内控、风险、合规、审计关系

1019页20232023收官之作：冯萌.王凯|企业内控、内审、风险管理与合规关系辨析——基于一家企业极简进展史的探讨〔转〕一、问题的提出”当前，在企业内外部环境的共同作用之下，“内控”、“内审”、“风险”当前，在企业内外部环境的共同作用之下，“内控”、“内审”、“风险治理”和“合规”作为一项治理活动或者作为具体部门，已在各类企业中频 繁消灭。与此同时，这些概念的范畴、相互关系以及在企业中如何实践，业已引发了广泛争论。我们认为，繁消灭。与此同时，这些概念的范畴、相互关系以及在企业中如何实践，业已引发了广泛争论。我们认为，对于这些问题的争论不应脱离企业进展过程中所产生的内在治理需求，因此我们不妨从一家企业的进展史的视角开放争论。我们 给这家企业起名为 K企业，并且给这家企业安排一位创始人、股东、老 板兼总经理——板兼总经理——Z〔按出场先后挨次排列〕AK企业内控部负责人BAK企业内控部负责人BK企业内审部负责人CK企业风险治理部负责人DK企业合规部负责人请留意，这只是一个高度简化的例如。二、K企业的极简进展史如中国大多数企业一样，K企业也经受了从无到有、从小到大、从简单到简单的进展历程，并最终成为一家涉足餐饮、金融等行业的企业集如中国大多数企业一样，K企业也经受了从无到有、从小到大、从简单到简单的进展历程，并最终成为一家涉足餐饮、金融等行业的企业集团。第一阶段：第一阶段：K企业创立，Z先生几乎掌控一切Z先生做快餐餐厅起家，第一家餐厅的收银兼出纳是自己的一位亲戚，后厨、效劳员 5-6个，从原料选购、装修、菜单设计都是Z先生做快餐餐厅起家，第一家餐厅的收银兼出纳是自己的一位亲戚，后厨、效劳员 5-6个，从原料选购、装修、菜单设计都是Z先生自己负责。甚至厨师忙不过来时， Z先生自己也会去炒两个菜，这些里里外外都是自己张罗。会计是找的代账公司帮着记账。由于自己菜品有些渐渐地，每天客户订餐量巨大， Z先生每天光菜市场都要跑好几次，觉察自己忙不过来了，Z先生意识到目前的治理模式已经不行了。特色，而且真材实料，生意始终不错。甚至四周写字间的公司特地在这 里定了员工餐，生意越来越好。 渐渐地，每天客户订餐量巨大， Z先生每天光菜市场都要跑好几次，觉察自己忙不过来了，Z先生意识到目前的治理模式已经不行了。其次阶段：K企业初具规模，Z先生开头进展分权、明确职责分工、其次阶段：K企业初具规模，Z先生开头进展分权、明确职责分工、开头建章立制，Z先生也开头从亲力亲为转向监视评价，系统化企业内控显现，并建立了特地的内控部门。K企业生意持续火爆，踌躇满志的Z先生打算扩大经营。Z先生开头聘请包括选购人员、财务人员在内的专业人员。与此同时，饭店大厨和 核心骨干分别入股，引入外部投资人，在将来一年连续开了三个分店， 为了实现集中治理，为了实现集中治理，Z先生组建了治理总部。分店建立后，分店建立后，Z先生有了问题：他觉察，老店还好，大家都生疏。店他虽然关注很多，但是常常出错。不是上错菜，就是客户投诉，总之每天都有的问题。最让他感到头疼的是，分店的现金流水状况总是不放心，可是又不知道如何去管。他就派人去其他品牌餐饮店卧底，发现这些各个分店出品都差不多，而且人进入后很快就能上手，缘由在现这些各个分店出品都差不多，而且人进入后很快就能上手，缘由在于不管分店数量多少，都在一个统一治理标准下经营运行。受到触动，于不管分店数量多少，都在一个统一治理标准下经营运行。受到触动，Z先生在外部询问机构的帮助下， K企业相关治理制度逐准时上交总部，选购资金与费用等再定期拨付；在质量治理方面，组建了特地的质控部门，编制了标准化的质量治理手册；在信息化方面，K企业购置了一套小型信息系统并顺当上线。