以下文章來源於馮博內控正經談,作者馮萌 王凱
一、問題的提出
當前,在企業內外部環境的共同作用之下,“內控”、“內審”、“風險管理”和“合規”作為一項管理活動或者作為具體部門,已在各類企業中頻繁出現。與此同時,這些概念的範疇、相互關係以及在企業中如何實踐,業已引發了廣泛討論。
我們認為,對於這些問題的討論不應脫離企業發展過程中所產生的內在管理需求,因此我們不妨從一家企業的發展史的視角展開討論。我們給這家企業起名為K企業,並且給這家企業安排一位創始人、股東、老闆兼總經理——Z先生,以及其他幾位關鍵角色(按出場先後順序排列):
- A先生——K企業內控部負責人
- B先生——K企業內審部負責人
- C先生——K企業風險管理部負責人
- D女士——K企業合規部負責人
請注意,這只是一個高度簡化的示例。
二、K企業的極簡發展史
如中國大多數企業一樣,K企業也經歷了從無到有、從小到大、從簡單到複雜的發展歷程,並最終成為一家涉足餐飲、金融等行業的企業集團。
第一階段:K企業創立,Z先生幾乎掌控一切
Z先生做快餐餐廳起家,第一家餐廳的收銀兼出納是自己的一位親戚,後廚、服務員5-6個,從原料採購、裝修、菜單設計都是Z先生自己負責。甚至廚師忙不過來時,Z先生自己也會去炒兩個菜,這些裡裡外外都是自己張羅。會計是找的代賬公司幫著記賬。因為自己菜品有些特色,而且真材實料,生意一直不錯。甚至附近寫字間的公司專門在這裡定了員工餐,生意越來越好。
漸漸地,每天客戶訂餐量巨大,Z先生每天光菜市場都要跑好幾次,發現自己忙不過來了,Z先生意識到目前的管理模式已經不行了。
第二階段:K企業初具規模,Z先生開始進行分權、明確職責分工、開始建章立制,Z先生也開始從親力親為轉向監督評價,系統化企業內控顯現,並建立了專門的內控部門。
K企業生意持續火爆,躊躇滿志的Z先生決定擴大經營。Z先生開始招聘包括採購人員、財務人員在內的專業人員。與此同時,飯店大廚和核心骨幹分別入股,引入外部投資人,在未來一年連續開了三個分店,為了實現集中管理,Z先生組建了管理總部。
分店建立後,Z先生有了新問題:他發現,老店還好,大家都熟悉。新店他雖然關注很多,但是經常出錯。不是上錯菜,就是客戶投訴,總之每天都有新的問題。最讓他感到頭疼的是,分店的現金流水情況總是不放心,可是又不知道如何去管。他就派人去其他品牌餐飲店臥底,發現這些各個分店出品都差不多,而且新人進入後很快就能上手,原因在於不論分店數量多少,都在一個統一管理標準下經營運行。
受到觸動,Z先生在外部諮詢機構的協助下,K企業相關管理制度逐步建立起來,例如:分店財務管理模塊,通過總部集中招募財務經理,直接對總經理負責,外派到各分店。同時採用收支兩條線的方式,收入及時上交總部,採購資金與費用等再定期撥付;在質量管理方面,組建了專門的質控部門,編制了標準化的質量管理手冊;在信息化方面,K企業購置了一套小型信息系統並順利上線。K企業發展到現在,
內控作為一種內在機制,在K企業已逐步建立起來。管理運作起來後,開始還很順暢,但是餐飲行業人員流動快,餐飲品類不斷增加,對管理制度進行持續更新改進的要求越來越迫切。但由於制度管理相關權限(典型權限包括具體制度誰來編制?誰來審批?誰來宣貫?誰來監督?等)模糊、制度編寫標準不統一,管理制度自身越來越混亂。不僅如此,各部門之間經常會為自己的利益對制度流程發生爭論,甚至吵到總經理辦公室,Z先生焦頭爛額。
Z先生決定組建專業化的內控部門,並且招募了A先生加盟,成為內控部門負責人。A先生思維縝密並擁有多年的企業流程管理經驗,對於內控部門工作的開展,A先生提出瞭如下觀點:
1) 企業管理制度必須由內控部門來進行統籌,採取統一的分級分類標準,管理制度的發佈/修訂/廢止必須經過內控部門的審核;
2) 內控部門應該充分參與各類制度專業討論,充分發表專業意見;
3) 內控部門應持續組織開展企業制度評價工作,進行風險識別和評價,以推進管理制度持續優化。
Z先生對A先生的觀點表示贊同,鼓勵A先生儘快開展工作,儘早成為企業的“制度大管家”。事實證明,A先生專業度很不錯,在其負責的內控部門的持續努力之下,K企業的制度系統性、規範性和科學性得到顯著提升,各部門之間的銜接更加順暢、有效。更重要的,重大風險得到及時識別和應對,Z先生的管理壓力明顯降低。
第三階段:K企業規模持續擴大,Z先生髮現自己已看不過來,決定安排人專門負責檢查,內審正式登場。
隨著業務規模逐步擴大,K企業已經發展到10家分店,分佈於3個城市。Z先生髮現儘管整體經營還不錯,但有兩家分店總在虧錢,卻不知道什麼原因。有朋友建議他應該找審計人員檢查一下。在找外部審計機構和建立內審部門之間,經過仔細思考權衡,Z先生決定為了企業長遠發展,應組建自己的內審部門。通過專業獵頭,Z先生找到了B先生。B先生之前在另一家知名餐飲企業集團擔任審計部負責人,因全家遷往本市,因此需要選擇新的企業就業。B先生在瞭解了K企業是新建內審部門及其他相關基本情況之後,對Z先生提出瞭如下幾點要求:
1) 內審部門負責人直接向Z先生彙報,以確保其審計工作開展具有足夠的獨立性和權威性;
2) K企業所有部門和崗位都納入內審部門的審計範圍,包括剛剛成立不久的內控部門,其審計範圍不能受到任何形式的限制;
3) 關於內審部門與內控部門的關係,B先生表示內控部門主要負責管理制度的建立,內審部門主要負責檢查管理制度的執行情況,對制度設計不合理的地方,內審部門也會提出;
4) 關於審計重點,內審部門將獨立進行風險評估和制定,同時將充分聽取Z先生的意見;
5) 內審部門將受理並處理各類舉報。
Z先生聽完B先生的要求,有點擔心這樣設置內審部門是否會引發內部衝突,後來轉念一想,內審部門本來就是監督部門,引發衝突幾乎是必然的,也就接受了B先生的要求。
在Z先生的大力支持之下,以B先生為首的內審部門成立了。針對前面所提到的兩家分店存在的虧損問題,內審部門對比企業內部及競品企業營業數據,發現這兩家店經營成本異常偏高,除了公司統一配送的主材外,其他當地自主採購的蔬菜等,比市場價格偏高。在此基礎上,內審部門經過明察暗訪,發現採購經理有舞弊嫌疑,使用了自己親屬進行配送。Z先生在查閱了內審報告之後,根據相關管理制度,立即對相關人員進行了嚴厲處罰,直接責任人被解除勞動合同。Z先生對B先生及內審部門的工作非常滿意,之前的顧慮也逐漸被打消。
在此之後,內審部門對幾項管理頑疾進行了專項檢查,在查明原因之後提出了整改意見,並在內控部門的配合之下對管理制度進行了優化,建立了長效機制。
第四階段:K企業向投資集團轉型,但投資及貸款業務風險頻發,Z先生決定安排專業人員集中管理投資及貸款風險,風險管理部門出現了。
隨著K企業在業內的知名度越來越高,一些戰略投資人開始與Z先生進行接觸,並且達成了注資意向。隨著戰略投資人資金的注入,Z先生意識到需要進入新的業務領域,因此Z先生對K企業的組織架構進行了調整,將原有的餐飲業總部轉換成為投資平臺並啟動對外投資,傳統餐飲業務以一個事業部的形式繼續運營。經過高層研討,K企業的投資方向基本確定為新興的非銀行金融行業及餐飲行業。在金融行業,K企業首先收購了一家小貸公司。
