內(nèi)控、風險、合規(guī)、審計關(guān)系

1019頁20232023收官之作：馮萌.王凱|企業(yè)內(nèi)控、內(nèi)審、風險管理與合規(guī)關(guān)系辨析——基于一家企業(yè)極簡進展史的探討〔轉(zhuǎn)〕一、問題的提出”當前，在企業(yè)內(nèi)外部環(huán)境的共同作用之下，“內(nèi)控”、“內(nèi)審”、“風險”當前，在企業(yè)內(nèi)外部環(huán)境的共同作用之下，“內(nèi)控”、“內(nèi)審”、“風險治理”和“合規(guī)”作為一項治理活動或者作為具體部門，已在各類企業(yè)中頻 繁消滅。與此同時，這些概念的范疇、相互關(guān)系以及在企業(yè)中如何實踐，業(yè)已引發(fā)了廣泛爭論。我們認為，繁消滅。與此同時，這些概念的范疇、相互關(guān)系以及在企業(yè)中如何實踐，業(yè)已引發(fā)了廣泛爭論。我們認為，對于這些問題的爭論不應脫離企業(yè)進展過程中所產(chǎn)生的內(nèi)在治理需求，因此我們不妨從一家企業(yè)的進展史的視角開放爭論。我們 給這家企業(yè)起名為 K企業(yè)，并且給這家企業(yè)安排一位創(chuàng)始人、股東、老 板兼總經(jīng)理——板兼總經(jīng)理——Z〔按出場先后挨次排列〕AK企業(yè)內(nèi)控部負責人BAK企業(yè)內(nèi)控部負責人BK企業(yè)內(nèi)審部負責人CK企業(yè)風險治理部負責人DK企業(yè)合規(guī)部負責人請留意，這只是一個高度簡化的例如。二、K企業(yè)的極簡進展史如中國大多數(shù)企業(yè)一樣，K企業(yè)也經(jīng)受了從無到有、從小到大、從簡單到簡單的進展歷程，并最終成為一家涉足餐飲、金融等行業(yè)的企業(yè)集如中國大多數(shù)企業(yè)一樣，K企業(yè)也經(jīng)受了從無到有、從小到大、從簡單到簡單的進展歷程，并最終成為一家涉足餐飲、金融等行業(yè)的企業(yè)集團。第一階段：第一階段：K企業(yè)創(chuàng)立，Z先生幾乎掌控一切Z先生做快餐餐廳起家，第一家餐廳的收銀兼出納是自己的一位親戚，后廚、效勞員 5-6個，從原料選購、裝修、菜單設(shè)計都是Z先生做快餐餐廳起家，第一家餐廳的收銀兼出納是自己的一位親戚，后廚、效勞員 5-6個，從原料選購、裝修、菜單設(shè)計都是Z先生自己負責。甚至廚師忙不過來時， Z先生自己也會去炒兩個菜，這些里里外外都是自己張羅。會計是找的代賬公司幫著記賬。由于自己菜品有些漸漸地，每天客戶訂餐量巨大， Z先生每天光菜市場都要跑好幾次，覺察自己忙不過來了，Z先生意識到目前的治理模式已經(jīng)不行了。特色，而且真材實料，生意始終不錯。甚至四周寫字間的公司特地在這 里定了員工餐，生意越來越好。 漸漸地，每天客戶訂餐量巨大， Z先生每天光菜市場都要跑好幾次，覺察自己忙不過來了，Z先生意識到目前的治理模式已經(jīng)不行了。其次階段：K企業(yè)初具規(guī)模，Z先生開頭進展分權(quán)、明確職責分工、其次階段：K企業(yè)初具規(guī)模，Z先生開頭進展分權(quán)、明確職責分工、開頭建章立制，Z先生也開頭從親力親為轉(zhuǎn)向監(jiān)視評價，系統(tǒng)化企業(yè)內(nèi)控顯現(xiàn)，并建立了特地的內(nèi)控部門。K企業(yè)生意持續(xù)火爆，躊躇滿志的Z先生打算擴大經(jīng)營。Z先生開頭聘請包括選購人員、財務人員在內(nèi)的專業(yè)人員。與此同時，飯店大廚和 核心骨干分別入股，引入外部投資人，在將來一年連續(xù)開了三個分店， 為了實現(xiàn)集中治理，為了實現(xiàn)集中治理，Z先生組建了治理總部。分店建立后，分店建立后，Z先生有了問題：他覺察，老店還好，大家都生疏。店他雖然關(guān)注很多，但是常常出錯。不是上錯菜，就是客戶投訴，總之每天都有的問題。最讓他感到頭疼的是，分店的現(xiàn)金流水狀況總是不放心，可是又不知道如何去管。他就派人去其他品牌餐飲店臥底，發(fā)現(xiàn)這些各個分店出品都差不多，而且人進入后很快就能上手，緣由在現(xiàn)這些各個分店出品都差不多，而且人進入后很快就能上手，緣由在于不管分店數(shù)量多少，都在一個統(tǒng)一治理標準下經(jīng)營運行。受到觸動，于不管分店數(shù)量多少，都在一個統(tǒng)一治理標準下經(jīng)營運行。受到觸動，Z先生在外部詢問機構(gòu)的幫助下， K企業(yè)相關(guān)治理制度逐準時上交總部，選購資金與費用等再定期撥付；在質(zhì)量治理方面，組建了特地的質(zhì)控部門，編制了標準化的質(zhì)量治理手冊；在信息化方面，K企業(yè)購置了一套小型信息系統(tǒng)并順當上線。