基于风险管理的内控系统在上海世博项目的运用

【摘要】上海世博会项目参考国家相关法律法规和其他大型项目如伦敦奥运会的风险管理经验，运用风险管理原理，建立和完善财务内部控制系统，评估可能存在的风险点，根据实际情况和评估结果，采取了规避风险的内部控制措施。文章对大型项目的财务内部控制提供了一定的参考价值，同时也为国有企业实施全面风险管理提供一个基于风险管理的财务内部控制系统的项目运用案例。

【关键词】项目 风险管理 内部控制系统

2010年上海世界博览会（以下简称“上海世博会”）于2010年5月1日至10月31日在上海成功举办，190个国家、56个国际组织以及众多中外企业踊跃参展，200多万名志愿者的无私奉献，使7 308万人次的参观者流连忘返。上海世博会运营收入累计130.14亿元，运营支出累计119.64亿元，收支结余10.50亿元，世博园区内商业累计实现销售收入45亿元。

本文拟就上海世博局在建立基于风险管理的上海世博会项目财务内部控制系统的实践作一总结，为今后其他大型项目的财务内部控制提供有益的借鉴。

一、财务风险管理概述

1.政策指引。犹如2000年悉尼奥运会全面风险管理的政策与澳大利亚和新西兰的国家标准4360号文《风险管理》中的基本原则相一致，上海世博会将国资委颁布的《中央企业全面风险管理指引》（以下简称《风险管理指引》）和财政部颁布《企业内部控制规范――基本规范》作为财务风险管理工作的政策指引。

2.财务风险管理目标。（1）将财务风险控制在与总体目标收支基本平衡相适应并可承受的范围内；（2）内外部（尤其是与利益相关者）之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；（3）贯彻执行有关法律法规、规章制度，保障财务管理的有效性，提高其效率和效果，降低实现财务目标的不确定性；（4）针对各项重大财务风险发生后的危机处理计划，尽量缓解因灾害性风险或人为失误而遭受重大损失的风险。

二、财务风险管理运用的步骤

（一）收集财务风险管理初始信息

1.基本信息。收入的来源主要包括门票收入、赞助收入和捐赠收入等；支出共分为10大类，主要包括场馆和设施维护费用，信息、安保费用，活动费用，沟通、推介、营销费用，行政管理费用，礼宾费用，保险费用，BIE门票提成，布展费用和预备费用。在各大类费用支出控制在预算目标的过程中也会受到部分不可控因素的影响，如安全形势造成的安保费用大幅增加。对于援助资金部分，其收入来源于政府拨款以及增值利息收入，在支出方面，主要为参展援助国的各种参展费用支出。

对于财务信息系统方面，上海世博局使用立成财务软件与金蝶K3软件分别作为运营资金和援助资金的会计核算软件，并且使用财务管理决策支持系统、赞助管理系统、捐赠管理系统、税收政策实施管理系统以及援助资金支付系统作为财务支持软件。

2.类似大型活动项目的财务风险。

2000年悉尼奥运会，在悉尼奥运会组织委员会1999年的年报中指出其主要风险为“千年虫”的信息系统风险，并详细阐述了应对措施。

2000年汉诺威世博会，汉诺威世博会发生亏损的一个重要原因是门票收入不足，即实际的参观人数远小于预计数。原因包括门票定价较高，参观的食宿、交通等成本太高以及布展内容的吸引程度不高等。

2005年爱知世博会，其关注的主要风险领域是确保采购价格为公允的市场价格。

2012年伦敦奥运会，2007年6月伦敦奥运会主管部门出具的2006―2007风险评估报告中列示了7项主要的风险，其中与财务相关的风险有：（1）关键岗位人员的离职将对项目的影响较大；（2）在申办时制订的预算大大低估了整个项目的成本，而另一方面则又大大高估了可从私有渠道获得的融资额；（3）需要有完善的采购制度和流程以降低采购风险，确保采购的产品物有所值以及确保供应商的选取遵循公开、公平的原则。

（二）财务风险评估

上海世博会项目财务风险评估工作包括：（1）风险辨识，查找世博会项目中各财务职能模块及重要业务流程的财务风险；（2）风险分析与评价，是对辨识出的财务风险及其特征进行明确的定义描述，分析和描述风险发生可能性的高低、风险发生的条件，以及评估风险对项目实现目标的影响程度、风险的价值等。根据风险管理初始信息的收集结果，采用专家咨询和调查研究等工作方法，对世博会项目的财务风险进行了初步评估，依据识别的主要风险制订了财务风险清单。该清单将各种风险进行了系统的分类以协助风险的认定，并且还为世博会持续开展和不断改进风险评估工作提供充分、有效的数据支持。

