内审、合规、内控、风控之间的关系

内审、合规、内控、风控之间的关系内部控制、合规管理、风险管理、风控、内审之间是什么关系？它们之间有什么区别？一、从各自概念及本源理解其区别风险管理是一种以企业整体视角来对组织所有风险的识别、评估和控制不确定性因素的方法，它通过对内外部各类风险的全面评估和综合管理，包括风险识别、风险评估、风险控制、风险监测与风险报告等环节，旨在确保公司能够在不同风险下实现可持续的业务增长，帮助企业实现其目标并增强企业价值。这意味着在风险管理中，除了关注财务风险之外，还需要考虑其他类型的风险，如战略风险、市场风险、声誉风险等。围绕各项风险管理，需要企业组织制定风险管理流程、建立风险管理组织职能体系、培育企业风险管理文化、明确风险管理策略，有效贯彻内部控制措施等。简单理解，风险管理要求企业站在企业发展战略高度与视角，审视企业在该业务发展战略下所面临的各项风险，每项风险的水平如何，各项风险应执行什么样的应对策略，以及对各类风险如何进行有效的动态监控和报告。可以说，风险管理协助企业解决“做正确的事”。风控侧重于防范可能会损害企业经营目标的特定风险，以保护企业组织不受潜在损失的影响。它通常始于对特定风险的评估，并采取适当的风险规避、缓解或转移策略。大白话来说，就是企业开展一项经营活动或作出一项重大决策时，首先要对该项活动或决策面临的风险进行识别和评价，评估该项活动或作出的决策产生的风险是否与自己的风险偏好相符，是否超出自己的风险承受能力，若超出，可能到此就结束了。若未超出，则在风险评估基础上，提出风险管理策略及具体措施，并在业务活动或决策执行过程中，对评估的风险还要进行持续的跟进，监测风险是否超出自己的可承受范畴。风控解决的是企业在某一具体领域要做“正确的事”，本质上与风险管理类似。一般来讲风控主要在金融业中广泛应用，在银行、证券、保险等领域发挥着重要的作用。内部控制是企业组织为实现各项经营管理目标而在企业内部所制定的一系列政策、程序及实施办法或制度，以合理保证企业正常运作，减少出现错误与失误、防止资产丢失和诈骗等问题发生。内部控制侧重于过程控制，防范的是企业内部可能面临的各项风险。大白话就是企业内部每一项业务活动，具体要做什么（what）、谁（who）来做，什么时候(when)做、如何（how）做、需要多少资源（howmuch）做，做的时候需要形成什么记录（evidence），以及为何（why）要这样做，解决是如何“正确的做事”。合规管理指企业在开展经营活动时，遵守相关法律法规和行业规范，保证企业运营合法、正常、规范的管理制度和流程。企业通过合规管理，可以有效降低企业面临的法律风险，同时也可促进企业可持续发展和社会形象的提升。合规管理涉及的面是比较广泛的，常见的包括：法律合规，即遵守国家法律法规和行政规章，特别是关于企业经营的相关法律法规；财务合规，即按照财务报表编制规则和会计准则进行财务核算和报告，确保财务信用良好；知识产权合规，即保护企业知识产权，确保符合相关法律法规和行业规范；数据隐私合规，即确保客户信息和员工信息得到妥善保护，并遵守数据保护法律法规；安全环保合规，即遵守环境保护和安全生产方面法律法规和行业规范，加强企业环境安全和安全生产管理等。说的简单点，企业开展一项经营活动时要执行合规风险评估，首先要关注执行该项活动要遵守的相关外部法律法规有哪些，有哪些政策法规禁止的事项，哪些是法律规定所允许的范围；其次是评估执行该项活动的合规成本，若成本太高，可能到此也就结束了。若可接受，接下来就是考虑在合规遵循基础上如何经营开展。可以说，合规管理解决的是“企业不做禁止的事，以及如何在合规框架内有效做事“，此处需要结合内部控制手段来实现。企业内部审计是指由专门的内部审计组织对企业内部运营、管理和控制体系进行独立性、客观性和全面性的审计与评价，履行内部监督角色。内审的范畴也比较广泛，包括财务和会计、运营和流程、风险管理和内部控制、合规性等方面。内审相比于前面内部控制、风险管理、风控、以及合规管理，最大的特点是其独立性与客观性。打个比方，内审可以比喻为裁判，而内部控制、风控及合规等可以比喻为运动员，裁判与运动员需要分开，运动员执行各项动作合不合规、合不合理、是否存在隐患等，应通过裁判员独立、客观和公允评价，而非运动员自己说了算。