大數(shù)據(jù)背景下企業(yè)內部控制與風險管理體系構建研究

●肖洪偉

一、引言

在新常態(tài)發(fā)展戰(zhàn)略目標的指引下，經濟的發(fā)展模式發(fā)生了巨大的變化。以大數(shù)據(jù)、區(qū)塊鏈等為代表的互聯(lián)網技術在各行各業(yè)得到了廣泛應用。在嚴峻而復雜的經濟浪潮中，企業(yè)要想健康、穩(wěn)定地可持續(xù)發(fā)展，必定離不開完善的內部控制和風險管理體系。內部控制和風險管理在企業(yè)中是非常重要的管控活動，只有立足于企業(yè)生產經營的實際情況，運用大數(shù)據(jù)等互聯(lián)網技術，實現(xiàn)對企業(yè)數(shù)據(jù)的全面掌握，才能構建出符合企業(yè)自身情況的內部控制和風險管理體系，為企業(yè)的生產經營保駕護航[1]。

二、企業(yè)內部控制與風險管理的相關概念

（一）企業(yè)內部控制的定義

企業(yè)內部控制是對企業(yè)的資產、人、財務和流程實行的一系列的監(jiān)管活動，用于保障企業(yè)正常的生產經營秩序，是對企業(yè)的生產經營所有活動的一項強有力的監(jiān)督機制。企業(yè)內部控制不僅針對于員工和工作流程，更要保證企業(yè)資產和財務信息的真實、準確和有效。企業(yè)內部控制的影響因素眾多，涉及內部環(huán)境、內部監(jiān)督、風險評估、控制活動和信息與溝通，主要過程包括預測、控制和監(jiān)督。企業(yè)內部控制的實現(xiàn)途徑依賴于體系的構建和流程管理的改革，這樣既能讓企業(yè)的生產經營活動合法合規(guī)，又能讓信息、數(shù)據(jù)更加真實、完整。

（二）企業(yè)風險管理的定義

企業(yè)風險管理的內容則涵蓋了企業(yè)商業(yè)風險管理、運營風險管理以及策略風險管理的內容。它更側重于通過計劃、組織、領導、控制企業(yè)生產經營活動的全過程，來讓企業(yè)的資產和所受風險的概率降至最小。企業(yè)風險管理既涉及企業(yè)內部，同樣也涉及企業(yè)外部，覆蓋了企業(yè)生產經營的全過程，這也導致了企業(yè)風險管理并非一成不變，而是一個動態(tài)管理的過程。在此過程中，需要不斷地對企業(yè)生產經營活動中可能存在的風險進行識別，對風險因素進行定性和定量分析，并采取防范、規(guī)避等應對措施，來保證企業(yè)正常的生產經營安全。企業(yè)的風險管理體系需要將其風險因素集合，制定出組織職能體系、內部控制系統(tǒng)、風險管理策略和風險應對措施四方面的內容[2]。

三、企業(yè)內部控制與風險管理的異同與關系

（一）企業(yè)內部控制與風險管理的相同之處

企業(yè)內部控制與風險管理的相同之處在于二者都需要企業(yè)內部的全員參與，從源頭上激發(fā)全員的主觀能動性，讓全員都參與到風險識別、監(jiān)控等環(huán)節(jié)。另外，二者都是為企業(yè)的合法、合規(guī)經營以及企業(yè)的平穩(wěn)健康發(fā)展提供強有力的保障。同時企業(yè)內部控制和風險管理均是一個動態(tài)管控的過程，都將面對諸多的不確定因素，需要持續(xù)性地進行跟蹤和監(jiān)督，都屬于對生產經營活動過程的管控。

（二）企業(yè)內部控制與風險管理的不同之處

首先，在體系的范圍上，內部控制的范圍僅限于企業(yè)內部，小于風險管理的范圍。雖然風險管理體系中的內部控制系統(tǒng)與企業(yè)內部控制存在一些交集，但是內部控制更注重對于企業(yè)資產安全的保證，以及財務信息和報告的完整性與真實性，對于事前的參與度不高，多面向事中和事后，而風險管理側重于事前和事中，有著較大的區(qū)別。其次，二者的關注點略有不同，內部控制主要針對企業(yè)中已出現(xiàn)的，影響企業(yè)經營合法合規(guī)方面和財務數(shù)據(jù)真實性方面的風險，而風險管理則偏向于戰(zhàn)略風險和機會風險，為企業(yè)整體進行全方位的分析。最后在執(zhí)行層面，內部控制更注重風險的評估工作，而風險管理更強調所有環(huán)節(jié)的閉環(huán)，所以風險管理更容易形成一整套體系結構[3]。

