國有企業內部控制與風險管理現狀及應對方法

王永利

隨著國內外形勢的不斷變化及國企改革三年行動的逐步實施，各國有企業積極采取有力措施推進各項改革任務落實落地，并取得一系列重大進展，國有經濟競爭力、創新力、控制力、影響力和抗風險能力得到有效提升。2022年是決戰決勝國企改革三年行動的收官之年，國有企業必須進一步加強風險管控意識，盡快完善公司內部控制體系，建立以風險為導向的內部控制機制，提高內部控制的效率、提升國有企業市場競爭力和抗御風險能力，確保全面勝利收官。

近年來受新冠疫情影響及全球價值鏈的調整，國際形勢變化莫測，經濟全球化遭遇波折，全球經貿擴張步伐有所放緩，多邊主義和自由貿易體制受到沖擊，保護主義、單邊主義抬頭，風險挑戰加劇；面向長遠的可持續發展，我國推動了供給側結構性改革，擴大開放，大力發展實體經濟，以創新提高生產效率與競爭力，經濟運行總體平穩、穩中向好的同時，一些深層次結構性矛盾和問題在外部沖擊下趨于顯性化，經濟下行壓力進一步加大。

國有企業作為我國社會主義市場經濟的主體，其發展和壯大為我國經濟的發展提供了穩定的基礎。2022年是國企改革三年行動的最后一年，國有企業需切實把國企改革三年行動抓到位見實效，切實增強國有企業競爭力、創新力、控制力、影響力及抗風險能力。內部控制是企業管理工作的基礎，是企業持續健康快速發展的重要保證。這就要求國有企業需進一步加強風險管控意識，盡快完善公司內部控制體系，建立以風險為導向的內部控制機制，提高內部控制的效率、提升國有企業市場競爭力和抗御風險能力。

一、內部控制與風險管理體系建設對國有企業的重要性

（一）防范經營風險，保障資產安全

一直以來國有資產流失，都是國內外普遍關注的熱點。有效的內部控制是國有企業生存和發展的基礎，通過內部控制可以保證國有企業遵守國家相關法律法規，防范各種經營風險，促進企業健康可持續發展；有效的內部控制可以幫助國有企業利益相關者及時準確掌握企業經營情況，深入了解國有企業總體運營的現狀，為國有企業的發展提供基礎保障。國有企業作為一個龐大復雜的經濟個體，業務和層級的復雜性導致了內部運行的繁瑣性，有效的內控管理不僅能夠簡化流程，提高工作效率，而且能夠對運營過程中的每個流程進行嚴格把控，為企業的健康發展注入源源不斷的發展動力，提高國有資產的安全性。

（二）提高風險管控能力，完善內部運行機制

有效的內部控制不僅僅局限于會計層面，更包含高層次的戰略目標，在國有企業做大做強、向多元化經營轉型發展的過程中，更須從戰略高度進行風險管理和內部控制。有效的內部控制將會把風險管理意識貫穿于國有企業的生產經營過程中，包括營銷管理、生產管理、職能管理、質量與安全管理等各個方面。有效的內部控制可以加強國有企業內部控制環境建設及風險管控能力，實現內部控制的現代化，使信息溝通順暢，并能夠對國有企業內部發生的各類經濟活動起到規范的約束作用，有助于國有企業不斷完善內部運行機制。

（三）提升運行效率，增強市場競爭力

有效的內部控制不僅可以不斷優化內部流程，規范國有企業各個職能部門的職責，對部門人員的工作職責進行細分，給不相容的工作崗位提出具體明確的要求，進一步提高國有企業的內部管理效率；還可以為國有企業在動態多變、競爭激烈的市場環境中獲得競爭優勢提供新的思想、新的方法，從而給國有企業的管理者提供新的機會，以增強國有企業的市場競爭力。

二、現階段國有企業內部控制與風險管理中存在的主要問題

（一）內部控制意識薄弱

隨著國有企業改革的不斷深入，國家層面越來越重視國有企業的風險管理工作，但國有企業領導層對內部控制工作卻沒有給予過多的關注，大多管理人員更加側重企業的生產經營活動，對于內部控制缺乏認知和重視，宣傳工作也只是停留在喊口號的階段，導致員工不能正確理解內部控制的重要性，甚至在思想上還會產生內部控制降低企業運營效率的抵觸情緒。領導層在認知上的嚴重缺位，導致企業內部普遍認為建立完善的內部控制跟企業的經營活動無關，沒有意識到內部控制的建設與完善是與企業的發展壯大休戚與共的。另一方面雖然國有企業根據國家相關政策要求，在企業內部都制定有相應的內部控制管理制度，但因為意識方面重視程度不足，部門之間缺乏有效的溝通與協調，全員參與意識不強，印發的制度形同一紙空文，也就無法達到預期的效果。國有企業對內部控制建設認識的不到位，嚴重阻礙了內部控制活動的執行效果，制約了企業自身的發展和競爭力的提高。

