潘楊 湖北工業(yè)大學

一、內(nèi)部控制及風險管理概述

（一）內(nèi)部控制含義

企業(yè)為了達到良好的管理效果，往往會在公司內(nèi)部執(zhí)行各種條款制度、工作規(guī)劃、執(zhí)行策略、程序等，這就是企業(yè)中的內(nèi)部控制，也是為了實現(xiàn)企業(yè)目標而實施的一系列方案和程序。由此可見，內(nèi)部控制主要是一個過程。內(nèi)部控制概念最初在西歐發(fā)達國家引入，中國關(guān)于內(nèi)部控制系統(tǒng)的開始發(fā)展時間較晚。根據(jù)我國內(nèi)部控制發(fā)展情況來看，我國正在積極修改和完善相關(guān)政策法規(guī)。通常，內(nèi)部控制工作可以分為財務(wù)與管理兩方面，其中，財務(wù)控制工作可以確保企業(yè)內(nèi)部財務(wù)工作的高效率、業(yè)務(wù)規(guī)范性、擁有真實的數(shù)據(jù)、合理的財務(wù)行為，為企業(yè)資金安全性提供充分保障。而管理控制則可以保證企業(yè)近期乃至長期能夠正常穩(wěn)定的實施戰(zhàn)略計劃，對企業(yè)的日常經(jīng)營運轉(zhuǎn)提供保障，進而促進企業(yè)經(jīng)營運轉(zhuǎn)及發(fā)展水平的提升。

（二）風險管理含義

企業(yè)風險主要指在運行過程中為公司管理所造成的各種影響，具體分為經(jīng)營風險、財務(wù)風險、企業(yè)戰(zhàn)略風險、市場風險和法規(guī)風險等。

（三）內(nèi)部控制與風險管理之間的關(guān)系

實際上，內(nèi)控和管理相互之間存在著很緊密的聯(lián)系，內(nèi)控的真正含義便是管理。而經(jīng)營風險不僅包含公司內(nèi)在風險，還包含對外經(jīng)營風險，而對公司內(nèi)在的經(jīng)營風險進行管理便是內(nèi)控。風險控制同時也是企業(yè)內(nèi)部控制的一種，豐富了企業(yè)內(nèi)部管理的內(nèi)容。所以，企業(yè)在發(fā)展進程中必須把內(nèi)部管理和風險控制結(jié)合，在風險管理的視角下建立企業(yè)內(nèi)控體系是管理的必然趨勢。實施內(nèi)控制度措施能夠有效防止公司資本損失，提升公司資本的運用效益，達到公司運營效益最優(yōu)化，促進公司長期發(fā)展。

（四）內(nèi)部控制與風險管理的差異性

對企業(yè)內(nèi)部控制與風險管理的大量調(diào)查發(fā)現(xiàn)，二者之間差異點多于共同點。首先，在實際工作中，企業(yè)管理者對于內(nèi)控，更加注重與規(guī)章制度是否完善并適合該企業(yè)。企業(yè)管理者通過制定相關(guān)對員工的考核規(guī)則，降低出現(xiàn)問題的概率。由于內(nèi)部控制屬于管理性的職能工作，其大多是歸屬財務(wù)部門的任務(wù)，部門人員會側(cè)重于會計控制，確保企業(yè)內(nèi)部會計信息的真實性及資金安全性等方面。而風險管理工作則側(cè)重于交易方面，借助市場交易及自由競爭等方式降低風險問題出現(xiàn)的概率，企業(yè)會更關(guān)注利率風險、匯率風險等方面，企業(yè)管理人員需要對該方面進行全面了解，以確保企業(yè)能夠正常的運轉(zhuǎn)下去。

其次，二者的范疇差異在公司進行內(nèi)部管理和經(jīng)營風險管理中，其業(yè)務(wù)范疇存在很大的差異。其中，內(nèi)部控制管理涉及的經(jīng)營風險問題是營運管理方面的，具體可以從外部、內(nèi)部兩方面來說，且大部分貫穿于企業(yè)經(jīng)營和內(nèi)部控制的逐個環(huán)節(jié)。而風險管理工作大多涉及戰(zhàn)略風險，一旦處理不好，很有可能降低企業(yè)短期甚至長期的經(jīng)濟消音，從而影響其日常運轉(zhuǎn)與發(fā)展。

