基于风险管理的企业内控体系建设研究
2022-11-14李伟
李 伟
(山东济南建邦黄河公路大桥有限公司,济南 250000)
0 引言
国民经济的快速发展给我国企业的发展带来了良好的机遇,推动了各行各业高速发展,但也给企业带来了发展难题。同时,随着国内外研究人员对风险管理框架的研究不断深入,企业内控体系的建设环境日趋复杂。此外,我国内部控制体系在2010 年已经基本建立,相关配套指引体系也日趋健全,促使企业必须尽快完善自身的内控体系、不断降低企业成本、提高企业经营效益。在此背景下,构建起具有中国特色的企业内控体系成为企业管理人员的首要任务,如何增强企业应对风险的能力成为研究的重中之重。
1 内部控制及风险管理概述
1.1 内部控制的概念
企业中的内部控制主要指的是公司董事会及管理者、基层员工为实现某一目标而开展的各项活动的总和,也是为了保证目标实现而实施的一系列程序。可见,内部控制主要指的是一个过程,一种集合了程序、政策实施及组织结构的综合体。内部控制的要素包括控制环境、风险评估、控制活动、信息沟通以及监控这5 项,公司在进行内控体系研究和建设的过程中应着重对这5 个要素进行分析。
1.2 风险管理的概念
风险是一个比较复杂的概念,其具有很强的广泛性,在不同的领域有不同的表现。企业风险主要指的是在经营过程中给企业营利带来的所有不确定性,具体包括经营风险、财务风险、战略风险、市场风险和法律风险等。
1.3 内部控制与风险管理之间的关系
事实上,内部控制与风险管理之间保持着紧密的联系,内部控制的本质就是风险管理。风险不仅包括内部风险,也包括外部风险,而对企业内部的风险予以控制就是内部控制。风险管理则是内部控制的发展,拓展了内部控制的内涵。因此,在研究过程中将内部控制与风险管理一体化、在风险管理的视角下建立企业内控体系是管理的必然趋势。优化内控管理措施可以有效避免企业资金流失,提高企业资金的使用效率,实现企业经营利润最大化,推动企业长远发展。
2 当前我国企业风险管理中普遍存在的内控问题
2.1 内控环境较差
当前,我国很多企业中都存在内部控制环境差的问题,如组织规划不完善,没有设立战略制定与风险管理委员会,没有基于自身经营特点来完善组织结构等。在人员培训方面,缺乏与时俱进的培训方式,员工对业务知识的理解不够透彻,特别是缺乏对风险管理方面的学习,导致风险管理的措施无法落实到位,员工的风险管理意识较差。此外,缺乏与时俱进的人才培养制度。很多企业虽然制定了与风险管理相关的培训制度,但因为时代的发展,培训制度跟不上企业发展的速度,大企业病逐渐暴露出来,且越积越多。
2.2 缺乏科学的风险管理制度
当前,我国很多企业对风险管理不够重视,特别是领导管理层,没有从整体层面对企业内部开展系统化的风险管理,只是在风险发生之后被动地解决风险问题,然后推出一些零散的应对措施,导致各部门之间的风险管理措施有所重叠,甚至增加了企业的管理成本。同时,这种被动的解决方式缺乏对风险的预警,在日常工作中没有进行专门的风险预测,全凭经验进行预估,这种主观的判断方法缺乏科学的依据,会出现预测错误。
2.3 控制活动开展不合理
很多企业在开展企业内控活动时往往无法获得良好的效果,究其原因是企业的控制活动开展得不合理,如在资金管理方面,很多企业缺乏对项目资金的动态追踪,对资金的流向缺乏严密的把控。比如,2021年5 月网上曝出碧桂园山东济南公司一名“90 后”男出纳挪用企业公款4 826 万元的丑闻,不仅给碧桂园带来了资金流失风险,更给企业内部埋下了贪腐的隐患。在应收账款的管理上,企业通常会使用预付款来缓解内部的资金压力,但受资金周期的影响,企业极易出现资金断流的情况,企业的应收账款也会因人情等因素无法及时到位,导致企业经常处于资金匮乏的状态。
