風險管理視角下國有企業內部控制研究
——以K公司為例

盧敏鶯 福建省煙草公司廈門市公司

引言

在新形勢下，各行各業立足新發展階段、貫徹新發展理念，都面臨風起云涌的時代變化和機遇挑戰。國有企業作為市場經濟的主體，在全面建設社會主義現代化國家新征程中擔當重要使命，發揮重要作用。新形勢下，國有企業所面臨的機遇和挑戰都有新的發展變化，企業規模的擴大與市場競爭力的提升使得企業發展存在著風險性，如何在激烈競爭中規避風險、減少企業損失、促進企業高質量發展，需要國有企業正確處理好風險管理與內部控制的關系，本文筆者以K公司為例，在風險管理視角下，對K公司內部控制體系實踐開展研究分析，并提出相應的應用措施。

K公司成立于2001年，是國有多元化企業，旗下有41家零售門店，為保證K公司企業經營管理合法合規、資產安全以及提高經營效率，2017年K公司形成內部控制規范體系。該體系突出圍繞內控管理和財務管理兩大重點，形成內部控制目標原則、企業層面控制和業務層面控制三大部分，涵蓋采購、銷售、存貨管理等K公司經營過程中的各項業務，在業務流程風險和制度風險分析的基礎上，對各個業務環節所涉及的廉政風險點進行標示，并提出風險防范措施。該內部控制規范體系自制定以來促進K公司上下形成一定的規范意識、對公司業務流程更加清晰，特別是容易發生違規的業務環節，從源頭上杜絕了違法亂紀情況的發生。但是隨著外部環境更趨復雜多變、新冠肺炎疫情影響、行業政策變動等不確定性的增強，K公司面臨的市場經營壓力不斷增大，原有的內部控制規范體系已經不能很好地防范公司承受的各項風險，內部控制規范體系面臨著進一步的改進和完善。

一、正確認識風險管理與內部控制

（一）企業風險管理

風險管理主要是對企業經營過程中的潛在風險進行規避，以保障企業預期發展目標的實現。在企業發展過程中，財務風險、決策風險等潛在風險因素較多，此類風險因素影響著企業日常經營活動的穩定性，基于此企業要將風險管理應用于企業管理工作中。風險管理能夠對各類型風險的出現進行預測、識別、評估等體系化管理，以此降低風險發生概率，保障企業經濟效益與發展的穩定性。以K公司為例，隨著市場化競爭的加劇，國有企業面臨的風險主要有：①經營風險，包括公司管理層素質和能力高低決定的經營成敗，連鎖門店經營的擴張風險，連鎖門店的擴張于市場、資金、人才及管理水平不相匹配帶來的風險。②市場風險，包括市場消費變化莫測，市場分析和預測的難度越來越大，如果管理層稍有不慎，做出錯誤的決策就有可能給公司帶來巨大的損失。K公司面臨的市場競爭將會越來越激烈，使連鎖經營的市場風險不斷加大。③管理風險，連鎖門店是在總部的統一管理下，按照統一化、標準化和專業化的原則進行運作的。連鎖總部的管理水平直接關系經營風險的大小。存在決策失誤、指導不力以及信息傳遞、廣告宣傳等方面的問題。

（二）企業內部控制

企業內部控制具有專業性、體系性、目的性等特點，是對企業各層級工作流程進行的監管。內部控制以企業內部控制體系為主要管理途徑，以實現對企業經營環節工作的有效監管，實現對風險因素的規避。內部控制工作的開展能夠保障企業經營發展的科學性，工作落實需要以相關制度為主導，以實現內部控制策略與措施的實施。企業經營發展以生產流程與工作流程的規范為主要內容，是保障企業內部工作流程規范性的主要途徑。內部控制工作體系的應用對提升企業生產效率、優化工作流程具有重要意義。對于做樣子、搞形式的內控設置，則不要抱有太高的心理預期。在組織認可和決策需要的條件下，開展內控工作，識別和發現影響組織效率和質量的因素，造成成本升高和效益降低的問題，以及產生資源浪費的情形等，引起組織決策者的關注和重視，在此基礎上提出可行的解決辦法，讓組織協同者和決策者看到內控的價值，如此才能立住腳和發揮內控的監管作用。內控是在一定管理經驗和實踐經驗基礎上的產物，并且是被組織決策者認同和支持的，它將有利于規范和解決組織運行中存在的管理漏洞和弊端，終極目的是促進和保障組織的健康持續發展和運行。