在上述基础上，制订财务风险管理策略及解决方案。

（三）监督与改进

监督主要风险解决方案的实施并建立持续的财务风险评估机制，及时地收集财务风险及与风险变化相关的各种信息，定期及不定期地开展财务风险评估，适时更新、维护风险数据库，形成适当的汇报体系。

（四）财务风险管理的其他内容

1.财务风险管理组织体系。按照《风险管理指引》就财务风险管理形成三道防线：（1）财务部各职能模块负责风险管理基本流程的执行；（2）财务风险管理岗位负责重大风险、流程与事件的判断，进行财务风险评估，建立风险清单及维护风险数据库，建立健全财务风险管理内部控制系统，并确保职责分工落实到各有关职能岗位等；（3）内外部审计（上海市审计局、上海世博局审计监察部门）将负责对控制财务风险的内部控制的设计及执行情况进行定期或专项检查，发现控制缺陷可能对防范风险带来的影响，确保相关的内部控制能有效覆盖所有的重大财务风险。

2.财务风险管理信息系统。财务信息系统涵盖了财务内部控制系统的各个环节，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。因此，上海世博局财务部门特别关注相关信息系统的风险监督、识别及控制功能。

3.风险管理文化。世博局财务部门通过对员工进行财务风险管理的培训，以加强员工对财务风险的类型及防范方法的了解，形成符合世博特点的财务风险管理文化。

三、财务内部控制系统

在政策指引方面，世博会将财政部颁布的《企业内部控制规范》以及国资委颁布的《中央企业财务内部控制评价工作指引》（以下分别简称为《内控规范》及《内控评价指引》）作为财务内部控制系统工作的主要政策指引。同时，针对财务信息系统，还参考了美国信息系统审计与控制协会颁布的《信息及相关技术的控制目标》（以下简称“COBIT”）和英国政府商务办公室颁布的《信息技术基础设施最佳实践库》（以下简称“ITIL”）。

财务内控目标主要包括合理实现：（1）财务管理的总体战略目标；（2）财务报告及管理信息的真实、可靠和完整，资产的安全完整；（3）遵循国家与财务相关的法律法规和有关的监管要求。

财务内控的评估步骤：（1）了解内控现状，分析世博会项目的特点，建立初步的财务内部控制系统；（2）进行相关文档的审阅，完成流程图、流程描述文档以及风险控制矩阵的记录与匹配；（3）结合对未来可预测的情况以及现有控制作进一步分析，有针对性地选择较高风险领域梳理确定风险点，并完善或建立相应的内部控制措施。

上海世博局财务部门包含以下主要的职能模块：会计核算、预算与合同管理、现金赞助与VIK管理、捐赠管理、援助资金管理以及税务管理等。制定的财务会计制度主要包括：《预算管理办法》、《费用管理办法》、《财务审批权限管理办法》、《服务采购比选管理办法》、《中国2010年上海世博会捐赠办法》、《经济合同管理》、《非现金赞助收入使用管理办法》、《非现金赞助收入处置管理若干规定》、《上海世博会参展援助资金使用和管理办法》、《上海世博会赞助收入财务管理办法》、《财务会计内部控制管理办法》、《公务卡管理暂行办法》、《业务用汇管理暂行办法》、《财产采购、更新、核销、清查财务管理暂行办法》和《上海世博局会计核算办法》。

财务内部控制系统框架以流程分类为基础，分为四大类九个环节，四大类主要包括：整体财务工作内部控制、财务报表项目内部控制、财务报表编报内部控制及制度支持内部控制。

四、财务内控风险点与内控措施

（一）整体财务工作内部控制

1.风险点之一：人员和岗位的变化、业务流程的变化、信息系统的更新等情况可能会造成不适当的职责分工，即内部控制不相容岗位的产生。采取的内控措施：梳理各项业务流程中涉及的不相容岗位与信息系统权限，建立完整的职责与权限分配表。比如针对销售与收款流程，不相容岗位包括：前台的门票销售与中后台的审核，票务的信用调查评估与票务销售合同的审批签订，票务销售合同的审批、签订与门票发货，票务销售款的确认回收与相关会计记录，退票的处置与相关会计记录等。

