王琰

（长春圣金诺生物制药有限公司，吉林 长春 130000）

企业往往疏忽了内部控制在企业体系中的重要作用，民营企业只有根据自身的实际情况来制定一条具有自身特色的内控体系，并且在企业不断发展的过程中，根据具体情况来对内控体系做适当的调整，主要都为了确保企业能够长期稳定的发展，能够使企业达到经济利益最大化。不过民营企业在实际操作中，往往会在企业管理结构上出现漏洞，有领导独权的现象，使企业处于失控状态，处于风险的边缘。如果通过严密的内控体系来提高数据的准确科学地分析，利用财务分析更好地服务于经营分析，为经营者做决策时提供更好的依据。

一、企业内控风险管理的重要性

（一）增加了企业竞争性

企业在日常经营活动中，会遇到很多问题。比如，经营发展资金不足，领导者的管理能力弱，员工工作热情和凝聚力不强等。这些因素可能都会对企业的发票经营造成直接或间接的影响，同时也会是企业无法维持住在同行业中的竞争地位，使企业的竞争力下降，容易被其他竞争者所替代。企业的内部控制制度，可以做好企业的风险评估和风险管理，提高企业预防风险的能力。因此，在日益竞争激烈的市场经济环境下，企业在经营发展的过程中，加强内控风险管理工作，有利于增强企业的竞争力。

（二）完善了企业发展机制

企业发展机制一般包括以下几个方面：发展动力、发展目标、发展方式和发展手段。企业的发展机制有利于推动企业自身不断创新发展，提高企业内控风险管理能力，是企业持续经营发展的重要因素。企业的内控管理风险体系是企业发展机制的组成部分，能够加强企业内部结构和风险机构的建设，提高企业内部环境机制，使企业可以在一个健康有序的环境下持续地发展和壮大。

（三）推动了企业发展

有效的内控风险管理工作，可以使内部规范不断地优化。可以通过规范的管理制度和优化的操作流程，使企业各个管理部门的工作统筹起来，且可以确保各个部门信息的真实性、可靠性，实现企业各部门间的分工与合作，严格执行内控风险管理工作，使各个部门责任岗位执行人的本分，这样可以使每个业务得到恰达的处理，充分发挥了企业的整体协调作用，既提高了工作效率，又合理保障了企业的经营发展目标的实现。此外，严格的监督和考核机制，能够保证企业较真实的工作业绩。企业领导可以根据员工实际的工作业绩，采取相应的奖惩制度，这样有利于激发员工的工作态度，能够让员工更努力地投入到工作中，从而提高企业的生产经营效果，推动企业的可持续发展。

二、企业内控风险管理现状

（一）缺乏系统的风险评估

有些企业虽然有一套相对全面的内部控制制度，但是执行力度不够，且缺少监督的环节。不相容职责未能分离，这是企业往往忽略的细节，有时候企业为了节约人员成本，执行一人多岗制，且这些岗位还有不相容职责。对组织架构和岗位职责不明确，缺少对组织架构和岗位设置的进行系统性的分析。有些企业的行政人力没有明确的岗位说明书，对岗位职责没有明确的考核指标，容易引起劳动纠纷。

（二）缺乏内部控制的制度化管理

在企业遭遇到过高管集体跳槽，但在经历短暂的人事震动后，有些企业就能在短短的几个月内就基本恢复了业务正常开展，当年业绩并未受到大的影响，盈利反而创下历史新高，靠的就是企业内部一套完整的制度和流程，用制度来确保业务顺利地进行，而不是依赖于某个业务人员或主管。这是内控体质执行得比较好的成功案例。但是有些企业却经历过人事震动后，就不能恢复正常业务的开展，慢慢走向了下坡路，主要原因就是缺乏系统的，合理的授权审批体系，没有明确的授权审批权限流程，授权审批缺乏统一梳理，政出多门互相冲突，设置不合理的权限，过于集权或放权，典型表现就是一人审批，缺少紧急授权或临时授权，而且授权审批流程设置不合理等。实际工作中内部“救火式”的控制制度较多，没有建立系统的和完整的体系机制，甚至政出多门，互相打架，例如，针对存货管理，仓储部门出台了存货管理制度，其中对存货盘点程序进行了规定；与此同时，财务部门也针对资产管理出台了相关管理制度，其中也包括了存货盘点方面规定，但是两个制度在存货盘点的频率、盘点责任主体、盘点具体程序方面都存在差异，导致无法对控制活动执行启动有效的指导和规范。而且内部控制最严重的一点就是内部控制执行不力，说一套做一套，制度如同放空炮。

