大數據背景下企業內部控制與風險管理體系構建研究

●肖洪偉

一、引言

在新常態發展戰略目標的指引下，經濟的發展模式發生了巨大的變化。以大數據、區塊鏈等為代表的互聯網技術在各行各業得到了廣泛應用。在嚴峻而復雜的經濟浪潮中，企業要想健康、穩定地可持續發展，必定離不開完善的內部控制和風險管理體系。內部控制和風險管理在企業中是非常重要的管控活動，只有立足于企業生產經營的實際情況，運用大數據等互聯網技術，實現對企業數據的全面掌握，才能構建出符合企業自身情況的內部控制和風險管理體系，為企業的生產經營保駕護航[1]。

二、企業內部控制與風險管理的相關概念

（一）企業內部控制的定義

企業內部控制是對企業的資產、人、財務和流程實行的一系列的監管活動，用于保障企業正常的生產經營秩序，是對企業的生產經營所有活動的一項強有力的監督機制。企業內部控制不僅針對于員工和工作流程，更要保證企業資產和財務信息的真實、準確和有效。企業內部控制的影響因素眾多，涉及內部環境、內部監督、風險評估、控制活動和信息與溝通，主要過程包括預測、控制和監督。企業內部控制的實現途徑依賴于體系的構建和流程管理的改革，這樣既能讓企業的生產經營活動合法合規，又能讓信息、數據更加真實、完整。

（二）企業風險管理的定義

企業風險管理的內容則涵蓋了企業商業風險管理、運營風險管理以及策略風險管理的內容。它更側重于通過計劃、組織、領導、控制企業生產經營活動的全過程，來讓企業的資產和所受風險的概率降至最小。企業風險管理既涉及企業內部，同樣也涉及企業外部，覆蓋了企業生產經營的全過程，這也導致了企業風險管理并非一成不變，而是一個動態管理的過程。在此過程中，需要不斷地對企業生產經營活動中可能存在的風險進行識別，對風險因素進行定性和定量分析，并采取防范、規避等應對措施，來保證企業正常的生產經營安全。企業的風險管理體系需要將其風險因素集合，制定出組織職能體系、內部控制系統、風險管理策略和風險應對措施四方面的內容[2]。

三、企業內部控制與風險管理的異同與關系

（一）企業內部控制與風險管理的相同之處

企業內部控制與風險管理的相同之處在于二者都需要企業內部的全員參與，從源頭上激發全員的主觀能動性，讓全員都參與到風險識別、監控等環節。另外，二者都是為企業的合法、合規經營以及企業的平穩健康發展提供強有力的保障。同時企業內部控制和風險管理均是一個動態管控的過程，都將面對諸多的不確定因素，需要持續性地進行跟蹤和監督，都屬于對生產經營活動過程的管控。

（二）企業內部控制與風險管理的不同之處

首先，在體系的范圍上，內部控制的范圍僅限于企業內部，小于風險管理的范圍。雖然風險管理體系中的內部控制系統與企業內部控制存在一些交集，但是內部控制更注重對于企業資產安全的保證，以及財務信息和報告的完整性與真實性，對于事前的參與度不高，多面向事中和事后，而風險管理側重于事前和事中，有著較大的區別。其次，二者的關注點略有不同，內部控制主要針對企業中已出現的，影響企業經營合法合規方面和財務數據真實性方面的風險，而風險管理則偏向于戰略風險和機會風險，為企業整體進行全方位的分析。最后在執行層面，內部控制更注重風險的評估工作，而風險管理更強調所有環節的閉環，所以風險管理更容易形成一整套體系結構[3]。

（三）企業內部控制與風險管理的關系

企業內部控制與風險管理相輔相成，內部控制可以作為企業風險管理體系中的一個環節，以內部控制為基礎進行全方位的拓展，最終實現風險管理體系在企業的全覆蓋。另外，內部控制是風險管理體系中的重要手段之一，通過內部控制能保障企業運營的合法合規性，將企業經營中的絕大多數風險扼殺在搖籃之中。當然從流程和方法上來說，內部控制的程序簡化，使用的手段以傳統的預算控制、數據分析等方法來進行風險應對，這些方法對于企業來說更加經濟實惠。但是現在企業的生產經營面臨的外部風險形式同樣嚴峻，在內部控制的基礎上，必須利用范圍更廣的手段，以幫助企業規避更多的風險，最大程度地保證經濟不受損失。

四、大數據背景下企業內部控制與風險管理體系構建的具體策略

大數據時代，企業面臨的內外部環境更加復雜，需要針對更多的企業財務信息進行分析，通過各種互聯網技術的應用，快速、高效地幫助企業構建出具有鮮明時代特色的內部控制與風險管理體系，通過完整的體系，消除企業財務、營銷和生產活動中的一切不確定因素，確保企業平穩、健康的發展。

（一）增強企業內部控制和風險管理體系的整合意識

企業內部需要加快梳理內部控制和風險管理體系工作之間的交集，本著集約化建設的原則，減少內部控制和風險管理體系之間的重復工作。在兩個制度的制定方面，以整合意識為前提，通過協作、共促的原則，提高企業對經營風險的防御能力。同時讓企業內部的所有人員樹立整合的意識，將內部控制和風險管理體系整合在一起，真正做到風險事前、事中和事后的全流程閉環控制與監督[4]。