可以说，内部审计帮助企业解决的是“事情做的是否正确、是否有效”。一般具备一定规模和条件的企业组织，会专设内部审计部门或岗位，承担此项职能。二、从本源识别其之间的关系风险管理、内部控制、风控、合规管理和内部审计职能之间虽存在区别，但也存在联系，很多时候需要其职能协同以发挥价值。首先是目标一致。不管风险管理、内部控制、风控还是合规管理等，都属于企业经营管理体系的一个重要组成部分，都为企业经营管理服务，虽然各自目标可能有所差异，但最终都以实现企业战略和商业价值为目标。其次是存在包含关系。1）风险管理是一种包括风险识别、评估、监测和控制在内的系统性方法，旨在确保公司能够在不同风险下实现可持续的业务增长。因此，风控是风险管理的重要组成部分，专注于预测和规避某些风险的损失。2）内部控制是指企业通过设计和实施具有适当安排的管理流程和控制程序，以及建立有效的内部控制机制来保障企业正常运作，减少出现错误与失误、防止资产丢失和诈骗等问题的发生。内部控制是风险管理措施的具体化，因此风险管理包含内部控制，同时内部控制可以更好的促进风险管理和风控职能的发挥。3）合规管理是指企业依法依规经营，在业务运营过程中符合法律、法规、政策等规定，遵循商业道德和正义原则，保护公司声誉和客户利益。它对风险管理和内部控制都有着至关重要的影响，一个完善的合规管理体系可以有效地减少公司面临的法律诉讼、罚款等合规风险。风险管理包含合规风险范畴，通过内部控制将外规内化外为内规，可以有效降低合规风险发生可能性。4）内部审计可以帮助公司确定风险和内部控制方案的有效性，以及合规性程度，从而为风险管理和内部控制提供反馈与建议，并且改进企业内部流程和控制。最后是管理思路一致。风险管理、合规管理和内部控制都遵循风险识别、风险评价、风险管控、风险控制效果监督与评价的管理闭环；风险管理和合规管理建设最终均以内部控制作为落脚点和重要抓手，内部控制需要以防风险和促合规为导向；风险管理、合规管理和内部控制均需要与企业业务流程相融合，嵌入企业经营管理活动中。以投资活动为例介绍各项职能如何与业务活动有效结合。首先是企业组织一般会针对投资项目管理制定专门的工作流程和规章制度，明确投资项目主责部门、相关协同配合部门，概述投资活动所要关注的常见风险类型、投资活动开展的基本原则、基本程序或整体业务流程，以及每个流程环节所注意的基本事项。即企业风险管理和内部控制所需要解决的问题。其次是开展某一投资活动前，要开展投资项目尽调，识别投资标的可能存在的风险，分析风险大小，评估风险是否超出企业投资风险可承受能力，以及决定是否要参与这项投资，此处即为投资风控职能，风控职能嵌入投资尽调和可行性分析论证环节。再次是投资实施后，投资项目在运行过程中，投资部门会持续关注投资项目实际效益，是否达到预期，以及投资项目是否存在异常风险，若存在则会触发风险应急机制，此处同样是风控职能的体现。最后是投资项目处置或评价阶段，按照内控制度规定，投资部门需要对投资项目进行定期评价，评估其效益如何如何，同时内部审计部门也可能会履行内审职能，对投资项目从投资项目前期尽调、风险评估及决策论证、投资实施以及投资最终效益等进行评价或审计，出具评价或审计报告。即从事后视角利用审计职能去监督或评价一项业务活动的实际效果。内审、合规、内控、风控之间的关系一、内审这四者关系中，最能拎得清的就是内审了，毕竟历史发展悠久（西周），而且制度建设完善，内部审计部门也被大多数组织接受。内审与“合规、内控、风险”的关系界限相对明确，内审仍旧是提供独立客观的评估，有时也会参与到“合规、风控和风险管理”的设计中来，相对来说，内审是最独立，也是最易分辨的。这里就不唠叨了，毕竟很多人清楚内审是怎么回事！二、内控关于内部控制，现成的理论也是一堆一堆的，几乎所有人都认为内控很重要，连上市公司也要求内控自评，看似很规范！但是，如果不是为了应付来自政策或市场监管的压力，有几个公司愿意单独设置一个“内控部”？为什么不愿意呢？恰恰是它管得太宽了，也太深了，但是，专业度跟不上。1.内部控制包括的几个要素，从环境到运营都有，几个管理目标也高大上，这就存在一个问题：你做得宽了，还能做深吗？企业中，内控制度一大堆，但最终还是得靠专业人士来执行，但人家专业人士有自己的管理模式，有自己的专业要求，有自己的业务特色，其专业性控制比内控制度更实用。