随着市场经济的深入发展，企业特别是大型企业集团公司在市场竞争和生产经营过程中，面临多种形式风险的挑战，如安全生产风险、筹资风险、投资风险、价格风险、汇率风险、技术风险、质量风险、环保风险、政策风险等。风险是降低企业盈利能力的重要因素。风险大部分是可控的，即使非控风险企业也应该有预案和措施，尽量控制风险的发生对企业的损害。风险存在是必然的，同时，大部分风险是企业通过加强管理可以控制和化解，甚至成为企业一次重要的发展机遇。鉴于此，在企业集团内部控制设计过程中应该全面考虑，认真梳理业务流程，完善企业内部控制设计，强化执行，从而建立流程清晰、制度严密、权责明确、运行有效、安全可控的内部控制规范。

一、优化流程强化管理，降低内部控制的制度缺失风险

在设计企业内部控制框架过程中，要做的主要工作就是业务流程写实，通过业务流程写实，与管理人员和技术人员及流程中实际操作人员讨论，如何优化流程，目标是让流程更简单，信息传递快速准确，制衡有效。企业的流程实际上就是物流、信息流和资金流三者的结合。物流如何流动和传递，物流在源源不断的传导过程中，对物流起到控制作用的人员处于何种状态，人员对物的质量、数量起到何种作用，同时又是如何传递信息的，通过物的状态信息，又要掌握与物相关的资金占用及流动信息，让三者达到协同有效可控，应该可以说明企业的内部控制是有效的。

在业务流程的整理过程中，应该重点发现重点环节中人员是否规范操作和执行，认真听取客户的回访信息，发现存在的问题，整理流程中的缺陷。如，客户投诉物品损坏，就要分析在哪个环节出现的，接件员包装未按照规范要求处理、发运违禁物品，分拣员未按照分拣规范操作造成损害，运输途中出现事故还是运输中未按照要求摆放造成挤压，派件员未按照规定时间送达造成物品品质下降、运送过程挤压损害等等。通过分析，强化监控流程中人员的规范操作，就能够达到客户的满意度，避免纠纷，节约费用支付，提高货单盈利能力。

那么，要达到这样的目标，物流、信息流、资金流三者要在操作人员的规范服务中体现出来，让业务透明清晰，责任追查和奖励制度完善，才会避免因业务流程监控的缺失造成客户损害和企业损害，避免直接的质量风险、信用风险、支付风险、客户流失等生产经营风险。

二、强化执行力贯彻关注内部控制规范的执行风险

实际上，风险的发生，往往并非制度不健全，因制度不健全而发生的风险是存在的，或者说仅能发生在具体操作人员造成局部危害。企业面临最大的风险在于有章不循。企业高管决策失控，高管层集体盲从市场表象，忘记了风险的存在，或者知道风险的存在，而过度降低风险发生的概率。缩小风险发生的可能性，高估收益实现的可能性。出现了控制规范在执行上没有得到贯彻，而是失效。例如煤炭行业，现在的市场的价格低迷就是过去投资产能盲目扩张风险的释放，这种风险的释放对企业造成实质性损害。这种损害产生于投资的扩张，产能的放大，整个行业在煤价高涨期处于亢奋之中，盲目投资，对能源的不可再生性和巨大需求的预测，过于乐观的估计了未来，投资耗尽了企业积累的财富，当市场低迷时投资不能获取真正的回报，甚至可能是企业无法填补的巨大经营缺口，造成经营活动出现整体亏损，在较短的时间内就会造成资金链的断裂，企业处于危险之中，甚至破产、被兼并的风险随之而来。

企业的某个风险失控有可能造成全面的风险侵袭，如环保风险、安全风险、质量风险、偿债风险、投资风险，仅仅一个风险的发生，如果性质较重，就会产生连锁反应，触发所有风险爆发。因此，企业的经营决策者应当小心翼翼地遵守市场规则，时时刻刻提防风险的发生，极力控制风险。例如在市场高涨期，应当恪守主业，出售辅业，极力做到主干精简高效，主营业务清晰明了，做企业最擅长的事情，为市场的转向做好充足的准备;在市场出现萎缩时，应当控制投资规模，全力收缩，同时控制资金的支出，严控成本，做好最坏的情况的发生，积极突破市场，本着内收外展的思路。在企业最困难时，如果仍有资金和能力，应该购置资产或资源，为市场需求的反弹做好准备。总的来讲，风险是大家厌恶的，但是企业要极大的顺应市场的变化规律，提前做到逆向套保操作，控制整体风险的最小化，这就需要企业尤其是高管层，严格遵守企业内部控制规范，企业即使是高速发展时，也要保持安全的速度。风险的降临，主要来自于投资的盲目与失败，犹如一个装满水的水桶在底部发生断裂，水流出去了，没有新的水源补充，会消耗掉所有的资源。企业的每一个投资，必须要经过周密的考察，详细的分析，决不可贸然行事。因为投资的项目代表企业的未来发展，未经调研而投向错误的未来，企业失败就是一种必然。有一种观点认为，决策应该迅速，市场机会一闪即逝。但这种理念实际上犹如博弈小概率事件，而失败是一种必然。因此，只有企业的全体员工，全部认真遵守内部控制规范，企业才会安全，或者说，风险发生的可能性较小，整体风险处于最小值，企业虽有风险侵蚀，但不会出现较大的风险冲击。

