摘要：随着经济的快速发展、信息技术的不断革新及新发展理念的不断提出，企业面临的风险也日益增多，因此，企业在日常的运营过程中要有效识别各类风险，并采取有效的针对性措施，以进一步提高企业的内部控制能力，提高企业的管理水平，实现企业的持续健康发展。企业内部控制体系建设需要遵循全面性、重要性、制衡性、适应性、成本效益原则，完善企业内部的治理结构、规章制度、企业文化等，在构建内部环境的基础上，对企业的内部风险和外部风险进行有效识别，并找出关键风险点，根据风险评估结果，完善风险应对措施，将风险控制在可承受范围之内，除此之外，企业还要加强内部、外部的沟通和交流，确保信息能够畅通，并对内部控制活动进行内部监督，一旦发现缺陷，要及时控制并加以改进。由此，不断提升企业的内部控制水平，提升防范风险的能力，进一步实现持续发展。

关键词：企业；内部控制；体系建设；风险识别；完善措施

对于企业而言，始终保持竞争优势，保证自身的可持续发展，是其在建立初期就应该建立的战略目标。在日常的经营过程中，企业始终面临着诸多的风险，这些风险会对企业的可持续发展产生重要的影响，轻则威胁企业的资产安全、忽视企业管理的漏洞，重则不利于企业正常运转，导致企业破产。因此，企业必须加强对内部控制体系建设的重视程度，在遵循企业内部控制五大原则的基础上，完善内部环境、加强风险评估、组织控制活动、强化信息与沟通、建立内部监督，进一步加强企业的风险识别和应对能力，提升企业的营运能力和管理水平，保证企业的可持续健康发展。

一、企业内部控制概述

为了能够进一步规范企业内部控制，提高企业内部控制的风险防范能力和经营水平，维护社会主义市场经济的秩序，财政部会同相关部门制定了《企业内部控制基本规范》，为各类企业建立内部控制制度，完善内部控制体系建设等提供了基本的遵循和标准。

（一）企业内部控制的定义

企业内部控制指的是企业的全体人员，包括董事会、监事会、经理层及其他工作人员，由他们组织实施的控制活动，而控制活动的目的则是为了实现既定的控制目标。企业内部控制的目标一般包括保证企业的日常经营的合法合规性，资产处置和管理的安全性，财务报表、报告等材料的真实可靠完整性，以此不断提升企业的经营管理水平和效率，促进企业战略目标的实现和可持续发展。

（二）企业内部控制的原则

企业内部控制活动涉及企业内部的资产安全、财务管理等，是一项极为严谨的控制活动，因此，在完善内部控制体系建设的过程中，必须始终遵循以下原则：

1. 全面性原则。企业的日常活动一般包括决策、执行和监督的全过程，企业的内部控制体系建设需要覆盖全部的过程和业务，内部控制活动要覆盖企业的全部经营活动和流程。企业在进行内部控制的活动中若是没有遵循全面性原则，容易忽视企业的某项业务或流程，造成企业运营管理存在漏洞，一旦出现问题，容易使企业在面对风险时显得手足无措，危及企业运营安全，不利于企业的持续健康发展。

2. 重要性原则。企业内部控制活动中的一项重要工作是对企业的内部风险和外部风险进行有效的识别和评估，其中重中之重是对关键风险点的识别。企业在进行内部控制的过程中，要对关键事项和业务的流程进行梳理，识别出关键风险点，并对关键风险点进行实时监控，制定有效的应对措施，并将责任落实到个人，实现对关键风险点的有效监管，进一步保证企业的资产安全，提升企业的管理水平。

3. 制衡性原则。企业内部控制活动的基础是要建立相应的内部环境，包括治理结构、职责划分和界定、企业文化等内容。因此，企业的治理结构中要明确董事会、监事会、经理层的划分，并对相关的机构进行设置和管理，机构设置要辅之完善相应的职责，在权责分配上要实现相互制约、相互制衡。除此之外，企业的各项经营活动涉及相关的业务流程，对流程进行梳理，对于各关键岗位形成相互制约、相互监督的机制，进一步保证运营效率。