有人说，让“内控部门”把各类专业制度流程都整合好不就行了吗？确实是可以！但是像这样的全才和专才上哪儿找？难道在“内控部门”中再组建一个管理团队吗？这也是内控的尴尬之处！所以，企业中设置“内控部”，很难起到管理改进的效果。有的时候，甚至会浪费更多资源，增加无谓的工作量。另一方面，内部控制对于来自组织外部的风险，很难发挥作用！三、合规有人把“合规”当成组织运营中最核心，最基础的部分，这样理解也没大毛病，因为他只考虑了硬性的“规矩”。有很多组织，专抓内部“合规”管理，重心是某项制度的执行，比如：预算执行！实务中，也有很多企业会设立“法务合规部”，合规管理纯粹由法务人员来执行，主要应对法律风险。合规能对内又能对外，那我们应该怎么理解合规呢？这就需要我们先把一个概念理清楚：“合规”到底合的是什么“规”？1.往大里说，这个“规”包括国家法律法规、行业规范和惯例、组织内部制度流程、企业文化要求等，这样一说，合规范围就大了去了。这一变大，再说它只是最基础、最核心的要求，就有点儿勉强了。另一方面，合规即包括“建立”规矩，也包括“监督”规矩，这又涉及到了内控管理和风险管理。2.要是往小里说，组织内建一个合规部，可能只针对某一项风险，比如法律风险，比如金融操作合规等。总之，对合规的定位，可大可小！这就存在一悖论：组织设立一个“合规部”，如果只管一块业务的话，有点儿浪费；要是管得宽了吧？业务又太多，还会和内控和风险管理打架，引起管理混乱！最终，它不得不沦为一个鸡肋：食之无味，弃之可惜。可以预见，如果单独设立了合规部，该部门未来也会慢慢被“边缘化”！四、风险管理近几年，风险管理是最为火爆的一个话题，很多企业有“先见之明”，早早搭建了“风控体系”，且设立单独的管理部门：风险中心。甚至将法务、审计、质检岗、安全岗全部纳入到“风险中心”里面。但是，实务中，无论在多大的组织里，真正做风险管理的也就那么一两个人！庞大的“风控中心”往往是：身子大，脑子小！像笨拙的食草长颈龙一样！其涵盖内容怎么样？1.往大里说。风险真的是无处不在，在地球上，无论什么人，什么事儿，都会存在各种不确定性，不确定性就是风险！所以，风险管理也就无所不包：内部管理、外部环境，人财物、吃穿住行等等！只要能想到的，都可以纳入到风险管理体系中来。于是，各种各样的风险管理制度、风险矩阵、评估方法都冒出来了。但是，时间一长，很多人会发现，风控做的范围越广，风控措施越可能沦为一纸文书，越缺少操作性。2.反而，做得专一的人更有潜力。比如，有些企业的“风险部”专审核各类内部签批手续，重点把控收支风险。有的企业专职做“资金风险”，专管投融资。这些业务定位专一，范围更窄的，反而更具有生命力。五、大乱斗如果在一个企业中，有内审部、合规部、内控部和风险部，那四者之间怎么相处呢？一个小故事！经济在发展，市场在成熟，但是猪老板觉得生意越来越难做了：今天员工出事儿，明天顾客闹事儿，一会儿产品又出问题，一不小心又得罪了税局、工商局等政府部门。这些“意外”之事，总是让猪老板心烦意乱！之前，猪老板站在风口上，跟着风飞了一波，但是风一停，连走路都变得困难了！市场竞争又越来越激烈，猪老板操碎了心，经营却越发艰难！于是，猪老板一发狠：“谁能让企业不再出玄蛾子，我高薪聘请！”于是，阿猫阿狗，蜂拥而至。看着鱼龙混杂的应聘人员，猪老板发愁地看着自己的大肚皮：别人发愁先白头发，他发愁是涨大肚皮！终于灵机一动：“我要请的人，一是要有高度，二要能为企业目标服务！”忽啦啦走了一波，只剩下四人：内审、内控、合规、风险。1.内审内审自信地走到猪老板面前说：“我有独立的、客观的、系统的方法，评估企业经营活动和各类风险，能当猪老板的眼睛和手，改善运营和风险管理，促进企业目标实现！”见猪老板眼中透出赞赏之色，内审正想得意，只听到“啪、啪、啪”三个大巴掌拍在脸上。内审被拍飞了，是合规、内控和风险三人出手：“屁！只会站在一边说风凉话的家伙，天天不干正事儿（不深入业务），又是事后诸葛亮（事后审计），有个屁用？”2.内控内控走到猪老板面前说：“我是内控，企业内部的一切运营，皆归我管，我有五大要素，有五大目标，有完善的内控矩阵！有我在，一切不是问题！”