内控设计就通过这四步，第一步是内控体系的评价，评价的时候就通过这些方法，个别访谈法，调查问卷法，比较分析法，标杆法，抽样法，实地查验法，重新执行法，重新执行就是现场有人走一遍，我就跟着看，这个流程到底有些什么问题，组织专题讨论会，看看我们目前的内控体系，有没有好处。有人说白先生，你不是说我们内控还没有做，那你对内控评价什么，所以这里，我为什么刚才把内控特别定义为第一代、第二代、第三代、第四代，一个企业最起码有第一代内控，就是内部牵制，肯定有，甚至内控制度肯定有，制度化的内控，因为他们公司只要有制度，这个制度在一定层面上还是形成一个内控，只不过没那么全面，有些漏洞而已，甚至他们公司有一个结构性内控，有一个基本环境，文化还是有的，这个控制程序有的，会计控制最起码是有的，不健全而已，多少是有的，所以是可以评价的，目前你的内控现状是怎样的，因为我们不是完全地平地起高楼，企业只要活着，只要经营着就有内控，就好象一个企业只要活着，就有管理一样，有一定的战略一样，并不存在完全真空，全无的这么一个情况，在生活里面是找不着的。
    那么它的内控的有效性，我们如何评价呢？我们针对五方面，首先是否针对风险设置了合理的细化控制目标，不仅要找出风险，而且对这个风险的细化控制目标有没有。比如财务风险，是你的一个风险，你细化控制目标有没有，财务风险到底控制到什么程度，控制到没人做假帐，还是控制到每一分钱的使用我都知道，还是水至清则无鱼，睁一只眼，闭一只眼。任何企业都要设置这么一个细化的目标，而且是一组系列的计划目标，才能使得你的内控有所方向，我们要具体来给你设计内控的话，不能说控制你的财务风险，以及控制你的法务风险，你的法律风险，比如说白先生，你说我要控制法律风险，那你要告诉我，一年从头到尾毫无官司打，还是每打官司必胜，还是认识几个法官，和高位建立很好的关系，无论多大的法律官司我都能压下来，还是什么，你要给我一个目标，我才能帮助你建立内控，内控就是一系列实施措施，是否针对细化控制目标，设置了对应的控制活动，每一个细化控制目标，对应一个乃至于多个控制活动，比如你要控制没人做假帐怎么办。以前我认识一个企业家，他看这个员工出差是否勤勉，他就看他从机场到社区，是不是坐大巴，以及在市内办事的时候，会不会坐公汽，你有出租车票也无所谓，你坐过公汽没有，他这一招很有用，因为他的员工已经大手大脚惯了，到任何地方都是打的，从来没有坐过大巴，那么他这一看，你这很浪费，控制活动。有些企业里面，比如说采购，是抽出30%进行复查，一旦复查出来有问题，就一直彻查到位，就这个人的采购一直彻查到位，几十年前的老案子也能被翻出来，就是某一次失手了，等等。
    所有的控制目标好建立，但是基于控制目标的控制活动，你到底怎么建立。像有些公司里面，为了防止子公司里面的人徇私舞弊，就建立了举报信箱，举报信箱每天有人去查，当然有些公司更厉害，直接董事长的BBS上面，随时可以信息上去，像王石，如果王石的子公司出事，王石首先知道，王石直接打电话给子公司老总，子公司老总才后知道，所以子公司都害怕，都抢在王石知道前把事情先摆平，所以都属于相应的控制活动。控制活动有很多重，除了刚才讲过的七大措施以外，细化的可以说，只要人活着，控制活动就每刻都在繁衍，随时可以产生很多。
    另外相关控制活动是如何进行的，进行得是不是强有力等等，另外相关控制活动是否得到持续一致的支持，是三天打鱼两天晒网，还是一直有人在管理这方面的东西。很早之前，我认识一个财务人员，这个人很傻，每次来一个国外客户，每次来他都要去查这个公司的信誉，大家都以为他是神经病，有一次这个公司又来一个大的订单，他又去按惯例查这个公司的信誉，居然发现这个公司早就破产了，换言之，这次是骗货，他们破产了，已经支付不了了，他把你的货采购出去，肯定是骗你的钱，像这种事情，其实除非有经验的人，不会每次都去查信誉的，他是吃过这个亏，所以他每次差信誉，坚持了好多年，才查出了一次犯罪，但是事实上这个坚持成本早就可以够了，内控就是这样一个活动，坚持五年、十年不出事，只要把一次控制住了，整个为这个系统所花的钱全部赚出来了，你不能指望天天出事，那这个有问题。我听说过一个最愚蠢的人是，他埋怨，他自从参加了保险以来，保险公司没给他赔过一分钱，这个有问题，保险公司赔得越多，证明你可能已经死掉了。
    另外实施相关控制活动的人员是否有相应的权限和能力，我们就从这五方面来查控制活动的有效性。刚才是控制活动有没有，控制系统健不健全，另外这是第二个维度，假使有，你这个控制活动是否有效，最后查完以后，我们得到一个最体报告，像江晓飞他们前不久，在浦发就把这个报告给出去，通过了，你们在这方面设计缺陷是什么，运行缺陷是什么，流程设计过程本身就有缺陷，把这类的风险防不住。还有流程是科学的，执行过程当中，有些人瞎整，出现了运行缺陷，分别又可以用重要缺陷、一般缺陷来表述，当然这是大的分类，如果详细分类，你还要给很多评述，很多详细的标准，一般来讲的话，企业里面，我们大概分成三大类，然后再给他排上一个权重的话，企业自然就知道，要优先改善什么东西，因为具体实施过程当中，这类东西很多。
    这是第一步，现有内控体系的评价，整个内控体系是不是健全，有没有哪方面行，哪方面不行，能不能防住。其次内控的有效性，最后出一个内控评价的标准，设计缺陷是哪些，运行缺陷是哪些，这个是第一步，评价。20万或30万，钱收到手了。
