全面風險管理視角下PL公司內(nèi)控體系建設(shè)

候忠艷

PL公司是B汽車集團下屬的汽車經(jīng)銷商集團公司，在全國有近百家合資汽車經(jīng)銷店。面對眾多分散各地的合資經(jīng)銷店，PL公司所面臨的經(jīng)營、財務(wù)等風險錯綜復雜。為了有效管理企業(yè)風險，PL公司在開展全面風險管理工作的基礎(chǔ)上，梳理了經(jīng)銷店的業(yè)務(wù)風險和流程缺陷，形成《內(nèi)控缺陷整改表》，繼而組織各部門修訂制度、編寫權(quán)限指引表和流程圖，輸出《內(nèi)控手冊》。通過風險排查、風險巡檢及內(nèi)部審計等工作的開展，推動內(nèi)部控制整改，全面提升公司的內(nèi)控管理水平，為組織目標的達成提供有力保障。

近年來，新能源汽車快速崛起，經(jīng)營模式從銷售導向轉(zhuǎn)為用戶體驗導向，其傳統(tǒng)的盈利點正在快速消失，這對傳統(tǒng)汽車經(jīng)銷商來說無疑是雪上加霜。此時，基于風險導向的內(nèi)部控制對保證企業(yè)可持續(xù)發(fā)展尤為重要。本文意在通過對公司的全面風險管理分析，針對性地探討風險導向的內(nèi)控體系建設(shè)方法，為加強企業(yè)競爭力提供保障。

全面風險管理與內(nèi)部控制的概念及相互關(guān)系

全面風險管理與內(nèi)部控制的概念 企業(yè)風險管理是一個動態(tài)控制過程，它是由一個主體的董事會、管理層和其他人員共同參與實施的過程，應用于戰(zhàn)略制定并貫穿于企業(yè)各個部門及各項經(jīng)營活動中，用于確定可能影響企業(yè)的潛在事項，使影響控制在企業(yè)的可承受范圍內(nèi)，并為主體目標的實現(xiàn)提供合理保障。

全面風險管理與內(nèi)部控制的關(guān)系 全面風險管理很大程度上關(guān)系到企業(yè)經(jīng)營目標的落實情況，需要企業(yè)董事會、管理人員以及基層員工共同參與，將部分影響到企業(yè)經(jīng)營目標達成的潛在因素發(fā)掘出來，同時根據(jù)企業(yè)的風險偏好，實施風險管控，以確保經(jīng)營目標的實現(xiàn)。全面風險管理工作可劃分為經(jīng)營目標制定、風險評價以及風險控制等階段，各階段互相關(guān)聯(lián)與協(xié)作，貫穿企業(yè)整體生產(chǎn)經(jīng)營過程始終。

全面風險管理與內(nèi)部控制同屬公司治理工具，二者既相互獨立又緊密相連。具體表現(xiàn)為：第一，全面風險管理涵蓋了內(nèi)部控制。風險管理框架涵蓋了內(nèi)部控制框架的全部內(nèi)容。內(nèi)部控制作為其子系統(tǒng)之一，是風險管理框架的基礎(chǔ)和核心。全面風險管理的四個目標包含了內(nèi)部控制的三個目標；八個管理要素包含了內(nèi)部控制的五要素，全面風險管理與內(nèi)部控制的管理主體一致，是對內(nèi)部控制的拓展和延伸。加強內(nèi)部控制是提升企業(yè)風險管理水平的重要工作。第二，內(nèi)部控制是全面風險管理的核心內(nèi)容。企業(yè)風險存在于生產(chǎn)經(jīng)營的各個環(huán)節(jié)，而內(nèi)部控制是通過全方位描述關(guān)鍵控制點、建立過程控制體系而形成的管理規(guī)范，為風險管理的重要手段。第三，全面風險管理和內(nèi)部控制的邏輯框架一致。全面風險管理為構(gòu)建風險導向的內(nèi)部控制體系提供了方向，風險識別與分析是建設(shè)內(nèi)部控制體系的前提。隨著業(yè)務(wù)的發(fā)展、環(huán)境的變化，企業(yè)面臨的重大風險也在動態(tài)變化，促使內(nèi)部控制體系不斷擴大其外延。構(gòu)建內(nèi)部控制和全面風險管理體系都是系統(tǒng)性的動態(tài)過程，都需要對公司管理體系進行整合。

全面風險管理與內(nèi)部控制一體化建設(shè)的意義

從內(nèi)部控制視角來看，主要從組織控制、人事控制、財務(wù)控制等方面把握企業(yè)人、財、物的控制。而從全面風險管理視角來看，各流程控制都是實現(xiàn)風險管理的重要基礎(chǔ)和核心內(nèi)容。全面整合風險管理與內(nèi)部控制，推進一體化的風險管理及內(nèi)部控制工作，有助于資源協(xié)同、提升企業(yè)管控效率，為企業(yè)目標的達成提供有力保障。全面風險管理與內(nèi)部控制二者之間聯(lián)系緊密、目標一致，如能將內(nèi)部控制方法與風險管理工作全方位融入一體化管理，將有助于提升風險管理效率，促進風險管理與控制體系協(xié)同，主要表現(xiàn)在以下幾個方面。

