企业内控、内审、风险管理与合规关系辨析 ——基于一家企业极简发展史的探讨

一、问题的提出

当前，在企业内外部环境的共同作用之下，“内控”、“内审”、“风险管理”和“合规”作为一项管理活动或者作为具体部门，已在各类企业中频繁出现。与此同时，这些概念的范畴、相互关系以及在企业中如何实践，业已引发了广泛讨论。

我们认为，对于这些问题的讨论不应脱离企业发展过程中所产生的内在管理需求，因此我们不妨从一家企业的发展史的视角展开讨论。我们给这家企业起名为K企业，并且给这家企业安排一位创始人、股东、老板兼总经理——Z先生，以及其他几位关键角色（按出场先后顺序排列）：

* A先生——K企业内控部负责人

* B先生——K企业内审部负责人

* C先生——K企业风险管理部负责人

* D女士——K企业合规部负责人

请注意，这只是一个高度简化的示例。

二、K企业的极简发展史

如中国大多数企业一样，K企业也经历了从无到有、从小到大、从简单到复杂的发展历程，并最终成为一家涉足餐饮、金融等行业的企业集团。

第一阶段：K企业创立，Z先生几乎掌控一切

Z先生做快餐餐厅起家，第一家餐厅的收银兼出纳是自己的一位亲戚，后厨、服务员5-6个，从原料采购、装修、菜单设计都是Z先生自己负责。甚至厨师忙不过来时，Z先生自己也会去炒两个菜，这些里里外外都是自己张罗。会计是找的代账公司帮着记账。因为自己菜品有些特色，而且真材实料，生意一直不错。甚至附近写字间的公司专门在这里定了员工餐，生意越来越好。

渐渐地，每天客户订餐量巨大，Z先生每天光菜市场都要跑好几次，发现自己忙不过来了，Z先生意识到目前的管理模式已经不行了。

第二阶段：K企业初具规模，Z先生开始进行分权、明确职责分工、开始建章立制，Z先生也开始从亲力亲为转向监督评价，系统化企业内控显现，并建立了专门的内控部门。

K企业生意持续火爆，踌躇满志的Z先生决定扩大经营。Z先生开始招聘包括采购人员、财务人员在内的专业人员。与此同时，饭店大厨和核心骨干分别入股，引入外部投资人，在未来一年连续开了三个分店，为了实现集中管理，Z先生组建了管理总部。

分店建立后，Z先生有了新问题：他发现，老店还好，大家都熟悉。新店他虽然关注很多，但是经常出错。不是上错菜，就是客户投诉，总之每天都有新的问题。最让他感到头疼的是，分店的现金流水情况总是不放心，可是又不知道如何去管。他就派人去其他品牌餐饮店卧底，发现这些各个分店出品都差不多，而且新人进入后很快就能上手，原因在于不论分店数量多少，都在一个统一管理标准下经营运行。

受到触动，Z先生在外部咨询机构的协助下，K企业相关管理制度逐步建立起来，例如：分店财务管理模块，通过总部集中招募财务经理，直接对总经理负责，外派到各分店。同时采用收支两条线的方式，收入及时上交总部，采购资金与费用等再定期拨付；在质量管理方面，组建了专门的质控部门，编制了标准化的质量管理手册；在信息化方面，K企业购置了一套小型信息系统并顺利上线。K企业发展到现在，内控作为一种内在机制，在K企业已逐步建立起来。

管理运作起来后，开始还很顺畅，但是餐饮行业人员流动快，餐饮品类不断增加，对管理制度进行持续更新改进的要求越来越迫切。但由于制度管理相关权限（典型权限包括具体制度谁来编制？谁来审批？谁来宣贯？谁来监督？等）模糊、制度编写标准不统一，管理制度自身越来越混乱。不仅如此，各部门之间经常会为自己的利益对制度流程发生争论，甚至吵到总经理办公室，Z先生焦头烂额。

Z先生决定组建专业化的内控部门，并且招募了A先生加盟，成为内控部门负责人。A先生思维缜密并拥有多年的企业流程管理经验，对于内控部门工作的开展，A先生提出了如下观点：