4. 适应性原则。企业的内部控制活动要依托自身的基本情况，包括企业自身的发展规模、业务范围和流程、风险水平等，在对自身基本情况进行全面摸排的基础上，选择适应自身发展的控制活动。内部控制活动一旦确立，并不是一成不变的，要随着内部环境和外部环境的变化不断地更新调整，以保证内部控制活动能够始终适应企业的经营状况和发展实际。

5. 成本效益原则。企业内部管控活动需要覆盖企业经营活动的全过程，在进行风险分析和控制活动的过程中需要耗费大量的人力和财力。因此，企业在完善内部控制体系的过程中，要了解掌握所涉及的每一项企业业务，从而更好地计算成本，有效权衡实施成本和预期效益，使企业在最低的成本范围内取得最理想的预期收益。

（三）企业内部控制的要素

企业内部控制体系建设关乎企业的经营水平和风险防范能力，必须包含全部的要素，只有这样，才能建立和实施有效的内部控制。

1. 内部环境。内部环境的建设是决定企业内部控制是否有效的基础，内部环境一般包含企业规章制度的建立、企业章程的落实、议事规则的建立、职能机构的设置、部门职责的完善、相关部门的配合、企业文化的构建等内容。

2. 风险评估。一个企业能否持续发展取决于其风险识别能力和风险承受能力。风险评估则包含内部风险和外部风险，内部风险主要涉及企业的人力资源管理因素、业务流程因素、财务管理因素等，外部环境则主要涉及市场环境的变动、国家政策的推进、技术水平的提升等。风险承受能力则是要根据识别的风险点，采取合适的风险应对策略，从而将风险控制在可承受范围之内。

3. 控制活动。控制活动是企业风险能否有效控制的重要依据。企业通过风险评估，将风险划分等级，对不同级别的风险采取不同的控制措施，一般包括不相容岗位的互相分离、授权审批控制、预算控制活动等，使风险得到有效控制。

4. 信息与沟通。企业内部控制体系建设过程中，信息与沟通至关重要。企业通过财务会计资料、调研报告等获取内部信息，通过市场调查、网络媒体等获取外部信息，在信息的收集、处理和传递的过程中，加强信息的共享和传送，确保相关信息能够及时沟通到位，进一步保证内部控制的有效运行。

5. 内部监督。完善内部监督体系是内部控制活动有效推进的保证。企业不仅要重视经营活动中的日常监督，还要重视因某项重大业务产生的专项监督，发挥好群众监督的力量，保证内部控制活动顺利开展、发挥实效。

二、企业内部控制体系建设的重要性

企业内部控制能够进一步提升企业的风险识别和风险防范能力，有助于企业更好地提升经营水平的和管理能力，实现企业的可持续发展，进一步维护社会主义市场经济秩序。

（一）有助于企业防范和规避各类风险

企业内部控制体系建设的一项重要内容就是企业的风险管理和控制。内部控制活动能够进一步强化企业对风险管理的重视程度，识别经营过程中面临的各类风险，并对各类风险进行分级，通过采取风险规避、风险分担、风险承受等手段，对风险进行合理控制，由此企业防范和规避风险的能力将得到进一步的提升。

（二）有助于确保财务和资产安全

企业内部控制活动的开展，能够对企业现行的规章制度进行梳理总结，对风险隐患处进行完善更新。对企业现有的业务流程，尤其是财务审批流程、采购流程、资产入库出库流程等进行检查核验，对存在的问题及时论证解决，这样能够财务管理的效率和资产的安全，保证企业的良性运转。

（三）有助于提升企业经营效率和管理水平

企业内部控制体系的建设包括诸如企业治理体系的内部环境建设、对内部和外部风险的识别、针对不同风险采取的控制活动、各部门间的信息与沟通、保证内部控制实效的内部监督等，贯穿了企业经营活动的各个方面和各个流程，能够进一步提升企业抵御风险的能力，实现企业经营效率和管理水平的不断提升，保证企业的可持续发展。