K企业进展到现在，内控作步建立起来，例如：分店财务治理模块，通过总部集中招募财务经理， 准时上交总部，选购资金与费用等再定期拨付；在质量治理方面，组建了特地的质控部门，编制了标准化的质量治理手册；在信息化方面，K企业购置了一套小型信息系统并顺当上线。K企业进展到现在，内控作为一种内在机制，在 K企业已逐步建立起来。治理运作起来后，开头还很顺畅，但是餐饮行业人员流淌快，餐饮品类不断增加，对治理制度进展持续更改进的要求越来越迫切。但由于制度治理相关权限〔典型权限包括具体制度谁来编制？谁来审批？谁来宣贯？谁来监视？等〕模糊、制度编写标准不统一，治理制度自身越来治理运作起来后，开头还很顺畅，但是餐饮行业人员流淌快，餐饮品类不断增加，对治理制度进展持续更改进的要求越来越迫切。但由于制度治理相关权限〔典型权限包括具体制度谁来编制？谁来审批？谁来宣贯？谁来监视？等〕模糊、制度编写标准不统一，治理制度自身越来越混乱。不仅如此，各部门之间常常会为自己的利益对制度流程发生争 论，甚至吵到总经理办公室， Z先生焦头烂额。ZZ组建专业化的内控部门A控部门负责人。A先生思维缜密并拥有多年的企业流程治理阅历，对于内控部门工作的开展，控部门负责人。A先生思维缜密并拥有多年的企业流程治理阅历，对于内控部门工作的开展，A先生提出了如下观点：1)企业治理制度必需由内控部门来进展统筹，实行统一的分级分类标准，治理制度的公布/修订/废止必需经过内控部门的审核；2)内控部门应当充分参与各类制度专业争论，充分发表专业意见；2)内控部门应当充分参与各类制度专业争论，充分发表专业意见；3)内控部门应持续组织开展企业制度评价工作，进展风险识别和评3)内控部门应持续组织开展企业制度评价工作，进展风险识别和评价，以推动治理制度持续优化。Z价，以推动治理制度持续优化。Z先生对A先生的观点表示赞同，鼓舞A先生尽快开展工作，尽早显著提升，各部门之间的连接更加顺畅、有效。更重要的，重大风险得到准时识别和应对，Z先生的治理压力明显降低。成为企业的“制度大管家”。事实证明，A先生专业度很不错，在其负责的内控部门的持续努力之下，K企业的制度系统性、标准性和科学性得到显著提升，各部门之间的连接更加顺畅、有效。更重要的，重大风险得到准时识别和应对，Z先生的治理压力明显降低。第三阶段：K企业规模持续扩大，第三阶段：K企业规模持续扩大，Z先生觉察自己已看不过来，打算安排人特地负责检查，内审正式登场。随着业务规模逐步扩大，K企业已经进展到 10家分店，分布于 3个Z先生觉察尽管整体经营还不错，但有两家分店总在亏钱，却不知道什么缘由。有朋友建议他应当找审计人员检查一下。在找外部审计机构和建立内审部门之间，经过认真思考权衡，Z先生打算为了企业长应组建自己的内审部门。通过专业猎头，Z先生找到了B先生。B先生之前在另一家知名餐饮企业集团担当审计部负责人，因全家迁往B先生之前在另一家知名餐饮企业集团担当审计部负责人，因全家迁往本市，因此需要选择的企业就业。B先生在了解了K企业是建内审部门及其他相关根本状况之后，对Z先生提出了如下几点要求：1)内审部门负责人直接向1)内审部门负责人直接向Z先生汇报，以确保其审计工作开展具有足够的独立性和权威性；2)足够的独立性和权威性；2)K企业全部部门和岗位都纳入内审部门的审计范围， 包括刚刚成立不久的内控部门，其审计范围不能受到任何形式的限制；33)关于内审部门与内控部门的关系，B先生表示内控部门主要负责管理制度的建立，内审部门主要负责检查治理制度的执行状况，对制度设计不合理的地方，内审部门也会提出；4)关于审计重点，内审部门将独立进展风险评估和制定，同时将充理制度的建立，内审部门主要负责检查治理制度的执行状况，对制度设计不合理的地方，内审部门也会提出；4)关于审计重点，内审部门将独立进展风险评估和制定，同时将充分听取Z先生的意见；5)内审部门将受理并处理各类举报。