胡常娟

以風險為導向的中小企業(yè)內(nèi)部控制建設(shè)與應用——以L公司為例

胡常娟

文章在依托內(nèi)部控制理論及研究觀點的基礎(chǔ)上，以2008年財政部聯(lián)合證監(jiān)會、審計署、國資委、銀監(jiān)會、保監(jiān)會五部委制定的《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制配套指引》為依據(jù)，結(jié)合L公司所屬集團公司的內(nèi)部控制體系，以及L公司實際經(jīng)營特點，分析L公司業(yè)務(wù)流程中不同風險控制點，構(gòu)建了一套適合L公司業(yè)務(wù)特點的內(nèi)部控制體系。

內(nèi)部控制；風險管理；內(nèi)部控制體系框架

一、提出問題

內(nèi)部控制，是指組織以提高運營效率，充分和有效地獲取和利用資源，實現(xiàn)管理的既定目標，并組織約束和規(guī)范內(nèi)部實施，計劃，方法和程序。各種程序制約的各類活動是內(nèi)部控制的客體。主體是組織的領(lǐng)導者、管理部門及組織內(nèi)全部成員。組織內(nèi)的業(yè)務(wù)活動、財務(wù)活動、管理活動必須有控制制度，這一系列的控制制度是互為關(guān)聯(lián)相互支撐的體系，執(zhí)行這些互為關(guān)聯(lián)的制度，才能使組織的目標得以實現(xiàn)。

我國于2008年發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》中，給出的定義描述是，是由經(jīng)理、監(jiān)事會成員、董事會成員和全體職工負責實施，旨在實現(xiàn)經(jīng)營目標的過程。

綜上所述，內(nèi)控是一種體系，一種管理體系，它是經(jīng)營管理過程的重要階段，它為了提高管理效能的先進方法，是實現(xiàn)組織管理高效化、專業(yè)化的基本條件。

幾乎所有中小企業(yè)發(fā)展初期內(nèi)部管理側(cè)重技術(shù)和市場，它們通過科技創(chuàng)新開發(fā)出更多新產(chǎn)品滿足企業(yè)發(fā)展需要。當中小企業(yè)技術(shù)發(fā)展到一定程度，市場競爭越發(fā)激烈，為避免運營管理成為制約企業(yè)發(fā)展的瓶頸，必須提升內(nèi)部運營管理水平。目前國內(nèi)關(guān)注內(nèi)部控制制度構(gòu)建與應用的企業(yè)較多集中在上市公司或者是大型集團公司，中小非上市企業(yè)研究和建設(shè)內(nèi)部控制的較少。

本文研究對象L公司是央企的孫公司，作為母公司央企必須按照規(guī)范構(gòu)建符合自身風險控制的內(nèi)部控制體系。然而，母公司內(nèi)部控制體系畢竟不能涵蓋下屬子公司和孫公司經(jīng)營過程中所有風險，因此，作為獨立經(jīng)營主體的孫公司L在依托母公司內(nèi)部控制體系的基礎(chǔ)上，需要構(gòu)建適合自己公司經(jīng)營特點的內(nèi)部控制體系，才能夠從根本上防范風險。

二、L公司基本概況及存在問題

（一）L公司基本概況

L公司作為D集團下屬孫公司，是由D集團的二級子公司Z公司、無錫地方政府創(chuàng)業(yè)投資基金、創(chuàng)業(yè)管理團隊于二零零九年共同出資組建的“移動互聯(lián)網(wǎng)產(chǎn)品及解決方案”設(shè)計公司，公司位于無錫蠡園開發(fā)區(qū)工業(yè)設(shè)計園530大廈。公司股權(quán)結(jié)構(gòu)如表1。

圖1　組織架構(gòu)圖

1.L公司三級組織架構(gòu)

L公司內(nèi)部組織架構(gòu)圖如圖1所示：

L公司作為D集團下屬三級孫公司，在集團文件下達后積極響應，成立了以公司負責人為領(lǐng)導，財務(wù)部經(jīng)理為具體聯(lián)系人，各部門及各部門骨干人員為組員的組織架構(gòu)，其中三級組織架構(gòu)列示如下圖2：

