內(nèi)控和風(fēng)險(xiǎn)管理是企業(yè)發(fā)展戰(zhàn)略、戰(zhàn)略執(zhí)行的一個(gè)核心組成部分。很多大的企業(yè)由于內(nèi)控和風(fēng)險(xiǎn)管理缺陷，出現(xiàn)了很多問題。因此，從企業(yè)內(nèi)部自身來講，需要一個(gè)系統(tǒng)性規(guī)范來建立企業(yè)內(nèi)部的風(fēng)險(xiǎn)管理體系。我國(guó)的財(cái)政部聯(lián)合五部委于2008年5月發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》(以下簡(jiǎn)稱“基本規(guī)范”)，并于2009年7月在上市公司實(shí)施。

　　本次出臺(tái)“基本規(guī)范”的意義在于：將內(nèi)控和風(fēng)險(xiǎn)管理界定為一個(gè)長(zhǎng)期管理的規(guī)劃。而這個(gè)規(guī)劃的實(shí)施不能一蹴而就，必須從企業(yè)整體發(fā)展的角度加以設(shè)計(jì)和實(shí)施；“基本規(guī)范”所界定的管理是全員參與的過程。它不是一個(gè)部門或一個(gè)管理領(lǐng)域體系所能夠單獨(dú)來完成的；“基本規(guī)范”是一個(gè)完整的系統(tǒng)，其中的各個(gè)部分一定是可操作、可運(yùn)行的體系機(jī)構(gòu)；“基本規(guī)范”一定是可計(jì)量、可定型的過程；“基本規(guī)范”是一個(gè)企業(yè)管理思想和技術(shù)手段結(jié)合的系統(tǒng)。

　　總之，“基本規(guī)范”是將從企業(yè)內(nèi)部管控開始，逐步在企業(yè)實(shí)現(xiàn)由內(nèi)部控制管理向全面風(fēng)險(xiǎn)管理轉(zhuǎn)化。最終建立能使企業(yè)平穩(wěn)運(yùn)行的管理機(jī)制和企業(yè)文化。

　　企業(yè)內(nèi)部控制是由五個(gè)要素組成的，即控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和監(jiān)控。五要素中，各個(gè)要素有其不同的功能，內(nèi)部控制并非五個(gè)要素的簡(jiǎn)單相加，而是由這些相互聯(lián)系、相互制約、相輔相成的集合，按照一定的結(jié)構(gòu)組成的完整的、能對(duì)變化的環(huán)境做出反應(yīng)的系統(tǒng)。

　　在這樣一個(gè)意義非凡的管理系統(tǒng)整體建設(shè)中，應(yīng)該如何構(gòu)建內(nèi)控管理體系。使其真正能夠建有成效?有關(guān)方面的人士認(rèn)為：內(nèi)部控制的五大要素中，控制環(huán)境是基礎(chǔ)，控制活動(dòng)是重點(diǎn)，最重要的是在基層的實(shí)施。因此．內(nèi)部控制的關(guān)鍵在于企業(yè)基層的業(yè)務(wù)活動(dòng)中構(gòu)建控制環(huán)境。并在業(yè)務(wù)活動(dòng)中有效執(zhí)行控制活動(dòng)。眾所周知。基于IT技術(shù)的企業(yè)信息化管理平臺(tái)是現(xiàn)代企業(yè)管理主要運(yùn)行環(huán)境，所以，控制環(huán)境必須依此平臺(tái)來構(gòu)建。

　　內(nèi)控和風(fēng)險(xiǎn)管理必須分步建設(shè)

　　企業(yè)在內(nèi)控和風(fēng)險(xiǎn)管理實(shí)施過程中，不僅是一個(gè)硬件環(huán)境和運(yùn)行環(huán)境建設(shè)的過程，更多的是理念和工作習(xí)慣的改變過程，從內(nèi)控管理體系構(gòu)建的終極目標(biāo)來看。必須從基礎(chǔ)開始細(xì)致而扎實(shí)地開展分階段的建設(shè)。依據(jù)信息化建設(shè)的經(jīng)驗(yàn)，筆者認(rèn)為內(nèi)控管理體系的建設(shè)應(yīng)該分三個(gè)階段進(jìn)行：