Z先生听完5)内审部门将受理并处理各类举报。Z先生听完B先生的要求，有点担忧这样设置内审部门是否会引发内部冲突，后来转念一想，内审部门原来就是监视部门，引发冲突几乎是必定的，也就承受了 B先生的要求。在Z先生的大力支持之下，以B在Z先生的大力支持之下，以B先生为首的内审部门成立了。针对前面所提到的两家分店存在的亏损问题，内审部门比照企业内部及竞品企业营业数据，觉察这两家店经营本钱特别偏高，除了公司统一配送的主材外，其他当地自主选购的蔬菜等，比市场价格偏高。在此根底上，及内审部门的工作格外满足，之前的顾虑也渐渐被消除。在此之后，内审部门对几项治理顽疾进展了专项检查， 在查明缘由之内审部门经过明察暗访，觉察选购经理有舞弊嫌疑，使用了自己亲属进行配送。Z先生在查阅了内审报告之后，依据相关治理制度，马上对相关人员进展了严峻惩罚，直接责任人被解除劳动合同。Z先生对B先生及内审部门的工作格外满足，之前的顾虑也渐渐被消除。在此之后，内审部门对几项治理顽疾进展了专项检查， 在查明缘由之后提出了整改意见，并在内控部门的协作之下对治理制度进展了优化， 建立了长效机制。第四阶段：第四阶段：K企业向投资集团转型，但投资及贷款业务风险频发，Z先生打算安排专业人员集中治理投资及贷款风险， 风险治理部门消灭了。随着随着K企业在业内的知名度越来越高，一些战略投资人开头与Z先生进展接触，并且达成了注资意向。随着战略投资人资金的注入，Z生进展接触，并且达成了注资意向。随着战略投资人资金的注入，Z先生意识到需要进入的业务领域，因此Z先生对K企业的组织架构进展方向根本确定为兴的非银行金融行业及餐饮行业。在金融行业，K企业首先收购了一家小贷公司。然而，K企业的投资之路并不顺当。一次是小贷公司在进展贷款审核了调整，将原有的餐饮业总部转换成为投资平台并启动对外投资，传统 餐饮业务以一个事业部的形式连续运营。经过高层研讨， K企业的投资方向根本确定为兴的非银行金融行业及餐饮行业。在金融行业，K企业首先收购了一家小贷公司。然而，K企业的投资之路并不顺当。一次是小贷公司在进展贷款审核时，由于对债务人没有进展充分的风险评估，一笔资金借出去后无法追 回。另一次是餐饮公司预备和一个合作方共同开发一个西餐品牌，在 投资前没有对市场前景、合作方实力等进展有效投资风险评估，最终导投资前没有对市场前景、合作方实力等进展有效投资风险评估，最终导致投资失败。这时，Z先生已经充分意识到金融业务及对外投资的风险跟他之前买致投资失败。这时，Z先生已经充分意识到金融业务及对外投资的风险跟他之前买菜做饭时所面临的风险不行同日而语，再次陷入迷茫。Z先生组织团队进展了行业比照，认为一些企业所实行的组建专业的风险治理部门来对这些风险进展集中治理是一条思路。但是，设部门不是件小事情，Z先生打算先征求一下内控部负责人A先生的意见，并且特地询问了就安排内控部来行使专项风险治理的可行性。A先生问明Z先生来意，经过认真思考提出了如下观点：先生打算先征求一下内控部负责人A先生的意见，并且特地询问了就安排内控部来行使专项风险治理的可行性。