潘楊 湖北工業(yè)大學

一、內部控制及風險管理概述

（一）內部控制含義

企業(yè)為了達到良好的管理效果，往往會在公司內部執(zhí)行各種條款制度、工作規(guī)劃、執(zhí)行策略、程序等，這就是企業(yè)中的內部控制，也是為了實現(xiàn)企業(yè)目標而實施的一系列方案和程序。由此可見，內部控制主要是一個過程。內部控制概念最初在西歐發(fā)達國家引入，中國關于內部控制系統(tǒng)的開始發(fā)展時間較晚。根據(jù)我國內部控制發(fā)展情況來看，我國正在積極修改和完善相關政策法規(guī)。通常，內部控制工作可以分為財務與管理兩方面，其中，財務控制工作可以確保企業(yè)內部財務工作的高效率、業(yè)務規(guī)范性、擁有真實的數(shù)據(jù)、合理的財務行為，為企業(yè)資金安全性提供充分保障。而管理控制則可以保證企業(yè)近期乃至長期能夠正常穩(wěn)定的實施戰(zhàn)略計劃，對企業(yè)的日常經營運轉提供保障，進而促進企業(yè)經營運轉及發(fā)展水平的提升。

（二）風險管理含義

企業(yè)風險主要指在運行過程中為公司管理所造成的各種影響，具體分為經營風險、財務風險、企業(yè)戰(zhàn)略風險、市場風險和法規(guī)風險等。

（三）內部控制與風險管理之間的關系

實際上，內控和管理相互之間存在著很緊密的聯(lián)系，內控的真正含義便是管理。而經營風險不僅包含公司內在風險，還包含對外經營風險，而對公司內在的經營風險進行管理便是內控。風險控制同時也是企業(yè)內部控制的一種，豐富了企業(yè)內部管理的內容。所以，企業(yè)在發(fā)展進程中必須把內部管理和風險控制結合，在風險管理的視角下建立企業(yè)內控體系是管理的必然趨勢。實施內控制度措施能夠有效防止公司資本損失，提升公司資本的運用效益，達到公司運營效益最優(yōu)化，促進公司長期發(fā)展。

（四）內部控制與風險管理的差異性

對企業(yè)內部控制與風險管理的大量調查發(fā)現(xiàn)，二者之間差異點多于共同點。首先，在實際工作中，企業(yè)管理者對于內控，更加注重與規(guī)章制度是否完善并適合該企業(yè)。企業(yè)管理者通過制定相關對員工的考核規(guī)則，降低出現(xiàn)問題的概率。由于內部控制屬于管理性的職能工作，其大多是歸屬財務部門的任務，部門人員會側重于會計控制，確保企業(yè)內部會計信息的真實性及資金安全性等方面。而風險管理工作則側重于交易方面，借助市場交易及自由競爭等方式降低風險問題出現(xiàn)的概率，企業(yè)會更關注利率風險、匯率風險等方面，企業(yè)管理人員需要對該方面進行全面了解，以確保企業(yè)能夠正常的運轉下去。

其次，二者的范疇差異在公司進行內部管理和經營風險管理中，其業(yè)務范疇存在很大的差異。其中，內部控制管理涉及的經營風險問題是營運管理方面的，具體可以從外部、內部兩方面來說，且大部分貫穿于企業(yè)經營和內部控制的逐個環(huán)節(jié)。而風險管理工作大多涉及戰(zhàn)略風險，一旦處理不好，很有可能降低企業(yè)短期甚至長期的經濟消音，從而影響其日常運轉與發(fā)展。

二、COSO內部控制框架

針對企業(yè)內部控制而言，圍繞其開展的研究逐漸深入并發(fā)生變化。雖然該領域內對此說法多種多樣，但是目前應用最廣泛的是1995年加拿大注冊會計師工會提出的控制綱要。COSO 內部控制框架提出企業(yè)內部控制的終極目標是健全企業(yè)管理能效，確保企業(yè)長效穩(wěn)定發(fā)展，企業(yè)內部控制主要有五點內容。

（一）內部環(huán)境

企業(yè)在開展內部控制的過程中，首要關注的應當是內控環(huán)境，這是分析企業(yè)內控工作制度、氛圍的基礎性要素。若是企業(yè)無法保證健康合理的內部控制環(huán)境，相關的內部控制流程和工作就無法順利開展運行。穩(wěn)定的內部環(huán)境，主要涉及公司內部組織架構、公司文化構建和人才資源配置等方面。

（二）風險評估

社會情況越來越復雜與多樣，導致制約公司存續(xù)經營的因素越來越多，公司面對的風險也越來越復雜，公司管理中的所有過程都有可能身處僵局。盡管公司不能全面規(guī)避風險，卻能夠合理抵御風險，把危機發(fā)生可能性減至最小化或是盡可能減少危機造成的風險，所以公司若想履行良好的管理一定要建 立危機管理體系。