2.风险点之二：缺少对内部控制流程的书面记录可能导致相关控制的执行无据可依，或者在人员进行调整时导致控制的执行缺乏一致性及连续性。采取的内控措施：通过内控文档的建立，规范各流程的操作，在完善内部控制书面记录工作的同时有效地对现有的控制进行持续的监控以及定期的评估，并且为相关制度的有效执行提供合理保证。针对各流程制订标准工作手册以规范具体的流程控制措施的执行，标准工作手册包含流程图、相关表格模板、相关报告模板以及其他支持性文档。

3.风险点之三：由于审批权限的不明确、内控执行人员对审批权限不了解或未及时获知审批权限的变化，可能导致相关经济业务无法执行或者其执行未经过适当的审批。采取的内控措施：制订有一套系统的权限指引来加强内部审批权限的管理与控制。除常规性的审批权限外，还加强对临时性授权制度的管理，包括规范临时性授权的范围、权限、程序、责任和相关的记录措施。

（二）财务报表项目内部控制

1.销售与收款。包括门票收入、赞助收入和捐赠收入。主要风险点及内控措施包括，（1）风险点之一为针对网络销售模式，收款管理不善可能导致损失的产生。采取的内控措施：网络销售根据其销售模式可分为票到收款、网络支付或银行汇款等，无论何种方式，都涉及到与商的核算，包括门票配送、网络支付以及汇款账户的银行，尽可能地减少的数量，以增加财务结算管理的可控性与统一性。（2）风险点之二为针对现场销售模式，自有销售点现金与门票的管理不善可能导致损失的产生。采取的内控措施：财务部门设立营收核算中心，设置相应的核算与稽查岗位，督促各自有销售网点的资金管理工作；制定统一的门票销售的资金管理制度与会计核算流程；进行现场检查，对现场销售门票的人员进行充分的培训等。（3）风险点之三为未能建立退票管理流程，并进行适当的会计处理，可能导致预收账款或收入的错报或漏报。采取的内控措施：针对网络销售、销售以及现场销售分别制定相应的退票管理措施。

2.费用与付款。（1）风险点之一：由于实际提出采购需求的部门和接受实物或服务的部门是同一部门，可能会造成实际收到的实物或服务与要求付款的条件、数量和金额不相符，导致付款的错误或舞弊情况的发生。内控措施：在供应商选择与合同签订过程中，要求有多个部门参与及监督，这样能够适当地控制其风险。同时采取以下措施尽可能地降低订单、收发货环节的风险，如对于付款的申请，除了实物资产的采购要求有相应的验收单据外，对于服务类费用也尽可能提供服务内容的明细清单或付款金额的计算依据，对于特定性质的付款还需出具第三方的相关证明（如广告费用中的第三方监播报告），以此合理地防范对于不真实的服务或收货进行付款。对于实物的领用发货环节，加强对实物领用发货记录的抽查，及时发现未按规定进行审批或虚假的领用发货。此外，还加强了实物的抽盘，在原有年度定期盘点的基础上，对重要的实物资产进行不定期的抽盘以及收发存记录的检查。（2）风险点之二：随着世博会筹办推进，费用支出大幅度增加，审核付款申请、核对原始凭证和录入项目代码等的工作量剧增，可能导致差错发生。内控措施：进行各费用类别的分析、制定规范的审核程序；合理进行审核人员的配置与培训；安排专人负责专项费用的报销审核等。同时增加财务人员数量以应付工作量的增加。（3）风险点之三：由于与供应商之间交易量的增加，可能会导致双方应收应付余额的不一致，重复付款或错误付款未被及时地发现。内控措施：与主要供应商或合作伙伴建立定期核对往来账机制；设专职人员与供应商对账，及时查清差异原因、编制调节表并交财务主管审核；对预付款建立定期审核制度，对于账龄较长的交易需及时了解原因等。

3.捐赠管理。针对捐赠管理，世博局制定了《中国2010年上海世博会捐赠办法》。主要风险点为：对捐赠资产以及会计核算的管理不善，可能导致捐赠资产的损失、信息披露的错误或者世博声誉受损。内控措施：（1）加强对获赠实物资产的监督管理，建立每季度定期盘点制度，确保受赠资产账实相符。（2）在财务系统的捐赠相关科目下设立二级或三级明细，对捐赠相关交易进行单独的核算，如捐赠利息收入、捐赠的存货、捐赠的固定资产等，并与捐赠管理系统进行定期的核对。（3）为了保证捐赠资金和实物资产使用和管理的信息公开、透明，制定了详细的捐赠信息披露流程，定期对外公布从各个渠道获取的捐赠收入情况、捐赠资金的使用等情况。