2.4 信息沟通不畅
目前,我国很多企业都使用办公自动化(Office Automation,OA)系统进行日常打卡和工作报告的审批,用微信沟通工作内容。如此一来,很多企业极易发生信息泄露问题,也不利于企业数据库的建立。虽然很多大中型企业会用企业资源计划(Enterprise Resource Planning,ERP)系统作为内控信息的传递平台,但对ERP 的使用流于形式,没有真正发挥出ERP系统的效用,甚至需要业务人员录入传统表格信息作为ERP 数据进行展示,不仅使工作内容重叠,而且费时费力,效率低下。
2.5 缺乏监督评价机制
很多企业比较注重内控体系的事中控制,忽视对内控的事后反馈及监督,缺乏监督评价机制,对很多内控活动的有效性无法进行有效的评价,企业无法判断自身内控活动及制度的准确性,内控效果得不到保障。另外,由于缺乏监督评价机制,企业无法对整个内控过程予以监督,即便出了违规事件,也没有合理的流程对其进行处理,员工的内控意识不足,这种低廉的违规成本也容易导致员工产生更多的违规行为,埋下更多的风险隐患。
3 基于风险管理的企业内控体系优化策略
企业的内控体系应该包含企业生产经营过程中的方方面面,如企业的内部环境、信息管理、业务流程管理、内部监督等。企业应该对内部控制环境予以优化,对企业内工作人员的行为、态度予以纠正,对企业管理结构及内部架构进行完善,打破企业“信息孤岛”,与市场建立起畅通的信息沟通渠道。同时,企业要对内部的业务流程予以不断完善,区分企业核心业务与其他业务,为核心业务提供更好的资源及服务,从而增强企业核心竞争力。此外,为保障企业始终走在正确的发展道路上,企业还需要对内部监督机制进行完善,保障内控体系、内控制度有效执行,促使每一项内控管理措施都能得到贯彻落实。
3.1 构建全面的风险管理内控机制
为提高企业内控管理水平,企业在开展风险管理工作时首先应该构建起全面的风险管理内控机制,不仅要建立事前风险预警机制,还要建立事中风险评估机制、事中风险应对机制和事后风险监控机制,将整个风险管理都融入企业的内控管理活动中。通过事前风险预警机制消除和控制企业隐藏的风险和展露苗头的风险。通过事中风险评估机制对风险发生的可能性及其对企业的影响程度进行风险排序,有标准、有针对性地开展内控工作。事中风险应对机制是对风险定量、定性之后构建起的一套风险应对机制(包含风险规避、风险承受、风险降低和风险分担)。事后风险监控机制是对已经发生的风险进行动态监督,对风险的变化情况实施监控,对已经识别出的风险进行监控,可以有效控制风险带来的损失。
3.2 从战略角度对内部控制环境进行优化
针对全员风险管理意识较低的情况,企业应该从战略层面将风险管理纳入内控管理中,分析企业对风险的偏好,评估企业可接受的风险等级,运用SWOT分析法对企业的战略风险予以分析,指出企业自身的优势、劣势、遇到的机会和面临的威胁,然后从这4点入手对企业的内控环境予以优化。比如,在组织结构方面,基于战略角度设立风险管理委员会及专项委员会,由风险管理委员会设计和实施整个风险管理方案,并在专项委员会中配备专门的风险管理人员,对企业重点项目进行风险专项管理。另外,在企业文化中融入风险管理意识,使员工在开展内控活动的过程中认识到风险管理的重要性,将风险预防作为自己的行动指南,最大程度降低风险给企业带来的不良影响。此外,加大对员工风险管理方面知识的培训力度,每年定期招聘优秀的大学生作为人才储备,引进外部成熟人才补齐企业人才缺失的短板,改革薪酬制度,为员工创造一个公平、公正的职位晋升环境。