A先生问明Z先生来意，经过认真思考提出了如下观点：1)认同应当由专业部门对投资等重大风险进展特地治理的合理性；2)不建议由内控部门来履行风险治理职能，主要理由：首先，内控部门的核心职责是维护并且优化全企业的治理制度体系，而不会介入到具体业务，而风险治理必需介入具体业务，否则难以实现风险掌握效果；具体业务，而风险治理必需介入具体业务，否则难以实现风险掌握效果；其次，在风险识别方面，内控部门是组织相关部门进展全面的风险识别，而风险治理部门则需要聚焦特定重大风险并给出专业推断，两者的工作其次，在风险识别方面，内控部门是组织相关部门进展全面的风险识别，而风险治理部门则需要聚焦特定重大风险并给出专业推断，两者的工作重点和专业要求都存在较大差异。Z先生虽然觉得这些事确实有点抽象，但基于对A先生专业度的信任，他打算先尝试一下。经人介绍， ZZ先生虽然觉得这些事确实有点抽象，但基于对A先生专业度的信任，他打算先尝试一下。经人介绍， Z先生打算招募 C先生作为部门负责人来组建企业风险治理部， C先生具有丰富的投资治理阅历，对K企业所在行业也有深入理解。在正式履职之前，C先生与Z先生也有一次深入的沟通，结合之前的阅历， C先生提出：1)风险治理部名称含义比较模糊，因此必需清楚界定风险治理部所治理的风险范畴，现在看主要是投资风险及金融业务的贷款风险；2)风险治理部将集中于特定风险的识别、评价与应对，但这不能替代前端部门〔如投资治理部〕自身应履行的风险治理职责；3)风险治理部应充分参与相关制度流程〔如投资治理制度〕的制定；4)风险治理部应充分参与具体工程，充分猎取信息并具有实质性的1)风险治理部名称含义比较模糊，因此必需清楚界定风险治理部所治理的风险范畴，现在看主要是投资风险及金融业务的贷款风险；2)风险治理部将集中于特定风险的识别、评价与应对，但这不能替代前端部门〔如投资治理部〕自身应履行的风险治理职责；3)风险治理部应充分参与相关制度流程〔如投资治理制度〕的制定；4)风险治理部应充分参与具体工程，充分猎取信息并具有实质性的治理权限；5)风险治理部有权对相关部门风险治理相关工作进展检查和评价。C先生领导下的风险治理部一方面对相关治理制度进展了重大修订，5)风险治理部有权对相关部门风险治理相关工作进展检查和评价。C先生领导下的风险治理部一方面对相关治理制度进展了重大修订，对可研、尽调、过会等关键环节的制度要求进展显著优化，另一方面直接介入工程尽调、评审等工作，促使风控措施真正落地。基于风险治理部专业工作，Z先生准时拒绝、终止了几个高风险工程，避开了损失。第五阶段：外部合规压力激增，第五阶段：外部合规压力激增，Z先生意识到法律法规红线是碰不得的，打算集中力气搞合规，合规部门消灭了。随着的，打算集中力气搞合规，合规部门消灭了。随着K企业业务规模及业务范围的进一步扩大〔除了传统餐饮和非银求越来越细，特别是最近几次检查，检查组都提出了措辞严峻的合规问题。不仅如此，Z先生还目睹了一些同行由于合规问题最终关门大吉甚至惹上官司的事例。作为企业的法定代表人，Z先生格外紧急。对于Z行金融行业，K企业还涉足了中心厨房，涉及食品加工企业〕， Z先生求越来越细，特别是最近几次检查，检查组都提出了措辞严峻的合规问题。不仅如此，Z先生还目睹了一些同行由于合规问题最终关门大吉甚至惹上官司的事例。作为企业的法定代表人，Z先生格外紧急。对于Z先生而言，各类监管文件如同天书，一时间 Z先生又没了方法。Z先生找来了A先生、Z先生找来了A先生、B先生和C先生来一起争论，Z先生的本意是想请内控部或者风险治理部来兼顾合规这一块，并且由内审部来加强审计。