，影响高校持续发展。
(三)教学质量风险
教学质量是高校的生存之本，教学质量的好坏直接影响毕业生的培养，而教学内部控制管理是教学质量的保证，如果没有一套科学、完善的教学管理内控制度，教学质量就会存在潜在的风险。当教学质量潜在风险转化成现实风险时，就会造成教学质量下降，培养出的学生能力低下，就业困难。从而引发生源危机，最后转化成财务风险。
(四)招生就业风险
高校招生就业情况的好坏是衡量高校办学质量的晴雨表，当高校培养出的学生得到社会认可时，学生的就业率高，招生生源好，学校经费来源充足，不断改善办学条件，加强师资队伍建设，培养出更受社会和职场欢迎的人才，形成良性循环。反之，则会形成恶性循环，甚至退出办学市场。因此，招生就业潜在风险的危害性不容忽视，除了提高教学质量外，招生专业科学设置，学生就业工作的指导应该纳入招生就业工作重点，从而归避因招生就业产生的风险。
四、高校内部控制风险产生的原因
(一)内部控制意识不强，内部控制环境弱化。
随着市场经济的发展，高等教育的不断深化改革，高校的经费来源出现了多元化的格局，经济业务也相对复杂，为了保证资产的安全、完整，高校已经意识到内部控制制度的重要性，但由于高校不进行成本核算，不自负盈亏，受计划经济残余思想的影响，管理层和治理层对内部控制不够重视，形成了“重事务，轻管理”的观念，缺乏经营管理意识，弱化内部控制环境，由此产生内部控制环境风险。
(二)内部控制不健全，控制活动不能有效发挥作用
内部控制活动是实现内部控制目标的关键要素，控制活动通常包括两个要素，即政策和程序。高校的内部控制活动是指为了实现高校管理目标，防止风险发生而制定的一系列的政策和程序。而目前高校内部控制存在不健全的现象，一方面，有的高校未建立基建立项、招投标，物资采购等控制制度，导致这些经济活动中产生内部控制风险。另一方面，高校内部控制体系缺乏整体性和系统性，部分内部控制制度不合理，控制活动不能有效发挥作用，从而产生控制活动风险。
(三)信息和沟通不力，内控制度可执行性不强
信息与沟通是及时、准确、完整地采集与企业经营管理密切相关的各种信息，并使这些信息以适当的方式在企业有关层级之间、企业与外部之间进行及时传递、有效沟通和正确使用的过程，是实施内部控制的重要条件。而在高校内控制度中存在片面性的问题，部门之间各自为政，不善于主动获取信息，也不注重沟通和协调，造成内控制度可执行性不强，从而产生因信息和沟通不力造成的内控风险。
(四)风险管理意识不强，缺乏风险评估机制
从本质上来说，内部控制就是风险的管理与控制活动，风险的存在是控制的原因所在，进行风险评估就成为整个内部控制制度的基础和关键。而在高校内部控制管理中，风险意识还没有得到重视，更谈不上风险评估机制。事实上高校存在诸如财务管理控制风险，人力资源控制风险，基建立项、招投标，物资采购控制风险等，如果没有一系列的风险评估机制，这些风险一旦转化成现实，将会给学校带来巨大的损失。
(五)内部监督不健全，无法考核内控制度执行结果
内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时加以改进。高校的内部监督主要依靠内部审计，然而内部审计制度并不健全，在内部审计中存在人情因素，由于“内部人”的原因，并不能公正、有效地进行内部审计，形成潜在的内部监督风险。
五、高校内部控制风险防范体系的构建
(一)强化内控风险理念，营造良好的内部控制环境
随着市场经济的发展，高校所面临的内外环境越来越复杂，竞争压力越来越大，办学风险也日益凸现。这就要求高校管理层要有高度的经济责任意识和风险意识，要以内部控制制度为切人点控制好每一个管理环节。既高校管理层要提高对内部控制制度及其风险的认识，并以身作则，带头严格执行内控制度；同时，对全体教职员工也要进行内控制度及其风险的教育和培训，使他们充分认识到内部控制的重要性和失控的危害性，并自觉执行各项内部控制制度，从而形成良好的内部控制环境。
(二)完善内部控制体系，加大内部控制执行力度
加大内部控制执行力度，内部控制功效才能得到充分的发挥，才能更好地完成高校既定的管理目标。而完善的内部控制体系是高校内部控制运行的首要环节。为确保执行力度，高校管理者在制定内部控制制度时，要注重科学性、全面性和可操作性，从计划、制定到实施要形成完整的内部控制体系和程序，避免形成随意破坏既定的内部控制制度，导致内部控制制度形同虚设的现象发生。
(三)加强信息与沟通，提高内部控制效率
高校的信息与沟通包括内部信息与沟通和外部信息与沟通。高校应成立信息管理中心，统筹管理和协调学校内外信息。高校的内部信息与沟通是指高校在制定内控制度时，要广泛征求意见，特别是各个管理部门的内部控制制度，既要相互牵制又要具有连续性和整体性，确保内控制度的科学性和可操作性；其次必须让学校每一位教职工都获知承担控制责任的信息，明确自己的职责和任务，了解自己在内部控制中的作用和应承担的责任，以及与上级部门进行沟通的程序和方法。外部信息与沟通则是通过与外部相关单位进行沟通和联系，获得关于高校内部控制功能的重要信息，纠正高校内部控制存在的缺陷，降低因信息与沟通不力造成的内部控制风险。
(四)构建内控评价体系，健全内部控制机制
高校为了实现办学目标，应该建立内部控制评价体系，对学校内部管理的各个环节进行评价，查找内部控制存在的漏洞，进一步完善内部控制机制，更好地发挥内部控制作用。
(五)提高内审人员素质，加强内部监督
高校内部审计不仅是内部控制体系中的重要组成部分，在内控监督、评价体系中，也发挥着重要作用。因此，内审人员的业务素质和思想素质的提升显得非常重要。高校内审机构要不断提升内审人员的业务素质，使内审人员的知识结构呈现多元化，做到既精通会计、审计知识，又具备高校管理、基建工程、相关法律法规和计算机应用等方面的知识，以满足高校内部审计的要求，并对内控制度作出正确的评价，发现内部控制中存在的缺陷和薄弱环节，有针对性地提出改进意见和建议，从而加强内部监督，降低内部控制风险。 内部控制是企业单位为了保护资产的安全完整，保证会计信息的真实可靠和会计处理满足国家法规的要求，提高会计工作效率而制定的各项规章制度、组织措施、管理方法、业务处理手续及其他为防止可能发生的风险而采取的一切措施的总称。内部控制的具体表现形式是各种制度、规定、规范、章程、计划等一切必要的控制措施，其核心要求是及时发现、辨别各种经济活动的风险以确保内部控制目标的实现。应收账款管理是内部控制制度中重要的组成部分，它的内控制度在应对潜在的风险方面有自己独特的实现手段和方法。
一、应收账款内控制度潜在的风险
(一)内控环境落后
应收账款内控环境是指对应收账款内控系统的建立以及对应收账款管理过程中有重大影响的各种因素的集合。这其中最突出的问题是企业员工诚信意识和道德水准差，管理当局观念落后，缺乏承担责任能力的考虑，盲目赊销，一味做大，造成应收账款恶性膨胀。
(二)风险评估不足
