廣告合規(guī)法務 企業(yè)合規(guī) 藥企合規(guī) 企業(yè)廉潔合規(guī) 企業(yè)合規(guī)管理 上市公司合規(guī) 企業(yè)合規(guī)管理
一、問題的提出
當前,在企業(yè)內(nèi)外部環(huán)境的共同作用之下,“內(nèi)控”、“內(nèi)審”、“風險管理”和“合規(guī)”作為一項管理活動或者作為具體部門,已在各類企業(yè)中頻繁出現(xiàn)。與此同時,這些概念的范疇、相互關(guān)系以及在企業(yè)中如何實踐,業(yè)已引發(fā)了廣泛討論。
我們認為,對于這些問題的討論不應脫離企業(yè)發(fā)展過程中所產(chǎn)生的內(nèi)在管理需求,因此我們不妨從一家企業(yè)的發(fā)展史的視角展開討論。我們給這家企業(yè)起名為K企業(yè),并且給這家企業(yè)安排一位創(chuàng)始人、股東、老板兼總經(jīng)理——Z先生,以及其他幾位關(guān)鍵角色(按出場先后順序排列):
* A先生——K企業(yè)內(nèi)控部負責人
* B先生——K企業(yè)內(nèi)審部負責人
* C先生——K企業(yè)風險管理部負責人
* D女士——K企業(yè)合規(guī)部負責人
請注意,這只是一個高度簡化的示例。
二、K企業(yè)的極簡發(fā)展史
如中國大多數(shù)企業(yè)一樣,K企業(yè)也經(jīng)歷了從無到有、從小到大、從簡單到復雜的發(fā)展歷程,并最終成為一家涉足餐飲、金融等行業(yè)的企業(yè)集團。
第一階段:K企業(yè)創(chuàng)立,Z先生幾乎掌控一切
Z先生做快餐餐廳起家,第一家餐廳的收銀兼出納是自己的一位親戚,后廚、服務員5-6個,從原料采購、裝修、菜單設計都是Z先生自己負責。甚至廚師忙不過來時,Z先生自己也會去炒兩個菜,這些里里外外都是自己張羅。會計是找的代賬公司幫著記賬。因為自己菜品有些特色,而且真材實料,生意一直不錯。甚至附近寫字間的公司專門在這里定了員工餐,生意越來越好。
漸漸地,每天客戶訂餐量巨大,Z先生每天光菜市場都要跑好幾次,發(fā)現(xiàn)自己忙不過來了,Z先生意識到目前的管理模式已經(jīng)不行了。
第二階段:K企業(yè)初具規(guī)模,Z先生開始進行分權(quán)、明確職責分工、開始建章立制,Z先生也開始從親力親為轉(zhuǎn)向監(jiān)督評價,系統(tǒng)化企業(yè)內(nèi)控顯現(xiàn),并建立了專門的內(nèi)控部門。
K企業(yè)生意持續(xù)火爆,躊躇滿志的Z先生決定擴大經(jīng)營。Z先生開始招聘包括采購人員、財務人員在內(nèi)的專業(yè)人員。與此同時,飯店大廚和核心骨干分別入股,引入外部投資人,在未來一年連續(xù)開了三個分店,為了實現(xiàn)集中管理,Z先生組建了管理總部。
分店建立后,Z先生有了新問題:他發(fā)現(xiàn),老店還好,大家都熟悉。新店他雖然關(guān)注很多,但是經(jīng)常出錯。不是上錯菜,就是客戶投訴,總之每天都有新的問題。最讓他感到頭疼的是,分店的現(xiàn)金流水情況總是不放心,可是又不知道如何去管。他就派人去其他品牌餐飲店臥底,發(fā)現(xiàn)這些各個分店出品都差不多,而且新人進入后很快就能上手,原因在于不論分店數(shù)量多少,都在一個統(tǒng)一管理標準下經(jīng)營運行。
受到觸動,Z先生在外部咨詢機構(gòu)的協(xié)助下,K企業(yè)相關(guān)管理制度逐步建立起來,例如:分店財務管理模塊,通過總部集中招募財務經(jīng)理,直接對總經(jīng)理負責,外派到各分店。同時采用收支兩條線的方式,收入及時上交總部,采購資金與費用等再定期撥付;在質(zhì)量管理方面,組建了專門的質(zhì)控部門,編制了標準化的質(zhì)量管理手冊;在信息化方面,K企業(yè)購置了一套小型信息系統(tǒng)并順利上線。K企業(yè)發(fā)展到現(xiàn)在,內(nèi)控作為一種內(nèi)在機制,在K企業(yè)已逐步建立起來。