圖2　公司三級組織架構(gòu)

2.L公司內(nèi)部控制存在的問題

總體而言，從組織結(jié)構(gòu)層面分析，公司部門設(shè)置完整，法人治理結(jié)構(gòu)規(guī)范。但是，L公司在經(jīng)營過程中還是存在如下問題：

（二）公司層面內(nèi)控制度設(shè)計缺乏雙向互動環(huán)節(jié)

1.企業(yè)管理制度方面

L公司有一套包括各項規(guī)章制度文件并得到實施，但從完整性和系統(tǒng)性講管理制度還是存在不完善和不完整的缺陷，在財務(wù)管理環(huán)節(jié)就存在預算管理制度缺失，在人力資源管理環(huán)節(jié)缺陷體現(xiàn)在個人績效考核管理制度空白。此外，企業(yè)整體的信息系統(tǒng)也在缺失和失控狀態(tài)，只有簡單的財務(wù)信息系統(tǒng)?，F(xiàn)有的內(nèi)部審計、授權(quán)審批、職能崗位分離等內(nèi)控手段，沒有具體明確執(zhí)行標準及標準流程，管理效果主要依靠道德準則的約束來發(fā)揮效果。

2.企業(yè)文化方面

公司內(nèi)部還沒有進行過風險管理和內(nèi)部控制的知識培訓，對相關(guān)概念還處于模糊的狀態(tài)。由于D集團全部子公司都必須按要求建立內(nèi)部控制體系，高層對建立以風險導向的內(nèi)部控制體系的態(tài)度積極，但占大多數(shù)的基層員工對整個L公司內(nèi)部控制意識淡薄。所以公司內(nèi)部控制制度的建設(shè)和執(zhí)行是“自上而下”單向流向，缺乏“自下而上”的互動環(huán)節(jié)，因此內(nèi)部控制執(zhí)行效果不夠好。

（三）業(yè)務(wù)操作層面管理風險控制薄弱

L公司作為一家國有控股的三級孫公司，由于它隸屬于中央軍工企業(yè)在內(nèi)部控制管理中是比較規(guī)范的，組織結(jié)構(gòu)完整合理，企業(yè)治理比較規(guī)范。但是，由于公司的主要經(jīng)營由總經(jīng)理負責，加上公司處于研發(fā)成果剛剛投入大規(guī)模生產(chǎn)階段，導致了雖然L公司建立健全了各項管理制度文件，卻沒有形成完整的體系，因此對于有些制度的缺失，會造成公司損失的風險都無法防范于未然，等待風險出現(xiàn)后才采取應對措施為時已晚，造成公司財物損失。

對于注冊資本相對較少的中小企業(yè)而言，公司的供應鏈和資金鏈扮演著重要角色。供應鏈和資金鏈的流轉(zhuǎn)稍有偏差有可能就會給中小企業(yè)帶來滅頂之災。由此可見中小企業(yè)的“財庫”——財務(wù)管理的風險防范能力、制度健全，流程完全與否就顯得格外重要。

L公司在財務(wù)管理方面存在制度不健全、流程缺失的情況，因此，L公司在內(nèi)部控制體系建立過程中，需要重點關(guān)注財務(wù)管理模塊的構(gòu)建。

L公司的業(yè)務(wù)運作方式是公司營銷中心負責承接業(yè)務(wù)，再由銷售后勤將訂單信息傳遞給運營管理部的生產(chǎn)調(diào)度，由生產(chǎn)調(diào)度將訂單信息轉(zhuǎn)化為生產(chǎn)指令下達給外協(xié)單位，同時將用料需求發(fā)送給倉庫保管員，倉庫保管員將所需物料發(fā)給外協(xié)單位進行加工生產(chǎn)。外協(xié)單位生產(chǎn)完成后，直接按照銷售訂單的信息將產(chǎn)品發(fā)給L公司的客戶。由于外協(xié)單位不在本地，因此，實行的是每月由外協(xié)單位上報材料庫存數(shù)，每季度進行材料盤點。