企业对每一次赊销行为都应首先确定相应的目标，将其中各种风险确认下来，根据应收账款坏账风险发生的可能性，制定风险控制计划、方案和措施。现实是一些企业管理层由于缺乏应有的管理素质和约束机制，肆意浪费企业的人、财、物。其具体表现，一是只追求账面上的销售收入，不考虑大量应收账款能否及时收回； 二是不重视应收账款的时间价值，不能正确选择赊销对象及金额；三是企业大量无法及时收回的应收账款，依据财务制度的有关规定已经计入销售收入，形成了当前的利润来源，使企业税金超前缴纳。这些都促使企业资金运转经常处于周转不灵的境地，加重了企业应收账款的风险。
(三)应收账款内控制度制定不完善
其一，执行人员授权分工不严，销售记账凭证和审核凭证由同一人担任，一旦凭证有误便不易被发现。随着现代会计技术的引入，在计算机管理中也存在许多漏洞，如操作人员对有关数据的修改不会留下明显的痕迹，为利用计算机犯罪提供了便利条件。其二，内控管理制度可操作性差。内控管理制度制定的基本前提是岗位分工与责、权、利相结合，如果管理者和具体操作者分工不严，责、权、利不明确，内控制度就会流于形式。况且内控制度须配套进行，有些措施看起来不错,但却没有描述任何关于具体操作的细节，不利于内控制度的贯彻实施，从而在企业内部形成了应收账款的潜在风险。
(四)应收账款内控制度执行中造成的风险
其一，缺乏对相关人员有效的激励机制。现代管理理论认为，管理层及员工对他人的态度和管理方式实际上是对人的认识和估价问题，应根据企业员工的需要、动机、目标等了解其行为产生的原因并建立相应的有效激励机制。过去我国企业传统的做法是只强调财和物的管理，忽视了再好的管理制度也要通过人来执行这一事实。如果不针对企业员工的需求制定合适的内控方法、程序、制度、机制，就不可能真正调动人的积极性，无法激发员工的创造性。因此要少用严控手段，更注重对人的激励并将约束与之合理结合。在应收账款内控制度执行过程中，一方面对人要有所约束，另一方面也要满足组织成员的各种需要，从而提高工作效率，降低应收账款的风险。其二，应收账款管理及执行人员岗位适应性差。目前我国企业虽然大多建立了内外部应收账款的内控管理模式，但就内控制度的内容和形式看，除了加大应收账款内控点要求的管理外，能完全胜任系统控制点要求的人员很少。因此，根据应收账款内控目标和特点，设计出适合本企业实际的应收账款内控体系，是完善应收账款管理的关键。随着世界经济一体化的推进，很多企业资本加入国际资本流动，应收账款跨国际内控问题日益突出，企业对既有国际经济知识又具有较强管理能力人才的需求日益增加。所以必须加强对应收账款内控管理人员的实际操作能力的培养，否则就会使相关人员出现知识上的缺乏，应收账款管理不力，具体的控制措施形同虚设。其三，企业内控点信息不对称。这种现象会使应收账款在各部门之间的协调与沟通性减弱。因为有些部门不能够充分认识到为什么采用赊销政策，也不知道这是实现企业之间融通资金、互为照应、共同致富的指导方针，认为这仅仅是财务部门的事情。这种错误认识使得有关部门间可能形成信息不对称，无法保证各个内控点顺利履行职责。
二、监督过程漏洞对应收账款造成的风险
大多数企业应收账款内控体系建立后，管理当局并没有建立具有独立性、权威性的监督机制,更没有对其进行持续监督或对每项应收账款进行风险评估，致使坏账损失呈现逐年上升趋势。究其原因，是我国企业应收账款内控制度中存在不良的人为因素，如资产产权缺乏来自委托人的硬性约束，内控监督机制形同虚设，往往由经营管理层决定应收账款的规模、质量、评估和坏账的处理等重大决策，形成自己监督自己的局面，这就会经常造成个人独断专行现象。
三、降低应收账款风险的对策
第一，建立健全应收账款内控管理体系。
建立全程的内控管理制度体系。为明确核算企业的应收账款，加强管理，结合企业的扩大赊销活动，应建立赊销款的事前、事中、事后评估内控管理制度体系，将每一笔赊销款项的控制责任落实到具体部门和人，由某一部门负责全部赊销对象的信用调查、审核、下达、执行、事中管理，由另一具有独立性和权威性的部门专门审计，最后由财务部门统一办理结算。
规范应收账款核算体系。一方面录入与审核凭证、现金与银行存款日记账登录、保管总账与明细账三个控制点为不相容职务，需相互分离，由不同人担任； 另一方面在核算应收账款发生时，结合内控要求可以在相关应收账款总账科目下设置二级甚至三级科目，对应收账款的全过程完整系统地核算。对于应收账款账务处理特别是坏账损失账务处理，要求企业分项目进行操作，通过“ 费用——坏账损失——某某客户”三级科目，月末对每笔账款按发生明细(发生、收回、坏账损失等)列表。
完善应收账款内控政策规定。对于应收账款的控制，应明确到具体部门，同时应明确是否采用赊销政策和如何赊销。企业监管部门依据相关部门认定的信息资料进行严格的审核。对于企业客户风险评估，要区分赊销前风险阶段和赊销后风险阶段并分别核算。另外要求企业赊销成立后立即报管理层备案，明确该项应收账款对客户是首次赊销还是累次赊销，新的赊销款有何特色，有何实质性的收获，不同账龄款区别何在等。应说明账龄超过一年的款项的处理具体内容以及与账龄一年之内的款项的实质区别。
第二，制度执行中应注意的几个问题。
与前几年相比，我国企业推行的将薪酬与绩效相结合的激励与约束机制对管理层具有明显的作用。完善的报酬制度应该是与绩效密切相关的。应该让赊销经手人之间有竞争意识，工作不努力则其人力资本价值就会贬值，就有可能为人力资本高的人所代替并被记录在案，作为其今后职业生涯的不良记录。董事会要在保证股东利益的基础上决定应收账款管理层的薪酬，可采用基本工资加可体现风险业绩的股票价值、赊销款回收率等形式，使管理者的薪酬体现绩效的价值，从而激励与约束管理者和员工。
企业对应收账款经手人员，应促进其知识、能力和素质得到协调发展，以适应经济环境的变迁和需要。业务水平较高的应收账款经手人员，可以准确把握赊销系统中的物流、资金流、信息流内控点，还可通过社会调查为企业寻找赊销客户和方向，预测、适应环境，为企业赊销资金的良性循环提供有力的保证。
信息与沟通是内部控制系统能否正常运行的重要条件，企业应斥资进行赊销信息与沟通系统的平台建设。通过信息与沟通系统平台，企业可在有关赊销的财务投资、结算、服务等方面实现全国乃至世界范围内的一体化管理，从而达到节约成本、提升效率的目的。《企业内部控制基本规范》也具体明确了内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。董事会、监事会和经理层应在惩防并举、重在预防的前提下，建立应收账款反舞弊制度、举报投诉制度、保护投诉人制度及自我评价制度，从而降低应收账款潜在的风险。
第三，应收账款内控制度的监督。
内部控制点的监督是维护市场经济秩序和提高会计信息质量、保证应收账款的安全和完整的重要保证，也是《企业内部控制基本规范》的关键内容。严格应收账款监管，可增加企业员工的信心。加强应收账款监管，是提升相关人员执业质量和职业道德、增进企业员工对企业前途信心的重要手段，企业应坚持以诚信建设为主导，加强职工诚信教育和监督，本着严格检查、严厉惩戒的原则，对所有相关人员进行工作质量检查，重点监管执行赊销内控点业务的人员，建立包括应收账款质量检查制度、应收账款报备制度、违规惩戒制度和诚信监控系统在内的赊销监管体系，惩治害群之马，弘扬企业诚信文化。

