（一）风险评估体系构建

A公司是一家互联网+职业教育O2O服务商，为学校、企业和社会人员提供职业教育咨询、智慧校园建设服务平台建设等服务。营业收入主要来源于专业教育咨询方案销售、数字教学资源开发制作、数字化校园建设、创客空间设计等方面。A公司结合经营管理实际，构建了风险评估体系。首先，统一风险预警标准，建立企业风险预警系统，通过日常的经营管理活动洞悉危险信号，识别出风险因子，提前做好应对防范措施；通过分析企业每月的经营状况和财务情况，找出异常的变动指标，并分析其变动的原因，及早解决风险隐患，努力将风险事件造成的损失降至最低。其次，建立风险评估机制，对发现的潜在风险事件，根据风险严重性评级，制定与之相适应的风险应急处置预案，并建立具体的处置程序。最后，通过采取制度约束、职责分离、权限分配约束、利用创新技术等方式降低风险事件发生的概率，从而控制风险。

（二）公司控制活动体系构建

通过对A公司的风险识别，发现在预算管理、财务管理、人力资源管理、合同管理和产品研发管理等过程中均存在风险点。

1.预算管理方面。从预算制定层面，事前加强对预算使用控制。每一个项目在发生执行前，细化预算项目，按照类别逐项进行费用发生合理性的评估。在确认确有必要的基础上，对于价格进行审核，审核内容包括但不限于单价、数量、耗材损耗量等与决算执行相关的变量。通过提高预算制定能力，避免超预算的情况发生。从人员意识层面，加强对于预算制度执行的教育，强调超预算现象对于公司规制化管理所造成的困扰，以及对制度严肃性的破坏。同时将预算执行能力计入员工个人业务表现的绩效考核中综合评定。从预算执行层面，确因现场突发状况等造成的超预算情况，在实际发生前，应首先获得上级主管微信、短信等便捷联系方式的文字确认，对于发生的内容、金额有简洁的描述，予以确定和审批。在有条件的情况下，迅速补上邮件说明、审批，作为后续决算的佐证材料。

2.财务管理方面。通过活用财务杠杆原理、资本市场融资等方式增强自身的资金实力，降低资产负债率与改善经营现金流不足现状，控制财务风险。无论是市场推广超预算执行还是合同倒签的现象，都说明在财务管理方面对预算执行的审批监控不到位，审批制度不够完善。增加预算限额外及超预算的报销审批程序，通过增加预算限额外及超预算的审批使管理层及时发现潜在风险，及早响应进行控制。

3.合同管理方面。合同管理方面，将合同签订流程规范计入到绩效考核标准中，同时加强对合同审批流程操作的监控力度。对已经倒签的合同分析其倒签原因，如果存在恶意倒签现象，需要对其进行追责。如果存在客观上不可避免的特殊原因，需要将该合同备案，并提请关管理人对其进行审批。

4.产品研发管理方面。加强账号权限开通的申请审批管理，建立账号权限申请审批、离职转岗关闭等管理流程，包括但不限于以下内容：（1）部门内部严加管理，申请账号及开通权限需要上级主管审批，离职当日及时78财务与会计·202007关闭账号；跨部门申请权限需两部门主管审批通过后方可开通。（2）定期对账号及权限分配合理性进行审核，对于不合理的账号权限及时关闭，保留审核记录。同时，对程序员不相容职务相互分离，在开发过程中，明确开发、测试、运维人员岗位，保证程序的开发、测试、上线各环节的操作得到适当的监督，至少保证对代码的审核能够充分执行。对于临时的权限需求需由其上级审批后临时开通权限，保留操作记录，并由其上级对其操作记录进行检查。

（三）公司信息与沟通体系构建

1.加强信息化系统建设。A公司具有良好的信息系统开发水平，但内部管理使用的信息系统确是由外部进行采购。随着公司规模的不断壮大，A公司应独立开发自己的管理信息系统。首先，对系统框架的搭建需要为企业的长久发展考虑，适用于公司中长期的战略目标。其次，按照软件生命开发周期，保证写入各模块数据计算公式的准确，建立代码复核与测试机制，在发布时使用灰度上线，保证系统的稳定性。再次，在与客户、供应商、第三方支付渠道进行外部系统对接时，要防止留下系统后台漏洞，造成不必要的经济损失。最后，在服务器架设和带宽投入方面，要考虑抵御防黑客攻击及防断网的能力，建立数据库定期备份制度，以防因数据丢失造成的信息泄露风险，保证信息安全。

2.增强沟通意识，改善沟通渠道。首先，可以建立下级对上级的定期ONE-ONE制度，将日常工作中遇到的问题及时提出并进行有效、充分的沟通，从而得到解决。其次，建立职业道德监察委员会专门处理舞弊行为举报和员工投诉，鼓励员工对内部舞弊及违背职业道德的现象进行举报，及时发现和处理隐患风险，减少不必要的损失。最后，可以通过定期的团建活动，加强上下级之间、部门员工之间的非正式沟通，提升团队的凝聚力。

（四）公司监督体系构建——设立审计部门

审计部由董事会直接领导，在行政上向总经理汇报，在职能上向董事会汇报，以此保证实现内审工作的独立性。工作内容主要体现在业务流程审计及IT审计方面。业务流程审计需关注各业务部门是否缺少流程规范导致实际业务执行中缺乏统一指引，现有的流程制度是否完善是否还有提升空间，已有的流程制度是否执行到位，每个流程是否得到了有效的监督。IT审计流程涉及软件开发生命周期的全流程，可以分为业务计划阶段审计、业务开发阶段审计、业务执行阶段审计和业务维护阶段审计。A公司开展IT审计需要设立IT审计岗位，明确其岗位职责；招聘或培养专业的IT审计师，并将之置于企业经营者的直接管理之内；遵循国家相关IT审计的法规并结合业务实际，制定相应的IT审计准则、审计报表、审计报告等。

责任编辑 刘霁