小企業內部控制與風險管理的弱點及應對策略

(遼寧經濟職業技術學院 遼寧 沈陽 110122)

一、企業內部控制與風險管理的關系分析

內部控制是企業為了保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守，由治理層、管理層和其他人員設計和執行的政策和程序，主要是通過目標制定過程和事后的控制來實現其自身目標的一種內部管理方法。它主要由五項要素組成:控制環境、風險評估、控制活動、信息與溝通、監督，是企業進行風險管理的一項重要職能。企業風險管理主要由八項要素組成:內部環境、事件識別、目標設定、風險評估、風險對策、控制活動、信息與溝通以及監督。企業進行風險管理能有效的預測風險、發現風險，從而降低風險所帶來的影響。由此可以看出內部控制包含在風險管理之中，同時內部控制以企業風險為主要制定依據。企業內部控制的能力和其風險管理能力兩者是不可分割的,內部控制需要風險管理作為基礎,風險管理是為內部控制提供了必要條件,所以兩者應該放在一個層面進行考慮,任何一方都不可偏廢。可以說,一個企業是否具備準確的風險定位能力和解決能力是考驗其能否在經濟發展中長盛不衰的決定性因素。

二、小企業內部控制及風險管理現實狀況

小企業在我國國民經濟發展中占有著重要的地位，是推動社會經濟發展的重要力量。但小企業的平均壽命較短，生命力不強，其中主要的原因就是企業內部控制存在問題，如經營者經營理念落后、對內部控制的認識不足、內部監督不利、風險意識差等等。這些問題導致企業各控制環節不連貫、松散，業務流程控制漏洞較多。有些企業經過幾年的發展，積累了一定的內部管理經驗，有一定程度、一定范圍的內部控制制度，或者說基本業務內部管理都有章可循。但由于存在著有章不循、違章不究的現象，內部控制制度執行有效性就相對較差，幾乎形同虛設。如記賬人員、保管人員、經濟業務決策人員及經辦人員沒有很好的分離制約，存在出納兼復核、采購兼保管等現象；財產清查沒有形成制度，清查期限、清查程序不明確；內部審計沒有配備專職或兼職內審人員等情況。

三、小企業內部控制與風險管理中的弱點

(一)企業人員對內部控制與風險管理的認識不到位

小企業最常見的經營模式是家族式經營，所有權經營權不分離，企業的經營決策權大多掌握在一人手中，憑個人的經驗興趣愛好做決策；企業的組織結構缺乏規范性，沒有科學的考核方法和標準；很多企業沒有設立清晰的崗位職責說明書，職責劃分不清，為了節省人力成本，一人多職，存在重大的控制缺陷，很容易導致隱瞞資產和財務舞弊行為。有些企業雖然開展內控管理工作，但管理力度嚴重不足，單純地認為企業規章的制定就是內控的主要內容,認為常規化的對于員工的管理就是全部的內部控制方式，其實內部控制不僅僅包括對于人和錢的控制,還包括對于企業發展空間、發展方向、發展阻力等等方面的控制。還有些企業沒有意識到風險評估的重要性，認為風險評估是一個虛指標，不像利潤指標那么實在，缺乏對風險評估的正確認識，公司內部沒有完善的評估機制。當風險來臨時，沒有采用科學的方法評估風險，對于已經存在的風險沒有采取相應的措施，而是任其發展，造成嚴重的問題。企業對這些內容的忽略很有可能會使內控管理有效性得不到切實有效的全面發揮，造成企業十分混亂的內控管理。

(二)企業內部控制和風險管理的內容不夠完善

從當前的企業現狀來看,很多小企業只是重視自身財務發展的狀況,在進行內部控制時,只對財務制度、流程、架構等進行監督，而企業其他方面比如營銷、策劃、人力等并沒有監督控制，沒有形成完整的內部控制體系。另外,風險管理也面臨同樣的局面，企業片面重視財務方面的風險管理,單純地將資金運作作為主要的應對風險的方式,卻忽視了對于自身市場占有率,所面臨的政府政策、經濟法規等等風險的評估和預測,應對風險的措施也不夠完整。

(三)信息溝通不及時

從縱向溝通來看，一些小企業有關的信息基本受到老板一人控制，員工盲目聽從上級指揮的情況普遍存在于大多數企業之中，員工對企業信息了解不多，上級得不到下級反饋回來的真實信息，可能導致管理者制定出不適合企業實情的決策，增加企業的經營風險。從橫向溝通來看，企業內部各部門間的交流甚少，合作起來缺乏默契，不夠重視彼此間的協調，部門間信息的橫向溝通不暢順。

四、提高企業內部控制和風險管理能力的策略

(一)提高風險管理意識，提升內部控制的效果

首先企業管理者要對內部控制的重要性給予充分重視，強化自身內部控制意識，確保企業內部控制制度得到有效落實和執行，將內部控制制度建設作為企業的一項長期任務來抓。同時要履行好監控、引導和監督責任。其次要提高企業全體人員的內控與風險意識，員工是否有著與企業共同發展的意識,是否有將企業榮辱與自身榮譽相互聯系的實際行動，是當前企業能否獲得更加廣闊的發展空間的重要條件。

(二)做好風險分析、采取適當風險應對策略

風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略，是實施內部控制的重要環節。要制定與企業生產經營相關的風險目標，以便于設立識別及管理風險的機制。其次是做好風險識別，包括企業面臨的內外部風險、整體與局部風險。企業可以根據自身情況采用風險分析的方法，可以按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重點和優先控制的風險。在進行分析的時候，要充分吸收專業人員，組成風險分析團隊，按照嚴格規范的程序開展工作，確保風險分析結果的準確性。最后是風險應對。根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。

(三)構造全面完善的風險管理信息系統

全面完善的信息溝通機制可以幫助企業及時了解職工的工作情況和企業的經營信息，并能及時將經營過程反饋的信息與有關部門和職員進行溝通，使企業內部控制可有效進行。風險管理信息系統不但可以接受來自企業自身的財務信息，還可以接受來自企業外的機構的信息，例如企業與供應商、客戶和銀行的交易數據。使企業管理人員可以通過互聯網與客戶、供應商和銀行進行信息核對，能夠及時識別錯誤，防止舞弊行為，以內部控制網絡的形式，更有力地規避風險。