二、COSO內(nèi)部控制框架

針對企業(yè)內(nèi)部控制而言，圍繞其開展的研究逐漸深入并發(fā)生變化。雖然該領(lǐng)域內(nèi)對此說法多種多樣，但是目前應(yīng)用最廣泛的是1995年加拿大注冊會計師工會提出的控制綱要。COSO 內(nèi)部控制框架提出企業(yè)內(nèi)部控制的終極目標是健全企業(yè)管理能效，確保企業(yè)長效穩(wěn)定發(fā)展，企業(yè)內(nèi)部控制主要有五點內(nèi)容。

（一）內(nèi)部環(huán)境

企業(yè)在開展內(nèi)部控制的過程中，首要關(guān)注的應(yīng)當是內(nèi)控環(huán)境，這是分析企業(yè)內(nèi)控工作制度、氛圍的基礎(chǔ)性要素。若是企業(yè)無法保證健康合理的內(nèi)部控制環(huán)境，相關(guān)的內(nèi)部控制流程和工作就無法順利開展運行。穩(wěn)定的內(nèi)部環(huán)境，主要涉及公司內(nèi)部組織架構(gòu)、公司文化構(gòu)建和人才資源配置等方面。

（二）風險評估

社會情況越來越復雜與多樣，導致制約公司存續(xù)經(jīng)營的因素越來越多，公司面對的風險也越來越復雜，公司管理中的所有過程都有可能身處僵局。盡管公司不能全面規(guī)避風險，卻能夠合理抵御風險，把危機發(fā)生可能性減至最小化或是盡可能減少危機造成的風險，所以公司若想履行良好的管理一定要建 立危機管理體系。

（三）控制活動

在對企業(yè)未來的風險情況進行初步評估后，根據(jù)風險評估方案來制定相關(guān)規(guī)避風險流程，幫助管理者獲得適當、可靠的決策的工作，是控制活動。企業(yè)需要在生產(chǎn)、經(jīng)營及決策各個環(huán)節(jié)中開展控制活動，這也是企業(yè)內(nèi)控工作的重要因素，可以幫助企業(yè)規(guī)范內(nèi)部活動秩序，實 現(xiàn)最佳控制目標。

（四）信息與溝通

隨著公司規(guī)模逐步擴大，公司進行資訊傳播和互動溝通的時間也將相應(yīng)增加，擁有高效的信息傳遞與廣闊的溝通路徑可以提高企業(yè)總體工作效率，減少企業(yè)在運營過程中的成本，規(guī)避相關(guān)風險。內(nèi)部的交流大致包括兩個主要領(lǐng)域：一是公司管理層與職工間的有效溝通，確保領(lǐng)導層發(fā)布的命令、通知使員工明了清楚，部門間權(quán)責清晰，不相互推諉責任，企業(yè)可以平穩(wěn)運行；二是企業(yè)必須制定完善的監(jiān)督舉報機制，以避免單位內(nèi)部管理人員濫用職權(quán)，全力保障企業(yè)的合法權(quán)益。

（五）監(jiān)督

企業(yè)進行良好監(jiān)督的主要任務(wù)是發(fā)現(xiàn)和評價內(nèi)部控制中的變化，及時找出內(nèi)部控制管理期間存在的弱點，通過改變監(jiān)督程序的類型、時間和范圍，形成新的控制政策和標準，以此達到改善與調(diào)整企業(yè)內(nèi)部控制的目的。

三、當前我國企業(yè)風險管理中普遍存在的內(nèi)控問題

（一）內(nèi)控環(huán)境較差

擁有一個健康穩(wěn)定的內(nèi)部控制環(huán)境是企業(yè)內(nèi)部控制的基礎(chǔ)。當前，我國大多數(shù)企業(yè)內(nèi)部控制環(huán)境都較差，不完善的組織規(guī)劃，較單一、落后的戰(zhàn)略計劃，不能夠根據(jù)企業(yè)特性制定組織結(jié)構(gòu)。另外，我國公司的風險管理能力不強，在生產(chǎn)經(jīng)營方面不夠重視系統(tǒng)風險。另外，由于經(jīng)營目標戰(zhàn)略引導力不足，管理者不能及時有效地分析企業(yè)面臨的風險，也體現(xiàn)出領(lǐng)導層對風險管理沒有足夠的認識力和遠瞻性，內(nèi)部環(huán)境需要及時改善。

