企业内部控制与风险管理研究----以万科为例 万科内部控制分析

企业内部控制与风险管理研究----以万科为例

目 录

第一章 概述... 5

第一节 内部控制与风险管理理论的形成和发展... 5

一、内部控制理论的形成和发展... 5

二、风险管理理论的形成和发展... 6

第二节 内部控制与风险管理的定义... 7

一、关于内部控制相对权威的定义... 7

二、关于风险管理相对权威的定义... 8

三、内部控制各组成要素的定义... 8

四、风险管理各组成要素的定义... 9

第二章 内部控制与风险管理关系的理论研讨... 10

第一节 内部控制的与风险管理的联系... 10

一、COSO框架和国内规范中内部控制和风险管理的联系... 10

二、COSO框架中内部控制与风险管理的联系... 10

第二节 内部控制与风险管理的区别... 11

一、内部控制与风险管理提出主体和动机不同... 11

二、内部控制体系与风险管理体系建立的顺序不同... 11

三、内部控制体系与风险管理体系适应面和时效性不同... 12

本章小结... 12

第三章 内部控制与风险管理关系的实证研讨... 13

第一节 内部控制实践（以万科为例）... 13

一、国内监管部门对于企业内部控制的要求... 13

二、万科施行内部控制相关工作介绍... 13

三、万科内部控制评价报告... 15

第二节 风险管理实践（参考万科经验）... 23

一、风险管理的必要性... 23

二、风险管理体系和筹建工作策划... 24

三、风险管理体系的建立部分工作介绍... 25

四、风险管理体系... 36

五、风险管理体系的施行、监督和持续改进... 37

本章小结... 37

第四章 总结... 39

引 言

2006年6月6日，国务院国有资产监督管理委员会发布《关于印发〈中央企业全面风险管理指引〉的通知》，要求各中央企业实际执行。

通知发布以后，除了中央企业根据此风险管理指引建立和施行风险管理制度外，许多立志做大做强、希望持续、健康、稳定发展的企业也积极借鉴此指引，学习风险管理知识，建立并施行风险管理制度。

2008年5月22日，财政部、证监会、审计署、银监会、保监会联合发布《关于印发〈企业内部控制基本规范〉的通知》，要求自2009年7月1日起在上市公司范围内施行《企业内部控制基本规范》，并鼓励非上市的大中型企业执行。要求上市公司对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。这是国内第一次对企业，特别是上市公司内部控制提出明确要求。

2010年4月15日，财政部、证监会、审计署、银监会、保监会联合发布《关于印发企业内部控制配套指引的通知》，要求自2011年1月1日起在境内外同时上市的公司施行企业内部控制配套指引，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格；非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。这份通知对上市公司和非上市大中型企业施行内部控制提出了强制性要求。

自2008年五部委对企业施行内部控制提出明确甚至强制性要求以来，国内企业普遍表现出疑惑：

2006年国资委发布的《中央企业全面风险管理指引》中对内部控制系统的定义是：本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。同时明确：风险管理体系包括风险管理策略、风险理财策略、风险管理的组织职能体系、风险管理信息系统和内部控制系统。国资委的风险管理指引将内部控制系统作为风险管理体系的一个组成部分。

然而，2008年五部委发布的《企业内部控制基本规范》对内部控制的定义是：内部控制是由企业董事会、监事会、经理层和全体员工施行的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。内部控制有五个方面的组成要素：控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。这个定义不仅超出了国资委对内部控制系统的定义范围，而且与国资委所称的风险管理体系似是而非。

内部控制究竟该怎么理解、如果施行？内部控制和风险管理有何联系和区别，企业该如何解决原有风险管理体系和强制性内部控制要求的问题？两者是统一的还是矛盾的？是否必须将原有风险管理体系推翻后重新建立内部控制体系？……

企业界掀起了一股学习内部控制的热潮，学术界不断推出内部控制研究理论，社会上各种类型的内部控制培训班遍地生花、层出不穷……

笔者这几年一直在一家国有房地产企业负责风险管理工作，并有幸参加了几次国内比较高级的内部控制与风险管理培训、研讨会议。通过这些培训和研讨，本人较广泛的了解到国内企业（特别是房地产企业）施行风险管理的实践经验和现实状况，也了解到其他企业对于内部控制普遍存在疑惑的现实问题，而且，这些疑惑并没有通过培训和研讨得到有效解决。内部控制与风险管理培训班一般将内部控制和风险管理由不同讲师分别讲解，对于二者的关系，则不予涉及或含糊表达。

笔者这两年也经常关注相关学术文章，理论界对内部控制和风险管理的关系至今也没有一个权威的结论。然而，企业的风险管理工作必须推进，五部委提出的内部控制要求必须执行。在这样的情况下，笔者迫于工作压力，不得不从解决现实问题的角度来研究：内部控制的理论和实践？风险管理的理论和实践？内部控制与风险管理的区别和联系？企业如何能够持续施行风险管理又同时满足五部委《企业内部控制基本规范》及企业内部控制配套指引的要求？

备注：

内部控制从字面上存在多种解释，如：内部主体施行的控制方法；内部主体建立的控制体系；内部主体主动施行的控制方法；内部主体被动施行的控制方法；内部主体主动建立的控制体系；内部主体被动建立的控制体系；内部局部施行的控制方法；内部全面施行的控制方法；内部局部建立的控制体系；内部全面建立的控制体系……

比较国资委和五部委对内部控制的定义可知，国资委将内部控制定义为内部局部建立的控制体系，五部委将内部控制定义为内部全面建立的控制体系。

也许，这么多可能解释正是学术界对内部控制研究不清的根源，也是企业界难于操作的重要原因。

本文对内部控制的研究不可能面面俱到，特以五部委《企业内部控制基本规范》及企业内部控制配套指引的所称的内部控制作为研究对象，并将其与风险管理进行对比研究。

第一章 概述

第一节内部控制与风险管理理论的形成和发展

展 一、内部控制理论的形成和发展

18世纪的产业革命掀起了经济发展高潮，出现了公司制这种企业组织形式。19世纪初，经济的发展使公司规模不断扩大，所有权和经营权分离，所有者认为管理者不可能面面俱到，于是要求在企业内部建立“内部牵制制度”。二战后，内部牵制制度逐渐演变成较为严密的内部控制系统。

1949年，美国会计师协会的审计程序委员会在《内部控制：一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中，对内部控制首次作了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。”

19世纪80年代以来，内部控制的研究进一步向具体内容深化。1992年COSO[1]《内部控制整合框架》将内部控制定义为，“受董事会、管理层及其他人员影响的，为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。”它包括三个目标：与运营有关的目标，即确保企业的经营效率和效果；与财务报告有关的目标，即确保财务报告真实可靠；与法律法规的遵循有关的目标，即确保企业经营过程中遵守有关的法律法规。它由五个方面的要素组成：控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。

2000年安然、世通事件让政府和公众进一步认识到公司内部控制的重要性。2002年美国国会通过萨班斯法案，提出披露内部控制报告的强制要求。SEC[2]亦相应地于2003年8月发布规则，具体规定了与财务报告相关内部控制工作的内容和格式。

我国1997年开始施行的《独立审计具体准则第九号-内部控制与审计风险》中对内部控制的定义是：“内部控制是被审计单位为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和施行的政策与程序。”

2008年6月28日发布，自2009年7月1日起施行的，由财政部、证监会、审计署、银监会、保监会联合制定的《企业内部控制基本规范》，称内部控制是由企业董事会、监事会、经理层和全体员工施行的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

二、风险管理理论的形成和发展

风险管理起源于美国。19世纪30年代，由于受到1929－1933年的世界性经济危机的影响，美国约有40％左右的银行和企业破产，经济倒退了约20年。为应对经营危机，许多大中型企业都在内部设立了保险管理部门，负责安排企业的各种保险项目，当时的风险管理主要依赖保险手段。

1938年以后，美国企业风险管理开始采用科学的方法，并逐步积累丰富的经验。上个世纪50年代，风险管理发展成为一门学科，风险管理一词才正式形成。上世纪70年代以后逐渐掀起全球性的风险管理运动，随着企业面临的风险的复杂多样性和风险费用的增加，法国从美国引进了风险管理并在法国国内传播开来。与此同时，日本也开始进行风险管理研究。

近30年来，美国、英国、法国、德国、日本等国家先后建立起全国性和地区性的风险管理协会。1983年在美国召开的风险和保险管理协会年会上，世界各国专家学者云集纽约，共同讨论并通过了“101条风险管理准则”，它标志着风险管理的发展已进入了一个新的发展阶段。1986年，由欧洲11个国家共同成立的“欧洲风险研究会”将风险研究扩大到国际交流范围。1986年10月，风险管理国际学术讨论会在新加坡召开，风险管理已经由环大西洋地区向亚洲太平洋地区发展。

2004年的COSO《风险管理整合框架》将风险管理定义为，“由企业的董事会、管理层以及其他人员共同施行的，应用于战略制定有企业各个层次的活动，旨在识别影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理保证的过程。”风险管理的目标有四个：报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个：内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。