4.现金赞助与VIK管理。上海世博会赞助的特点主要包括：（1）金额大――审计公告的赞助收入总金额达到39.73亿元；（2）内容和形式多样――除现金赞助外，赞助企业还提供内容和形式多样的非现金赞助（简称“VIK”），包括实物产品、服务、包装、活动组织等；（3）涉及的部门广――现金赞助的接收由财务部门负责，VIK的接收和管理由归口管理部门（包括行政、信息化、工程、活动等多个部门）负责。针对现金赞助与VIK管理，世博局制定了《上海世博会赞助收入财务管理办法》、《上海世博会事务协调局非现金赞助收入使用管理办法》和《上海世博会事务协调局非现金赞助收入处置管理若干规定》。

主要风险点及内控措施包括：（1）风险点之一为未能与赞助商进行定期的沟通，造成赞助收入与费用未被及时确认，赞助商权力与义务的履行与合同的要求不符。内控措施：①完善定期与赞助方进行对账的机制；②通过赞助收入管理信息系统，实现对赞助商其他相关权力与义务的监督。（2）风险点之二为由于缺少充分以及完整的支持文件，未能正确地确认赞助收入与支出的金额，从而造成财务报表数据不准确。内控措施：对于实物VIK和服务VIK，建立规范的操作流程――各归口管理部门根据世博局的需求向赞助商下达产品或服务订单，赞助商根据接收的订单在规定时间内将货物送达制定地点或完成相应的服务，归口管理部门对其进行验收确认，并获得相应的供货发票，提供给财务部门进行账务处理。

5.援助资金管理。控制目标为：（1）将各受援国和受援国际组织的援助金额控制在相应《援助合同》所规定的范围之内；（2）援助资金总额控制在一亿美元之内。针对援助资金管理，世博局制定了《援助资金使用整体方案》、《援助资金支付程序》和《上海世博会参展援助资金使用和管理办法》。主要风险点及内控措施包括：（1）风险点之一为未能对受援国或受援国际组织的援助资金支付申请进行适当审核，可能导致付款错误的发生。内控措施：制定审批操作规范，设置完善的控制流程，对外币的费用报销，通过定期（每月1日、15日、30日）获取主要外币币种的汇率进行核实，若其差异在可接受的波动范围内则予以支付。（2）风险点之二为对账机制不完善可能造成系统支付金额的差错未被及时地发现。内控措施：完善与受援国或受援国际组织进行援助资金对账的流程；建立援助资金支付系统与财务核算系统的每月定期核对机制以及差异分析和审阅的制度。

（三）财务报表编报内部控制

2009年根据需要制定了《上海世博会计核算办法》并报财政部批准实施。主要风险点及内控措施包括：（1）风险点之一是随着世博局业务量的增加，会计信息的收集与处理也将日趋复杂，若未制定细化的财务报告流程，可能将影响最后阶段的财务报告编制。内控措施：制定了一套标准的财务报表关账流程，明确各个环节关账的先后顺序、具体开始与完成时间以及负责内容与责任人，涉及其他部门配合提供相关信息的也具体明确其截止时间，通过以上措施合理保证财务报表编制的及时、完整、正确。（2）风险点之二是因财务信息披露不及时或误导性陈述，造成不能正确反映出世博局经营状况和收支情况。内控措施：以《上海世博局会计核算办法》为依据，制定了完善的信息披露流程，明确了规定信息披露的范围和内容，建立信息披露岗位责任制和相关授权审批制度，明确负有披露义务的有关部门和人员的职责和权限，未经过管理层授权和批准，任何部门及个人不得擅自对外披露信息。

（四）财务信息系统的支撑

上海世博会财务信息系统，以财务系统及相关业务支持系统为组成部分，建立在独立网段内并与世博内部网络及互联网逻辑分离的独立架构。主要包括：立成财务系统（用于运营资金的会计核算），财务管理决策支持系统（主要用于预算与合同管理，通过手工方式接收来自立成系统的凭证，进行预算与合同信息的汇总，并提供分析数据），援助资金支付系统、金蝶财务系统（用于援助资金支付的会计核算），捐赠管理信息系统，赞助收入管理信息系统和免税、保税、退税税收政策实施管理信息系统。