三、简化流程明确利益强化责任风险

内部控制规范建立起来后，一是要紧密跟随情况的变化，进行及时的调整。二是要流程简化，是规范得到彻底贯彻的基础。简明扼要、简单实用是内部控制规范的生命力。过于繁琐的流程，虽然制衡多了，但是由于参与的人员多了，就会出现责任推诿，争取各自利益。内部控制规范设立的目的就是防范风险，通过控制风险，明确决策者、参与者的利益，在自己的利益得到保障之后，参与者要为其所做出的行为担负责任。当责任风险明确后，参与者需要慎重自己的行为，因为自己的行为是有责任成本和责任风险的。用规范的制度约束参与者的执行状态和执行目的。例如，企业中的投资活动，公司经理层依据现实情况提出某项投资，董事会决定是否立项，董事会应当严格按照规范进行前期的可行性分析，同时，分析应该具体详细，基础数据真实可靠，不要过分相信外部机构出具的报告，更多依赖董事会成员的自我分析，外部的分析会受到某个人的意图而做出有偏差的估计，同时，多听取大家的意见，赞成与反对在辩论中会增加项目成功的概率。如果一个投资项目在大家盲从或屈服于某个人的情况下，失败的概率会加大。如果一项投资活动经过认真的研究分析，在不同意见的相互交流中达成一致，也可以说项目未来的风险得到了有效控制，而且，责任更加清晰，承担责任方会倍感压力，从而使决策更加科学民主。

四、加强内审强化监督防控职业舞弊风险

制度存在了，被执行了，但其执行的效果如何，是否能够得到有效的控制，制度是否存在漏洞而被利用，是否存在某个人或环节的舞弊，甚至是较长链条的舞弊?上述问题的发现，需要借助于内部审计对内部控制规范的整体合理性、运行的有效性和效益性进行审计评价和测试。内部审计的任务就是进行风险与价值均衡性的管理。内部审计从经济性、效率、效果关注整体资源的使用情况，同时也是对企业信息系统的审计。前面所述物流、资金流和信息流是一个整体行为的三种独立表达方式，通过验证物流、资金流和信息流之间的关系，从而验证公司信息系统是否为报表编制提供可靠的信息，是否有有效的内控制度降低错报、漏报的风险。同时，内部审计可以开展项目审计，对具体特定项目进行审计，鉴定项目的目标是否能实现，项目是否按计划有效的运行，并从运行项目失败教训中总结经验等。对会计信息系统进行复核控制，检查编制财务报表的财务记录与支持文件，以减少错误与舞弊事件的发生;对财务数据进行趋势分析等。拓展内部审计的范围，开展经营审计，可以对采购、市场营销、人力资源等经营部门开展经营审计，检查与复核内部控制的有效性，提出可以进一步提高业绩与改善管理的建议与对策等，从而对内部审计的效果做出正确评价。内部审计部门通过调阅不同的业务数据，相互比对和验证进行舞弊风险的分析，对业务运行和决策行为的效益和效果做出客观评价。

通过上述分析，企业内部控制规范的建立就是用来应对风险的，在大型企业集团风险控制规范的设计过程中，要充分估量风险，并给予足够的重视，即制度完整性风险、制度执行贯彻的风险、权利和责任分配的风险、防止职业舞弊风险。通过完善制度优化流程避免制度缺失的风险，做到有规可循。有了规范的制度，应该考虑制度是否得到了全面有力的贯彻，否则它也仅仅是一个制度，而实际流程仍然如往，这就要求有制度就必须严格执行，如果有不合理的因素存在，就集合意见调整规范的内容，决不允许制度未变执行已变的状态，因为只要有这样的情况存在，制度就会重新复原为虚无，失去了存在的意义。同时，在内部控制规范制度设计过程中应该考虑责任和权利的分配，赋予权利承担相应的义务，权责明晰，设置责任红线。通过加强内部审计，进行评价分析，全面检测内部控制规范的安全、有效运行，为控制企业面临的各种风险竖起一道道防护盾牌。