中国对于风险管理的研究开始于上世纪80年代，一些学者将风险管理和安全系统工程理论引入中国，在少数企业试用中感觉比较满意。2006年6月6日，国务院国有资产监督管理委员会发布《关于印发〈中央企业全面风险管理指引〉的通知》将风险管理定义为：企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。目前，中国大部分企业缺乏对风险管理的认识，也没有建立专门的风险管理机构。作为一门学科，风险管理学在中国仍旧处于起步阶段。

第二节内部控制与风险管理的定义

一、关于内部控制相对权威的定义

目前，国际上关于内部控制相对权威的定义是1992年COSO《内部控制整合框架》对于内部控制的定义：内部控制是受董事会、管理层及其他人员影响的，为达到经营活动的效率和效果、财务报告的真实可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。

国内关于内部控制相对权威的定义是五部委联合制定并发布的《企业内部控制基本规范》中对于内部控制的定义：内部控制是由企业董事会、监事会、经理层和全体员工施行的、旨在实现控制目标的过程。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。内部控制有五个方面的组成要素：控制环境、风险评估、控制活动、信息与沟通、监控。其中控制环境是基础、风险评估是依据、控制活动是手段、信息与沟通是载体、监控是保证。

二、关于风险管理相对权威的定义

目前，国际上关于风险管理相对权威的定义是2004年的COSO《风险管理整合框架》对于风险管理的定义：风险管理是由企业的董事会、管理层以及其他人员共同施行的，应用于战略制定有企业各个层次的活动，旨在识别影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现提供合理保证的过程。

国内关于风险管理相对权威的定义是2006年6月6日，国务院国有资产监督管理委员会发布《关于印发〈中央企业全面风险管理指引〉的通知》中对于风险管理的定义：风险管理是企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

风险管理的目标有四个：报告类目标、经营类目标、遵循性目标以及战略目标。风险管理的组成要素有八个：内部环境、目的设定、事件识别、风险评估、风险对策、控制活动、信息与沟通和监控。

三、内部控制各组成要素的定义

1.控制环境——控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础。控制环境的因素具体包括：诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。

2.风险评估——每个企业都面临来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件，是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。具体包括：目标、风险、环境变化后的管理等等。

3.控制活动——企业管理阶层辩识风险，继之应针对这种风险发出必要的指令。控制活动，是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现，这主要包括：高层经理人员对企业绩效进行分析、直接部门管理、对信息处理的控制、实体控制、绩效指标的比较、分工。

4.信息与沟通——企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。主要包括：信息系统、沟通。

5.监控——内部控制系统需要被监控。监控是由适当的人员，在适当及时的基础下，评估控制的设计和运作情况的过程。监控活动由持续监控、个别评估所组成，其可确保企业内部控制能持续有效的运作。具体包括：持续的监控活动、个别评估、报告缺陷。

四、风险管理各组成要素的定义

1、内部环境——内部环境包含组织的基调，它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和风险容量、诚信和道德价值观以及他们所处的经营环境。

2、目标设定——必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命，并且与它的风险容量相符。

3、事项识别——必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会应被反馈到管理当局的战略或目标制订过程中。

4、风险评估——通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。

5、风险应对——管理当局选择风险应对、回避、承受、降低或者分担风险，采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。

6、控制活动——制订和执行政策与程序以帮助确保风险应对得以有效实施。

7、信息与沟通——确保有关员工履行其职责的信息得以识别、获取和沟通。有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。

8、监控——对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活动、个别评价或者两者结合来完成。

第二章内部控制与风险管理关系的理论研讨

第一节内部控制的与风险管理的联系

一、COSO框架和国内规范中内部控制和风险管理的联系

总体上来说，国内关于内部控制和全面风险管理的内容基本参照或遵从了COSO委员会《内部控制管理框架》和《全面风险管理框架》，但结合国内的实际情况和一些前沿的研究成果，国内对于内部控制和全面风险管理在各自领域都有不同程度的调整、拓展和延伸。
　　1、目标纬度：财政部关于内部控制的定义相对COSO委员会对内部控制定义在实现目标上有所拓展，增加了企业战略目标和资产的安全完整目标。而在国资委全面风险管理的实现目标增加了“确保企业建立针对各项重大风险发生后的危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。”另外，其他四个目标也与COSO全面风险管理四个目标在表述上有所差异，使之更适应我国企业经营管理表述习惯或者更具体而易于理解。从这个角度来说，特别是内部控制实现目标的拓展使得其与全面风险管理实现目标差异不大。
　　2、要素纬度：财政部内部控制《通知》形式上借鉴了COSO报告5要素框架，同时在内容上体现了风险管理8要素框架的实质；国资委全面风险管理《指引》中则没有明确指出是5要素还是8要素，但通过风险管理基本流程将全面风险管理的一些要素融合到流程中，从实质来说，也体现的是8要素的COSO全面风险管理框架。

二、COSO框架中内部控制与风险管理的联系

内部控制与风险管理都是由“企业董事会、管理层以及其他人员共同施行的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。
　　内部控制与风险管理都明确是一个“过程”，不是某种静态的东西。其本身并不是一个结果，而是实现结果的一种方式。企业内部控制与风险管理都是渗透于企业各项活动中的一系列行动。这些行动普遍存在于管理者对企业的日常管理中，是企业日常管理所固有的。
　　内部控制与风险管理都是为企业目标的实现提供合理的保证。设计合理、运行有效的内部控制与风险管理能够向企业的管理者和董事会在企业各目标的实现上提供合理的保证。
　　风险管理的目标有四类，其中三类与内部控制相重合，即报告目标、经营目标和遵循性目标。但报告目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。
　　风险管理与内部控制的组成要素有五个方面是重合的，即（控制或内部）环境、风险评估、控制活动、信息与沟通、监督。这些重合是由它们目标的多数重合及实现机制相似决定的。风险管理增加了目标设定、事件识别和风险应对三个要素。在重合的要素中，内涵也有所扩展，例如内部控制环境包括诚实正直品格及道德价值观、员工素质与能力、董事会与审计委员会、管理哲学与经营风格、组织结构、权利与责任的分配、人力资源政策和实践等七个方面。风险管理的“内部环境”除包括上述七个方面外，还包括风险管理哲学、风险偏好和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息与沟通方面，风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。

第二节内部控制与风险管理的区别

一、内部控制与风险管理提出主体和动机不同

风险管理是企业自我驱动，主要是企业为保障目标实现而自觉建立和施行的风险管理体系。内部控制从字面上是内部主体建立和施行的控制体系或者在内部环境内建立和施行的控制体系，可以理解将其理解为与风险管理相同的概念。但是，企业根据外部监管要求建立和施行的内部控制，是外部所有者和监管者为保障公众权益而要求“内部主体”必须在“内部环境”建立和施行的控制体系。这样的内部控制就是迫于外部监管要求而施行的控制，与风险管理的提出主体不同，建立和施行管理体系的动机也不相同。

二、内部控制体系与风险管理体系建立的顺序不同

内部控制规范主要以财务报告为起点，具体要求由点及面逐渐扩展。内部控制侧重于会计控制和审计活动等，一般局限于财务相关部门，特点是要求较低、范围较小，涉及部门较少，并没有渗透或应用于企业管理过程和整个经营系统，因此，有时看上去风险管理与内部控制是相互独立的两件事。

风险管理制度以对业务流程的分析为基础，从线及面逐渐扩展，并强调关键节点控制。风险管理侧重业务开展和市场交易层面，典型的风险管理关注特定业务中与战略选择或经营决策相关的风险与收益的比较，它贯穿于企业管理过程的各个方面。

三、内部控制体系与风险管理体系适应面和时效性不同

内部控制规范条款精炼，且较长时期保持内容固定，可普遍适用于各种业务类型的企业。风险管理制度根据不同企业、不同业务类型及不同目标制定，一旦业务发生变化或相关方发生变化，就应该进行适应性调整，所以，相对严格按照外部规范建立起来的内部控制体系，企业在业务分析基础上建立的风险管理体系适用面较窄、适应期较短。

本章小结

通过本章的研讨可见，内部控制是因监管要求而提出并逐渐细化，风险管理是根据经营需要而产生并逐步提升。内部控制和风险管理的目标和组成要素基本相同，因此，两者存在走向统一的理论基础。

通俗而形象的说，风险管理就像一个人的自我修炼，追求目标是尽善尽美，修炼方法是不断自我反省审视和批评检讨，而且审视的范围随着修炼程度不断深入和广泛。内部控制基本规范就像企业公民道德标准，对于修为不足的无德之人，道德标准也许高于其行为表现，对于修为高深的有德之人，道德标准也许远远低于其行为表现。

内部控制和风险管理是管理体系相辅相存的两个方面，只是内部控制侧重于所有者视角和财务视角，风险管理侧重于经营者视角和业务视角。对于立志做大做强，追求制度化、规范化、标准化管理的企业，风险管理与内部控制异曲同工，通过适当的完善，其自觉建立的风险管理体系就可以满足内部控制基本规范的要求，内部控制的具体要求又可以促进其进一步提升风险管理水平。