以《企业内部控制具体规范――计算机信息系统（征求意见稿）》、COBIT和ITIL作为依据，对上海世博会财务信息系统相关风险进行了识别、归类与评估，主要风险包括：

1.整体构架风险。主要包括：（1）由于世博会项目的特殊要求，系统变更的风险很大；（2）财务信息系统数量多、相关业务流程多，可能产生流程周转时间长、问题处理效率低等风险，以及存在非授权人员访问信息资源的风险。内控措施包括：（1）专门制定了《财务信息系统管理制度》，主要规范变更管理、逻辑访问管理和运行管理流程。（2）专门设立信息服务岗位，其主要职责包括：①归集及整理用户的问题与需求，确保需求经过变更管理流程的适当授权，并协调需求的后续处理。②协调系统开发商进行问题处理或程序开发，协调并监督用户与开发商完成必需的授权、测试、审批等。③担任系统管理员，负责系统用户的创建、权限修改、及禁用，保证用户权限的合理性，实现系统管理与业务操作的职责分离。④负责或监督各系统数据的备份相关工作。

2.系统特定风险。包括：系统接口；主数据；功能有效性；系统权限。内部控制措施：（1）系统接口。对系统间的接口建立管理与控制规范，要求以系统方式或相关用户验证输入数据、输出数据的完整性与准确性；保证经过适当授权的人员才可访问、修改数据或执行相关操作；保证针对接口程序的修改经过适当的变更管理流程。（2）主数据。主数据的创建、修改、删除需要经过归口部门领导的书面审批，并进行归档备案；对主数据的维护权限仅赋予具有相应业务责任的人员。（3）功能有效性。进一步提高对系统及其变更的功能性测试要求，将可能的业务流程纳入测试方案，并结合变更管理流程的要求，记录相关控制文档，保证系统功能满足需求。（4）系统权限。系统权限的设置与实际工作职责保持一致，结合业务流程的需要，保证不相容权责的充分分离，同时由专门信息岗位人员担当系统管理员角色。

3.IT一般控制流程风险。（1）变更管理风险：缺少变更管理制度的指引，系统开发及程序变更将可能无法得到规范，可能导致未经授权、或未到达用户要求的变更进入系统，降低系统的可靠性，也不利于资源的有效分配与使用。内控措施主要包括：制定变更管理制度，用于规范变更需求的提出、变更授权、变更测试、上线审批等主要控制流程。（2）逻辑访问风险：缺乏用户账号管理制度的指引与规范，将可能产生未经授权建立、删除或修改用户权限的可能，带来未授权用户访问系统信息的风险，也对数据的准确性和保密性带来威胁。同时，缺少制度的指引，也可能使管理层无法有效地评估内部控制的有效性，无法明确流程中的职责关系。内控措施包括：制定用户管理制度，系统用户或权限的创建、修改由用户提出申请，填写《用户账号申请表》，经归口部门领导书面批准后，由系统管理员在系统中进行操作维护。用户禁用也由离职或转岗用户的归口部门领导及时提出申请，由系统管理员在系统中进行操作。（3）IT运行风险：缺少备份的定期恢复性测试和灾难恢复计划，在出现事故的情况下，将有可能无法保证备份数据的可用性，以及系统的可恢复性，从而可能影响财务世博运营工作的持续性。内控措施主要包括：制定备份管理制度，明确规范备份的操作、周期、类型、介质、恢复性测试、灾难恢复等内容；编制灾难恢复计划，用于安排在灾难或事故发生后恢复系统、数据的计划，以保证业务的连续性。

（作者为资产管理部助理总经理、高级会计师、硕士）

参考文献

[1] House of Commons Committee of Public Accounts， Preparations for the London 2012 Olympic and Paralympic Games――Risk assessment and management[R].Thirty-ninth Report of Session 2006-07.

[2] 朱荣恩，应唯，袁敏.企业内部控制制度设计――理论与实践[M].上海财经大学出版社，2005.

[3] 李连华，张雷，等.中国内部会计控制规范――阐释与应用[M].上海：立信会计出版社，2007.

[4] 孙铮，王少飞，徐瑾，等.中国2010年上海世博会项目财务管理研究[EB/OL].[2011-12-07]. .

[5] 邱一川.世界博览会主办国的法制创造[M].上海人民出版社，2012.

[6] 吴云飞.上海世博会财经纪事[J].上海财经大学出版社，2012.