1) 企业管理制度必须由内控部门来进行统筹，采取统一的分级分类标准，管理制度的发布/修订/废止必须经过内控部门的审核；

2) 内控部门应该充分参与各类制度专业讨论，充分发表专业意见；

3) 内控部门应持续组织开展企业制度评价工作，进行风险识别和评价，以推进管理制度持续优化。

Z先生对A先生的观点表示赞同，鼓励A先生尽快开展工作，尽早成为企业的“制度大管家”。事实证明，A先生专业度很不错，在其负责的内控部门的持续努力之下，K企业的制度系统性、规范性和科学性得到显著提升，各部门之间的衔接更加顺畅、有效。更重要的，重大风险得到及时识别和应对，Z先生的管理压力明显降低。

第三阶段：K企业规模持续扩大，Z先生发现自己已看不过来，决定安排人专门负责检查，内审正式登场。

随着业务规模逐步扩大，K企业已经发展到10家分店，分布于3个城市。Z先生发现尽管整体经营还不错，但有两家分店总在亏钱，却不知道什么原因。有朋友建议他应该找审计人员检查一下。在找外部审计机构和建立内审部门之间，经过仔细思考权衡，Z先生决定为了企业长远发展，应组建自己的内审部门。通过专业猎头，Z先生找到了B先生。B先生之前在另一家知名餐饮企业集团担任审计部负责人，因全家迁往本市，因此需要选择新的企业就业。B先生在了解了K企业是新建内审部门及其他相关基本情况之后，对Z先生提出了如下几点要求：

1) 内审部门负责人直接向Z先生汇报，以确保其审计工作开展具有足够的独立性和权威性；

2) K企业所有部门和岗位都纳入内审部门的审计范围，包括刚刚成立不久的内控部门，其审计范围不能受到任何形式的限制；

3) 关于内审部门与内控部门的关系，B先生表示内控部门主要负责管理制度的建立，内审部门主要负责检查管理制度的执行情况，对制度设计不合理的地方，内审部门也会提出；

4) 关于审计重点，内审部门将独立进行风险评估和制定，同时将充分听取Z先生的意见；

5) 内审部门将受理并处理各类举报。

Z先生听完B先生的要求，有点担心这样设置内审部门是否会引发内部冲突，后来转念一想，内审部门本来就是监督部门，引发冲突几乎是必然的，也就接受了B先生的要求。

在Z先生的大力支持之下，以B先生为首的内审部门成立了。针对前面所提到的两家分店存在的亏损问题，内审部门对比企业内部及竞品企业营业数据，发现这两家店经营成本异常偏高，除了公司统一配送的主材外，其他当地自主采购的蔬菜等，比市场价格偏高。在此基础上，内审部门经过明察暗访，发现采购经理有舞弊嫌疑，使用了自己亲属进行配送。Z先生在查阅了内审报告之后，根据相关管理制度，立即对相关人员进行了严厉处罚，直接责任人被解除劳动合同。Z先生对B先生及内审部门的工作非常满意，之前的顾虑也逐渐被打消。

在此之后，内审部门对几项管理顽疾进行了专项检查，在查明原因之后提出了整改意见，并在内控部门的配合之下对管理制度进行了优化，建立了长效机制。

第四阶段：K企业向投资集团转型，但投资及贷款业务风险频发，Z先生决定安排专业人员集中管理投资及贷款风险，风险管理部门出现了。

随着K企业在业内的知名度越来越高，一些战略投资人开始与Z先生进行接触，并且达成了注资意向。随着战略投资人资金的注入，Z先生意识到需要进入新的业务领域，因此Z先生对K企业的组织架构进行了调整，将原有的餐饮业总部转换成为投资平台并启动对外投资，传统餐饮业务以一个事业部的形式继续运营。经过高层研讨，K企业的投资方向基本确定为新兴的非银行金融行业及餐饮行业。在金融行业，K企业首先收购了一家小贷公司。

然而，K企业的投资之路并不顺利。一次是小贷公司在进行贷款审核时，由于对债务人没有进行充分的风险评估，一笔资金借出去后无法追回。另一次是餐饮公司准备和一个合作方共同开发一个西餐新品牌，在投资前没有对市场前景、合作方实力等进行有效投资风险评估，最终导致投资失败。

