新常态背景下集团化企业内部控制与风险管理

朱玉婷

摘要：随着经济一体化环境的不断变化，我国集团化企业迅速发展，但其面临的市场竞争压力及运营风险等也随之增加。文章以集团化企业内部控制与风险管理作为切入点，简要叙述二者区别与内在联系，并分析新常态背景下集团化企业在内部控制和风险管理层面存在的问题，梳理问题脉络成因，从多个方面阐述相关的内部控制优化策略和风险管理策略，旨在帮助集团化企业构建行之有效的内控体系和风险管理体系，满足企业经营管理需要。

关键词：新常态背景；集团化企业；内部控制；风险管理

现阶段，我国经济发展进入新常态阶段，经济结构由增量扩能转变为存量调整，对企业经营管理水平、综合竞争实力提出了更高要求。与此同时，部分集团化企业在内部控制、风险管理层面存在诸多问题有待解决，制约了企业健康发展，现金流量不足、投资失败、融资结构失衡等风险事件时有出现。对此，新常态下集团化企业要以风险管控为出发点、内部控制为切入点，将内部控制与风险管理充分融合，构建科学健全的内部控制管理体系，促进集团化企业的良性发展。

一、集团化企业内部控制与风险管理概述

（一）二者区别

内部控制是现代化企业管理的产物，通过建立完善的管理制度、明确各岗位职责分工，以此把控企业内部各项业务活动、管理活动的开展过程，并在中途采取内部审计、绩效考评等方法手段来发现缺陷问题，采取改进措施。简单来讲，内部控制是企业为实现预期管理目标和发展目标而采取的一系列方法手段来调整、约束经营管理活动的管理过程，内控要素由内部环境、风险评估、控制活动、信息沟通、内部监督五部分組成，控制程序具体可分为事前防范、事中控制、事后监督三个阶段。

相比于内部控制，风险管理是在内控框架上发展演变形成的全新管理体系，流程步骤、方法手段大体相似，但管理观念、管理目标、组成要素有所改变。第一，从管理观念角度来看，提出风险组合与整体管理观念，根据形成原因与造成影响，把各类风险隐患分散在各个职能部门，管理人员从全局统筹角度出发来开展风险管理工作，重点考虑各类风险隐患、风险事件间是否交互影响。第二，从管理目标角度来看，风险管理体系额外增设战略目标，强调管理人员从企业战略层次来看待风险管理问题、合理安排管理计划。第三，从组成要素角度来看，管理体系中新增目标制定、事项识别与风险反应三项要素，目标制定是提前设定管理目标来分析风险隐患，事项识别是剖析各项事务的潜在积极因素与负面因素，风险反应是综合采取规避、减少、转移、共担等多项应对手段。

（二）二者联系

在集团化企业经营管理期间，内部控制、风险管理二者保持十分紧密的内在联系，通过开展内部控制活动来提出良好的风险管理条件，而风险管理也是确保内控制度贯彻执行的重要手段。同时，二者在目标实现、全员参与、组成要素等方面有着较高相似度。例如，在目标实现方面，二者均以实现企业管理目标作为出发点，如通过风险识别与应对活动来规避风险隐患、监督财务管理与业务活动开展过程来取得理想的经营效益等。在全员参与方面，内部控制与风险管理活动都需要引导企业全体员工的参与配合，并以企业董事会、管理层作为管理主体。而在组成要素方面，内部环境、信息沟通、风险评估、控制活动等要素均为内部控制体系和风险管理体系的重要组成部分。

二、新常态背景下集团化企业内部控制与风险管理现状问题

（一）内部控制问题

1. 内部环境风险意识薄弱

企业发展期间面临着全新的挑战难题与发展机遇，对于如何把控规避风险隐患、抓住发展机遇二者的平衡，是内部控制的重中之重。目前来看，部分企业存在内部环境风险意识薄弱的问题，比如，高级管理层与各部门负责人为完成收入、利润等方面的绩效任务，盲目投资项目，拓展全新业务板块，没有重视企业生产经营期间遇到的风险隐患，导致现金流量不足等风险发生。又如，在项目投资立项期间，负责人没有严格遵循内控制度规定来开展市场调研、项目可行性论证、预算编制等前期准备工作，而是直接运作项目，导致项目预期收益、投资回报周期充满不确定性。此外，企业基层员工也存在内控意识淡薄的现象，既没有将内控活动与自身工作职责相互联系，被动执行内控制度与各项控制指令，同时，也没有主动检查日常工作开展期间是否存在风险隐患、错误操作行为和违规违纪行为。