在財務(wù)管理過程中，由于L公司目前規(guī)模較小，財務(wù)人員配備為財務(wù)部經(jīng)理1人，成本會計、材料會計及出納各1人。財務(wù)部門建立和完善企業(yè)內(nèi)部會計監(jiān)督制度。在資金調(diào)度、資產(chǎn)處理、重大投資及其他重要經(jīng)濟活動進行決策和執(zhí)行。由于人員有限L公司在財務(wù)業(yè)務(wù)處理過程中，出納只負責業(yè)務(wù)記賬但不兼管稽核、會計檔案保管工作。

圖3　集團公司組織結(jié)構(gòu)圖

三、L公司內(nèi)部控制體系構(gòu)建思路

為了保障內(nèi)部控制體系建設(shè)工作有序進行，L公司成立了專項工作組。其中內(nèi)部控制專項工作組主要負責組織開展內(nèi)部控制體系建設(shè)工作，全面風險管理專項工作組主要負責開展內(nèi)部控制體系評價工作及向Z公司報送評價報告。各專項工作組應全程參與、協(xié)同推進開展內(nèi)部控制體系建設(shè)工作。運用“四位一體”的方法論來構(gòu)建L公司內(nèi)部控制體系。

（一）以風險為導向

防范避免風險是內(nèi)控體系建設(shè)目的歸宿，利用風險識別找出企業(yè)各環(huán)節(jié)中的風險，并對風險進行輕重評估，根據(jù)嚴重程度和頻繁程度確定控制目標和對象，減少甚至避免風險的發(fā)生，降低企業(yè)經(jīng)營風險。

（二）以流程為對象

流程是風險識別和控制的對象，流程是風險發(fā)生的主題也是企業(yè)內(nèi)控的環(huán)節(jié)，業(yè)務(wù)流程是風險管理的落腳點也是內(nèi)部控制的對象，企業(yè)的經(jīng)營活動分解后都承載在業(yè)務(wù)流程各環(huán)節(jié)，內(nèi)部控制和風險管理都發(fā)生在流程之中，借助通用業(yè)務(wù)流程目錄對企業(yè)的業(yè)務(wù)流程進行整理，并在內(nèi)部控制框架指導下，繪制各個業(yè)務(wù)的流程圖，實現(xiàn)企業(yè)的流程再造。

（三）以控制為手段

控制活動作為手段，主要是針對風險點，在企業(yè)業(yè)務(wù)流程中建立控制措施。明確誰（崗位）通過采用哪些具體方法來負責對該業(yè)務(wù)執(zhí)行控制，并且要留下控制實施的哪些證據(jù)。

（四）以制度為平臺

管理制度是業(yè)務(wù)流程規(guī)范化的體現(xiàn)，也是控制風險的操作依據(jù)。全部的制度集合各業(yè)務(wù)環(huán)節(jié)風險及控制活動、關(guān)聯(lián)環(huán)節(jié)的控制措施，制度是管理平臺的工作界面，或者說是風險管理的措施集合。開展風險管理首先收集整理修正企業(yè)現(xiàn)有的管理制度，并匯編成冊，然后開展風險的控制活動。

“以制度為平臺”構(gòu)建企業(yè)內(nèi)部控制體系主要有以下兩個原因：首先，管理制度是企業(yè)內(nèi)部控制體系運行的支撐平臺，管理制度涉及了業(yè)務(wù)流程的各環(huán)節(jié)，分崗位說明書、操作規(guī)范、權(quán)責關(guān)系等形式。其次，完善內(nèi)部控制體系不僅包含容易控制的顯性因素還包括不易控制的隱性因素。這些隱性因素包括權(quán)力和責任分配、企業(yè)文化、反舞弊、職業(yè)道德、社會責任等隱性因素，這些隱性因素的控制管理必須通過制度規(guī)范來達到目的。

