胡常娟

以风险为导向的中小企业内部控制建设与应用——以L公司为例

胡常娟

文章在依托内部控制理论及研究观点的基础上，以2008年财政部联合证监会、审计署、国资委、银监会、保监会五部委制定的《企业内部控制基本规范》和《企业内部控制配套指引》为依据，结合L公司所属集团公司的内部控制体系，以及L公司实际经营特点，分析L公司业务流程中不同风险控制点，构建了一套适合L公司业务特点的内部控制体系。

内部控制；风险管理；内部控制体系框架

一、提出问题

内部控制，是指组织以提高运营效率，充分和有效地获取和利用资源，实现管理的既定目标，并组织约束和规范内部实施，计划，方法和程序。各种程序制约的各类活动是内部控制的客体。主体是组织的领导者、管理部门及组织内全部成员。组织内的业务活动、财务活动、管理活动必须有控制制度，这一系列的控制制度是互为关联相互支撑的体系，执行这些互为关联的制度，才能使组织的目标得以实现。

我国于2008年发布的《企业内部控制基本规范》中，给出的定义描述是，是由经理、监事会成员、董事会成员和全体职工负责实施，旨在实现经营目标的过程。

综上所述，内控是一种体系，一种管理体系，它是经营管理过程的重要阶段，它为了提高管理效能的先进方法，是实现组织管理高效化、专业化的基本条件。

几乎所有中小企业发展初期内部管理侧重技术和市场，它们通过科技创新开发出更多新产品满足企业发展需要。当中小企业技术发展到一定程度，市场竞争越发激烈，为避免运营管理成为制约企业发展的瓶颈，必须提升内部运营管理水平。目前国内关注内部控制制度构建与应用的企业较多集中在上市公司或者是大型集团公司，中小非上市企业研究和建设内部控制的较少。

本文研究对象L公司是央企的孙公司，作为母公司央企必须按照规范构建符合自身风险控制的内部控制体系。然而，母公司内部控制体系毕竟不能涵盖下属子公司和孙公司经营过程中所有风险，因此，作为独立经营主体的孙公司L在依托母公司内部控制体系的基础上，需要构建适合自己公司经营特点的内部控制体系，才能够从根本上防范风险。

二、L公司基本概况及存在问题

（一）L公司基本概况

L公司作为D集团下属孙公司，是由D集团的二级子公司Z公司、无锡地方政府创业投资基金、创业管理团队于二零零九年共同出资组建的“移动互联网产品及解决方案”设计公司，公司位于无锡蠡园开发区工业设计园530大厦。公司股权结构如表1。

图1　组织架构图

1.L公司三级组织架构

L公司内部组织架构图如图1所示：

L公司作为D集团下属三级孙公司，在集团文件下达后积极响应，成立了以公司负责人为领导，财务部经理为具体联系人，各部门及各部门骨干人员为组员的组织架构，其中三级组织架构列示如下图2：

图2　公司三级组织架构

2.L公司内部控制存在的问题

总体而言，从组织结构层面分析，公司部门设置完整，法人治理结构规范。但是，L公司在经营过程中还是存在如下问题：

（二）公司层面内控制度设计缺乏双向互动环节

1.企业管理制度方面

L公司有一套包括各项规章制度文件并得到实施，但从完整性和系统性讲管理制度还是存在不完善和不完整的缺陷，在财务管理环节就存在预算管理制度缺失，在人力资源管理环节缺陷体现在个人绩效考核管理制度空白。此外，企业整体的信息系统也在缺失和失控状态，只有简单的财务信息系统。现有的内部审计、授权审批、职能岗位分离等内控手段，没有具体明确执行标准及标准流程，管理效果主要依靠道德准则的约束来发挥效果。

2.企业文化方面

公司内部还没有进行过风险管理和内部控制的知识培训，对相关概念还处于模糊的状态。由于D集团全部子公司都必须按要求建立内部控制体系，高层对建立以风险导向的内部控制体系的态度积极，但占大多数的基层员工对整个L公司内部控制意识淡薄。所以公司内部控制制度的建设和执行是“自上而下”单向流向，缺乏“自下而上”的互动环节，因此内部控制执行效果不够好。