这时，Z先生已经充分意识到金融业务及对外投资的风险跟他之前买菜做饭时所面临的风险不可同日而语，再次陷入迷茫。Z先生组织团队进行了行业对比，认为一些企业所采取的组建专业的风险管理部门来对这些风险进行集中管理是一条思路。但是，新设部门不是件小事情，Z先生决定先征求一下内控部负责人A先生的意见，并且专门询问了就安排内控部来行使专项风险管理的可行性。

A先生问明Z先生来意，经过仔细思考提出了如下观点：

1) 认同应该由专业部门对投资等重大风险进行专门管理的合理性；

2) 不建议由内控部门来履行风险管理职能，主要理由：首先，内控部门的核心职责是维护并且优化全企业的管理制度体系，而不会介入到具体业务，而风险管理必须介入具体业务，否则难以实现风险控制效果；其次，在风险识别方面，内控部门是组织相关部门进行全面的风险识别，而风险管理部门则需要聚焦特定重大风险并给出专业判断，两者的工作重点和专业要求都存在较大差异。

Z先生虽然觉得这些事确实有点抽象，但基于对A先生专业度的信任，他决定先尝试一下。经人介绍，Z先生决定招募C先生作为部门负责人来组建企业风险管理部，C先生具有丰富的投资管理经验，对K企业所在行业也有深入理解。在正式履职之前，C先生与Z先生也有一次深入的交流，结合之前的经验，C先生提出：

1) 风险管理部名称含义比较模糊，因此必须清晰界定风险管理部所管理的风险范畴，现在看主要是投资风险及金融业务的贷款风险；

2) 风险管理部将集中于特定风险的识别、评价与应对，但这不能替代前端部门（如投资管理部）自身应履行的风险管理职责；

3) 风险管理部应充分参与相关制度流程（如投资管理制度）的制定；

4) 风险管理部应充分参与具体项目，充分获取信息并具有实质性的管理权限；

5) 风险管理部有权对相关部门风险管理相关工作进行检查和评价。

C先生领导下的风险管理部一方面对相关管理制度进行了重大修订，对可研、尽调、过会等关键环节的制度要求进行显著优化，另一方面直接介入项目尽调、评审等工作，促使风控措施真正落地。基于风险管理部专业工作，Z先生及时否决、终止了几个高风险项目，避免了损失。

第五阶段：外部合规压力激增，Z先生意识到法律法规红线是碰不得的，决定集中力量搞合规，合规部门出现了。

随着K企业业务规模及业务范围的进一步扩大（除了传统餐饮和非银行金融行业，K企业还涉足了中央厨房，涉及食品加工企业），Z先生发现市场监督管理局、银保监会等政府部门对企业的监管越来越严、要求越来越细，特别是最近几次检查，检查组都提出了措辞严厉的合规问题。不仅如此，Z先生还目睹了一些同行因为合规问题最终关门大吉甚至惹上官司的事例。作为企业的法定代表人，Z先生非常紧张。对于Z先生而言，各类监管文件犹如天书，一时间Z先生又没了主意。

Z先生找来了A先生、B先生和C先生来一起讨论，Z先生的本意是想请内控部或者风险管理部来兼顾合规这一块，并且由内审部来加强审计。对此，A先生、B先生和C先生给出了如下建议：

1) 考虑到K企业的行业特点，建议单独设置合规部，理由包括：能够让监管部门感受到K企业对合规工作的重视程度，同时能够清晰的与监管部门进行日常工作对接；由于在各个部门都可能存在合规风险敞口（如投资管理部门、菜品采购部门等），合规部必须对各个部门进行持续的合规监控和督导，这和当前内控部和风险管理部的职能特征并不吻合；合规风险源主要来自外部监管要求，合规管理人员的专业性也具备自身特点；

2) 内控部将充分配合合规管理要求，例如针对相关管理制度引入合规审查；

3) 风险管理部将在项目风险过程中，进行充分的合规审查；

4) 内审部将合规管理活动纳入内部审计范围。

Z先生虽然对又要新设一个部门有些犹豫，但上面第一点显然打动了Z先生——以后监管部门再来检查，如果可以告知他们企业已经组建了专门的合规部，在感觉上确实会好很多。于是，K企业合规部正式成立，并且聘请了干练的D女士担任合规部负责人。D女士在走马上任之前，提出了如下要求：

