企業(yè)內(nèi)控風(fēng)險管理的構(gòu)建與實踐

王琰

（長春圣金諾生物制藥有限公司，吉林 長春 130000）

企業(yè)往往疏忽了內(nèi)部控制在企業(yè)體系中的重要作用，民營企業(yè)只有根據(jù)自身的實際情況來制定一條具有自身特色的內(nèi)控體系，并且在企業(yè)不斷發(fā)展的過程中，根據(jù)具體情況來對內(nèi)控體系做適當(dāng)?shù)恼{(diào)整，主要都為了確保企業(yè)能夠長期穩(wěn)定的發(fā)展，能夠使企業(yè)達到經(jīng)濟利益最大化。不過民營企業(yè)在實際操作中，往往會在企業(yè)管理結(jié)構(gòu)上出現(xiàn)漏洞，有領(lǐng)導(dǎo)獨權(quán)的現(xiàn)象，使企業(yè)處于失控狀態(tài)，處于風(fēng)險的邊緣。如果通過嚴密的內(nèi)控體系來提高數(shù)據(jù)的準確科學(xué)地分析，利用財務(wù)分析更好地服務(wù)于經(jīng)營分析，為經(jīng)營者做決策時提供更好的依據(jù)。

一、企業(yè)內(nèi)控風(fēng)險管理的重要性

（一）增加了企業(yè)競爭性

企業(yè)在日常經(jīng)營活動中，會遇到很多問題。比如，經(jīng)營發(fā)展資金不足，領(lǐng)導(dǎo)者的管理能力弱，員工工作熱情和凝聚力不強等。這些因素可能都會對企業(yè)的發(fā)票經(jīng)營造成直接或間接的影響，同時也會是企業(yè)無法維持住在同行業(yè)中的競爭地位，使企業(yè)的競爭力下降，容易被其他競爭者所替代。企業(yè)的內(nèi)部控制制度，可以做好企業(yè)的風(fēng)險評估和風(fēng)險管理，提高企業(yè)預(yù)防風(fēng)險的能力。因此，在日益競爭激烈的市場經(jīng)濟環(huán)境下，企業(yè)在經(jīng)營發(fā)展的過程中，加強內(nèi)控風(fēng)險管理工作，有利于增強企業(yè)的競爭力。

（二）完善了企業(yè)發(fā)展機制

企業(yè)發(fā)展機制一般包括以下幾個方面：發(fā)展動力、發(fā)展目標、發(fā)展方式和發(fā)展手段。企業(yè)的發(fā)展機制有利于推動企業(yè)自身不斷創(chuàng)新發(fā)展，提高企業(yè)內(nèi)控風(fēng)險管理能力，是企業(yè)持續(xù)經(jīng)營發(fā)展的重要因素。企業(yè)的內(nèi)控管理風(fēng)險體系是企業(yè)發(fā)展機制的組成部分，能夠加強企業(yè)內(nèi)部結(jié)構(gòu)和風(fēng)險機構(gòu)的建設(shè)，提高企業(yè)內(nèi)部環(huán)境機制，使企業(yè)可以在一個健康有序的環(huán)境下持續(xù)地發(fā)展和壯大。

（三）推動了企業(yè)發(fā)展

有效的內(nèi)控風(fēng)險管理工作，可以使內(nèi)部規(guī)范不斷地優(yōu)化?？梢酝ㄟ^規(guī)范的管理制度和優(yōu)化的操作流程，使企業(yè)各個管理部門的工作統(tǒng)籌起來，且可以確保各個部門信息的真實性、可靠性，實現(xiàn)企業(yè)各部門間的分工與合作，嚴格執(zhí)行內(nèi)控風(fēng)險管理工作，使各個部門責(zé)任崗位執(zhí)行人的本分，這樣可以使每個業(yè)務(wù)得到恰達的處理，充分發(fā)揮了企業(yè)的整體協(xié)調(diào)作用，既提高了工作效率，又合理保障了企業(yè)的經(jīng)營發(fā)展目標的實現(xiàn)。此外，嚴格的監(jiān)督和考核機制，能夠保證企業(yè)較真實的工作業(yè)績。企業(yè)領(lǐng)導(dǎo)可以根據(jù)員工實際的工作業(yè)績，采取相應(yīng)的獎懲制度，這樣有利于激發(fā)員工的工作態(tài)度，能夠讓員工更努力地投入到工作中，從而提高企業(yè)的生產(chǎn)經(jīng)營效果，推動企業(yè)的可持續(xù)發(fā)展。

