集团内控与风险管理刍议

长春金融高等专科学校 姜小妍

本文在概括内控以及风险管理的发展和地位的基础上，对集团企业内控和风险管理的基本模式、信息交流、考核与评价、实施缺陷与原则几大方面进行系统论述。为集团内控与风险管理提供理论依据和实践操作建议。

集团 内控 风险管理

亚洲金融风暴、美国次级债市场风波、安然破产、德隆倒闭等一系列国际、国内内控与风险管理失效事件，使得集团内控与风险管理越来越成为人们关注的焦点、集团管理的重点。COSO 《内部控制——整体框架》、COSO 《全面风险管理框架》是国际上公认的内控与风险管理基本框架。近年来，我国相关法规制度不断完善，集团内控与风险管理实践也不断取得新的成果与突破。

1 集团内控与风险管理概述

内部控制的思想产生于18世纪产业革命以后，随着企业大规模化和资本大众化，股份公司规模日益扩大，所有权与经营权进一步分离，一些企业建立了简单的内部控制制度。1936年发面的《独立公共会计师对会计报表的审查》，第一次将内部控制定义为“为了保护公司现金和其他资产的安全、检查帐簿记录准确性，而在公司内部采用的各种手段和方法”。1994年，COSO委员会修改后的《内部控制——整体框架》，提出了至今世界上较为通行的内部控制整体框架。进入21世纪以来，我国内部控制已逐步从管理实践积累进入到规范立法的过程，并且随着经济的快速增长，相关法规规范的力度也在逐步加强，企业内部控制规范也正在与世界同行的内部控制框架接轨。

所谓风险，即一项行动有多种可能的结果，其将来的后果是不确定的，具体在企业经营中对其最终经营目标的实现产生影响。随着经济全球化，中国经济的高速发展，法律制度和商业运作规则的不断完善，集团面临的经营环境变幻莫测，出现了诸如做大容易、做久困难，战略设计容易、执行困难等问题。如何辨识、评估、监测、控制风险，已成为集团企业共同关心的热点问题。在一些发达国家，风险管理的理念、技术、方法和手段已经应用于企业战略制定、投融资决策、财务报告管理、内部审计体系等各个环节，涵盖了从公司法人治理结构安排，到各项业务运作流程和操作等各个层面，形成了系统化、制度化、规范化的全面风险管理体系。而在我国，风险管理仍是集团管理中的一个相对薄弱的环节。

2 集团内控和风险管理基本模式

集团企业明显不同于一般企业的特质是其通常有多个独立的法人实体、多层级的管理架构，还可能存在多个业务经营范围等。这些特点导致集团企业内部控制与风险管理模式也将是基于多个独立下属企业内部控制体系之上的多层复合结构。从集团内各个独立法人实行内部控制与风险管理框架看，除需要考虑集团整体内控与风险管理要求外与一般企业没有明显区别，而集团层面内控与风险管理框架应当说还更多的处于实践摸索阶段。从我国集团企业内部控制与风险管理实践看，主要有经营控制、财务控制和战略控制三种基本模式。

2.1 经营控制模式

在业务一体化经营的集团，集团总部与下属企业的业务向横向一体化或纵向一体化展开。集团总部是全集团业务运营管理控制中心，集团总部根据集团战略制定经营方针、财务政策及相关集团整体运营的业务操作规范等。通过协同全集团的业务运营，使得运营协调收益超过协调成本。各下属企业则是在集团统一的管理控制下完成具体业务经营工作、按照相关法规和集团统一的财务政策完成具体的财务核算、报告各自的经营业绩等。因此，这类集团内控与风险管理的关键点就在于对经营过程的管理和控制。

2.2 财务控制模式

在业务经营无关多元化的集团，各下属企业间业务关联度较低或互不相关。集团总部的核心定位是从事资本运作，以投资人身份通过买入——持有——卖出来追求投资回报。集团总部的核心功能是制定集团战略、投资政策、财务目标并监控全集团的财务状况及经营效益，是全集团的财务控制中心。具体的经营策略及业务经营工作则由各下属企业根据本企业战略具体处理。由于业务关联度低甚至不相关，因此，在财务政策上也允许各下属企业在不违背集团统一要求的前提下有所不同。