只听“啪啪”又来两巴掌，内控也被拍飞了，是合规和风险出的力：“基本的操作都不会，还谈五大目标，五大要素？再说，你也只能对内，现在的风险在哪儿？大多来自于外部！只会‘窝里横’的家伙！”3.合规合规此时走向前，对猪老板说：“您的企业之所以会出事儿，一是对政府的政策了解不透彻，现在三天出台一个新政策，不了解的话肯定要出事儿？二是内部操作不规范，立了规矩不遵守，怎么能做出好产品？让我来，保证内外都合规，啥也不用怕！”猪老板正觉有理，“啪”地一声，合规也被拍飞了。风险说：“只会盯着合规那一点儿说事儿，不知道风险无处不在吗？只考虑合规，不评估风险，只会让规矩越来越多，哪里会有效率？再说，企业要发展，需要创新！有时为了更大目标，必须要冒风险的！猪老板，让我来，我会把各路风险分析的透彻，没人比我更在行！”4.风险上位猪老板很满意风险的说法，他一个人几乎能把内审、合规和内控的活儿全包揽了！但是，风险入职后，猪老板更忙了！天天风险评估，风险矩阵，所有风险都是“自上而下”推行，下边人做得怎么样，他也不知道，忙活了一年，除了多了几张风险表格，啥改变也没有。猪老板气得正要骂风险，他忙解释道：“风险管理涉及的面太广了，您让内审、内控和合规都来上班吧，一人管一块，这样才管得来！”不得已，猪老板把人都请来了。最后，企业经营确实有了起色。（1）内审不仅评价各业务部门的经营，还对合规、内控和风险的管理进行评价，让猪老板对企业的运营情况更熟悉，管理的也更得心应手！（2）合规将工作重心转移到外部法律风险上，各类纠纷和违规行为确实少了。（3）内控则全力完善内部控制制度和流程，运营效率也有了提升。（4）风险管理，让老板看到了企业中的各类风险，一时间确实提升了抗风险能力，后来也将重心转移到外部风险上，如：资金风险、投资风险、市场预测、政府政策研读等。一时间，猪老板的企业开始欣欣向荣。5.打架虽然内审、合规、内控和风险渐渐找到自己的定位，但是仍旧觉得自己是老大，相互之间的业务能力不相上下，自然争斗不断。猪老板只顾赚钱，从不关心四人的矛盾，也不考虑团队建设。有钱赚，企业中的权威在四人的帮助下又越发强大，猪老板心满意足。目前令他烦恼的，只剩下那四人的争权压利、越来越多管理提升要求、越来越多的奖金需求。猪老板只是头猪，为了眼前的利益，不注重技术更新，不注重人才培养，无论四人怎么提建议，他都停足不前，不愿改变。终有一日，他觉得四人管的太宽了，开始管到他头了上了，四人工资又太高，就心生不满：“企业现在一切顺利，我又清楚怎么管理，不如把四人开了！”于是，企业中出现了一场轰轰烈烈地改革，四人被夺权，不得不黯然退场。企业提升管理困难无比，但要破坏，却快得很！眨眼间，内审、合规、内控、风险的相关管理全部清零，企业变成猪老板的一言堂。猪老板忘了一点儿：所有的管理理论和方法，虽处于老板的领导之下，但是，却不是由老板一人在操办，是需要专业团队来运作、协作的。企业走上了下坡路，等猪老板认清现实时，已经晚了，之前制度流程已破坏殆尽，四位得力干将也各自找到下家，不会再回来。最后，猪老板只得看着自己的大肚皮，不停地发愁...！企业内控、内审、风险管理与合规关系辨析——基于一家企业极简发展史的探讨一、问题的提出当前，在企业内外部环境的共同作用之下，“内控”、“内审”、“风险管理”和“合规”作为一项管理活动或者作为具体部门，已在各类企业中频繁出现。与此同时，这些概念的范畴、相互关系以及在企业中如何实践，业已引发了广泛讨论。我们认为，对于这些问题的讨论不应脱离企业发展过程中所产生的内在管理需求，因此我们不妨从一家企业的发展史的视角展开讨论。我们给这家企业起名为K企业，并且给这家企业安排一位创始人、股东、老板兼总经理——Z先生，以及其他几位关键角色（按出场先后顺序排列）：A先生——K企业内控部负责人B先生——K企业内审部负责人C先生——K企业风险管理部负责人D女士——K企业合规部负责人请注意，这只是一个高度简化的示例。二、K企业的极简发展史如中国大多数企业一样，K企业也经历了从无到有、从小到大、从简单到复杂的发展历程，并最终成为一家涉足餐饮、金融等行业的企业集团。第一阶段：K企业创立，Z先生几乎掌控一切Z先生做快餐餐厅起家，第一家餐厅的收银兼出纳是自己的一位亲戚，后厨、服务员5-6个，从原料采购、装修、菜单设计都是Z先生自己负责。