（二）流程固化降低運轉效率

近幾年國有企業各條線的監管政策越來越嚴格、越來越多，從某種程度來講，部分國有企業認為合規就是目前監管的最高要求，不合規就是企業目前最大的風險，不求有功、但求無過，嚴重偏離了國有企業戰略目標；部分國有企業為防范風險，在內部控制制度的制定中側重相互牽制，相互制約，一個業務流程經常要跨越多個部門，經過多個環節，因而需較多的人力、物力和時間才能把分割的各個控制環節結合起來，企業無疑為此付出了高昂的成本。還有少數國有企業在建立內部控制制度時，盲目照搬集團公司相關內部控制制度，沒有根據企業自身的實際情況去制定，使得內控制度建設與企業發展不相適應，不利于內控作用的發揮，無法真正做到識別和防范控制企業經營風險，這些行為都極大降低了內部控制的運轉效率。

（三）風險防控能力不足

在當前信息技術高速發展的時代，雖然國有企業也引入了信息化概念，但其信息化建設還存在許多不足，很多企業未能在集團與所屬企業之間、職能部門之間建立起相對應的信息集成與共享，以此解決風險管理的信息不對稱問題，風險管理信息化的優勢沒有得到充分發揮。

受當前形勢影響，國有企業內控工作從業人員專業背景單一，大多為財務轉崗而來，對內部控制理論不能熟練掌握，造成內控執行力度不足；另外就內部控制體系而言，國有企業建設較晚，且國有企業具有龐大的生產經營體系，也增加了國有企業內控難度；另一方面，因內部環境影響，國有企業不重視建立風險預警機制，風險防范意識不強，日常經營活動缺乏前瞻性，等風險發生之后，再采取補救措施，風險應對相對滯后，不利于國有企業識別和防范控制經營風險。

（四）內控監督考核機制不完善

目前部分國有企業的監督和評價機制還不完善，在內部控制體系下無法有效對風險管理工作進行干預，從而降低了國有企業在風險評估及風險應對過程中的風險抵抗能力，進而對企業的運行與發展產生負面影響。

從監管的角度來說，國有企業內部審計監督部門仍未完全獨立出來，審計工作方向和內容仍受公司經營管理層影響，未能形成有效監督；從覆蓋面看，部分國有企業內部審計更多地側重于全資子公司、主營業務，對參股公司及其他業務審計較少，離全覆蓋的審計面還有一定的差距；從對審計結果的運用來說，部分國有企業對審計結果沒有監督反饋，缺少相應的追責制度，且在部分國有企業內部尚未完全建立整改追蹤機制，未能實現內部控制閉環管理，使得部分國企的內部控制出現失效的現象。

三、建立以風險管理為導向的合規內控體系

進一步健全以風險管理為導向的國有企業內部控制體系，要以“強內控、防風險、促合規”為目標，進一步整合優化內控、風險和合規管理相關制度，完善內控缺陷認定標準、風險評估標準和合規評價標準，構建相互融合、協同高效的內控監管制度體系。

（一）主動樹立風險內控觀，強化全員風險管控意識

國有企業應注重建立具有風險意識的合規企業文化，促進企業提高風險管理水平，提升員工風險管理素質，保障企業風險管理目標的實現。企業文化能強化和優化內部控制系統，為企業內部控制建設賦能，營造人性化管理氛圍，發揮文化的思想引導功能，提高員工的自我約束能力，將員工個人價值的實現和企業的發展壯大目標融為一體，增強企業內部向心力和凝聚力，做到硬約束與軟約束并舉、外部控制與內部控制相結合，從而實現企業的發展戰略和經營目標。

主要途徑：一是通過制定完善的晉升制度，將人事制度和薪酬制度有機結合，增強各級管理人員特別是高級管理人員的風險意識，防止為追求短暫的經營業績而盲目擴張、忽視風險等行為的出現，鼓勵全員主動參與風險內控觀的文化建設，加強風險內控觀的文化理念宣傳，摒棄個人利益至上等錯誤思想傾向，將風險內控觀的精神融入人心，從而規范全員行為，提高公司治理能力和治理水平；二是要大力營造和培育良好的風險管理文化，在企業內部樹立正確的風險管理理念，增強員工風險管理意識，在公司內部通過相應的多媒體設備，以視頻、圖片等形式來呈現生產經營中存在的潛在風險，更直觀地向員工傳達在風險排查過程中需要注意的問題，促使員工牢固樹立“風險無處不在、風險無時不在”的意識，以確保他們能夠有效地理解內部控制和風險評估在日常經營中的作用，提高員工整體風險管控意識，促進企業建立系統、規范、高效的風險管理機制，營造良好的風險管理文化氛圍。

