以案說理 X製造商：“他”能盜竊成功，是內控缺失幫了他

作為大型的電子產品製造商，X電子製造有限公司具有多個生產車間和數十條生產線，研發生產、量產、返工、修理等業務全部是由車間進行，並且針對不同的生產模式建立了相關的控製流程。相對於正常產量的套料發放，返工的流程由於責任歸屬不同和物料消耗的不確定性則流程較長，需要根據返工原因由責任部門提出申請、主管領導與生產領導批準後技術部門提出返工方案方可進行。在物料領用過程中，超出返工方案損耗的物料種類以及數量由車間生產線物料員提出需求申請，技術、采購與物控進行會簽後方可進行領料，生產完工後貴重壞料退回，生產任務關閉時需根據BOM檢查物料的消耗情況是否在合理範圍之內。

某個階段內由於返工任務較多，某生產線物料組長在領用返工物料時，采取了塗改單據數量和偽造某審核部門簽名的做法，分別三次虛領了貴重的IC達幾千支。由於車間與IC倉庫在不同地方，在物料領用過程中趁保安不注意而轉移（體積較小），最後轉賣獲利幾十萬。

在月度盤點和生產任務單清理過程中，由於財務人員注意到此部分異常損耗，被詢問的責任人擔心盜竊事件暴露而潛逃。最終被公安機關抓獲判刑十年，盜竊原因則為賭博欠賬。

此盜竊案的發生可以說在表麵齊全的製度控製下，在看上去不可能存在風險的環節都發生了風險，如同俗語所說的“拴狗的鏈子在最脆弱的地方斷裂”。對於返工物料的領用，公司有著嚴密的規定，返工消耗需要由技術部門進行製定。如果損耗重要物料，需要技術部門預先確定工藝，采購部門確定後續訂單數量，物控確定後續物料的調配。對於返工的完工入庫，損壞的貴重物料需要退回，從收發料上看符合BOM的損耗量。對於物料的倉庫到車間領用，需要車間與倉庫共同確認數量，由保安全程護送。每月底財務進行抽盤核對賬務和實物。

從公司的ORACLE核算流程看，由於返工是非標準的生產模式，係統內不會對發料種類和數量進行控製，所以就依靠手工流程去檢查其合理性與準確性。那麼問題出在什麼地方呢？

1.雖然企業有先進的核算係統和全麵的審批流程，但由於業務發生的不確定性，導致每個環節都無法準確核定業務發生的合理性，隻是被動的審核，沒有起到有效監控的作用，致使看上去很完善的流程失效。

2.由於基層業務人員最清楚操作過程中的損耗，對於其提出來的需求沒有有效的監控環節，更沒有什麼激勵考核製度，所以很大程度上基層業務人員決定了公司生產的成本。再從流程看隻是停留在不同部門之間，側重點在假設既定事實上，與業務偏離。

3.因為流程的最終閉環需要對所有損耗進行清理，但有可能業務人員的拖延導致清理時間的延長，此案例也是在發生一個月後清理時發現疑問的，在事前與事中控製失效的情況下由事後分析予以解決。

由以上分析可見，為了降低內部運營的人為風險，提高運營效率和質量，企業應當構建起全麵動態的內部控製機製，將業務流輔以同步流轉的信息流，避免信息流偏離業務流。

“案例簡評”

從內部控製的原理上看，核心在於不相容職務的互相監控，形式是建立內部控製結構以製度進行內部牽製。建立全麵動態的內部控製機製需要從以下幾個方麵入手：

一是提高流程相關人員的風險意識與業務熟練程度。風險由於具有突發性和偶發性，在很多業務中，風險來自於控製人員的麻痹大意，此次案例多個經手人如果對於數據塗改等多問幾句為什麼，也許就不會有後麵事情的發生。

