以風險為導向的中小企業內部控制建設與應用——以L公司為例

胡常娟

以風險為導向的中小企業內部控制建設與應用——以L公司為例

胡常娟

文章在依托內部控制理論及研究觀點的基礎上，以2008年財政部聯合證監會、審計署、國資委、銀監會、保監會五部委制定的《企業內部控制基本規范》和《企業內部控制配套指引》為依據，結合L公司所屬集團公司的內部控制體系，以及L公司實際經營特點，分析L公司業務流程中不同風險控制點，構建了一套適合L公司業務特點的內部控制體系。

內部控制；風險管理；內部控制體系框架

一、提出問題

內部控制，是指組織以提高運營效率，充分和有效地獲取和利用資源，實現管理的既定目標，并組織約束和規范內部實施，計劃，方法和程序。各種程序制約的各類活動是內部控制的客體。主體是組織的領導者、管理部門及組織內全部成員。組織內的業務活動、財務活動、管理活動必須有控制制度，這一系列的控制制度是互為關聯相互支撐的體系，執行這些互為關聯的制度，才能使組織的目標得以實現。

我國于2008年發布的《企業內部控制基本規范》中，給出的定義描述是，是由經理、監事會成員、董事會成員和全體職工負責實施，旨在實現經營目標的過程。

綜上所述，內控是一種體系，一種管理體系，它是經營管理過程的重要階段，它為了提高管理效能的先進方法，是實現組織管理高效化、專業化的基本條件。

幾乎所有中小企業發展初期內部管理側重技術和市場，它們通過科技創新開發出更多新產品滿足企業發展需要。當中小企業技術發展到一定程度，市場競爭越發激烈，為避免運營管理成為制約企業發展的瓶頸，必須提升內部運營管理水平。目前國內關注內部控制制度構建與應用的企業較多集中在上市公司或者是大型集團公司，中小非上市企業研究和建設內部控制的較少。

本文研究對象L公司是央企的孫公司，作為母公司央企必須按照規范構建符合自身風險控制的內部控制體系。然而，母公司內部控制體系畢竟不能涵蓋下屬子公司和孫公司經營過程中所有風險，因此，作為獨立經營主體的孫公司L在依托母公司內部控制體系的基礎上，需要構建適合自己公司經營特點的內部控制體系，才能夠從根本上防范風險。

二、L公司基本概況及存在問題

（一）L公司基本概況

L公司作為D集團下屬孫公司，是由D集團的二級子公司Z公司、無錫地方政府創業投資基金、創業管理團隊于二零零九年共同出資組建的“移動互聯網產品及解決方案”設計公司，公司位于無錫蠡園開發區工業設計園530大廈。公司股權結構如表1。

圖1　組織架構圖

1.L公司三級組織架構

L公司內部組織架構圖如圖1所示：

L公司作為D集團下屬三級孫公司，在集團文件下達后積極響應，成立了以公司負責人為領導，財務部經理為具體聯系人，各部門及各部門骨干人員為組員的組織架構，其中三級組織架構列示如下圖2：

圖2　公司三級組織架構

2.L公司內部控制存在的問題

總體而言，從組織結構層面分析，公司部門設置完整，法人治理結構規范。但是，L公司在經營過程中還是存在如下問題：

（二）公司層面內控制度設計缺乏雙向互動環節

1.企業管理制度方面

L公司有一套包括各項規章制度文件并得到實施，但從完整性和系統性講管理制度還是存在不完善和不完整的缺陷，在財務管理環節就存在預算管理制度缺失，在人力資源管理環節缺陷體現在個人績效考核管理制度空白。此外，企業整體的信息系統也在缺失和失控狀態，只有簡單的財務信息系統。現有的內部審計、授權審批、職能崗位分離等內控手段，沒有具體明確執行標準及標準流程，管理效果主要依靠道德準則的約束來發揮效果。

2.企業文化方面

公司內部還沒有進行過風險管理和內部控制的知識培訓，對相關概念還處于模糊的狀態。由于D集團全部子公司都必須按要求建立內部控制體系，高層對建立以風險導向的內部控制體系的態度積極，但占大多數的基層員工對整個L公司內部控制意識淡薄。所以公司內部控制制度的建設和執行是“自上而下”單向流向，缺乏“自下而上”的互動環節，因此內部控制執行效果不夠好。