B. 简述银行业金融机构内控管理的 三道防线

三道防线是指预防性风险管理、存款保险制度、紧急救援制度。

1、预防性风险管理：

无论是监管部门的规定，还是商业银行的管理实践，均将直接进行业务操作，面向客户提供产品和服务的一线岗位、机构作为内部控制最前沿的第一道“防线”。通过建立营业机构不同岗位各司其职、各负其责、相互制约的工作机制，形成由“自我约束”和“不相容职务分离”控制作业偏差的“第一道防线”。

2、存款保险制度：

由于委托代理中存在信息不对称，“一道防线”的自我约束和岗位制约可能因内部人的串通而流于形式。为此，各商业银行还设置了内控“第二道防线”。各职能部门的“自我约束”与“尽职监督”控制，是商业银行的“第二道防线”。

3、紧急救援制度：

由于商业银行具有经营多元化和组织层级制的特点，各分支机构、部门的多元利益并存，更易出现因本位主义使经营管理活动偏离战略目标和整体目标的问题。因此，需要对职能部门的自我约束和尽职监督进行监督。

(2)金融机构串通舞弊内控分析扩展阅读：

银行业金融机构三道防线的必要性：

目前，对商业银行如何设置“三道防线”，已无明确的监管要求。但是，经营管理中各项活动对既定目标的偏离和偏差无时不有、无处不在，不但可能形成风险、造成损失，还可能酿成刑事案件，甚至导致商业银行破产。

加之，经济金融形势风云变幻，商业银行经营管理风险日趋复杂多样，案件防控压力不断加大。设置内部控制防线已经成为商业银行实现企业目标和强化内控管理的客观需要，其目的就是保证经营管理按计划进行并及时纠正各种重要偏差，防控风险，遏制舞弊、杜绝案件。

实践中，各家商业银行基于对三道防线的不同理解，设置了不同的防线。由于合理配置有限的资源是企业管理永恒的主题，内部控制“防线”的设置应当权衡实施成本与预期效益。在商业银行经营管理中，哪些环节偏差频率高、风险危害大就应该在哪里设置防线。

