隨著一些監管文件的發布和推行，合規管理、內部控制、全面風險管理（以下簡稱為合規、內控、風險）等與風險密切相關的概念，逐漸進入企業高層的視野。在最新的一份國企改革三年行動方案中，“防風險”已成為國有企業董事會的最重要職責之一。

什么是企業內部控制

內部控制，是指由企業董事會（或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構，以下簡稱董事會）、管理層和全體員工共同實施的、旨在合理保證實現企業基本目標的一系列控制活動。

內部控制的作用指，內部控制的固有功能在實際工作中對企業的生產經營活動及外部社會經濟活動所產生的影響和效果。在社會化大生產中，內部控制作為企業生產經營活動的自我調節和自我制約的內在機制，處于企業中樞神經系統的重要位置。

企業規模越大，其重要性越顯著。可以說，內部控制的健全、實施與否，是單位經營成敗的關鍵。

企業的內控難點在哪

一個企業在生存、發展的過程中，必定會面臨各種各樣的風險，如決策管理風險、政策法規風險、制度缺陷風險、流動性風險、市場風險、信用風險和操作風險等。在風險面前，企業并不是無能為力的，可以通過建立內控體系來防范和化解風險。

但企業最大的風險在于對風險的無知和無視，對已知的風險企業一定有相應的控制措施，而對未知的風險，往往是防不勝防。

企業常常發現不了自己存在的風險，一是由于外部時刻在變化的復雜環境造成的，另一原因是只緣身在此山中，不知道風險在哪兒，當然不可能建立應對風險的控制措施了。

內控體系建立的關鍵步驟

關鍵步驟一：搭框架

企業內控體系的框架搭建依據四層分法：

第一層分法（橫向）：按行業劃分，分傳統制造類、化工類、金融投資類、房地產類、建筑施工類、物流類、商業流通類、服務類、移動互聯類……；

第二層分法（橫向）：按企業所處階段劃分，培育期企業、成長期企業、成熟期企業、衰退期企業；

第三層分法（縱向）：按企業類型劃分，分為多元化集團、專業化集團、單體企業、分支機構；

第四層分法（縱向）：按專業分類，企業的內控包括：公司層面的控制、業務層面的控制和信息層面的控制。

公司層面的內控包括：組織架構、人力資源、社會責任、企業文化；

業務活動層面的內控包括：戰略、人力資源、資金、采購、資產、銷售、研發、工程、擔保、業務外包、財務報告、全面預算、合同管理；

信息層面的內控包括：內部信息傳遞和信息系統。

企業如果沒有依據四層框架分析來搭建適合自己的內控體系，就會走入內控搭建的誤區，要么是走形式，要么建立的內控體系不符合企業實際情況，就好比給自己穿了一件不合適的外套，內控變成了負擔。

舉例

某集團企業處在快速發展階段，無關多元化，分子公司多，站在集團的角度，如何實現對分子公司的控制，管哪些不管哪些，內控與集團管控如何融合，面對如此復雜的集團化企業的全面內控體系建設，建議企業的內控建設先從財務內控著手，開展財務內控管理體系的梳理和設計。其原因有三：首先，財務管理體系是整個集團運營的核心，解決了財務管理體系的關鍵矛盾，整個集團的內部控制問題就至少解決了一半的內部控制難題。其次，財務管理部門的經理業務水平較高，對生產經營的各個環節均有深度的掌握和全面的認識，梳理各業務活動內部控制會起到事半功倍的效果。再者，從財務管理往企業價值鏈的前端延伸，可以一直伸向銷售、采購、生產、物流、研發、信息系統架構等各個環節，甚至可以將管控要求最終延伸到人力資源管理、企業的組織架構、公司的治理層面等內控環境層面。

關鍵步驟二：找風險

中國企業所處的發展階段差異非常大，不同成長階段，不同規模，不同所有制的企業，企業的風險不一樣，集團企業更多關心戰略風險、管控風險，法律風險、投資風險，資金風險……而單體企業更關心市場風險、生產風險、質量安全風險。風險不一樣，內控上存在的缺陷表現形式不一樣，控制的方式也存在很大的差異。

發現一個企業的內控缺陷不是看他有沒有制度和審批，如果沒有那是內控設計上的缺陷，如果有了，但企業風險仍然存在，那是執行缺陷，而企業好多的問題就是在設計上有，但執行上不能執行，或設計上沒有，執行上往往形成了約定俗成的不成文規定。

那么，有經驗與沒有經驗的人來判斷這個缺陷就會有很大差異了，當一個缺陷被認定時，設計內控體系時就會按照原定的邏輯來梳理流程，加強關鍵點、風險點控制，并通過制度來固化。一個內控規定不能在企業的經營實踐中執行時，簡單的提出加強控制是不能解決問題的。這種情況一定是企業管理上存在的客觀情況，有的是企業的問題，有的是行業的特色。