然而,K企業的投資之路並不順利。一次是小貸公司在進行貸款審核時,由於對債務人沒有進行充分的風險評估,一筆資金借出去後無法追回。另一次是餐飲公司準備和一個合作方共同開發一個西餐新品牌,在投資前沒有對市場前景、合作方實力等進行有效投資風險評估,最終導致投資失敗。
這時,Z先生已經充分意識到金融業務及對外投資的風險跟他之前買菜做飯時所面臨的風險不可同日而語,再次陷入迷茫。Z先生組織團隊進行了行業對比,認為一些企業所採取的組建專業的風險管理部門來對這些風險進行集中管理是一條思路。但是,新設部門不是件小事情,Z先生決定先徵求一下內控部負責人A先生的意見,並且專門詢問了就安排內控部來行使專項風險管理的可行性。
A先生問明Z先生來意,經過仔細思考提出瞭如下觀點:
1) 認同應該由專業部門對投資等重大風險進行專門管理的合理性;
2) 不建議由內控部門來履行風險管理職能,主要理由:首先,內控部門的核心職責是維護並且優化全企業的管理制度體系,而不會介入到具體業務,而風險管理必須介入具體業務,否則難以實現風險控制效果;其次,在風險識別方面,內控部門是組織相關部門進行全面的風險識別,而風險管理部門則需要聚焦特定重大風險並給出專業判斷,兩者的工作重點和專業要求都存在較大差異。
Z先生雖然覺得這些事確實有點抽象,但基於對A先生專業度的信任,他決定先嚐試一下。經人介紹,Z先生決定招募C先生作為部門負責人來組建企業風險管理部,C先生具有豐富的投資管理經驗,對K企業所在行業也有深入理解。在正式履職之前,C先生與Z先生也有一次深入的交流,結合之前的經驗,C先生提出:
1) 風險管理部名稱含義比較模糊,因此必須清晰界定風險管理部所管理的風險範疇,現在看主要是投資風險及金融業務的貸款風險;
2) 風險管理部將集中於特定風險的識別、評價與應對,但這不能替代前端部門(如投資管理部)自身應履行的風險管理職責;
3) 風險管理部應充分參與相關制度流程(如投資管理制度)的制定;
4) 風險管理部應充分參與具體項目,充分獲取信息並具有實質性的管理權限;
5) 風險管理部有權對相關部門風險管理相關工作進行檢查和評價。
C先生領導下的風險管理部一方面對相關管理制度進行了重大修訂,對可研、盡調、過會等關鍵環節的制度要求進行顯著優化,另一方面直接介入項目盡調、評審等工作,促使風控措施真正落地。基於風險管理部專業工作,Z先生及時否決、終止了幾個高風險項目,避免了損失。
第五階段:外部合規壓力激增,Z先生意識到法律法規紅線是碰不得的,決定集中力量搞合規,合規部門出現了。
隨著K企業業務規模及業務範圍的進一步擴大(除了傳統餐飲和非銀行金融行業,K企業還涉足了中央廚房,涉及食品加工企業),Z先生髮現市場監督管理局、銀保監會等政府部門對企業的監管越來越嚴、要求越來越細,特別是最近幾次檢查,檢查組都提出了措辭嚴厲的合規問題。不僅如此,Z先生還目睹了一些同行因為合規問題最終關門大吉甚至惹上官司的事例。作為企業的法定代表人,Z先生非常緊張。對於Z先生而言,各類監管文件猶如天書,一時間Z先生又沒了主意。
Z先生找來了A先生、B先生和C先生來一起討論,Z先生的本意是想請內控部或者風險管理部來兼顧合規這一塊,並且由內審部來加強審計。對此,A先生、B先生和C先生給出瞭如下建議:
1) 考慮到K企業的行業特點,建議單獨設置合規部,理由包括:能夠讓監管部門感受到K企業對合規工作的重視程度,同時能夠清晰的與監管部門進行日常工作對接;由於在各個部門都可能存在合規風險敞口(如投資管理部門、菜品採購部門等),合規部必須對各個部門進行持續的合規監控和督導,這和當前內控部和風險管理部的職能特徵並不吻合;合規風險源主要來自外部監管要求,合規管理人員的專業性也具備自身特點;