二是將控製中心下移以業務為核心。業務的發生從來都是自上而下的執行過程與自下而上的反饋過程，前者是常見且受關注的流程，而後者則容易被忽視反饋信息的真實性和準確性。動態的控製也就是根據不同的業務采取不同的控製模式，是建立在流程並不限於流程的，在每一個控製點進行延伸或追溯，利用充分的信息來評判業務的合理性，如上述業務中采購、技術和物控三個部門如果得到充分信息都不會判斷錯誤。

三是增強基層人員的控製重要作用。管理就是一個計劃、控製與反饋調整後繼續計劃與控製的過程，其中最基層的執行人員往往對業務的情況有最直接的發言權，但是這對業務的真實認知往往沒有暢通的反饋途徑，久而久之就容易喪失動力。

四是構建多部門多角度的內控體係。企業的業務總是涉及方方麵麵，為了防止短木板現象，內部控製也是需要由多部門以多角度參與，各部門在業務不同的階段發揮自身的優勢作用，以此來構築一個全方位的監控體係。

在四川大地震中，許多學校師生傷亡慘重，而安縣桑棗中學2300名師生毫發無傷，安全撤離，創造了奇跡。究其原因，是因為該中學校長從2005年起，力主全校每學期都要組織一次緊急疏散演習，並且對其不放心的校舍逐年都在不惜重金地采取加固措施，使得平時的風險意識和防護措施增強，盡管當時校長本人不在學校，大家也都能各司其職，形成了有序撤離，避免了師生傷亡。功德大焉，可垂青史。

我在這裏重提這位校長，既是要向他學習，更多的是提醒我們集團的領導，能不能在經營中也注重風險，尤其是順勢之下想著可能的潛伏性風險。如果集團各部門——每一個基層單位，每一個員工，都能有這種危機意識並能主動防範，我們的集團在危機麵前，就會減少很多的損失。

14.1 集團發展中的現實風險

強勢的經濟拉動使得很多中國企業在不知不覺中已經成為巨人，但核心競爭力不顯著、管理能力相對滯後於業務的發展，成為中國企業的典型特征。隨著規模的擴大，風險如影相隨。這些中國企業多數處在高速成長和擴張階段。在高風險的籠罩之下，許多中國企業就像一個四麵透風的大廈，一遇到暴風驟雨就可能發生傾覆的危險。

14.1.1 現實風險衍生區域

風險無處不在，管控風險從何做起呢？企業風險影響力從權力金字塔自上而下遞減，處於高位發生風險的損失程度較大，處於低位發生風險的損失相對較小，風險影響力較大的因素具有較高的風險勢能，也是需要特別加以關注的因素。在企業中風險勢能較大的要素依次是：公司治理、公司戰略、組織管控、業務運營。鑒於此，在2004年COSO-ERM框架中特別對董事會和管理層在建立全麵風險管理體係中的責任，提出了一係列詳盡而明確的要求，值得我們結合國內集團情況予以關注：

從第一層麵分析，在公司治理層麵，中國集團企業發展的主要風險具體表現在：公司治理結構不完善、監督和約束機製不健全；董事會、監事會、經理的角色高度重疊，監管虛化，決策風險大；人治色彩濃厚，製度的影響力有限。

從第二層麵分析，在公司戰略層麵，風險的主要表現為：戰略時尚化，投機性強，戰略風險高；過度多元化，核心競爭優勢不顯著；業務關聯度低，集團戰略協同效應不顯著；戰略運營兩張皮，缺乏精細化的戰略執行。

從第三層麵分析，在組織管控方麵，首先表現為：組織管控模式選擇失當，不能有效地支持戰略；不能動態適應環境和業務的變化；其次是集團的總部功能定位不清，體現在中國集團企業的總部和下屬機構處在不停的博弈狀態，管理和溝通成本很高；第三方麵，中國企業表現在管理的過度和風險監控的不足，管和控不能做到有機的平衡。要麼管理過度，要麼缺乏控製；第四方麵，管控體係不完善，管控的手段比較落後，比較多地采用人去管理，或者是通過一些手工管理。後麵我們將與各位分享如何建立集團管控體係。