二、企業(yè)內(nèi)控風(fēng)險管理現(xiàn)狀

（一）缺乏系統(tǒng)的風(fēng)險評估

有些企業(yè)雖然有一套相對全面的內(nèi)部控制制度，但是執(zhí)行力度不夠，且缺少監(jiān)督的環(huán)節(jié)。不相容職責(zé)未能分離，這是企業(yè)往往忽略的細節(jié)，有時候企業(yè)為了節(jié)約人員成本，執(zhí)行一人多崗制，且這些崗位還有不相容職責(zé)。對組織架構(gòu)和崗位職責(zé)不明確，缺少對組織架構(gòu)和崗位設(shè)置的進行系統(tǒng)性的分析。有些企業(yè)的行政人力沒有明確的崗位說明書，對崗位職責(zé)沒有明確的考核指標，容易引起勞動糾紛。

（二）缺乏內(nèi)部控制的制度化管理

在企業(yè)遭遇到過高管集體跳槽，但在經(jīng)歷短暫的人事震動后，有些企業(yè)就能在短短的幾個月內(nèi)就基本恢復(fù)了業(yè)務(wù)正常開展，當(dāng)年業(yè)績并未受到大的影響，盈利反而創(chuàng)下歷史新高，靠的就是企業(yè)內(nèi)部一套完整的制度和流程，用制度來確保業(yè)務(wù)順利地進行，而不是依賴于某個業(yè)務(wù)人員或主管。這是內(nèi)控體質(zhì)執(zhí)行得比較好的成功案例。但是有些企業(yè)卻經(jīng)歷過人事震動后，就不能恢復(fù)正常業(yè)務(wù)的開展，慢慢走向了下坡路，主要原因就是缺乏系統(tǒng)的，合理的授權(quán)審批體系，沒有明確的授權(quán)審批權(quán)限流程，授權(quán)審批缺乏統(tǒng)一梳理，政出多門互相沖突，設(shè)置不合理的權(quán)限，過于集權(quán)或放權(quán)，典型表現(xiàn)就是一人審批，缺少緊急授權(quán)或臨時授權(quán)，而且授權(quán)審批流程設(shè)置不合理等。實際工作中內(nèi)部“救火式”的控制制度較多，沒有建立系統(tǒng)的和完整的體系機制，甚至政出多門，互相打架，例如，針對存貨管理，倉儲部門出臺了存貨管理制度，其中對存貨盤點程序進行了規(guī)定；與此同時，財務(wù)部門也針對資產(chǎn)管理出臺了相關(guān)管理制度，其中也包括了存貨盤點方面規(guī)定，但是兩個制度在存貨盤點的頻率、盤點責(zé)任主體、盤點具體程序方面都存在差異，導(dǎo)致無法對控制活動執(zhí)行啟動有效的指導(dǎo)和規(guī)范。而且內(nèi)部控制最嚴重的一點就是內(nèi)部控制執(zhí)行不力，說一套做一套，制度如同放空炮。

（三）缺乏體系化的信息化管理

企業(yè)沒有體系的信息管理部門，企業(yè)上下運用的各類系統(tǒng)沒有防火墻的監(jiān)控，容易遭到黑客的攻擊。企業(yè)的員工對企業(yè)的信息保密意識也不強，對企業(yè)的用戶名的密碼也都設(shè)立得很簡單，有的甚至還連密碼都總忘記。企業(yè)的內(nèi)部控制不注重書面證據(jù)，執(zhí)行過程欠缺材料留痕，且企業(yè)沒有對數(shù)據(jù)有備份的習(xí)慣，一旦企業(yè)的網(wǎng)絡(luò)系統(tǒng)坍塌，沒有后備的設(shè)備和數(shù)據(jù)來應(yīng)急，會使企業(yè)處于被動的劣勢環(huán)境中。