（三）風險管理與內部控制的關系

內部控制隸屬于全面風險管理體系，屬于全面風險管理范疇，是對企業經營管理工作進行的有效監管。通過內部管理工作的落實，企業經營中存在的潛在風險能夠得到規避，這也就優化了風險管理工作模式，由此可知，風險管理與內部控制共同致力于企業經濟效益的穩定性與發展的持續性。從風險管理來講，風險管理強調風險規避過程，涉及企業管理的各方面。從內部控制來講，內控以規范企業業務流程為主要目的，其工作落實以風險管理為基礎。基于此，風險管理與內部控制工作的開展存在差異性，但其均對企業的發展具有推動作用。

二、K公司風險管理與內部控制現狀

（一）內部控制規范體系過度追求大而全，針對性不強

K公司所建立的內部控制規范體系涵蓋了K公司各項經營業務，體系建設所有篇章均遵循的結構，更像是構建ISO質量管理體系，用于規范各個業務流程，且顯得過于煩瑣，操作性不強。在化解公司經營管理過程中所遇到的矛盾或問題上發揮的作用不夠，公司中大部分人將內部控制體系等同于內部會計控制制度，主觀地認為內部控制是財務人員的職責工作，主要為了防范財務管理方面的違規違紀操作。

（二）內部控制體系的建立目標不夠清晰科學

K公司建立的內部控制體系與風險管理關聯性較低。一方面，原有內部控制體系的建立前未對公司所面臨的風險進行評估，未能準確、全面地認識自身面臨的風險，因此沒有形成相對應的風險管理模式，在此基礎上建立的內部控制體系不利于公司風險防范。另一方面，K公司內部控制體系建立與公司戰略目標結合不夠緊密。內部控制體系的建立基礎更多是公司章程、制度辦法等規范性文件，對公司戰略管理研究不足，沒有形成長遠而又科學的戰略目標體系，因而未能形成科學的內部控制體系去防范公司的風險。

（三）內部控制體系缺乏動態管理

K公司受行業改革政策影響而開拓新零售商業模式，在業務開展中采取線上網絡商城與線下實體門店相結合的方式，在資金結算上采取移動支付與傳統支付相結合的形式，這些都給K公司內部控制體系帶來不小的影響：新零售模式下的風險都是什么，影響程度如何，應該采取什么樣的措施，這些都需要K公司準確識別、分析甚至預判，及時更新內部控制體系。而缺乏創新意識，未建立完善信息化的內控體系，不能有效的結合公司實際業務發展風險狀況基礎建立的內部控制體系，較難與公司經營管理協同關聯，也不利于風險的防控。

（四）全員參與內部控制體系意識不強

由于K公司在體制內時間較長，參與市場化競爭較少，K公司沒有意識到風險管理與內部控制的重要性，在此基礎上建立的內部控制體系實操性不強，對于管理企業沒有起到預期作用。管理層關注風險也較為片面，對市場形勢的敏感性不足，沒有結合自身的實際進行科學探索，造成對潛在的風險有所忽視，視而不見。缺乏風險認識和評估的管理層對于內部控制體系建立無法提出有效意見，這也一定程度上造成了風險管理與內部控制的脫節。此外，K公司雖然在內部控制體系中提到需要開展風險評估，但是未建立健全的風險評估體系，對于公司面臨的風險更多是通過個別管理層主觀評判，而且這樣的評判是基于以往的經驗，對于K公司經營環境、市場、競爭對手、客戶都未及時開展分析，既不科學也無法規避風險，在此基礎上制定的內部控制措施也不夠完善，往往難以促進企業行穩致遠。

（五）內部控制體系運用上存在“兩張皮”情況

由于K公司內部控制體系建立缺乏風險管理支持，且龐大的體系過于煩瑣，業務部門執行成本過高，在均衡利潤和內部控制執行成本中，往往選擇追求高利潤。同時K公司在內部控制體系制定后，未相應出臺執行規則，業務部門往往收到內部控制體系后就束之高閣，在實際經營中未按照內控體系執行。此外，企業風險管理與內部控制工作的開展需要以組織機構為單位，以K公司為例，K公司缺乏對風險管理與內部控制的重視，這也使得企業內部缺乏風險管理部門與內部控制部門，相關工作的開展全部由企業領導者進行決策。企業風險管理組織與內部控制組織機構的成立，能夠吸收優秀且專業的風險管理人員與內部控制人員，是保障企業經營發展穩定性的重要因素。企業各組織機構之間分工明確，在企業機構設置不科學的情況下，企業發展存在限制性，且存在較大的企業經營風險。