（二）信息溝通不暢

如今，我國絕大多數(shù)企業(yè)都使用辦公自動化系統(tǒng)進行日常匯報和審批工作文件，用微信溝通工作內(nèi)容。如今是大數(shù)據(jù)時代，信息很容易被有心人盜取泄露。雖然很多大中型企業(yè)會用ERP系統(tǒng)作為內(nèi)控信息的傳遞平臺，但對ERP的使用流于形式，浮于表面，沒有掌握ERP系統(tǒng)的核心，甚至對于ERP的使用，需要錄入傳統(tǒng)表格，不僅使內(nèi)容重復，而且浪費時間和人力資源，嚴重拉低工作效率。

（三）缺乏監(jiān)督評價機制

很多企業(yè)比較注重內(nèi)控體系的事中控制，忽視對內(nèi)控的事后反饋及監(jiān)督，缺乏監(jiān)督評價機制，對很多內(nèi)控活動的有效性無法進行有效的評價，企業(yè)無法判斷自身內(nèi)控活動及制度的準確性，內(nèi)控效果得不到保障。另外，由于缺乏監(jiān)督評價機制，企業(yè)無法對整個內(nèi)控過程予以監(jiān)督，即便出了違規(guī)事件，也沒有合理的流程對其進行處理，導致員工的內(nèi)控意識不足。這種低廉的違規(guī)成本也容易導致員工產(chǎn)生更多的違規(guī)行為，埋下更多的風險隱患。

（四）風險管理體系不合理

因為沒有合理的風險管理制度，使得公司在面臨經(jīng)營風險時的防范能力和處理能力都力不從心，而且沒有健全的風險管理制度還會影響公司一系列的運作，如人才招聘、考核制度、銷售渠道與方式等都會受到?jīng)_擊。重要的是缺乏健全的風險管理制度會使企業(yè)各部門之間職責分工不清、各部門之間缺少配合與溝通、對風險的防范和管理意識模糊。

四、基于風險管理的企業(yè)內(nèi)控體系優(yōu)化策略

（一）加強風險管理建設(shè)

經(jīng)營風險主要出現(xiàn)在企業(yè)經(jīng)營活動的各個環(huán)節(jié)中，防范和管理經(jīng)營風險是企業(yè)始終要面臨的問題。企業(yè)通過風險辨識、評估和管理等技術(shù)手段深化全面的風險管理，并以此監(jiān)控和處理企業(yè)經(jīng)營風險，把企業(yè)經(jīng)營風險控制在社會能夠接受的范圍之內(nèi)。首先，企業(yè)應(yīng)履行好風險識別職責。圍繞企業(yè)戰(zhàn)略風險、行業(yè)風險、法律政策風險、運營風險以及財務(wù)管理風險等進行識別，結(jié)合風險特征給出針對性風險結(jié)構(gòu)圖，再根據(jù)企業(yè)目標與風控流程，分析風險出現(xiàn)原因。其次，企業(yè)需要針對風險展開清晰、客觀地評價，結(jié)合企業(yè)現(xiàn)實發(fā)展情況以及風險成因，分析風 險發(fā)展等級，以確定是否要制定更加嚴謹、詳細的管理舉措。

（二）改進內(nèi)部控制流程

1.優(yōu)化全面預算管理系統(tǒng)

企業(yè)需要進行全面預算管理系統(tǒng)的優(yōu)化處理，防范企業(yè)資金使用不當?shù)那闆r，并通過編制預算，合理規(guī)劃企業(yè)的各項管理流程，避免企業(yè)資金周轉(zhuǎn)不足的問題，促使資源達到最優(yōu)化的配置。首先，企業(yè)要優(yōu)化預算編制。企業(yè)在預算編制的過程中，需要充分考慮各部門、各員工對預算工作的要求以及企業(yè)預算管理的安全性，確保預算管理符合企業(yè)發(fā)展實際，并且在開展預算編制時，需要數(shù)據(jù)完善準確，讓其經(jīng)得起推敲。企業(yè)在預算編制過程中，要開展零基預算，避免傳統(tǒng)的增量預算導致不合理費用。其次，企業(yè)應(yīng)優(yōu)化預算的執(zhí)行過程，嚴格管理預算的偏差，設(shè)置偏差范圍。企業(yè)的財務(wù)部門每個月終都必須對計劃執(zhí)行的狀況做出分析，確定計劃實施過程中有無產(chǎn)生重大差錯，當預算差異較大的，需要及時向管理層匯報并制定計劃協(xié)調(diào)相關(guān)差異，并對差異成因進行詳盡分析。財務(wù)部門應(yīng)分析是預算計劃編制不合理，還是企業(yè)內(nèi)部員工工作問題，如若是由于預算計劃問題，則需要仔細調(diào)整預算指標，如若是由于企業(yè)員工工作問題，則需要對相關(guān)人員予以告誡及處罰，讓員工重視預算管理工作的要求，以確保預算資金的支出得到有效控制。再次，企業(yè)應(yīng)對預算的考評需要分析內(nèi)部的各部門是否按照預算工作要求落實預算規(guī)劃。在進行考評時，企業(yè)要通過考核公司的財務(wù)與非重要財務(wù)，并督促管理人員在關(guān)注財務(wù)目標實現(xiàn)情況的同時，也關(guān)注顧客滿意、公司內(nèi)部過程效率等方面的非重要財務(wù)，并通過獎懲并重的方式促使預算有效執(zhí)行，提高員工參與預算的積極性。