（三）業務操作層面管理風險控制薄弱

L公司作為一家國有控股的三級孫公司，由于它隸屬于中央軍工企業在內部控制管理中是比較規范的，組織結構完整合理，企業治理比較規范。但是，由于公司的主要經營由總經理負責，加上公司處于研發成果剛剛投入大規模生產階段，導致了雖然L公司建立健全了各項管理制度文件，卻沒有形成完整的體系，因此對于有些制度的缺失，會造成公司損失的風險都無法防范于未然，等待風險出現后才采取應對措施為時已晚，造成公司財物損失。

對于注冊資本相對較少的中小企業而言，公司的供應鏈和資金鏈扮演著重要角色。供應鏈和資金鏈的流轉稍有偏差有可能就會給中小企業帶來滅頂之災。由此可見中小企業的“財庫”——財務管理的風險防范能力、制度健全，流程完全與否就顯得格外重要。

L公司在財務管理方面存在制度不健全、流程缺失的情況，因此，L公司在內部控制體系建立過程中，需要重點關注財務管理模塊的構建。

L公司的業務運作方式是公司營銷中心負責承接業務，再由銷售后勤將訂單信息傳遞給運營管理部的生產調度，由生產調度將訂單信息轉化為生產指令下達給外協單位，同時將用料需求發送給倉庫保管員，倉庫保管員將所需物料發給外協單位進行加工生產。外協單位生產完成后，直接按照銷售訂單的信息將產品發給L公司的客戶。由于外協單位不在本地，因此，實行的是每月由外協單位上報材料庫存數，每季度進行材料盤點。

在財務管理過程中，由于L公司目前規模較小，財務人員配備為財務部經理1人，成本會計、材料會計及出納各1人。財務部門建立和完善企業內部會計監督制度。在資金調度、資產處理、重大投資及其他重要經濟活動進行決策和執行。由于人員有限L公司在財務業務處理過程中，出納只負責業務記賬但不兼管稽核、會計檔案保管工作。

圖3　集團公司組織結構圖

三、L公司內部控制體系構建思路

為了保障內部控制體系建設工作有序進行，L公司成立了專項工作組。其中內部控制專項工作組主要負責組織開展內部控制體系建設工作，全面風險管理專項工作組主要負責開展內部控制體系評價工作及向Z公司報送評價報告。各專項工作組應全程參與、協同推進開展內部控制體系建設工作。運用“四位一體”的方法論來構建L公司內部控制體系。

（一）以風險為導向

防范避免風險是內控體系建設目的歸宿，利用風險識別找出企業各環節中的風險，并對風險進行輕重評估，根據嚴重程度和頻繁程度確定控制目標和對象，減少甚至避免風險的發生，降低企業經營風險。

（二）以流程為對象

流程是風險識別和控制的對象，流程是風險發生的主題也是企業內控的環節，業務流程是風險管理的落腳點也是內部控制的對象，企業的經營活動分解后都承載在業務流程各環節，內部控制和風險管理都發生在流程之中，借助通用業務流程目錄對企業的業務流程進行整理，并在內部控制框架指導下，繪制各個業務的流程圖，實現企業的流程再造。

（三）以控制為手段

控制活動作為手段，主要是針對風險點，在企業業務流程中建立控制措施。明確誰（崗位）通過采用哪些具體方法來負責對該業務執行控制，并且要留下控制實施的哪些證據。

（四）以制度為平臺

管理制度是業務流程規范化的體現，也是控制風險的操作依據。全部的制度集合各業務環節風險及控制活動、關聯環節的控制措施，制度是管理平臺的工作界面，或者說是風險管理的措施集合。開展風險管理首先收集整理修正企業現有的管理制度，并匯編成冊，然后開展風險的控制活動。

“以制度為平臺”構建企業內部控制體系主要有以下兩個原因：首先，管理制度是企業內部控制體系運行的支撐平臺，管理制度涉及了業務流程的各環節，分崗位說明書、操作規范、權責關系等形式。其次，完善內部控制體系不僅包含容易控制的顯性因素還包括不易控制的隱性因素。這些隱性因素包括權力和責任分配、企業文化、反舞弊、職業道德、社會責任等隱性因素，這些隱性因素的控制管理必須通過制度規范來達到目的。