（二）打造集成式的企業內部控制和風險管理體系

企業經營的合法合規是企業內部控制和風險管理的首要任務，所以需要通過集成式的企業內部控制和風險管理體系，將企業內外部面臨的風險均納入到管理體系中。企業內部的風險更多借助于內部控制體系進行防范，外部則需要通過一些監督機制，如中介機構、監管機構等進行實現。同時對集成式的企業內部控制和風險管理體系進行分層，讓企業的治理層、管理層和運營層進行分層管理，企業內部形成自己的協同監督機制。如生產和業務部門應以客戶群體為目標，生產并提供目標群體所需的高性價比服務或者產品，而企業財務等職能部門則履行監督和服務職能，讓企業內部控制系統正常運轉，為經營活動提供強有力的支撐。當然為了檢驗內部控制策略的有效性以及幫助其進行持續性的改善，需要有審計人員對內控效果進行獨立的評價。集成式的企業內部控制與風險管理體系實現了二者的合二為一，讓企業的風險管理與控制更加便捷、高效。在此基礎上，企業的財務信息會更加精準，財務報告的質量與透明度會有一定程度的提升，但是需要注意二者整合的難度與阻力。

（三）建立以風險管理為導向的企業內部控制制度

在企業內部控制制度設計時，需要以風險管理的體系內容為導向，緊密圍繞企業風險管理的核心要點，實現內部風險的閉環，從而進一步構建良好的自我免疫風險防范機制。在內部控制制度中需要體現對內部各種潛在風險因素的識別，并針對性地做好各項應對措施。在企業內部控制制度中要充分體現企業風險管理的長效機制與措施，對于風險控制策略的制定必須以科學性和實用性為主要原則。特別是需要在制度中明確規定各項內部控制的指標和考核標準，真正體現出獎懲分明的原則，這樣才能讓企業全員對于內控控制和風險管理的意識得到顯著的提升。在制度制定前，企業需要組織人員對經營管理和投資實踐過程中存在的潛在風險因素和問題進行識別，對已識別的問題分類匯總，對經營和投資過程中可能存在的問題進行綜合分析。同時要在企業內部控制制度中體現風險分類分級管理的思想，從風險管理的角度合理劃分部門之間的權責，將風險管理放在內部控制制度中的顯著位置，構建較為立體的內部控制和風險管理體系，從而達到企業內部規范化的管理效果。

（四）通過信息化手段構建風險識別與評估系統

在企業內部控制與風險管理體系的建設過程中，風險識別和評估工作的重要性不言而喻，這些都是建立在完整、準確地掌握企業經濟活動數據的基礎之上。由于當前國際國內形勢瞬息萬變，企業必須借助于信息化手段構建自己的風險識別與評估系統，這樣才能更加高效、準確地完成此項工作。一般來說，企業面臨的風險主要分為戰略風險、財務風險和運營風險三大類，而企業的財務信息與這三類風險均息息相關。只有通過信息化手段，構建完善的風險識別與評估系統，才能對風險進行針對性定性、定量的分析，為后續的防御和化解風險提供可靠的依據。另外，由于風險的可變性，需要對風險進行動態的跟蹤與控制，顯然在這方面信息技術的優勢高于相關人員。信息系統可以利用大數據、人工智能等技術，實現風險自動識別與評估，并通過與相同類型風險進行對比，實時提出科學、合理的方案，供企業的決策者參考[5]。當然企業內部可以通過內部控制過程對內部風險進行梳理，并針對重點風險制定相應的應急預案，一旦風險真正發生，可以按照應急預案的流程，由信息系統進行程序化的處置，大大節省內部控制和風險管理的時間。

（五）讓審計監督體系成為風險管理體系中的重要組成部分

雖然當前部分企業沒有建立完善的審計監督體系，但是審計監督組織機構的成立以及審計監督職責的良好履行，能使企業內部控制和風險管理體系更加完整，也有利于風險處理的閉環。對于未設置審計監督組織機構的企業應盡快設置，對于已有審計監督組織機構但未獨立的，應盡快實現其獨立性。企業的審計監督人員應在深入了解企業經營環境的同時，掌握審計監督必備的技能，從而實現對風險的實時監控。特別要對企業物資采購、計量、費用報銷和資產驗收等環節進行監督和管控，保證企業資產的安全和完整。當然內部控制的外部監督也是監督審計體系的重要組成部分，借助于外部財務、稅務、審計等職能與機構的力量，對內部控制的規范性進行監督。讓審計監督體系成為風險管理體系中的重要組成部分需要進行科學、合理的權責劃分，避免因為審計監督影響企業正常的經營活動。同時在審計監督體系的構建時，除履行監督職責外，必要時還需要通過監督體系對經營活動進行反哺指導，杜絕為了監督而監督，而是通過審計監督體系，進一步完善企業內部控制和風險管理體系的不足。

五、結束語

綜上所述，大數據背景下企業內部控制與風險管理體系的構建需要有完整的方式方法。既要從企業全員的意識開始二者的整合，還要通過集成式的體系模式，形成交叉、融合的完整體系構架。利用信息技術推動風險的識別與評估，讓審計監督成為體系的重要環節。