2.改善公司的固定資產(chǎn)管理

首先，企業(yè)應(yīng)完善固定資產(chǎn)的質(zhì)量控制環(huán)節(jié)。企業(yè)在固定資產(chǎn)管理工作過程中，還必須編寫企業(yè)固定資產(chǎn)管理工作卡，將企業(yè)的各項資料錄入企業(yè)固定資產(chǎn)管理卡內(nèi)，以便于企業(yè)及時了解固定資產(chǎn)狀況。其次，企業(yè)應(yīng)優(yōu)化盤點環(huán)節(jié)。企業(yè)在固定資產(chǎn)盤點過程中，還必須根據(jù)企業(yè)盤點的結(jié)果進行編寫盤點清單，并將盤點清單和企業(yè)卡片進行核對，分析是否存在賬實不符的問題，對于差異需要出具差異分析報告，通過差異分析報告落實相關(guān)責任，之后對固定資產(chǎn)進行賬面調(diào)整。再次，企業(yè)應(yīng)完善固定資產(chǎn)的處理環(huán)節(jié)?？梢哉髲U的固定資產(chǎn)應(yīng)由所用主管部門撰寫報廢單，在通過一般的審核程序之后由財政部門做出賬務(wù)處理，至于重大企業(yè)的處理則要交給第三方中介機構(gòu)進行企業(yè)估價。

（三）從戰(zhàn)略角度對內(nèi)部控制環(huán)境進行優(yōu)化

根據(jù)目前全員企業(yè)風險管理意識普遍低下的狀況，公司需要在戰(zhàn)略層次上把風險管理意識引入內(nèi)控管理體系之中。企業(yè)管理者應(yīng)先分析企業(yè)內(nèi)部對風險的偏好，并評定公司可以承受的風險級別，再利用SWOT分析法對公司的戰(zhàn)略風險進行分解，并提出公司自身的優(yōu)點、劣勢、遇到的機會和面臨的威脅，然后從這4點入手對企業(yè)的內(nèi)控環(huán)境予以優(yōu)化。比如，在組織結(jié)構(gòu)方面，企業(yè)管理者基于戰(zhàn)略角度設(shè)立風險管理委員會及專項委員會，由風險管理委員會設(shè)計和實施整個風險管理方案，并在專項委員會中配備專門的風險管理人員，對企業(yè)重點項目進行風險專項管理。此外，企業(yè)還應(yīng)在公司文化中加入了公司的風險管理意識，讓公司員工在進行內(nèi)控活動的過程中意識到了公司風險管理的重要意義，把經(jīng)營風險防范當成了自身的行動指南，從而最大程度減少經(jīng)營風險給公司所造成的不良影響。另外，企業(yè)應(yīng)加強對公司員工風險管理方面專業(yè)知識的培養(yǎng)力度，每年定期錄用優(yōu)秀的大學生作為人力資源儲備，吸納外部成熟人員彌補公司人力資源不足的短板，改革薪資體系，為公司員工提供一個平等、公正的職業(yè)晉升環(huán)境。

（四）高度重視文化建設(shè)