2. 内部控制执行力欠缺

内部控制是一项长期性、综合性活动，控制范围涵盖企业生产经营活动的全部环节。在内控资源有限的背景下，如果企业盲目开展内部控制工作，将会削弱内控执行力度，很难取得理想的内控效果，由此形成大量内控薄弱环节，进而引发各类风险事件、管理问题的反复出现。这一问题的根源在于，企业没有找准内部控制活动的关键点，因管控力度不足，在部分关键节点形成风险隐患。例如，在物资采购环节，企业仅在内控制度中规定大宗物资采购的指导意见，而没有委派专人跟踪监督物资采购过程，在供应商预审、招投标、信用评定、采购合同签订环节出现纰漏，由此引发物资性能质量不达标、抬高采购成本、物资供应延误等一系列问题出现。

3. 信息沟通机制不畅

内部控制作为一项综合性活动，要求管理人员实时掌握各部门日常工作与各项经济活动的开展情况，第一时间发现问题并着手处理，方可把隐患问题消弭于无形。然而，当前部分企业尚未构建起高效的信息沟通机制，管理人员定期前往各部门搜集信息资料，由于所收集信息的时效性较差，无法做到对内控制度执行效果、内控对象行为活动的实时掌握，往往是在各类问题出现后，再行采取补救措施。同时，内控管理人员仍旧采取传统的手工管理方法，手工完成监测数据采集、汇总、分析等工作，实际工作量较大，限制了管理效率的提升。

4. 内控手段单一

在现代企业内部控制管理体系中，内控手段呈现出多样化发展趋势，通过搭配采取多种内控手段，来解决单一内控手段局限性问题，取得理想内控效果。然而，根据实际情况来看，部分企业仅采取内部审计、职责分工等少数几种内控手段，实际内控效果并不理想，内部控制制度未得到贯彻落实。例如，在仅采取职责分工控制手段的情况下，虽然可以把责任层层落实到个人，却难以有效监督各部门负责人与企业员工的责任履行情况，最终形成管理纰漏与内控薄弱环节。

（二）风险管理问题

1. 风险评估体系不完善

风险评估是风险管理体系的重要组成部分，由管理人员根据已掌握信息来识别到全部风险隐患，以此来掌握风险成因与客观发展规律，将其作为制定风险防范方案、挑选应对手段的重要依据。如果风险评估效果不佳，则会对后续风险管理过程、管理成效造成深远影响。然而，当前部分企业的现行风险评估体系有待完善，存在评估方法单一、信息收集不全两项问题。第一，评估方法单一。仅采取定性评估方法，管理人员凭借自身经验来主观判断风险类型、风险成因，而没有在管理制度中设定明确的判定标准，这对管理人员专业素养有着十分严格的要求，且风险隐患错误判断问题时有出现。第二，信息收集不全。没有建立高效的信息沟通机制，管理人员不定期前往财务等职能部门来收集资料信息，再将资料信息进行整理分析，面临着信息收集时间不固定、信息处理效率低下的难题，很难在第一时间发现风险隐患。

2. 风险管理与内部控制结合效果不理想

在企业经营管理体系中，内部控制与风险管理活动有较高的相似度与紧密内在联系，二者保持相互依存、相互影响的状态，通过统筹开展内控工作与风险管理工作，将会取得极为显著的管理效果。然而，根据实际管理情况来看，部分企业的风险管理和内部控制结合效果并不理想，两套管理体系的组织结构、管理语言、方法手段、管理流程没有得到完全统一，而是独立开展风险管理和内部控制工作。

3. 缺乏风险预警机制

集團化企业风险管理是一项时效性要求严格的管理活动，风险隐患具备随机性、突发性特征，任意阶段与时间点都可能形成风险隐患。从风险识别角度来看，当前部分企业尚未建立起24小时全天候的风险预警机制，由管理人员定期收集信息数据、识别评价风险隐患，风险隐患从形成环节到识别环节存在一定的时间差，风险隐患危害程度随着时间推移而持续加剧，最终出现风险事件，造成严重损失。

三、新常态背景下集团化企业内部控制与风险管理的优化策略

（一）内部控制策略

1. 营造内控文化

为营造正确的内控文化，引导全体员工积极参与到内部控制活动当中，企业需要从宣传培训、明确职责、绩效考核三方面着手。第一，在宣传培训方面，企业定期开展内部宣传培训工作，以内部控制概念、组成要素、内控意义、内控活动与各项工作间的联系等作为宣传内容，以内控制度内容、内控措施执行方法等作为培训内容，潜移默化中帮助员工树立正确内控观念、掌握必备技能。第二，在明确职责方面，企业设立内部控制直接管理人员，明确划分工作内容，并要求各职能部门负责人与企业基层员工负有配合内部控制工作开展的责任，如果内控制度执行不到位，或是受人为因素影响而形成管理纰漏、内控薄弱环节，则对相关人员进行追责惩处。同时，对内部控制执行与监督权责进行分离处理。第三，在绩效考核方面，建立完善的绩效指标体系，设立风险管理、诉讼纠纷、物资管理、审计管理等多个项目的绩效指标，定期开展绩效考评工作，采取定性定量分析方法，根据考评结果来反映内部控制总体效果，从中发现问题并加以改进。