K企業(yè)進展到現(xiàn)在，內(nèi)控作步建立起來，例如：分店財務治理模塊，通過總部集中招募財務經(jīng)理， 準時上交總部，選購資金與費用等再定期撥付；在質(zhì)量治理方面，組建了特地的質(zhì)控部門，編制了標準化的質(zhì)量治理手冊；在信息化方面，K企業(yè)購置了一套小型信息系統(tǒng)并順當上線。K企業(yè)進展到現(xiàn)在，內(nèi)控作為一種內(nèi)在機制，在 K企業(yè)已逐步建立起來。治理運作起來后，開頭還很順暢，但是餐飲行業(yè)人員流淌快，餐飲品類不斷增加，對治理制度進展持續(xù)更改進的要求越來越迫切。但由于制度治理相關(guān)權(quán)限〔典型權(quán)限包括具體制度誰來編制？誰來審批？誰來宣貫？誰來監(jiān)視？等〕模糊、制度編寫標準不統(tǒng)一，治理制度自身越來治理運作起來后，開頭還很順暢，但是餐飲行業(yè)人員流淌快，餐飲品類不斷增加，對治理制度進展持續(xù)更改進的要求越來越迫切。但由于制度治理相關(guān)權(quán)限〔典型權(quán)限包括具體制度誰來編制？誰來審批？誰來宣貫？誰來監(jiān)視？等〕模糊、制度編寫標準不統(tǒng)一，治理制度自身越來越混亂。不僅如此，各部門之間常常會為自己的利益對制度流程發(fā)生爭 論，甚至吵到總經(jīng)理辦公室， Z先生焦頭爛額。ZZ組建專業(yè)化的內(nèi)控部門A控部門負責人。A先生思維縝密并擁有多年的企業(yè)流程治理閱歷，對于內(nèi)控部門工作的開展，控部門負責人。A先生思維縝密并擁有多年的企業(yè)流程治理閱歷，對于內(nèi)控部門工作的開展，A先生提出了如下觀點：1)企業(yè)治理制度必需由內(nèi)控部門來進展統(tǒng)籌，實行統(tǒng)一的分級分類標準，治理制度的公布/修訂/廢止必需經(jīng)過內(nèi)控部門的審核；2)內(nèi)控部門應當充分參與各類制度專業(yè)爭論，充分發(fā)表專業(yè)意見；2)內(nèi)控部門應當充分參與各類制度專業(yè)爭論，充分發(fā)表專業(yè)意見；3)內(nèi)控部門應持續(xù)組織開展企業(yè)制度評價工作，進展風險識別和評3)內(nèi)控部門應持續(xù)組織開展企業(yè)制度評價工作，進展風險識別和評價，以推動治理制度持續(xù)優(yōu)化。Z價，以推動治理制度持續(xù)優(yōu)化。Z先生對A先生的觀點表示贊同，鼓舞A先生盡快開展工作，盡早顯著提升，各部門之間的連接更加順暢、有效。更重要的，重大風險得到準時識別和應對，Z先生的治理壓力明顯降低。成為企業(yè)的“制度大管家”。事實證明，A先生專業(yè)度很不錯，在其負責的內(nèi)控部門的持續(xù)努力之下，K企業(yè)的制度系統(tǒng)性、標準性和科學性得到顯著提升，各部門之間的連接更加順暢、有效。更重要的，重大風險得到準時識別和應對，Z先生的治理壓力明顯降低。第三階段：K企業(yè)規(guī)模持續(xù)擴大，第三階段：K企業(yè)規(guī)模持續(xù)擴大，Z先生覺察自己已看不過來，打算安排人特地負責檢查，內(nèi)審正式登場。隨著業(yè)務規(guī)模逐步擴大，K企業(yè)已經(jīng)進展到 10家分店，分布于 3個Z先生覺察盡管整體經(jīng)營還不錯，但有兩家分店總在虧錢，卻不知道什么緣由。有朋友建議他應當找審計人員檢查一下。在找外部審計機構(gòu)和建立內(nèi)審部門之間，經(jīng)過認真思考權(quán)衡，Z先生打算為了企業(yè)長應組建自己的內(nèi)審部門。通過專業(yè)獵頭，Z先生找到了B先生。B先生之前在另一家知名餐飲企業(yè)集團擔當審計部負責人，因全家遷往B先生之前在另一家知名餐飲企業(yè)集團擔當審計部負責人，因全家遷往本市，因此需要選擇的企業(yè)就業(yè)。B先生在了解了K企業(yè)是建內(nèi)審部門及其他相關(guān)根本狀況之后，對Z先生提出了如下幾點要求：1)內(nèi)審部門負責人直接向1)內(nèi)審部門負責人直接向Z先生匯報，以確保其審計工作開展具有足夠的獨立性和權(quán)威性；2)足夠的獨立性和權(quán)威性；2)K企業(yè)全部部門和崗位都納入內(nèi)審部門的審計范圍， 包括剛剛成立不久的內(nèi)控部門，其審計范圍不能受到任何形式的限制；33)關(guān)于內(nèi)審部門與內(nèi)控部門的關(guān)系，B先生表示內(nèi)控部門主要負責管理制度的建立，內(nèi)審部門主要負責檢查治理制度的執(zhí)行狀況，對制度設(shè)計不合理的地方，內(nèi)審部門也會提出；4)關(guān)于審計重點，內(nèi)審部門將獨立進展風險評估和制定，同時將充理制度的建立，內(nèi)審部門主要負責檢查治理制度的執(zhí)行狀況，對制度設(shè)計不合理的地方，內(nèi)審部門也會提出；4)關(guān)于審計重點，內(nèi)審部門將獨立進展風險評估和制定，同時將充分聽取Z先生的意見；5)內(nèi)審部門將受理并處理各類舉報。