商业银行的管理和控制围绕着业务经营展开，因此，笔者认为，只有从商业银行业务流程角度出发设置“三道防线”才能够最有效地防控经营管理中存在的偏差和风险。

C. 我国金融企业内部控制失效的原因

1外部成因
（1）法律不完善
关于内部控制建设的指导性的法律，有1997年中国人民银行发布的《加强金融机构内部控制的指导原则》，2001年证监会发布的《证券公司内部控制指引》和2001年财政部颁布的《内部会计控制规范》等。但是我国还没有对企业建立健全内部控制制度出台强制性规定的法律，比如《中华人民共和国会计法》只规定了“各单位应当建立健全本单位内部会计监督制度”。
而对于由内部控制所引起的高管越权、大股东占款等问题则规定的少之又少。比如中航油巨亏事件暴露后，新加坡立即进入由新加坡商业事务调查局、新加坡金融管理局和新加坡交易所负责的刑事调查程序。在调查过程中，中航油新加坡公司总裁陈久霖被拘捕，同时中航油另外四名高管的护照被新加坡警方收缴，并限制出境。而在国内，竟没有首先进入法律程序，追究相关责任人的法律责任，而是先进行重组，再追究责任，明显我国法律存在程序上的不合理，给相关责任人逃脱处罚的机会。
（2）证监会监管不利
中国证券监督管理委员会是上市公司的法定监督管理部门。证监会负责制定发行证券的规则、审核并监管企业发行证券。但在实践运行中，证监会的监管作用并没有对上市公司十分有效，主要由于一处罚不及时，二处罚力度小。
2004年12月，证监会对合肥丰乐种业股份有限公司作出处罚。原因是该公司自1997年至2001年利用募集资金38300万元和自有资金30500万元进行证券投资，虚开销售******虚增利润15800万元，将证券投资转回收益11124万元冲销费用虚构利润。时隔三年，证监会的处分早已起不到惩前毖后的作用了。
又如湖南天一科技股份有限公司，于2003年虚构税前利润6354万元，多披露募集资金2926万元投入项目投资、帐外应付票据22533万元。该公司还以自然人名义帐外出自设立7家子公司，用于买卖股票、资金划转等。然而证监会与2005年8月处理结果是对天一科技处以50万元罚款，对董事长给预警告并罚款10万元。
可见证监会若执法不严，处罚不力，违法不究，将很难起到遏制上市公司弄虚作假等违法行为，不能起到推动上市公司完善内部控制的作用。
（3）资本市场发育不完善
我国的资本市场较国外的资本市场相比有诸多的不完善之处，运行机制和法律法规都还很不健全，交易不规范，暗箱操作，非法牟取暴利时有发生。同时，且普遍存在企业内部控制薄弱的现象，如果要求完全披露上市公司内部控制状况信息，投资者将更加失去信心，导致市场更加混乱。
另一方面，股权结构的不合理使得流通股仅占总股本的31.6%，这使得中小股东要权衡实行监控的成本与收益，理性的选择就是放弃监控权，采取“搭便车”，以二级市场的交易为主，因而关注点放在了企业的营运结果上，而放弃了对公司内部控制的关注。
（4）外部审计对内部控制的忽视
外部审计包括政府审计和社会审计。这两方面对内部控制的监督都未起到应有的作用。政府审计的主要目标仍是查处违规违纪，近年来已经向会计报表真实性、合法性和公允性方向靠拢，但对公司内部控制仍然没有引起足够重视，没有形成对上市公司建立健全内部控制及执行情况进行约束、检查和奖惩，对内部控制监督、检查力度不够。而会计师事务所虽然对上市公司的内部控制有所关注，但其调查也多流于形式，无法真正发现上市公司内部控制存在的漏洞，无法起到完善内部控制的推动作用。
（5）理论自身缺陷
内部控制理论有着自身难以克服的缺陷，即使设计的再完美，仍难以保证绝对预防或察觉所有不正常现象的发生。内部控制主理论要有以下几方面缺陷：
○1环境是变化的，而内部控制制度是固定的。企业所面对的环境不断变化，内部控制制度若要达到让企业提高经营效率、保护资产等目的，就必须不断随着环境的变化更新，调整过时的条款。然而企业中的制度基本上是不会变的，这和时刻保持内部控制的先进性产生了矛盾。
○2内部控制的一个很重要的内容就是内部牵制。这是内部控制最早提出的内容，并且一直沿用至今。但如果企业内部不相容职务的人员互相串通，那么内部控制的这一内容将失去意义，无法发挥其应有的作用。比如出纳和会计合伙挪用公司资金，保管员和财产记录员联手作假，都将导致内部控制失效，公司发生舞弊现象。
○3成本效益原则是所有企业一贯支持的原则，在内部控制方面也不例外。控制环节越多，控制措施越复杂，相应的控制成本也越高。如果增加的控制环节过于降低工作效率，就可能会放弃实施这项内部控制。由于企业资源有限，对于很少发生或不经常发生的经济业务，企业不会制定相应内部控制制度，但当这些经济业务发生时，就没有相应制度来对其进行约束了。
○4各种控制程序都是针对其相应的内容由执行人员对其进行监督控制的工具。但对于执行人员的行为，该程序却无法对其进行监督，这是程序无法避免的缺陷。当内部控制的监督执行人员滥用职权或不正当使用权利时，内部控制也将完全失去租用。内部控制作为企业管理的组成部分，将按照管理人员的意图运行，尤其是企业负责人的决策更起了决定性的作用。如果决策出了问题，贯彻决策人意图的内部控制也失去了相应的控制职能。
2内部原因
（1）产权不明晰
产权明晰有利于协调劳动者行为、分为劳动成果和提高资源配置效率，有利于提高公司的经营效率。产权不明晰，委托人和代理人就不能明确各自的权利和义务。委托人无法对代理人进行有标准的考核，代理人也因此无需对自己的行为承担责任，因而容易引起随意决策和浪费行为。导致我国上市公司产权不明晰的原因主要是由于我国的上市公司大多是由国有企业改制而来，国内绝大部分上市公司控股权实质上仍然是国家所有。国家是人民意志的代表，人民就是国有股的所有者，是企业的委托人。但是这仅是名义上的所有，实际上任何的个人都无权对其拥有产权的国有资产自行决定处置。这就导致了上市公司“出资人缺位”，产权不明晰。高级管理人员无需对自己的行为向委托人承担任何责任，造成了他们无视内部控制制度，只关心自己的利益，甚至通过损害企业利益来使自己利益最大化。
（2）独立董事形同虚设
2001年8月16日，中国证监会发布了《关于在上市公司建立独立董事制度的指导意见》，正式确立的独立董事制度。根据规定，独立董事的候选人人选由董事会、监事会和单独或者合并持有上市公司已发行股份1%以上的股东提名，独立董事津贴标准由董事会制定预案，股东大会审议通过。这其中就存在着缺陷。任命与薪酬都由董事会，监事会决定，董事会又由大股东支配，独立董事的独立性根本不能完全保障。
此外，独立董事多来自于上市公司外部，不在上市公司中任职，这就使得独立董事信息不对称，对上市公司的经营管理上许多内幕或刻意隐藏的问题很难发现。独立董事又大多是兼职，每年召开董事会次数有限，仅靠几天的会议就决定企业的经营方针，显得有些草率。
（3）股权结构缺少监督
就前面提到，我国上市公司“一股独大’现象十分严重，其很重要的一个原因就是缺乏监督和约束。在2004年广东证券股份有限公司对1066家样本公司进行的实证研究中，84%的上市公司董事长、68%的上市公司总经理来自第一大股东，第一大股东在董事会中投票权过半数的达64%。[9]这表明第一大股东在董事会中拥有绝对的投票权和控制权，其他董事根本没有权利来对大股东进行监督。对于机构投资者，流通股只占总股本的1/3，也无法对上市公司的治理产生大的影响，无法对上市公司控制权起到制衡的作用。没有有效的监督，内部控制也无法使管理人员自觉的遵守。
（4）缺乏内部控制评价机制
任何制度的完善都需要有反馈的支持。内部控制评价机制是完善内部控制的必要工具，是保证内部控制顺利实施，起到应有效果的机制。我国上市公司大多都有较为明确的内部控制制度，但对其执行效果和制定标准却没有一个准确的评价机制。究竟内部控制执行的情况如何，内部控制的制定是否合理，如果这些都不得而知，那么内部控制的完善进程将相当的缓慢。
（5）没有良好的企业文化
企业文化是指企业全体员工在一切生产经营活动中所形成的认同关系、历史传统、价值理念、信仰、思维模式和行为准则。企业文化是企业在市场竞争中实践经验的沉淀和升华，是企业员工实现自我发展、自我超越的核心支点，能够在激烈的市场竞争中提升企业的管理水准。[10]
企业的内部控制制度是否有效，依赖于健康的企业文化。企业文化是对待内部控制制度的一种态度，是企业管理行为在企业全体员工中形成的精神上的结果。如果企业文化是积极、敬业、诚信的，与内部控制制度相协调，那么内部控制制度的制定成本和执行成本就都会降低，执行效率也会提高。反之，消极的企业文化使员工对企业存在侥幸心理，游离于制度之外，导致内部控制的实施效率低下，成本提高。
目前我国上市公司主要存在两种不健康的企业文化：
○1无明确企业文化。有的上市公司内部控制制度十分明确，规定员工的责任和义务，但没有明确的文化理念，没有对员工进行价值观的倡导，使内部控制的执行缺乏活力，员工没有积极性主动执行。
○2过激文化。有的企业会提出一些不切实际的远大抱负和文化理想，倡导超出企业范围的使命感。大而空的口号让员工盲目追求不切实际的目标，而忽视了现实中的工作，对内部控制的执行十分不利。

四、完善我国上市公司内控制度的对策

通过以上分析，可以看出目前我国上市公司内部控制存在的很多的问题，应从各个方面对其进行整改和完善。但鉴于篇幅有限，笔者认为要对公司有实际借鉴意义，应从公司的可操作性出发，站在公司管理层的角度，对公司内部控制制度进行完善。
通过以上对内部控制理论的回顾和我国上市公司内部控制现状的分析，笔者认为应该以COSO框架为基础，对我国上市公司内部控制进行完善。虽然企业风险框架理论是内部控制的最新发展，其内涵相对COSO加入了更多的目标和要素，相对更加完善，但我国现在理

D. 从五大要素分析企业内控存在的问题

风险可以分为三类，即可预防风险(内部风险)、策略风险和外部风险。为追求盈利而自愿接受的策略风险和外部风险是无法通过制定规则来规避的，但规则却可以协调员工的价值观和行为方式，有效地改变或避免内部风险。内部风险，大多与企业内部的舞弊和疏忽有关，建立并执行严格的内部控制系统是降低此类风险的主要手段。

企业应当如何制定规则来控制内部风险？中欧国际工商学院会计学教授、EMBA学术副主任、首席财务官课程(CFO)学术主任苏锡嘉在中欧管理论坛上，就“危机中的企业和企业中的危机”的主题，深入讲解企业领导者如何在日益复杂的外部环境中加强企业内部控制，有效管理风险，提升经营业绩等问题。

COSO是在美国做舞弊调查的机构，延伸到了内部控制，提出内部控制的框架。COSO最基本的内部控制框架，(是)所谓的“三目标、五要素”。三目标，一是有效率且有效果的使用公司资源，后面两个目标是COSO加上去的——财务报表和合规。在三个目标中形成了从下到上、从基本到高端的五个要素。