第三章内部控制与风险管理关系的实证研讨

第一节内部控制实践（以万科为例）

一、国内监管部门对于企业内部控制的要求

2008年5月22日，财政部、证监会、审计署、银监会、保监会联合发布《关于印发〈企业内部控制基本规范〉的通知》，要求自2009年7月1日起在上市公司范围内施行《企业内部控制基本规范》，并鼓励非上市的大中型企业执行。要求上市公司对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。这是国内第一次对企业，特别是上市公司内部控制提出明确要求。

2010年4月15日，财政部、证监会、审计署、银监会、保监会联合发布《关于印发企业内部控制配套指引的通知》，要求自2011年1月1日起在境内外同时上市的公司施行企业内部控制配套指引，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。鼓励非上市大中型企业提前执行。请各上市公司及相关非上市大中型企业切实做好执行前的各项准备工作。执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。上市公司聘请的会计师事务所应当具有证券、期货业务资格；非上市大中型企业聘请的会计师事务所也可以是不具有证券、期货业务资格的大中型会计师事务所。这份通知对上市公司和非上市大中型企业施行内部控制提出了强制性要求。

二、万科施行内部控制相关工作介绍

2005年年度报告中，万科企业股份有限公司（以下简称万科）的致股东书中明确将建立与业务快速发展相匹配的风险管理体系作为未来十年的重点目标之一。并说明其风险管理主要包括三方面的工作：第一是加强对外部环境变化趋势的研究和把握，做到及时应变；第二是秉持“现金为王”原则，完善现金流管理体系；第三是强化职员职务行为准则宣导，完善内部监控机制。万科在总部设立了风险管理部门，负责在全公司内部开展例行财务审计和离任审计、对制度和流程的执行情况进行审查监督，并为经营管理和业务开展提供法律和政策支持等。

2006年年度报中，万科在其公司治理情况中说明为了加强内部风险控制，万科董事会 2004 年12月批准了公司内部控制制度，公司逐步形成了完整的内部控制体系。2006年为了有效地挖掘和利用内部资源，推动风险管理进一步深入，公司主动邀请公司核数师以外的人员进行审计，并形成相关制度，强化风险控制意识。

2007年年度报告中，万科以深圳证券交易所发布《深圳证券交易所上市公司内部控制指引》为契机，对公司的业务流程进行梳理并组织总部及子公司相关部门和人员进行了必要的检查与评价。并在公司治理结构中增加了内部控制自我评价报告。基于此目标，万科制定了内部控制体系建设工作程序：成立内控项目联合工作组，总部和各子公司分别成立内控专项小组，内控项目联合工作组负责公司整体内控建设工作的计划、施行，总部和各子公司内控专项小组负责本公司内控建设的具体工作。内控项目联合工作组和总部内控专项小组在对公司业务控制活动进行风险评估的基础上，确定2007年度内控建设的范围及业务流程，并就内控体系设计与测试制定出详细的施行计划。内控项目联合工作组采取先试点后推广的模式开展公司的内控建设工作。首先选取总部和部分子公司进行试点，通过访谈、实地考察等方式，了解其内控现状，并据此设计相应内控流程的标准模板（即内控手册）。随后，采用集中封闭办公模式，对总部及大范围子公司内控专项小组成员进行培训和推广，由其以标准模板为基础，对照控制目标，完成各自公司内控手册的本地化设计工作，并根据确定的本地化内控手册对各自公司存在的内控缺陷情况进行梳理和整改。2007年下半年，万科对总部及大范围子公司组织了两轮内控符合性测试，同时委托外部审计师进行内控审计。内控项目联合工作组根据内控测试以及内控审计结果，分析现有控制活动符合性的差异情况，并与各公司制定了详细的改善计划并监督施行。

2008年度，万科以财政部等五部委联合发布的《企业内部控制基本规范》为参考，对公司的内控体系进行了梳理及优化，并组织总部及各控股公司对内控设计及执行情况进行了系统的自我评价。

2009年度，万科参照财政部等五部委联合发布的《企业内部控制基本规范》及深交所《上市公司内部控制指引》等相关规定，坚持以风险导向为原则，对公司的内控体系进行持续的改进及优化，以适应不断变化的外部环境及内部管理的要求。万科建立了覆盖总部、各控股公司及各业务部门的三级自我评估体系，组织总部及各控股公司对内控设计及执行情况进行了系统的自我评价。并通过风险检查，内部审计等对公司内部控制的设计及运行的总体情况进行了独立评价。

2010年度，万科除了参照财政部等五部委联合发布的《企业内部控制基本规范》及深交所《上市公司内部控制指引》等相关规定，坚持以风险导向为原则，对公司的内控体系进行持续的改进及优化，以适应不断变化的外部环境及内部管理的要求。根据企业风险管理需要和内部控制基本规范的要求，万科对组织结构进行了优化调整，将总部财务管理部调整为财务与内控管理部，下设税务管理部和法务部，将风险管理部调整为审计监察部。

三、万科内部控制评价报告

1、内部环境

① 治理结构

万科按照《公司法》、《证券法》等法律、行政法规、部门规章的要求，建立了规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成了科学有效的职责分工和制衡机制。股东大会、董事会、监事会分别按其职责行使决策权、执行权和监督权。股东大会享有法律法规和公司章程规定的合法权利，依法行使公司经营方针、筹资、投资、利润分配等重大事项的表决权。董事会对股东大会负责，依法行使企业的经营决策权。董事会建立了审计、薪酬与提名、投资与决策三个专业委员会，提高董事会运作效率。董事会11 名董事中，有 4名独立董事。独立董事担任各个专业委员会的召集人，涉及专业的事项首先要经过专业委员会通过然后才提交董事会审议，以利于独立董事更好地发挥作用。监事会对股东大会负责，除了通常的对公司财务和高管履职情况进行检查监督外，还通过组织对控股公司的项目巡视，加强对各控股公司业务监督。管理层负责组织施行股东大会、董事会决议事项，主持企业日常经营管理工作。

万科坚持与第一大股东及其关联企业在业务、人员、资产、机构及财务等方面完全分开，保证了公司具有独立完整的业务及自主经营能力。

② 机构设置及权责分配

万科结合自身业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。

董事会负责内部控制的建立健全和有效施行。董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效施行和内部控制自我评价情况，指导及协调内部审计及其他相关事宜等。监事会对董事会建立与施行内部控制进行监督。管理层负责组织领导企业内部控制的日常运行。

万科在内控责任方面明确各控股公司第一负责人为内控第一负责人，落实各一线公司各部门的内控责任，在总部统一的管理框架下，自我能动地制定内控工作计划并监督落实。总部及一线公司持续进行内控宣传培训工作，提升各级员工的内控意识、知识和技能。

万科总部设立财务与内控管理部具体负责组织协调内部控制的建立、施行及完善等日常工作，通过编制内部控制评估表、内控调查表、专项研讨会等，组织总部、各控股公司、各业务部门进行自我评估及定期检查，推进内控体系的建立健全。总部各专业部门及各控股公司均设有内控专员等相关内控管理岗位，负责本单位内部控制的日常管理工作。

③ 内部审计

万科设立了审计监察部全面负责内部审计及内部监察工作，通过执行综合审计、专项审计或专项调查等业务，评价内部控制设计和执行的效率与效果，对公司内部控制设计及运行的有效性进行监督检查，促进内控工作质量的持续改善与提高。对在审计或调查中发现的内部控制缺陷，依据缺陷性质按照既定的汇报程序向管理层或审计委员会及监事会报告。并督促相关部门采取积极措施予以改进和优化。

④ 人力资源政策

人才是万科的资本，万科制定和施行有利于企业可持续发展的人力资源政策，将职业道德修养和专业能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。

《万科职员手册》明确了“以德为先”原则，是否具备良好的职业道德，是万科判断人才的首要标准。人力资源部制定各岗位的职位说明书，明确了每个岗位的职责和权限。定期进行专业人员的专业化考试，建立轮岗、交流机制，培养专业人员全面的知识和技能。每年人力资源部制定相关培训计划，组织具体培训活动。

为进一步完善万科职业道德风险防范体系，万科于 2010年9月设立了“万科阳光网”以作为举报职务舞弊的专门网站，用于宣传万科的廉政政策，收集各类举报信息，预防和打击职务舞弊和犯罪。万科还建立了全体员工的利益冲突申报制度，发布了《员工内部购房制度》等制度；万科制定了关键岗位员工强制休假制度和定期岗位轮换制度，以加强员工的自律及预防舞弊行为的发生。

⑤ 企业文化

万科秉承“创造健康丰盛的人生”的核心价值观，倡导“客户是我们永远的伙伴”、“人才是万科的资本”、“阳光照亮的体制”及“持续的增长和领跑”、“做卓越的绿色企业”等价值理念，专注于为客户提供优质的生活空间和服务，充分尊重人才，追求开放透明的体制和公平的回报，积极促进公司业绩的持续增长和市场地位的提升，推动公司向绿色企业转型，在投资者、客户、员工等各方面，实现产品和服务的均好发展。