Z先生聽完5)內(nèi)審部門將受理并處理各類舉報。Z先生聽完B先生的要求，有點擔憂這樣設(shè)置內(nèi)審部門是否會引發(fā)內(nèi)部沖突，后來轉(zhuǎn)念一想，內(nèi)審部門原來就是監(jiān)視部門，引發(fā)沖突幾乎是必定的，也就承受了 B先生的要求。在Z先生的大力支持之下，以B在Z先生的大力支持之下，以B先生為首的內(nèi)審部門成立了。針對前面所提到的兩家分店存在的虧損問題，內(nèi)審部門比照企業(yè)內(nèi)部及競品企業(yè)營業(yè)數(shù)據(jù)，覺察這兩家店經(jīng)營本錢特別偏高，除了公司統(tǒng)一配送的主材外，其他當?shù)刈灾鬟x購的蔬菜等，比市場價格偏高。在此根底上，及內(nèi)審部門的工作格外滿足，之前的顧慮也漸漸被消除。在此之后，內(nèi)審部門對幾項治理頑疾進展了專項檢查， 在查明緣由之內(nèi)審部門經(jīng)過明察暗訪，覺察選購經(jīng)理有舞弊嫌疑，使用了自己親屬進行配送。Z先生在查閱了內(nèi)審報告之后，依據(jù)相關(guān)治理制度，馬上對相關(guān)人員進展了嚴峻懲罰，直接責任人被解除勞動合同。Z先生對B先生及內(nèi)審部門的工作格外滿足，之前的顧慮也漸漸被消除。在此之后，內(nèi)審部門對幾項治理頑疾進展了專項檢查， 在查明緣由之后提出了整改意見，并在內(nèi)控部門的協(xié)作之下對治理制度進展了優(yōu)化， 建立了長效機制。第四階段：第四階段：K企業(yè)向投資集團轉(zhuǎn)型，但投資及貸款業(yè)務風險頻發(fā)，Z先生打算安排專業(yè)人員集中治理投資及貸款風險， 風險治理部門消滅了。隨著隨著K企業(yè)在業(yè)內(nèi)的知名度越來越高，一些戰(zhàn)略投資人開頭與Z先生進展接觸，并且達成了注資意向。隨著戰(zhàn)略投資人資金的注入，Z生進展接觸，并且達成了注資意向。隨著戰(zhàn)略投資人資金的注入，Z先生意識到需要進入的業(yè)務領(lǐng)域，因此Z先生對K企業(yè)的組織架構(gòu)進展方向根本確定為興的非銀行金融行業(yè)及餐飲行業(yè)。在金融行業(yè)，K企業(yè)首先收購了一家小貸公司。然而，K企業(yè)的投資之路并不順當。一次是小貸公司在進展貸款審核了調(diào)整，將原有的餐飲業(yè)總部轉(zhuǎn)換成為投資平臺并啟動對外投資，傳統(tǒng) 餐飲業(yè)務以一個事業(yè)部的形式連續(xù)運營。經(jīng)過高層研討， K企業(yè)的投資方向根本確定為興的非銀行金融行業(yè)及餐飲行業(yè)。在金融行業(yè)，K企業(yè)首先收購了一家小貸公司。然而，K企業(yè)的投資之路并不順當。一次是小貸公司在進展貸款審核時，由于對債務人沒有進展充分的風險評估，一筆資金借出去后無法追 回。另一次是餐飲公司預備和一個合作方共同開發(fā)一個西餐品牌，在 投資前沒有對市場前景、合作方實力等進展有效投資風險評估，最終導投資前沒有對市場前景、合作方實力等進展有效投資風險評估，最終導致投資失敗。這時，Z先生已經(jīng)充分意識到金融業(yè)務及對外投資的風險跟他之前買致投資失敗。這時，Z先生已經(jīng)充分意識到金融業(yè)務及對外投資的風險跟他之前買菜做飯時所面臨的風險不行同日而語，再次陷入迷茫。Z先生組織團隊進展了行業(yè)比照，認為一些企業(yè)所實行的組建專業(yè)的風險治理部門來對這些風險進展集中治理是一條思路。但是，設(shè)部門不是件小事情，Z先生打算先征求一下內(nèi)控部負責人A先生的意見，并且特地詢問了就安排內(nèi)控部來行使專項風險治理的可行性。A先生問明Z先生來意，經(jīng)過認真思考提出了如下觀點：先生打算先征求一下內(nèi)控部負責人A先生的意見，并且特地詢問了就安排內(nèi)控部來行使專項風險治理的可行性。A先生問明Z先生來意，經(jīng)過認真思考提出了如下觀點：1)認同應當由專業(yè)部門對投資等重大風險進展特地治理的合理性；2)不建議由內(nèi)控部門來履行風險治理職能，主要理由：首先，內(nèi)控部門的核心職責是維護并且優(yōu)化全企業(yè)的治理制度體系，而不會介入到具體業(yè)務，而風險治理必需介入具體業(yè)務，否則難以實現(xiàn)風險掌握效果；具體業(yè)務，而風險治理必需介入具體業(yè)務，否則難以實現(xiàn)風險掌握效果；其次，在風險識別方面，內(nèi)控部門是組織相關(guān)部門進展全面的風險識別，而風險治理部門則需要聚焦特定重大風險并給出專業(yè)推斷，兩者的工作其次，在風險識別方面，內(nèi)控部門是組織相關(guān)部門進展全面的風險識別，而風險治理部門則需要聚焦特定重大風險并給出專業(yè)推斷，兩者的工作重點和專業(yè)要求都存在較大差異。