管理運作起來后,開始還很順暢,但是餐飲行業(yè)人員流動快,餐飲品類不斷增加,對管理制度進行持續(xù)更新改進的要求越來越迫切。但由于制度管理相關(guān)權(quán)限(典型權(quán)限包括具體制度誰來編制?誰來審批?誰來宣貫?誰來監(jiān)督?等)模糊、制度編寫標準不統(tǒng)一,管理制度自身越來越混亂。不僅如此,各部門之間經(jīng)常會為自己的利益對制度流程發(fā)生爭論,甚至吵到總經(jīng)理辦公室,Z先生焦頭爛額。
Z先生決定組建專業(yè)化的內(nèi)控部門,并且招募了A先生加盟,成為內(nèi)控部門負責人。A先生思維縝密并擁有多年的企業(yè)流程管理經(jīng)驗,對于內(nèi)控部門工作的開展,A先生提出了如下觀點:
1) 企業(yè)管理制度必須由內(nèi)控部門來進行統(tǒng)籌,采取統(tǒng)一的分級分類標準,管理制度的發(fā)布/修訂/廢止必須經(jīng)過內(nèi)控部門的審核;
2) 內(nèi)控部門應該充分參與各類制度專業(yè)討論,充分發(fā)表專業(yè)意見;
3) 內(nèi)控部門應持續(xù)組織開展企業(yè)制度評價工作,進行風險識別和評價,以推進管理制度持續(xù)優(yōu)化。
Z先生對A先生的觀點表示贊同,鼓勵A先生盡快開展工作,盡早成為企業(yè)的“制度大管家”。事實證明,A先生專業(yè)度很不錯,在其負責的內(nèi)控部門的持續(xù)努力之下,K企業(yè)的制度系統(tǒng)性、規(guī)范性和科學性得到顯著提升,各部門之間的銜接更加順暢、有效。更重要的,重大風險得到及時識別和應對,Z先生的管理壓力明顯降低。
第三階段:K企業(yè)規(guī)模持續(xù)擴大,Z先生發(fā)現(xiàn)自己已看不過來,決定安排人專門負責檢查,內(nèi)審正式登場。
隨著業(yè)務規(guī)模逐步擴大,K企業(yè)已經(jīng)發(fā)展到10家分店,分布于3個城市。Z先生發(fā)現(xiàn)盡管整體經(jīng)營還不錯,但有兩家分店總在虧錢,卻不知道什么原因。有朋友建議他應該找審計人員檢查一下。在找外部審計機構(gòu)和建立內(nèi)審部門之間,經(jīng)過仔細思考權(quán)衡,Z先生決定為了企業(yè)長遠發(fā)展,應組建自己的內(nèi)審部門。通過專業(yè)獵頭,Z先生找到了B先生。B先生之前在另一家知名餐飲企業(yè)集團擔任審計部負責人,因全家遷往本市,因此需要選擇新的企業(yè)就業(yè)。B先生在了解了K企業(yè)是新建內(nèi)審部門及其他相關(guān)基本情況之后,對Z先生提出了如下幾點要求:
1) 內(nèi)審部門負責人直接向Z先生匯報,以確保其審計工作開展具有足夠的獨立性和權(quán)威性;
2) K企業(yè)所有部門和崗位都納入內(nèi)審部門的審計范圍,包括剛剛成立不久的內(nèi)控部門,其審計范圍不能受到任何形式的限制;
3) 關(guān)于內(nèi)審部門與內(nèi)控部門的關(guān)系,B先生表示內(nèi)控部門主要負責管理制度的建立,內(nèi)審部門主要負責檢查管理制度的執(zhí)行情況,對制度設計不合理的地方,內(nèi)審部門也會提出;
4) 關(guān)于審計重點,內(nèi)審部門將獨立進行風險評估和制定,同時將充分聽取Z先生的意見;
5) 內(nèi)審部門將受理并處理各類舉報。