（三）企業(yè)內部控制與風險管理的關系

企業(yè)內部控制與風險管理相輔相成，內部控制可以作為企業(yè)風險管理體系中的一個環(huán)節(jié)，以內部控制為基礎進行全方位的拓展，最終實現(xiàn)風險管理體系在企業(yè)的全覆蓋。另外，內部控制是風險管理體系中的重要手段之一，通過內部控制能保障企業(yè)運營的合法合規(guī)性，將企業(yè)經營中的絕大多數(shù)風險扼殺在搖籃之中。當然從流程和方法上來說，內部控制的程序簡化，使用的手段以傳統(tǒng)的預算控制、數(shù)據(jù)分析等方法來進行風險應對，這些方法對于企業(yè)來說更加經濟實惠。但是現(xiàn)在企業(yè)的生產經營面臨的外部風險形式同樣嚴峻，在內部控制的基礎上，必須利用范圍更廣的手段，以幫助企業(yè)規(guī)避更多的風險，最大程度地保證經濟不受損失。

四、大數(shù)據(jù)背景下企業(yè)內部控制與風險管理體系構建的具體策略

大數(shù)據(jù)時代，企業(yè)面臨的內外部環(huán)境更加復雜，需要針對更多的企業(yè)財務信息進行分析，通過各種互聯(lián)網技術的應用，快速、高效地幫助企業(yè)構建出具有鮮明時代特色的內部控制與風險管理體系，通過完整的體系，消除企業(yè)財務、營銷和生產活動中的一切不確定因素，確保企業(yè)平穩(wěn)、健康的發(fā)展。

（一）增強企業(yè)內部控制和風險管理體系的整合意識

企業(yè)內部需要加快梳理內部控制和風險管理體系工作之間的交集，本著集約化建設的原則，減少內部控制和風險管理體系之間的重復工作。在兩個制度的制定方面，以整合意識為前提，通過協(xié)作、共促的原則，提高企業(yè)對經營風險的防御能力。同時讓企業(yè)內部的所有人員樹立整合的意識，將內部控制和風險管理體系整合在一起，真正做到風險事前、事中和事后的全流程閉環(huán)控制與監(jiān)督[4]。

（二）打造集成式的企業(yè)內部控制和風險管理體系

企業(yè)經營的合法合規(guī)是企業(yè)內部控制和風險管理的首要任務，所以需要通過集成式的企業(yè)內部控制和風險管理體系，將企業(yè)內外部面臨的風險均納入到管理體系中。企業(yè)內部的風險更多借助于內部控制體系進行防范，外部則需要通過一些監(jiān)督機制，如中介機構、監(jiān)管機構等進行實現(xiàn)。同時對集成式的企業(yè)內部控制和風險管理體系進行分層，讓企業(yè)的治理層、管理層和運營層進行分層管理，企業(yè)內部形成自己的協(xié)同監(jiān)督機制。如生產和業(yè)務部門應以客戶群體為目標，生產并提供目標群體所需的高性價比服務或者產品，而企業(yè)財務等職能部門則履行監(jiān)督和服務職能，讓企業(yè)內部控制系統(tǒng)正常運轉，為經營活動提供強有力的支撐。當然為了檢驗內部控制策略的有效性以及幫助其進行持續(xù)性的改善，需要有審計人員對內控效果進行獨立的評價。集成式的企業(yè)內部控制與風險管理體系實現(xiàn)了二者的合二為一，讓企業(yè)的風險管理與控制更加便捷、高效。在此基礎上，企業(yè)的財務信息會更加精準，財務報告的質量與透明度會有一定程度的提升，但是需要注意二者整合的難度與阻力。

