企业内部控制风险及对策研究

张永兰 昆明中兑税务师事务所有限责任公司

随着我国市场经济发展节奏的不断加快，企业之间的竞争变得越来越激烈，企业之间的竞争逐渐从单纯的经济利益之争走向管理层面的竞争。任何企业要想实现可持续发展，就必须在运营管理的过程中及时防范和控制风险隐患，避免企业内部出现管理混乱。[1]

一、企业内部控制的重要意义

企业实施内部控制的根本目的在于确保企业运营管理工作的顺利实施，本质是能够确保对企业人力、财力以及物力展开一系列管理控制的有效举措。一方面，作为企业内部管理的重要组成部分，内部控制通过制定相应的制度和管理原则，对企业发展的全程和全范围进行管理控制，确保企业的各项工作环节都处于严格管理和控制的范围内，如此一来，不仅可以减少各项风险给企业带来的损失，更有助于企业运营管理效率的全面提升。另一方面，内部管理控制机制是确保企业得以有序运营的重要手段，企业通过对内部管理控制机制的有效实施，通过监督、组织措施的最大化实施，减少安全隐患对企业经营管理造成的干扰和影响，本身具有一定的针对性，从长远来看，有助于提升和优化企业的内部管理，推动其实现健康、稳定地发展。

二、企业内部控制风险的应对策略

(一)基本步骤

1.风险识别

企业要想识别风险，必须考虑到企业所能面临的所有风险类型，而且风险识别必然是一个复杂的过程，其不可能做到一蹴而就，必须要做到与企业的发展规划完全契合。

(1)对触发风险的内部因素和外部因素进行识别

①内部因素识别

其主要包括员工的素质及企业现行的奖惩激励机制、资讯系统的安全性以及有效性、企业的治理结构及活动性质、管理层岗位职责的变动、员工可以接近的资产程度等，这些因素都有可能为企业发展带来较为严重的影响。

②外部因素识别

其主要包括顾客需求以及与预期要求的改变、政策环境的改变、科技发展、市场竞争加剧等，会对企业管理决策层的意见及企业经营理念造成直接的影响。比如某年企业生产所需的原料或者成本价格上涨，必然会影响产品产出的成本，此时企业运营管理潜在的风险隐患已经存在，必然会影响到企业后续的市场开发及布局。所以针对这样一种情况，作为企业的管理层必须及时调整战略政策，打好“价格战”。

(2)识别不同作业层次的风险

成功识别企业作业层次上的风险，有助于将企业的整体层次维系在一个相对合理的范围中。[2]一方面，整体层次风险是作业层次风险产生的直接原因，所以在进行风险识别的过程中，应该以整体层次风险的识别为主；另一方面，企业除却需要从整体层次进行风险识别之外，还要对不同作业层次的风险进行识别，比如尽可能减少营销、生产、技术研发等环节存在的风险隐患。

2.风险衡量与分析

企业从整体角度出发进行风险识别之后，还需要对其进行相应的研究、分析与衡量，对于那些本身对企业影响不大或者发生概率不高的风险隐患，一般情况下企业并不需要投入太多的精力去研究、去关注，但是对于那些影响比较深远、可能性较高的风险必须予以高度关注。

目前很多企业的风险分析处于前期的定性阶段，本身的可操作性低，所以在识别和分析风险时还要尽可能地对其进行量化。但是因为企业本身所处环境的复杂性，具体面临社会经济形势的特殊性，所以个别风险本身也不容易被量化。比如针对作业层次风险，业务主管也可以基于业务的特殊性针对每一套业务循环设置不同的控制点，同时严格按照各个控制点在推进业务循环的过程中，赋予其相应的权责系数，坚持将业务循环体系纳入到可以被量化的系统当中。但是如此操作需要企业多年的真实、客观信息作为佐证，否则系数的科学性与合理性将会受到质疑，导致风险量化走向失败。