万科高度重视企业文化的宣传和推广，每年组织全公司范围内的“目标与行动”专题活动，由公司管理层进行公司目标和价值观的宣讲并要求所有员工签署受训确认书。在任用和选拔优秀人才时，一贯坚持“德才兼备、以德为先”的原则，把持续培养专业化、富有激情和创造力的职业经理队伍作为公司创立和发展的一项重要使命。

2、风险评估

为促进公司持续、健康、稳定发展，实现经营目标，万科根据既定的发展策略，结合不同发展阶段和业务拓展情况，全面系统持续地收集相关信息，及时进行风险评估，动态进行风险识别和风险分析，并相应调整风险应对策略。

万科由相关部门负责对经济形势、产业政策、市场竞争、资源供给等外部风险因素以及财务状况、资金状况、资产管理、运营管理等内部风险因素进行收集研究，并采用定量及定性相结合的方法进行风险分析及评估，为管理层制订风险应对策略提供依据。

2010年度，面对宏观政策的日益收紧、行业走向的高度不确定以及竞争态势的新挑战，万科着重于提升企业的经营质量、管理效率和专业能力，努力促进公司发展由规模速度型向质量效益型转变。报告期内，公司始终保持充分的谨慎，发挥“战略纵深”优势，综合运用各种渠道，以合理的价格获取优质的土地资源，存货管理坚持采取“量出为入”策略，与此同时，万科不断深入推动成本优化，积极开展成本对标，提高集中采购度水平，严格控制成本，并采取严格费用预算和预算监督，降低费用水平，以及积极拓展融资渠道等风险应对措施，以保障各城市和区域的均衡发展，持续提升为股东持续创造价值的能力。

3、控制活动

万科的主要控制措施包括：

① 不相容职务分离控制

公司在岗位设置前会对各业务流程中所涉及的不相容职务进行分析、梳理，考虑到不相容职务分离的控制要求，施行相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。

② 授权审批控制

公司各项需审批业务有明确的审批权限及流程，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司及各控股公司的日常审批业务通过在信息化平台上进行自动控制以保证授权审批控制的效率和效果。

③ 会计系统控制

公司严格遵照国家统一的会计准则和会计制度，建立了规范的会计工作秩序，制定了《万科集团会计管理及核算规范》及各项具体业务核算制度，不断加强公司会计管理，提高会计工作的质量和水平。与此同时，公司不断加强财务信息系统的建设和完善，财务核算工作全面实现信息化，有效保证了会计信息及资料的真实、完整。

④ 财产保护控制

公司建立了财产日常管理制度和定期清查制度，各项实物资产建立台账进行记录、管理，坚持进行定期盘点及账实核对等措施，保障公司财产安全。

⑤ 预算控制

公司通过编制营运计划及成本费用预算等施行预算管理控制，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，并通过对营运计划的动态管理强化预算约束，评估预算的执行效果。

⑥ 运营分析控制

公司建立了运营情况分析制度，并通过运营管理平台，实现了对公司运营的信息化管理。公司管理层通过月度经营例会、季度经营例会、年度经营例会、总裁办公会等形式，定期开展运营情况分析，发现潜在问题，及时调整经营策略。

⑦ 绩效考评控制

万科制定了《万科集团绩效考核管理办法》以明确规范绩效考核工作，坚持客观公正、规范透明、绩效导向原则，按期组织季度考核、年度考核，使绩效考核结果能为薪酬分配、优才甄选与培养、团队优化、薪金福利调整等提供决策依据。

万科将上述控制措施在下列主要业务活动中综合运用，对各种业务及事项施行有效控制，促进内部控制有效运行。

① 销售

2010年度，万科持续加强对销售相关业务的管控职责，制定及修订了包括《明源销售系统使用规范》、《万科集团销售现场收款管理办法》、《万科集团营销费用分类管理规范》等在内的销售管理制度，遵循合约明晰、授权审批和不相容职务相分离的原则，使用销售管理平台对项目定价、认购、折扣、签约、回款等业务施行全程控制和记录。万科进一步梳理和细化了销售收款等高风险环节的控制流程，加强了对销售费用管理的控制力度。实际业务控制中，所有业务操作均需履行公司设定的审批流程，其中重大和关键业务操作必须由子公司管理层审批后方可施行。与此同时，销售管理制度体系中也通过设计复核、检查监督机制以完善对业务操作的管控。

② 成本

万科成本管理部负责成本相关流程的管控。万科修订了包括《万科集团房地产开发企业成本核算指导》等在内的成本管理制度，不断推动成本优化，施行成本对标管理。提高集中采购度水平，严格管控成本。万科使用成本管理软件，对项目运作全过程成本信息进行计划管理和动态跟踪记录。项目确定后，各子公司成本管理部根据公司总部统一要求编制项目成本计划（目标成本），经子公司管理层审批确认后执行，同时录入公司成本管理系统。项目开发过程中，已发生成本由专人负责及时录入成本软件，同时成本管理部门定期对待发生成本做出预测，并在必要时进行调整，从而对项目成本形成动态跟踪管理。各子公司财务管理部门负责项目动态成本中的非合同费用录入。此外，各公司财务部和成本部通过定期的成本清查、成本核对工作，保障子公司动态成本数据准确性，总部与区域通过开展成本检查等工作对子公司成本信息反映的及时性和准确性进行监督。

③ 资金

万科的融资与结算业务由总部统一管理。万科修订了包括《万科集团资金管理制度》、《万科集团资金业务操作细则》等在内的制度，明确公司资金管理、结算要求，加强资金业务管理和控制，从而降低资金使用成本并保证资金安全。各子公司银行账户开销户均需由投融资与营销管理部的审批确认；所有对外融资由投融资与营销管理部统一安排，经各级负责人审批后方可进行；付款方面，公司主要经营付款由投融资与营销管理部统一结算。同时，投融资与营销管理部通过定期编制月度动态资金计划、年度资金计划以加强资金管理的计划性，并对子公司的资金计划完成情况进行跟踪，及时调整资金安排。

④ 采购

万科设立工程管理部负责采购业务的管理控制。目前万科已制定包括《万科集团工程款支付管理规定》、《工程采购管理办法》、《工程采购施行细则》、《供应商管理细则》等在内的工程采购管理制度，以规范采购业务操作，加强集中采购，推行战略合作采购，运用招标投标等多种采购方式，兼顾采购的效益、效率和规范性，并运用采购管理平台提升采购的效率和透明度。通过招标投标方式，严格进行资质预审和经济标、技术标评审，在公平公正、充分竞争的基础上择优选择供应商，保证采购成本和质量的合理性；通过集中采购，整合内部需求和外部资源，最大限度发挥采购量的优势以实现规模效益；通过战略合作，在对总包/关键产品/服务供应商进行全面评估的基础上，与评价为最优的供应商建立长期、紧密、稳定的合作关系，以达到最优采购绩效；万科各子公司均使用采购平台，有效提高了采购效率和透明度。在采购付款环节，万科加强了对支付环节的审查、核对以及对供应商的后评估，以保证付款的准确性及合理性。

⑤ 重大投资

万科投融资与营销管理部负责管控投资业务，已经制定了包括《万科集团新项目发展制度》、《万科集团资本投资与融资管理办法》、《万科集团新项目投资工作指引》等在内的投资管理制度，并使用新项目决策平台对重大投资进行管理。公司始终坚持“精挑细选”的策略，重点考虑价格的合理性和风险的可控性，严格评估项目收益的可行性，通过严格的分级授权审批程序对重大投资施行全程监控，确保新项目获取安全、合法、审慎、有效。万科对投资实行区域本部审查、总部决策的控制模式，区域子公司的投资项目，除重大战略并购外，其余均由区域本部进行项目初步审查，经总部相关专业部门联合评审后，报由公司管理层组成的投资与决策委员会在董事会授权范围内进行决策；公司重大战略并购投资经公司相关专业部门联合评审后，由投资与决策委员会直接在董事会授权范围内进行决策。项目投资金额超过公司董事会对公司授权的，需在报董事会决议通过后方可施行。

⑥ 对子公司的管理

万科构建了总部、区域、一线的三级架构体系。在三级架构体系下，总部对区域本部和子公司的授权和职责划分坚持不相容职责相分离原则；总部各专业部门统一制定相关制度，对一线公司进行专业指导；并通过内部审计、专业检查、监事巡查等手段，检查、监督公司各层级职责的有效履行。

（1）万科对子公司的设立、转让、注销等业务施行控制，制定了包括《万科集团法人事项管理办法》在内的一系列等管理制度，规范各项股权变更业务的控制流程。对于超过公司董事会授权范围的子公司设立、对外转让股权、子公司注销清算等业务，除履行公司内审批程序外，还需报公司董事会审议通过后方可加以施行；对于董事会授权公司管理层决策的法人事项则在管理层履行决策后，报董事会备案。