三、企业内部控制体系建设中存在的问题

虽然很多企业已经逐步认识到内部控制的重要性，但由于内部控制体系建设涉及面广的特点，导致在内部体系建设日常实践中仍存在诸多问题。

（一）内部控制体系建设的重视程度有待进一步加强

1. 企业管理层对内部控制重视不够。部分企业的管理者仍旧遵循“风险发生再解决”“风险没发生就代表没风险”等陈旧的思想观念，只追逐当前的利益，忽视风险识别和风险防范，没有充分认识到内部控制体系建设对企业持续发展的重要性。

2. 员工对内部控制活动的重视程度不够。管理层对内部控制的不重视，直接导致企业文化中对风险管理意识的缺失，企业中部分员工存在“事不关己、高高挂起”的思想，认为内部控制是管理层和财务部门的工作，与自己关系不大。企业对内部控制的培训和推进力度不足，导致员工的风险意识比较淡薄，对内部控制制度的掌握不全面。

3. 内部控制体系有待进一步完善。企业内部控制体系的建立是一项长期推进的工作，需要专业的人员和团队。大部分企业在构建内部控制体系时存在覆盖面不广、体系不健全等问题，导致内部控制活动推进存在阻力，不利于企业的持续发展。

（二）风险识别能力有待进一步提升，应对措施有待进一步完善

1. 企业风险识别能力有待进一步提升。部分企业在识别自身的内部和外部风险时，存在风险识别不全面、风险识别不精准、风险分类不合理、风险分级不标准等问题，导致该识别的重大风险没有识别到或者风险级别降低、低级别风险被当成重大风险重点应对的现象发生，为企业风险管理提供错误的数据，直接导致企业风险管理缺乏实效，影响企业内部控制活动的效率。

2. 企业风险应对措施有待进一步完善。企业风险识别的目的是对风险进行有效应对，部分企业在进行控制活动时存在风险应对措施不够深入、不够精准，导致风险应对力度不够，风险管理实效不强等问题，严重阻碍了企业内部控制的有效推进。

3. 企业内部各部门间缺少联动机制。信息与沟通机制的建立和完善，是内部控制活动中必不可少的一部分。部分企业在构建内部控制体系的过程中，忽视了部门间的信息沟通，导致部门间缺少联动机制、沟通不畅，造成业务流程推进不顺、工作效率降低等问题，阻碍了内部体系效用的发挥。

（三）内部控制信息化水平有待进一步提升

1. 企业信息化技术不高。企业内部控制活动的有效推进需要依托信息化技术，但是，部分缺少专业的信息化建设人员和团队，加之资金投入的压力等，导致企业自身的信息化水平不高，了解和应用信息技术方面存在欠缺，使企业内部控制活动缺少灵活性，进一步降低了内部控制的效率。

2. 企业的信息系统功能不完善。内部控制活动涉及企业经营活动的方方面面，对于信息系统的开发也需要做到全覆盖，但是，部分企业受限于自身资金短缺、信息技术水平不高等问题，使得信息系统模块不健全、功能不完善等，信息系统的建立只包含了一些重要的模块，忽视了其他模块，导致内部控制体系的可靠性降低。

3. 信息化专职建设人员和团队缺失。部分企业迫于资金压力和社会责任，对信息化建设的资金投入总是一缩再缩。大部分企业并不是专业的信息化企业，缺少信息化的专职人员和团队，大部分员工对信息化建设并不熟悉，关键技术的掌握不够全面，直接导致内部控制信息化系统建设与推进停滞不前，影响整体内部控制体系的构建。

（四）内部控制监督体系有待进一步完善

1. 内部控制监督体系缺失。部分企业在构建内部控制体系时，只关注对风险的识别、应对和管理，忽视了日常监督的重要性，造成内部监督体系的缺失，使得内部控制活动无法得到有效的监督和评价，无法做到及时的更新和调整，长此以往，将与企业的发展脱节甚至阻碍企业的发展。

