企业建立与维护业务层面内部控制的策略分析

广东筠诚投资控股股份有限公司

引言

企业内部常见的内控风险包括预算、收入、支出、资产管理等产生于业务层面的风险，其原因可能是内控的要求较低、缺失特殊业务管理要求、执行不细致等，如何将业务层面的内控风险降低至可接受范围内是企业亟待解决的问题。

一、企业内控中常见的业务风险

（一）预算业务风险

预算编制时，业务部门认为编制预算只是财务部门的工作，没有进行充分的沟通，不一定将预算的编制与资产配置相结合，或者与具体工作相对应。导致预算编制的不科学合理，后期没有可执行性或者难以达成。预算批复时，没有按照法律法规的程序进行指标分解和下达，没有按照批复的额度和开支范围执行，预算不够时，追加程序不规范。为了按照规定额度和标准执行预算，资金的收入和支出进度安排不合理，随意的追加调整，导致超预算或预算不足情况。决算考评不及时，报表编制不遵循真实、完整、准确和及时，决算的结果没有得到有效的运用。

（二）收入业务风险

收入业务相关岗位设置不合理，不相容岗位没有实现分离，没有按照规定和标准收取费用，存在违规收取的风险。业务部门比如销售人员如果有权限收取项目一定的押金，那么可能存在私设小金库的情形，收入没有及时实现归口部门的统一管理。票据公章管理松散，未按照规定保管和使用印章票据，向财务部门提交收入的凭据和证明，存在收入资金流失的风险。

（三）支出业务风险

支出业务相关的岗位设置不合理，不相容岗位没有实现相互分离，导致舞弊和错误的风险极大攀升。业务支出事前没有申请和获得批准，支出范围及开支标准不符合相关规范，远超预算计划，导致预算不足、执行不力或者支出业务违法违规。如果财务人员对报销单据审核不严格，没有认真对待各类单据的真实性和合法性审查，或者员工存在蓄意造假的情况，那么有使用虚假票据套取资金的风险。当资金支付不满足集中支付和政府采购的情况，还会存在违规的风险。

（四）资产管理业务风险

后勤部门、财务部门缺少有效的资产管理制度或者信息系统，缺乏基础数据信息的建立，对资产管理不善。员工没有树立保管意识，引发资产流失或者使用效率低下，资产闲置浪费，借用和调拨没有支持的工作流程。如果长期不对资产进行盘点和清查，不清楚资产的位置，账卡物不相匹配，那么可能产生账外资产和账实不符的现象。后期资产报废或者处置如果缺乏严格的审批或者处置的程序不合规，不能及时的处理损耗报废资产，容易造成处置收入流失的困境。

（五）建设项目业务风险

前期立项过程中，缺乏可行性研究或者研究的不透彻，决策程序不当，导致违规或者超建设标准，后期难以弥补和修改。在方案时期设计脱离了设计限额指标，概预算偏离投资太远，不仅会超出合同金额，更加有超概的风险，难以控制设计变更金额。建设阶段价款结算管理不严、不及时，工程资金跨项目使用，存在截留、挪用、套取项目资本金的情况。竣工验收不规范，把关不严格。项目建成时不及时的入账结转，办理移交手续，资产价值分摊不合理，没有依据[1]。

（六）合同管理业务风险

签订合同前对供应商资信情况审查不严格，尚未有主体资格或相关资质，难以承接合同订单。合同文本中经济活动范围和条件不明确，执行时双方产生误解或歧义，不能完全履行合同的义务。对合同印章或者授权人缺乏统一的监控和管理，部分员工擅自以单位的名义签订违规的合同，乱用合同印章和被授权人的权力，造成合同收入流失或者产生法律纠纷。合同签订后，未能恰当、按时的履行合同的义务，或者发生合同纠纷时处理不善，没有制定合同纠纷调解机制和预案，造成经济损失并影响单位的声誉。

二、内部控制降低业务风险所存在的问题

（一）内部控制不能覆盖业务全过程

影响内部控制的要素很多，例如新制度法规颁布，新技术和新业态的发展，业务处理环节的要求和变化，信息系统的更新和功能变化，组织机构及岗位职责变化等，所以企业的内部控制机制需要常年进行修订、补充和跟新。随着企业的经营范围和业务量的逐步提升，原先的内部控制的范围、方式和执行频率都会随之发生改变，而当下内部控制的管理要求较低，不能覆盖业务全过程、全流程，缺乏执行中的细节制度，对内控的要求较低。