一、控制环境。控制环境就是要建立企业的文化，让正直的人能得到重用。企业文化看不见、摸不着，但带来的影响是非常大的。做管理就是要形成企业里面的小环境，这个小环境让每个人都有意愿把自己身上光明、阳光的一面展现出来，把自己身上负面、不体面的东西想办法压下去。前两年美国有个团队做了一个研究，对美国财富500强的大公司说请给我一张名单，去年你们公司管理团队流失的人有多少个？列出来后告诉我有哪几个人，公司如果有可能的话是一定想办法留住他们的。他找这些人一个一个地去问，很多人给的理由居然是什么？我看到办公室里很多同事上班用公司的电话讲私人的事情，或者用公司的信封寄私人的信件，我不愿意和这些人成为同事。这告诉大家一个道理，公司文化最重要的作用就是把具有相同价值观的人聚集在一起，把不认同这个价值观的人驱离公司，久而久之，所有留在公司的人都是具有同样价值观的人。

公司是由人组成的，所以一个好的公司文化必须要从建立、从招到最合适的人开始。招聘员工其实风险非常大。因为环境诚信有问题，怎样保证这些人正直、可靠，这是非常关键的。运作到后面，要建立各种各样的机制、机构，董事会、审计委员会，并形成一定的经营风格、管理风格；很多时候，一把手决定了这个企业做事情是什么风格，而且很多风格一旦形成就很难改变。在一个没有宗教信仰的环境中，防范风险的难度比其他环境大一些。

二、风险评估。风险是将来要发生的可能，在它没发生之前就找出来，难度很大。风险有各种各样的分类，一是内部风险，自己做事情能解决掉的风险；二是外部风险，市场环境突变、自然灾害等等；还有固有风险、剩余风险。

风险识别的关键是看到每个风险发生的几率有多大？产生的损失有多大？如果发生的损失可能非常大而且发生的概率非常大，最好的办法是咱们不干这个事情。我造成的风险可能非常大，但发生概率并不是太高，什么办法？转移，一个办法是买保险，(把)部分(风险)转移给别人；还有找人合资，找人分享。如果发生概率挺大(但)损失不会太大，最典型的是产品出质量问题，对策是加强质量控制措施，减少不良频率的发生。如果我采取措施防范，可能成本抵不上得来的好处。

你真正树立(风险)观念以后，你的行动变得完全不一样。有两家公司在日本福岛地震(中)的表现，告诉你(要)有风险意识。今天晚上谁都不要回家，立刻查出来世界上有什么东西只在日本福岛地区生产的，不管跟我们公司有没有关系，全世界去找，不管价钱统统买下来，一个晚上整个公司扑在这个(事情)上面。第二天全部做完以后，现在回去睡觉，大家等着数钱吧！说起来道德上有点恶劣，但从商业敏感度来讲绝对厉害。第二个例子是上海汽车在福岛地震的第二天早上9点钟紧急召开集团办公会议，董事长只提一个问题，福岛地区生产如果不恢复，上海汽车生产可以维持多少时间？因为汽车很多配件都是日本生产的。全公司立刻报上来，6个月。第二个问题，继续查零配件世界上有没有可代用的东西？一项一项落实，报告上来每一样东西世界上都有替代品。又问，能不能用？不能。因为所有汽车零部件用上去必须要有一个认证过程，认证过程多长？最短9个月。董事长说从今天开始全公司全力以赴解决认证问题，一定要在6个月之内解决认证。公司对于风险防范的事情，一有点事情立刻想到(会)受什么影响，一天都不能耽搁。

风险还有一些思考，第一是应不应该回避风险？你要想清楚一点，做企业本质上讲就是冒险，成功的企业家都是愿意冒险的，不愿意冒险的人不可能会成功。但我们永远想清楚，企业需要冒险，但必须是只冒可以承受的风险，绝对不冒不能承受的风险。比如，我说我掏1块硬币拿出来跟你玩，翻到正面你给我5块钱，翻到反面你给我5块钱，挺好玩的，玩一下。我再说，翻到正面你给我5个亿，翻到反面我给你5个亿？玩不玩？你这时候不会想万一我今天赚了5个亿晚上怎么花这个钱呢？你首先想到(的是)万一我输了，我到哪里拿5个亿还给这家伙？我能不能承担起这个风险？我才做。如果成功了会有多大的好处？

企业冒险，影响生死存亡的风险是决定。中国人经常说用人不疑、疑人不用，这是非常虚伪的，因为在现代的商业社会里，疑不疑人是对他负不负责，最好的(是)我不给你任何犯错误的机会。所以我到每一家公司做独董，给做风险控制、内部管理的人只给你八个字，相对独立、合理欢迎。

我们鼓励创新，创新是不是等同于冒险？是不是一旦创新、风险控制一定会差？越是具有创新能力的公司更多使用控制。创新和控制其实是不矛盾的，真正要创新有效，不是像无头苍蝇一样到处乱投钱，这不是创新。

如果你面临如下选择，一种是牺牲核心员工以消除重大风险，二是保护核心员工但可能留下重大风险，你选择哪一个？保护核心员工和消除重大风险，哪一个更重要？消除重大风险。首先把风险堵上再说，牵涉到不管什么人以后再说，再冤枉这一刀必须斩下去。从道理上讲，风险防范为上，保护核心员工为次；但真正叫你动手，那个人看上去那么的无辜，你现在为了一点风险要把他先宰下来，你下得了手吗？如果下不了手，临阵畏缩，你觉得这个人有没有罪？应不应该受到处罚？这些都是在实际风险控制中非常实际的问题。碰到这些让你困惑的(问题的)时候，很多人往往觉得下不了手，但下不了手，真的导致风险爆发的话很可能整只船就沉下去。我让大家想一想，被误伤的这个人心里会怎么样？会不会怨恨？电影里面的“007”真是高尚，回到警察总部来毫无怨言，而且要继续拼杀，实际工作中没人做得到。没人做得到会怎么样？带来下面一个问题，这些人如果证明真的是冤枉的，应不应该、能不能够让他回来官复原职？基本规律是打死也不能让他回来。

为什么？告诉你一个简单的例子。雷诺汽车前几年发生一件事情，一个副总举报、揭发另一个副总把公司机密的商业资料透露给竞争对手，拿出证据来，公司董事会震怒之下把那个副总和手下一帮人全部开除了。一年之后，事实证明举报是阴谋报复，诬告的副总再开除，(被冤枉的)那个副总要求回公司，雷诺(说)要多少钱可以商量，回来一点商量(余地)都没有。为什么？不仅是心态变了，你要想清楚，当时公司上下经过一场非常剧烈的政治变动，把那条线的人调出去了，现在如果让它回来，公司不得安宁，他要回来(整)原来整过他的人，每个人重新站队，这个公司折腾不起，(所以)不能回来。你要想清楚，个人对于公司来讲永远是次要的。

三、控制活动。控制活动有很多措施。有一家公司，所有的存货采购，任何东西采购进来，如果十天之内没一个人领用的话，总经理的电脑上会有一个红灯亮起来，(他)立刻查当初是谁提出请购的？请购理由是什么？批准理由是什么？为什么买进来以后十天没用？资金成本由谁承担？这个(制度)建立起来以后，类似错误不会犯第二次。公司不怕犯错误，最怕犯重复性的低级错误，这是公司不能忍受的。