1) 在当前日趋严格的外部监管环境下，合规无小事，K企业从上至下必须建立合规意识，不能有侥幸心理；

2) 合规部必须有权参与涉及合规风险的重大决策，必须有权对其他部门的合规遵从情况进行检查和整改；

3) 合规部应能主导合规相关管理制度的制定，并且对各类制度进行必要的合规审查；

4) 合规部将持续对外部监管要求进行分析和评估，与监管部门保持有效沟通，在相关部门通力配合的前提下，将外部监管要求内化为企业内部管理要求。

Z先生基本认同D女士的观点，表示将全力支持。随着合规部开始全面履职，经过一段时间的内部合规自查及整改，Z先生明显感觉到政府监管部门对K企业的态度发生了转变，所提出的合规问题，无论是从数量上还是性质上看，都得到了显著改善。

第六阶段：各类风控专业部门似乎都齐全了，Z先生又开始为这些职能间该如何协调发愁了。

K企业已经发展成为一个大型企业集团，企业的内控、内审、风险管理和合规部门也运行了很长一段时间，Z先生渐渐发现，事情并没有预想的那么简单，这些部门似乎都或多或少遇到了问题。

例如，风险管理部C先生开始抱怨：投资管理部门等部门针对不理想的投资项目，开始向风险管理部甩锅。不仅如此，风险管理部的管理范围被不断泛化，很多部门认为只要是认为有风险的事情，就应该找风险管理部，问题类型从各类业务合同签订到人员离职补偿，不一而足，让风险管理部应接不暇。

然而，更多的抱怨则是来自各职能部门，例如：部门内的一些业务，合规部门会检查一遍，内审部门也会检查一遍，消耗时间精力。不仅如此，合规部门和内审部门经常还会提出不同的整改意见，让人无所适从。又如风险评估工作，内控部、风险管理部和合规部都会进行组织，也让各部门觉得难以理解。其中，让Z先生更担忧的是，业务部门已经多次表示，风险管理部、合规部等部门提出的一些要求过于苛刻，已经严重制约业务发展。

还好，K企业拥有务实及开放的企业文化。通过沟通，Z先生采取了如下措施：

1) 将总经办作为日常工作协调的平台，明确以风险为导向对内控部门、内审部门及合规部门进行工作协调，并且通过不断优化管理制度对各部门的职责、配合流程进行明确。如：在内审部门制定审计计划的过程中，应根据情况组织相关方来识别、评价风险，其中内控、合规和风险管理部门的风险评价结论将作为重要输入；

2) 在董事会层面组建了风险管理委员会进行重大风险决策，提升风险评价、风险对策制定的层级，促成在企业内形成统一的风险评价结论；

3) 通过持续宣贯、绩效管理等手段，明确前端部门（如业务部门）在风险控制中的关键作用，夯实“第一道防线”，遏制风险失控后的“甩锅”行为。

通过上述努力，企业风险政策更加统一和明确，内控、内审等工作的协调性得到加强，对业务部门的干扰也有所降低。

归纳一：内控、内审、风险管理与合规各自如何应运而生？

从上面K企业发展史，我们可以做如下的总结：

1) 内控作为渗透到企业各个业务领域的内在管理机制，从企业建立那天开始即存在，随着企业的不断发展会不断演进得更系统化和规范化；随着企业制度体系不断复杂化，内控部门则会以制度集中归口管理部门的形式出现，并将负责组织全企业的风险识别、评价与应对措施制定工作。

2) 当股东/老板为自己的时间、精力或专业性所限，无法对企业进行有效监督时，则会对内审产生需求，这时独立的内审部门往往会出现。

3) 当企业对于特定风险存在重大顾虑，并且认为已有组织架构无法有效防范该风险时，即可能设置专门的风险管理部门，以提升对此特定风险的控制效果。（注：在央企等实施全面风险管理标准的企业所设置的风险管理部，可能会全面负责各类风险的控制，和前文所提出的风险管理部职责将存在重大差异。对此，后文还将进行阐述。）

4) 当企业面临较高的外部合规压力时，则会采取合规管理措施，并且可能单独设置合规部门。

归纳二：内控、内审、风险管理与合规部门如何分工协调？典型的分工协调方式可以归纳为：

1) 风险管理部和合规部在自身所聚焦的风险领域，可以主导特定制度流程编制，也可以要求其他部门根据其要求完善自身相关制度流程，但就制度流程的基础管理程序而言，需要在内控部门所维护的基本框架之下进行。