（四）缺乏系統(tǒng)的預(yù)決算的規(guī)劃體系

企業(yè)沒有整體的年度預(yù)算，沒有對企業(yè)整體全方位、全過程、全員的預(yù)算管理，導(dǎo)致企業(yè)沒有將資金運用到最緊急的事項中，無法實現(xiàn)企業(yè)利益最大化。而且在企業(yè)預(yù)算管理和資金支付管理中，沒有將企業(yè)的戰(zhàn)略規(guī)劃考慮在內(nèi)，同時在執(zhí)行非經(jīng)營性生活支出的費控中，過分強調(diào)成本控制，經(jīng)常將費控的執(zhí)行率作為弱化或逾越內(nèi)部控制的理由，從而間接影響了戰(zhàn)略規(guī)劃中重要業(yè)務(wù)的執(zhí)行進度。

三、完善企業(yè)內(nèi)部控制風(fēng)險管理的措施

企業(yè)內(nèi)部控制體系要從四個方面搭建：企業(yè)層面控制、流程層面控制、IT信息系統(tǒng)控制、資金系統(tǒng)控制。

（一）企業(yè)層面控制

對于構(gòu)建國內(nèi)企業(yè)的內(nèi)部控制體系的前提是：需要有良好的總體控制環(huán)境，自上而下的強化內(nèi)部控制意識，并注意各個部門間有限的信息溝通與傳遞，部門間注意職責(zé)的劃分，避免不相容的內(nèi)部控制崗位擔(dān)任。各部門間應(yīng)該定期對自己工作上的風(fēng)險問題進行評估和分析，并提出有效的合理控制措施。業(yè)務(wù)部門需按照風(fēng)險管理基本流程去執(zhí)行，研究提出本部門對重大業(yè)務(wù)事件流程、重大風(fēng)險、重大決策的判斷標準，同時研究提出本部門對重大決策風(fēng)險做出的評估報告，將本部門的風(fēng)險管理信息系統(tǒng)的建議工作做好，將風(fēng)險管理文化的有關(guān)工作做好，在不違背企業(yè)大環(huán)境下的內(nèi)控情況下建立健全本部門的風(fēng)險管理內(nèi)控子系統(tǒng)工作。企業(yè)應(yīng)建立自己的內(nèi)部審計部門，該部門相當(dāng)于風(fēng)險管理職能部門，定期對各部門進行常規(guī)的經(jīng)濟責(zé)任、業(yè)務(wù)責(zé)任審計，通過對業(yè)務(wù)方面的深入了解與監(jiān)測，對業(yè)務(wù)人員的訪問與溝通，來分析評審是否對企業(yè)存在風(fēng)險，且該風(fēng)險如何有效地規(guī)避或者如何可以將企業(yè)的損失降到最低；企業(yè)高層需研究出風(fēng)險管控策略和解決跨部門間的風(fēng)險管理的方案，同時負責(zé)該方案的組織實施執(zhí)行和日常監(jiān)控，負責(zé)有效地評估全面風(fēng)險管理，研究修改方案，負責(zé)組織風(fēng)險管理信息系統(tǒng)的建立。

（二）流程層面控制

一個企業(yè)的內(nèi)部控制的風(fēng)險，最容易出現(xiàn)在流程層面中，企業(yè)的流程越多，可控范圍就越大，但也并非流程越多就風(fēng)險越小，企業(yè)可根據(jù)自己的企業(yè)規(guī)模大小，來制定符合自身條件的內(nèi)控流程控制：銷售與收款流程控制、采購與支出流程控制、存貨與成本管理流程控制、資金管理流程控制、固定資產(chǎn)管理流程控制、工程項目管理流程控制、稅務(wù)管理流程控制、人力資源管理流程控制、財務(wù)管理流程控制、報告流程控制，印章流程控制，這些看似簡單的流程，但是中間的風(fēng)險控制缺一不可，但凡一個環(huán)節(jié)出現(xiàn)疏漏，都會造成不可量的企業(yè)風(fēng)險。