如果是企業的問題時，就要幫助企業解決執行上的問題，不是強行要求就可以的，這時內控與企業的業務、與企業生產、質量控制、與企業的激勵放權措施，與企業的管控模式，與企業的用人機制都有關。

當發現一個控制事項不能有效執行時，應當分析其是系統問題還是單項問題，如果是單項問題，解決的辦法會比較容易，如果是系統的問題，需要提供專項的解決辦法。

舉例一

某集團企業存在短貸長投，企業也知道這是風險，但長時間這么過來了，沒有出問題，大家也就習以為常了。從內控要求來看，企業的流動資金緊張，企業存在短貸長投現象時，從內控的角度一定會指出缺陷，在制度上規定不允許短貸長投，但企業資金上的問題一時解決不了，新的風險就出現了，那么企業解決此類內控問題時，需要從根源上找問題，建立資金風險分析模型和預警模型，為企業提供更多融資渠道指引，幫助設計內部資金平衡計劃，平衡內部資金需求。

舉例二

當企業存在大量逾期應收賬款，而企業在應收款管理上有嚴格的管理規定，銷售合同也按內控要求走了所有審批環節，可企業的應收賬款量越來越大，逾期款也越來越多，如果僅僅從制度上去要求加強應收款控制是不能解決問題的，如果制度上規定不允許賒銷，我相信這樣的內控制度是行不通的。怎么解決這樣的內控問題，好的內控體系需要從如何建立客戶信用評價體系，如何建立銷售人員激勵體系，如何將回款與責任人員薪酬績效掛鉤來解決問題。

關鍵步驟三：建規則

企業存在風險，存在內控管理上的缺陷，就需要加強內控文化建設，通過完善一系列的制度、流程形成共同遵守的規則。

內控規則最重要的成果是針對內控形成的各項內控手冊。常規的內控手冊的構成分6大手冊，包括總則、環境分冊、風險評估分冊、控制活動分冊、信息溝通分冊、內部監督分冊。但手冊的內容構成，不同的專業人士提供的產品會有較大差異，這其中最關鍵差異就是“適用性”。而適用與否，不是誰都能實現的。內控要解決的不僅僅是控制的問題，更多是要解決企業發展與風險控制的協同。

關鍵步驟四：持續評價與提升

內部控制規范體系是一個企業內部控制應有的基本管理要求，在規范的基礎上進行控制才是最有效率和效果的。內部控制改進體系是規范體系運行和完善的機制保障，只有通過監督改進機制，一個規范的體系才能很好地運行、完善。

內控風險和評價，內控風險評價報告有時是為滿足上市公司信息披露用的，而企業本身需要定期提報一份真實的內控評價報告，讓決策層清楚的知道企業存在哪些風險，通過控制措施降低了哪些風險，還存在哪些剩余風險。

定期評價，不斷改進循環，企業才能處在穩定上升的發展態勢中。內控風險評價最大的優勢是不僅能幫助企業找到風險，而且有對風險的評估能力，設計應對風險的模型，能清晰的通過風險評估工具指出控制的效果，并合理的評估還存在的剩余風險。

剩余風險是指那些未能為企業所控制的戰略風險和各經營流程的流程風險。一般來說，剩余風險往往具有一定的法律后果。它可能導致企業財務報表的重大錯報，也可能導致企業管理層舞弊，嚴重者還可能導致企業破產。對于這類風險，企業家需要有更敏銳的嗅覺，更大的勇氣去面對市場經濟所存在的不確定因素。

企業內控的核心節點

（1）組織結構

企業嚴格按照企業的性質，建立符合企業特點的組織機構。企業的組織結構一般包括治理結構和內部組織結構。比如說相應的上市公司要按照上市公司的要求，建立規范的公司股東會、董事會、監事會、經理層以及各級別的專業委員會的議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。內部組織結構主要是明確完成企業經營管理所設立的各職能部門。

（2）發展戰略

企業在對現實狀況和未來趨勢進行分析和預測的基礎上，提出長期的發展目標和戰略規劃。在市場經濟環境下，企業要想實現可持續發展，關鍵在于制定適合企業的內外部環境的發展戰略。

（3）人力資源

企業制定并實施有利于企業可持續發展的人力資源政策。人力資源政策應當至少包括：嚴格員工的聘用、培訓、辭退與辭職程序；完善員工的薪酬、考核、晉升與獎懲機制；強化關鍵崗位定期崗位輪換制度；加強員工培訓和繼續教育，不斷提升員工素質。

（4）社會責任

社會責任是指企業在生產經營過程中對社會應當履行的責任和義務，包括安全生產、質量誠信、公平競爭、保護員工合法權益、環境保護、資源節約、促進就業、關注慈善事業等。企業在履行社會責任的同時，將會提高企業的市場開拓能力、促進企業創新、樹立企業形象、增強企業競爭力，使企業與社會、環境全面協調可持續發展。