甚至厨师忙不过来时，Z先生自己也会去炒两个菜，这些里里外外都是自己张罗。会计是找的代账公司帮着记账。因为自己菜品有些特色，而且真材实料，生意一直不错。甚至附近写字间的公司专门在这里定了员工餐，生意越来越好。渐渐地，每天客户订餐量巨大，Z先生每天光菜市场都要跑好几次，发现自己忙不过来了，Z先生意识到目前的管理模式已经不行了。第二阶段：K企业初具规模，Z先生开始进行分权、明确职责分工、开始建章立制，Z先生也开始从亲力亲为转向监督评价，系统化企业内控显现，并建立了专门的内控部门。K企业生意持续火爆，踌躇满志的Z先生决定扩大经营。Z先生开始招聘包括采购人员、财务人员在内的专业人员。与此同时，饭店大厨和核心骨干分别入股，引入外部投资人，在未来一年连续开了三个分店，为了实现集中管理，Z先生组建了管理总部。分店建立后，Z先生有了新问题：他发现，老店还好，大家都熟悉。新店他虽然关注很多，但是经常出错。不是上错菜，就是客户投诉，总之每天都有新的问题。最让他感到头疼的是，分店的现金流水情况总是不放心，可是又不知道如何去管。他就派人去其他品牌餐饮店卧底，发现这些各个分店出品都差不多，而且新人进入后很快就能上手，原因在于不论分店数量多少，都在一个统一管理标准下经营运行。受到触动，Z先生在外部咨询机构的协助下，K企业相关管理制度逐步建立起来，例如：分店财务管理模块，通过总部集中招募财务经理，直接对总经理负责，外派到各分店。同时采用收支两条线的方式，收入及时上交总部，采购资金与费用等再定期拨付；在质量管理方面，组建了专门的质控部门，编制了标准化的质量管理手册；在信息化方面，K企业购置了一套小型信息系统并顺利上线。K企业发展到现在，内控作为一种内在机制，在K企业已逐步建立起来。管理运作起来后，开始还很顺畅，但是餐饮行业人员流动快，餐饮品类不断增加，对管理制度进行持续更新改进的要求越来越迫切。但由于制度管理相关权限（典型权限包括具体制度谁来编制？谁来审批？谁来宣贯？谁来监督？等）模糊、制度编写标准不统一，管理制度自身越来越混乱。不仅如此，各部门之间经常会为自己的利益对制度流程发生争论，甚至吵到总经理办公室，Z先生焦头烂额。Z先生决定组建专业化的内控部门，并且招募了A先生加盟，成为内控部门负责人。A先生思维缜密并拥有多年的企业流程管理经验，对于内控部门工作的开展，A先生提出了如下观点：1)企业管理制度必须由内控部门来进行统筹，采取统一的分级分类标准，管理制度的发布/修订/废止必须经过内控部门的审核；2)内控部门应该充分参与各类制度专业讨论，充分发表专业意见；3)内控部门应持续组织开展企业制度评价工作，进行风险识别和评价，以推进管理制度持续优化。Z先生对A先生的观点表示赞同，鼓励A先生尽快开展工作，尽早成为企业的“制度大管家”。事实证明，A先生专业度很不错，在其负责的内控部门的持续努力之下，K企业的制度系统性、规范性和科学性得到显著提升，各部门之间的衔接更加顺畅、有效。更重要的，重大风险得到及时识别和应对，Z先生的管理压力明显降低。第三阶段：K企业规模持续扩大，Z先生发现自己已看不过来，决定安排人专门负责检查，内审正式登场。随着业务规模逐步扩大，K企业已经发展到10家分店，分布于3个城市。Z先生发现尽管整体经营还不错，但有两家分店总在亏钱，却不知道什么原因。有朋友建议他应该找审计人员检查一下。在找外部审计机构和建立内审部门之间，经过仔细思考权衡，Z先生决定为了企业长远发展，应组建自己的内审部门。通过专业猎头，Z先生找到了B先生。B先生之前在另一家知名餐饮企业集团担任审计部负责人，因全家迁往本市，因此需要选择新的企业就业。B先生在了解了K企业是新建内审部门及其他相关基本情况之后，对Z先生提出了如下几点要求：1)内审部门负责人直接向Z先生汇报，以确保其审计工作开展具有足够的独立性和权威性；2)K企业所有部门和岗位都纳入内审部门的审计范围，包括刚刚成立不久的内控部门，其审计范围不能受到任何形式的限制；3)关于内审部门与内控部门的关系，B先生表示内控部门主要负责管理制度的建立，内审部门主要负责检查管理制度的执行情况，对制度设计不合理的地方，内审部门也会提出；4)关于审计重点，内审部门将独立进行风险评估和制定，同时将充分听取Z先生的意见；5)内审部门将受理并处理各类举报。