（三）业务操作层面管理风险控制薄弱

L公司作为一家国有控股的三级孙公司，由于它隶属于中央军工企业在内部控制管理中是比较规范的，组织结构完整合理，企业治理比较规范。但是，由于公司的主要经营由总经理负责，加上公司处于研发成果刚刚投入大规模生产阶段，导致了虽然L公司建立健全了各项管理制度文件，却没有形成完整的体系，因此对于有些制度的缺失，会造成公司损失的风险都无法防范于未然，等待风险出现后才采取应对措施为时已晚，造成公司财物损失。

对于注册资本相对较少的中小企业而言，公司的供应链和资金链扮演着重要角色。供应链和资金链的流转稍有偏差有可能就会给中小企业带来灭顶之灾。由此可见中小企业的“财库”——财务管理的风险防范能力、制度健全，流程完全与否就显得格外重要。

L公司在财务管理方面存在制度不健全、流程缺失的情况，因此，L公司在内部控制体系建立过程中，需要重点关注财务管理模块的构建。

L公司的业务运作方式是公司营销中心负责承接业务，再由销售后勤将订单信息传递给运营管理部的生产调度，由生产调度将订单信息转化为生产指令下达给外协单位，同时将用料需求发送给仓库保管员，仓库保管员将所需物料发给外协单位进行加工生产。外协单位生产完成后，直接按照销售订单的信息将产品发给L公司的客户。由于外协单位不在本地，因此，实行的是每月由外协单位上报材料库存数，每季度进行材料盘点。

在财务管理过程中，由于L公司目前规模较小，财务人员配备为财务部经理1人，成本会计、材料会计及出纳各1人。财务部门建立和完善企业内部会计监督制度。在资金调度、资产处理、重大投资及其他重要经济活动进行决策和执行。由于人员有限L公司在财务业务处理过程中，出纳只负责业务记账但不兼管稽核、会计档案保管工作。

图3　集团公司组织结构图

三、L公司内部控制体系构建思路

为了保障内部控制体系建设工作有序进行，L公司成立了专项工作组。其中内部控制专项工作组主要负责组织开展内部控制体系建设工作，全面风险管理专项工作组主要负责开展内部控制体系评价工作及向Z公司报送评价报告。各专项工作组应全程参与、协同推进开展内部控制体系建设工作。运用“四位一体”的方法论来构建L公司内部控制体系。

（一）以风险为导向

防范避免风险是内控体系建设目的归宿，利用风险识别找出企业各环节中的风险，并对风险进行轻重评估，根据严重程度和频繁程度确定控制目标和对象，减少甚至避免风险的发生，降低企业经营风险。

（二）以流程为对象

流程是风险识别和控制的对象，流程是风险发生的主题也是企业内控的环节，业务流程是风险管理的落脚点也是内部控制的对象，企业的经营活动分解后都承载在业务流程各环节，内部控制和风险管理都发生在流程之中，借助通用业务流程目录对企业的业务流程进行整理，并在内部控制框架指导下，绘制各个业务的流程图，实现企业的流程再造。

（三）以控制为手段

控制活动作为手段，主要是针对风险点，在企业业务流程中建立控制措施。明确谁（岗位）通过采用哪些具体方法来负责对该业务执行控制，并且要留下控制实施的哪些证据。

（四）以制度为平台

管理制度是业务流程规范化的体现，也是控制风险的操作依据。全部的制度集合各业务环节风险及控制活动、关联环节的控制措施，制度是管理平台的工作界面，或者说是风险管理的措施集合。开展风险管理首先收集整理修正企业现有的管理制度，并汇编成册，然后开展风险的控制活动。

“以制度为平台”构建企业内部控制体系主要有以下两个原因：首先，管理制度是企业内部控制体系运行的支撑平台，管理制度涉及了业务流程的各环节，分岗位说明书、操作规范、权责关系等形式。其次，完善内部控制体系不仅包含容易控制的显性因素还包括不易控制的隐性因素。这些隐性因素包括权力和责任分配、企业文化、反舞弊、职业道德、社会责任等隐性因素，这些隐性因素的控制管理必须通过制度规范来达到目的。

四、构建以风险为导向的内部控制体系

（一）L公司内部控制活动设计—资金活动业务流程

1.流程描述

资金活动是企业投资、筹资和资金营运等的总称。

筹资是为了满足生产经营、发展需要，通过借款等形式筹集资金的活动。

筹资管理包含筹资方案编制、筹资实施、筹资监控等流程及相关控制。

图4　筹资管理流程图

投资管理主要是股权形成或变更过程中所涉及的投资和有关管理。股权投资活动作为企业一种盈利活动，是对筹资成本补偿和企业利润的一种贡献形式。投资管理包含股权投资、股权管理、股权处置等流程及相关控制。