首先，一體化推進全面風險管理工作和內(nèi)部控制體系建設(shè)，有助于整合組織內(nèi)部資源，加強團隊成員的專業(yè)性，從而為管控效率的提升助力。其次，一體化建設(shè)有助于強化風險管理與內(nèi)部控制的互補性。企業(yè)內(nèi)部控制與風險管理主要針對企業(yè)的發(fā)展目標做出正確的識別和分析，并制定相應的應對預案。內(nèi)部控制為員工行為設(shè)置了準則，并通過內(nèi)、外部風險分析和研判，對流程各環(huán)節(jié)進行防控設(shè)計，防止因制度缺失造成經(jīng)營損失。而風險管理離不開良好的內(nèi)部控制體系，良好的內(nèi)部控制可以減少風險發(fā)生的可能性，兩者不能獨立運行。最后，一體化建設(shè)有助于發(fā)揮各自優(yōu)勢，提升管控效果。目前，我國大部分公司在風險管理制度和內(nèi)控體系設(shè)置上缺乏合理性與協(xié)調(diào)性，制度層面的可操作性不強。單一的風險應對策略往往流于形式，難以發(fā)揮風險管理的作用。同時，大部分企業(yè)的內(nèi)部控制則與風險防范脫節(jié)，缺乏完善的規(guī)避流程與明確的內(nèi)控標準，無法為風險管理提供有效的支持，某種程度上降低了風險管理效果。而整合二者工作，則有助于發(fā)揮兩個體系的優(yōu)勢，發(fā)現(xiàn)整合中出現(xiàn)的問題并及時采取補救措施，從而消除各自為戰(zhàn)的弊端。

PL公司全面風險管理與內(nèi)部控制現(xiàn)狀及問題

風險管理的現(xiàn)狀及問題 PL公司是B汽車集團下屬的汽車經(jīng)銷商集團公司，在全國有近百家合資汽車經(jīng)銷店。眾多分布各地的合資經(jīng)銷店，對PL公司的風險管理以及對經(jīng)銷店的管控提出了更高的要求，導致PL面臨眾多的風險管理和內(nèi)部控制缺陷。第一，風險意識不足，風險管理工作滯后于業(yè)務(wù)的增長速度。近年來，PL公司經(jīng)歷了一個快速發(fā)展的階段，無論是公司業(yè)態(tài)還是子公司的數(shù)量都發(fā)生了巨大的變化，營業(yè)收入也有了質(zhì)的飛躍。但業(yè)務(wù)流程控制及風險管理工作遠遠滯后于業(yè)務(wù)本身的發(fā)展，較多的業(yè)務(wù)流程缺乏制度控制和日常監(jiān)督，風險管理工作薄弱。第二，治理體系不健全，造成管控力度不足。完善的公司治理體系是公司風險管理的基礎(chǔ)和保障，因PL公司在治理體系方面尚缺乏完善的制度、規(guī)則，人員配置不足，這些不利因素導致了治理體系的不健全，無法為公司風險管理提供有效的保障，這也是PL公司對其下屬合資經(jīng)銷店、控股公司管控力度偏弱的重要原因。第三，未開展系統(tǒng)性的風險評估工作，缺乏風險預警機制。PL公司未能對各業(yè)務(wù)流程開展系統(tǒng)性的風險梳理和識別，也就未能進行系統(tǒng)的評估工作，導致風險控制與監(jiān)督缺乏方向，無法及時有效地對風險事件進行預警，風險管理已經(jīng)成為公司發(fā)展的重要制約因素。第四，風險管理的組織機構(gòu)不完善，部門職責不清晰。公司風險管理體制問題比較突出，人員方面，缺乏專業(yè)的風險管理人員來進行風險管理，雖然設(shè)立了風險管理職能，但仍主要依賴上級單位的指導開展工作，風險管理的主體并不明確。部門職責方面，公司內(nèi)部各部門、各崗位在風險管理方面的工作責任、工作流程等界定不清晰，制約了風險管理工作效率的提升。