Z先生雖然覺得這些事確實有點抽象，但基于對A先生專業(yè)度的信任，他打算先嘗試一下。經(jīng)人介紹， ZZ先生雖然覺得這些事確實有點抽象，但基于對A先生專業(yè)度的信任，他打算先嘗試一下。經(jīng)人介紹， Z先生打算招募 C先生作為部門負責人來組建企業(yè)風險治理部， C先生具有豐富的投資治理閱歷，對K企業(yè)所在行業(yè)也有深入理解。在正式履職之前，C先生與Z先生也有一次深入的溝通，結(jié)合之前的閱歷， C先生提出：1)風險治理部名稱含義比較模糊，因此必需清楚界定風險治理部所治理的風險范疇，現(xiàn)在看主要是投資風險及金融業(yè)務的貸款風險；2)風險治理部將集中于特定風險的識別、評價與應對，但這不能替代前端部門〔如投資治理部〕自身應履行的風險治理職責；3)風險治理部應充分參與相關(guān)制度流程〔如投資治理制度〕的制定；4)風險治理部應充分參與具體工程，充分獵取信息并具有實質(zhì)性的1)風險治理部名稱含義比較模糊，因此必需清楚界定風險治理部所治理的風險范疇，現(xiàn)在看主要是投資風險及金融業(yè)務的貸款風險；2)風險治理部將集中于特定風險的識別、評價與應對，但這不能替代前端部門〔如投資治理部〕自身應履行的風險治理職責；3)風險治理部應充分參與相關(guān)制度流程〔如投資治理制度〕的制定；4)風險治理部應充分參與具體工程，充分獵取信息并具有實質(zhì)性的治理權(quán)限；5)風險治理部有權(quán)對相關(guān)部門風險治理相關(guān)工作進展檢查和評價。C先生領(lǐng)導下的風險治理部一方面對相關(guān)治理制度進展了重大修訂，5)風險治理部有權(quán)對相關(guān)部門風險治理相關(guān)工作進展檢查和評價。C先生領(lǐng)導下的風險治理部一方面對相關(guān)治理制度進展了重大修訂，對可研、盡調(diào)、過會等關(guān)鍵環(huán)節(jié)的制度要求進展顯著優(yōu)化，另一方面直接介入工程盡調(diào)、評審等工作，促使風控措施真正落地?；陲L險治理部專業(yè)工作，Z先生準時拒絕、終止了幾個高風險工程，避開了損失。第五階段：外部合規(guī)壓力激增，第五階段：外部合規(guī)壓力激增，Z先生意識到法律法規(guī)紅線是碰不得的，打算集中力氣搞合規(guī)，合規(guī)部門消滅了。隨著的，打算集中力氣搞合規(guī)，合規(guī)部門消滅了。隨著K企業(yè)業(yè)務規(guī)模及業(yè)務范圍的進一步擴大〔除了傳統(tǒng)餐飲和非銀求越來越細，特別是最近幾次檢查，檢查組都提出了措辭嚴峻的合規(guī)問題。不僅如此，Z先生還目睹了一些同行由于合規(guī)問題最終關(guān)門大吉甚至惹上官司的事例。作為企業(yè)的法定代表人，Z先生格外緊急。對于Z行金融行業(yè)，K企業(yè)還涉足了中心廚房，涉及食品加工企業(yè)〕， Z先生求越來越細，特別是最近幾次檢查，檢查組都提出了措辭嚴峻的合規(guī)問題。不僅如此，Z先生還目睹了一些同行由于合規(guī)問題最終關(guān)門大吉甚至惹上官司的事例。作為企業(yè)的法定代表人，Z先生格外緊急。對于Z先生而言，各類監(jiān)管文件如同天書，一時間 Z先生又沒了方法。Z先生找來了A先生、Z先生找來了A先生、B先生和C先生來一起爭論，Z先生的本意是想請內(nèi)控部或者風險治理部來兼顧合規(guī)這一塊，并且由內(nèi)審部來加強審計。對此，AB先生和C先生給出了如下建議：1)考慮到K企業(yè)的行業(yè)特點，建議單獨設(shè)置合規(guī)部，理由包括：能夠讓監(jiān)管部門感受到 K企業(yè)對合規(guī)工作的重視程度，同時能夠清楚的與 監(jiān)管部門進展日常工作對接；由于在各個部門都可能存在合規(guī)風險敞口 合；合規(guī)風險源主要來自外部監(jiān)管要求，合規(guī)治理人員的專業(yè)性也具備2)內(nèi)控部將充分協(xié)作合規(guī)治理要求，例如針對相關(guān)治理制度引入合〔如投資治理部門、菜品選購部門等〕，合規(guī)部必需對各個部門進展持 合；合規(guī)風險源主要來自外部監(jiān)管要求，合規(guī)治理人員的專業(yè)性也具備2)內(nèi)控部將充分協(xié)作合規(guī)治理要求，例如針對相關(guān)治理制度引入合續(xù)的合規(guī)監(jiān)控和督導，這和當前內(nèi)控部和風險治理部的職能特征并不吻續(xù)的合規(guī)監(jiān)控和督導，這和當前內(nèi)控部和風險治理部的職能特征并不吻自身特點；規(guī)審查；3)風險治理部將在工程風險過程中，進展充分的合規(guī)審查；3)風險治理部將在工程風險過程中，進展充分的合規(guī)審查；4)內(nèi)審部將合規(guī)治理活動納入內(nèi)部審計范圍。