3.风险管理决策

其主要是指企业在处置挥着回避风险的过程中所采取的应对措施与手段，有风险回避、损失控制、非保险转移以及自留风险等几个类型。

首先，回避风险是一种虽然简单易行，但是却充斥着消极性因素的操作方式，主要指其能够简单直接的规避触发风险的事项，消除有可能带来的损失。

其次，控制损失能够积极地处置风险，但是本身因为对技术水平有着严格的要求，所以对成本投入和支出的需求也比较高，其主要是指为了消除或者减少风险隐患而采取的举措。

最后，非保险风险转移是采取除了保险之外的措施来转移风险，会受到相应的法律条款以及内容的制约。严格意义上来说，其就是通过各种经济合同来得以实现的。

三、企业内部控制风险的应对之策

(一)加强企业内部的资金管理

资金管理是企业内部管理控制的重要一环，也是其中最容易发生问题、直接给企业造成损失的步骤。

1.问题表现

首先，在企业财务管理的账户设置方面，一些企业分支结构在财务管理权限方面设置得不够合理，促使企业没有办法对其所持有的银行账户进行监督管理。

其次，一些企业虽然在内部管理控制的关键点和实施措施方面都建立了相应的制度，但是本身存在缺少财务部门审核的情况，归根到底在于财务部门的负责人本身对于资金审批工作存在一定的消极心理和情绪。

最后，企业在资金管理方面会应用追责制度，作为审批人需要对资金申请人的资金使用情况负责。这一制度的贯彻落实虽然在一定程度上起到了规范资金管理的作用，但是因为部分负责人针对审批资金的大小会表现出两种不同的心理状态(审批资金比较小，可以快速做出决策；审批资金一旦比较高，则会瞻前顾后，导致项目拖延)，再加上企业内部的审核程序其实并不完整，所以很容易导致资金审核环节出现误判，最后出现不合理的决策。[3]

2.应对措施

首先，企业需要构建统一的网上银行操作系统，实现对内部资金的集中管理控制，确保企业所有分支机构所持有的资金，都能统一归入企业的账户。

其次，设置切实有效的稽查制度，并且对相关部门的所有岗位职责进行确认。该制度需要覆盖内部管理控制工作的所有细节、所有内容，在明确重点客户信息、数据的基础上，合理降低考核目标，保障业务计划更加符合企业实际。

再次，启动资金管理和结算中心，企业需要严格按照规定设置和开立银行账户，完善系统软件，通过拓展功能，提供多维度的查询，确保企业能够随时了解和熟知内部的资金流动情况，同时为后续业务计划的制定以及推进提供必要的数据支持。

第四，企业需要进一步完善资金审批流程，确保相关工作人员能够完全基于自身岗位完善资金审批的职能和作用，在严格遵循审批规范以及标准的情况下，不符合审批流程的申请不予通过。与此同时，作为审批人员也必须加大对于资金审批活动的监督管理力度，确保审批制度带有强烈的严肃性。

最后，企业的分支机构通过信息和业务系统来及时统计具体的客户数据和信息，进而编制产销财务报表。企业的资产管理部门在核对报表信息之后，进一步制定产销计划，并将其作为后续项目执行的重要依据。而为了确保计划得以顺利落实，企业需要及时对计划的执行情况展开严格的管理与跟踪，针对细节存在的问题做出动态的调整，确保及时找到其中具有影响力的因素，做好风险防范和控制。

(二)完善企业内部审计管理体系

完善内部审计体系是做好内部风险管控的重要途径，企业在具体应对风险、采取措施之前，需要精准识别企业内部审计管理体系建设过程中表现出的问题。

1.问题表现

首先，部分企业内部没有设置独立的审计部门，促使内部控制制度的执行力较低，很多规章制度形同虚设。

其次，部分企业的管理层为传统观念所影响，缺少相应的责任意识，没有在部门之间起到很好的组织协调作用。

最后，一些审计部分的工作人员只关注财务管理部分的工作，其固有的思想观念和工作习惯促使其单纯认为所谓内部控制就是对财务报表进行审计，并不能辅助完成其他方面的工作内容，只要账目正确即可，归根到底是因为对工作内容以及权责产生了错误的认知，影响到企业整体的监督管理效力。[4]