四、構(gòu)建以風險為導向的內(nèi)部控制體系

（一）L公司內(nèi)部控制活動設(shè)計—資金活動業(yè)務(wù)流程

1.流程描述

資金活動是企業(yè)投資、籌資和資金營運等的總稱。

籌資是為了滿足生產(chǎn)經(jīng)營、發(fā)展需要，通過借款等形式籌集資金的活動。

籌資管理包含籌資方案編制、籌資實施、籌資監(jiān)控等流程及相關(guān)控制。

圖4　籌資管理流程圖

投資管理主要是股權(quán)形成或變更過程中所涉及的投資和有關(guān)管理。股權(quán)投資活動作為企業(yè)一種盈利活動，是對籌資成本補償和企業(yè)利潤的一種貢獻形式。投資管理包含股權(quán)投資、股權(quán)管理、股權(quán)處置等流程及相關(guān)控制。

圖5　投資管理流程圖

資金營運是指企業(yè)防范和控制資金風險，保證資金安全，提高資金使用效益的行為。

圖6　資金運營流程圖

2.主要風險描述

（1）方案編制不完善未經(jīng)過充分論證，籌資方案未經(jīng)過必要的審批、未能及時根據(jù)金融環(huán)境變化調(diào)整籌融資方案，可能導致籌融資成本過高或籌融資不足。

（2）財務(wù)公司貸款未經(jīng)有效審批。

（3）財務(wù)公司貸款入賬不及時、不準確。

（4）利息償付不及時、不準確。

（5）財務(wù)公司貸款到期未及時還款，或未經(jīng)有效審批。

（6）對外借款未經(jīng)有效審批。

（7）還本付息不及時。

（8）投資計劃不明確、不合理。

（9）沒有取得符合規(guī)定的長期股權(quán)投資證明文件。

（10）股權(quán)投資發(fā)生重大變化未及時報批。

（11）投資業(yè)務(wù)記錄不真實、不準確、不完整。

（12）投資業(yè)務(wù)資料未及時、完整歸檔并妥善保管。

（13）未及時有效監(jiān)控投資公司業(yè)務(wù)運行情況。

（14）利潤分配方案未經(jīng)有效審批。

（15）分紅未及時入賬。

（16）股權(quán)轉(zhuǎn)讓方案制定不合理、不科學，未經(jīng)有效審批。

（17）未按規(guī)定進行資產(chǎn)評估。

（18）股權(quán)轉(zhuǎn)讓交易價格不合理。

（19）股權(quán)處置收支未及時、準確入賬。

（20）資金計劃或資金需求超預算或未經(jīng)有效審批。

（21）資金計劃調(diào)整未經(jīng)嚴格審批。

（22）賬戶開立、變更和撤銷未經(jīng)有效審批。

（23）銀行存款資金支付未經(jīng)有效審批。

（24）銀行存款賬實不符。

（25）網(wǎng)上銀行開通未經(jīng)有效審批。

（26）未經(jīng)過授權(quán)的人員操作網(wǎng)上銀行交易。

（27）不相容職責未分離。

（28）票據(jù)使用未經(jīng)有效審批。

（29）票據(jù)管理不善，可能導致票據(jù)被遺失、偽造或盜用。

（30）票據(jù)出現(xiàn)問題，與實物不符。

（31）應收票據(jù)不是專人保存。

（32）未核對盤點應收票據(jù)。

（33）應收票據(jù)的取得和貼現(xiàn)未經(jīng)審批。

（34）防止票據(jù)欺詐。

（35）出納崗位未按相關(guān)規(guī)定進行崗位分離和輪換。

（36）現(xiàn)金收款業(yè)務(wù)未經(jīng)授權(quán)。

（37）現(xiàn)金收付未經(jīng)有效審批。

（38）現(xiàn)金收入、支付不符合相關(guān)法律法規(guī)的規(guī)定。

（39）庫存現(xiàn)金余額賬實不符。

（40）庫存現(xiàn)金超限額。

（41）往來科目金額列示不真實。

（42）長期掛賬的款項未得到及時處理。

（二）建立風險評估管理體系

風險評估是一個動態(tài)過程，而且過程復雜，L公司對經(jīng)營活動中的可能存在的風險進行識別、分析，以確定應對措施。進行風險評估是為了了解和評價公司的經(jīng)營狀況、經(jīng)營環(huán)境，建立安全保障體系、制定安全策略。L公司的風險評估體系由風險評估管理（進行評估的內(nèi)容、時間、調(diào)整以及責任等）、風險評估反饋（反饋的方式、程序等）和風險管理應對措施（應對的方式、管理部門、應對程序和執(zhí)行狀況）組成。如圖7所示。

