1.3 集团管控与风险管控的联动

风险管控的前提是公司治理和集团管控，集团管控模式分为战略管控型、财务管控型、运营管控型。集团管控模式与风险管控密切相关，直接影响企业的经营管理模式及策略，例如运营管控型的公司，一般采用垂直模式进行大管控，下属企业基本没有审计职能，这是运营管控型公司的特点。运营管控型公司的战略由集团总部统一制定，这样风险集中到了总部，下属公司在企业管理的时候很少涉及风险管理，更多地强调执行力及内部控制。这其实就需要把内控融入业务比较深，所以这样的下属公司在设立组织结构时设置内控法务部的比较多。

战略管控型的公司有一个业务特点是经营权下移、管控权上移。集团只管战略方向及全集团风险管控，经营权下移到下属公司，所以下移经营权的时候同时下移了业务风险。战略管控型公司的总部在设计组织架构时，风险管控职能部门通常叫作审计风险部。

很多大型集团公司虽然把风险、内控、审计三种职能放在一个部门里面，但是分配给不同的处室，不同处室之间对于风险、内控、审计一直在强调风险不归我管，归另外处室管理，又人为地把企业管控手段割裂了。由于风险、内控、审计三种手段对于具体业务上是一体化的，所以完全割裂的做法是错误的。

在集团公司中，内部控制的目标是合理保证集团公司及下属公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进集团实现发展战略。内部控制工作是由集团董事会、监事会、经理层和全体员工实施的，旨在实现集团公司及下属公司控制目标的过程。

在集团公司中，内部控制评价是在集团董事会领导下，由审计风险部门具体组织实施，对集团公司及下属公司内部控制的有效性进行全面评价、形成评价结论，并出具评价报告的过程。内部控制评价是集团内部控制体系的重要组成部分，是集团公司对管理活动实施监督的重要手段，是内部管理提升的重要推动力，是满足监管机构对内部控制有效性要求的重要途径。

目前，中国企业在跨越式成长过程中，风险管理、内部控制不可避免地会暴露出一些问题。

一是决策支持层面。高层管理者缺乏风控意识，导致无法获得充分信息以支持其进行决策；缺乏对风险的量化分析，影响公司应对风险所需的管理资源分配；难以实时、动态地把握企业风险状况以便各层级风险应对负责人及时应对。

二是风险管控职能层面。业务流程层面的内部控制要素维护、风险评估、控制识别、有效性检查评价等均需要手工完成，效率和效果难以保证；内部控制流程、风险应对措施、监督评价结果没有有效地与业务指标相结合，难以融入日常业务运作；信息来源、格式、口径、版本不统一，数据、信息分散，难以有效利用。

三是业务单元风险管理执行层面。各业务单元在风险识别、评估、应对及内控流程优化过程中缺乏统一的沟通与协作平台，难以实现多口径信息共享；各业务单元直接参与风险管理及内控优化工作仍主要局限于风险管理或内部控制联系人，控制负责人的参与程度不够广泛；报告渠道不清晰，内部信息沟通不畅。

评价一个企业内部控制体系是否完善，并不是报告出得多漂亮，而是在执行过程中有没有问题。现在很多企业都是持续风险管控投入和风险事件频发并存，这就是内部控制没做好的体现。体现最明显的就是近几年在金融行业IT系统领域，由于IT审计发展跟不上时代潮流，导致各金融企业系统风险事件频发。比如光大证券乌龙指事件，就是典型的业务凌驾于管控之前，导致内部控制失效的案例。

从三鹿集团三聚氰胺事件到东南融通的成本欺诈倒闭，一个企业发生风险事件不可怕，关键是处理风险的态度和有无危机公关处理能力。在经济全球化的大环境下，我们开始逐步走出去，进行国际化，这给中国企业带来了新的挑战，而中国企业转型升级的必然之路就是风险管控。

面对以上问题，传统的集团管控模式及风险管控方法已经变得束手无策。将企业管控、风险管控与企业大数据高度融合，形成一套在大数据环境下，新型的、有效的风险管控落地模式，才是集团公司风险管控解决之道。