2. 内部控制监督体系指标不健全。部分企业虽然建立了内部监督制度，但对监督指标的制定不完善、不细致，导致在进行内部监督时，无法准确反映内部控制活动推进的真实情况，容易为企业发展提供错误的决策支持。

3. 内部控制监督体系评估不科学。部分企业在进行内部监督的过程中，存在指标评估不科学、不准确的问题，缺少科学的评估流程和标准，导致评估结果不够客观，无法为企业发展提供有效依据和支撑。

四、完善企业内部控制体系建设措施

企业内部控制体系的建设对于企业发展来说意义重大，因此在推进内部控制时，要对可能存在的问题进行规避，及时解决已经显现出来的问题，以更好发挥内部控制实效。

（一）建立和健全内部控制体系

1. 强化企业内部控制建设意识。企业从上到下，从管理层到员工，都要认识到内部控制的重要性，主动补足自身关于内部控制内容掌握的缺陷，强化风险意识。首先，管理层必须加强对内部控制的重视，从企业战略层面，将内部控制写入其中，并要求各部门在战略中体现内控思维，形成企业上下强化内部控制的氛围。其次，日常工作中，企业要加强培训，向所有员工传达内部控制建设的理念和方法，向员工传达内部控制的重要性，使员工始终保持“居安思危”的思想，并意识到内部控制活动并不只是某个人、某个部门的工作，为内部控制活动的推行提供基础支撑。

2. 健全内部控制体系架构。内部控制建设的基础是内部环境的构建，因此，企业要强化内部控制体系的建设，根据《公司法》《会计法》等规章制度，建立企业的治理体系，制定企业章程，完善议事规则和制度，建立层次分明的决策、执行、监督层级，为内部控制活动的推进提供顶层保证。

3. 优化职能部门的权责划分。企业的内部控制是全部门参与的活动，这涉及各个部门的功能、任务和职责。因此，企业设置与企业发展适配的职能机构和部门，完善职责和分工，建立起权责清晰、边界明确的职能结构，为内部控制活动的推进提供执行保证。

（二）强化企业风险管理

1. 建立全面的风险管理体系。为了进一步强化企业的风险管理能力，成立专门的风险管理部门，明确风险管理部门的职责权限。建立风险管理体系，包括风险管理的组织机构、风险识别及处理的流程、风险管理结果的评价和运用等，为企业风险管理提供组织保证。

2. 加强风险评估和风险预警建设。企业要安排专人或引进专业人员和团队负责风险管理工作，定期加强人员培训，强化业务流程梳理和完善，不断提升企业识别内部风险和外部风险的能力。建立完善风险预警机制，在风险出现前和出现后均有有效的预警手段，以便更好防范风险、处理风险。

3. 完善风险应对策略和应急预案。企业进行风险管理的最终目的是提高自身的风险应对能力，企业要强化流程梳理、制度检查等工作形式，对风险进行有效识别，识别之后对风险进行分级分类，由此制定针对性较强的风险规避、风险降低、风险分担、风险承受等不同的风险应对策略。通过制订应急预案，定期进行演练，实时总结应急演练过程中出现的问题，对应急预案和演练流程进行更新完善，不断提高员工应对风险的能力和水平，进一步提升企业在面对风险时的应急处置能力。

4. 检查、梳理、完善相关流程。各个企业的实际情况和业务重点不同，其所构建的流程也不尽相同。风险管理的前提是要根据规章制度、政策等明确各项业务流程，并对各项流程进行梳理，从流程中找出风险点。随着市场环境的不断变化，企业的风险点也不是一成不变的，需要实时更新，始终聚焦高风险领域，筛选重要的业务流程和风险点，不断完善企业的风险管理。

（三）提升内部控制信息化水平

1. 建立内部控制管理信息系统。企业要依托信息技术，加大信息化建设投入，开发内部控制管理信息系统，将企业全部业务分类纳入信息系统各个模块，保证内部控制信息系统完备性，进一步减轻工作量，提升工作效率，为企业内部控制活动提供信息化保证。信息系统的开发和完善，需要在人力、设备、技术等方面大量投入，企业在信息系统开发前期要作好可行性分析研究，计算好投入与产出的比例，在资金投入方面要加大力度，保证系统开发，长远来看，所需要的边际成本是逐步降低的，企业的效益是逐步提高的。