2. 梳理内部控制关键点

为取得理想内部控制效果，企业需要根据实际情况来梳理内部控制流程，从中找准内控管理关键点，集中资源开展各处关键点的内部控制工作。通常情况下，需要把物资采购、担保、预算执行、资产管理、资金管理等业务作为内控关键点。例如，物资采购业务中，从采购申请审核、计划管理、供应商管理、计划执行四方面开展内控工作。在采购申请环节，重点审查申报物资是否具备实际采购需求、物资采购量是否合理；在计划管理环节，检查计划内容是否明确相关人员职责权限、是否标注采购流程与物资种类、数量等基本信息；在供应商管理环节，对各家供应商的信誉等级、综合实力、物资报价进行评价打分，从中选择综合评分较高的供应商[3]；而在计划执行环节，提前审核物资采购合同内容是否具备合法性与合规性，确定无误后再行签订合同，并委派专人跟踪监督合同履约情况。

3. 建立信息共享机制

为满足内部控制工作开展需要，保障内控时效性，企业需要建立双向传递的信息共享机制，具体由向下传递、向上传递两部分组成。其中，向下传递机制是把内部控制制度、内控措施迅速传达给各职能部门负责人与企业基层员工，帮助全体员工调整自身工作内容与执行全新措施。向上传递机制是要求各部门负责人和基层员工定期把工作成果、资料文件上传给管理人员，帮助管理人员全面掌握内部控制动态管理情况，避免因信息掌握不全而出现错误决策问题。此外，在全员参与模式下，企业全体员工都会积极参与、配合内部控制工作开展。为充分发挥员工的功能效用，企业还应建立反馈机制，企业员工可以通过举报电话、举报信箱等途径，向内控领导小组成员反馈在内控制度执行、制度流程制定等方面存在的问题，以及在业务往来和工作开展期间所获取的风险信息。

4. 采取多元化内控手段

为改善内部控制效果，企业需要采取包括职责分工、授权控制、审核批准、预算控制、内部报告、绩效考评在内的多元化内控手段。第一，职责分工。将职能任务、内控责任落实到个人，形成各司其职、相互制约的工作机制。第二，授权控制。对各岗位人员授予办理指定经济业务与活动事项的权限，要求员工在授权范围内办理业务。第三，审核批准。在计划方案实施、业务活动开展前由管理人员进行审核，驳回与企业经营需求不符的业务申请、缺乏可操作性的计划方案。第四，预算控制。在预算执行期间分析偏差程度与采取纠偏调控措施。第五，内部报告。定期召开例行报告、专题报告与综合报告会议，以此来反映企业经济活动情况与内控管理情况。第六，绩效考评。提前设立若干绩效指标，定期对企业员工进行绩效考评，根据考评结果来反映员工的工作表现、内控制度执行情况，并把考评结果和薪酬待遇、岗位升迁相挂钩。

（二）基于内部控制视角的风险管理策略

1. 强化风险识别评估能力

首先，企业采取风险定量评估方法，在管理制度中明确规定各类风险的判定标准、权重分值，从风险出现概率、造成损失、影响范围等多个方面进行综合分析，以此来划分风险等级，正常情况下划分为重大风险、重要风险、一般风险三个等级。例如，从战略目标角度来评估风险影响程度时，把阻碍企业未来3～5年战略目标实现的风险判定为极大影响程度，对企业3～5年内经营计划目标中多数关键指标实现造成阻碍的风险判定为较大影响程度，对企业短期经营计划目标实现造成阻碍、但实际不良影响在可接受范围内的风险判定为中等影响程度。

其次，企业搭建风险信息数据平台，平台内接入风险管理部门与其他职能部门的操作系统，平台自动从各套操作系统中持续采集实时产生的信息数据，基于运行准则完成数据整理、分类存储、数据预处理等操作。如此，管理人员既可以实时掌握企业生产经营数据，保证管理工作具备时效性，同时，也可以减轻工作负担，无需重复开展数据整理等繁重的基础性工作。