從第四層麵分析，在業務運營方麵，表現為：業務模式不能動態應對環境變化；運營管理粗放，專業化、精細化程度低；業務預測和風險控製能力薄弱；信息技術的利用程度相對較低。

14.1.2 財務風險基本表現

對風險需要時時處處關注，客觀麵對。尤其是集團管控核心係統，不能總是習慣於對危機遮遮掩掩、甚至是極力美化，如果當多數人終於知道企業處境的時候，已是身不由己地被糾結進無法逃脫的厄運。財務風險是財務成果和財務狀況的風險。財務風險有狹義和廣義之分。狹義財務風險是由企業負債引起的，具體地說是指企業因為借入資金而增加的喪失償債能力的可能和企業利潤的可變性；廣義財務風險是指企業的財務係統中客觀存在的由於各種難以控製或無法預料的因素作用，使企業實現的財務收益和預期財務收益發生背離，因而蒙受損失的機會或可能。在集團範圍內，如果單個企業發生財務危機，就有可能引起連鎖反應，造成整個集團的重大損失。因此，為充分發揮集團獲取規模效益、增強抵抗風險能力的作用，作為集團核心企業的母公司，必須建立一套行之有效的財務風險預警體係，加強對集團各子公司的財務風險進行有效控製和監管就顯得非常必要。

財務風險管理是指經濟單位通過對風險的確認和評估，采用合理的經濟和技術手段對風險加以控製，以最小的成本獲得最大的安全保障的一種管理活動。

集團由於複雜的產權關係和多元的財務主體特征，常常會使財務風險管理在集團管理中處於十分重要的地位，是集團控製體係的核心管理，是集團維護整體利益的重要保障，故應予以充分重視。

14.1.3 財務風險管理程序

大家知道，企業麵臨的內外部經營環境是不斷變化的，財務風險管理也必須隨著條件的變化而進行調整。財務風險管理是一個連續的、循環的、動態的過程，主要包括建立風險管理目標、風險分析、風險預警、風險決策、風險處理等幾個基本步驟。

第一步，建立風險管理目標。財務風險管理是一種有目的的管理活動。它的總目標是選擇最經濟和最有效的方法使風險成本最小。

第二步，風險分析。風險分析一般包括風險識別、風險估計、風險評價三個步驟。還要注意，並非財務風險事項的所有方麵都可量化，那麼，定性分析就顯示出無法替代的優越性。當然，任何一種方法都不可能是無所不能，無所不適的。在財務風險管理實踐中，定性分析和定量分析結合使用往往能達到更為理想的效果。

第三步，風險預警。風險預警是指風險分析的結果已達到風險警戒線（臨界值）而發出的風險警報，提醒投資者、債權人、經營者以及其他利益相關者提前做好防範措施。

第四步，風險決策。風險管理決策是根據風險評價的結果，為實現風險管理目標，通過風險管理技術的優化組合，選擇投資少、安全係數大的方案。

第五步，風險處理。風險處理是指風險管理計劃的實施和風險管理效果的評價，並對風險管理技術性及經濟性進行分析、檢查、修正與評估，並對風險可能造成的損失或已造成的損失采取相應的對策，減輕損失對企業的衝擊，增強企業抵禦未來風險的能力。風險管理效果可以用效益比值來判定：效益比值=采取某項風險管理技術風險損失減少值/風險成本。當效益比值越大，說明該項風險管理技術越有可取性，反之，效益比值越小，說明該項風險管理技術越不可取。在實踐中，我們不僅要考慮它的經濟性，還要顧及該項技術與整體管理目標的一致性、具體實施的可行性。由於風險的可變性和風險分析水平的階段性特點，風險管理技術需要不斷提高和完善。