（2）重大事项报告与审议方面，万科建立了统一规范的报告渠道和方式，制定发布了《万科集团信息管理办法》，建立包括经营管理例会、总裁办公会等在内的定期、不定期专题办公会议制度，以及时把握集团的整体经营状况，决策重大经营管理事项。子公司定期向总部上报各类经营信息，对临时重大事项，即时向区域或总部相关职能部门专项报告。

（3）财务核算管理方面，各控股公司适用统一会计标准，执行统一的会计政策，总部财务与内控管理部制定并修订了包括《万科集团会计管理及核算规范》、《万科集团内部往来、内部交易核算规范》等一系列财务核算管理制度，指导控股公司的财务核算工作。财务报告期末，各控股公司须按照总部财务与内控管理部发布的“结算通知”要求报送各项财务报表及管理报表，并由总部财务与内控管理部对各控股公司的核算质量进行考核与评价。

（4）日常经营管理方面，万科制定了《万科集团总部与一线公司资本投资与运营管理办法》，分别从资本核定、运营评价、融资管理、投资管理四个方面规范子公司资本投资、融资及运营行为，实行动态监控与管理。

（5）对于新并购的子公司，万科积极加强业务整合，通过应用集团统一的内部信息系统平台，实现信息及时沟通及传递。与此同时，万科还通过企业文化宣讲、内部培训、内部交流等方式，促进加快企业融合进程。

⑦ 关联交易

万科关联交易采取公平、公正、自愿、诚信原则，关联交易按照公平市场价格定价，充分保护各方投资者的利益，必要时聘请独立财务顾问或专业评估师对相关交易进行评价并按规定披露，所有关联交易均履行必要的授权批准程序。根据《深圳证券交易所股票上市规则》和《公司章程》的相关规定，明确划分股东大会和董事会对关联交易的审批权限。重大关联交易在经独立董事认可后，方提交董事会审议。披露关联交易时，同时披露独立董事的意见。

⑧ 对外担保

万科严格按照证监会《关于规范上市公司对外担保行为的通知》、《深圳证券交易所股票上市规则》等相关规定，制定《万科企业股份有限公司担保管理制度》，明确规定担保业务评审、批准、执行等环节的控制要求，规范对外担保业务。公司所有担保事项由总部统一控制并做后续管理，原则上公司除因住宅销售业务对部分业主提供按揭担保外，不对外（非关联公司）提供担保。由于并购产生的无法避免的担保业务，需履行必要的内部审批程序，并提请公司董事会审议通过，特定担保事项则提交股东大会审议通过后，方予以施行。必要时对外提供的担保要求被担保方提供反担保，以规避由担保可能给公司造成的损失。

⑨ 募集资金使用

万科根据《中华人民共和国公司法》、《中华人民共和国证券法》、《上市公司证券发行管理办法》等法律法规的相关规定，制定《万科企业股份有限公司募集资金管理办法》，对募集资金的存储、使用、变更、监督等进行明确规定，严格规范募集资金管理。公司对募集资金采取专户存储、专款专用的原则，由总部投融资与营销管理部进行统一管理，并聘请外部审计师对募集资金存放和使用情况进行审计，审计结果和投资项目进展情况在定期报告中予以披露。

⑩ 信息披露

万科根据《中华人民共和国公司法》、《中华人民共和国证券法》、《深圳证券交易所上市规则》、《公司章程》等的有关规定，制定了《万科企业股份有限公司信息披露管理办法》，通过分级审批控制保证各类信息以适当的方式及时准确完整地向外部信息使用者传递。公司董事会办公室负责及时跟踪监管部门的披露要求和公司需披露的信息。公司公开披露的信息文稿由董事会办公室负责起草，由董事会秘书进行审核，在履行审批程序后加以披露。公司选择《中国证券报》、《上海证券报》、《证券时报》、巨潮网站等媒体作为信息披露的渠道，所披露的任何信息均首先在上述指定媒体披露。公司董事会办公室设专人负责回答投资者所提的问题，相关人员以已公开披露的信息作为回答投资者提问的依据。同时通过公司外部网络中的投资者关系栏目及时公布相关信息，与更广大的投资者进行广泛交流。

万科相关制度规定，信息披露相关当事人对所披露的信息负有保密义务，在未对外公开披露前不得以任何方式向外界透露相关内容。公司对所披露信息的解释由董事会秘书执行，其它当事人在得到董事会授权后可对所披露信息的实际情况进行说明。董事会办公室根据信息披露需要在全公司范围内收集相关信息，在该等信息未公开披露前，所有相关人员均应履行保密职责，凡违反信息披露要求的，对相关责任人给予批评、警告处罚，情节严重的给予行政和经济处分，并视情形追究法律责任。

4、信息与沟通

万科制定了包括《万科集团信息管理办法》、《万科集团信息保密制度》、《集团总部会议管理规定》等在内的各项制度，规范公司内经营信息传递秩序。日常经营过程中，建立了定期与不定期的业务与管理快报、专项报告等信息沟通制度，便于全面及时了解公司经营信息，并通过各种例会、办公会等方式管理决策，保证公司的有效运作。

万科致力于信息安全管理体系建设，制定了一系列信息安全方针、策略和制度，以保护公司信息资产，积极预防安全事件的发生。通过持续运用信息化手段、优化信息流程、整合信息系统，不断提高管理决策及运营效力。流程与信息管理部作为信息化工作的执行及管理机构，负责公司财务系统、业务运营系统和办公管理系统的规划、开发与管理，组织公司各类信息系统的开发与维护，在全公司范围内提供信息系统共享服务。

在与客户、合作伙伴、投资者和员工关系方面，万科已建立起较完整透明的沟通渠道，在完善沟通的同时发挥了对公司管理的监督作用。对客户，公司本着“与客户一起成长，让万科在投诉中完美”的客户理念，设立五条投诉沟通渠道，与客户进行良性互动；对投资者，公司除了通过法定信息披露渠道发布公司信息外，投资者还可以通过电话、电子邮件、访问公司网站、直接到访公司、参与公司组织的网络路演和见面会等方式了解公司信息，公司建立网络辅助系统及时响应投资者的各类需求，保证投资者及时了解公司的经营动态，通过互动加强对公司的理解和信任；对员工设立多条内部沟通渠道，保证沟通顺畅有效；对合作伙伴，倡导合作共生共赢，保持良好的合作关系。

5、内部监督

万科已经建立起涵盖总部、区域、一线三个层面的监督检查体系，通过审计监察部进行日常检查及专项检查以及聘请第三方对各业务领域的控制执行情况进行独立检查和评估，保证内控设计和执行质量。监事会建立定期对各子公司的巡查机制。审计监察部执行内部反舞弊职能，并负责处理实名与匿名投诉事宜，有效发挥其监督作用。

第二节风险管理实践（参考万科经验）

一、风险管理的必要性

房地产开发是一项综合性、专业性、技术性极强的活动,同时也是一个高投入、高回报和高风险的事业。房地产的特性决定了它投资规模大、受政策影响大、内外接口多、对人员素质和能力要求高、建设周期长、开发条件差、涉及面广……，而且在房地产开发各阶段均存在着各种各样的风险。随着房地产市场逐渐规范,法制不断健全, 房地产市场竞争日益加剧,房地产企业的竞争从资金实力和关系资源的竞争逐步扩充到技术水平、管理能力和商业信誉等的较量,任何一个环节失控，都可能带来万劫不复的灭顶之灾，房地产企业风险管理不仅必要而且非常重要。房地产开发既是谋求利润的过程，也是管理风险的过程，企业必须树立正确的风险观念,勇于面对风险, 敢于接受挑战, 掌握应付风险的本领, 那些厌恶风险、漠不关心并试图躲避风险的想法, 是不现实、不客观的。

二、风险管理体系和筹建工作策划

房地产风险管理就是在充分认识所面临的风险的基础上, 运用各种手段和措施, 对风险进行控制和处理,以最小成本确保企业开发产品的连续性、 稳定性和效益性的管理活动。

企业风险管理首先要建立风险制度体系，首要工作是对风险管理体系做一个总体规划，提出明确的设计思路和框架，制定有序的筹建步骤和工作方法。

风险管理体系的设计思路要反映企业战略、体现行业特点，又能够优化业务流程、促进管理绩效、提高运作效率。体系框架应是一个创造价值的运营与管理平台，能够有效引导员工行为，促进知识与技术积累，为企业快速扩张与稳健发展的奠定基础，要涉及企业经营管理的战略规划、组织管控、业务链运作、综合运营、业务支持等各个方面和全部过程，为各个部门、所有岗位的员工提供工作指导、过程记录格式和结果报告的参考，并督促所有部门和全体员工共同遵照执行并推动制度持续改进。