Z先生聽完B先生的要求,有點擔心這樣設置內(nèi)審部門是否會引發(fā)內(nèi)部沖突,后來轉(zhuǎn)念一想,內(nèi)審部門本來就是監(jiān)督部門,引發(fā)沖突幾乎是必然的,也就接受了B先生的要求。
在Z先生的大力支持之下,以B先生為首的內(nèi)審部門成立了。針對前面所提到的兩家分店存在的虧損問題,內(nèi)審部門對比企業(yè)內(nèi)部及競品企業(yè)營業(yè)數(shù)據(jù),發(fā)現(xiàn)這兩家店經(jīng)營成本異常偏高,除了公司統(tǒng)一配送的主材外,其他當?shù)刈灾鞑少彽氖卟说龋仁袌鰞r格偏高。在此基礎上,內(nèi)審部門經(jīng)過明察暗訪,發(fā)現(xiàn)采購經(jīng)理有舞弊嫌疑,使用了自己親屬進行配送。Z先生在查閱了內(nèi)審報告之后,根據(jù)相關(guān)管理制度,立即對相關(guān)人員進行了嚴厲處罰,直接責任人被解除勞動合同。Z先生對B先生及內(nèi)審部門的工作非常滿意,之前的顧慮也逐漸被打消。
在此之后,內(nèi)審部門對幾項管理頑疾進行了專項檢查,在查明原因之后提出了整改意見,并在內(nèi)控部門的配合之下對管理制度進行了優(yōu)化,建立了長效機制。
第四階段:K企業(yè)向投資集團轉(zhuǎn)型,但投資及貸款業(yè)務風險頻發(fā),Z先生決定安排專業(yè)人員集中管理投資及貸款風險,風險管理部門出現(xiàn)了。
隨著K企業(yè)在業(yè)內(nèi)的知名度越來越高,一些戰(zhàn)略投資人開始與Z先生進行接觸,并且達成了注資意向。隨著戰(zhàn)略投資人資金的注入,Z先生意識到需要進入新的業(yè)務領(lǐng)域,因此Z先生對K企業(yè)的組織架構(gòu)進行了調(diào)整,將原有的餐飲業(yè)總部轉(zhuǎn)換成為投資平臺并啟動對外投資,傳統(tǒng)餐飲業(yè)務以一個事業(yè)部的形式繼續(xù)運營。經(jīng)過高層研討,K企業(yè)的投資方向基本確定為新興的非銀行金融行業(yè)及餐飲行業(yè)。在金融行業(yè),K企業(yè)首先收購了一家小貸公司。
然而,K企業(yè)的投資之路并不順利。一次是小貸公司在進行貸款審核時,由于對債務人沒有進行充分的風險評估,一筆資金借出去后無法追回。另一次是餐飲公司準備和一個合作方共同開發(fā)一個西餐新品牌,在投資前沒有對市場前景、合作方實力等進行有效投資風險評估,最終導致投資失敗。
這時,Z先生已經(jīng)充分意識到金融業(yè)務及對外投資的風險跟他之前買菜做飯時所面臨的風險不可同日而語,再次陷入迷茫。Z先生組織團隊進行了行業(yè)對比,認為一些企業(yè)所采取的組建專業(yè)的風險管理部門來對這些風險進行集中管理是一條思路。但是,新設部門不是件小事情,Z先生決定先征求一下內(nèi)控部負責人A先生的意見,并且專門詢問了就安排內(nèi)控部來行使專項風險管理的可行性。
A先生問明Z先生來意,經(jīng)過仔細思考提出了如下觀點:
1) 認同應該由專業(yè)部門對投資等重大風險進行專門管理的合理性;
2) 不建議由內(nèi)控部門來履行風險管理職能,主要理由:首先,內(nèi)控部門的核心職責是維護并且優(yōu)化全企業(yè)的管理制度體系,而不會介入到具體業(yè)務,而風險管理必須介入具體業(yè)務,否則難以實現(xiàn)風險控制效果;其次,在風險識別方面,內(nèi)控部門是組織相關(guān)部門進行全面的風險識別,而風險管理部門則需要聚焦特定重大風險并給出專業(yè)判斷,兩者的工作重點和專業(yè)要求都存在較大差異。