最后，管理人员还应加强自我学习，掌握战略风险、法律风险、税务风险等各类型风险隐患的识别方法。以战略风险为例，管理人员持续收集有关国内经济周期性波动、所处行业环境变化的信息数据，根据信息分析结果来识别是否存在战略风险。

2. 结合风险管理与内部控制体系

首先，企业推动组织结构融合，保持内部控制和风险管理组织架构的一致状态，正常情况下搭建三级管理结构。其中，风险管理机构由管理小组、管理办公室和风险管理委员会组成，管理小组负责开展各项基础工作，管理办公室负责安排工作计划与办理日常事务，风险管理委员会负责设定管理目标、把控总体管理方向。内部控制管理结构则由内控管理员、内控管理办公室与内控领导小组组成，内控管理员负责监督业务活动开展过程与执行内控制度，内控管理办公室负责实时归口管理，领导小组负责完成各项决策任务。随后，把风险管理办公室和内控管理办公室进行合并处理，管理人员同时开展风险管理与内部控制工作。

其次，企业推动管理语言融合，着手对风险隐患、风险事件的名称定义方式，并把内部控制体系中的缺陷名称定义方式由“流程名称+缺陷”更改为“表现+影响”。如此，可以帮助风险管理人员和内部控制人员更好的理解管理行为，避免因概念含糊不明、理解错误而造成管理混乱。

再次，企业推动管理流程融合，在原有流程基础上再造管理流程，要求全新管理流程充分体现风险管理和内部控制特点。例如，在现金流量管理环节，管理人员一方面对现金流量预算计划的编制、执行过程进行审核监督，督促各部门按照内控规定严格执行预算计划，在预算执行期间出现偏差时立即采取纠正措施，另一方面，根据企业情况来设立现金流量安全阈值，定期对未来一段时间的现金收支状况进行预测，如果现金流量余额低于安全阈值，则表明已形成现金流量风险隐患，则采取加速资金周转、减少现金投入、实施融资计划等方法手段。

最后，企业推动管理方法融合，尽量采取相同方法手段开展风险管理与内部控制工作，简化管理流程，减轻管理负担。例如，在风险识别环节，采取穿行测试方法，即可以识别到潜在的风险隐患，同时，也可以测试管理流程、业务流程是否满足控制要求，发现流程不合理环节及时优化改进。

3. 建立风险预警系统

为保障高风险管理时效性，应在第一时间发现风险隐患与采取有效应对措施。企业需要着手建立风险预警系统，运用大数据、人工智能等信息化技术，提前在系统中设定各类风险隐患的判定标准，替代人工24小时全天候识别风险隐患。如此，在系统运行期间，基于程序准则持续收集财务报表、业务数据、预算执行数据等数据信息，对比各项数据信息与风险预警指标，如果发现月产品销售率、营业费用安全率、销售回款率、销售回报率、重要物资采购价格等指标超过预警阈值，系统自动向管理人员发送报警信号，提醒管理人员迅速制定、实施风险应对方案。此外，为加强风险应急管理能力，缩短面对突发风险事件时的决策时间，管理人员还需要提前编制面对各类风险隐患/事件的应急处置预案，即在确定风险种类后，直接实施对应预案即可。风险应急处置预案由危机处理目标、工作程序、方法手段、资源配置、执行人员等部分组成，要求在预案中明确标注不同情况下的危机处理方法。

四、结语

综上所述，在新常态背景下，企业唯有营造完善且稳定的内部环境，有效规避各类风险隐患，才能牢牢抓住发展机遇，从激烈的市场竞争中脱颖而出。集团化企业务必提高对内部控制与风险管理工作的重视程度，推动二者融合发展，积极落实高效的内控策略，强化风险管理，才能提高集团化企业的内部管理水平。

参考文献：

[1]李华.新常态下集团化企业内部控制与风险管理的研究[J].财会学习，2020（11）：266-267+269.

[2]高欣.新常态背景下集团化企业内部控制与风险管理的研究[J].中国集体经济，2022（26）：59-61.

[3]黄晓玲.风险管理视角下A集团内部控制研究[D].重庆：重庆工商大学，2022.

[4]高彩霞.基于内部控制的蒙牛集团风险管理体系研究[D].长春：吉林大學，2011.

[5]袁卫东.关于企业集团内部控制与风险管理问题探讨[J].财会学习，2021（07）：191-192.

[6]张晋侠.基于风险管理的企业内部控制研究——以獐子岛集团为例[J].国际商务财会，2019（10）：43-48+52.

[7]徐洁.企业内部控制与财务风险管理研究——以A城市建设集团为例[J].中国商论，2016（33）：87-88.

（作者单位：苏州高新区出口加工区投资开发有限公司）