　　第一階段為監(jiān)督管理階段，本階段的目標(biāo)是建立面向內(nèi)外部合規(guī)要求，信息化、透明化的風(fēng)險(xiǎn)管理，實(shí)現(xiàn)對(duì)關(guān)鍵風(fēng)險(xiǎn)監(jiān)督；

　　第二階段為內(nèi)控融入業(yè)務(wù)管理階段。本階段目標(biāo)是建立面向運(yùn)營(yíng)過程的，日常化、體系化的風(fēng)險(xiǎn)管理，實(shí)現(xiàn)關(guān)鍵過程控制；

　　第三階段為全面風(fēng)險(xiǎn)管理階段，目標(biāo)是建立以戰(zhàn)略為核心、以內(nèi)控為基礎(chǔ)、以集團(tuán)管控為手段的全面風(fēng)險(xiǎn)管理體系，實(shí)現(xiàn)穩(wěn)健運(yùn)營(yíng)的風(fēng)險(xiǎn)管理。

　　目前對(duì)于廣大企業(yè)來講，第一步首先做到的是合規(guī)，在合規(guī)的過程當(dāng)中，意味著企業(yè)的內(nèi)控部門，內(nèi)控管理者要對(duì)自己企業(yè)的經(jīng)營(yíng)管理信息做到心中有數(shù)，這是一個(gè)信息平臺(tái)的建立和透明化的過程。第二個(gè)階段是把控制過程融入業(yè)務(wù)管理過程的階段，就是將內(nèi)部控制點(diǎn)與企業(yè)的業(yè)務(wù)系統(tǒng)完美地整合在一起。第三個(gè)階段是為企業(yè)的戰(zhàn)略發(fā)展而提供支持，在IT建設(shè)層面，以戰(zhàn)略和發(fā)展為導(dǎo)向的績(jī)效管理、預(yù)算管理與風(fēng)險(xiǎn)控制結(jié)合起來，從根本上控制可能遭遇的經(jīng)營(yíng)風(fēng)險(xiǎn)。

　　滿足內(nèi)控和風(fēng)險(xiǎn)管理需要的IT實(shí)施原則

　　實(shí)施符合“基本規(guī)范”的內(nèi)控和風(fēng)險(xiǎn)管理需要IT提供應(yīng)用和技術(shù)的保障，使其能夠幫助企業(yè)讓內(nèi)控和風(fēng)險(xiǎn)管理理念、規(guī)則具體進(jìn)行管理的實(shí)施。換言之。IT技術(shù)僅僅能為內(nèi)控和風(fēng)險(xiǎn)管理提供基本的手段，能否有效實(shí)行內(nèi)部控制和風(fēng)險(xiǎn)管理。一定要有具體的應(yīng)用方案實(shí)施標(biāo)準(zhǔn)。目前有許多管理軟件應(yīng)用于企業(yè)管理的各個(gè)環(huán)節(jié)之中，但如何才能達(dá)到“基本規(guī)范”中的內(nèi)控和風(fēng)險(xiǎn)控制的要求。因此，基于IT的管理系統(tǒng)必須依照以下兩類原則來構(gòu)建符合“基本規(guī)范”的內(nèi)控環(huán)境，以及在此之上開展融入業(yè)務(wù)活動(dòng)中的內(nèi)控活動(dòng)。

　　滿足“基本規(guī)范”應(yīng)用要求的原則。可行性：將內(nèi)控要素和關(guān)鍵控制點(diǎn)與業(yè)務(wù)流程管理整合，在執(zhí)行業(yè)務(wù)活動(dòng)中實(shí)現(xiàn)內(nèi)控；可控性：實(shí)現(xiàn)內(nèi)控體系與預(yù)算、集團(tuán)管控體系整合；可視性：內(nèi)控執(zhí)行過程和效果可查詢、可評(píng)價(jià)。