2. 提升数据挖掘和分析的能力。信息化技术的运用能够使企业在繁杂的数据中迅速找到需要的数据，并对数据进行分析和运用。企业在开展内部控制活动的过程中，需要自身的财务、资产、人员等数据支撑，要提高相关部门数据挖掘和数据分析的能力，在大量的数据中迅速提取出能够对决策制定有力支撑的数据，进一步保证内部控制活动的有序开展。

3. 通过信息化建设形成部门间联动机制。企业信息化建设并不只是某一个部门的工作，需要对各部门的信息化需求进行调研汇总，在取得需求的基础上再进行信息化开发，只有这样，才能与各部门的发展情况匹配，更好地助力各项业务的开展。因此，通过信息化建设，能够在一定程度上加强各部门间的沟通和协调，形成联动机制，助力内部控制的有效推进。

（四）建立和健全评价监督机制

1. 充分发挥内部审计的监督职能。企业要设置内部审计部门，对企业的财务管理、资金使用、资产管理等进行审计监督，发挥企业内部审计监督的职能，进一步保证内部控制的效果。除此之外，还要加强内部审计与组织人事、纪检监察等部门的沟通和交流，发挥监督合力，保证企业的良性运转。

2. 建立内部控制自评机制。为了进一步明确内部控制措施的效果，企业可以建立内部控制自评机制，发挥各部门、各位员工的监督作用，对内部控制的相关制度、流程优化、风险防范、风险应对、控制效果等内容进行自评，这样一来，企业除了从相关的财务报表、报告中获取内部控制的实施效果之外，还能从内部控制自评中获取员工较为真实的感受和评价，由此进一步保证内部控制结果的真实性和客观性，为企业下一步的战略决策提供支撑。

3. 建立独立的监督机构。为了保证内部控制评价的客观性，企业还可以建立独立的监督机构或者委员会，对企业的内部控制结果进行独立的评价。该机构一般由企业的内部和外部人员共同组成，有相对独立的权利和职责，能够对内部控制的结果进行定期或者不定期检查，以便能够及时发现问题，并加以完善，始终保持内部控制活动的准确性。

五、结语

综上所述，随着市场环境的不断变化、国家政策的不断完善、行业竞争压力的不断增强，企业要不断规范企业行为，提升自身的风险防范能力和经营管理水平，实现持续健康发展，就必须构建内部控制体系，开展内部控制活动。企业在开展内部控制活动时，首先，要构建相应的内部环境，建立相应的治理体系，完善组织架构和权责划分。其次，要加强管理，对企业的内部和外部风险进行有效评估，并将风险进行分类分级，对关键风险点予以重视，根据风险级别和风险可能产生的后果，制定风险应对策略，并加强应急预案的制定和演练。最后，加强部门间沟通和协调，对于企业内部和外部的信息要进行及时的沟通和交流，确保企业决策的准确性，完善内部监督职能，对内部控制结果进行科学有效的评价，以便及时应对内部控制中出现的问题和不足，保证内部控制的效果，提升企业的经营水平和管理能力，实现企业的持续发展。

参考文献：

[1]兰嘉兴.企业内部控制监督体系的建设及完善策略[J].中国商界，2024（03）：156-157.

[2]姜仁霞.企业内部控制体系建设存在的问题及完善对策[J].修改改革与管理，2020（09）：183-184.

[3]孟雨.企业内部控制体系建设与完善措施[J].活力，2024，42（12）：16-18.

[4]曹刚刚．企业内部控制制度建设原则及完善措施[J]．现代企业，2022（12）：33-35．

[5]任立义．企业内部控制管理体系的建设与完善[J]．现代企业，2022（02）：31-32．

（作者单位：龙港市城市建设发展集团有限公司）