Z先生听完B先生的要求，有点担心这样设置内审部门是否会引发内部冲突，后来转念一想，内审部门本来就是监督部门，引发冲突几乎是必然的，也就接受了B先生的要求。在Z先生的大力支持之下，以B先生为首的内审部门成立了。针对前面所提到的两家分店存在的亏损问题，内审部门对比企业内部及竞品企业营业数据，发现这两家店经营成本异常偏高，除了公司统一配送的主材外，其他当地自主采购的蔬菜等，比市场价格偏高。在此基础上，内审部门经过明察暗访，发现采购经理有舞弊嫌疑，使用了自己亲属进行配送。Z先生在查阅了内审报告之后，根据相关管理制度，立即对相关人员进行了严厉处罚，直接责任人被解除劳动合同。Z先生对B先生及内审部门的工作非常满意，之前的顾虑也逐渐被打消。在此之后，内审部门对几项管理顽疾进行了专项检查，在查明原因之后提出了整改意见，并在内控部门的配合之下对管理制度进行了优化，建立了长效机制。第四阶段：K企业向投资集团转型，但投资及贷款业务风险频发，Z先生决定安排专业人员集中管理投资及贷款风险，风险管理部门出现了。随着K企业在业内的知名度越来越高，一些战略投资人开始与Z先生进行接触，并且达成了注资意向。随着战略投资人资金的注入，Z先生意识到需要进入新的业务领域，因此Z先生对K企业的组织架构进行了调整，将原有的餐饮业总部转换成为投资平台并启动对外投资，传统餐饮业务以一个事业部的形式继续运营。经过高层研讨，K企业的投资方向基本确定为新兴的非银行金融行业及餐饮行业。在金融行业，K企业首先收购了一家小贷公司。然而，K企业的投资之路并不顺利。一次是小贷公司在进行贷款审核时，由于对债务人没有进行充分的风险评估，一笔资金借出去后无法追回。另一次是餐饮公司准备和一个合作方共同开发一个西餐新品牌，在投资前没有对市场前景、合作方实力等进行有效投资风险评估，最终导致投资失败。这时，Z先生已经充分意识到金融业务及对外投资的风险跟他之前买菜做饭时所面临的风险不可同日而语，再次陷入迷茫。Z先生组织团队进行了行业对比，认为一些企业所采取的组建专业的风险管理部门来对这些风险进行集中管理是一条思路。但是，新设部门不是件小事情，Z先生决定先征求一下内控部负责人A先生的意见，并且专门询问了就安排内控部来行使专项风险管理的可行性。A先生问明Z先生来意，经过仔细思考提出了如下观点：1)认同应该由专业部门对投资等重大风险进行专门管理的合理性；2)不建议由内控部门来履行风险管理职能，主要理由：首先，内控部门的核心职责是维护并且优化全企业的管理制度体系，而不会介入到具体业务，而风险管理必须介入具体业务，否则难以实现风险控制效果；其次，在风险识别方面，内控部门是组织相关部门进行全面的风险识别，而风险管理部门则需要聚焦特定重大风险并给出专业判断，两者的工作重点和专业要求都存在较大差异。Z先生虽然觉得这些事确实有点抽象，但基于对A先生专业度的信任，他决定先尝试一下。经人介绍，Z先生决定招募C先生作为部门负责人来组建企业风险管理部，C先生具有丰富的投资管理经验，对K企业所在行业也有深入理解。在正式履职之前，C先生与Z先生也有一次深入的交流，结合之前的经验，C先生提出：1)风险管理部名称含义比较模糊，因此必须清晰界定风险管理部所管理的风险范畴，现在看主要是投资风险及金融业务的贷款风险；2)风险管理部将集中于特定风险的识别、评价与应对，但这不能替代前端部门（如投资管理部）自身应履行的风险管理职责；3)风险管理部应充分参与相关制度流程（如投资管理制度）的制定；4)风险管理部应充分参与具体项目，充分获取信息并具有实质性的管理权限；5)风险管理部有权对相关部门风险管理相关工作进行检查和评价。C先生领导下的风险管理部一方面对相关管理制度进行了重大修订，对可研、尽调、过会等关键环节的制度要求进行显著优化，另一方面直接介入项目尽调、评审等工作，促使风控措施真正落地。基于风险管理部专业工作，Z先生及时否决、终止了几个高风险项目，避免了损失。第五阶段：外部合规压力激增，Z先生意识到法律法规红线是碰不得的，决定集中力量搞合规，合规部门出现了。随着K企业业务规模及业务范围的进一步扩大（除了传统餐饮和非银行金融行业，K企业还涉足了中央厨房，涉及食品加工企业），Z先生发现市场监督管理局、银保监会等政府部门对企业的监管越来越严、要求越来越细，特别是最近几次检查，检查组都提出了措辞严厉的合规问题。