2.应对措施

首先，设置独立的审计部门或成立专属的审计管理委员会，拥有监督内部管理控制工作的执行效果。

其次，引导部门管理者、负责人及时转变思想观念，不仅成为本部门的优秀领导者，更成为部门之间沟通的基石，通过定期组织业务交流活动，共享关键部门的工作信息和业务进度，为审计工作更为顺利地开展，提供铺垫。

最后，编制企业内部审计工作管理手册，对审计工作所属的范围、内容、工作目标以及要求进行严格管理。同时针对部分审计人员本身存在的观念错误和偏差认知，企业需要做好相应的培训以及辅导工作，减少其对审计工作带来的负面影响以及错误干扰。

(三)完善企业内部业务管理体系

不同的企业处在不同的行业竞争以及市场运营管理体系当中，其内部业务管理方面遇到的风险和隐患，本身会存在一定的差异性以及特殊性。

1.问题表现

(1)合同管理不规范

一方面，因为信息系统设立的时间比较短，线上合同的审批功能还不够完善，在签订合同的过程中人为因素所致，有可能出现管理漏洞；另一方面，合同管理的主要风险来自信息数据的安全以及合同内容的审核。如果企业本身没有及时对内部的信息制定严格的防范和保护措施，导致合同当中条款的内容存在被泄露的风险，那么将会直接损害合同签订双方的权益。

(2)业务管理目标不清晰，执行不到位

业务环节的内部管理控制制度主要包括客户的开发、业务计划管理、产品研发定价及售后管理等几个关键性环节，严格意义来说企业在具体进行业务计划的制定之前，需要通过充分的调研、明确的目标来确保业务计划的合理性，但是部分企业并没有做到这一点。一方面，企业在设立业务管理目标之后，并没有针对目标制定相应的管理检查、审查调整机制，归根到底在于企业并没有对业务的实施展开实质性的考核，仅仅是关注相应的指标是否达标；另一方面，企业在下达任务计划后，没有通过合理的反馈渠道来及时了解业务推进的情况。很多分支机构相对而言更加关注业务进展的结果，并没有遵循市场规律来进行业务的执行和拓展。

2.应对措施

(1)规范企业合同管理

一方面，企业需要开发在线合同审阅和审批系统并及时完善其功能，在强调合同审批的流程化和标准化同时，更减少人为因素对审批结果的干扰，强调合同的规范化管理；另一方面，企业需要针对合同内容以及内部信息设置严格的保护机制，防止在合同签订的周期内出现信息泄露和内容公开，影响到合同的签订，甚至给企业后续相关业务工作的开展造成干扰，带来损失。

(2)明确业务管理目标，提高执行效率

一方面，企业需要结合自身所处的行业，在设立相应的业务管理目标之后，针对其展开系统性的研究和检查，通过对目标展开系统与合理的评估、分析，确保其为企业后续工作的顺利进行提供充分的业务指导。

另一方面，在企业正式下达业务计划之后，需要借助合理的反馈渠道了解业务开展和推进的情况，针对过程中出现的问题或者任何突发状况以及之前未曾预估到的风险和隐患，需要及时反馈给企业的管理部门或领导层，确保及时针对业务计划做出必要的调整和改进，防止风险损失进一步加大。[5]

总而言之，企业在开启内部管理控制工作的过程中，其必须强化对于风险的管理控制能力，提升应对水平，这样才能为推动企业的健康发展、稳定运营提供坚实而有力的保障。但是很多企业正是因为缺少经验以及为客观因素所制约，在内部管理控制方面遭遇很多现实的问题，必须依据企业的现实情况对其进行合理的改进与优化，通过制定合理有效的风险管理控制手段，对内部控制机制进行优化，如此可以将风险管控能力提升至一个全新的水平，也为企业的可持续发展保驾护航。