2.3 战略控制模式

在业务经营相关多元化的集团，虽然同时经营着多项业务，但其中一项或少数几项是集团核心业务，其他业务与核心业务之间存在一定的关联度。集团在核心业务的管理上需要采用类似一体化经营集团的管理模式，而相关业务主要服务于核心业务，通常可以采用类似业务无关多元化经营集团的管理模式。因此，在集团内控与风险管理上，对两类业务也就需要区别对待。

从集团财务管理和控制实务看，通常对经营核心业务的下属企业采用经营控制模式，而对经营非核心业务的下属企业采用财务控制模式。

3 集团内控与风险管理的信息与交流

3.1 传统手工方式

目前，还有不少集团仍然采用传统手工方式，依靠发文件、定期(不定期)检查来构建集团内控与风险管理体系。这种方式的主要优点是对人员要求不高，执行方式简单，内部经营管理产生变化时调整起来也非常简便；但明显的缺点是集团内控与风险管理制度的执行容易受到对文件的理解可能产生差异、管理人员的风格与水平不同等客观因素影响。

3.2 管理信息系统方式

管理信息系统可以将集团日常管理职责、权限、流程固化于一套软件系统中，通过标准化的软件操作可以使得集团内部控制和风险管理标准化、规范化，避免或减少人为因素导致的执行偏差。

传统管理信息系统主要有定制开发软件和商品标准软件开发两种。其基本开发模式是根据管理需要进行需求分析，经过设计、编程、测试将管理职责、权限、流程固化于一套软件系统中。其中，定制开发软件通常较符合本企业管理特点，但升级维护成本较高，而商品化标准软件通常是根据通用的管理需求进行设计和开发的，有一定的灵活性，提供后续产品升级维护、成本相对较低，但通常需要集团对管理流程进行一定的优化或调整。新一代的管理信息系统通常采用平台技术、SOA架构，提供标准功能组件。集团可以根据管理需要进行选用，再根据集团管控的相关需求通过功能配置、流程定义、权限分配即可满足集团内控和风险管理基本要求，对于标准功能不能满足的部分再进行定制开发。

4 集团内控与风险管理考核与评价

通过持续性监督、专项监督评价，对集团内部控制的效果进行监督、评价是保证集团内控与风险管理体系正常运行的必要手段，也是持续优化集团内控与风险管理体系的基本途径。内部控制制度的健全完备和有效执行情况应作为绩效考核的重要指标。集团应对违反内部控制制度和影响内部控制制度执行的有关责任人予以查处。

4.1 内部控制的持续监督

集团内控与风险管理部门应当负责对集团内控与风险管理制度的监督与检查。定期检查集团内控与风险管理制度缺陷，评估其执行的效果和效率，并及时提出改进建议。集团各部门及下属企业应当积极配合内控与风险管理部门的检查监督。集团还可以根据需要不定期对内控与风险管理开展专项检查监督工作。

集团内控与风险管理部门应当根据从内控与风险管理运行情况的检查监督中发现的内部控制缺陷和异常事项、改进建议及解决进展情况形成内控与风险管理报告，并报知集团风险管理委员会或董事会。内控与风险管理报告应当对内控与风险管理制度的完整性、合理性和有效性提出评价意见，并对存在的问题提出切实可行的措施。

4.2 内部控制自我评价

集团风险管理委员会或董事会应根据集团内控与风险管理部门提交的内控与风险管理报告，对集团内控与风险管理情况进行审议评估，形成内部控制自我评价报告。自我评价报告至少应包括以下内容。

(1)对照有关规定，说明公司内部控制制度是否建立健全和有效运行，是否存在缺陷；

(2)说明重点关注的控制活动的自查和评估情况；(3)说明内部控制缺陷和异常事项的改进措施。

4.3 内部控制的外部评价

中介机构对公司进行年度审计时，根据相关法规要求，应当要对集团内控与风险管理的完整性、合理性和有效性进行相应测试并就集团内部控制自我评估报告出具核实评价意见。比如中介机构对公司内部控制有效性表示异议的，集团风险管理委员会或董事会应针对该审核意见涉及事项做出专项说明，存在问题的应当采取相应措施调整优化。

5 集团内控与风险管理实施缺陷与原则

5.1 集团公司在实施内控与风险管理过程中存在的主要问题

(1)动力不足。实施内部控制对于集团公司可能意味着系统而全面的变革，也可能涉及权利和利益格局的调整，存在一定的风险。集团决策层面和管理层面对实施这一重大变革倾向持审慎态度。特别是对于国有企业，多是迫于监管部门的压力而被动实施。