对此，AB先生和C先生给出了如下建议：1)考虑到K企业的行业特点，建议单独设置合规部，理由包括：能够让监管部门感受到 K企业对合规工作的重视程度，同时能够清楚的与 监管部门进展日常工作对接；由于在各个部门都可能存在合规风险敞口 合；合规风险源主要来自外部监管要求，合规治理人员的专业性也具备2)内控部将充分协作合规治理要求，例如针对相关治理制度引入合〔如投资治理部门、菜品选购部门等〕，合规部必需对各个部门进展持 合；合规风险源主要来自外部监管要求，合规治理人员的专业性也具备2)内控部将充分协作合规治理要求，例如针对相关治理制度引入合续的合规监控和督导，这和当前内控部和风险治理部的职能特征并不吻续的合规监控和督导，这和当前内控部和风险治理部的职能特征并不吻自身特点；规审查；3)风险治理部将在工程风险过程中，进展充分的合规审查；3)风险治理部将在工程风险过程中，进展充分的合规审查；4)内审部将合规治理活动纳入内部审计范围。4)内审部将合规治理活动纳入内部审计范围。ZZ先生虽然对又要设一个部门有些迟疑， 但上面第一点明显打动了Z先生——以后监管部门再来检查，假设可以告知他们企业已经组建了提出了如下要求：1)在当前日趋严格的外部监管环境下， 合规无小事，K企业从上至下必需建立合规意识，不能有幸运心理；2)合规部必需有权参与涉及合规风险的重大决策，必需有权对其他特地的合规部，在感觉上确实会好很多。于是， K企业合规部正式成立，并且聘请了干练的 D女士担当合规部负责人。D提出了如下要求：1)在当前日趋严格的外部监管环境下， 合规无小事，K企业从上至下必需建立合规意识，不能有幸运心理；2)合规部必需有权参与涉及合规风险的重大决策，必需有权对其他部门的合规遵从状况进展检查和整改； 3)合规部应能主导合规相关治理制度的制定，并且对各类制度进展必要的合规审查；4)合规部将持续对外部监管要求进展分析和评估，与监管部门保持3)合规部应能主导合规相关治理制度的制定，并且对各类制度进展必要的合规审查；4)合规部将持续对外部监管要求进展分析和评估，与监管部门保持有效沟通，在相关部门通力协作的前提下，将外部监管要求内化为企业 内部治理要求。ZZD面履职，经过一段时间的内部合规自查及整改，Z面履职，经过一段时间的内部合规自查及整改，Z先生明显感觉到政府监管部门对K企业的态度发生了转变，所提出的合规问题，无论是从数量上还是性质上看，都得到了显著改善。 第六阶段：各类风控专业部门似乎都齐全了， Z第六阶段：各类风控专业部门似乎都齐全了， Z先生又开头为这些职能间该如何协调发愁了。K企业已经进展成为一个大型企业集团，企业的内控、内审、风险管K企业已经进展成为一个大型企业集团，企业的内控、内审、风险管理和合规部门也运行了很长一段时间，Z先生渐渐觉察，事情并没有预想的那么简洁，这些部门似乎都或多或少遇到了问题。理和合规部门也运行了很长一段时间，Z先生渐渐觉察，事情并没有预想的那么简洁，这些部门似乎都或多或少遇到了问题。例如，风险治理部 C先生开头埋怨：投资治理部门等部门针对不理想的投资工程，开头向风险治理部甩锅。不仅如此，风险治理部的治理 范围被不断泛化，很多部门认为只要是认为有风险的事情，就应当找风险治理部，问题类型从各类业务合同签订到人员离职补偿，不一而足，让风险治理部应接不暇。然而，更多的埋怨则是来自各职能部门，例如：部门内的一些业务，范围被不断泛化，很多部门认为只要是认为有风险的事情，就应当找风险治理部，问题类型从各类业务合同签订到人员离职补偿，不一而足，让风险治理部应接不暇。然而，更多的埋怨则是来自各职能部门，例如：部门内的一些业务，合规部门会检查一遍，内审部门也会检查一遍，消耗时间精力。不仅如 此，合规部门和内审部门常常还会提出不同的整改意见，让人无所适从。又如风险评估工作，内控部、风险治理部和合规部都会进展组织，也让各部门觉得难以理解。其中，让此，合规部门和内审部门常常还会提出不同的整改意见，让人无所适从。