圖7　公司風險管理體系

L公司在董事會下設(shè)立風險管理委員會，公司有完善的風險管理程序文件，按照公司設(shè)定的目標，更新信息資源庫。采取一定的方法（定性分析方法和定量分析方法）識別內(nèi)外部風險。公司風險評估部門每年年初制定風險評估總體方案，經(jīng)風險管理委員會審批后下發(fā)至各部門。各部室按照總體方案的要求，采用案例分析、問卷調(diào)查、訪談、小組討論、征求專家意見、參考風險歷史數(shù)據(jù)庫等方法，進行公司風險識別工作，確定公司的經(jīng)營活動及各業(yè)務(wù)流程單元中是否存在風險，有什么風險。評估管理部門根據(jù)反饋的風險信息，采用定性與定量相結(jié)合的方法，依據(jù)影響程度、發(fā)生的可能性等風險評價標準，對風險進行評價，確定風險類別。依據(jù)收集到的風險信息，各職能部門按風險類別進行匯總。在開展風險識別工作基礎(chǔ)上，按要求實施風險反饋。各部門結(jié)合公司各業(yè)務(wù)情況、戰(zhàn)略目標、不同發(fā)展階段，收集風險信息，進行風險評價等活動，及時制定風險控制方案。

（三）健全內(nèi)部信息傳遞體系

內(nèi)部信息傳遞指的是企業(yè)各部門之間進行的信息交流與溝通，是生產(chǎn)經(jīng)營管理信息在企業(yè)內(nèi)部的傳遞過程。內(nèi)部信息主要包括經(jīng)營信息、財務(wù)信息等。

圖8　L公司的信息與溝通體系

（四）建立內(nèi)部監(jiān)督機制

內(nèi)部監(jiān)督指的是對構(gòu)建的內(nèi)控體系及持續(xù)改進情況、實施情況進行內(nèi)部監(jiān)督檢查的活動，目的是提高其有效性。

1.內(nèi)部監(jiān)督的分類：缺陷報告、專項監(jiān)督和日常監(jiān)督。

（1）缺陷報告指的是缺陷報告建立健全機制，制定缺陷規(guī)范，向有關(guān)人員及董事上報內(nèi)部控制缺陷的程序。

（2）專項監(jiān)督指的是在關(guān)鍵崗位員工、業(yè)務(wù)流程、經(jīng)營活動、組織結(jié)構(gòu)、發(fā)展戰(zhàn)略等發(fā)生重大變化和調(diào)整時，某一方面或某些方面進行的監(jiān)督檢查。

（3）日常監(jiān)督是對構(gòu)建的內(nèi)控體系持續(xù)改進情況、實施情況進行日常監(jiān)督檢查。

2.內(nèi)部控制缺陷的分類：

（1）從缺陷來源而分，包括運行缺陷和設(shè)計缺陷。

運行缺陷指的是運行過程中缺陷，內(nèi)部控制設(shè)計是有效的，但運行不當造成的缺陷。設(shè)計缺陷指的是設(shè)計環(huán)節(jié)中形成的，即使正常運行也難以達到控制目的，企業(yè)缺少為實現(xiàn)控制目標必要的控制，或者是控制設(shè)計不適當。

（2）從對經(jīng)營目標影響的嚴重與否來分，分為一般、重要和重大缺陷。

重大缺陷指的是缺陷可能會導致企業(yè)嚴重偏離目標。當存在任何重大缺陷時，應當在評價報告中做出“內(nèi)部控制無效”的結(jié)論。

重要缺陷嚴重程度低于重大缺陷，導致企業(yè)偏離目標，應當引起管理者的足夠關(guān)注。

除重要缺陷、重大缺陷之外其他控制缺陷為一般缺陷。

（3）從影響內(nèi)部控制目標實現(xiàn)的具體表現(xiàn)形式，可以將內(nèi)部控制缺陷分為非財務(wù)報告缺陷和財務(wù)報告缺陷。

（五）建立內(nèi)部控制自我評價

內(nèi)部控制自我評價：就是對內(nèi)控體系有效性進行評估，發(fā)現(xiàn)問題及缺陷，持續(xù)改進的過程，包括缺陷報告、獨立評估、持續(xù)監(jiān)督等。內(nèi)部監(jiān)督包括自我評價、持續(xù)改進等。