內(nèi)部控制的現(xiàn)狀及問題 第一，缺乏系統(tǒng)性的內(nèi)部控制建設(shè)，無法形成高效全面的內(nèi)部控制力量。風險管理與內(nèi)部控制割裂，無法形成管控合力。公司的內(nèi)部控制體系化建設(shè)不足，未能形成完善的內(nèi)控體系，更談不上內(nèi)部控制與風險管理的有機整合，表現(xiàn)在內(nèi)部控制力度弱、控制點“留白”多，各類風險事件層出不窮。第二，內(nèi)部控制環(huán)境欠佳，不利于對業(yè)務(wù)流程及下屬合資經(jīng)銷店的管控。公司員工缺乏內(nèi)控培訓，風險管理意識薄弱，企業(yè)文化中內(nèi)部控制文化不足。內(nèi)部控制仍停留在財務(wù)層面，未能全面對業(yè)務(wù)流程進行內(nèi)部控制有效性評估和完善。第三，信息化程度低、缺乏專業(yè)人員。公司對信息化投入不足，信息系統(tǒng)主要為財務(wù)系統(tǒng)和ERP系統(tǒng)，在數(shù)據(jù)質(zhì)量方面存在嚴重的控制缺陷，導致各類經(jīng)營數(shù)據(jù)的采集時常出現(xiàn)各種錯漏，無法為經(jīng)營決策提供可靠的參考依據(jù)。因缺乏專業(yè)的風險管理、內(nèi)部控制和內(nèi)部審計人員，導致監(jiān)督控制力量弱，無法做到全流程監(jiān)督與控制。

PL公司全面風險管理視角下的內(nèi)部控制體系建設(shè)思路及方法

確定全面風險管理視角下的內(nèi)部控制體系建設(shè)思路 首先，全面梳理主要業(yè)務(wù)流程中的風險，確定全面風險管控體系實施的方案。PL公司系統(tǒng)性地梳理風險管控組織機構(gòu)，強化公司治理體系，明確各職能部門及所屬企業(yè)職能職責。并根據(jù)風險分類，明確重大經(jīng)營風險管控的六項機制及具體管理要求。在此基礎(chǔ)上，制定《全面風險管控體系實施方案》，完成公司《重大經(jīng)營風險管理辦法》的制定。并且，在全面梳理風險的過程中，通過培訓、案例教學等方式全面提升公司人員的風險管理意識。其次，通過方案的落地實施，初步搭建PL公司內(nèi)控流程體系框架，完成各級流程對應的《內(nèi)控矩陣》，且同步梳理《內(nèi)控缺陷整改表》，組織各部門編寫權(quán)限指引表和流程圖，完成各級流程權(quán)限指引。再次，在完成搭建內(nèi)控流程體系框架、內(nèi)控矩陣、權(quán)限指引表和流程圖的基礎(chǔ)上，完成內(nèi)控手冊的編制，并進一步制定完善內(nèi)控管控制度和流程，內(nèi)容應涵蓋治理架構(gòu)、組織架構(gòu)以及各業(yè)務(wù)模塊管理等全領(lǐng)域建設(shè)。最后，在信息化方面，引進專業(yè)人員，并根據(jù)實際需求進行財務(wù)、道閘、門禁、人資、采購等信息系統(tǒng)建設(shè)，逐步開發(fā)BI看板系統(tǒng)，在信息化方面做到事前管控、實時追蹤。

全面風險管理視角下的內(nèi)部控制體系建設(shè)方法 首先，根據(jù)梳理出的重大經(jīng)營風險針對性地摸排整改。其次，PL公司明確內(nèi)控管理牽頭部門，搭建內(nèi)控流程體系框架，梳理《內(nèi)控缺陷整改表》，組織各部門及所屬企業(yè)編寫權(quán)限指引表和流程圖，完成各級流程權(quán)限指引控制，輸出《內(nèi)控手冊》，形成系統(tǒng)的內(nèi)部控制管理體系。最后，充分發(fā)揮各職能模塊的監(jiān)督管理職能，組織審計、財務(wù)、人力、行政及銷售、售后等部門，針對發(fā)現(xiàn)的管理問題點進行內(nèi)控流程再造，不斷提升內(nèi)控管理水平。

通過全面風險管理下的內(nèi)部控制體系建設(shè)，PL公司對重大經(jīng)營風險進行了有效管控，日常經(jīng)營中的風險也得到了有效控制。風險巡查和內(nèi)部審計等方式推動了內(nèi)控體系的建設(shè)，形成了PDCA管理閉環(huán)，持續(xù)提升了公司的風險管理和內(nèi)部控制能力，為組織績效目標的達成提供了有力保障。隨著汽車行業(yè)電氣化的深度發(fā)展，無論是盈利模式還是行業(yè)動態(tài)，都在發(fā)生著深刻變化，汽車經(jīng)銷商集團正面臨著前所未有的變局。面對這樣的競爭局面，只有苦練內(nèi)功，強化風險管理和內(nèi)部控制，緊跟市場發(fā)展步伐不掉隊，才能在激烈的競爭環(huán)境中生存下來。因此，全面風險管理下的內(nèi)控體系不是一成不變的，需要緊跟業(yè)務(wù)發(fā)展變化持續(xù)完善。

（作者單位：北京伊諾盛北廣廣告有限公司）