各個流程控制中需要設(shè)專人專崗，針對小企業(yè)而言，可以一人擔(dān)任多個可相容崗位，只要不與內(nèi)部控制不相容崗位的原則沖突即可。例如對資產(chǎn)的內(nèi)部控制管理中，可以盡量對每個設(shè)備資產(chǎn)進行個體負責(zé)人制，進行簽字管理，每個企業(yè)只需有一個總資產(chǎn)管理即可，該管理員只負責(zé)公共設(shè)備的管理，對專門的設(shè)備進行各個設(shè)備使用人來管理，包括這些設(shè)備的日常維修保養(yǎng)等，都由該使用人來負責(zé)，這樣就可以防止設(shè)備被隨意搬來搬去而找不到的情況發(fā)生，充分體現(xiàn)了內(nèi)部控制的有效性。

（三）IT信息系統(tǒng)控制

信息是任何企業(yè)的關(guān)鍵資產(chǎn)，內(nèi)部控制必須保護這項資產(chǎn)。企業(yè)在建立內(nèi)部控制以防止或最小化敏感信息資產(chǎn)損失時必須考慮這些風(fēng)險。系統(tǒng)控制增強了系統(tǒng)輸入、處理、輸出和存儲功能的準確性、有效性、安全性、保密性和適合性。

信息系統(tǒng)控制措施由通用控制和應(yīng)用控制組成。通用控制是計算機、技術(shù)或信息技術(shù)功能相關(guān)的控制，他們包括：組織、人員和運營控制、系統(tǒng)開發(fā)控制、網(wǎng)絡(luò)、硬件和設(shè)備控制、備份和災(zāi)難恢復(fù)控制、會計控制。應(yīng)用控制有輸入控制、流程控制和輸出控制組成。

信息系統(tǒng)控制中應(yīng)注意信息技術(shù)職責(zé)和職能的分離，即IT部門和企業(yè)其他部門的分離。IT部門的系統(tǒng)開發(fā)、運營和技術(shù)支持也應(yīng)該分開。例如，參與到信息系統(tǒng)設(shè)計、開發(fā)和維護的員工不應(yīng)該參與到日常事務(wù)的處理當(dāng)中。相反，進行數(shù)據(jù)輸入的員工不應(yīng)該訪問程序文檔或源代碼。信息系統(tǒng)的控制應(yīng)該明確界定與會計和運營子系統(tǒng)相關(guān)的責(zé)任，并確保這些責(zé)任適當(dāng)分離。對主要文件或者交易文件進行的任何更改，在實施更改之前，應(yīng)該得到適合的會計人員授權(quán)。有些黑客的欺詐方案需要罪犯持續(xù)采取行動，而且這些黑客罪犯需要操作和篡改賬戶以防止欺詐行為被發(fā)現(xiàn)。所以需要企業(yè)制定休假規(guī)則——要求某些職位的人員休假以幫助企業(yè)監(jiān)測這樣的或者相似類型的欺詐活動。同時，企業(yè)需要指定計算機訪問控制：管理員可以控制個人用戶的權(quán)力以及他們對系統(tǒng)內(nèi)信息的訪問權(quán)限以跟蹤系統(tǒng)異常訪問或異常使用情況的信息。

其實內(nèi)部控制最注重的就是實施與落地，不能光有完善的一套內(nèi)部控制體系，而沒有執(zhí)行力，那也是一套空的內(nèi)部控制制度，需要做到企業(yè)管理應(yīng)該制度化、規(guī)范化，制度本身必須合理，關(guān)注兩個層面：操作+機制。制度過程中，以業(yè)務(wù)為對象，以流程為手段，流程要細化到每個崗位，通過信息手段實際控制的自動化，提高管控效率。

