成黎

【摘 要】内部控制作为现代企业管理的重要组成部分，是企业风险管理的解决方案之一，是企业实现飞跃的内在需要和重要保障。目前，国企内部控制仍处于起步阶段，面对中国国有经济的错综复杂，全世界也都没有可以借鉴的成熟模型。因此，如何制订符合国有企业实际情况的内控体系管理？如何探索出内控体系管理的新理念、新思路、新方法？如何行之有效地利用内控体系管理来规避企业风险？成为了国有企业为实现经营目标，保证经济活动高效运行的关键。本文以公司的内部管理控制和风险管理为立足点，着重阐述国有企业如何初期开展内控管理过程。希望通过笔者一些想法与见解，与众多学者们在各个专业领域机构一起共同研究与探讨。

【关键词】内部控制；内控管理体系；风险控制管理

一、内部控制概念和目的

所谓的内部控制是企业为保证经济活动正常进行所采取的一系列必要的管理措施。内部控制环节包括控制环境、风险评估、控制活动、信息与沟通、监控活动五个要素。目的在于促进企业组织的有效运营与降低风险。内部控制可分为内部管理控制和内部会计控制，内部管理控制包括企业内部除会计控制外的一切控制。由于内部会计控制属于财务范畴，此处将着重从内部管理控制的角度，探讨公司的内控管理及风险防范。

二、国企内部控制管理现状和运行中存在的问题

ABC公司是一家以水利与环境基础设施建设运营服务商为定位的大型国有企业。近年来，企业以实际状况和业务流程为出发点，保留内部控制、融合QES三体系的个性化要素和文件内容，基于公司管理实际、现有制度建设情况等内容，实现架构统一、全面覆盖、融合优化的标准体系，建立了同时兼顾外部认证监管和内部业务管理需要的内部管理运行体系，并于2017年试运行，形成了《基础管理体系手册》。当然，在取得成绩同时，也应该看到不足，普遍存在一些问题及不足之处，主要在以下几个方面：

1、组织架构设计不科学，权责分配不合理

（1）从治理结构层面看：2018年企业在对公司总部9个职能部门和5家分公司进行内控自我评价时发现，治理结构形同虚设，未按预定的程序或授权进行，缺乏有效执行力。

（2）从内部机构层面看：根据填写的缺陷底稿，与缺陷归口部门沟通确认时发现，授权审批层级设定不合理，权责分配不明确，申请、审核、审批的不相容职务未分离，无法做到PDCA闭合模式。

2、内部控制管理制度设计不完善，日常运营工作基本脱节

（1）内部控制设计和规划不系统、不科学，存在缺陷：公司的内控政策、程序的制订与修改，基本上是由执行控制部门自己修订的，很可能会从本部门的利益角度出发，而忽略企业整体内部控制全局。

（2）内部控制点过于分散，控制不到位，内控制度不健全：公司内控体系或制度的建立，游离于日常管理，管理部门之间的衔接不充分，流程及规章制度过于凌乱，缺乏整合，没有积极修订完善内部控制度与相应配套管理流程。

3、企业不同层次的人员内控意识薄弱、重视程度差

（1）高层对内部控制的重视度不够，弱化下达指令：高层作为企业的決策层，着重关注利润产值、生产经营指标，而弱化内控风险的重要性。

（2）中层对内部控制的执行力度不足，无法有效开展内部控制管理：中层作为企业的管理层，因管理者的素质不同，为维护本部门的利益或者一己私欲，在内部控制设计和执行力度上存有缺陷；对本部门内控人员的素质教育不重视，未进行专业培训和探讨。

（3）底层对内部控制的认知度薄弱，对内部控制不理解：底层作为企业的具体业务层，缺乏实施内控的专业技术人才，以及内控的操作流程与规范。

4、内部控制执行力度不够，责任不明确，缺乏主观能动性

（1）公司制定的流程、制度、控制措施不能有效执行：各级管理人员对内控形同虚设，只是为了应付上级领导检查或股东的需要；遇到具体问题，不按规定程序办理，使内控失去应有的刚性和严肃性。

（2）对内部控制认识不全面，缺乏实施的主动性：各级管理人员对内控缺乏正确认识，甚至存在误解；没有形成有效的监督和激励机制，缺乏积极性和主动性。

5、侧重于对经营利润、物资实物的控制，忽视文化环境的建设

（1）未制订完善的企业文化管理制度：企业内控运行受制于成本与效益原则，而忽视公司文化环境的建设，导致公司员工对企业无认同感、归属感，缺乏凝聚力及竞争力。

（2）未按照内控制度开展企业文化建设工作：无法营造内部控制及风险管理的文化氛围，员工风险意识薄弱；对企业文化建设实施情况不作评估，企业文化建设工作流于形式。

三、加强内控管理工作，制定风险应对策略

1、合理设置内部职能架构，明确职责权限

现有的内控自我评价范围涵盖了公司的主要业务和事项，包括人力资源、财务管理、行政固定资产、销售管理、工程管理、信息系统六个一级流程的修订，特别是销售管理、工程管理流程缺陷数量较多且重要程度较高，占缺陷总数比例为53.3%；信息技术缺陷问题突出，占缺陷总数比例为6.66%。做了以下调整：

（1）按照层级和职能分工的管理方式设置：公司成立内部控制领导组和工作组。主要负责对内控的指导、组织、实施、监督。

（2）按照适当集中或分散的管理方式设置：针对经营业务部门由于职能过于集中而引起的销售管理风险。如：未对项目动态信息管理表进行维护；未对项目进行回标分析等缺陷，可将权力集中的有关职能下放至二层次单位，由分公司自行进行管理，总公司市场经营部门起到指导、监督控制职责。