14.1.4 財務風險管理策略

集團企業進行財務風險管理可以采用的策略歸納起來有五種：

1.風險回避策略

風險回避是考慮到風險事故存在和發生的可能性較大時，主動放棄或改變某項可能引起風險損失的方法。就風險管理的一般意義而言，回避風險是一種最徹底處置風險的方法，通過回避風險可以在風險事故發生之前，完全徹底地消除某種風險可能造成的損失，而不僅僅是減少損失的影響程度。然而，回避風險終究是一種消極控製風險的方法。采取風險回避的方法，最好在某一項經濟活動尚未進行之前。為此，要放棄或改變正在進行的經濟活動，要付出巨大的代價，所以它具有一定的局限性。回避風險是人們感知風險存在，並且對損失的嚴重性完全有把握的基礎上才具有實際意義。對某一具體的風險單位來說，有些風險是無法避免的。例如，全球性經濟危機、地震、瘟疫等。避免某種風險，又可能產生另一種新的風險。

一般來說，隻有在特殊情況下，才采用風險回避策略。如某風險帶來的損失概率和損失幅度相當高，或者在控製風險時，使用其他的方法控製風險所需成本相當大，甚至超過了其產生的效益值。

2.風險接受策略

風險接受也稱風險自留（Risk Retention）。它是一種由企業自己承擔風險事故所致損失的一種財務風險管理技術。其實質是將企業自身承擔的風險以及生產經營過程中不可避免的財務風險承受下來，並采用必要的措施加以控製，以減少風險程度或減少不利事項的發生。企業可在風險分析的基礎上確定特定財務風險的關鍵變量並加以控製，減少風險程度或減少不利事項的發生，使財務活動朝有利於企業的方向發展。

風險接受是處理剩餘或殘餘風險的一種技術即殘餘技術（Residua lMethod）。當其他風險管理技術均無法實施，或者即便能實施，但成本很高且效果不佳時隻能選擇風險自留，與其他風險管理技術是一種互補的關係。在一定條件下，它是一種積極、有效、合理的風險管理技術，如我國財務會計中為防範應收賬款不能收回風險（即信用風險）提取壞賬準備金，即是企業主動接受風險的一種方式。

風險接受適用前提是：企業財務能力足以承擔風險損失的極限值；采取其他風險管理技術的費用大於自我承擔風險所付出的代價；風險管理缺乏處理風險的知識和經驗，疏忽處理或沒有意識到風險的存在，無意識地承擔風險。

從財務管理角度看，風險接受策略的財務處理方式為：一是將損失計入經營成本，用營業預算來融通風險資本。這種資金融通形式適用於處理中小程度的損失額，屬於企業不可避免的經營開支。二是建立專項風險基金，專門用於風險接受的損失補償，逐年積累，形成抗風險的有力後盾。

3.風險防範策略

風險防範是在損失發生前消除或減少可能引起損失的各項因素，避免損失的產生。它是風險管理中最積極、最主動的風險處置方法。風險策略的實施，應從以下幾個方麵入手：

（1）製定適當的防範措施。防範措施得當，可以減少損失發生的概率。如簽訂借款合同時，增加合同中的保護性條款。明確雙方各自的權利和義務、避免責任不清楚所引發的糾紛、減少借貸雙方信息不對稱所引發的各種問題；

（2）風險分離。風險分離是將企業麵臨損失的風險單位分離，而不是將它們集中於可能遭受同樣損失的同一地點，從而達到縮小損失幅度的目的，我們通常講的“不要把全部雞蛋放在一個籃子裏”就是這個道理；

（3）分析事故成因。對於同行企業所發生的風險損失進行分析研究探尋事故成因，進而采取有針對性的措施，從根本上減少或消除風險損失；

（4）應急計劃。企業的經營者為應付潛在的嚴重損失環境而製定的應急計劃，包括搶救活動及企業在發生損失後如何繼續進行業務活動的計劃；

（5）教育與培訓。教育與培訓目的是使財務管理人員了解風險，樹立風險意識，主動防範風險，培養在風險事故實際發生時如何處置風險的能力。