企业筹建风险管理体系常规方法是：明确业务类型，梳理业务价值链条，分析各项业务开展先后顺序，确定各环节工作具体目标，分析（识别和评估）可能影响目标实现的风险类型、风险因素、风险事件及损失的概率和数额，并制定相应的风险规避、转移、部分接受等应对策略。最后将风险评估和应对策略融入各项业务开展过程中，将业务开展流程转变为业务开展和风险评估、风险应对紧密结合的管理流程。

风险管理体系建立要作为一个项目来进行，成立以总经理为领导的项目推进领导和工作组织，工作步骤分为四个阶段：

第一阶段工作是内部诊断：按时召开项目启动会，项目顺利启动；完成了企业高层、中层及部分基层的访谈；对企业所有业务和全体员工进行问卷调查；完成对企业运营、管理资料的分析整理。

第二阶段工作是管理体系和组织设计：组织管控初步设计方案编制与沟通；授权手册编制与沟通讨论；组织管理手册编制与沟通讨论；职位说明书编制与沟通讨论。

第三阶段工作是流程管理体系设计：流程结构树清单确定；选定流程图草案编制；流程文件草案编制；组织流程文件讨论、修订；流程文件提交与修订。

第四阶段是任职资格体系设计与薪酬绩效管理体系优化：任职资格体系设计；薪酬与绩效管理优化方案编制；薪酬与绩效管理手册编制；绩效指标库建立；薪酬等级设计；期权管理方案编制。

三、风险管理体系的建立部分工作介绍

1、明确业务类型和工作内容

①房地产开发企业管理体系

—战略规划（战略规划组织和程序，战略规划管理）

—组织管控（组织结构，权责体系，项目管理，职位设置）

—业务链运作（项目拓展，项目策划，设计管理，采购管理，工程管理，营销管理，客服管理）

—综合运营（运营计划管理，成本管理，财务管理，人力资源管理，风险管理）

—业务支持（行政管理，信息化建设）

上述管理体系中战略规划、组织管控、综合运营、业务支持的具体管理实践，可以在万科内部控制自我评价报告中找到相关内容。下文将重点研究房地产企业业务链运作过程中的风险管理实践，即与以具体业务为例的组织权责设计和业务流程梳理工作。

②房地产开发业务类型和工作内容

—项目发展（战略规划，项目拓展，项目可研论证，公共关系与政策研究，报批与报建管理）

—营销策划与租售（市场分析与研究，项目策划，营销策划，品牌管理，销售管理，招商管理，商业运营管理）

—客户关系管理（客户关系规划，客户数据分析，客户投诉处理，客户满意度测评）

—规划设计（设计供应商管理，产品研究，新产品新材料新技术推广，项目拓展参与，项目设计管理，材料选样定板，重大设计变更审核，设计成本控制，设计信息库）

—工程管理（工程技术管理，工程进度管理，工程质量安全管理，工程信息管理，项目论证与项目策划参与，重大招投标参与，工程成本控制，设计支持，项目技术支持）

—成本管理部部门职责（采购管理与供方管理，招标管理，合同管理，成本管理体系的建立，成本动态信息收集，成本预算，目标成本管理，成本分析及效益评估）

—本地项目部部门职责（前期准备，工程进度管理，工程成本管理，现场技术管理，工程质量管理，安全文明管理，供方管理，材料与设备管理，现场施工管理，项目档案管理）

房地产企业是典型的资源整合利用企业，大量业务都是采用外包方式完成，如何以恰当的方式、合适的价格选择到优秀的合作方和供应商，在采购过程如何防范员工道德风险等，是摆在所有房地产企业面前的共同问题，下文特以招标采购为例介绍房地产企业建立具体业务风险管理流程的工作实例。

2、以招标采购为例介绍建立具体业务风险管理流程的工作实例

①梳理招标采购相关业务内容

—采购策划（目标成本，采购内容，采购方式，采购时间等）

—采购施行（编制招标文件，供应商考察，供应商预审，发标和答疑，开标，评标，定标与合同签定等）

—采购验收（材料设备进货验收，合作方交底等）

—履约评价（采购过程监控，材料设备验收，履约过程评价，履约后评估等）

②以招标采购为例，分析业务开展过程中可能出现的风险类型，评估损失的概率和额度等，提出应对风险的方法

③分析房地产企业招标采购业务类型

—营销类招标采购（现场包装类，户外广告类，媒体广告类，营销活动类等）

—设计类招标采购（方案设计类，扩初设计类，施工图设计类，景观设计类，室内设计类，专项设计类等）

—工程和材料设备类招标采购（勘察类，总包施工类，专业施工类，委托监理类，联合监理类，甲供材料或设备类等）

④建立业务开展和风险管理紧密结合的权责体系

⑤制定业务开展和风险管理紧密结合的业务流程

1.1招标采购计划确定

1.1.1规划设计部、营销策划部、项目部根据《项目开发总计划》要求，编制供方进场计划；工程管理部根据各项目部计划汇总工程、材料设备进场计划。

1.1.2规划设计部、营销策划部、工程管理部根据进场计划编制项目招标工作计划，报分管领导审批后交成本管理部。

1.1.3成本管理部汇总采购计划并提出成本目标，对采购计划中的采购金额、采购方式和工程量/材料用量进行审核，由成本分管领导审批确定采购方式：

—公开招标采购：依《工程建设项目招标范围和规模标准规定》、《中华人民共和国招标投标法》确定和施行；

—招标采购：工程材料设备类20万元（含）以上采购，营销类、设计类10万元（含）以上采购；

—直接采购：工程材料设备类20万元以下采购，营销类、设计类10万元以下采购。

1.1.4招标管理工作应严格按照流程规定执行，如出现下列特殊情况不能按规定进行招标的，应由经办部门单独申请并填写《免招标项目审批表》，经成本分管领导、业务分管领导审核、总经理审批同意后方可不履行招标流程，但必须按规定由成本管理部进行预算或合同价审核：

—由于电力工程、煤气工程等市政专业公司垄断，公司内部无法组织正常招标时；

—其他因特殊原因确实无法履行规定招标程序的。

1.2招标文件编制和审核

1.2.1成本管理部在具备招标条件的情况下，启动招标文件编制工作，向相关部门提出配合编制招标文件要求。

1.2.2需求提出部门编制招标文件的技术标书并提交成本管理部，成本管理组负责编制商务标书，由采购管理组汇总形成《招标文件》。《招标文件》应包括但不局限于以下内容：

—投标报价书：是要求投标方按照对投标总价、付款、工期、担保函、结算原则等的回复要求，为固定格式，要求投标方单独密封；（商务标书内容）

—招标方公司简介：介绍企业性质、资质等级、开发主要项目等，主要是让投标方更进一步了解我公司的情况；（技术标书内容）

—本次招标的项目概况：主要是让投标方了解发标项目与公司的关系；

—本次招标的范围和内容（技术标书内容）：图纸范围要求、招标范围在图中的界定、上述范围内的具体工作内容；

—承包方式：标明本项目招标采用承包方式；（商务标书内容）

—计价方式：工程量清单招标或总价包干、单价包干、包干总价加固定单价、其他方式等；（商务标书内容）

—材料、设备要求（技术标书内容）：甲供材料/设备清单、甲控材料/设备清单、甲控材料/设备品牌范围名单、材料/设备封样、检验及验收要求；

—报价要求说明（商务标书内容）：总体报价要求及说明、主材的报价要求、甲方认质认价和甲供材料/设备取费办法（包括损耗率的报价要求）、投标报价中包括的各项费用的说明（包括利润、税收、有偿服务费、配合费、材料涨价风险、不可预见费等）、汇总方式；

—结算原则（商务标书内容）：承包范围内的结算原则、设计变更结算原则、招标范围外结算原则（设计变更及现场签证）、主材认质认价/甲供的结算原则、乙供主材替换的结算原则等；

—付款方式；（商务标书内容）

—履约担保；（商务标书内容）

—质量等级审核及验收规范；（技术标书内容）

—特殊部位的检验及验收（如有）；（技术标书内容）

—工期要求（技术标书内容）；

—投标资料要求（技术和商务标书内容）：商务投标书，包括投标报价书、报价清单、报价特别说明、单价分析表；技术投标书，包括管理组织架构、施工组织设计方案、质量保证措施、人员设备配置、工期安排、其他；资信投标书，包括：法人证明书及法人委托书原件、营业执照及资质证书、主要工程业绩（同类型）、其他资料；

—资料密封要求；

—评标办法；

—招标时间安排：包括发标、答疑、回标截止时间；

—投标注意事项：主要对废标和其他情况的说明；

—投标附件：图纸（含设计变更、审图意见）；报价格式和清单；投标报价书；合同文本。

1.2.3招标文件编制完成后，成本管理部负责填写《招标文件审批表》，提交业务分管领导与成本分管领导审核、总经理审批。

1.2.4在报批过程中涉及到对《招标文件》有修改的意见时，由成本管理部组织相关部门修改，修改后审批的《招标文件》为正式发标文件。

1.3供方信息收集

1.3.1发布招标信息：根据采购计划，资格审查截止日期15天前，成本管理部安排在政府招标办、公司内网或其他方式发布招标公告。招标公告应明确招标项目名称、招标范围、规模、资格审查截止日期、招标要求等信息。