4)內(nèi)審部將合規(guī)治理活動納入內(nèi)部審計范圍。ZZ先生雖然對又要設(shè)一個部門有些遲疑， 但上面第一點明顯打動了Z先生——以后監(jiān)管部門再來檢查，假設(shè)可以告知他們企業(yè)已經(jīng)組建了提出了如下要求：1)在當前日趨嚴格的外部監(jiān)管環(huán)境下， 合規(guī)無小事，K企業(yè)從上至下必需建立合規(guī)意識，不能有幸運心理；2)合規(guī)部必需有權(quán)參與涉及合規(guī)風險的重大決策，必需有權(quán)對其他特地的合規(guī)部，在感覺上確實會好很多。于是， K企業(yè)合規(guī)部正式成立，并且聘請了干練的 D女士擔當合規(guī)部負責人。D提出了如下要求：1)在當前日趨嚴格的外部監(jiān)管環(huán)境下， 合規(guī)無小事，K企業(yè)從上至下必需建立合規(guī)意識，不能有幸運心理；2)合規(guī)部必需有權(quán)參與涉及合規(guī)風險的重大決策，必需有權(quán)對其他部門的合規(guī)遵從狀況進展檢查和整改； 3)合規(guī)部應能主導合規(guī)相關(guān)治理制度的制定，并且對各類制度進展必要的合規(guī)審查；4)合規(guī)部將持續(xù)對外部監(jiān)管要求進展分析和評估，與監(jiān)管部門保持3)合規(guī)部應能主導合規(guī)相關(guān)治理制度的制定，并且對各類制度進展必要的合規(guī)審查；4)合規(guī)部將持續(xù)對外部監(jiān)管要求進展分析和評估，與監(jiān)管部門保持有效溝通，在相關(guān)部門通力協(xié)作的前提下，將外部監(jiān)管要求內(nèi)化為企業(yè) 內(nèi)部治理要求。ZZD面履職，經(jīng)過一段時間的內(nèi)部合規(guī)自查及整改，Z面履職，經(jīng)過一段時間的內(nèi)部合規(guī)自查及整改，Z先生明顯感覺到政府監(jiān)管部門對K企業(yè)的態(tài)度發(fā)生了轉(zhuǎn)變，所提出的合規(guī)問題，無論是從數(shù)量上還是性質(zhì)上看，都得到了顯著改善。 第六階段：各類風控專業(yè)部門似乎都齊全了， Z第六階段：各類風控專業(yè)部門似乎都齊全了， Z先生又開頭為這些職能間該如何協(xié)調(diào)發(fā)愁了。K企業(yè)已經(jīng)進展成為一個大型企業(yè)集團，企業(yè)的內(nèi)控、內(nèi)審、風險管K企業(yè)已經(jīng)進展成為一個大型企業(yè)集團，企業(yè)的內(nèi)控、內(nèi)審、風險管理和合規(guī)部門也運行了很長一段時間，Z先生漸漸覺察，事情并沒有預想的那么簡潔，這些部門似乎都或多或少遇到了問題。理和合規(guī)部門也運行了很長一段時間，Z先生漸漸覺察，事情并沒有預想的那么簡潔，這些部門似乎都或多或少遇到了問題。例如，風險治理部 C先生開頭埋怨：投資治理部門等部門針對不理想的投資工程，開頭向風險治理部甩鍋。不僅如此，風險治理部的治理 范圍被不斷泛化，很多部門認為只要是認為有風險的事情，就應當找風險治理部，問題類型從各類業(yè)務合同簽訂到人員離職補償，不一而足，讓風險治理部應接不暇。然而，更多的埋怨則是來自各職能部門，例如：部門內(nèi)的一些業(yè)務，范圍被不斷泛化，很多部門認為只要是認為有風險的事情，就應當找風險治理部，問題類型從各類業(yè)務合同簽訂到人員離職補償，不一而足，讓風險治理部應接不暇。然而，更多的埋怨則是來自各職能部門，例如：部門內(nèi)的一些業(yè)務，合規(guī)部門會檢查一遍，內(nèi)審部門也會檢查一遍，消耗時間精力。不僅如 此，合規(guī)部門和內(nèi)審部門常常還會提出不同的整改意見，讓人無所適從。又如風險評估工作，內(nèi)控部、風險治理部和合規(guī)部都會進展組織，也讓各部門覺得難以理解。其中，讓此，合規(guī)部門和內(nèi)審部門常常還會提出不同的整改意見，讓人無所適從。又如風險評估工作，內(nèi)控部、風險治理部和合規(guī)部都會進展組織，也讓各部門覺得難以理解。其中，讓Z先生更擔憂的是，業(yè)務部門已經(jīng)屢次表示，風險治理部、合規(guī)部等部門提出的一些要求過于苛刻，已經(jīng)嚴峻 制約業(yè)務進展。