內控“煥新”加速 企業(yè)提質增效的關鍵路徑揭曉

企業(yè)內部控制是企業(yè)為規(guī)范內部管理、確保財務報表真實性與資產(chǎn)安全性而制定并實施的一系列制度和措施。企業(yè)內部控制的有效性，直接關乎企業(yè)的穩(wěn)健經(jīng)營。然而，不少企業(yè)的內部控制存在諸多漏洞和盲點，影響著企業(yè)的風險防范能力與管理水平。因此，企業(yè)內部控制建設需從制度設計、制度落實、風險管理和信息化建設等方面全面著手，不斷完善企業(yè)內部控制制度，確保制度不折不扣地貫徹落實，科學管理各類風險，加快信息化建設步伐，建立一套科學、靈活、高效的內部控制體系，以適應復雜多變的經(jīng)濟環(huán)境，實現(xiàn)企業(yè)的穩(wěn)健、可持續(xù)發(fā)展。

企業(yè)內部控制存在主要問題

制度不健全其一，制度不盡合理。部分制度是為制定而制定，或是為應付檢查、滿足外部監(jiān)管要求而設立，內容繁雜、形式主義嚴重?？此仆暾?，實則可操作性差，難以落地實施，最終流于形式。其二，制度脫離實際。有些制度未充分考慮企業(yè)實際情況，對不同崗位、不同業(yè)務環(huán)節(jié)缺乏針對性的控制措施，不結合企業(yè)具體的經(jīng)營環(huán)境和風險點，導致制度空洞無物，缺乏明確指向。其三，制度缺乏修訂機制。企業(yè)制度長期處于靜態(tài)，未能隨企業(yè)業(yè)務的快速發(fā)展和市場環(huán)境的變化及時修訂，使得一些制度過時、與實際情況脫節(jié)，不再適用。其四，制度控制措施不完備。部分重要控制環(huán)節(jié)未制定相應的控制措施，例如采購、付款、資產(chǎn)管理等環(huán)節(jié)存在重大漏洞，缺乏全流程、全口徑的內部控制制度。其五，制度與法律法規(guī)脫節(jié)。部分制度未結合我國相關法律法規(guī)，存在合規(guī)風險，企業(yè)可能因此受到法律追究或處罰，進而影響企業(yè)聲譽和正常經(jīng)營。

執(zhí)行力不強一方面，制度執(zhí)行存在“選擇性”。部分生產(chǎn)經(jīng)營者和管理者對制度缺乏重視，甚至抱有僥幸心理，導致基層制度執(zhí)行不到位。例如，財務部門人員在財務報銷流程中違規(guī)操作、隨意通融；基層人員為了一己私利，鉆制度空子、搞規(guī)避行為。另一方面，稽核內審力量薄弱、不到位。部分企業(yè)稽核部門的獨立性、權威性不足，稽核次數(shù)少、范圍有限，難以發(fā)現(xiàn)和糾正制度執(zhí)行中的偏差和漏洞；有的企業(yè)甚至對違規(guī)行為“睜一只眼閉一只眼”，導致“制度形同虛設”的現(xiàn)象出現(xiàn)。

風險管理不到位其一，關注的風險種類不全。企業(yè)對財務風險、市場風險較為關注，但對操作風險、合規(guī)風險、聲譽風險等重視不足。由于風險種類關注范圍狹窄，企業(yè)難以發(fā)現(xiàn)或全面發(fā)現(xiàn)威脅自身的各種風險因素，導致風險隱患不斷增大。其二，風險評估缺乏科學依據(jù)。很多企業(yè)僅憑感覺或經(jīng)驗，從事表面定性的風險評估，未建立量化模型或運用其他科學方法，無法對風險發(fā)生概率和風險對企業(yè)的影響程度進行評估，進而無法制定有效的風險應對措施。其三，風險應對措施不足。對風險進行識別和評估后，部分企業(yè)缺乏系統(tǒng)化的應急預案和風險緩釋措施，風險事件發(fā)生時應對乏力，風險事件爆發(fā)后往往應對滯后，導致風險損失不斷擴大。

信息化水平不足信息化水平低：企業(yè)的信息系統(tǒng)陳舊，功能單一，無法適應現(xiàn)代企業(yè)多樣化、復雜化的管理需求。例如，財務系統(tǒng)與采購、倉儲、物流系統(tǒng)未能有效集成，導致各系統(tǒng)各自為戰(zhàn)，信息無法共享，信息滯后、不匹配的情況時有發(fā)生，嚴重影響著信息利用的及時性和準確性。