圖9　內(nèi)部控制評價程序

五、主要結(jié)論

（一）內(nèi)部控制體系建設(shè)因“企”而異

由于企業(yè)自身的特性以及企業(yè)所處行業(yè)、外部環(huán)境不同，所以不同企業(yè)面臨的問題是如何構(gòu)建符合企業(yè)自身的具有企業(yè)特色的內(nèi)控體系，設(shè)計出適合企業(yè)自己業(yè)務(wù)活動特點的內(nèi)部控制業(yè)務(wù)流程及內(nèi)部控制制度。企業(yè)應結(jié)合大的經(jīng)濟環(huán)境和企業(yè)實際問題，以《企業(yè)內(nèi)部控制基本規(guī)范》及《企業(yè)風險管理整合框架》為依據(jù)，從信息與溝通、風險應對、風險評估、風險識別、目標制定、監(jiān)控、內(nèi)部環(huán)境、控制活動等八要素出發(fā)，建立公司和業(yè)務(wù)層面的內(nèi)控體系，通過具體實施內(nèi)部控制制度和內(nèi)部控制業(yè)務(wù)流程發(fā)現(xiàn)存在問題缺陷，在此過程中不斷改進內(nèi)部控制體系，確保內(nèi)部控制體系適合企業(yè)自身并為企業(yè)提供防護、調(diào)節(jié)和反饋等功能，更好地發(fā)揮內(nèi)部控制相互制約又統(tǒng)一融合的作用，以及促進和激勵等作用，幫助企業(yè)更加重視內(nèi)部控制體系設(shè)計的科學性、有效性及合理性。

（二）內(nèi)部控制體系建設(shè)為企業(yè)保駕護航

通過對L公司內(nèi)控體系構(gòu)建的研究分析可以看到，內(nèi)部控制不僅僅是財務(wù)會計部門的內(nèi)控，而是對公司所有業(yè)務(wù)流程的全方位管控。如今整體經(jīng)濟形勢不景氣導致了許多企業(yè)破產(chǎn)，出現(xiàn)了前所未有的倒閉潮，分析原因則是多方面的，低劣的管理水平及各種舞弊，越來越激烈的市場競爭等。企業(yè)要在這些不利環(huán)境和狀況下求得生存并發(fā)展進步，只有建立一套科學的行之有效的內(nèi)控體系，不斷提升企業(yè)的管理水平，防范各種風險，提高企業(yè)抗風險抗擊打的能力，才能實現(xiàn)企業(yè)可持續(xù)健康發(fā)展。

（三）內(nèi)部控制體系八大要素缺一不可

通過對L公司深入分析，可以看出內(nèi)部控制八個要素是相輔相成互為關(guān)聯(lián)的，各階段都發(fā)揮著各自的作用，這些階段包括內(nèi)部控制體系的分析、構(gòu)建、評估和改進等。它們之間既是自成體系、相互獨立，又密切關(guān)聯(lián)，前提是控制環(huán)境，風險評估是根據(jù)，載體則是信息與溝通，而監(jiān)督是保證、控制活動是措施。

［1］李鳳鳴.內(nèi)部控制學［M］.第二版.北京:北京大學出版社，2012：3-4.

［2］財政部.企業(yè)內(nèi)部控制規(guī)范，2008.

［3］張廷偉.以風險為導向的J集團公司內(nèi)部控制體系構(gòu)建研究［D］:新疆.新疆大學管理學院，2014.

胡常娟，女，湖北荊州人，中科芯集成電路股份有限公司。

F276.3

A

1008-4428（2016）10-48-05