又如风险评估工作，内控部、风险治理部和合规部都会进展组织，也让各部门觉得难以理解。其中，让Z先生更担忧的是，业务部门已经屡次表示，风险治理部、合规部等部门提出的一些要求过于苛刻，已经严峻 制约业务进展。KZ先生实行了如下措施：1)将总经办作为日常工作协调的平台，明确以风险为导向对内控部如下措施：1)将总经办作为日常工作协调的平台，明确以风险为导向对内控部门、内审部门及合规部门进展工作协调，并且通过不断优化治理制度对各部门的职责、协作流程进展明确。如：在内审部门制定审计打算的过程中，应依据状况组织相关方来识别、评价风险，其中内控、合规和风险治理部门的风险评价结论将作为重要输入；险治理部门的风险评价结论将作为重要输入；2)在董事会层面组建了风险治理委员会进展重大风险决策，提升风2)在董事会层面组建了风险治理委员会进展重大风险决策，提升风险评价、风险对策制定的层级，促成在企业内形成统一的风险评价结论；3)通过持续宣贯、绩效治理等手段，明确前端部门〔如业务部门〕险评价、风险对策制定的层级，促成在企业内形成统一的风险评价结论；3)通过持续宣贯、绩效治理等手段，明确前端部门〔如业务部门〕通过上述努力，企业风险政策更加统一和明确，内控、内审等工作的协调性得到加强，对业务部门的干扰也有所降低。归纳一：内控、内审、风险治理与合规各自如何应运而生？从上面K企业进展史，我们可以做如下的总结：1)内控作为渗透到企业各个业务领域的内在治理机制，从企业建立那天开头即存在，随着企业的不断进展会不断演进得更系统化和标准化；随着企业制度体系不断简单化，内控部门则会以制度集中归口治理部门的形式消灭，并将负责组织全企业的风险识别、评价与应对措施制定工在风险掌握中的关键作用，夯实“第一道防线”，遏制风险失控后的“甩锅” 行为。通过上述努力，企业风险政策更加统一和明确，内控、内审等工作的协调性得到加强，对业务部门的干扰也有所降低。归纳一：内控、内审、风险治理与合规各自如何应运而生？从上面K企业进展史，我们可以做如下的总结：1)内控作为渗透到企业各个业务领域的内在治理机制，从企业建立那天开头即存在，随着企业的不断进展会不断演进得更系统化和标准化；随着企业制度体系不断简单化，内控部门则会以制度集中归口治理部门的形式消灭，并将负责组织全企业的风险识别、评价与应对措施制定工作。22)当股东/老板为自己的时间、精力或专业性所限，无法对企业进展有效监视时，则会对内审产生需求，这时独立的内审部门往往会消灭。 3)当企业对于特定风险存在重大顾虑，并且认为已有组织架构无法有效防范该风险时，即可能设置特地的风险治理部门，以提升对此特定3)当企业对于特定风险存在重大顾虑，并且认为已有组织架构无法有效防范该风险时，即可能设置特地的风险治理部门，以提升对此特定风险的掌握效果。〔注：在央企等实施全面风险治理标准的企业所设置的风险治理部，可能会全面负责各类风险的掌握，和前文所提出的风险治理部职责将存在重大差异。对此，后文还将进展阐述。〕4)当企业面临较高的外部合规压力时，则会实行合规治理措施，并4)当企业面临较高的外部合规压力时，则会实行合规治理措施，并且可能单独设置合规部门。归纳二：内控、内审、风险治理与合规部门如何分工协调？典型的分工且可能单独设置合规部门。归纳二：内控、内审、风险治理与合规部门如何分工协调？典型的分工协调方式可以归纳为：1)风险治理部和合规部在自身所聚焦的风险领域，可以主导特定制度流程编制，也可以要求其他部门依据其要求完善自身相关制度流程，但就制度流程的根底治理程序而言，需要在内控部门所维护的根本框架之下进展。