四、構建以風險為導向的內部控制體系

（一）L公司內部控制活動設計—資金活動業務流程

1.流程描述

資金活動是企業投資、籌資和資金營運等的總稱。

籌資是為了滿足生產經營、發展需要，通過借款等形式籌集資金的活動。

籌資管理包含籌資方案編制、籌資實施、籌資監控等流程及相關控制。

圖4　籌資管理流程圖

投資管理主要是股權形成或變更過程中所涉及的投資和有關管理。股權投資活動作為企業一種盈利活動，是對籌資成本補償和企業利潤的一種貢獻形式。投資管理包含股權投資、股權管理、股權處置等流程及相關控制。

圖5　投資管理流程圖

資金營運是指企業防范和控制資金風險，保證資金安全，提高資金使用效益的行為。

圖6　資金運營流程圖

2.主要風險描述

（1）方案編制不完善未經過充分論證，籌資方案未經過必要的審批、未能及時根據金融環境變化調整籌融資方案，可能導致籌融資成本過高或籌融資不足。

（2）財務公司貸款未經有效審批。

（3）財務公司貸款入賬不及時、不準確。

（4）利息償付不及時、不準確。

（5）財務公司貸款到期未及時還款，或未經有效審批。

（6）對外借款未經有效審批。

（7）還本付息不及時。

（8）投資計劃不明確、不合理。

（9）沒有取得符合規定的長期股權投資證明文件。

（10）股權投資發生重大變化未及時報批。

（11）投資業務記錄不真實、不準確、不完整。

（12）投資業務資料未及時、完整歸檔并妥善保管。

（13）未及時有效監控投資公司業務運行情況。

（14）利潤分配方案未經有效審批。

（15）分紅未及時入賬。

（16）股權轉讓方案制定不合理、不科學，未經有效審批。

（17）未按規定進行資產評估。

（18）股權轉讓交易價格不合理。

（19）股權處置收支未及時、準確入賬。

（20）資金計劃或資金需求超預算或未經有效審批。

（21）資金計劃調整未經嚴格審批。

（22）賬戶開立、變更和撤銷未經有效審批。

（23）銀行存款資金支付未經有效審批。

（24）銀行存款賬實不符。

（25）網上銀行開通未經有效審批。

（26）未經過授權的人員操作網上銀行交易。

（27）不相容職責未分離。

（28）票據使用未經有效審批。

（29）票據管理不善，可能導致票據被遺失、偽造或盜用。

（30）票據出現問題，與實物不符。

（31）應收票據不是專人保存。

（32）未核對盤點應收票據。

（33）應收票據的取得和貼現未經審批。

（34）防止票據欺詐。

（35）出納崗位未按相關規定進行崗位分離和輪換。

（36）現金收款業務未經授權。

（37）現金收付未經有效審批。

（38）現金收入、支付不符合相關法律法規的規定。

（39）庫存現金余額賬實不符。

（40）庫存現金超限額。

（41）往來科目金額列示不真實。

（42）長期掛賬的款項未得到及時處理。

（二）建立風險評估管理體系

風險評估是一個動態過程，而且過程復雜，L公司對經營活動中的可能存在的風險進行識別、分析，以確定應對措施。進行風險評估是為了了解和評價公司的經營狀況、經營環境，建立安全保障體系、制定安全策略。L公司的風險評估體系由風險評估管理（進行評估的內容、時間、調整以及責任等）、風險評估反饋（反饋的方式、程序等）和風險管理應對措施（應對的方式、管理部門、應對程序和執行狀況）組成。如圖7所示。

圖7　公司風險管理體系

L公司在董事會下設立風險管理委員會，公司有完善的風險管理程序文件，按照公司設定的目標，更新信息資源庫。采取一定的方法（定性分析方法和定量分析方法）識別內外部風險。公司風險評估部門每年年初制定風險評估總體方案，經風險管理委員會審批后下發至各部門。各部室按照總體方案的要求，采用案例分析、問卷調查、訪談、小組討論、征求專家意見、參考風險歷史數據庫等方法，進行公司風險識別工作，確定公司的經營活動及各業務流程單元中是否存在風險，有什么風險。評估管理部門根據反饋的風險信息，采用定性與定量相結合的方法，依據影響程度、發生的可能性等風險評價標準，對風險進行評價，確定風險類別。依據收集到的風險信息，各職能部門按風險類別進行匯總。在開展風險識別工作基礎上，按要求實施風險反饋。各部門結合公司各業務情況、戰略目標、不同發展階段，收集風險信息，進行風險評價等活動，及時制定風險控制方案。