（5）企業文化

企業積極加強企業文化建設，統一企業文化理念，嚴格規范企業形象標識，制定并執行統一的員工行為守則，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業、開拓創新和團隊協作精神，樹立現代管理意識。

（6）資金活動

企業的經營活動的價值體現即為資金活動，資金活動包括籌資、投資和資金運營，資金活動的運行順利與否，關系到企業的存亡。籌資、投資活動根據企業籌資、投資業務流程，評估企業籌資、投資業務中存在的風險，同時在企業的籌資、投資業務進行中加強對會計系統的控制，確保業務賬務處理準確，相關文件齊全，隨時掌握企業資金情況。強化營運資金管控，確保營運資金平衡，嚴格執行預算，提高資金周轉效率，靈活調度資金，實現對應營運資金的強有力管控。

（7）采購業務

采購是企業生產經營的起點，是企業實物流與資金流的連接樞紐之一。采購環節為數不多，包括采購計劃制定、采購定價方式與供應商選擇、采購合同的簽訂與審核、驗收入庫等供應鏈活動，但是采購活動的順利與否直接影響到企業的生產經營的持續進行。健全采購業務制度，確保采購活動與財務、倉庫、生產等部門的緊密銜接，以保證滿足企業生產經營的高效有序進行。

（8）資產管理

企業中的存貨、無形資產、固定資產在企業的資產總額中占比較大，如何發揮此類資產的資產使用效能成為現代企業資產管理的重點。控制存貨數量，防范庫存不足或庫存積壓風險，避免過高的資金占用率、資產貶值；關注固定資產更新改造與維護，確保企業產能與生產相適應，避免資源浪費；增強企業無形資產中的核心技術占比，以實現企業的可持續發展。

（9）銷售業務

銷售業務是企業獲取利潤的直接環節，同時銷售業務的完成情況涉及到企業的生產經營的其他環節的業務活動的進行。銷售業務環節一般包括銷售計劃制定、客戶開發與信用管理、銷售合同訂立、收款出庫等。健全銷售業務制度，確保銷售活動與財務、倉庫、生產等部門的緊密銜接，以保證完成企業的銷售目標。

（10）研究與開發

企業通過研究與開發，研發新產品、開創新工藝，令企業在市場上占據領先地位，占領更多的市場份額，增強企業的核心競爭力。研發活動作為高收益活動，同時伴隨著中周期長、成本高的高風險。研發活動的管控從立項、研發過程管理、結題驗收、研究成果的開發和保護的各業務流程進行，通過環節控制實現風險的降低、轉移、分散、避免。

(11)工程項目

工程項目的一般流程包括立項、招標、設計、施工到竣工五個流程，對工程項目進行內部管控時抓住兩條主線，一是資金線，包括項目的投資估算、設計概算、施工圖預算、合同價、結算價及竣工決算；二是制度線，包括工程項目的招投標制度、質量控制制度、進度控制制度、安全管理制度、采購管理制度、合同管理制度、檔案管理制度等。

(12)擔保業務

企業辦理擔保業務的流程不外乎受理申請、調查評估、審批、簽訂擔保合同、日常監控幾個簡單流程。尤其是調查評估和日常監控環節應當格外關注。不僅要確保被擔保企業的現實資信狀況符合要求，持續跟蹤關注其經營管理情況亦是不容忽視。

(13)業務外包

企業通過業務外包形式可以一定程度上轉移內部管控風險至外部單位，但同時也給企業增加了對外包單位的業務選擇上的風險。

(14)財務報告

財務報告作為企業內部控制目標之一，是企業投資者、債權人作出投資決策的依據，財務報告的編制方案及相關財務分析、對重大事項的披露、對賬管理活動、關聯方交易控制等各業務活動的有序順利進行，對于實現財務報告的真實完整具有重要意義。

(15)全面預算

企業嚴格實施預算控制，建立預算組織結構保障，控制預算目標的制定與分解，規范預算的編制、審批、上報、審核、下達和分解執行程序，加強預算控制，強化預算約束，嚴格控制預算調整的條件與程序，完善預算考核機制，建立企業的全面預算管理體制。

(16)合同管理

合同貫穿企業的多種經營活動，是連接企業內外部各種人員關系的紐帶。嚴格控制從合同的調查、談判、審核、簽訂、結算、履行后評價、解除等各環節控制活動，實現防范企業經營風險，降低財務風險，維護自身的合法權益，避免不必要的法律糾紛或損失。

(17)信息與溝通

企業全面加強內外信息溝通，明確相關信息的收集、處理和傳遞程序，確保信息及時溝通，規范信息披露工作。信息溝通過程中發現的問題，及時報告并加以解決；對重要信息及時傳遞給董事會、監事會和經理層。

(18)信息系統

企業應當重視信息系統在內部控制中的作用，制定專門機構對信息系統建設實施歸口管理，根據內部控制要求，結合組織架構、業務范圍、技術能力等因素，制定信息系統整體建設規劃，有序組織信息系統開發、運行、維護，優化管理流程，防范經營風險。