KZ先生實行了如下措施：1)將總經(jīng)辦作為日常工作協(xié)調(diào)的平臺，明確以風險為導向?qū)?nèi)控部如下措施：1)將總經(jīng)辦作為日常工作協(xié)調(diào)的平臺，明確以風險為導向?qū)?nèi)控部門、內(nèi)審部門及合規(guī)部門進展工作協(xié)調(diào)，并且通過不斷優(yōu)化治理制度對各部門的職責、協(xié)作流程進展明確。如：在內(nèi)審部門制定審計打算的過程中，應依據(jù)狀況組織相關(guān)方來識別、評價風險，其中內(nèi)控、合規(guī)和風險治理部門的風險評價結(jié)論將作為重要輸入；險治理部門的風險評價結(jié)論將作為重要輸入；2)在董事會層面組建了風險治理委員會進展重大風險決策，提升風2)在董事會層面組建了風險治理委員會進展重大風險決策，提升風險評價、風險對策制定的層級，促成在企業(yè)內(nèi)形成統(tǒng)一的風險評價結(jié)論；3)通過持續(xù)宣貫、績效治理等手段，明確前端部門〔如業(yè)務部門〕險評價、風險對策制定的層級，促成在企業(yè)內(nèi)形成統(tǒng)一的風險評價結(jié)論；3)通過持續(xù)宣貫、績效治理等手段，明確前端部門〔如業(yè)務部門〕通過上述努力，企業(yè)風險政策更加統(tǒng)一和明確，內(nèi)控、內(nèi)審等工作的協(xié)調(diào)性得到加強，對業(yè)務部門的干擾也有所降低。歸納一：內(nèi)控、內(nèi)審、風險治理與合規(guī)各自如何應運而生？從上面K企業(yè)進展史，我們可以做如下的總結(jié)：1)內(nèi)控作為滲透到企業(yè)各個業(yè)務領(lǐng)域的內(nèi)在治理機制，從企業(yè)建立那天開頭即存在，隨著企業(yè)的不斷進展會不斷演進得更系統(tǒng)化和標準化；隨著企業(yè)制度體系不斷簡單化，內(nèi)控部門則會以制度集中歸口治理部門的形式消滅，并將負責組織全企業(yè)的風險識別、評價與應對措施制定工在風險掌握中的關(guān)鍵作用，夯實“第一道防線”，遏制風險失控后的“甩鍋” 行為。通過上述努力，企業(yè)風險政策更加統(tǒng)一和明確，內(nèi)控、內(nèi)審等工作的協(xié)調(diào)性得到加強，對業(yè)務部門的干擾也有所降低。歸納一：內(nèi)控、內(nèi)審、風險治理與合規(guī)各自如何應運而生？從上面K企業(yè)進展史，我們可以做如下的總結(jié)：1)內(nèi)控作為滲透到企業(yè)各個業(yè)務領(lǐng)域的內(nèi)在治理機制，從企業(yè)建立那天開頭即存在，隨著企業(yè)的不斷進展會不斷演進得更系統(tǒng)化和標準化；隨著企業(yè)制度體系不斷簡單化，內(nèi)控部門則會以制度集中歸口治理部門的形式消滅，并將負責組織全企業(yè)的風險識別、評價與應對措施制定工作。22)當股東/老板為自己的時間、精力或?qū)I(yè)性所限，無法對企業(yè)進展有效監(jiān)視時，則會對內(nèi)審產(chǎn)生需求，這時獨立的內(nèi)審部門往往會消滅。 3)當企業(yè)對于特定風險存在重大顧慮，并且認為已有組織架構(gòu)無法有效防范該風險時，即可能設(shè)置特地的風險治理部門，以提升對此特定3)當企業(yè)對于特定風險存在重大顧慮，并且認為已有組織架構(gòu)無法有效防范該風險時，即可能設(shè)置特地的風險治理部門，以提升對此特定風險的掌握效果?！沧ⅲ涸谘肫蟮葘嵤┤骘L險治理標準的企業(yè)所設(shè)置的風險治理部，可能會全面負責各類風險的掌握，和前文所提出的風險治理部職責將存在重大差異。對此，后文還將進展闡述?！?)當企業(yè)面臨較高的外部合規(guī)壓力時，則會實行合規(guī)治理措施，并4)當企業(yè)面臨較高的外部合規(guī)壓力時，則會實行合規(guī)治理措施，并且可能單獨設(shè)置合規(guī)部門。歸納二：內(nèi)控、內(nèi)審、風險治理與合規(guī)部門如何分工協(xié)調(diào)？典型的分工且可能單獨設(shè)置合規(guī)部門。歸納二：內(nèi)控、內(nèi)審、風險治理與合規(guī)部門如何分工協(xié)調(diào)？典型的分工協(xié)調(diào)方式可以歸納為：1)風險治理部和合規(guī)部在自身所聚焦的風險領(lǐng)域，可以主導特定制度流程編制，也可以要求其他部門依據(jù)其要求完善自身相關(guān)制度流程，但就制度流程的根底治理程序而言，需要在內(nèi)控部門所維護的根本框架之下進展。2)風險治理部門和合規(guī)部可以在自身所聚焦的領(lǐng)域可以對其他部門1)風險治理部和合規(guī)部在自身所聚焦的風險領(lǐng)域，可以主導特定制度流程編制，也可以要求其他部門依據(jù)其要求完善自身相關(guān)制度流程，但就制度流程的根底治理程序而言，需要在內(nèi)控部門所維護的根本框架之下進展。