（二）缺失特殊业务管理要求

一般在建立内部控制体系和建立相应制度的时候，首先需要了解业务，根据识别到的风险点去设计控制点，其次评价控制的有效性，这些内部控制主要都是根据正常通用的业务流程和场景为背景进行设计，无法根本上杜绝业务流程中的内部控制风险，因为没有考虑特殊的业务场景或者考虑不周全，所以在特殊情况发生时，给予较强的主观性，业务处理方式没有经过集体决策或有所依据，存在较高的内控风险。

（三）业务控制尚未建立执行细则

将内控控制融入具体业务过程中，风险点和对应控制点分布较为散落，没有形成体系性和全面性，缺乏管理流程、管控方式、测试时限等相关管理规定，无法很好地执行和操作[2]。所以在建设内控体系时，首先要搭建流程框架，明确公司的价值链和核心操作环节，以内控指引作为基础，根据现有公司的情况进行增加或者删减，特殊的行业需要根据对行业较为重要的模块放到流程框架之中。

（四）内部控制时效性较低

内部控制与业务融合应采取全时段的方式，即采取各种措施，将内部控制监督的时间前置，由传统的事后监督转变为事前预警和事中转变，在监督方面与内部控制实现同步，而不是在业务完成后才开始控制，容易造成“亡羊补牢”的现象。现实中很多业务只有在开展后才能进行内控，降低了事前预防的作用，而且缺乏对业务的责任人、业务质量以及廉政问题进行反馈，无法实时的评估业务进程中的风险，做好相应的风险防控措施。

三、业务与内部控制融合的建议措施

（一）提升内控层次和要求

内部控制不等同于一项制度，而是组织结构、程序和制度的结合，以合理的确保管理层的目的达成以及责任承担，内控控制的开展也不是目的，而是一项过程，其作用是合理的防范和降低风险。在业务层面，常常面临着预算、收支、资产管理、建设项目以及合同管理等风险，内部控制应统筹评估风险发生的可能性，内控活动的执行成果以及后期提升管控要求，所以在设计内控的业务层面的路径时，可以从正反两方面出发。正向的内部控制要覆盖业务管理的全流程，重点突出高风险和舞弊的区域，对业务的关键点进行关注。从反向的业务制度出发，将业务制度作为内控制度制定的出发依据，所有的内控制度不能凌驾和脱离业务制度和基础，其次将业务制度中与内控相关的部分进行归纳、总结和整合，对现有内控制度进行反向的检查和修补，以免发生漏洞[3]。

（二）修订业务制度

业务制度的修订需要和业务的流程相挂钩，有针对性的根据不同的业务及风险点进行修订。其方式可以由业务部门主动发起修订申请，对现存业务中的风险点进行增减，某些已经不再继续或者新增的业务进行及时的补充和更新；也可以由内部控制主动发起征询，对业务、政策、信息更新、组织架构的变化做出问询和判断是否进行修订；如果业务部门通过内部控制测试发现有较多的问题，那么也可以增加补救措施作为制度的一部分，并在下次测试时着重关注该要点。业务制定不能只针对通用的流程，也要对可能发生的特殊情况提前做好预案，做到评估业务有执行效果，补充特殊场景规定，确保内控执行有依据。

（三）制定业务控制点的执行细则

在将内控制度与业务层面相结合时，根据业务流程设置相应的内部控制点，明确业务管理流程，执行范围，时限，方式等。以预算业务为例，预算管理制度分为预算的编制、分解下达、预算执行、决算管理和预算绩效几个方面，对其中的每个流程都要进行详细的规则制度和执行规范。在预算编制时，讲究程序的规范，方法科学，编制及时，内容完整，将项目更加细化，数据精准，政策的把握有关政策，将内部预算编制、预算执行、资产管理、基建管理、人事等部门或者岗位进行充分的沟通与协调，并且按照规定进行项目的评审，保证预算部门能够及时收集与编制预算计划有关的信息，提升预算的精细化管理程度和科学执行力度。

（四）建立全时效性内控与业务融合

首先，构建事前预警措施，内部控制要以业务中风险为重点，进行实时的预警和风险评估，实时责任追究一体化的管理思维，积极转变事后内控的思维，不断的改进内控方法和领域，实现从事后监督向事前预防、事中控制的转变，最大限度的发挥内部控制的作用。其次，搭建信息化的实施监控信息化系统，将业务操作流程进行固化，内部控制可以依附于该风险管理的实时监控系统，以风险评估为核心，信息化的软件为载体，对业务的责任人履行责任风险、业务完成质量风险、廉政风险等为主要内容进行深度挖掘，完善风险防控体系，实现全流程、全时效、全领域的控制目标。

结语

建立完善的内控制度和措施需要财务人员深入的了解业务，经常沟通与交流，挖掘业务中的风险点，评估其风险的影响程度，设计相应的控制点，并且监督控制的执行，才能将内部控制一直持续的完善，更好地将内控嵌入业务。