3.3 对内控活动予以科学控制
企业在对内控体系予以优化时,需要对内控活动进行科学的控制。比如,在资金管理方面,企业应对资金进行集中管控,不管是分公司还是子公司的资金,都集中到集团公司进行统一管理,将资金投入到优势业务中,提高企业资金的使用效率,规范资金收支,更好地防范风险。同时,通过全面预算财务管理模式,对企业的采购、销售业务进行重点管控,对应收账款进行合理的管控,将物流、资金流、客户流三流分开,使三者互相制约,进行垂直管理,使管理更顺畅,避免出现新的风险点;设置清欠部门,加大欠款清收力度,采取有效手段回笼资金,确保完成应收款清收任务。
3.4 依托计算机技术强化企业信息化建设
在科学技术不断进步的今天,计算机技术大大提高了工作效率和信息传播的速度。在此背景下,企业应不断强化自身的信息化建设,利用计算机技术,基于自身实际业务,以完全开发的形式设计出完整的信息管理闭环链条。对财务模块进行标准化,将风险管理融入ERP 系统中,将内控管理活动简单化、清晰化,所有的业务操作都通过信息化系统展开,以此获取更多的企业经营信息,形成企业数据资源,从而进行企业大数据分析。只有这样,才能充分利用企业的数据资源,促进内部控制管理活动有效开展。
3.5 构建完善的监管体系
为实现内控管理活动效果最大化、风险成本最小化,企业需构建起完善的监管制度,通过建立财务人员委派制度、内审监督制度、内控评价机制等一系列制度来实现对企业所有内控活动的监管。通过财务人员委派制度设立第一风险责任人,对各项业务的风险责任进行明确,对重点岗位进行财务监督。风险管理委员会牵头建立内控评价小组,对企业内部整体控制活动进行评价,对风险等级高的资金、采购、销售等业务流程着重进行穿行测试。
4 互联网背景下企业内控管理的要点
随着大数据时代来临,“互联网+”对企业发展的影响越来越大,企业在完善内部控制体系时也应充分考虑到互联网和大数据给企业发展带来的风险,基于该视角对自身的内控体系进行不断的完善,充分利用互联网技术的便捷性,提高企业内控管理效率。对于互联网给企业带来的管理风险,企业也应采取相应的措施来规避,缓解互联网带来的负面冲击,解决企业内控管理中的顽固问题。
首先,将内控体系建设与信息技术紧密联系起来,积极运用信息技术以及信息化管理理念,构建起信息化的流程控制制度,提高企业的管理水平与信息传递速度。需要注意的是,信息技术与内控体系是两个不同领域的不同概念,企业在运用过程中应该将二者进行科学融合。另外,信息技术在应用过程中必然会产生一些新的内控问题,针对这些问题,企业应该统一进行管理、探讨和解决,收集相关的信息,从而形成一套成熟的信息内控处理机制。
其次,企业要不断提高员工的信息技术水平和知识技能。互联网技术的应用让企业人力成本及工作压力有所降低,但对企业员工的素质提出了新的要求,需要加强对员工互联网知识储备技能的培训。企业在内控体系中融入信息技术本意是为提高企业生产效益,降低劳动成本,但如果企业员工的互联网技能掌握不足,就会对企业造成巨大损失,反而导致企业成本上升,这与内控管理的原则背道而驰。因此,企业在内控管理中应不断提高员工的知识水平和技能水平。
5 结语
在当前我国企业的内控管理中,很多企业都存在内控环境差、缺乏科学的风险管理制度、控制活动不合理、信息沟通不畅以及缺乏监督评价机制等问题,企业面临风险时无法有效解决,因而难以保障企业的正常经营。对此,企业管理人员需要加大对内控的研究力度,通过对企业内控体系的优化来增强应对风险的能力,提高企业的综合实力,推动企业长远发展。