2) 內控部將充分配合合規管理要求,例如針對相關管理制度引入合規審查;
3) 風險管理部將在項目風險過程中,進行充分的合規審查;
4) 內審部將合規管理活動納入內部審計範圍。
Z先生雖然對又要新設一個部門有些猶豫,但上面第一點顯然打動了Z先生——以後監管部門再來檢查,如果可以告知他們企業已經組建了專門的合規部,在感覺上確實會好很多。於是,K企業合規部正式成立,並且聘請了幹練的D女士擔任合規部負責人。D女士在走馬上任之前,提出瞭如下要求:
1) 在當前日趨嚴格的外部監管環境下,合規無小事,K企業從上至下必須建立合規意識,不能有僥倖心理;
2) 合規部必須有權參與涉及合規風險的重大決策,必須有權對其他部門的合規遵從情況進行檢查和整改;
3) 合規部應能主導合規相關管理制度的制定,並且對各類制度進行必要的合規審查;
4) 合規部將持續對外部監管要求進行分析和評估,與監管部門保持有效溝通,在相關部門通力配合的前提下,將外部監管要求內化為企業內部管理要求。
Z先生基本認同D女士的觀點,表示將全力支持。隨著合規部開始全面履職,經過一段時間的內部合規自查及整改,Z先生明顯感覺到政府監管部門對K企業的態度發生了轉變,所提出的合規問題,無論是從數量上還是性質上看,都得到了顯著改善。
第六階段:各類風控專業部門似乎都齊全了,Z先生又開始為這些職能間該如何協調發愁了。
K企業已經發展成為一個大型企業集團,企業的內控、內審、風險管理和合規部門也運行了很長一段時間,Z先生漸漸發現,事情並沒有預想的那麼簡單,這些部門似乎都或多或少遇到了問題。
例如,風險管理部C先生開始抱怨:投資管理部門等部門針對不理想的投資項目,開始向風險管理部甩鍋。不僅如此,風險管理部的管理範圍被不斷泛化,很多部門認為只要是認為有風險的事情,就應該找風險管理部,問題類型從各類業務合同簽訂到人員離職補償,不一而足,讓風險管理部應接不暇。
然而,更多的抱怨則是來自各職能部門,例如:部門內的一些業務,合規部門會檢查一遍,內審部門也會檢查一遍,消耗時間精力。不僅如此,合規部門和內審部門經常還會提出不同的整改意見,讓人無所適從。又如風險評估工作,內控部、風險管理部和合規部都會進行組織,也讓各部門覺得難以理解。其中,讓Z先生更擔憂的是,業務部門已經多次表示,風險管理部、合規部等部門提出的一些要求過於苛刻,已經嚴重製約業務發展。
還好,K企業擁有務實及開放的企業文化。通過溝通,Z先生採取瞭如下措施:
1) 將總經辦作為日常工作協調的平臺,明確以風險為導向對內控部門、內審部門及合規部門進行工作協調,並且通過不斷優化管理制度對各部門的職責、配合流程進行明確。如:在內審部門制定審計計劃的過程中,應根據情況組織相關方來識別、評價風險,其中內控、合規和風險管理部門的風險評價結論將作為重要輸入;
2) 在董事會層面組建了風險管理委員會進行重大風險決策,提升風險評價、風險對策制定的層級,促成在企業內形成統一的風險評價結論;
3) 通過持續宣貫、績效管理等手段,明確前端部門(如業務部門)在風險控制中的關鍵作用,夯實“第一道防線”,遏制風險失控後的“甩鍋”行為。
通過上述努力,企業風險政策更加統一和明確,內控、內審等工作的協調性得到加強,對業務部門的干擾也有所降低。
歸納一:內控、內審、風險管理與合規各自如何應運而生?