（3）按照适当修改内控流程文件的管理方式设置：针对生产管理部门内控留痕、规范操作方面缺失。如：未实际开展分包商比选程序、分公司设备租赁合同审核流程缺失等缺陷，公司将生产管理部门提升为工程管理部门，着重加强工程过程权限管理，重新修订部门职责。

（4）按照适应信息流通和开发的管理方式设置：针对信息技术部门关于软件系统开发的管理要求缺失，以及信息系统OA平台与日常流程操作不融合的风险问题，公司根据职责，将技术和信息管理部门分开，使软件开发与信息沟通有效分开，做到不相容职务分离控制，信息的上传、下达和在各业务活动间的传递。

2、内部控制评价设计实施流程：

内部控制评价主要是对内部控制执行有效性的检测。

举例：严格按照《企业内部控制评价指引》，公司在实施开展内控评价时，建立了一套完善的、符合实际的、具有可操作性的内控评价标准，使内控制度在实践中具有可行性。

（1）评价范围：在业务范围选择上，公司严格按照“全覆盖”要求，对公司各个职能部门和分公司全面进行内部控制评价工作。

（2）评价程序与方法：

1）内控评价程序：准备阶段、实施阶段、整改与报告阶段、跟踪整改阶段。

2）内控评价方法：通过现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样检查等方法，充分收集被评价对象的内部控制设计，以及运行是否有效的证据，如实填写评价工作底稿，研究分析内部控制缺陷。

（3）内控评价进度：

1）计划准备阶段：完成自我评价工作方案编制，明确评价工作范围、时间、人员组织、缺陷认定标准；组织培训内控评价工作组成员。

2）评价实施阶段：对公司核心人员及骨干，开展访谈与抽凭工作，自评测试底稿及汇总底稿编写。

格式：

3）缺陷认定及报告阶段：按照比例抽取样本量，进行缺陷认定及汇总，出具自我评价缺陷汇总底稿初稿，并与缺陷归口部门进行沟通确认，制定整改方案，明确整改要求。

（4）评价结果

1）确定内控工作缺陷项：根据评价过程，识别评价缺陷及程序文件落实情况。

2）内控缺陷分析：有效开展缺陷分析，并出具整改方案。

3）内控缺陷整改：跟踪缺陷整改、督促落实整改方案。

格式：

4）跟踪整改阶段：对整改情况进行跟踪和监督，对暂时不能闭合的内控缺陷，研究制订后续整改计划。

3、加强内控培训，提升内控意识

实践证明，强调领导的重视程度与控制责任、提升全员的综合素质、内控知识和技能队伍，对内部控制体系建设是十分重要的。

（1）提高思想认知，加强组织领导重视度。领导层要切实加强对内控工作的组织领导，高度重视内控学习、素质教育培训，身先力行，全面客观评价内部控制设计与执行情况；

（2）开展多种形式的内控培训。联合各职能部门组织开展各种专业培训形式，如：聘请外部专业机构专家上课；通过企业内部构建微信平台；组织开展岗位技能比武活动；与业务部门相互交流学习、分享经验等多种形式。

4、有效开展风险评估，提升风险意识和管理能力

（1）风险分析

公司在考虑成本效益原则的基础上，主要采用了专家咨询、集体讨论、政策分析、行业标杆比较、调查研究等方式，并利用风险矩阵法、事件树分析等，将各類风险认定标准设定为1—5级，并将风险发生的频率及风险发生带来的损失按照五级进行分类，明确五级风险标准，从定量与定性两个方面，将风险划分为：重大、重要和普通三级。定量方面：风险级别根据风险事项的频率与损失等级相乘所得风险级别系数确定。风险等级区间为1—25分，1-8分为普通级，9-16为重要级，17-25为重大级别。定性方面：风险对目标的影响程度级别为4的一律定义为重要级别。风险对目标的影响程度级别为5的一律定义为重大级别。

基于上述风险分析模式，公司初步辨识的风险进行进一步细化及说明，明确了风险事件的表现现状、产生原因、影响的目标和影响结果，作为后续风险评价的基础。

（2）风险评价

根据外部环境、所处行业形势及公司内部实际情况，对相应风险事件进行分析后细化，明确风险展现形式、来源及影响后果，确定“重大”、“重要”、“普通”风险等级。

（3）剩余风险

按照“固有风险-控制措施=剩余风险”理论，进一步识别剩余风险，通过对各项风险指标进行衡量，以“高”“中”“低”等级评定，确认公司剩余风险。

5、建立良好的信息与沟通平台系统，促进内部控制有效运行

企业建立一个良好的信息与沟通系统，可以及时掌握企业运营状况和各类事务。目前开通了行政管理、合同管理、费用报销、电子档案管理等业务，解决了职能权限及审批流程的控制，增强了企业的风险防范与控制能力。

四、内部控制发展趋势及目标方向

对于现代企业而言，内部控制建设和风险管理工作并非轻而易举就能完成的，它是一个长期探索、持续努力的过程。通过二年来的不断努力，ABC公司结合各项内控与风险管理重点，固化控制目标和关键控制点，建立健全管理规程，及时更新规章制度，使得内控融入公司日常管理，实现其对公司管理的价值。而对于未来如何建立和健全企业内部控制系统，提升风险管理能力将成为工作重点，这是国企同仁共同努力的方向和目标。