（四）資金系統(tǒng)控制

資金使用的前提是要做好預(yù)算管理，并且需要做相應(yīng)配套的決算，且需要定期將預(yù)決算進行差異分析，對同比金額變化較大的項目進行重點分析原因。監(jiān)督預(yù)算的執(zhí)行情況，盡量避免支付預(yù)算外的業(yè)務(wù)，即使有必須付的預(yù)算外的事項，也要有相應(yīng)的特殊審批流程才可以執(zhí)行。做好資金的內(nèi)部控制，對于集團的企業(yè)，需成立資金部，形成有體系的資金池來提高整個集團的資金使用效率。同時資金部需要有日資金使用會議，對各部門或各企業(yè)提交的周資金申請，當(dāng)然周資金申請的金額必須在當(dāng)月的預(yù)算范圍內(nèi)去申請，針對資金的緊急程度進行排序并形成文字或報表向最高領(lǐng)導(dǎo)層匯報并進行審批，且當(dāng)日需對撥款的部門或者企業(yè)進行預(yù)算核減的記錄，實現(xiàn)預(yù)算管理的持續(xù)性。

資金部對資金池的資金劃撥授權(quán)時需至少有三人授權(quán)流程，操作經(jīng)辦人，審核經(jīng)辦人，復(fù)合經(jīng)理，且定期對這些重要的崗位人員進行輪崗，避免有違規(guī)違紀情況發(fā)生。資金系統(tǒng)的控制不僅對資金支付的內(nèi)部控制，同時在有資金閑置時，要對資金進行理財和安全投資來增加企業(yè)的收入。

（五）構(gòu)建內(nèi)控體系需要的人才隊伍

由于現(xiàn)在企業(yè)的人員內(nèi)控管理水平普遍低下，實際業(yè)務(wù)中有些流程和操作違反了內(nèi)部控制都不自知，而等到外部機構(gòu)或者法務(wù)人員指出的時候都已為時已晚，都已造成企業(yè)的損失。所以企業(yè)需要給員工一個培訓(xùn)的平臺，讓員工有機會去學(xué)習(xí)相應(yīng)的內(nèi)控管理知識，同時要加強宣傳風(fēng)險意識，要讓員工學(xué)到的不只是知識的皮毛，要深入到自主意識，從而更可以激發(fā)員工的創(chuàng)新精神。同時，光有一套完整的內(nèi)控體系和員工培訓(xùn)平臺是不夠的，當(dāng)落實到執(zhí)行力度的時候，需要有員工獎勵和懲罰才能達到事半功倍的效果。通過有獎勵懲罰的機制，才能調(diào)動員工的積極性，更全身心和主動思考地投入到工作中，而不是僅僅局限于機械化、一成不變的工作，即使之前的工作流程或者審批違反了內(nèi)控制度，也認為是企業(yè)一直都這么執(zhí)行的，也不提出相應(yīng)的風(fēng)險。在企業(yè)內(nèi)控風(fēng)險管理體系中，每一位員工需要梳理風(fēng)險無處不在的防控理念，應(yīng)當(dāng)制度個人職責(zé)對企業(yè)風(fēng)險的重要影響，以及在企業(yè)內(nèi)部的作用和責(zé)任與他人的關(guān)系，這是企業(yè)內(nèi)控風(fēng)險管理的一個重要方面，也是充分有限開展風(fēng)險管理工作的前提。

四、結(jié)束語

本文首先通過實際案例來闡明內(nèi)部控制體系的重要性，通過對內(nèi)控風(fēng)險的漏洞的深入分析和探究，由于風(fēng)險意識和內(nèi)控體系不夠完善，給企業(yè)帶來的損失，其次來闡述內(nèi)部控制體系的建設(shè)來防控風(fēng)險的重要性，最后闡述企業(yè)除了要有完善的內(nèi)控體系，要定期給企業(yè)員工進行相應(yīng)的內(nèi)控管理培訓(xùn)，從而達到從內(nèi)到外，從上到下的全員防范風(fēng)險的意識，這樣才能將建立的內(nèi)控制度貫徹執(zhí)行到底，更有利于促進企業(yè)的長期穩(wěn)步發(fā)展和進步。