Z先生雖然覺得這些事確實有點抽象,但基于對A先生專業(yè)度的信任,他決定先嘗試一下。經(jīng)人介紹,Z先生決定招募C先生作為部門負責人來組建企業(yè)風險管理部,C先生具有豐富的投資管理經(jīng)驗,對K企業(yè)所在行業(yè)也有深入理解。在正式履職之前,C先生與Z先生也有一次深入的交流,結(jié)合之前的經(jīng)驗,C先生提出:
1) 風險管理部名稱含義比較模糊,因此必須清晰界定風險管理部所管理的風險范疇,現(xiàn)在看主要是投資風險及金融業(yè)務的貸款風險;
2) 風險管理部將集中于特定風險的識別、評價與應對,但這不能替代前端部門(如投資管理部)自身應履行的風險管理職責;
3) 風險管理部應充分參與相關(guān)制度流程(如投資管理制度)的制定;
4) 風險管理部應充分參與具體項目,充分獲取信息并具有實質(zhì)性的管理權(quán)限;
5) 風險管理部有權(quán)對相關(guān)部門風險管理相關(guān)工作進行檢查和評價。
C先生領(lǐng)導下的風險管理部一方面對相關(guān)管理制度進行了重大修訂,對可研、盡調(diào)、過會等關(guān)鍵環(huán)節(jié)的制度要求進行顯著優(yōu)化,另一方面直接介入項目盡調(diào)、評審等工作,促使風控措施真正落地?;陲L險管理部專業(yè)工作,Z先生及時否決、終止了幾個高風險項目,避免了損失。
第五階段:外部合規(guī)壓力激增,Z先生意識到法律法規(guī)紅線是碰不得的,決定集中力量搞合規(guī),合規(guī)部門出現(xiàn)了。
隨著K企業(yè)業(yè)務規(guī)模及業(yè)務范圍的進一步擴大(除了傳統(tǒng)餐飲和非銀行金融行業(yè),K企業(yè)還涉足了中央廚房,涉及食品加工企業(yè)),Z先生發(fā)現(xiàn)市場監(jiān)督管理局、銀保監(jiān)會等政府部門對企業(yè)的監(jiān)管越來越嚴、要求越來越細,特別是最近幾次檢查,檢查組都提出了措辭嚴厲的合規(guī)問題。不僅如此,Z先生還目睹了一些同行因為合規(guī)問題最終關(guān)門大吉甚至惹上官司的事例。作為企業(yè)的法定代表人,Z先生非常緊張。對于Z先生而言,各類監(jiān)管文件猶如天書,一時間Z先生又沒了主意。
Z先生找來了A先生、B先生和C先生來一起討論,Z先生的本意是想請內(nèi)控部或者風險管理部來兼顧合規(guī)這一塊,并且由內(nèi)審部來加強審計。對此,A先生、B先生和C先生給出了如下建議:
1) 考慮到K企業(yè)的行業(yè)特點,建議單獨設置合規(guī)部,理由包括:能夠讓監(jiān)管部門感受到K企業(yè)對合規(guī)工作的重視程度,同時能夠清晰的與監(jiān)管部門進行日常工作對接;由于在各個部門都可能存在合規(guī)風險敞口(如投資管理部門、菜品采購部門等),合規(guī)部必須對各個部門進行持續(xù)的合規(guī)監(jiān)控和督導,這和當前內(nèi)控部和風險管理部的職能特征并不吻合;合規(guī)風險源主要來自外部監(jiān)管要求,合規(guī)管理人員的專業(yè)性也具備自身特點;
2) 內(nèi)控部將充分配合合規(guī)管理要求,例如針對相關(guān)管理制度引入合規(guī)審查;
3) 風險管理部將在項目風險過程中,進行充分的合規(guī)審查;
4) 內(nèi)審部將合規(guī)管理活動納入內(nèi)部審計范圍。
Z先生雖然對又要新設一個部門有些猶豫,但上面第一點顯然打動了Z先生——以后監(jiān)管部門再來檢查,如果可以告知他們企業(yè)已經(jīng)組建了專門的合規(guī)部,在感覺上確實會好很多。于是,K企業(yè)合規(guī)部正式成立,并且聘請了干練的D女士擔任合規(guī)部負責人。D女士在走馬上任之前,提出了如下要求:
1) 在當前日趨嚴格的外部監(jiān)管環(huán)境下,合規(guī)無小事,K企業(yè)從上至下必須建立合規(guī)意識,不能有僥幸心理;
2) 合規(guī)部必須有權(quán)參與涉及合規(guī)風險的重大決策,必須有權(quán)對其他部門的合規(guī)遵從情況進行檢查和整改;
3) 合規(guī)部應能主導合規(guī)相關(guān)管理制度的制定,并且對各類制度進行必要的合規(guī)審查;
4) 合規(guī)部將持續(xù)對外部監(jiān)管要求進行分析和評估,與監(jiān)管部門保持有效溝通,在相關(guān)部門通力配合的前提下,將外部監(jiān)管要求內(nèi)化為企業(yè)內(nèi)部管理要求。
Z先生基本認同D女士的觀點,表示將全力支持。隨著合規(guī)部開始全面履職,經(jīng)過一段時間的內(nèi)部合規(guī)自查及整改,Z先生明顯感覺到政府監(jiān)管部門對K企業(yè)的態(tài)度發(fā)生了轉(zhuǎn)變,所提出的合規(guī)問題,無論是從數(shù)量上還是性質(zhì)上看,都得到了顯著改善。
第六階段:各類風控專業(yè)部門似乎都齊全了,Z先生又開始為這些職能間該如何協(xié)調(diào)發(fā)愁了。
K企業(yè)已經(jīng)發(fā)展成為一個大型企業(yè)集團,企業(yè)的內(nèi)控、內(nèi)審、風險管理和合規(guī)部門也運行了很長一段時間,Z先生漸漸發(fā)現(xiàn),事情并沒有預想的那么簡單,這些部門似乎都或多或少遇到了問題。
例如,風險管理部C先生開始抱怨:投資管理部門等部門針對不理想的投資項目,開始向風險管理部甩鍋。不僅如此,風險管理部的管理范圍被不斷泛化,很多部門認為只要是認為有風險的事情,就應該找風險管理部,問題類型從各類業(yè)務合同簽訂到人員離職補償,不一而足,讓風險管理部應接不暇。
然而,更多的抱怨則是來自各職能部門,例如:部門內(nèi)的一些業(yè)務,合規(guī)部門會檢查一遍,內(nèi)審部門也會檢查一遍,消耗時間精力。不僅如此,合規(guī)部門和內(nèi)審部門經(jīng)常還會提出不同的整改意見,讓人無所適從。又如風險評估工作,內(nèi)控部、風險管理部和合規(guī)部都會進行組織,也讓各部門覺得難以理解。其中,讓Z先生更擔憂的是,業(yè)務部門已經(jīng)多次表示,風險管理部、合規(guī)部等部門提出的一些要求過于苛刻,已經(jīng)嚴重制約業(yè)務發(fā)展。
還好,K企業(yè)擁有務實及開放的企業(yè)文化。通過溝通,Z先生采取了如下措施:
1) 將總經(jīng)辦作為日常工作協(xié)調(diào)的平臺,明確以風險為導向?qū)?nèi)控部門、內(nèi)審部門及合規(guī)部門進行工作協(xié)調(diào),并且通過不斷優(yōu)化管理制度對各部門的職責、配合流程進行明確。如:在內(nèi)審部門制定審計計劃的過程中,應根據(jù)情況組織相關(guān)方來識別、評價風險,其中內(nèi)控、合規(guī)和風險管理部門的風險評價結(jié)論將作為重要輸入;
2) 在董事會層面組建了風險管理委員會進行重大風險決策,提升風險評價、風險對策制定的層級,促成在企業(yè)內(nèi)形成統(tǒng)一的風險評價結(jié)論;
3) 通過持續(xù)宣貫、績效管理等手段,明確前端部門(如業(yè)務部門)在風險控制中的關(guān)鍵作用,夯實“第一道防線”,遏制風險失控后的“甩鍋”行為。
通過上述努力,企業(yè)風險政策更加統(tǒng)一和明確,內(nèi)控、內(nèi)審等工作的協(xié)調(diào)性得到加強,對業(yè)務部門的干擾也有所降低。
歸納一:內(nèi)控、內(nèi)審、風險管理與合規(guī)各自如何應運而生?