1.3.2投标意向单位资料的收集：成本管理部组织相关部门通过招标公告、工程和材料信息库、市场查询等方式收集投标意向单位。应保证投标意向单位的数量不少于三家，收集渠道包括但不限于：

—部门内部设计、营销、工程承包商及材料/设备供应商信息库；

—网上搜寻；

—内部公告；

—工程管理部、规划设计部、营销策划部、项目部等相关部门及人员推荐；

—供方自行推荐；

—同行推荐。

1.3.3成本管理部应要求供方提供以下资料的原件及复印件：

—公司简介；

—营业执照；

—资质证书；

—与招标业务相关的业绩资料；

—税务登记证；

—企业代码证；

—代理证明文件（可选）；

—项目经理证书（适用于工程招标）。

1.3.4由成本管理部要求供方填写和提交《供方资格审查表》。

1.4资格审查

1.4.1承包商资格审查：由成本管理部组织相关业务部门对承包商进行资格审查；如材料供应商资格审查：由成本管理部组织工程管理部、规划设计部（针对需选型定板的材料）对材料供应商进行资格审查。

1.4.2资格审查分为资格预审和资格后审。资格预审指在开标前对潜在投标单位进行的资格审查；资格后审指开标后对投标单位进行的资格审查。进行资格预审的，一般不再进行资格后审。

1）对工程承包商的资格审查必须包括但不限于以下内容：

—单位近3年来的营业额、注册资金、人力资源结构和状况；

—供方工商营业执照、资质等级状况、安全生产许可证；

—近3年来财务资信状况；

—近3年相关项目的业绩状况。并对其主要业绩和工程现场进行实际考察，必要时从供方合作商了解供方业绩情况；

—单位技术力量，资源配备状况等；

—单位在建工程、拟开工项目、目前剩余能力状况；

—项目负责人的资质状况、安全生产许可证；

—其它。

2）对材料/设备供应商的资质审查必须包括但不限于以下内容：

—单位近3年来的营业额、注册资金；

—财务资信状况、营业执照及法人代码证；

—营业执照、税务登记证明；

—单位生产技术能力及设备状况说明；

—行业主管部门颁发的生产许可证、产品鉴定证书和有关检测报告；

—同类项目应用业绩，必要时对其应用项目进行实地考察和对其合作单位进行评价调查。

3）对设计类供应商的资质审查必须包括但不限于以下内容：

—单位近3年来的营业额、注册资金；

—财务资信状况、营业执照及法人代码证；

—营业执照、税务登记证明；

—组织结构、设计收费标准、项目运作方式、内部审核机制；

—工程实例、获奖情况、主任设计师出图质量、工地服务质量等；

—同类设计项目应用业绩，必要时对其设计项目进行实地考察和对其合作单位进行评价调查。

4）对营销类供应商的资质审查必须包括但不限于以下内容：

—单位近3年来的营业额、注册资金；

—财务资信状况、营业执照及法人代码证；

—营业执照、税务登记证明；

—组织结构、营销取费标准、项目运作方式、内部审核机制；

—项目实例及客户反映、市场业绩和获奖情况；

—策划团队和销售团队主管人员的资历和案例、售后服务质量等。

1.4.3资格审查后，由成本管理部与相关部门确定审查意见及是否需要进行考察。

1.5供方考察

1.5.1对于公司供方信息库中在合格供方名录下，及近两年已考察通过的供方（包括一年内已考察通过但未合作过的供方），不需要进行考察。

1.5.2成本管理部在组织考察前拟定考察小组成员名单，并制订《供方考察评价表》，组织需求提出部门和相关考察人员讨论确定《供方考察评价表》的考察项目、权重和评分标准，并交成本分管领导审批确定考察人员名单和《供方考察评价表》。

1.5.3考察小组对供方进行考察，并填写《供方考察评价表》汇总到考察小组负责人（一般由需求部门成员担任），由小组负责人做出综合评估。填写《投标单位资格审批表》，并连同《供方考察报告》提交相关分管领导。其中《投标单位资格审批表》应明确供方类别：

—合格供方：已经合作过，且经评审合格的供方。

—试用供方：已经考察评审通过，取得投标资格的供方。

—待用供方：未合作、未考察的供方。

—不合格供方：考察不合格及合作后经评价为不合格的供方。

1.5.4成本管理部经理组织对推荐入围单位进行评估，确定不少于三家的入围单位名单及相关资料提交业务分管领导审核，由成本分管领导审批确定入围单位。

1.5.5因业务紧急，在发标前无法提前考察的供方，由成本分管领导和总经理同意后可先行发标，在定标前，视回标情况决定是否组织考察。

1.6发标与答疑

1.6.1成本管理部负责对入围单位进行发标，并组织相关部门举行招标答疑会：

—需要时成本管理部会同财务管理部负责办理收取招标图纸押金及投标保证金手续。

—发标、答疑与供方考察过程中或招标文件发出后需要变更的，成本管理部汇总各方意见，在答疑会后由成本管理部组织编制《答疑会记录》，经相关答疑人会签后发放给相关投标单位签收，答疑文件将作为招标文件的补充文件。

1.6.2工程类招标项目要求提供投标保证金的，投标保证金额度最高不超过80万元（人民币），由财务管理部收取，具体金额由招标小组组长根据项目具体情况确定：

—开标后未中标单位的投标保证金，由成本管理部三天内通知财务管理部免息退还。

—中标单位在合同签订后7天内，由成本管理部通知财务管理部将投标保证金自动转为履约保证金（中标单位在中标后不接受中标承诺主要条件的，不退还投标保证金，取消中标资格）。

1.6.3成本管理部收取标书时，应检查标书是否有效密封，标书送达时间是否符合招标文件截标时间要求，并填写签收表。

1.7开标前准备

1.7.1供方投标文件技术标采用暗标法投标，技术标内容及封面不得有投标单位名称和任何暗示性标识，否则做废标处理。

1.7.2成本管理部在开标前对投标单位报送的技术标书进行编号，并作好记录。

1.8开标和评标

1.8.1招标小组负责开标及评标工作（概念、方案、初步设计单位、主要营销承包商及重大工程/材料设备开标及评标由成本与计划委员会负责），开评标应尽量缩小参加人员范围。

1.8.2开标：

开标参加人员：成本管理部招标采购工程师组织开标会，业务部门指派人员参加。

开标时，开标组织者应填制《开标记录》，投标人员签字确认，开标后，商务标、资信标由招标小组负责经济比较分析、审查；

技术标书由招标小组评审或经招标小组批准后，由需求提出部门组织有关专家评审。

1.8.3评标、定标方法

公司根据不同的招标项目，采用以下三种评标、定标方法，具体评标、定标办法在《招标文件》中做出规定：

1）最低价法：该办法适用于同品牌、规格、型号的材料和设备采购项目。该类项目根据谈判结果，最低价格者为中标单位；

2）合理低价法：该办法适用于功能、性能相近，品牌不同的材料和设备采购项目；工程技术含量低、施工难度小、工艺简单、总造价低的工程类施工项目。

综合评价法：该办法适用于设计类、营销类、工程类设备较多、施工复杂的建筑、安装、大型装修、监理及其他特殊需要的项目。综合评价越高越符合中标条件。

a)综合评价权重分配，在评标前由招标小组讨论确定，如：

商务标70%

技术标20%

资信标10%

b) 商务标评分，如：

商务标得分=70-（投标报价-投标最低价）/（投标最低价/70）……A

（最低标报价为满分70分）

c)技术标采用百分制，由相关评审人员按《技术标评分表》打分，由技术标评审负责人汇总采用算术平均法确定最终分值，并将《技术标评分表》及《技术标最终分值汇总表》报招标小组。

技术标得分=技术标最终分值*20%......B

d)资信标以考察评分为最终得分，合作过的合格供方的资信满分。

资信标得分=资信标最终得分*10%......C

综合总分=A+B+C

1.8.4在评标过程中，招标小组若发现某投标单位的报价明显低于其他投标单位的报价，使得其报价可能低于其成本的，应要求该投标单位提供能够达到招标文件要求的工期、质量和技术标准的书面证明。投标单位无法合理说明或不能提供相关证明材料的，该单位标书应作为废标处理，评标报告中应明确写出废标原因。

1.8.5 审计部参与评标过程的监督工作，具体依审计作业指引。

1.9商务及技术谈判

1.9.1开标后，需要进一步谈判的招标项目，招标小组确定谈判入围单位，谈判入围单位不得少于3家。技术标评审负责人须书面提出技术标中存在的问题和公司的要求，提交招标小组组长，招标小组组长组织评审人员对供方商务报价中价格的合理性进行分析，是否有不合理报价、是否有不平衡报价及存在的其他问题，并组织会议谈判。

1.9.2谈判过程中，由技术标评审负责人或其指定的技术、工程人员负责落实解决技术标中的问题，需要时，招标小组通知相关部门参加谈判。

1.9.3招标小组组长主持谈判，并负责商务标谈判，相关人员予以配合.