2)风险治理部门和合规部可以在自身所聚焦的领域可以对其他部门1)风险治理部和合规部在自身所聚焦的风险领域，可以主导特定制度流程编制，也可以要求其他部门依据其要求完善自身相关制度流程，但就制度流程的根底治理程序而言，需要在内控部门所维护的根本框架之下进展。2)风险治理部门和合规部可以在自身所聚焦的领域可以对其他部门进展检查，但应与内审部门进展协调，以减轻其他部门的协作压力。 3)内审部门则是对包括内控、风险治理和合规部门在内的全部部门进展监视检查，在风险治理部和合规部所聚焦的风险领域，可以充分参考这两个部门的工作成果及检查觉察。4)在风险识别与评估方面，整体工作由内控部门牵头，内控部门在3)内审部门则是对包括内控、风险治理和合规部门在内的全部部门进展监视检查，在风险治理部和合规部所聚焦的风险领域，可以充分参考这两个部门的工作成果及检查觉察。4)在风险识别与评估方面，整体工作由内控部门牵头，内控部门在具体工作开展中，针对风险治理部门和合规部所聚焦的风险领域，应充 分参考风险治理部门和合规部的工作成果。而风险治理部门和合规部就 其所聚焦的风险领域，应主导对应风险的识别和评价工作。其所聚焦的风险领域，应主导对应风险的识别和评价工作。内控、内审、风险治理与合规部门的日常工作协调在总经办平台上进内控、内审、风险治理与合规部门的日常工作协调在总经办平台上进行，涉及重大决策的，由董事会层面的风险治理委员会完成。三、让我们回到“掌握风险”这个本质三、让我们回到“掌握风险”这个本质从从K本质上还是为了有效支持企业业务开展，更具体的，是为了企业能够有效掌握风险。本质上还是为了有效支持企业业务开展，更具体的，是为了企业能够有效掌握风险。1、风险掌握核心工作先不考虑具体的实施主体，风险掌握的核心工作事项包括：1〕对风险进展识别和评价，并依据风险评价结果制定掌握措施；2〕将掌握措施在原则、职责、流程和标准中明确，通过建章立制进行制度化治理；3〕对制度运行及风险治理状况进展检查和评价，落实奖惩并持续改先不考虑具体的实施主体，风险掌握的核心工作事项包括：1〕对风险进展识别和评价，并依据风险评价结果制定掌握措施；2〕将掌握措施在原则、职责、流程和标准中明确，通过建章立制进行制度化治理；3〕对制度运行及风险治理状况进展检查和评价，落实奖惩并持续改进。2、风险掌握中需要考虑的因素1〕是管“具体业务”还是管“玩耍规章”？前者是针对具体风险本身〔对合同中常见条款陷阱的识别标准〕，后2、风险掌握中需要考虑的因素1〕是管“具体业务”还是管“玩耍规章”？前者是针对具体风险本身〔对合同中常见条款陷阱的识别标准〕，后2〕是管“执行”〔运发动〕还是管“监视”〔裁判员〕？假设是管“监视”，是监视“过程”〔业务执行过程标准性〕还是监视“结果”〔业务执行效果〕？2〕是管“执行”〔运发动〕还是管“监视”〔裁判员〕？假设是管“监视”，是监视“过程”〔业务执行过程标准性〕还是监视“结果”〔业务执行效果〕？3〕对“专业性”的考虑。不同的风险掌握手段会对实施主体提出不同的专业性要求。4〕对“独立性”的考虑。特定风险掌握手段会对独立性提出较高的要求。4〕对“独立性”的考虑。特定风险掌握手段会对独立性提出较高的要求。3、关于部门的设置企业应依据所处进展阶段、业务简单度、所面临的风险状况等因素来打算如何进展部门设置。在现实中，存在两类典型问题：首先是因人设部门，因人设岗，这样可能导致企业组织构造会随着人员更替频繁变化，治理体系频繁变动；其次是生搬硬套其他企业组织架构，或造成机构臃企业应依据所处进展阶段、业务简单度、所面临的风险状况等因素来打算如何进展部门设置。在现实中，存在两类典型问题：首先是因人设部门，因人设岗，这样可能导致企业组织构造会随着人员更替频繁变化，治理体系频繁变动；其次是生搬硬套其他企业组织架构，或造成机构臃肿，或导致部门间协调困难。