從上面K企業(yè)發(fā)展史,我們可以做如下的總結(jié):
1) 內(nèi)控作為滲透到企業(yè)各個業(yè)務領(lǐng)域的內(nèi)在管理機制,從企業(yè)建立那天開始即存在,隨著企業(yè)的不斷發(fā)展會不斷演進得更系統(tǒng)化和規(guī)范化;隨著企業(yè)制度體系不斷復雜化,內(nèi)控部門則會以制度集中歸口管理部門的形式出現(xiàn),并將負責組織全企業(yè)的風險識別、評價與應對措施制定工作。
2) 當股東/老板為自己的時間、精力或?qū)I(yè)性所限,無法對企業(yè)進行有效監(jiān)督時,則會對內(nèi)審產(chǎn)生需求,這時獨立的內(nèi)審部門往往會出現(xiàn)。
3) 當企業(yè)對于特定風險存在重大顧慮,并且認為已有組織架構(gòu)無法有效防范該風險時,即可能設置專門的風險管理部門,以提升對此特定風險的控制效果。(注:在央企等實施全面風險管理標準的企業(yè)所設置的風險管理部,可能會全面負責各類風險的控制,和前文所提出的風險管理部職責將存在重大差異。對此,后文還將進行闡述。)
4) 當企業(yè)面臨較高的外部合規(guī)壓力時,則會采取合規(guī)管理措施,并且可能單獨設置合規(guī)部門。
歸納二:內(nèi)控、內(nèi)審、風險管理與合規(guī)部門如何分工協(xié)調(diào)?典型的分工協(xié)調(diào)方式可以歸納為:
1) 風險管理部和合規(guī)部在自身所聚焦的風險領(lǐng)域,可以主導特定制度流程編制,也可以要求其他部門根據(jù)其要求完善自身相關(guān)制度流程,但就制度流程的基礎管理程序而言,需要在內(nèi)控部門所維護的基本框架之下進行。
2) 風險管理部門和合規(guī)部可以在自身所聚焦的領(lǐng)域可以對其他部門進行檢查,但應與內(nèi)審部門進行協(xié)調(diào),以減輕其他部門的配合壓力。
3) 內(nèi)審部門則是對包括內(nèi)控、風險管理和合規(guī)部門在內(nèi)的所有部門進行監(jiān)督檢查,在風險管理部和合規(guī)部所聚焦的風險領(lǐng)域,可以充分參考這兩個部門的工作成果及檢查發(fā)現(xiàn)。
4) 在風險識別與評估方面,整體工作由內(nèi)控部門牽頭,內(nèi)控部門在具體工作開展中,針對風險管理部門和合規(guī)部所聚焦的風險領(lǐng)域,應充分參考風險管理部門和合規(guī)部的工作成果。而風險管理部門和合規(guī)部就其所聚焦的風險領(lǐng)域,應主導對應風險的識別和評價工作。
內(nèi)控、內(nèi)審、風險管理與合規(guī)部門的日常工作協(xié)調(diào)在總經(jīng)辦平臺上進行,涉及重大決策的,由董事會層面的風險管理委員會完成。
三、讓我們回到“控制風險”這個本質(zhì)
從K企業(yè)的發(fā)展簡史可以看出,內(nèi)控、內(nèi)審、風險管理和合規(guī)的出現(xiàn),本質(zhì)上還是為了有效支持企業(yè)業(yè)務開展,更具體的,是為了企業(yè)能夠有效控制風險。
1、風險控制核心工作
先不考慮具體的實施主體,風險控制的核心工作事項包括:
1)對風險進行識別和評價,并根據(jù)風險評價結(jié)果制定控制措施;
2)將控制措施在原則、職責、流程和標準中明確,通過建章立制進行制度化管理;
3)對制度運行及風險管理情況進行檢查和評價,落實獎懲并持續(xù)改進。
2、風險控制中需要考慮的因素
1)是管“具體業(yè)務”還是管“游戲規(guī)則”?
前者是針對具體風險本身(對合同中常見條款陷阱的識別標準),后者是針對圍繞風險的管理規(guī)則(如針對復雜的非標準合同設置專業(yè)評審機制)。
2)是管“執(zhí)行”(運動員)還是管“監(jiān)督”(裁判員)?如果是管“監(jiān)督”,是監(jiān)督“過程”(業(yè)務執(zhí)行過程規(guī)范性)還是監(jiān)督“結(jié)果”(業(yè)務執(zhí)行效果)?