　　滿足“基本規(guī)范”技術(shù)要求的原則。能夠安全、穩(wěn)定、運(yùn)行可靠；能夠進(jìn)行工作流和權(quán)限控制；能過集成、擴(kuò)展、并滿足個(gè)性化應(yīng)用需求；能夠支持分步建設(shè)；能夠進(jìn)行多維數(shù)據(jù)智能分析，并可作為信息。

　　在管理軟件中構(gòu)建內(nèi)控管理環(huán)境的要點(diǎn)

　　本著IT保證的可行、可控和可視的構(gòu)建原則。目前，控制的基本方式，也是最有效的方式，是在業(yè)務(wù)執(zhí)行過程中的風(fēng)險(xiǎn)控制。不同于傳統(tǒng)的風(fēng)險(xiǎn)控制方式，IT管理系統(tǒng)的基本模式是將風(fēng)險(xiǎn)控制在執(zhí)行過程之前，特別是在執(zhí)行過程中，避免不合規(guī)的操作。這是IT系統(tǒng)最主要的任務(wù)。以IT基礎(chǔ)平臺(tái)的管理系統(tǒng)與內(nèi)控風(fēng)險(xiǎn)管理的職能結(jié)合，是基于IT技術(shù)的管理系統(tǒng)必須的功能。

　　與業(yè)務(wù)管理過程融合的控制措施一般包括：不相容職務(wù)分離控制、授權(quán)審批控制、會(huì)計(jì)系統(tǒng)控制、財(cái)產(chǎn)保護(hù)控制、預(yù)算控制、運(yùn)營(yíng)分析控制和績(jī)效考評(píng)控制等。以用友NC最新版本的管理系統(tǒng)分析，“基本規(guī)范”中規(guī)定的控制措施對(duì)應(yīng)的解決方案有如下幾點(diǎn)：

　　(一)針對(duì)“基本規(guī)范”第二十九條

　　針對(duì)“基本規(guī)范”第二十九條“不相容職務(wù)分離控制要求企業(yè)全面系統(tǒng)地分析、梳理業(yè)務(wù)流程中所涉及的不相容職務(wù)，實(shí)施相應(yīng)的分離措施，形成各司其職、各負(fù)其責(zé)、相互制約的工作機(jī)制。”的要求，要求IT系統(tǒng)提供自動(dòng)檢查業(yè)務(wù)流程中不出現(xiàn)重復(fù)的崗位和用戶，審批流程中不出現(xiàn)重復(fù)的崗位和用戶的功能。

　　(二)針對(duì)“基本規(guī)范”第三十條

　　針對(duì)“基本規(guī)范”第三十條的“企業(yè)應(yīng)當(dāng)編制常規(guī)授權(quán)的權(quán)限指引，規(guī)范特別授權(quán)的范圍、權(quán)限、程序和責(zé)任，嚴(yán)格控制特別授權(quán)。常規(guī)授權(quán)是指企業(yè)在日常經(jīng)營(yíng)管理活動(dòng)中按照既定的職責(zé)和程序進(jìn)行的授權(quán)。特別授權(quán)是指企業(yè)在特殊情況、特定條件下進(jìn)行的授權(quán)。企業(yè)各級(jí)管理人員應(yīng)當(dāng)在授權(quán)范圍內(nèi)行使職權(quán)和承擔(dān)責(zé)任。企業(yè)對(duì)于重大的業(yè)務(wù)和事項(xiàng)，應(yīng)當(dāng)實(shí)行集體決策審批或者聯(lián)簽制度，任何個(gè)人不得單獨(dú)進(jìn)行決策或者擅自改變集體決策”的規(guī)定，要求IT系統(tǒng)提供崗位授權(quán)管理，在提供崗位授權(quán)管理的同時(shí)，根據(jù)不同業(yè)務(wù)和事項(xiàng)建立不同的審批權(quán)限和流程，并提供處理特定條件下的審批流程，其中包括替代、聯(lián)簽審批方式，強(qiáng)制控制執(zhí)行等必要的審批方式。