2)風險治理部門和合規(guī)部可以在自身所聚焦的領(lǐng)域可以對其他部門進展檢查，但應與內(nèi)審部門進展協(xié)調(diào)，以減輕其他部門的協(xié)作壓力。 3)內(nèi)審部門則是對包括內(nèi)控、風險治理和合規(guī)部門在內(nèi)的全部部門進展監(jiān)視檢查，在風險治理部和合規(guī)部所聚焦的風險領(lǐng)域，可以充分參考這兩個部門的工作成果及檢查覺察。4)在風險識別與評估方面，整體工作由內(nèi)控部門牽頭，內(nèi)控部門在3)內(nèi)審部門則是對包括內(nèi)控、風險治理和合規(guī)部門在內(nèi)的全部部門進展監(jiān)視檢查，在風險治理部和合規(guī)部所聚焦的風險領(lǐng)域，可以充分參考這兩個部門的工作成果及檢查覺察。4)在風險識別與評估方面，整體工作由內(nèi)控部門牽頭，內(nèi)控部門在具體工作開展中，針對風險治理部門和合規(guī)部所聚焦的風險領(lǐng)域，應充 分參考風險治理部門和合規(guī)部的工作成果。而風險治理部門和合規(guī)部就 其所聚焦的風險領(lǐng)域，應主導對應風險的識別和評價工作。其所聚焦的風險領(lǐng)域，應主導對應風險的識別和評價工作。內(nèi)控、內(nèi)審、風險治理與合規(guī)部門的日常工作協(xié)調(diào)在總經(jīng)辦平臺上進內(nèi)控、內(nèi)審、風險治理與合規(guī)部門的日常工作協(xié)調(diào)在總經(jīng)辦平臺上進行，涉及重大決策的，由董事會層面的風險治理委員會完成。三、讓我們回到“掌握風險”這個本質(zhì)三、讓我們回到“掌握風險”這個本質(zhì)從從K本質(zhì)上還是為了有效支持企業(yè)業(yè)務開展，更具體的，是為了企業(yè)能夠有效掌握風險。本質(zhì)上還是為了有效支持企業(yè)業(yè)務開展，更具體的，是為了企業(yè)能夠有效掌握風險。1、風險掌握核心工作先不考慮具體的實施主體，風險掌握的核心工作事項包括：1〕對風險進展識別和評價，并依據(jù)風險評價結(jié)果制定掌握措施；2〕將掌握措施在原則、職責、流程和標準中明確，通過建章立制進行制度化治理；3〕對制度運行及風險治理狀況進展檢查和評價，落實獎懲并持續(xù)改先不考慮具體的實施主體，風險掌握的核心工作事項包括：1〕對風險進展識別和評價，并依據(jù)風險評價結(jié)果制定掌握措施；2〕將掌握措施在原則、職責、流程和標準中明確，通過建章立制進行制度化治理；3〕對制度運行及風險治理狀況進展檢查和評價，落實獎懲并持續(xù)改進。2、風險掌握中需要考慮的因素1〕是管“具體業(yè)務”還是管“玩耍規(guī)章”？前者是針對具體風險本身〔對合同中常見條款陷阱的識別標準〕，后2、風險掌握中需要考慮的因素1〕是管“具體業(yè)務”還是管“玩耍規(guī)章”？前者是針對具體風險本身〔對合同中常見條款陷阱的識別標準〕，后2〕是管“執(zhí)行”〔運發(fā)動〕還是管“監(jiān)視”〔裁判員〕？假設(shè)是管“監(jiān)視”，是監(jiān)視“過程”〔業(yè)務執(zhí)行過程標準性〕還是監(jiān)視“結(jié)果”〔業(yè)務執(zhí)行效果〕？2〕是管“執(zhí)行”〔運發(fā)動〕還是管“監(jiān)視”〔裁判員〕？假設(shè)是管“監(jiān)視”，是監(jiān)視“過程”〔業(yè)務執(zhí)行過程標準性〕還是監(jiān)視“結(jié)果”〔業(yè)務執(zhí)行效果〕？3〕對“專業(yè)性”的考慮。不同的風險掌握手段會對實施主體提出不同的專業(yè)性要求。4〕對“獨立性”的考慮。特定風險掌握手段會對獨立性提出較高的要求。4〕對“獨立性”的考慮。特定風險掌握手段會對獨立性提出較高的要求。3、關(guān)于部門的設(shè)置企業(yè)應依據(jù)所處進展階段、業(yè)務簡單度、所面臨的風險狀況等因素來打算如何進展部門設(shè)置。在現(xiàn)實中，存在兩類典型問題：首先是因人設(shè)部門，因人設(shè)崗，這樣可能導致企業(yè)組織構(gòu)造會隨著人員更替頻繁變化，治理體系頻繁變動；其次是生搬硬套其他企業(yè)組織架構(gòu)，或造成機構(gòu)臃企業(yè)應依據(jù)所處進展階段、業(yè)務簡單度、所面臨的風險狀況等因素來打算如何進展部門設(shè)置。在現(xiàn)實中，存在兩類典型問題：首先是因人設(shè)部門，因人設(shè)崗，這樣可能導致企業(yè)組織構(gòu)造會隨著人員更替頻繁變化，治理體系頻繁變動；其次是生搬硬套其他企業(yè)組織架構(gòu)，或造成機構(gòu)臃腫，或?qū)е虏块T間協(xié)調(diào)困難。