路红梅

【摘要】烟草多元化企业因其独特的管理制度和治理结构，存在一定的管理漏洞和财务风险。文章针对烟草多元化企业内控及风险管理现状，剖析存在问题的原因，引入内部控制与风险管理理论，提出烟草多元化企业内控与风险管理方向，以此推动完善内控体系，堵塞管理漏洞，加强风险管理，提升企业效益。

【关键词】烟草行业；多元化企业；内部控制；风险管理

【中图分类号】F275

经过近几年的探索，烟草多元化企业已初步形成以卷烟零售为主，兼营非烟商品、物流配送、烟草辅料供应、酒店经营等多种经营范围的混合经营业态，逐步成为卷煙经营的有益补充。伴随着烟草多元化企业的发展，“一主多元”的经营格局初步形成，烟草行业在履行“创造价值、回馈社会”的企业使命的同时，也在寻求新的经济增长点，多元化业务作为烟草行业的新生力量正一步步发展壮大。

一、烟草多元化企业经营特点及研究的必要性

（一）企业管理制度特点

目前烟草多元化企业基本上是按照现代企业管理的要求，实行法人实体化运作，独立经营，自负盈亏，对外独立承担经济责任，财务管理相对独立。虽然多数多元化企业都有一套较为完善的企业管理制度，但由于经营品种多、经营范围广、涉及资金量较大，加之跨地区、跨行业的特点，容易出现管理漏洞。多数多元化企业未纳入行业资金监管中心，资金风险较大，有时甚至会出现内控失灵的极端问题。

（二）企业治理结构特点

多数烟草多元化企业能按照法人治理结构要求，设立董事会、监事会及经营管理层，但受行业经营体制的影响，目前还存在决策层职责不明晰、监事会未行使职权或职权受限、经营管理层缺乏必要的监督等现象。多元化企业内部控制对象为业务不相关联的法人企业，以投入资本、占有股权形成控制与被控制的关系，在特定的管理模式下，造成管理手段单一、管理效率低下，甚至是管理混乱的情况也时有发生。

（三）内控及风险管理研究的必要性

多元化企业因其经营品种多、经营范围广，一定程度上降低了企业的运营风险，但是由于多元化企业经营资金量大、跨地区跨行业的特点造成财务风险明显加大，加之多数企业未纳入行业资金监管中心，资金风险尤为突出。多元化企业因治理结构的影响造成管理模式特殊，管理效率不高，客观上应要求多元化企业加强企业管理，强化规范运营，提高管理效率。而内部控制作为财务管理的重要手段，在提升规范化运作水平、降低企业财务风险方面起着举足轻重的作用。风险管理进一步丰富了内部控制的内涵，通过建立风险管理理念，实施全面风险管理措施，可有效规避企业各类风险，实现企业效益最大化的目标。

二、多元化企业内控与风险管理现状及问题剖析

（一）内部控制不成体系，规范化运作水平不高

多元化企业需要建立内控管理的组织架构，制定内控制度、流程标准等内部控制规范，由于内控管理意识参差不齐和内控管理环境的差异，目前烟草多元化企业内控管理呈现出“零、散、乱”的特点。比如，有的企业决策层内控意识较强，注重对投资决策的可行性论证及方向选择，在投资决策及重大事项研究方面宏观效应明显，但执行层内控意识淡薄，导致执行决策上行动迟缓、错失良机，这种管理漏洞极易造成资产流失等现象发生。有的企业内控制度、流程标准流于形式，内控管理与实际运行“两张皮”，为了追求经济效益而放弃了规范经营，导致市场竞争环境恶化，舞弊现象、职务犯罪时有发生。产生这些问题的原因：一是内部控制不成体系，没有通过固化流程、企业宣贯、文化引领、优化改进等措施形成一套科学、严格、规范、全面、有效的内控体系；二是规范化意识不强，重点领域、重要岗位未实现权利制衡。

（二）监督管理体制薄弱，风险防范能力不强

目前，多数多元化企业都设有董事会、监事会、审计委员会及纪检监察机构，但是并未完全履行其监督职责。主要表现为：一是没有明确界定董事会、审计委员会和管理者的权限与责任，存在权责不明确的“灰白地带”，一些事务处理时相互“踢皮球”，出了问题互相推卸指责，最终因职责不清不了了之。二是董事会、监事会的监控作用严重弱化，缺少必要的常设机构和人员来组织、协调日常工作。三是审计委员会一般由控股股东的内部审计人员担任，因审计人员的能力、水平受限导致问题查摆不到位，或因内部审计人员存在“老好人”思想导致“大事化小、小事化了”的现象频发，最终出现重大责任事故。四是纪检监察机构履职滞后，往往是问题、事故发生后纪检监察部门才介入，没有形成事前提醒、事中监督、事后追责的工作闭环。缺乏坚强有力的监督机制，导致多元化企业风险事件高发。出现上述问题的原因：一是管理层风险防范意识不强，观念落后；二是风险防范措施不完善，风险管理工具运用不够；三是内控监督制约机制匮乏，风险管理手段单一；四是信息披露与传递渠道不畅，风险控制及止损能力较弱。