　　(三)針對(duì)“基本規(guī)范”第三十二條

　　針對(duì)“基本規(guī)范”第三十二條“財(cái)產(chǎn)保護(hù)控制要求企業(yè)建立財(cái)產(chǎn)日常管理制度和定期清查制度，采取財(cái)產(chǎn)記錄、實(shí)物保管、定期盤點(diǎn)、賬實(shí)核對(duì)等措施，確保財(cái)產(chǎn)安全。企業(yè)應(yīng)當(dāng)嚴(yán)格限制未經(jīng)授權(quán)的人員接觸和處置財(cái)產(chǎn)”的要求，要求IT系統(tǒng)提供財(cái)產(chǎn)記錄與盤點(diǎn)記錄的自動(dòng)或手動(dòng)核對(duì)功能。并具備后續(xù)財(cái)產(chǎn)處理、記錄及查詢功能。

　　(四)針對(duì)“基本規(guī)范”第三十三條

　　針對(duì)“基本規(guī)范”第三十三條“預(yù)算控制要求企業(yè)實(shí)施全面預(yù)算管理制度，明確各責(zé)任單位在預(yù)算管理中的職責(zé)權(quán)限。規(guī)范預(yù)算的編制、審定、下達(dá)和執(zhí)行程序。強(qiáng)化預(yù)算約束”的規(guī)定，要求IT系統(tǒng)提供各個(gè)預(yù)算責(zé)任主體的信息，可以通過審批權(quán)限對(duì)合同、發(fā)貨、采購(gòu)、付款、財(cái)產(chǎn)處理等關(guān)鍵環(huán)節(jié)的數(shù)量和金額加以限定，實(shí)現(xiàn)對(duì)預(yù)算的執(zhí)行控制。

　　(五)針對(duì)“基本規(guī)范”第三十四條

　　針對(duì)“基本規(guī)范”第三十四條“運(yùn)營(yíng)分析控制要求企業(yè)建立運(yùn)營(yíng)情況分析制度，經(jīng)理層應(yīng)當(dāng)綜合運(yùn)用生產(chǎn)、購(gòu)銷、投資、籌資、財(cái)務(wù)等方面的信息，通過因素分析、對(duì)比分析、趨勢(shì)分析等方法，定期開展運(yùn)營(yíng)情況分析，發(fā)現(xiàn)存在的問題，及時(shí)查明原因并加以改進(jìn)”的規(guī)定，要求IT系統(tǒng)應(yīng)提供各個(gè)業(yè)務(wù)領(lǐng)域真實(shí)交易數(shù)據(jù)的分析功能，并提供因素、對(duì)比、趨勢(shì)等常規(guī)分析模型。

　　(六)針對(duì)“基本規(guī)范”第三十七條

　　針對(duì)“基本規(guī)范”第三十七條“企業(yè)應(yīng)當(dāng)建立重大風(fēng)險(xiǎn)預(yù)警機(jī)制和突發(fā)事件應(yīng)急處理機(jī)制，明確風(fēng)險(xiǎn)預(yù)警標(biāo)準(zhǔn)，對(duì)可能發(fā)生的重大風(fēng)險(xiǎn)或突發(fā)事件，制定應(yīng)急預(yù)案、明確責(zé)任人員、規(guī)范處置程序，確保突發(fā)事件得到及時(shí)妥善處理”的規(guī)定，要求IT系統(tǒng)提供對(duì)風(fēng)險(xiǎn)事件的預(yù)警，并能及時(shí)通過各種通訊方式通知相關(guān)崗位人員。

　　結(jié)論

　　總之，企業(yè)內(nèi)控管理不僅僅是一個(gè)相關(guān)制度和觀念的建立問題。更重要的是在IT基礎(chǔ)管理平臺(tái)上，將管理概念和制度具體落實(shí)到日常的業(yè)務(wù)活動(dòng)中。根據(jù)“基本規(guī)范”的相關(guān)規(guī)定，目前的IT技術(shù)完全可以支持構(gòu)建控制環(huán)境和控制活動(dòng)與日常活動(dòng)融合的需求。