    第二步，对它再造或优化。如何再造或优化呢，我们首先来看看，第一步，内控体系的环境的评价，整个环境，如果环境不足再来设计，所以你们知道，现在很多企业，内控出来了以后，首先要做企业文化，治理一般都做过了，岗位设置、人力资源，基本上这个企业不要不是太痴，太傻基本都有，上市公司起码都有，缺就缺文化，所以王吉朋这些人趁机发了一些小财，但是治理的文化，除了传统上彭建芬，华夏基石他们做的文化以外，特指其中一个文化，风险文化，事实上目前很多公司，文化里面的风险文化，他不做，从风险意识的建设，到风险理念的传播，建立正确的风险责任观，以及传播风险理念和风险意识，以及个人岗位对风险管理的责任，每一个岗位都在进行风险管理，不能说风险管理是风险管理部的事，那么这个环境，这个整个做完，就是内控环境优化。假设他们公司没事的话也罢了，所以做内控过程里面你们看，到第二步，如果找出一个文化来做做的话，起码是80万，这就是110万了，治理再稍微优化一下，收他20万，130万就收到手了。
第三步风险评估，这个风险评估按我们目前普遍的看法的话，收个4、50万是没问题的。风险评估，按照COSO体系，就是几大方面，我们来看看，战略目标方面，你的风险管理，设定一些目标，如何实现战略，如何实现运行目标，如何实现报告目标，如何实现合法性、合规性目标，这属于风险管理的目标，你首先拿出一个目标来，战略上，你的战略要100%地达成，毫不受影响，还是哪些方面可以忍受一些达不到，你的报告上面，哪些报告要完全真实，哪些报告你要容忍一些不真实、滞后，哪些报告要超前上来，必须不折不扣地达到，因为你唯有提出具体要求，我们才能帮你做内控。所以内控是这么来的，首先设定目标，尤其是设定目标的细节。比如说我们要设计财务风险，那么这是随便举例，至少这28方面，都要达成，比如说由管理当局批准订单的价格及销售条款，如果管理当局没审过这个合同的话，这个合同就是无效合同等等。每一个风险管理目标，不仅要设计大的目标，还要细化到这个层面，但是你们要知道，中国做不会这么做的，这么做起码要过百万美金才能做下来，审查个一年，我们现在快的三个月要结案，所以说说，一定要知道，我们讲的理念和实际操作过程当中还是不同的。为什么呢？实际操作过程还是一个商业过程，所以商业过程就是有限的钱，有限的天数，有限的资源，反过来说，它也是有限的要求，不是无限的要求。
首先把目标和细化目标设定了以后，我们再来识别，对应于目标和对应细化目标的风险，世界上有很多风险，不是每一个风险你都去分析，克林顿出事以后怎么办，不关我们的事，我们只考虑我们的资产安全被侵害了，我们子公司的人把资产卖掉了，单子被偷出去了，信息流失了，等等情况下出现什么问题，我们要把这些问题控住。那么针对这些问题的内部风险是哪些，外部风险是哪些，要识别出来，找出来，然后对风险一一加以评价。风险评价简单讲的话，就两个维度，这个风险出现的概率高不高，这个风险一旦出现，影响大不大。疯牛病，中国人得上疯牛病的概率很低，一旦得上疯牛病以后死掉了，所以就不管他，如果为疯牛病去防要花很多钱，防不上，反而有可能打疫苗染上疯牛病，疯牛病就不防，染上就死了算了，也治不好，所以这是赌命，治疗疯牛病也是愚不可及的事情。比如说娶个跨国新娘，最后被诈骗了怎么办，你干脆不娶不就得了，这个风险不去搞了，等等等等，就是这么评价。当然还有一个评价维度，此风险是否可以被管理，有些确切是风险，但管不住。比如说出门遇车祸怎么办，这个就不能管了，否则你就在家里不出去，躲在家里也可能地震被砸死，所以这类的风险管理毫无意义，到这一步，是系统原因了，再去追究已经没有追究的必要了，有些风险可能既是高概率，高风险的，但是你是根本防不住的，也不管它了，差不多是这么几个维度。
然后风险评价过以后，对风险排队，一个企业的风险成千上万个，但是只有少数有重大价值的风险，才值得被我们专门建立一个风险应对计划，去管理，有些风险是发生以后才能管理，只能建立预案，比如说中国要发洪水，发洪水之前，中共中央根本没法管理，只能是黄河决堤了以后，动员我们上去，我们经常在《新闻联播》里说，中共中央迅速启动了预案，就是这个概念，预案管理。有些风险是事前就警告，事中监控，中共中央这次建立一个干部考核制度，必须在第一现场，第一时间把事故给它搞下去，所以以后我们现场工作人员会越来越手段强硬，暴力抗法，什么群众集会，首先盖下去，打死几个人也不惜，这种人可能被奖励，把事故压下去了，凡是事故扩大了，官员要撤职，以后在基层会出现大量的胡锦涛式干部，直接现场去压事故，因为目标建立的本身就非常有意义，引导官员的行为会发生变化，以后事故压下来了，当然还有一个压，就是让记者来不了，不让记者知道，另外现场闹事的人，第一个把他干掉，这样一来，事就没有了，所以风险应对的概念。
采用定性定量结合的办法，按照风险发生的可能性和影响程度，对他进行排序和分析，确定重点和优先控制的风险，其次，企业进行风险分析，应该充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的正确性。企业应该根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对的策略，就是这个风险到底该怎么办。有些时候，有些风险根本不能碰，有些风险可以碰一碰，有些风险管它呢，发生了再说，有不同的风险策略。