1.9.4谈判过程中应形成《谈判记录》，参加谈判人员签字确认。

1.9.5招标小组组长根据招标项目及谈判情况，决定是否组织进行后续谈判。

1.10定标

1.10.1招标小组根据谈判结果，填写《招标结果审批表》和《投标情况对比分析表》（作为招标采购的附件）并提交成本分管领导审核、总经理审批确定中标单位。总经理应在《招标结果审批表》上签署明确的意见并签名。

1.10.2对于概念、方案、初步设计单位定标、主要营销承包商定标及重大工程、材料设备招标的定标，定标前还须组织计划与成本委员会听证。

1.11签发中标通知书

1.11.1定标后，由成本管理部下发《招标工作会议纪要》。

1.11.2成本管理部在定标后5个工作日内向中标单位发放《中标通知书》（由成本分管领导签发），同时知会未中标单位。

1.12 合同签订

成本管理部负责按《合同管理流程》规定拟订合同并与供方签订合同；对于甲供材料/设备，签定合同后成本管理部将合同副本交工程管理部，由工程管理部组织供应商、总包、施工单位、监理单位、项目部进行合同交底，并填写《甲供材料/设备合同交底单》。

【注：省略采购验收与供应商履约评价。】

四、风险管理体系

经历多年的摸索、实践，通过不断的总结和提升，万科已经建立起反映企业战略、体现行业特点、优化业务流程、促进管理绩效、提高运作效率的管理制度体系，包括：

—《组织管理手册》：它是公司组织管理的基本文件，主要用于说明公司各部门职责、部门结构，它体现公司管控设计方案框架，包括组织设计基本思路、组织设计、部门职责、职位说明书四个部分。

—《权责手册》：它的主要目的是划分公司在日常经营管理中的权责关系，加强协作、提高效率。它将公司在战略与运营管理、行政人事管理、财务管理、业务管理等方面的关键事项的权限进行规划和设置，权责手册中主要体现组织、提出、参与、审核、审批等关键权限，不包含关键事项的开展过程，关键事项的开展过程在流程文件中展开描述。

—《管理手册》：它是指导公司各部门具体开展战略规划、组织管控、业务链运作、综合运营，并后提供业务支持的流程文件制度体系，它为部门和员工开展具体工作提供具体的指导，并且提供必要的记录格式和相关范本，目的是实现公司的制度化、规范化、标准化管理，奠定公司持续稳定发展的制度基础。

—《员工手册》：它能帮助员工了解公司的理念、管理政策与福利等情况，帮助员工对公司的管理制度和风格有更清楚的认识。

—《任职资格管理手册》：它帮助企业解决人/岗匹配问题，帮助企业将合适的人在合适的岗位，对员工进行培训与培养，建设人才梯队。有利员工明确能力发展和职业发展方向。

—《薪酬与绩效管理手册》：它有利于传递压力、聚焦企业目标，强化责任、塑造职业行为，科学决策、提供公正待遇，改进绩效，促进员工发展。通过不断提升组织绩效与员工绩效，使组织与员工高质量持续发展。

从2007年起，万科根据监管部门对上市内部控制越来越明细的要求，对企业内部控制的各个方面进行了全面的评价，在原有管理体系基础上，增加了风险评估制度，并且结合内部控制措施进一步完善了内部控制相关制度。目前万科的风险管理体系与内部控制自我评价报告体现的内部控制体系是一个融合在一起的内部控制与风险管理管理体系。鉴于前文在万科内部控制自我评价报告中对该体系进行了全面、细致介绍，在此不做赘述。

五、风险管理体系的施行、监督和持续改进

内部控制与风险管理管理体系的建立，并非一劳永逸的工作，当组织结构、部门设置、岗位设置和权责设计或业务流程等发生变化时，应及时对体系文件进行修订和完善。

制度的有效施行比建立更重要。内部控制与风险管理管理体系需要各部门在相关工作开展过程中切实执行并留下关于过程、状况、结果和相关资料等的描述，以及拟制、审核、批复的记录。

风险一般可分为结果不确定的风险、可能发生损失的风险和偏离预定目标的风险三大类。财务部门、业务部门、行政人事部门等负责在日常工作中执行外部法律法规和内部规章制度，主动的识别、评估和防范或者利用不确定的结果来为企业创造价值、减少可能发生的损失；目标管理部门通过监管目标和纠正偏差督促公司全体保障目标实现，防范目标偏离的风险；审计部门、品质管理部门、纪律监察部门通过监控员工行为督促公司全体有效执行规章制度，并且防范道德和文化风险；法律部门通过普法宣传、守法监管、依法维权保障公司活动合法高效，防范本企业违法违规的同时维护企业合法权益不受侵犯。

风险管理机构的分散化有利于发挥专业优势，但是会导致风险监管信息零乱、督促工作不系统等弊病。所以在风险管理专业化分工后，企业有必要设立风险管理专职机构，负责全面收集目标管理部门、审计部门、品质管理部门、纪律监察部门、法律部门监管工作形成的本企业风险管理信息。然后，风险管理专职机构应站在公司高度，整体分析问题产生的根源，制定系统、高效的整改方案，组织风险管理综合力量，推动企业管理水平、经济效益、社会效益持续提升。

本章小结

本章介绍了万科在相关部门对内部控制的监管要求提出后，实施的一系列内部控制自我评价和改进工作，详细介绍了万科内部控制自我评价报告。同时，笔者参照万科风险管理体系建立、施行、监督和持续改进实践经验，介绍房地产企业风险管理体系建立的必要性，体系设计思路、原则、方法和步骤，以招标采购为例详细解读了基于业务分析、目标设定、权责划分、风险识别、风险评估、风险应对等专业方法建立融合业务指导和风险控制的流程文件的过程，最后介绍了一套完整的风险管理制度体系，以及对其施行、监督和持续改进的管理。

比较万科的风险管理体系和内部控制自我评价报告可知，万科已经将五部委联合制定并发布的《企业内部控制基本规范》及其配套指引的要求融合到成熟的风险管理体系当中，不仅快速满足了内部控制监管要求，并借此机会进一步提升了本企业的风险管理水平。

比较风险管理体系筹建的过程和万科在内部控制相关规范发布所做的工作可见，风险管理是企业自觉发起的管理优化和风险防范工作，而内部控制是根据监管部门要求而展开的分析比较和管理改进工作。

笔者试图通过实例来证明：内部控制和风险管理是企业管理体系相辅相存的两个方面，其目标和组成要素基本相同。虽然两者虽然提出主体不同、建立体系的方向不同，但是对于像万科这样有远大志向和优秀管理能力的企业，内部控制和风险管理必然从两个方向到达同一个胜利的高地。

第四章 总结

本文通过学习内部控制和风险管理理论的形成和发展，定位于目前国际和国内相对权威的内部控制和风险管理定义。然后从理论角度对两者的联系和区别进行比较和分析，再以万科为例，比较内部控制和风险管理实践的目标、策划、过程和结果等等，用实例证明前面做出的内部控制和风险管理联系和区别是否正确。

本文的研讨结论是，内部控制和风险管理是企业内部管理体系相辅相存的两个方面，只是内部控制侧重于所有者视角和财务视角，风险管理侧重于经营者视角和业务视角。内部控制是因监管要求而提出并逐渐细化，风险管理是根据经营需要而产生并逐步提升。内部控制和风险管理的目标和组成要素基本相同，因此，两者存在走向统一的理论基础。本文通过对万科内部控制和风险管理实践的介绍和总结，证实了内部控制和风险管理可以在企业内部实现制度融合和管理融合。

笔者发现当前很多企业在施行内部控制和风险管理时不自觉进入了一些误区，在此提出，希望能够引起相关人员的重视和警惕：

1、把内部控制与风险管理体系的建设片面理解为建章立制

内部控制和风险管理都是一个“过程”，不能当作某种静态的东西，如规章制度、记录表格等，也不是部门或员工独立、额外的活动，如检查评估，管理体系应当与企业日常管理过程紧密结合，作为一种常规运行的机制来建设。

2、认为内部控制体系和风险管理体系相互独立

内部控制和全面风险管理可以融合为一个整体的内部管理体系，这是一个系统工程，如果把它们分别建立成两套管理体系，不仅会浪费大量资源，而且会降低企业运行效率，与内部控制和风险管理的目标背道而驰。
　　3、夸大内部控制和风险管理的作用

[1] COSO是全国虚假财务报告委员会下属的发起人委员会（The Committee of SponsoringOrganizations of The National Commission of Fraudulent FinancialReporting）的英文缩写。 1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。

[2] SEC是美国证券交易委员会（ Securities and ExchangeCommission）的英文缩写。它是根据《1934年证券交易法》成立的美国联邦政府专门委员会，旨在监督证券法规的实施。委员会由五名委员组成，主席每五年更换一次，由美国总统任命。

爱华网本文地址 » http://www.aihuau.com/a/25101011/43692.html