每個公司都有特定的文化內(nèi)涵，其必須根據(jù)公司當前設(shè)定和未來目標而確立，以此來明確公司文化的目標和內(nèi)涵，形成公司文化的框架。讓公司當好領(lǐng)頭羊，建立積極正確的公司核心價值觀，有效激發(fā)各部門員工的向心力，極力激發(fā)公司的中高層領(lǐng)導人員推動公司做好文化建設(shè)，成為品牌構(gòu)建中的引導功能，實現(xiàn)全體員工對公司文化的歸屬感和認同感，讓公司運營和公司品牌相結(jié)合，以此提高公司品牌知名度，提高員工的品牌自信。企業(yè)應(yīng)高度重視企業(yè)文化推廣普及工作，企業(yè)領(lǐng)導人要發(fā)揮表率作用，開展培訓活動、宣講會、公司團建等活動讓企業(yè)員工深入了解在內(nèi)部控制工作中企業(yè)文化的重要性。另外，企業(yè)還需要確保各部門人員分工明確，將內(nèi)部控制如實推行下去，每個部門管理人員在管理期間都要高度關(guān)注不足和優(yōu)點，竭力做到優(yōu)點繼續(xù)保持并優(yōu)化，不足及時化解。

（五）加強管理人員素質(zhì)，提升企業(yè)內(nèi)控執(zhí)行

有些分支企業(yè)的內(nèi)部管理人員主要為兼職，專業(yè)能力和個人素養(yǎng)水平參差不齊，嚴重制約著內(nèi)部管理實施的效果和效率。人員作為企業(yè)內(nèi)部管理的執(zhí)行基礎(chǔ)，卻缺乏專門的管理理論知識與個人的管理素養(yǎng)做其補充，再完善的內(nèi)控制度也是空談。實現(xiàn)內(nèi)部管理制度的質(zhì)量的根本條件就在于人員自身的管理勝任能力和素質(zhì)，更何況更大的挑戰(zhàn)源自于組織層級。所以，企業(yè)不僅要完善的風險管理部門與管理人員，也對其專業(yè)知識和素養(yǎng)加以嚴格的檢測，并開展專門的適合于企業(yè)實踐的培訓活動，以提高管理層的有效執(zhí)行力。

（六）依托計算機技術(shù)強化企業(yè)信息化建設(shè)

在科學技術(shù)不斷進步的今天，計算機技術(shù)大大提高了工作效率和信息傳播的速度。在此背景下，企業(yè)應(yīng)不斷強化自身的信息化建設(shè)，利用計算機技術(shù)，基于自身實際業(yè)務(wù)，以完全開發(fā)的形式設(shè)計出完整的信息管理閉環(huán)鏈條。對財務(wù)模塊進行標準化，將風險管理融入 ERP 系統(tǒng)中，將內(nèi)控管理活動簡單化、清晰化，所有的業(yè)務(wù)操作都通過信息化系統(tǒng)展開，以此獲取更多的企業(yè)經(jīng)營信息，形成企業(yè)數(shù)據(jù)資源，從而進行企業(yè)大數(shù)據(jù)分析。只有這樣，才能充分利用企業(yè)的數(shù)據(jù)資源，促進內(nèi)部控制管理活動有效開展。

（七）構(gòu)建完善的監(jiān)管體系

為實現(xiàn)內(nèi)控管理活動效果最大化、風險成本最小化，企業(yè)需構(gòu)建起完善的監(jiān)管制度，通過建立財務(wù)人員委派制度、內(nèi)審監(jiān)督制度、內(nèi)控評價機制等一系列制度來實現(xiàn)對企業(yè)所有內(nèi)控活動的監(jiān)管。通過財務(wù)人員委派制度設(shè)立第一風險責任人，對各項業(yè)務(wù)的風險責任進行明確，對重點崗位進行財務(wù)監(jiān)督。風險管理委員會牽頭建立內(nèi)控評價小組，對企業(yè)內(nèi)部整體控制活動進行評價，對風險等級高的資金、采購、銷售等業(yè)務(wù)流程著重進行穿行測試。

結(jié)語

綜上所述，中小企業(yè)要想在如此強烈的國際競爭中站穩(wěn)腳跟，就應(yīng)在現(xiàn)代風險管理視野下嚴格進行內(nèi)部管理，從嚴把控企業(yè)內(nèi)部控制工作的各個環(huán)節(jié)，促使中小企業(yè)取得長期、健康、平穩(wěn)的發(fā)展。而事實上，當前的公司內(nèi)部風險內(nèi)容管控工作實施成效仍亟待進一步提高，從而導致民營企業(yè)陷入了多重困局。所以企業(yè)應(yīng)當增強自身風險控制意識，通過優(yōu)化內(nèi)部管理環(huán)境、明晰職責界定、完善內(nèi)部內(nèi)控機制等舉措，協(xié)助企業(yè)突破困局，推動戰(zhàn)略發(fā)展目標的實現(xiàn)，從而確保國有企業(yè)效益能夠最優(yōu)化，并推動了民營企業(yè)的長遠健康發(fā)展。