從上面K企業發展史,我們可以做如下的總結:
1) 內控作為滲透到企業各個業務領域的內在管理機制,從企業建立那天開始即存在,隨著企業的不斷髮展會不斷演進得更系統化和規範化;隨著企業制度體系不斷複雜化,內控部門則會以制度集中歸口管理部門的形式出現,並將負責組織全企業的風險識別、評價與應對措施制定工作。
2) 當股東/老闆為自己的時間、精力或專業性所限,無法對企業進行有效監督時,則會對內審產生需求,這時獨立的內審部門往往會出現。
3) 當企業對於特定風險存在重大顧慮,並且認為已有組織架構無法有效防範該風險時,即可能設置專門的風險管理部門,以提升對此特定風險的控制效果。(注:在央企等實施全面風險管理標準的企業所設置的風險管理部,可能會全面負責各類風險的控制,和前文所提出的風險管理部職責將存在重大差異。對此,後文還將進行闡述。)
4) 當企業面臨較高的外部合規壓力時,則會採取合規管理措施,並且可能單獨設置合規部門。
歸納二:內控、內審、風險管理與合規部門如何分工協調?典型的分工協調方式可以歸納為:
1) 風險管理部和合規部在自身所聚焦的風險領域,可以主導特定製度流程編制,也可以要求其他部門根據其要求完善自身相關制度流程,但就制度流程的基礎管理程序而言,需要在內控部門所維護的基本框架之下進行。
2) 風險管理部門和合規部可以在自身所聚焦的領域可以對其他部門進行檢查,但應與內審部門進行協調,以減輕其他部門的配合壓力。
3) 內審部門則是對包括內控、風險管理和合規部門在內的所有部門進行監督檢查,在風險管理部和合規部所聚焦的風險領域,可以充分參考這兩個部門的工作成果及檢查發現。
4) 在風險識別與評估方面,整體工作由內控部門牽頭,內控部門在具體工作開展中,針對風險管理部門和合規部所聚焦的風險領域,應充分參考風險管理部門和合規部的工作成果。而風險管理部門和合規部就其所聚焦的風險領域,應主導對應風險的識別和評價工作。
內控、內審、風險管理與合規部門的日常工作協調在總經辦平臺上進行,涉及重大決策的,由董事會層面的風險管理委員會完成。
三、讓我們回到“控制風險”這個本質
從K企業的發展簡史可以看出,內控、內審、風險管理和合規的出現,本質上還是為了有效支持企業業務開展,更具體的,是為了企業能夠有效控制風險。
1、風險控制核心工作
先不考慮具體的實施主體,風險控制的核心工作事項包括:
1)對風險進行識別和評價,並根據風險評價結果制定控制措施;
2)將控制措施在原則、職責、流程和標準中明確,通過建章立制進行制度化管理;
3)對制度運行及風險管理情況進行檢查和評價,落實獎懲並持續改進。
2、風險控制中需要考慮的因素
1)是管“具體業務”還是管“遊戲規則”?
前者是針對具體風險本身(對合同中常見條款陷阱的識別標準),後者是針對圍繞風險的管理規則(如針對複雜的非標準合同設置專業評審機制)。
2)是管“執行”(運動員)還是管“監督”(裁判員)?如果是管“監督”,是監督“過程”(業務執行過程規範性)還是監督“結果”(業務執行效果)?
3)對“專業性”的考慮。不同的風險控制手段會對實施主體提出不同的專業性要求。
4)對“獨立性”的考慮。特定風險控制手段會對獨立性提出較高的要求。
3、關於部門的設置
企業應根據所處發展階段、業務複雜度、所面臨的風險情況等因素來決定如何進行部門設置。在現實中,存在兩類典型問題:首先是因人設部門,因人設崗,這樣可能導致企業組織結構會隨著人員更替頻繁變化,管理體系頻繁變動;其次是生搬硬套其他企業組織架構,或造成機構臃腫,或導致部門間協調困難。
企業內控、內審、風險管理、合規部門如何設置呢?這裡有三個核心問題:
1) 是否需要單設部門?
2) 如果單設部門,核心工作職責/權限包括哪些?
3) 如何與相關部門進行協調?