图5　投资管理流程图

资金营运是指企业防范和控制资金风险，保证资金安全，提高资金使用效益的行为。

图6　资金运营流程图

2.主要风险描述

（1）方案编制不完善未经过充分论证，筹资方案未经过必要的审批、未能及时根据金融环境变化调整筹融资方案，可能导致筹融资成本过高或筹融资不足。

（2）财务公司贷款未经有效审批。

（3）财务公司贷款入账不及时、不准确。

（4）利息偿付不及时、不准确。

（5）财务公司贷款到期未及时还款，或未经有效审批。

（6）对外借款未经有效审批。

（7）还本付息不及时。

（8）投资计划不明确、不合理。

（9）没有取得符合规定的长期股权投资证明文件。

（10）股权投资发生重大变化未及时报批。

（11）投资业务记录不真实、不准确、不完整。

（12）投资业务资料未及时、完整归档并妥善保管。

（13）未及时有效监控投资公司业务运行情况。

（14）利润分配方案未经有效审批。

（15）分红未及时入账。

（16）股权转让方案制定不合理、不科学，未经有效审批。

（17）未按规定进行资产评估。

（18）股权转让交易价格不合理。

（19）股权处置收支未及时、准确入账。

（20）资金计划或资金需求超预算或未经有效审批。

（21）资金计划调整未经严格审批。

（22）账户开立、变更和撤销未经有效审批。

（23）银行存款资金支付未经有效审批。

（24）银行存款账实不符。

（25）网上银行开通未经有效审批。

（26）未经过授权的人员操作网上银行交易。

（27）不相容职责未分离。

（28）票据使用未经有效审批。

（29）票据管理不善，可能导致票据被遗失、伪造或盗用。

（30）票据出现问题，与实物不符。

（31）应收票据不是专人保存。

（32）未核对盘点应收票据。

（33）应收票据的取得和贴现未经审批。

（34）防止票据欺诈。

（35）出纳岗位未按相关规定进行岗位分离和轮换。

（36）现金收款业务未经授权。

（37）现金收付未经有效审批。

（38）现金收入、支付不符合相关法律法规的规定。

（39）库存现金余额账实不符。

（40）库存现金超限额。

（41）往来科目金额列示不真实。

（42）长期挂账的款项未得到及时处理。

（二）建立风险评估管理体系

风险评估是一个动态过程，而且过程复杂，L公司对经营活动中的可能存在的风险进行识别、分析，以确定应对措施。进行风险评估是为了了解和评价公司的经营状况、经营环境，建立安全保障体系、制定安全策略。L公司的风险评估体系由风险评估管理（进行评估的内容、时间、调整以及责任等）、风险评估反馈（反馈的方式、程序等）和风险管理应对措施（应对的方式、管理部门、应对程序和执行状况）组成。如图7所示。

图7　公司风险管理体系

L公司在董事会下设立风险管理委员会，公司有完善的风险管理程序文件，按照公司设定的目标，更新信息资源库。采取一定的方法（定性分析方法和定量分析方法）识别内外部风险。公司风险评估部门每年年初制定风险评估总体方案，经风险管理委员会审批后下发至各部门。各部室按照总体方案的要求，采用案例分析、问卷调查、访谈、小组讨论、征求专家意见、参考风险历史数据库等方法，进行公司风险识别工作，确定公司的经营活动及各业务流程单元中是否存在风险，有什么风险。评估管理部门根据反馈的风险信息，采用定性与定量相结合的方法，依据影响程度、发生的可能性等风险评价标准，对风险进行评价，确定风险类别。依据收集到的风险信息，各职能部门按风险类别进行汇总。在开展风险识别工作基础上，按要求实施风险反馈。各部门结合公司各业务情况、战略目标、不同发展阶段，收集风险信息，进行风险评价等活动，及时制定风险控制方案。