自動化水平低：企業(yè)主要依賴人工操作，存在較高的舞弊和人為差錯風險。大部分企業(yè)仍停留在手工填制、審批的階段，程序繁瑣，效率低下，難以實現(xiàn)全程監(jiān)控和控制。

分析利用水平低：企業(yè)不能有效運用大數(shù)據(jù)和各種智能分析工具進行風險預警和防控。由于缺乏這方面的專業(yè)人才和力量，大量數(shù)據(jù)無法得到有效運用，隱含的重大風險不易被發(fā)現(xiàn)和控制。

信息安全水平低：一些企業(yè)對網(wǎng)絡安全重視不足，缺乏基本的安全體系，容易遭受黑客攻擊、盜刷，甚至導致企業(yè)資產(chǎn)被竊取。企業(yè)應加強信息化建設，提高自動化水平，增強分析利用能力，加強信息安全管理，使其成為內部控制的堅實科技支撐。

企業(yè)內部控制優(yōu)化路徑

完善和優(yōu)化內部控制制度提高內控有效性，首要任務是建立科學、完整的制度，且所制定的制度要真正契合公司的實際情況。為此，可從以下幾個方面著手：一方面，細化崗位職責和權限，劃分關鍵崗位的職責，避免內設崗位職責交叉重疊或出現(xiàn)空白，減少舞弊和差錯的空間；另一方面，建立制度修訂和清理機制，隨著企業(yè)戰(zhàn)略的調整和業(yè)務環(huán)境的變化，及時修訂和完善各項制度，增強制度的時效性和適用性；再一方面，強化制度的合規(guī)要求，將國家法律法規(guī)的要求融入制度當中，增強企業(yè)遵從法律法規(guī)和監(jiān)管要求的力度，降低法律風險。

加大執(zhí)行力度和提高落實效果一是落實責任，以上率下。內控制度的執(zhí)行，離不開公司領導的重視。公司領導應充分認識內控制度的重要性，以身作則，帶頭遵守各項內控制度，營造良好的企業(yè)氛圍，使廣大員工形成人人重視內控制度的共識。

二是考核獎懲，嚴格兌現(xiàn)。將內控制度的執(zhí)行情況與各部門（中心）及員工的考核掛鉤，對執(zhí)行內控制度到位的部門和個人給予通報表彰和獎勵，形成考核獎懲機制。

三是稽核監(jiān)督，及時糾錯?；瞬块T要提高獨立性和專業(yè)性，加大稽核力度，不定期開展稽核檢查，及時發(fā)現(xiàn)和糾正制度執(zhí)行中存在的缺項和漏洞，使各項制度真正得以落實。

四是培訓宣傳，深入人心。通過培訓班、工作坊等形式，加強內控制度的培訓和宣傳，使每一位員工真正理解并認同各項內控制度，使每一個崗位都成為內控制度的執(zhí)行者。

提升風險管理能力其一，建立健全風險識別體系。建立涵蓋財務、經(jīng)營、合規(guī)、聲譽等領域的風險子項數(shù)據(jù)庫，通過專家咨詢、信息分析等方法，全面排查風險點。

其二，科學地開展風險評估。采用定性與定量相結合的方法，引入風險評分卡，評估各類風險發(fā)生概率及其對經(jīng)營的影響程度，為決策提供支持。

其三，建立健全風險應對與緩釋機制。制定風險事件預案和處置措施，一旦風險事件發(fā)生，能夠迅速反應、有效控制，減少損失。例如，建立危機中心、應急通訊系統(tǒng)等。

其四，強化風險監(jiān)測和預警。運用現(xiàn)代信息網(wǎng)絡技術，建立風險監(jiān)控平臺，對關鍵指標進行監(jiān)測分析，及時發(fā)布風險預警，采取措施防范風險蔓延。

推動智能化內部控制首先，建設集成系統(tǒng)。打通財務、采購、倉儲、生產(chǎn)、銷售等系統(tǒng)，實現(xiàn)信息共享，消除信息孤島，保證數(shù)據(jù)的準確性和完整性。其次，推行流程自動化。利用ERP、RPA（機器人流程自動化）、智能審批等技術，將重復性的工作自動化，減少人工操作，提高效率和準確性。其次，強化大數(shù)據(jù)和人工智能應用。運用大數(shù)據(jù)挖掘內控中的潛在風險和舞弊行為，建立智能模型，實現(xiàn)早預警和動態(tài)監(jiān)控。最后，有針對性地加強信息安全保障。建立企業(yè)網(wǎng)絡安全體系，采取多層次、多策略的安全防護措施，防止外部入侵和內部泄密。

作者單位：北京市博匯科技股份有限公司