對於這三個問題,可以在下面的內容中尋找答案。
內控、內審、風險管理和合規管理部門的比較:
不難看出,K企業的“風險管理部”(注1)和“合規部”都是因聚焦特定風險源而生、是職能必須向其他部門進行橫向拓展的部門,具有這種特徵的其實還有“質量部”、“安全部”等部門。如質量部為從整個產品生命週期上強化質量管理,會對採購部、生產部進行工作檢查,並且參與這些部門的制度、流程及標準的制定。
由於內控、內審、風險管理和合規都是圍繞“風險”展開,業界已提出“大風控”概念,核心思想是“既然大家都是管風險的,為什麼不合在一起呢?”。我們認為,如前文所述,內控、內審、風險管理和合規職能在獨立性要求、所聚焦風險領域、與其他部門的關係、人員專業技能等方面存在實質性差異,受到“專業化引力”(參看亨利.明茨伯格《卓有成效的組織》一書)等因素的影響,在實踐中仍會出現按照部門進行工作分工的趨勢。根據前文分析,部門間潛在衝突會體現在“獨立性”、“工作範圍”和“專業性要求”三個方面。
獨立性:是否參與具體業務活動(如是否參與具體業務決策)、彙報路徑等。例如,如果風險管理部參與具體業務評審,其獨立性會受到影響。
工作範圍:如制度歸口範圍等。例如內控部門,相對其他部門需負責企業整體制度歸口管理。
專業性要求:人員所需具備的專業知識,如特定風險領域的風控技能、部門間協調技能等。例如合規部門人員應熟悉企業所處監管環境的外部合規要求及合規方法。
部門間潛在衝突分析:
注1:在一些企業(如實行全面風險管理框架的企業),可能會設置更加綜合的“風險管理部”,部門職責會涵蓋全面的風險識別/評價/控制措施制定、控制執行的事前/事中/事後監控(如監控特定動態風險指標)、風險控制標準制定、參與重大風險決策、風險相關管理制度制定、監督檢查、風險管理效果評價/報告、風險管理考核等職能,其職能可以理解為K企業內控部、內審部、風險管理部及合規部的綜合。不僅如此,“合規”、“內控”等概念在不同企業也可能涵蓋不同的範疇,如在一些企業,合規部門的職責既包括外部合規、也包括企業內部管理制度合規,其範疇大於本文中所描述的合規部職責。整體上,我們認為在分析時應聚焦具體職責,而非概念或部門名稱。
四、對企業的建議
圍繞內控、內審、風險管理和合規的職能定位,很多企業存在困惑。結合前文,我們提出如下建議,供企業參考。
1、先識別和評價風險,再根據企業的實際情況考慮部門的設置。
如前文所述,設置部門的基本目的是有效控制風險、支持業務的開展。企業應首先有效識別並評價其所面臨的風險,從合理分配風險控制相關職責(如制度管理、檢查評價等)的角度,根據業務複雜性、組織成熟度等因素考慮部門的設置,而非先設置部門再考慮部門職責。
如在前面的例子中,相對於內控部和內審部,K企業設置了風險管理部和合規部,是因為該企業基於對特定業務風險和合規風險的評價結果,決定通過專設部門的方式增強對這些風險的控制效果,實質上是在前端部門之後增加了一道風險防線。然而,增加防線是需要增加組織成本的,是否合理取決於這些成本的投入產出比,即降低風險所帶來的收益是否大於新增控制成本。
2、將注意力放在具體風控措施的執行,而非追求形式層面的部門齊備。
從企業的角度,應將注意力先集中於風險控制相關措施是否到位,如前文所提到的風險是否已經全面有效地識別和評價、管理制度是否已經有效建設與維護、是否已經建立了有效的監督機制等等。如經過評價,在現有架構下前述措施都已執行到位,則不需要在部門層面做過多調整;如果企業發現在現有架構下無法有效執行必要風控措施,則需要考慮在部門設置等方面予以調整。
3、單設部門會帶來專業化、獨立性等好處,但也會增加協調等成本,這也需要企業進行評估取捨,並且加強協調。
例如,由於風險管理部、合規管理部的職責是基於特定風險展開,因此往往會與內控部門和內審不可避免的出現職能重合:如在合規風險領域,合規部門在制度制定/評審及風險識別/評價方面會與內控部門職能重合、在檢查評價方面會與內審部門職能重合。
又例如,風險管理部在具體業務過程中會參與風險評價和決策,則會與前端部門的職責重合(如投資管理部也必須識別評價投資風險,並且在決策過程中充分考慮風險)。
因此,如果同時設置多個部門,應儘可能的免多頭及重複管理,並且需要建立一定的橫向溝通機制。
結語
對企業內控、內審、風險管理與合規的關係,從理論到實踐,都存在著較大爭議。我們認為,針對這些問題的分析應該從企業發展階段及各階段內在需求出發,否則易陷入概念之爭。針對本文觀點,歡迎業內同仁批評指正。
上海閱洲諮詢高級經理宋志強先生對本文亦有貢獻。感謝黃海雲女士所提出的寶貴建議。
閱讀更多 一法網 的文章