不仅如此，Z先生还目睹了一些同行因为合规问题最终关门大吉甚至惹上官司的事例。作为企业的法定代表人，Z先生非常紧张。对于Z先生而言，各类监管文件犹如天书，一时间Z先生又没了主意。Z先生找来了A先生、B先生和C先生来一起讨论，Z先生的本意是想请内控部或者风险管理部来兼顾合规这一块，并且由内审部来加强审计。对此，A先生、B先生和C先生给出了如下建议：1)考虑到K企业的行业特点，建议单独设置合规部，理由包括：能够让监管部门感受到K企业对合规工作的重视程度，同时能够清晰的与监管部门进行日常工作对接；由于在各个部门都可能存在合规风险敞口（如投资管理部门、菜品采购部门等），合规部必须对各个部门进行持续的合规监控和督导，这和当前内控部和风险管理部的职能特征并不吻合；合规风险源主要来自外部监管要求，合规管理人员的专业性也具备自身特点；2)内控部将充分配合合规管理要求，例如针对相关管理制度引入合规审查；3)风险管理部将在项目风险过程中，进行充分的合规审查；4)内审部将合规管理活动纳入内部审计范围。Z先生虽然对又要新设一个部门有些犹豫，但上面第一点显然打动了Z先生——以后监管部门再来检查，如果可以告知他们企业已经组建了专门的合规部，在感觉上确实会好很多。于是，K企业合规部正式成立，并且聘请了干练的D女士担任合规部负责人。D女士在走马上任之前，提出了如下要求：1)在当前日趋严格的外部监管环境下，合规无小事，K企业从上至下必须建立合规意识，不能有侥幸心理；2)合规部必须有权参与涉及合规风险的重大决策，必须有权对其他部门的合规遵从情况进行检查和整改；3)合规部应能主导合规相关管理制度的制定，并且对各类制度进行必要的合规审查；4)合规部将持续对外部监管要求进行分析和评估，与监管部门保持有效沟通，在相关部门通力配合的前提下，将外部监管要求内化为企业内部管理要求。Z先生基本认同D女士的观点，表示将全力支持。随着合规部开始全面履职，经过一段时间的内部合规自查及整改，Z先生明显感觉到政府监管部门对K企业的态度发生了转变，所提出的合规问题，无论是从数量上还是性质上看，都得到了显著改善。第六阶段：各类风控专业部门似乎都齐全了，Z先生又开始为这些职能间该如何协调发愁了。K企业已经发展成为一个大型企业集团，企业的内控、内审、风险管理和合规部门也运行了很长一段时间，Z先生渐渐发现，事情并没有预想的那么简单，这些部门似乎都或多或少遇到了问题。例如，风险管理部C先生开始抱怨：投资管理部门等部门针对不理想的投资项目，开始向风险管理部甩锅。不仅如此，风险管理部的管理范围被不断泛化，很多部门认为只要是认为有风险的事情，就应该找风险管理部，问题类型从各类业务合同签订到人员离职补偿，不一而足，让风险管理部应接不暇。然而，更多的抱怨则是来自各职能部门，例如：部门内的一些业务，合规部门会检查一遍，内审部门也会检查一遍，消耗时间精力。不仅如此，合规部门和内审部门经常还会提出不同的整改意见，让人无所适从。又如风险评估工作，内控部、风险管理部和合规部都会进行组织，也让各部门觉得难以理解。其中，让Z先生更担忧的是，业务部门已经多次表示，风险管理部、合规部等部门提出的一些要求过于苛刻，已经严重制约业务发展。还好，K企业拥有务实及开放的企业文化。通过沟通，Z先生采取了如下措施：1)将总经办作为日常工作协调的平台，明确以风险为导向对内控部门、内审部门及合规部门进行工作协调，并且通过不断优化管理制度对各部门的职责、配合流程进行明确。如：在内审部门制定审计计划的过程中，应根据情况组织相关方来识别、评价风险，其中内控、合规和风险管理部门的风险评价结论将作为重要输入；2)在董事会层面组建了风险管理委员会进行重大风险决策，提升风险评价、风险对策制定的层级，促成在企业内形成统一的风险评价结论；3)通过持续宣贯、绩效管理等手段，明确前端部门（如业务部门）在风险控制中的关键作用，夯实“第一道防线”，遏制风险失控后的“甩锅”行为。通过上述努力，企业风险政策更加统一和明确，内控、内审等工作的协调性得到加强，对业务部门的干扰也有所降低。归纳一：内控、内审、风险管理与合规各自如何应运而生？