（六）風險管理于內部控制價值無法體現

從企業發展的角度來講，企業風險管理與內部控制工作價值主要體現在企業經濟效益的增長與經營管理過程中風險的規避，但就當下的工作情況來講，企業風險管理與內部控制價值難以體現。風險管理體系構建科學性、內部控制策略有效性是影響其價值的主要因素，這也意味著人員素質、工作途徑等工作細節存在問題。同時受企業領導者決策的影響，部分風險管理與內部控制工作理念存在偏差，這同樣會導致企業管理工作價值難以體現，不利于企業發展的持續性。

三、風險管理視角下內部控制工作措施

（一）強化企業風險管理意識 加強內部控制體系建設

為保障風險管理視角下內部控制工作的有效性，企業必須提升對風險管理的認識，進而強化對內部控制工作體系的建設，實現從觀念轉變到管理細節落實的企業管理工作創新。在思想觀念轉變背景下，企業要不斷結合企業發展對風險管理工作進行完善，就內控體系措施與責任進行明確。

企業風險管理意識的強化能夠促進企業各部門工作人員風險意識的樹立，對形成完善的風險管理體系具有重要意義。風險管理體系包含風險識別、風險分析、風險規避等環節，企業風險管理意識的強化對風險管理工作細節的落實具有重要作用。內部控制作為企業組織管理的重要組成部分，其能夠對企業經營生產環節進行監管，進而保障工作與生產流程的規范性。風險管理與內部控制工作的開展具有相似性，且二者之間存在協同關系，由此可知，為保障風險管理視角下內部控制工作的完善，企業必須提高對風險管理與內部控制的認識。

（二）建設企業信息化管理平臺 提升內控工作效率

在企業發展過程中，內部控制工作的開展以經營管理與生產流程等工作體系的規范為主要內容，為強化內控工作效率，企業可建立信息化管理平臺。內部控制工作的開展需要與企業各組織機構進行聯系，工作量較大，且難以保障工作質量，信息化技術作為當下時代技術，信息化管理平臺已然成為當下企業管理的主要方式。因此，借助企業OA、釘釘或企業自制管理系統平臺，內控人員能夠高效的對工作流程進行控制，同時信息化管理平臺具有存儲功能，且對明確管理責任具有積極意義，這也就極大地減少了風險隱患的出現。信息化管理平臺具有一定的智能性，平臺可能對經營風險進行監測，對強化風險管理質量具有重要作用，促進著風險管理視角下內控工作實效性的提升。

（三）強化風險管理下動態評價

在國有企業的發展過程中，內外部的環境都在不斷地變化，結合企業的目標，國有企業不斷地在評估和分析所面臨的風險，在內部控制體系建設上，國有企業也綜合以上情況不斷地進行科學探索和創新，以便更好地提高企業風險防控地科學性、有效性和針對性。

（四）完善企業內部組織機構監管模式

內部組織機構監管模式的完善，能夠加強企業組織之間的相關監督，是防止部門腐敗的重要途徑。內部組織結構之間的相互監管主要是對部門權利的制約與監督，是保障企業經營管理科學性的重要內容。企業組織機構相互勾結會造成企業經營管理風險的加劇，不利于內部控制體系工作的完善。因此，在企業發展的過程中，不僅要加強內控部門對企業發展過程中的風險防控，也要加強對內控部門的監督，只有這樣才是充分發揮出風險管理和內部監控的職能，落實好內控措施，降低企業經營的風險。

結語

新形勢下，企業發展機遇與風險共存，這也要求企業加強對風險管理與內部控制工作的要求。企業發展風險因素具有多樣性，風險管理作為對企業發展過程中風險因素的防范措施，能夠保障企業發展的可持續性。企業內控體系的落實能夠加強風險管理質量，由此企業要不斷就風險視角下企業內控工作的開展進行完善。