(2)思路不清。集团对于集团总部及核心功能缺乏准确的定位，难以依据风险评估和集团经营战略对内部控制进行系统地分析和梳理，集团对下属企业的管理控制与下属企业经营活动脱节，无法对已经实施的内部控制进行有效调整，使得内部控制的作用与效果不明显。

(3)体系不全。内部控制往往局限于集团公司的某一部门或者某一环节，没有在集团公司层面上系统化，也没有在制度层面上形成具有可操作性的制度，因此难以在执行层面上规范人员行为。

(4)职责不明。多数集团成立了风险管理委员会、审计委员会、审计部，在国有或国有控股集团还设有纪检、监察等监督机构，但这些内设机构与公司治理机构各自的职责不明确、相互间的关系不明确。看似严密的内控与风险管理体系特别是内部审计多局限于与企业财务活动相关的查错纠弊。

(5)方式落后。在全球化时代，国外企业和国内一些领先企业已全面实现管理信息化，而不少集团仍然依赖手工或者条块分割的电算化系统，整个集团层面缺乏有效畅通的信息沟通机制，使得内部控制难以发挥应有作用。

5.2 集团内控与风险管理实施原则

集团内控与风险管理应当贯彻相互牵制、协调配合、岗位责任、成本效益、整体结构五项原则。

(1)相互牵制原则是根据在相互牵制的关系下，几个人发生同一错误和舞弊而不被发现的概率是每个人发生该项错误和舞弊的概率的连乘积，因而可以降低误差率的原理，将一项完整的经济业务活动，分配给具有互相制约关系的两个或两个以上的部门或人员分别完成。也就是说在横向关系上，至少要由彼此独立的两个部门或人员办理以使该部门或人员的工作接受另一个部门或人员的检查和制约，在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以便上级能够有效控制下级，下级也能对上级进行监督。

(2)协调配合原则是指在各项经营管理活动中，各部门或人员必须相互配合，各岗位和环节都应协调同步，各项业务程序和办理手续需要紧密衔接，避免因职责重叠产生扯皮、职责缺失造成流程不连续，确保经营管理活动的连续性和有效性。贯彻这一原则，就是要避免只管牵制错误和舞弊而不顾办事效率的机械做法，而必须做到既相互牵制又相互协调，从而在保证质量、提高效率的前提下完成经营任务。

(3)岗位责任原则。内部控制的设立是与企业的管理模式紧密联系的，企业按照其推行的管理模式设立工作岗位，并赋予其责、权、利，规定相应的操作规程和处理程序。责任和权力是岗位责任原则中的关键因素，有什么样的岗位责任，就要赋予此岗位完成任务所必须的权力，切忌出现岗位责任不明确、权力不清楚的现象。岗位责任主要解决的是不相容职务的分享，在设置岗位时必须考虑到授权岗位和执行岗位的分离、执行岗位和审核岗位的分离、保管岗位和记帐岗位的分离等，通过不相容职责的划分，各部门和人员之间相互审查、核对和制衡，避免一个人控制一项交易的各个环节，以防止员工的舞弊行为。另外，必须注意让员工理解其各自的控制责任，一方面要让员工懂得如何完成自己的工作，即操作规程和处理程序；另一方面要让员工明白严格按照规章制度履行职责的重要性。

(4)成本效益原则。贯彻成本效益原则，即要求集团力争以最小的控制成本取得最大的控制效果。因此，在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例，也就是说，因实行内部控制所花费的代价不能超过由此而获得的效益，否则应舍弃该控制措施。

(5)整体结构原则。集团内部控制系统，必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素，并覆盖各项业务和部门。各子系统的具体控制目标，必须对应整体控制系统的一般目标。各控制流程应当符合集团整体控制目标的要求，各控制点应在集团内控与风险管理模式的控制之下，设置齐全、点点相连、环环相扣、不能脱节。各个控制点的设立必须考虑到控制环境、控制活动对它的影响。

[1] 罗重辉.浅谈集团公司内部控制审计[J].中国审计, 2004(14).

[2] 杜国栋.企业内部控制及风险管理解析[J].经济研究导刊,2010(2).

[3] 张砚.内部控制历史发展的组织演化研究[J].会计研究,2005(2).

[4] 潘秀丽.对内部控制若干问题的研究[J].会计研究,2001(06).

[5] 陈铃.关于我国内部控制规范建设的思考[J].会计研究,2001(08).

F270.7

：A

：2096-0298(2015)12(b)-028-04