（三）控制活動

在對企業(yè)未來的風險情況進行初步評估后，根據(jù)風險評估方案來制定相關規(guī)避風險流程，幫助管理者獲得適當、可靠的決策的工作，是控制活動。企業(yè)需要在生產、經營及決策各個環(huán)節(jié)中開展控制活動，這也是企業(yè)內控工作的重要因素，可以幫助企業(yè)規(guī)范內部活動秩序，實 現(xiàn)最佳控制目標。

（四）信息與溝通

隨著公司規(guī)模逐步擴大，公司進行資訊傳播和互動溝通的時間也將相應增加，擁有高效的信息傳遞與廣闊的溝通路徑可以提高企業(yè)總體工作效率，減少企業(yè)在運營過程中的成本，規(guī)避相關風險。內部的交流大致包括兩個主要領域：一是公司管理層與職工間的有效溝通，確保領導層發(fā)布的命令、通知使員工明了清楚，部門間權責清晰，不相互推諉責任，企業(yè)可以平穩(wěn)運行；二是企業(yè)必須制定完善的監(jiān)督舉報機制，以避免單位內部管理人員濫用職權，全力保障企業(yè)的合法權益。

（五）監(jiān)督

企業(yè)進行良好監(jiān)督的主要任務是發(fā)現(xiàn)和評價內部控制中的變化，及時找出內部控制管理期間存在的弱點，通過改變監(jiān)督程序的類型、時間和范圍，形成新的控制政策和標準，以此達到改善與調整企業(yè)內部控制的目的。

三、當前我國企業(yè)風險管理中普遍存在的內控問題

（一）內控環(huán)境較差

擁有一個健康穩(wěn)定的內部控制環(huán)境是企業(yè)內部控制的基礎。當前，我國大多數(shù)企業(yè)內部控制環(huán)境都較差，不完善的組織規(guī)劃，較單一、落后的戰(zhàn)略計劃，不能夠根據(jù)企業(yè)特性制定組織結構。另外，我國公司的風險管理能力不強，在生產經營方面不夠重視系統(tǒng)風險。另外，由于經營目標戰(zhàn)略引導力不足，管理者不能及時有效地分析企業(yè)面臨的風險，也體現(xiàn)出領導層對風險管理沒有足夠的認識力和遠瞻性，內部環(huán)境需要及時改善。

（二）信息溝通不暢

如今，我國絕大多數(shù)企業(yè)都使用辦公自動化系統(tǒng)進行日常匯報和審批工作文件，用微信溝通工作內容。如今是大數(shù)據(jù)時代，信息很容易被有心人盜取泄露。雖然很多大中型企業(yè)會用ERP系統(tǒng)作為內控信息的傳遞平臺，但對ERP的使用流于形式，浮于表面，沒有掌握ERP系統(tǒng)的核心，甚至對于ERP的使用，需要錄入傳統(tǒng)表格，不僅使內容重復，而且浪費時間和人力資源，嚴重拉低工作效率。

（三）缺乏監(jiān)督評價機制

很多企業(yè)比較注重內控體系的事中控制，忽視對內控的事后反饋及監(jiān)督，缺乏監(jiān)督評價機制，對很多內控活動的有效性無法進行有效的評價，企業(yè)無法判斷自身內控活動及制度的準確性，內控效果得不到保障。另外，由于缺乏監(jiān)督評價機制，企業(yè)無法對整個內控過程予以監(jiān)督，即便出了違規(guī)事件，也沒有合理的流程對其進行處理，導致員工的內控意識不足。這種低廉的違規(guī)成本也容易導致員工產生更多的違規(guī)行為，埋下更多的風險隱患。

（四）風險管理體系不合理

因為沒有合理的風險管理制度，使得公司在面臨經營風險時的防范能力和處理能力都力不從心，而且沒有健全的風險管理制度還會影響公司一系列的運作，如人才招聘、考核制度、銷售渠道與方式等都會受到沖擊。重要的是缺乏健全的風險管理制度會使企業(yè)各部門之間職責分工不清、各部門之間缺少配合與溝通、對風險的防范和管理意識模糊。

四、基于風險管理的企業(yè)內控體系優(yōu)化策略

（一）加強風險管理建設

經營風險主要出現(xiàn)在企業(yè)經營活動的各個環(huán)節(jié)中，防范和管理經營風險是企業(yè)始終要面臨的問題。企業(yè)通過風險辨識、評估和管理等技術手段深化全面的風險管理，并以此監(jiān)控和處理企業(yè)經營風險，把企業(yè)經營風險控制在社會能夠接受的范圍之內。首先，企業(yè)應履行好風險識別職責。圍繞企業(yè)戰(zhàn)略風險、行業(yè)風險、法律政策風險、運營風險以及財務管理風險等進行識別，結合風險特征給出針對性風險結構圖，再根據(jù)企業(yè)目標與風控流程，分析風險出現(xiàn)原因。其次，企業(yè)需要針對風險展開清晰、客觀地評價，結合企業(yè)現(xiàn)實發(fā)展情況以及風險成因，分析風 險發(fā)展等級，以確定是否要制定更加嚴謹、詳細的管理舉措。