（三）内控信息系统未集成运作，刚性约束作用发挥不够

多数多元化企业在公文流转、人力资源管理、物资采购、工程建设、财务管理、资产管理等方面都应用信息化系统，但普遍存在“各自为政”的现象，更新优化速度与业务发展和数据分析的需要不匹配。系统互相独立造成频繁登录N个系统、设立N个账号，数据信息共享不及时、多头取数的现象经常发生。在实际工作中，因内控管理不严格，各系统互不干涉，导致某一系统账号多人使用，频繁操作，发生事故后责任追究不严，或互相推诿，或相互袒护，存在人为违规操作的漏洞，生产经营管理决策和执行活动无法实现可控制、可追溯的目的。究其原因是因为信息化系统各自独立运行，内控体系的要求无法在各系统间融合，内控体系管控措施无法发挥刚性约束的作用。

三、内部控制与风险管理理论指导

（一）内部控制与风险管理的关系

1.内部控制与风险管理是密不可分的

内部控制和风险管理都是由“全体人员共同实施的”，全员参与；两者是一个“过程”，并不是处于某种静态的；且两者为企业实现目标提供了保证。但是需要注意的是，在风险管理中包含了风险组合与整体风险管理的观念，需要从企业层面对分散到各个层级以及各个部门的风险进行整体把握，并统筹考虑如何应对风险。而内部控制则更多强调全面无死角管理，细化管理目标，以部分或具体目标的达成保证整体目标的实现。

2.全面风险管理涵盖了内部控制

全面风险管理除包括内部控制的3个目标（报告类目标、经营类目标、遵循类目标）外，还增加了战略目标；全面风险管理的8个要素除了包括内部控制的全部5个要素（环境、风险评估、控制活动、信息与沟通、监督）外，还增加了目标设定、事件识别和风险对策3个要素。从时间先后和内容上来看，全面风险管理是对内部控制的拓展和延伸。

3.在全面风险管理中，内部控制是必要的环节

企业对于风险的认识以及管理为内部控制提供了动力来源。内控系统是对企业所有业务流程中的风险进行管理的必要的、高效的方法。与此同时在国内外的诸多法律法规之中也明确要求需要维持充分的内控系统。所以，满足内控系统的要求也是企业构建风险管理体系所需要达到的一个基本的状态。

（二）加强内部控制有助于提高规范化运作水平

内部控制是企业各个部门或人员在业务运作过程中形成的相互影响、相互制约的一种动态机制，是具有控制功能的各种方法、措施及程序的总称。企业通过内部控制建立一系列相互融合的规范化标准，通过规范化运作，促进内控体系落地实施。通过内部控制，企业可实现规范作业流程，加强重点领域的日常监管，明确重要岗位职责权限的目的。要求全体人员严格遵守内控制度、规范操作作业流程可促进企业提高规范化运作水平。

（三）加强风险管理有助于实现企业管理目标

风险管理伴随着企业经营全过程，是一种通过采取应对措施将各种不确定事件发生的可能性控制在可接受范围的管理手段。风险管理要从企业层面总体把握分散于各层次及各部门的风险，以统筹考虑风险对策。企业通过牢固树立风险管理理念，培育良好的风险管理文化，建立健全风险管理体系，灵活运用风险管理工具，促进企业管理目标的实现。

四、多元化企业内控与风险管理的建议及措施

（一）建立健全内控体系，提升管控效能

多元化企业应本着“管理制度化、制度流程化、流程信息化”的内控理念，建立健全以风险管理为导向、合规管理监督为重点的内控体系。通过“强监管、严问责”，严格落实各项内控要求，将风险管理和合规管理的要求嵌入业务流程，促使企业依法合规开展各项经营活动，切实将权利和日常行为装进内控的笼子里，实现“强内控、防风险、促合规”的管控目标。多元化企业应按照内控制度、操作流程、规范标准“三统一”的原则建立各条线内控要求，切实改变内控体系“零、散、乱”的局面。在建立健全内控体系过程中，应明确董事会、审计委员会、管理层各自的职责权限，确保内控体系落地实施。设立专职部门或机构统筹内控体系工作职责，确保各业务部门内控体系有效运行。聚焦关键业务、重点领域，定期对相关内控的执行情况进行认真梳理，找到其中存在的问题，并针对问题进行及时改进，以确保整个内控体系能够切实发挥作用。必须严格执行不相容岗位职务分离控制、授权审批控制等管控的要求，对重要岗位以及关键人员在授权、审批等环节的权责进行严格规范，并形成一种相互衔接、相互制衡、相互监督的内控体系工作机制，不断地提升管控的效果。