（三）建立以風險管理為導向的企業(yè)內部控制制度

在企業(yè)內部控制制度設計時，需要以風險管理的體系內容為導向，緊密圍繞企業(yè)風險管理的核心要點，實現(xiàn)內部風險的閉環(huán)，從而進一步構建良好的自我免疫風險防范機制。在內部控制制度中需要體現(xiàn)對內部各種潛在風險因素的識別，并針對性地做好各項應對措施。在企業(yè)內部控制制度中要充分體現(xiàn)企業(yè)風險管理的長效機制與措施，對于風險控制策略的制定必須以科學性和實用性為主要原則。特別是需要在制度中明確規(guī)定各項內部控制的指標和考核標準，真正體現(xiàn)出獎懲分明的原則，這樣才能讓企業(yè)全員對于內控控制和風險管理的意識得到顯著的提升。在制度制定前，企業(yè)需要組織人員對經營管理和投資實踐過程中存在的潛在風險因素和問題進行識別，對已識別的問題分類匯總，對經營和投資過程中可能存在的問題進行綜合分析。同時要在企業(yè)內部控制制度中體現(xiàn)風險分類分級管理的思想，從風險管理的角度合理劃分部門之間的權責，將風險管理放在內部控制制度中的顯著位置，構建較為立體的內部控制和風險管理體系，從而達到企業(yè)內部規(guī)范化的管理效果。

（四）通過信息化手段構建風險識別與評估系統(tǒng)

在企業(yè)內部控制與風險管理體系的建設過程中，風險識別和評估工作的重要性不言而喻，這些都是建立在完整、準確地掌握企業(yè)經濟活動數(shù)據(jù)的基礎之上。由于當前國際國內形勢瞬息萬變，企業(yè)必須借助于信息化手段構建自己的風險識別與評估系統(tǒng)，這樣才能更加高效、準確地完成此項工作。一般來說，企業(yè)面臨的風險主要分為戰(zhàn)略風險、財務風險和運營風險三大類，而企業(yè)的財務信息與這三類風險均息息相關。只有通過信息化手段，構建完善的風險識別與評估系統(tǒng)，才能對風險進行針對性定性、定量的分析，為后續(xù)的防御和化解風險提供可靠的依據(jù)。另外，由于風險的可變性，需要對風險進行動態(tài)的跟蹤與控制，顯然在這方面信息技術的優(yōu)勢高于相關人員。信息系統(tǒng)可以利用大數(shù)據(jù)、人工智能等技術，實現(xiàn)風險自動識別與評估，并通過與相同類型風險進行對比，實時提出科學、合理的方案，供企業(yè)的決策者參考[5]。當然企業(yè)內部可以通過內部控制過程對內部風險進行梳理，并針對重點風險制定相應的應急預案，一旦風險真正發(fā)生，可以按照應急預案的流程，由信息系統(tǒng)進行程序化的處置，大大節(jié)省內部控制和風險管理的時間。

（五）讓審計監(jiān)督體系成為風險管理體系中的重要組成部分

雖然當前部分企業(yè)沒有建立完善的審計監(jiān)督體系，但是審計監(jiān)督組織機構的成立以及審計監(jiān)督職責的良好履行，能使企業(yè)內部控制和風險管理體系更加完整，也有利于風險處理的閉環(huán)。對于未設置審計監(jiān)督組織機構的企業(yè)應盡快設置，對于已有審計監(jiān)督組織機構但未獨立的，應盡快實現(xiàn)其獨立性。企業(yè)的審計監(jiān)督人員應在深入了解企業(yè)經營環(huán)境的同時，掌握審計監(jiān)督必備的技能，從而實現(xiàn)對風險的實時監(jiān)控。特別要對企業(yè)物資采購、計量、費用報銷和資產驗收等環(huán)節(jié)進行監(jiān)督和管控，保證企業(yè)資產的安全和完整。當然內部控制的外部監(jiān)督也是監(jiān)督審計體系的重要組成部分，借助于外部財務、稅務、審計等職能與機構的力量，對內部控制的規(guī)范性進行監(jiān)督。讓審計監(jiān)督體系成為風險管理體系中的重要組成部分需要進行科學、合理的權責劃分，避免因為審計監(jiān)督影響企業(yè)正常的經營活動。同時在審計監(jiān)督體系的構建時，除履行監(jiān)督職責外，必要時還需要通過監(jiān)督體系對經營活動進行反哺指導，杜絕為了監(jiān)督而監(jiān)督，而是通過審計監(jiān)督體系，進一步完善企業(yè)內部控制和風險管理體系的不足。

五、結束語

綜上所述，大數(shù)據(jù)背景下企業(yè)內部控制與風險管理體系的構建需要有完整的方式方法。既要從企業(yè)全員的意識開始二者的整合，還要通過集成式的體系模式，形成交叉、融合的完整體系構架。利用信息技術推動風險的識別與評估，讓審計監(jiān)督成為體系的重要環(huán)節(jié)。