从上面K企业发展史，我们可以做如下的总结：1)内控作为渗透到企业各个业务领域的内在管理机制，从企业建立那天开始即存在，随着企业的不断发展会不断演进得更系统化和规范化；随着企业制度体系不断复杂化，内控部门则会以制度集中归口管理部门的形式出现，并将负责组织全企业的风险识别、评价与应对措施制定工作。2)当股东/老板为自己的时间、精力或专业性所限，无法对企业进行有效监督时，则会对内审产生需求，这时独立的内审部门往往会出现。3)当企业对于特定风险存在重大顾虑，并且认为已有组织架构无法有效防范该风险时，即可能设置专门的风险管理部门，以提升对此特定风险的控制效果。（注：在央企等实施全面风险管理标准的企业所设置的风险管理部，可能会全面负责各类风险的控制，和前文所提出的风险管理部职责将存在重大差异。对此，后文还将进行阐述。）4)当企业面临较高的外部合规压力时，则会采取合规管理措施，并且可能单独设置合规部门。归纳二：内控、内审、风险管理与合规部门如何分工协调？典型的分工协调方式可以归纳为：1)风险管理部和合规部在自身所聚焦的风险领域，可以主导特定制度流程编制，也可以要求其他部门根据其要求完善自身相关制度流程，但就制度流程的基础管理程序而言，需要在内控部门所维护的基本框架之下进行。2)风险管理部门和合规部可以在自身所聚焦的领域可以对其他部门进行检查，但应与内审部门进行协调，以减轻其他部门的配合压力。3)内审部门则是对包括内控、风险管理和合规部门在内的所有部门进行监督检查，在风险管理部和合规部所聚焦的风险领域，可以充分参考这两个部门的工作成果及检查发现。4)在风险识别与评估方面，整体工作由内控部门牵头，内控部门在具体工作开展中，针对风险管理部门和合规部所聚焦的风险领域，应充分参考风险管理部门和合规部的工作成果。而风险管理部门和合规部就其所聚焦的风险领域，应主导对应风险的识别和评价工作。内控、内审、风险管理与合规部门的日常工作协调在总经办平台上进行，涉及重大决策的，由董事会层面的风险管理委员会完成。三、让我们回到“控制风险”这个本质从K企业的发展简史可以看出，内控、内审、风险管理和合规的出现，本质上还是为了有效支持企业业务开展，更具体的，是为了企业能够有效控制风险。1、风险控制核心工作先不考虑具体的实施主体，风险控制的核心工作事项包括：1）对风险进行识别和评价，并根据风险评价结果制定控制措施；2）将控制措施在原则、职责、流程和标准中明确，通过建章立制进行制度化管理；3）对制度运行及风险管理情况进行检查和评价，落实奖惩并持续改进。2、风险控制中需要考虑的因素1）是管“具体业务”还是管“游戏规则”？前者是针对具体风险本身（对合同中常见条款陷阱的识别标准），后者是针对围绕风险的管理规则（如针对复杂的非标准合同设置专业评审机制）。2）是管“执行”（运动员）还是管“监督”（裁判员）？如果是管“监督”，是监督“过程”（业务执行过程规范性）还是监督“结果”（业务执行效果）？3）对“专业性”的考虑。不同的风险控制手段会对实施主体提出不同的专业性要求。4）对“独立性”的考虑。特定风险控制手段会对独立性提出较高的要求。3、关于部门的设置企业应根据所处发展阶段、业务复杂度、所面临的风险情况等因素来决定如何进行部门设置。在现实中，存在两类典型问题：首先是因人设部门，因人设岗，这样可能导致企业组织结构会随着人员更替频繁变化，管理体系频繁变动；其次是生搬硬套其他企业组织架构，或造成机构臃肿，或导致部门间协调困难。企业内控、内审、风险管理、合规部门如何设置呢？这里有三个核心问题：1)是否需要单设部门？2)如果单设部门，核心工作职责/权限包括哪些？3)如何与相关部门进行协调？对于这三个问题，可以在下面的内容中寻找答案。👇内控、内审、风险管理和合规管理部门的比较不难看出，K企业的“风险管理部”（注1）和“合规部”都是因聚焦特定风险源而生、是职能必须向其他部门进行横向拓展的部门，具有这种特征的其实还有“质量部”、“安全部”等部门。如质量部为从整个产品生命周期上强化质量管理，会对采购部、生产部进行工作检查，并且参与这些部门的制度、流程及标准的制定。由于内控、内审、风险管理和合规都是围绕“风险”展开，业界已提出“大风控”概念，核心思想是“既然大家都是管风险的，为什么不合在一起呢？”。我们认为，如前文所述，内控、内审、风险管理