（二）明確責權利，激發新活力

有效的內控管理，能為積極授權、有效行權提供制度性的保障。要落實內部控制執行環節責任制，建立企業主要負責人承諾制，明確企業主要負責人對內部控制各環節的有效執行負總責。企業內部高層管理人員帶頭執行內部控制，將合規管理納入日常經營環節，將內部控制的執行與管理權限相匹配，明確各崗位的職責和權限。建立內部控制體系相關的培訓機制，做好崗前培訓和后續教育，確保每個崗位員工熟知本崗位的職責和權限，明確本崗位應防范的風險，形成員工積極參與、自覺履行的全員風控控制意識與氛圍。

建立風險管理第一道防線的流程責任制，強化建立過程中的內部控制意識和能力，從流程遵從走向流程責任。業務主管不僅要保障業務數據準確、及時、規范，約束部門遵守相關法律法規，而且還要和流程經辦人一起真正承擔起監管的責任，將絕大部分的風險在流程化作業中給予解決。內控機制的真正受益者是公司的各級作業組織，權力更多、責任更大、邊界更清，讓每個組織都能在自己的權責邊界內活得精彩、活得輕松。

（三）加快推進信息化，提升風險管控能力

充分把握大數據時代的發展機遇，積極探索利用大數據、云計算、人工智能等技術，進一步梳理和規范經營業務中的審批流程及各級人員的權限設置，將內控體系管控措施與信息系統緊密結合，確保信息系統能夠自動識別并終止超越權限、逾越程序等不合規行為，促使各項經營業務可控制、可追溯、可檢查，防范人為違規操縱行為，實現內控體系的實時監測、自動預警等在線監管功能，進一步提升信息化和智能化管控水平。

同時加快建立完善企業風險管理信息系統，將信息化建設作為提升風險管理本質能力的重要途徑。制定重要業務領域風險關鍵指標，逐步建立風險監控預警體系，探索對重點指標進行“實時在線”監控，推進指標監控實時化、風險預警自動化、指標體系可視化。構建上下聯動、整合資源、打通壁壘的信息共享系統，通過及時有效的管理運用風險信息，更好地支持監督管理和科學決策。

國有企業要加強對內部風險管理人員綜合素質的培養，特別是在信息技術和大數據的運用方面，加快對傳統工具的變革，充分發揮信息技術在操作難度大、數據量復雜領域的運用；同時加強對風險管理人員的后續教育工作，緊跟時代潮流，使風控人員成為既懂財務會計又具備企業管理、工程預算、計算機技術等各方面知識的綜合型人才，從而不斷提高內部控制工作質量。

（四）規范檢查，健全監督評價體系

內部監督檢查，是企業對內部控制建立與實施情況進行監督檢查，是評價內部控制的有效性，發現內部控制缺陷，及時加以改進的重要保證。國有企業應按照內部控制的基本原則和要求，設計適合本企業自身特點的評價體系和內部控制缺陷認定標準。

國有企業內部審計或相關部門在組織開展對本企業內部控制的評價工作時，覆蓋范圍一定要全面，同時也要注重對重點子企業和關鍵業務流程內部控制有效性的檢查評價；也可以根據實際工作需要，聘請外部中介機構協助開展內部控制評價工作或進行內部控制審計。另一方面也要加強對審計結果的運用，通過審計與內部控制評價工作，充分揭示國有企業內部控制的設計缺陷和運行缺陷，提出管理改進建議，并及時報告董事會和管理層，跟蹤落實缺陷整改情況，實現內部控制閉環管理，促進內部控制真正優化。

國有企業要建立內部控制重大缺陷追究制度，將內部控制評價和審計結果與晉級評估或績效考核相結合，逐級落實內部控制組織領導責任。同時要做好內部控制與風險管理工作的有機結合，充分利用風險管理體系框架，加強日常經營工作協同，形成工作合力，共同推動國有企業風險管理工作的持續改進。

結語

國有企業要想在錯綜復雜的國內外環境中，成功應對各種不確定的風險，獲得持續穩健的發展，就需要盡量減少內耗和溝通成本，圍繞“強內控、防風險、促合規”的目標，以合規經營為前提，逐步推進風險內控機制改革，建立以風險為導向有效的內部控制體系，不斷完善內部控制制度。在遵循外部監管機構對內部控制基本要求的前提下，以成本效益為原則，從業務流程再造的視角對企業的內部控制活動進行重新設計，以更少的人力和資源做更多的事，全面提升國有企業運行效率，實現國有資產保值增值，從而推動國有企業的發展和壯大。