3)對“專業(yè)性”的考慮。不同的風險控制手段會對實施主體提出不同的專業(yè)性要求。
4)對“獨立性”的考慮。特定風險控制手段會對獨立性提出較高的要求。
3、關(guān)于部門的設置
企業(yè)應根據(jù)所處發(fā)展階段、業(yè)務復雜度、所面臨的風險情況等因素來決定如何進行部門設置。在現(xiàn)實中,存在兩類典型問題:首先是因人設部門,因人設崗,這樣可能導致企業(yè)組織結(jié)構(gòu)會隨著人員更替頻繁變化,管理體系頻繁變動;其次是生搬硬套其他企業(yè)組織架構(gòu),或造成機構(gòu)臃腫,或?qū)е虏块T間協(xié)調(diào)困難。
企業(yè)內(nèi)控、內(nèi)審、風險管理、合規(guī)部門如何設置呢?這里有三個核心問題:
1) 是否需要單設部門?
2) 如果單設部門,核心工作職責/權(quán)限包括哪些?
3) 如何與相關(guān)部門進行協(xié)調(diào)?
對于這三個問題,可以在下面的內(nèi)容中尋找答案。
不難看出,K企業(yè)的“風險管理部”(注1)和“合規(guī)部”都是因聚焦特定風險源而生、是職能必須向其他部門進行橫向拓展的部門,具有這種特征的其實還有“質(zhì)量部”、“安全部”等部門。如質(zhì)量部為從整個產(chǎn)品生命周期上強化質(zhì)量管理,會對采購部、生產(chǎn)部進行工作檢查,并且參與這些部門的制度、流程及標準的制定。
由于內(nèi)控、內(nèi)審、風險管理和合規(guī)都是圍繞“風險”展開,業(yè)界已提出“大風控”概念,核心思想是“既然大家都是管風險的,為什么不合在一起呢?”。我們認為,如前文所述,內(nèi)控、內(nèi)審、風險管理和合規(guī)職能在獨立性要求、所聚焦風險領(lǐng)域、與其他部門的關(guān)系、人員專業(yè)技能等方面存在實質(zhì)性差異,受到“專業(yè)化引力”(參看亨利.明茨伯格《卓有成效的組織》一書)等因素的影響,在實踐中仍會出現(xiàn)按照部門進行工作分工的趨勢。根據(jù)前文分析,部門間潛在沖突會體現(xiàn)在“獨立性”、“工作范圍”和“專業(yè)性要求”三個方面。
獨立性:是否參與具體業(yè)務活動(如是否參與具體業(yè)務決策)、匯報路徑等。例如,如果風險管理部參與具體業(yè)務評審,其獨立性會受到影響。
工作范圍:如制度歸口范圍等。例如內(nèi)控部門,相對其他部門需負責企業(yè)整體制度歸口管理。
專業(yè)性要求:人員所需具備的專業(yè)知識,如特定風險領(lǐng)域的風控技能、部門間協(xié)調(diào)技能等。例如合規(guī)部門人員應熟悉企業(yè)所處監(jiān)管環(huán)境的外部合規(guī)要求及合規(guī)方法。
部門間潛在沖突分析
注1:在一些企業(yè)(如實行全面風險管理框架的企業(yè)),可能會設置更加綜合的“風險管理部”,部門職責會涵蓋全面的風險識別/評價/控制措施制定、控制執(zhí)行的事前/事中/事后監(jiān)控(如監(jiān)控特定動態(tài)風險指標)、風險控制標準制定、參與重大風險決策、風險相關(guān)管理制度制定、監(jiān)督檢查、風險管理效果評價/報告、風險管理考核等職能,其職能可以理解為K企業(yè)內(nèi)控部、內(nèi)審部、風險管理部及合規(guī)部的綜合。不僅如此,“合規(guī)”、“內(nèi)控”等概念在不同企業(yè)也可能涵蓋不同的范疇,如在一些企業(yè),合規(guī)部門的職責既包括外部合規(guī)、也包括企業(yè)內(nèi)部管理制度合規(guī),其范疇大于本文中所描述的合規(guī)部職責。整體上,我們認為在分析時應聚焦具體職責,而非概念或部門名稱。
四、對企業(yè)的建議
圍繞內(nèi)控、內(nèi)審、風險管理和合規(guī)的職能定位,很多企業(yè)存在困惑。結(jié)合前文,我們提出如下建議,供企業(yè)參考。
1、先識別和評價風險,再根據(jù)企業(yè)的實際情況考慮部門的設置。