建立控制制度，有些事情非常重要：

一是区分不相容职务，就是奉行一个基本原则——两个人干一件事情总比一个人自己干要安全，因为两个人有一个监督和约束。有些工作天生不能由一个人干，比如会计和出纳不能由一个人干。我举一个例子，这是企业担保的职能，把担保这个环节中牵涉到几个管理环节，我1、2、3、4、5、6、7列出来，至少有7个职能，哪几个必须由不同的人做。现在，不相容职务如果划分出来，做出来以后仍然出问题，这种风险在哪里？什么情况下不相容职务分离开来最后还是出事了？串通。所有的控制措施最怕的一件事情就是串通。怎样解决串通的可能？这是每个公司都绞尽脑汁的事情。有的比较小的企业、有些老板会有一些私人的独门秘诀。有些老板说，我的独门秘诀就是今天出纳不在、会计在的时候说，你小子注意，出纳反映好几次了，你经常上班的时候遛出去，会计听到(之后)对出纳恨得都牙痒痒的；(但)等到他们两个人哪一天说穿了、说透了，(老板)就惨了，所以这不是控制，这是权谋。也有一些人说，我的基本原则是这两个人绝对不能一男一女，特别不能年龄相近，一定不能是同乡，不能(是)一个学校毕业的等等，让你两个人共同语言越少越好。怎么解决串通问题始终是一个困惑。关键岗位必须强制连续休假10天以上，休假期间一定有人顶岗。比如新加坡把英国银行搞垮的这些人都有一个共同的特点，工作特别辛苦，好几年都没有休假了。他怎么可以休假？他一休假全部都要露馅的。

二是明确岗位责任，我一再强调必须要有书面的岗位责任承诺书，每年要签一次，(这)带来两大好处。第一个好处是每年对每个岗位重新做一个复核，对他承担的责任做一个提醒，尽管是例行公事但至少是一个提醒。第二个，一旦有什么事情上法庭，有法律作用的文件，也就是说你承诺过必须尽到这个责任，如果你没有做到，(在)法律上必须负责任。岗位责任承诺书，现在基本上大的公司一定要你签，但岗位责任承诺书本身公司要有认证和复核，最怕你没有准确描述。

三是作业流程图，把每一个步骤落实到纸面上，你先走什么、后走什么。比如供应商评选，这件事情在每个公司中都是一个非常非常烦人的事情，为什么？因为很多作业流程都是非正式的，一旦非正式的东西放在纸面上来会发现无穷无尽的争吵。碰到类似的问题，四个部门的负责人放在一起，这个事情做下去了，一旦划到流程图不行了，必须先到他这里，我用流程做下去，四个人全部跳起来说，这怎么行呢？现在的话如果我同意了，你们3个人分分钟可以否决我，我说什么意思啊？现在他们3个人不同意的东西，我连看到的机会都没有了？一旦划到流程谁有权做什么，因为牵涉到不同部门的利益、牵涉到责任再划分，这是一个非常大的麻烦。

四、信息与沟通。现在是信息时代，让信息在企业中间起到一个良好的作用，这是极其关键的。对于信息控制，关键的一点就是在合适的时间让人得到合适的信息。这句话说起来容易，做到太难了。现在每个企业多多少少都有自己的信息系统，但天量的信息每天在产生，究竟起什么作用？企业里几乎没有人说得清楚。企业接触信息的授权在绝大部分企业里都是不精细的，信息系统由于很多看不见的东西，只要有人在里面有机会打一个补丁，带来的后果不堪设想。有的补丁损失还有一些，有的补丁带来很大的(损失)。

上海有一家法资超市，欧尚超市，里面有个小伙子管计算机系统，每天营业结束关门以后，他把营业数据汇总统计送到法国总部，这注定了他每天下班都在其他人之后。有时候他肚子饿，他有一天晚上肚子饿就走到超市拿面包，我在上班工作，拿一个面包吃，数量万一和计算机的数字不对，要负责任的。(于是)他就吃一个面包，打一个补丁，弄完以后发现这一招很简单，肚子饿就到前面拿面包吃。千不该、万不该，一天有个装卸工是他朋友，肚子饿不饿，要不要吃面包？你随便拿。你怎么有这个本事？我保证你没有问题。到底怎么弄的？我老实告诉你们，我在计算机打一个补丁，谁也看不出来。那个人比他多一个心眼，面包可以拿，那钱也可以拿啊！他说不对，钱我拿不到，钱都在收银那里。他说你别管了，收银员我搞定，计算机你搞定，这个人就买通收银员。他招募了20多名收银员，计算机上做一个补丁。(后来)法国总部发现这家分店每天营业额不如以前，好几个人查也查不出来。后来有一次法国来的人，非常偶然，捡起小票一看就知道，打出去有一个抵扣项，几个月的时间(他们)拿了200多万。超市是利很薄的行业，一个店拿掉200多万是非常大的数字。

计算机系统如果被人做手脚是非常危险的，但计算机系统用得好，有时候可以帮助你控制，毕竟计算机是毫不留情的。我有一个学生经营星巴克咖啡，他说有一家店老是怀疑有问题，因为这家店的营业收入和消耗怎么都对不起来，总觉得有问题。后来仔细分析发现，两家店串通，我们账上只进3杯，我给你还是给5杯，最大的可能就是每次收银机(打开)出来的时候，如果要做手脚停留的时间一定比平时长。他就测算这家店每次超过多少秒的收银行为出现的概率和其他分店是不是不一样？一分析，明显多，就知道这家公司肯定有问题，计算机告诉你的不可能有假，专门在收银机上偷偷装了摄像头，一查就查出来了，所以电脑可以帮助你把握风险，这是信息的质量问题。

五、监控。监控是到了最后一关了，就像足球场上的守门员绕过你进球了，所以所有公司领导一定想办法让你知道，你承担的是最后的责任。很多人没意识到我这个责任有多大。企业领导最后做监控通常用什么手段来做？签名。但太多人签名签得太随意。

我曾经在一家大型企业做独董，我就看不下去了，我说签名签得太随意，我开董事会的时候要求董事会给我一个授权，我这个要求太冠冕堂皇了，没人有理由否定，董事会一致同意给我这个授权。我拿着授权把风险控制的人召集起来，我说现在(我)得到董事会正式授权，允许我对监控做一次检查，现在你们只听我的，不听任何其他人的，做什么？替我把公司上上下下，从董事长、总经理开始所有人去年的签名随机抽查100个，列成表，要做的事情就是找到这个人说，你去年几月几日在什么东西上签名，现在请你告诉我当时签名掌握了什么证据？有什么理由相信你这个签名是负责任的？十有八九被问的人一头雾水。我把所有调查下来的结果列成一张表摊到董事会桌面上，我说这就是我们公司的签名。我这样做会对很多人以后签名起到非常大的提醒作用。

我同时(还)要做一件事，减少公司签名的数量，特别是要杜绝几个人共同签名。几个人共同签名说起来是集体负责，其实是没有人负责的。一方面减少签名，另一方面做到每一个签名的人必须让他明白你承担什么责任。

签名意味着三件事情。第一件事情是你掌握了签名所需要的所有证据；第二，你明白签名以后可能产生的后果；第三，你愿意承担签名带来的所有责任。所以一个公司要建立文化，让签名的人知道签名意味着三件事情，如果没有想清楚这三件事情你千万不要签，在这个立场上监控所起的作用。