（二）建立监督管理体系，提高风险防控能力

建立监督管理体系应筑牢“四道风险防线”：一要加强职能监督，筑牢第一道风险防线。各业务部门及各岗位之间严格按照内控要求开展规范操作，相互监督。各部门既是管理主体，也是所负责领域内的监督主体，要从专业的角度，对负责领域业务运行情况进行监督检查，及时分析问题，加强风险防范，促进业务规范高效运行。二要发挥内部审计职能，筑牢第二道风险防线。应授予内部审计人员独立行使职责的权利，确保审计人员出具客观、公正的审计意见。充分利用财务审计、工程审计、经济责任审计等专项审计活动的开展，切实加强内控体系监督检查工作，准确揭示风险隐患和内控缺陷，发挥查错纠弊的作用。三要将纪检监察贯穿日常业务经营，筑牢第三道风险防线。纪检监察部门职能前移，通过日常谈心谈话履行教育职能，通过线索追踪检查履行监督职能。抓好领导人员廉洁自律、效能监察，及时治理问题源头、纠正不正之风。及时发现问题、督促整改，严纪轻处分，履行提醒、监督、保护的职能。四要引入外部审计监督，筑牢第四道风险防线。委托外部审计机构对内控体系有效性开展专项审计，出具内控体系审计报告，充分发挥外部审计的专业性和独立性。

（三）加强信息化系统集成，增强内控体系硬约束

要对整个系统的审批流程以及各层级管理人员的权限设置进行梳理，让内控体系能够与各个业务系统进行有机的融合，以达到自动识别并终止各种违规审批的行为，让企业的各项经营决策以及执行活动都能够实现可控制、可追溯，有效地减少各种人为的违规操纵因素。同时，还需要积极地探索将内控体系建设与业务部门、审计部门、信息化建设部门协同配合的措施，推动企业“三重一大”投资和项目管理、财务管理、资产管理、物资采购、风险管理、人力资源管理等信息系统集成应用，逐步实现内控体系与业务信息系统互联互通，有机融合。逐步探索利用大数据、云计算、人工智能等技术，实现内控体系实时监测、自动预警、监督评价等在线监管，增强内控体系硬约束功能。

（四）加大监督评价力度，促进内控系统持续优化

管理层要统筹推进内控、风险和合规管理的监督评价工作，将风险管理、合规管理、制度建设纳入内控体系监督评价范畴，不断规范监督评价工作程序、标准和方式方法。要坚持内外部审计监督评价工作机制，做到内部审计常态化，赋予审计部门独立行使职权，确保审计报告客观、全面、公正，同时加强外部审计的监督力度，聘请有相应资质的社会中介机构进行审计评价，弥补内部审计在专业性、独立性方面的短板。内部审计找问题、外部审计做评估形成内外结合、开门指导、公正评价的内控新格局。内控部门要定期组织相关部门对现行内控体系进行有效性测试，及时更新优化内控标准，推动内控体系动态持续改进。要充分运用监督评价结果，加大问题督促整改工作力度，明确整改责任部门、责任人和完成时限，对整改效果进行检查评价。要建立健全考核机制，对内控制度不健全、内控体系执行不力、整改落实不到位的部门和人员，要给予考核扣分、薪酬扣减或岗位调整等处理。对存在重大风险隐患、内控缺陷和合规管理等问题的，或虽发现但没有及时报告、处理，造成重大资产损失或其他严重不良后果的，要严肃追究主体责任及管控责任。

主要参考文献：

[1]汪净.基于风险防控理论的烟草行业多元化企业内控管理探讨[J].中国集体经济，2018，36：41-42.

[2]曹新平.中国互联网企业风险及内控管理研究[D]. 北京邮电大学.2009.

[3]程新生，趙旸，吴琼.多元化企业集团内部控制研究-德隆集团公司的启示与SSA集团公司的实践[J].会计研究，2018，11：77-84.

[4]魏娥. 基于内控视角下的基层商业银行操作风险管理研究及监管思考[D].西南财经大学.2011.

[5]胡馨元，李佩锦.ZXTX公司内部控制研究[J].国际商务财会，2020，（6）.