企业内控、内审、风险治理、合规部门如何设置呢？这里有三个核心问题：1)是否需要单设部门？2)企业内控、内审、风险治理、合规部门如何设置呢？这里有三个核心问题：1)是否需要单设部门？2)假设单设部门，核心工作职责 /权限包括哪些？3)如何与相关部门进展协调？对于这三个问题，可以在下面的内容中查找答案。不难看出，不难看出，K企业的“风险治理部”〔注1〕和“合规部”都是因聚焦特定风险源而生、是职能必需向其他部门进展横向拓展的部门，具有这种 特征的其实还有“质量部”、“安全部”等部门。如质量部为从整个产品生命周期上强化质量治理，会对选购部、生产部进展工作检查，并且参与这周期上强化质量治理，会对选购部、生产部进展工作检查，并且参与这些部门的制度、流程及标准的制定。由于内控、内审、风险治理和合规都是围绕“风险”开放，业界已提出些部门的制度、流程及标准的制定。由于内控、内审、风险治理和合规都是围绕“风险”开放，业界已提出立性要求、所聚焦风险领域、与其他部门的关系、人员专业技能等方面存在实质性差异，受到“专业化引力”〔参看亨利.明茨伯格《卓有成效的组织》一书〕等因素的影响，在实践中仍会消灭依据部门进展工作分工“大风控”概念，核心思想是“既然大家都是管风险的，为什么不合在一起 呢？”。我们认为，如前文所述，内控、内审、风险治理和合规职能在独 立性要求、所聚焦风险领域、与其他部门的关系、人员专业技能等方面存在实质性差异，受到“专业化引力”〔参看亨利.明茨伯格《卓有成效的组织》一书〕等因素的影响，在实践中仍会消灭依据部门进展工作分工的趋势。依据前文分析，部门间潜在冲突会表达在“独立性”、“工作范围” 和“专业性要求”三个方面。 独立性独立性：是否参与具体业务活动〔如是否参与具体业务决策〕、汇报路径等。例如，假设风险治理部参与具体业务评审，其独立性会受到影响。工作范围路径等。例如，假设风险治理部参与具体业务评审，其独立性会受到影响。工作范围：如制度归口范围等。例如内控部门，相对其他部门需负责企业整体制度归口治理。专业性要求部门间协调技能等。例如合规部门人员应生疏企业所处监管环境的外部专业性要求部门间协调技能等。例如合规部门人员应生疏企业所处监管环境的外部合规要求及合规方法。注注1：在一些企业〔照实行全面风险治理框架的企业〕，可能会设置更加综合的“风险治理部”，部门职责会涵盖全面的风险识别 更加综合的“风险治理部”，部门职责会涵盖全面的风险识别 /评价/掌握措施制定、掌握执行的事前/事中/事后监控〔如监控特定动态风险指标〕、风险掌握标准制定、参与重大风险决策、风险相关治理制度制定、监视合规部门的职责既包括外部合规、也包括企业内部治理制度合规，其范畴大于本文中所描述的合规部职责。整体上，我们认为在分析时应聚焦检查、风险治理效果评价/报告、风险治理考核等职能，其职能可以理解为K企业内控部、内审部、风险治理部及合规部的综合。不仅如此，“合规”、“内控”等概念在不同企业也可能涵盖不同的范畴，如在一些企业，合规部门的职责既包括外部合规、也包括企业内部治理制度合规，其范畴大于本文中所描述的合规部职责。整体上，我们认为在分析时应聚焦具体职责，而非概念或部门名称。 四、对企业的建议围绕内控、内审、风险治理和合规的职能定位，很多企业存在困惑。四、对企业的建议围绕内控、内审、风险治理和合规的职能定位，很多企业存在困惑。结合前文，我们提出如下建议，供企业参考。11、先识别和评价风险，再依据企业的实际状况考虑部门的设置。如前文所述，设置部门的根本目的是有效掌握风险、支持业务的开展。企业应首