企業(yè)內(nèi)控、內(nèi)審、風險治理、合規(guī)部門如何設(shè)置呢？這里有三個核心問題：1)是否需要單設(shè)部門？2)企業(yè)內(nèi)控、內(nèi)審、風險治理、合規(guī)部門如何設(shè)置呢？這里有三個核心問題：1)是否需要單設(shè)部門？2)假設(shè)單設(shè)部門，核心工作職責 /權(quán)限包括哪些？3)如何與相關(guān)部門進展協(xié)調(diào)？對于這三個問題，可以在下面的內(nèi)容中查找答案。不難看出，不難看出，K企業(yè)的“風險治理部”〔注1〕和“合規(guī)部”都是因聚焦特定風險源而生、是職能必需向其他部門進展橫向拓展的部門，具有這種 特征的其實還有“質(zhì)量部”、“安全部”等部門。如質(zhì)量部為從整個產(chǎn)品生命周期上強化質(zhì)量治理，會對選購部、生產(chǎn)部進展工作檢查，并且參與這周期上強化質(zhì)量治理，會對選購部、生產(chǎn)部進展工作檢查，并且參與這些部門的制度、流程及標準的制定。由于內(nèi)控、內(nèi)審、風險治理和合規(guī)都是圍繞“風險”開放，業(yè)界已提出些部門的制度、流程及標準的制定。由于內(nèi)控、內(nèi)審、風險治理和合規(guī)都是圍繞“風險”開放，業(yè)界已提出立性要求、所聚焦風險領(lǐng)域、與其他部門的關(guān)系、人員專業(yè)技能等方面存在實質(zhì)性差異，受到“專業(yè)化引力”〔參看亨利.明茨伯格《卓有成效的組織》一書〕等因素的影響，在實踐中仍會消滅依據(jù)部門進展工作分工“大風控”概念，核心思想是“既然大家都是管風險的，為什么不合在一起 呢？”。我們認為，如前文所述，內(nèi)控、內(nèi)審、風險治理和合規(guī)職能在獨 立性要求、所聚焦風險領(lǐng)域、與其他部門的關(guān)系、人員專業(yè)技能等方面存在實質(zhì)性差異，受到“專業(yè)化引力”〔參看亨利.明茨伯格《卓有成效的組織》一書〕等因素的影響，在實踐中仍會消滅依據(jù)部門進展工作分工的趨勢。依據(jù)前文分析，部門間潛在沖突會表達在“獨立性”、“工作范圍” 和“專業(yè)性要求”三個方面。 獨立性獨立性：是否參與具體業(yè)務活動〔如是否參與具體業(yè)務決策〕、匯報路徑等。例如，假設(shè)風險治理部參與具體業(yè)務評審，其獨立性會受到影響。工作范圍路徑等。例如，假設(shè)風險治理部參與具體業(yè)務評審，其獨立性會受到影響。工作范圍：如制度歸口范圍等。例如內(nèi)控部門，相對其他部門需負責企業(yè)整體制度歸口治理。專業(yè)性要求部門間協(xié)調(diào)技能等。例如合規(guī)部門人員應生疏企業(yè)所處監(jiān)管環(huán)境的外部專業(yè)性要求部門間協(xié)調(diào)技能等。例如合規(guī)部門人員應生疏企業(yè)所處監(jiān)管環(huán)境的外部合規(guī)要求及合規(guī)方法。注注1：在一些企業(yè)〔照實行全面風險治理框架的企業(yè)〕，可能會設(shè)置更加綜合的“風險治理部”，部門職責會涵蓋全面的風險識別 更加綜合的“風險治理部”，部門職責會涵蓋全面的風險識別 /評價/掌握措施制定、掌握執(zhí)行的事前/事中/事后監(jiān)控〔如監(jiān)控特定動態(tài)風險指標〕、風險掌握標準制定、參與重大風險決策、風險相關(guān)治理制度制定、監(jiān)視合規(guī)部門的職責既包括外部合規(guī)、也包括企業(yè)內(nèi)部治理制度合規(guī)，其范疇大于本文中所描述的合規(guī)部職責。整體上，我們認為在分析時應聚焦檢查、風險治理效果評價/報告、風險治理考核等職能，其職能可以理解為K企業(yè)內(nèi)控部、內(nèi)審部、風險治理部及合規(guī)部的綜合。不僅如此，“合規(guī)”、“內(nèi)控”等概念在不同企業(yè)也可能涵蓋不同的范疇，如在一些企業(yè)，合規(guī)部門的職責既包括外部合規(guī)、也包括企業(yè)內(nèi)部治理制度合規(guī)，其范疇大于本文中所描述的合規(guī)部職責。整體上，我們認為在分析時應聚焦具體職責，而非概念或部門名稱。 四、對企業(yè)的建議圍繞內(nèi)控、內(nèi)審、風險治理和合規(guī)的職能定位，很多企業(yè)存在困惑。四、對企業(yè)的建議圍繞內(nèi)控、內(nèi)審、風險治理和合規(guī)的職能定位，很多企業(yè)存在困惑。結(jié)合前文，我們提出如下建議，供企業(yè)參考。11、先識別和評價風險，再依據(jù)企業(yè)的實際狀況考慮部門的設(shè)置。如前文所述，設(shè)置部門的根本目的是有效掌握風險、支持業(yè)務的開展。企業(yè)應首