（三）缺乏体系化的信息化管理

企业没有体系的信息管理部门，企业上下运用的各类系统没有防火墙的监控，容易遭到黑客的攻击。企业的员工对企业的信息保密意识也不强，对企业的用户名的密码也都设立得很简单，有的甚至还连密码都总忘记。企业的内部控制不注重书面证据，执行过程欠缺材料留痕，且企业没有对数据有备份的习惯，一旦企业的网络系统坍塌，没有后备的设备和数据来应急，会使企业处于被动的劣势环境中。

（四）缺乏系统的预决算的规划体系

企业没有整体的年度预算，没有对企业整体全方位、全过程、全员的预算管理，导致企业没有将资金运用到最紧急的事项中，无法实现企业利益最大化。而且在企业预算管理和资金支付管理中，没有将企业的战略规划考虑在内，同时在执行非经营性生活支出的费控中，过分强调成本控制，经常将费控的执行率作为弱化或逾越内部控制的理由，从而间接影响了战略规划中重要业务的执行进度。

三、完善企业内部控制风险管理的措施

企业内部控制体系要从四个方面搭建：企业层面控制、流程层面控制、IT信息系统控制、资金系统控制。

（一）企业层面控制

对于构建国内企业的内部控制体系的前提是：需要有良好的总体控制环境，自上而下的强化内部控制意识，并注意各个部门间有限的信息沟通与传递，部门间注意职责的划分，避免不相容的内部控制岗位担任。各部门间应该定期对自己工作上的风险问题进行评估和分析，并提出有效的合理控制措施。业务部门需按照风险管理基本流程去执行，研究提出本部门对重大业务事件流程、重大风险、重大决策的判断标准，同时研究提出本部门对重大决策风险做出的评估报告，将本部门的风险管理信息系统的建议工作做好，将风险管理文化的有关工作做好，在不违背企业大环境下的内控情况下建立健全本部门的风险管理内控子系统工作。企业应建立自己的内部审计部门，该部门相当于风险管理职能部门，定期对各部门进行常规的经济责任、业务责任审计，通过对业务方面的深入了解与监测，对业务人员的访问与沟通，来分析评审是否对企业存在风险，且该风险如何有效地规避或者如何可以将企业的损失降到最低；企业高层需研究出风险管控策略和解决跨部门间的风险管理的方案，同时负责该方案的组织实施执行和日常监控，负责有效地评估全面风险管理，研究修改方案，负责组织风险管理信息系统的建立。

（二）流程层面控制

一个企业的内部控制的风险，最容易出现在流程层面中，企业的流程越多，可控范围就越大，但也并非流程越多就风险越小，企业可根据自己的企业规模大小，来制定符合自身条件的内控流程控制：销售与收款流程控制、采购与支出流程控制、存货与成本管理流程控制、资金管理流程控制、固定资产管理流程控制、工程项目管理流程控制、税务管理流程控制、人力资源管理流程控制、财务管理流程控制、报告流程控制，印章流程控制，这些看似简单的流程，但是中间的风险控制缺一不可，但凡一个环节出现疏漏，都会造成不可量的企业风险。

各个流程控制中需要设专人专岗，针对小企业而言，可以一人担任多个可相容岗位，只要不与内部控制不相容岗位的原则冲突即可。例如对资产的内部控制管理中，可以尽量对每个设备资产进行个体负责人制，进行签字管理，每个企业只需有一个总资产管理即可，该管理员只负责公共设备的管理，对专门的设备进行各个设备使用人来管理，包括这些设备的日常维修保养等，都由该使用人来负责，这样就可以防止设备被随意搬来搬去而找不到的情况发生，充分体现了内部控制的有效性。

（三）IT信息系统控制

信息是任何企业的关键资产，内部控制必须保护这项资产。企业在建立内部控制以防止或最小化敏感信息资产损失时必须考虑这些风险。系统控制增强了系统输入、处理、输出和存储功能的准确性、有效性、安全性、保密性和适合性。