（三）健全內部信息傳遞體系

內部信息傳遞指的是企業各部門之間進行的信息交流與溝通，是生產經營管理信息在企業內部的傳遞過程。內部信息主要包括經營信息、財務信息等。

圖8　L公司的信息與溝通體系

（四）建立內部監督機制

內部監督指的是對構建的內控體系及持續改進情況、實施情況進行內部監督檢查的活動，目的是提高其有效性。

1.內部監督的分類：缺陷報告、專項監督和日常監督。

（1）缺陷報告指的是缺陷報告建立健全機制，制定缺陷規范，向有關人員及董事上報內部控制缺陷的程序。

（2）專項監督指的是在關鍵崗位員工、業務流程、經營活動、組織結構、發展戰略等發生重大變化和調整時，某一方面或某些方面進行的監督檢查。

（3）日常監督是對構建的內控體系持續改進情況、實施情況進行日常監督檢查。

2.內部控制缺陷的分類：

（1）從缺陷來源而分，包括運行缺陷和設計缺陷。

運行缺陷指的是運行過程中缺陷，內部控制設計是有效的，但運行不當造成的缺陷。設計缺陷指的是設計環節中形成的，即使正常運行也難以達到控制目的，企業缺少為實現控制目標必要的控制，或者是控制設計不適當。

（2）從對經營目標影響的嚴重與否來分，分為一般、重要和重大缺陷。

重大缺陷指的是缺陷可能會導致企業嚴重偏離目標。當存在任何重大缺陷時，應當在評價報告中做出“內部控制無效”的結論。

重要缺陷嚴重程度低于重大缺陷，導致企業偏離目標，應當引起管理者的足夠關注。

除重要缺陷、重大缺陷之外其他控制缺陷為一般缺陷。

（3）從影響內部控制目標實現的具體表現形式，可以將內部控制缺陷分為非財務報告缺陷和財務報告缺陷。

（五）建立內部控制自我評價

內部控制自我評價：就是對內控體系有效性進行評估，發現問題及缺陷，持續改進的過程，包括缺陷報告、獨立評估、持續監督等。內部監督包括自我評價、持續改進等。

圖9　內部控制評價程序

五、主要結論

（一）內部控制體系建設因“企”而異

由于企業自身的特性以及企業所處行業、外部環境不同，所以不同企業面臨的問題是如何構建符合企業自身的具有企業特色的內控體系，設計出適合企業自己業務活動特點的內部控制業務流程及內部控制制度。企業應結合大的經濟環境和企業實際問題，以《企業內部控制基本規范》及《企業風險管理整合框架》為依據，從信息與溝通、風險應對、風險評估、風險識別、目標制定、監控、內部環境、控制活動等八要素出發，建立公司和業務層面的內控體系，通過具體實施內部控制制度和內部控制業務流程發現存在問題缺陷，在此過程中不斷改進內部控制體系，確保內部控制體系適合企業自身并為企業提供防護、調節和反饋等功能，更好地發揮內部控制相互制約又統一融合的作用，以及促進和激勵等作用，幫助企業更加重視內部控制體系設計的科學性、有效性及合理性。

（二）內部控制體系建設為企業保駕護航

通過對L公司內控體系構建的研究分析可以看到，內部控制不僅僅是財務會計部門的內控，而是對公司所有業務流程的全方位管控。如今整體經濟形勢不景氣導致了許多企業破產，出現了前所未有的倒閉潮，分析原因則是多方面的，低劣的管理水平及各種舞弊，越來越激烈的市場競爭等。企業要在這些不利環境和狀況下求得生存并發展進步，只有建立一套科學的行之有效的內控體系，不斷提升企業的管理水平，防范各種風險，提高企業抗風險抗擊打的能力，才能實現企業可持續健康發展。

（三）內部控制體系八大要素缺一不可

通過對L公司深入分析，可以看出內部控制八個要素是相輔相成互為關聯的，各階段都發揮著各自的作用，這些階段包括內部控制體系的分析、構建、評估和改進等。它們之間既是自成體系、相互獨立，又密切關聯，前提是控制環境，風險評估是根據，載體則是信息與溝通，而監督是保證、控制活動是措施。

［1］李鳳鳴.內部控制學［M］.第二版.北京:北京大學出版社，2012：3-4.

［2］財政部.企業內部控制規范，2008.

［3］張廷偉.以風險為導向的J集團公司內部控制體系構建研究［D］:新疆.新疆大學管理學院，2014.

胡常娟，女，湖北荊州人，中科芯集成電路股份有限公司。

F276.3

A

1008-4428（2016）10-48-05