（二）改進內部控制流程

1.優(yōu)化全面預算管理系統(tǒng)

企業(yè)需要進行全面預算管理系統(tǒng)的優(yōu)化處理，防范企業(yè)資金使用不當?shù)那闆r，并通過編制預算，合理規(guī)劃企業(yè)的各項管理流程，避免企業(yè)資金周轉不足的問題，促使資源達到最優(yōu)化的配置。首先，企業(yè)要優(yōu)化預算編制。企業(yè)在預算編制的過程中，需要充分考慮各部門、各員工對預算工作的要求以及企業(yè)預算管理的安全性，確保預算管理符合企業(yè)發(fā)展實際，并且在開展預算編制時，需要數(shù)據(jù)完善準確，讓其經得起推敲。企業(yè)在預算編制過程中，要開展零基預算，避免傳統(tǒng)的增量預算導致不合理費用。其次，企業(yè)應優(yōu)化預算的執(zhí)行過程，嚴格管理預算的偏差，設置偏差范圍。企業(yè)的財務部門每個月終都必須對計劃執(zhí)行的狀況做出分析，確定計劃實施過程中有無產生重大差錯，當預算差異較大的，需要及時向管理層匯報并制定計劃協(xié)調相關差異，并對差異成因進行詳盡分析。財務部門應分析是預算計劃編制不合理，還是企業(yè)內部員工工作問題，如若是由于預算計劃問題，則需要仔細調整預算指標，如若是由于企業(yè)員工工作問題，則需要對相關人員予以告誡及處罰，讓員工重視預算管理工作的要求，以確保預算資金的支出得到有效控制。再次，企業(yè)應對預算的考評需要分析內部的各部門是否按照預算工作要求落實預算規(guī)劃。在進行考評時，企業(yè)要通過考核公司的財務與非重要財務，并督促管理人員在關注財務目標實現(xiàn)情況的同時，也關注顧客滿意、公司內部過程效率等方面的非重要財務，并通過獎懲并重的方式促使預算有效執(zhí)行，提高員工參與預算的積極性。

2.改善公司的固定資產管理

首先，企業(yè)應完善固定資產的質量控制環(huán)節(jié)。企業(yè)在固定資產管理工作過程中，還必須編寫企業(yè)固定資產管理工作卡，將企業(yè)的各項資料錄入企業(yè)固定資產管理卡內，以便于企業(yè)及時了解固定資產狀況。其次，企業(yè)應優(yōu)化盤點環(huán)節(jié)。企業(yè)在固定資產盤點過程中，還必須根據(jù)企業(yè)盤點的結果進行編寫盤點清單，并將盤點清單和企業(yè)卡片進行核對，分析是否存在賬實不符的問題，對于差異需要出具差異分析報告，通過差異分析報告落實相關責任，之后對固定資產進行賬面調整。再次，企業(yè)應完善固定資產的處理環(huán)節(jié)?？梢哉髲U的固定資產應由所用主管部門撰寫報廢單，在通過一般的審核程序之后由財政部門做出賬務處理，至于重大企業(yè)的處理則要交給第三方中介機構進行企業(yè)估價。

（三）從戰(zhàn)略角度對內部控制環(huán)境進行優(yōu)化

根據(jù)目前全員企業(yè)風險管理意識普遍低下的狀況，公司需要在戰(zhàn)略層次上把風險管理意識引入內控管理體系之中。企業(yè)管理者應先分析企業(yè)內部對風險的偏好，并評定公司可以承受的風險級別，再利用SWOT分析法對公司的戰(zhàn)略風險進行分解，并提出公司自身的優(yōu)點、劣勢、遇到的機會和面臨的威脅，然后從這4點入手對企業(yè)的內控環(huán)境予以優(yōu)化。比如，在組織結構方面，企業(yè)管理者基于戰(zhàn)略角度設立風險管理委員會及專項委員會，由風險管理委員會設計和實施整個風險管理方案，并在專項委員會中配備專門的風險管理人員，對企業(yè)重點項目進行風險專項管理。此外，企業(yè)還應在公司文化中加入了公司的風險管理意識，讓公司員工在進行內控活動的過程中意識到了公司風險管理的重要意義，把經營風險防范當成了自身的行動指南，從而最大程度減少經營風險給公司所造成的不良影響。另外，企業(yè)應加強對公司員工風險管理方面專業(yè)知識的培養(yǎng)力度，每年定期錄用優(yōu)秀的大學生作為人力資源儲備，吸納外部成熟人員彌補公司人力資源不足的短板，改革薪資體系，為公司員工提供一個平等、公正的職業(yè)晉升環(huán)境。