信息系统控制措施由通用控制和应用控制组成。通用控制是计算机、技术或信息技术功能相关的控制，他们包括：组织、人员和运营控制、系统开发控制、网络、硬件和设备控制、备份和灾难恢复控制、会计控制。应用控制有输入控制、流程控制和输出控制组成。

信息系统控制中应注意信息技术职责和职能的分离，即IT部门和企业其他部门的分离。IT部门的系统开发、运营和技术支持也应该分开。例如，参与到信息系统设计、开发和维护的员工不应该参与到日常事务的处理当中。相反，进行数据输入的员工不应该访问程序文档或源代码。信息系统的控制应该明确界定与会计和运营子系统相关的责任，并确保这些责任适当分离。对主要文件或者交易文件进行的任何更改，在实施更改之前，应该得到适合的会计人员授权。有些黑客的欺诈方案需要罪犯持续采取行动，而且这些黑客罪犯需要操作和篡改账户以防止欺诈行为被发现。所以需要企业制定休假规则——要求某些职位的人员休假以帮助企业监测这样的或者相似类型的欺诈活动。同时，企业需要指定计算机访问控制：管理员可以控制个人用户的权力以及他们对系统内信息的访问权限以跟踪系统异常访问或异常使用情况的信息。

其实内部控制最注重的就是实施与落地，不能光有完善的一套内部控制体系，而没有执行力，那也是一套空的内部控制制度，需要做到企业管理应该制度化、规范化，制度本身必须合理，关注两个层面：操作+机制。制度过程中，以业务为对象，以流程为手段，流程要细化到每个岗位，通过信息手段实际控制的自动化，提高管控效率。

（四）资金系统控制

资金使用的前提是要做好预算管理，并且需要做相应配套的决算，且需要定期将预决算进行差异分析，对同比金额变化较大的项目进行重点分析原因。监督预算的执行情况，尽量避免支付预算外的业务，即使有必须付的预算外的事项，也要有相应的特殊审批流程才可以执行。做好资金的内部控制，对于集团的企业，需成立资金部，形成有体系的资金池来提高整个集团的资金使用效率。同时资金部需要有日资金使用会议，对各部门或各企业提交的周资金申请，当然周资金申请的金额必须在当月的预算范围内去申请，针对资金的紧急程度进行排序并形成文字或报表向最高领导层汇报并进行审批，且当日需对拨款的部门或者企业进行预算核减的记录，实现预算管理的持续性。

资金部对资金池的资金划拨授权时需至少有三人授权流程，操作经办人，审核经办人，复合经理，且定期对这些重要的岗位人员进行轮岗，避免有违规违纪情况发生。资金系统的控制不仅对资金支付的内部控制，同时在有资金闲置时，要对资金进行理财和安全投资来增加企业的收入。

（五）构建内控体系需要的人才队伍

由于现在企业的人员内控管理水平普遍低下，实际业务中有些流程和操作违反了内部控制都不自知，而等到外部机构或者法务人员指出的时候都已为时已晚，都已造成企业的损失。所以企业需要给员工一个培训的平台，让员工有机会去学习相应的内控管理知识，同时要加强宣传风险意识，要让员工学到的不只是知识的皮毛，要深入到自主意识，从而更可以激发员工的创新精神。同时，光有一套完整的内控体系和员工培训平台是不够的，当落实到执行力度的时候，需要有员工奖励和惩罚才能达到事半功倍的效果。通过有奖励惩罚的机制，才能调动员工的积极性，更全身心和主动思考地投入到工作中，而不是仅仅局限于机械化、一成不变的工作，即使之前的工作流程或者审批违反了内控制度，也认为是企业一直都这么执行的，也不提出相应的风险。在企业内控风险管理体系中，每一位员工需要梳理风险无处不在的防控理念，应当制度个人职责对企业风险的重要影响，以及在企业内部的作用和责任与他人的关系，这是企业内控风险管理的一个重要方面，也是充分有限开展风险管理工作的前提。

四、结束语

本文首先通过实际案例来阐明内部控制体系的重要性，通过对内控风险的漏洞的深入分析和探究，由于风险意识和内控体系不够完善，给企业带来的损失，其次来阐述内部控制体系的建设来防控风险的重要性，最后阐述企业除了要有完善的内控体系，要定期给企业员工进行相应的内控管理培训，从而达到从内到外，从上到下的全员防范风险的意识，这样才能将建立的内控制度贯彻执行到底，更有利于促进企业的长期稳步发展和进步。