如前文所述,設置部門的基本目的是有效控制風險、支持業(yè)務的開展。企業(yè)應首先有效識別并評價其所面臨的風險,從合理分配風險控制相關(guān)職責(如制度管理、檢查評價等)的角度,根據(jù)業(yè)務復雜性、組織成熟度等因素考慮部門的設置,而非先設置部門再考慮部門職責。
如在前面的例子中,相對于內(nèi)控部和內(nèi)審部,K企業(yè)設置了風險管理部和合規(guī)部,是因為該企業(yè)基于對特定業(yè)務風險和合規(guī)風險的評價結(jié)果,決定通過專設部門的方式增強對這些風險的控制效果,實質(zhì)上是在前端部門之后增加了一道風險防線。然而,增加防線是需要增加組織成本的,是否合理取決于這些成本的投入產(chǎn)出比,即降低風險所帶來的收益是否大于新增控制成本。
2、將注意力放在具體風控措施的執(zhí)行,而非追求形式層面的部門齊備。
從企業(yè)的角度,應將注意力先集中于風險控制相關(guān)措施是否到位,如前文所提到的風險是否已經(jīng)全面有效地識別和評價、管理制度是否已經(jīng)有效建設與維護、是否已經(jīng)建立了有效的監(jiān)督機制等等。如經(jīng)過評價,在現(xiàn)有架構(gòu)下前述措施都已執(zhí)行到位,則不需要在部門層面做過多調(diào)整;如果企業(yè)發(fā)現(xiàn)在現(xiàn)有架構(gòu)下無法有效執(zhí)行必要風控措施,則需要考慮在部門設置等方面予以調(diào)整。
3、單設部門會帶來專業(yè)化、獨立性等好處,但也會增加協(xié)調(diào)等成本,這也需要企業(yè)進行評估取舍,并且加強協(xié)調(diào)。
例如,由于風險管理部、合規(guī)管理部的職責是基于特定風險展開,因此往往會與內(nèi)控部門和內(nèi)審不可避免的出現(xiàn)職能重合:如在合規(guī)風險領(lǐng)域,合規(guī)部門在制度制定/評審及風險識別/評價方面會與內(nèi)控部門職能重合、在檢查評價方面會與內(nèi)審部門職能重合。
又例如,風險管理部在具體業(yè)務過程中會參與風險評價和決策,則會與前端部門的職責重合(如投資管理部也必須識別評價投資風險,并且在決策過程中充分考慮風險)。
因此,如果同時設置多個部門,應盡可能的免多頭及重復管理,并且需要建立一定的橫向溝通機制。
結(jié)語
對企業(yè)內(nèi)控、內(nèi)審、風險管理與合規(guī)的關(guān)系,從理論到實踐,都存在著較大爭議。我們認為,針對這些問題的分析應該從企業(yè)發(fā)展階段及各階段內(nèi)在需求出發(fā),否則易陷入概念之爭。針對本文觀點,歡迎業(yè)內(nèi)同仁批評指正。
來源:馮博內(nèi)控正經(jīng)談
作者:馮萌 王凱
上海閱洲咨詢高級經(jīng)理宋志強先生對本文亦有貢獻。感謝黃海云女士所提出的寶貴建議。
如有侵權(quán),聯(lián)系刪除,謝謝!
? 2019-2021 All rights reserved. 北京轉(zhuǎn)創(chuàng)國際管理咨詢有限公司 京ICP備19055770號-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:北京市大興區(qū)新源大街25號院恒大未來城7號樓1102室
北京市豐臺區(qū)南四環(huán)西路128號諾德中心2號樓5層
北京市海淀區(qū)西禪寺(華北項目部)
深圳市南山區(qū)高新科技園南區(qū)R2-B棟4樓12室
深圳市福田區(qū)華能大廈
佛山順德區(qū)北滘工業(yè)大道云創(chuàng)空間
汕頭市龍湖區(qū)泰星路9號壹品灣三區(qū)
長沙市芙蓉區(qū)韶山北路139號文化大廈
梅州市豐順縣大潤發(fā)大廈
歡迎來到本網(wǎng)站,請問有什么可以幫您?
稍后再說 現(xiàn)在咨詢 阳谷县| 巫山县| 辽源市| 同江市| 抚宁县| 泸西县| 喀喇沁旗| 平湖市| 犍为县| 澄江县|