（四）高度重視文化建設

每個公司都有特定的文化內涵，其必須根據(jù)公司當前設定和未來目標而確立，以此來明確公司文化的目標和內涵，形成公司文化的框架。讓公司當好領頭羊，建立積極正確的公司核心價值觀，有效激發(fā)各部門員工的向心力，極力激發(fā)公司的中高層領導人員推動公司做好文化建設，成為品牌構建中的引導功能，實現(xiàn)全體員工對公司文化的歸屬感和認同感，讓公司運營和公司品牌相結合，以此提高公司品牌知名度，提高員工的品牌自信。企業(yè)應高度重視企業(yè)文化推廣普及工作，企業(yè)領導人要發(fā)揮表率作用，開展培訓活動、宣講會、公司團建等活動讓企業(yè)員工深入了解在內部控制工作中企業(yè)文化的重要性。另外，企業(yè)還需要確保各部門人員分工明確，將內部控制如實推行下去，每個部門管理人員在管理期間都要高度關注不足和優(yōu)點，竭力做到優(yōu)點繼續(xù)保持并優(yōu)化，不足及時化解。

（五）加強管理人員素質，提升企業(yè)內控執(zhí)行

有些分支企業(yè)的內部管理人員主要為兼職，專業(yè)能力和個人素養(yǎng)水平參差不齊，嚴重制約著內部管理實施的效果和效率。人員作為企業(yè)內部管理的執(zhí)行基礎，卻缺乏專門的管理理論知識與個人的管理素養(yǎng)做其補充，再完善的內控制度也是空談。實現(xiàn)內部管理制度的質量的根本條件就在于人員自身的管理勝任能力和素質，更何況更大的挑戰(zhàn)源自于組織層級。所以，企業(yè)不僅要完善的風險管理部門與管理人員，也對其專業(yè)知識和素養(yǎng)加以嚴格的檢測，并開展專門的適合于企業(yè)實踐的培訓活動，以提高管理層的有效執(zhí)行力。

（六）依托計算機技術強化企業(yè)信息化建設

在科學技術不斷進步的今天，計算機技術大大提高了工作效率和信息傳播的速度。在此背景下，企業(yè)應不斷強化自身的信息化建設，利用計算機技術，基于自身實際業(yè)務，以完全開發(fā)的形式設計出完整的信息管理閉環(huán)鏈條。對財務模塊進行標準化，將風險管理融入 ERP 系統(tǒng)中，將內控管理活動簡單化、清晰化，所有的業(yè)務操作都通過信息化系統(tǒng)展開，以此獲取更多的企業(yè)經營信息，形成企業(yè)數(shù)據(jù)資源，從而進行企業(yè)大數(shù)據(jù)分析。只有這樣，才能充分利用企業(yè)的數(shù)據(jù)資源，促進內部控制管理活動有效開展。

（七）構建完善的監(jiān)管體系

為實現(xiàn)內控管理活動效果最大化、風險成本最小化，企業(yè)需構建起完善的監(jiān)管制度，通過建立財務人員委派制度、內審監(jiān)督制度、內控評價機制等一系列制度來實現(xiàn)對企業(yè)所有內控活動的監(jiān)管。通過財務人員委派制度設立第一風險責任人，對各項業(yè)務的風險責任進行明確，對重點崗位進行財務監(jiān)督。風險管理委員會牽頭建立內控評價小組，對企業(yè)內部整體控制活動進行評價，對風險等級高的資金、采購、銷售等業(yè)務流程著重進行穿行測試。

結語

綜上所述，中小企業(yè)要想在如此強烈的國際競爭中站穩(wěn)腳跟，就應在現(xiàn)代風險管理視野下嚴格進行內部管理，從嚴把控企業(yè)內部控制工作的各個環(huán)節(jié)，促使中小企業(yè)取得長期、健康、平穩(wěn)的發(fā)展。而事實上，當前的公司內部風險內容管控工作實施成效仍亟待進一步提高，從而導致民營企業(yè)陷入了多重困局。所以企業(yè)應當增強自身風險控制意識，通過優(yōu)化內部管理環(huán)境、明晰職責界定、完善內部內控機制等舉措，協(xié)助企業(yè)突破困局，推動戰(zhàn)略發(fā)展目標的實現(xiàn)，從而確保國有企業(yè)效益能夠最優(yōu)化，并推動了民營企業(yè)的長遠健康發(fā)展。