（三）健全内部信息传递体系

内部信息传递指的是企业各部门之间进行的信息交流与沟通，是生产经营管理信息在企业内部的传递过程。内部信息主要包括经营信息、财务信息等。

图8　L公司的信息与沟通体系

（四）建立内部监督机制

内部监督指的是对构建的内控体系及持续改进情况、实施情况进行内部监督检查的活动，目的是提高其有效性。

1.内部监督的分类：缺陷报告、专项监督和日常监督。

（1）缺陷报告指的是缺陷报告建立健全机制，制定缺陷规范，向有关人员及董事上报内部控制缺陷的程序。

（2）专项监督指的是在关键岗位员工、业务流程、经营活动、组织结构、发展战略等发生重大变化和调整时，某一方面或某些方面进行的监督检查。

（3）日常监督是对构建的内控体系持续改进情况、实施情况进行日常监督检查。

2.内部控制缺陷的分类：

（1）从缺陷来源而分，包括运行缺陷和设计缺陷。

运行缺陷指的是运行过程中缺陷，内部控制设计是有效的，但运行不当造成的缺陷。设计缺陷指的是设计环节中形成的，即使正常运行也难以达到控制目的，企业缺少为实现控制目标必要的控制，或者是控制设计不适当。

（2）从对经营目标影响的严重与否来分，分为一般、重要和重大缺陷。

重大缺陷指的是缺陷可能会导致企业严重偏离目标。当存在任何重大缺陷时，应当在评价报告中做出“内部控制无效”的结论。

重要缺陷严重程度低于重大缺陷，导致企业偏离目标，应当引起管理者的足够关注。

除重要缺陷、重大缺陷之外其他控制缺陷为一般缺陷。

（3）从影响内部控制目标实现的具体表现形式，可以将内部控制缺陷分为非财务报告缺陷和财务报告缺陷。

（五）建立内部控制自我评价

内部控制自我评价：就是对内控体系有效性进行评估，发现问题及缺陷，持续改进的过程，包括缺陷报告、独立评估、持续监督等。内部监督包括自我评价、持续改进等。

图9　内部控制评价程序

五、主要结论

（一）内部控制体系建设因“企”而异

由于企业自身的特性以及企业所处行业、外部环境不同，所以不同企业面临的问题是如何构建符合企业自身的具有企业特色的内控体系，设计出适合企业自己业务活动特点的内部控制业务流程及内部控制制度。企业应结合大的经济环境和企业实际问题，以《企业内部控制基本规范》及《企业风险管理整合框架》为依据，从信息与沟通、风险应对、风险评估、风险识别、目标制定、监控、内部环境、控制活动等八要素出发，建立公司和业务层面的内控体系，通过具体实施内部控制制度和内部控制业务流程发现存在问题缺陷，在此过程中不断改进内部控制体系，确保内部控制体系适合企业自身并为企业提供防护、调节和反馈等功能，更好地发挥内部控制相互制约又统一融合的作用，以及促进和激励等作用，帮助企业更加重视内部控制体系设计的科学性、有效性及合理性。

（二）内部控制体系建设为企业保驾护航

通过对L公司内控体系构建的研究分析可以看到，内部控制不仅仅是财务会计部门的内控，而是对公司所有业务流程的全方位管控。如今整体经济形势不景气导致了许多企业破产，出现了前所未有的倒闭潮，分析原因则是多方面的，低劣的管理水平及各种舞弊，越来越激烈的市场竞争等。企业要在这些不利环境和状况下求得生存并发展进步，只有建立一套科学的行之有效的内控体系，不断提升企业的管理水平，防范各种风险，提高企业抗风险抗击打的能力，才能实现企业可持续健康发展。

（三）内部控制体系八大要素缺一不可

通过对L公司深入分析，可以看出内部控制八个要素是相辅相成互为关联的，各阶段都发挥着各自的作用，这些阶段包括内部控制体系的分析、构建、评估和改进等。它们之间既是自成体系、相互独立，又密切关联，前提是控制环境，风险评估是根据，载体则是信息与沟通，而监督是保证、控制活动是措施。

［1］李凤鸣.内部控制学［M］.第二版.北京:北京大学出版社，2012：3-4.

［2］财政部.企业内部控制规范，2008.

［3］张廷伟.以风险为导向的J集团公司内部控制体系构建研究［D］:新疆.新疆大学管理学院，2014.

胡常娟，女，湖北荆州人，中科芯集成电路股份有限公司。

F276.3

A

1008-4428（2016）10-48-05