企业现在大量工作实际上用中介在做，怎样善于利用中介的力量帮助你？比如审计师，审计师承担法定的发表独立审计意见的责任，但(这)并不妨碍你请他们帮你一个忙。我到很多公司都会对审计师说，我知道你法律上没有这个责任，但就算你帮我一个忙。什么忙？第一，你到下面去看，会看到很多不一样的地方，请你帮我注意观察一下我下面的人在干什么？哪怕他们在聊八卦的事情请你帮我听一听下面的人关心什么？有没有问题？第二，请你告诉我，我下面的人称不称职？你们的工作做得好不好，这样一来好处是什么？好处是审计费用一分钱也不增加，但额外得到了一些你想要的信息。企业所有的中介服务，你应该想方设法想一想，能不能让他多提供一点有价值的服务？

内部控制最怕的是什么？最怕的是制度形成、装订成册，锁进抽屉，从此无人问津，这是最可怕的。所以每个企业要保证制度做下去有后续的行为，这时很多公司想有一套措施，保证制度的缺陷能够得到及时的报告。所谓缺陷，一种是设计缺陷，一种是执行缺陷。有一家大型的集团公司采用的办法是每一家分公司自己报，你今年内部控制有几个设计缺陷，然后叫总集团审计部去查，两个数字分别报到董事长这里。这是一个非常大的羞辱，每一个分公司几年以后要报内部控制结果的时候都战战兢兢的。你必须要有一个办法让下面的人不敢掉以轻心。

网上调查很多企业内部控制执行最难的是什么？绝对占第一位是一把手舞弊。这是中国特殊的问题。中航油在新加坡出事以后，当初我们想要一点面子，是不是让中国证监会调查？新加坡交易所断然拒绝，说让我们调查，不能让中国调查，他调查以后形成一个200多页的调查报告，调查出来的第一个结论让所有人都大吃一惊。第一个结论是中航油的内部控制制度是世界一流的，他专门花了几百万的钱请安永会计师事务所设计了一套完整的内部控制(制度)，而且他知道中国人比较讲情面、讲关系，两个关键岗位，一个是风险控制官，一个是操盘手，(这)两个岗位专门找了老外来做，两个澳大利亚老外，这样不讲情面。但是这么好的一套制度居然会出这么大的一个漏洞，接下来的结论非常简单，这套制度管住了所有人，除了陈久霖。换句话说，再好的制度只要有一个人可以置身制度之外，这个制度就是废纸。好的制度涵盖了所有人、所有的经营环节，这是一个非常明显的事实。销售付款，销售、采购这两个在所有制造性企业里都是最大的风险。销售和采购正好是两个阶段，做采购的人在公司是孙子，在别人那里是大爷；做销售在公司里是大爷，到别人那里是孙子。潜在利益非常多，销售的人说我稍微晚一点付款行不行？最怕(的情况是)你给他的工资明显低，而那个人还是每天阳光灿烂上班，十有八九这里面肯定有补偿机制在里面。

内部控制，如果你的大老板不是非常积极的想做这件事，我劝你千万别去干，因为这件事情没有真正高层的决心和热情，你一定做不下去。因为这件事情牵涉到两件事情对他影响最大。第一件事，利益格局；第二件事，成本。所谓利益格局是企业中间任何现行制度的改变，通常都会动到某些人的奶酪，你都不知道奶酪在哪里，你无形之中会伤害一些人的利益。比如采购制度的改变、供应商的选择，特别是一些公司推集中采购的时候，集团采购经常会碰到莫名其妙的障碍，这个障碍就是你动了某些人的奶酪。

公司做内部控制最经常出现的现象(是)，公司老板推一套新的控制制度，部门经理就会说，老总啊，我同意，我们公司真需要一套新的控制制度，这套控制制度我从心底里赞成，但恐怕今年业绩完不成了，我个人觉得业绩完不成没关系，新的制度应该推。老板一听就急了，董事会承诺过。老总你不讲理啊，你又要推制度，又要达到业绩，这实在太难了，要么这样好不好？我知道业绩承诺过、公告过，今年全力以赴先把业绩做好，这个制度明年大家来推。这个话说完老板会说什么？老板说看来也只有这样了。明年还会不会推？十有八九提都不会有人提了。一个新制度推下去，如果你对阻力预先没有足够的估计，十有八九后果一定惨重。

二是收益与成本。你能够防范的风险仅仅是一种可能，但你花下去的成本是一个实实在在的数字，很多人讲我花钱有没有必要？因为你说的风险怎么从来没有发生过？如果你没有思想准备就做不下去。

三是控制和效果。控制程序越多就越不爽、越不方便，节奏越慢。如果你要高效率的，能不能做到？这个东西有时候就是非常微妙的，有时候一个离奇古怪的念头很可能证明是正确的念头。恒大许家印当时投票(买足球队)，结果只要一票就够了，许家印不管董事会其他人，做得风生水起。如果按照正常风险控制的程序，许家印这个足球(对)是无论如何不能买的，现在买下来对公司是正面还是负面的？看起来很可能是正面的。换句话说，风险控制如果严格按照程序未必让你做出最有利的决策，(它的)作用主要是避免危险决策，但不能帮你形成最高效的决策。企业从根本而言是靠出好产品、好服务来挣钱的，不是靠好的风险控制挣钱的。所有企业的一切行为必须为企业创造价值。风险控制如果不能带来经营改善，不能带来价值增加，所有控制(行为)都不应该存在。所以必须要有经营观念在风险控制里面。

做风险控制本质上讲，是一个非常让人难受的工作。为什么？风险控制(从)根本上来讲，是一个成本中心。成本中心是什么呢？花的钱看得到，但真正产生的价值未必能看到。所以做这个行业的人非常苦恼的是风险控制要做到极致的是公司里大大小小的事情，一点事情都不出，但如果公司一点事情都不出，公司就会问要这些人干什么？

我举一个例子。现在外面有H7N9，禽流感得了这个病一定会死人，你相信我，花500元买这颗药，你吃下去，一年真的没有得这个病，我现在问你一句话，你会不会感激我？100％不会。因为你一年之后看，张三、李四、王五都没有得病。这里最大的问题是我们永远没办法证明本来就不会得病还是吃了我这个药不得病。如果企业没有足够的雅量，很多时候，在成本压力大的时候，这方面会舍不得投入；(但)等到你真正看出拿掉(风险控制)的作用，通常就太迟了。

E. 良好的内部控制制度可以防范所有的串通舞弊吗

一，任何问题都不是绝对的，良好的内部控制制度可以最大限度的防范串通舞弊回，但不是所有的，答内部的制度制订得再好，也要靠当事人的自觉去维护。

二，内部控制：
是指一个单位的各级管理层，为了保护其经济资源的安全、完整，确保经济和会计信息的正确可靠，协调经济行为，控制经济活动，利用单位内部分工而产生的相互制约，相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化，系统化，使之成为一个严密的、较为完整的体系。

F. 被审计单位的内部控制可能因（）而失效！a 串通舞弊 b 滥用职权 c 执行不力 d 环境变化 e 业务性质改变

答案是：
A B C D E

G. 利用财务报表分析是否可以发现金融舞弊

相当于看一个人的照片，就判断他是否有痔疮一样。如果照片没照好，就是光着屁股照的没做处理，那么能看出来有没有痔疮。但是大部分财务报表都粉饰过了，是看不出来的。

H. 简述银行内控的三道防线

由“自我约束”和“不相容职务分离”控制作业偏差的“第一道防线”
各职能部门的“自我约束”与“尽职监督”控制，是商业银行的“第二道防线”
内控管理部门的协调监督，内部审计部门的再监督，连同监察部门、

I. 急求！高分！在线等！内部控制，资金控制的案例的评价！

货币资金内部控制案例

“小金库”资金“来之不易”
案例简介

Z自从1986年起坐上局长交椅，1988年起局长、党委书记“一肩挑”。同年4月，财务部门“小金库”开始形成。最早的历时12年，以后陆续形成了6个“小金库”。

（1）虚设经费支出690多万元。财务部门“生财有道”：他们虚列工资、奖金、补贴，套取现金100多万元；以发放上下班交通补贴名义购入公交预售票，而后交该局下属企业出售，套现49万多元；子虚乌有列项目，如虚列洗理费、通信费、材料费、设备购置费、修理费等等。他们不折不扣贯彻Z局长“想办法将行政经费节余款弄出来”的要求，多管齐下，套出现金，充实“小金库”。

（2）截留预算外收入1360多万元。12年来，经Z局长批示，将报废车辆变价款、设备折旧款、旧办公用品等物资处理款和其他调拨款直接存入“小金库”；将消防、交通违章罚款，码头、房屋、车辆等的出租收入，三产企业上交承包金和利润，机动车辆、保险代理费等收入，以及“小金库”资金的利息，一并揽进“小金库”。

（3）截留所谓“补助费”等收入930多万元。前后八九年，该局收到案件主办单位拨付的“补助费”800多万元也一声不响装入“小金库”；罚没款130多万元也统统流进“小金库”。

案例点评

本案例涉及的是小金库问题，与其他案例不同的是本案涉及的货币资金控制环节较多。首先我们应该明确的是，该单位几乎没有内部控制制度，并且账务完全依照局长的意愿记载，所以需要上级委派会计人员，并且局长没有这些人员的任免权，以保证财务人员能公允客观地做账。因为货币资金流动性大，容易发生很多弊端，结合本案例具体分析如下：

1、截留各种货币资金收入。这主要表现在企业相关人员，利用工作便利，同时趁制度设计或执行松懈之际，将各种货币资金收入据为己有或挪作他用。经常采用的方法有：（1）收款不入账，进行贪污；（2）涂改发票进行截留；（3）采用编制虚假收款凭证小于原始单据、所列金额不一致的手段，隐瞒截留收入；（4）上下勾结，截留不属于正常业务的收入，私设小金库或进行贪污；（5）收、付银存款时在账户上收付两方均不入账，这种情况若不将银行存款日记账与银行对账单逐笔核对，则难以发现。需要加强的内部控制环节是现金收入和支付由出纳掌管，记账由会计人员负责，这些职责应由相互独立的职务负责，由内部审计人员定期复核账务和银行账户是否相符。

2、挪用资金。这主要是指企业相关人员上下勾结，不按照国家法律法规规定和企业制度约束，将有特定用途的资金挪作他用。原因主要是为自己谋私利，其次是因为有的单位财务政策紊乱，经常改变资金用途。无论何种原因，都会使企业的财务风险加大，导致财务违纪的发生。内部控制在单位员工串通舞弊的时候会失效，这时需要内部审计人员加强监督，定期不定期对内控进行测试，检查内控是否失效，以防范此类事件的发生。

3、虚报冒领。虚报这种情况常发生在企业费用列支过程中，相关人员通过虚开发票和假发票等手法虚报费用，为自己和本部门谋取私利，这不但导致企业货币资金预算和管理上的混乱，而且会使费用和成本相关账户数字不实，最后还会引发舞弊和腐败。冒领常常是有关人员虚开或更改相关凭证，冒充他人领取款项。比如职工的医药费报销，经常出现张冠李戴，冒充他人报销。这种情况的危害与虚报颇为相似。具体手法归纳如下：（1）涂改发票进行报销贪污；（2）用假发票、假收据及假报销单据进行报销贪污；（3）利用外单位和本单位对发票管理上的漏洞，将旧收据、旧发票、发票副联重复报销或抵账进行贪污；（4）通过编制付款凭证大于原始凭证单据所列金额的方法，扩支进行贪污。要防范虚报冒领，应定期编制有关货币资金的预算计划，以便对一定期间单位货币资金收入和支出进行统筹安排。因为预算、计划编制是否准确，直接影响到单位的货币资金流转是否畅通，影响到货币资金的利用效益。所以，要加强货币资金预算的可靠性控制，避免或降低预算的主观性和随意性。另外还需加强发票管理，对已经报销的发票写明已报销，并没收作为做账凭证，防止重复报销。加强识别假发票假收据的能力，把假票拒于门外。

工行出内奸——大庆上演特大金融凭证诈骗案

案例简介

搜狐财经首页披露，黑龙江省大庆市中级人民法院一审判决了使用编造的汇款凭证骗取国家公款4900万元的金融凭证诈骗案。2000年9月30日，被告人徐东、余椿蓉、楚文明等人在工商银行大庆分行龙源分理处主任高宣波的协助下，私刻了大庆长垣投资公司的财务专用章和法人代表名章，将长垣公司账户上的4900万元巨款转账到自己名下，并委托外地一家信用社提取现金150万元。事发后，经了解获悉，这些人竟浑然不知是在犯罪，还以为自己聪明绝顶。

案例点评

对于银行职员监守自盗或者引狼入室的金融诈骗案，要做到防患未然真的是颇有难度。因为一个单位的内控制度很容易被领导层绕过，当有人蓄意舞弊的时候，我们只能求助于内审的事后发现或者内部控制没有失效的部分。但是，完善的制度、良好的教育，尤其是对职员进行法律法规的教育，还是可以起到一定预防效果的。所以我认为最重要的是建设内部控制环境，从人员遴选和加强教育上着手。另外，具体到本案的治理方法如下：

此案例是金融凭证诈骗案件中的一例，其作案手段与一般金融凭证诈骗案相同，就是通过盗用公司印章伪造转账凭证，然后利用转账凭证将公司的款项转账到自己事先开设的账户。该犯罪案件主要利用了两个漏洞：⑴企业印章的外露，如果企业管理不善，员工私自将印章泄漏给外部人员，那么就会给犯罪分子留下了可乘之机。⑵银行防伪技术还不够好，犯罪分子利用盗用的企业印章伪造的转账凭证，银行系统竟然毫无觉察，因此银行在转账支票的验证过程中存在欠缺。知道了这两个给犯罪分子可乘之机的漏洞之后，我们就不难知道防范该类犯罪行为的方式了。首先，对于企业而言，企业要加强印章管理工作，对保管印章的人员要进行素质教育，加强他们防范印章被外人盗用的风险和意识。公司印章是公司的重要机密，任何人都要严格按照公司规定进行处理。其次，对于银行而言，银行系统首先要制定严格的票据处理程序，在员工收到转账支票的时候，一定要认真检查，转账支票的内容是否填写完整正确，印鉴是否正确，而且要利用银行的防伪系统进行验证。因此银行一方面要严格培训职工的技术，另一方面要尽可能利用更加高级的防伪仪器进行票据的验证。只有企业和银行两方面的紧密结合，才能最大限度地减少犯罪分子作案得逞的机会。

还有一些其他案例资料，如果要的留QQ邮箱发。好加分。