2) 风险管理部门和合规部可以在自身所聚焦的领域可以对其他部门进行检查，但应与内审部门进行协调，以减轻其他部门的配合压力。

3) 内审部门则是对包括内控、风险管理和合规部门在内的所有部门进行监督检查，在风险管理部和合规部所聚焦的风险领域，可以充分参考这两个部门的工作成果及检查发现。

4) 在风险识别与评估方面，整体工作由内控部门牵头，内控部门在具体工作开展中，针对风险管理部门和合规部所聚焦的风险领域，应充分参考风险管理部门和合规部的工作成果。而风险管理部门和合规部就其所聚焦的风险领域，应主导对应风险的识别和评价工作。

内控、内审、风险管理与合规部门的日常工作协调在总经办平台上进行，涉及重大决策的，由董事会层面的风险管理委员会完成。

三、让我们回到“控制风险”这个本质

从K企业的发展简史可以看出，内控、内审、风险管理和合规的出现，本质上还是为了有效支持企业业务开展，更具体的，是为了企业能够有效控制风险。

1、风险控制核心工作

先不考虑具体的实施主体，风险控制的核心工作事项包括：

1）对风险进行识别和评价，并根据风险评价结果制定控制措施；

2）将控制措施在原则、职责、流程和标准中明确，通过建章立制进行制度化管理；

3）对制度运行及风险管理情况进行检查和评价，落实奖惩并持续改进。

2、风险控制中需要考虑的因素

1）是管“具体业务”还是管“游戏规则”？

前者是针对具体风险本身（对合同中常见条款陷阱的识别标准），后者是针对围绕风险的管理规则（如针对复杂的非标准合同设置专业评审机制）。

2）是管“执行”（运动员）还是管“监督”（裁判员）？如果是管“监督”，是监督“过程”（业务执行过程规范性）还是监督“结果”（业务执行效果）？

3）对“专业性”的考虑。不同的风险控制手段会对实施主体提出不同的专业性要求。

4）对“独立性”的考虑。特定风险控制手段会对独立性提出较高的要求。 

3、关于部门的设置

企业应根据所处发展阶段、业务复杂度、所面临的风险情况等因素来决定如何进行部门设置。在现实中，存在两类典型问题：首先是因人设部门，因人设岗，这样可能导致企业组织结构会随着人员更替频繁变化，管理体系频繁变动；其次是生搬硬套其他企业组织架构，或造成机构臃肿，或导致部门间协调困难。

企业内控、内审、风险管理、合规部门如何设置呢？这里有三个核心问题：

1) 是否需要单设部门？

2) 如果单设部门，核心工作职责/权限包括哪些？

3) 如何与相关部门进行协调？

对于这三个问题，可以在下面的内容中寻找答案。

不难看出，K企业的“风险管理部”（注1）和“合规部”都是因聚焦特定风险源而生、是职能必须向其他部门进行横向拓展的部门，具有这种特征的其实还有“质量部”、“安全部”等部门。如质量部为从整个产品生命周期上强化质量管理，会对采购部、生产部进行工作检查，并且参与这些部门的制度、流程及标准的制定。

由于内控、内审、风险管理和合规都是围绕“风险”展开，业界已提出“大风控”概念，核心思想是“既然大家都是管风险的，为什么不合在一起呢？”。我们认为，如前文所述，内控、内审、风险管理和合规职能在独立性要求、所聚焦风险领域、与其他部门的关系、人员专业技能等方面存在实质性差异，受到“专业化引力”（参看亨利.明茨伯格《卓有成效的组织》一书）等因素的影响，在实践中仍会出现按照部门进行工作分工的趋势。根据前文分析，部门间潜在冲突会体现在“独立性”、“工作范围”和“专业性要求”三个方面。

独立性：是否参与具体业务活动（如是否参与具体业务决策）、汇报路径等。例如，如果风险管理部参与具体业务评审，其独立性会受到影响。

工作范围：如制度归口范围等。例如内控部门，相对其他部门需负责企业整体制度归口管理。

专业性要求：人员所需具备的专业知识，如特定风险领域的风控技能、部门间协调技能等。例如合规部门人员应熟悉企业所处监管环境的外部合规要求及合规方法。

 部门间潜在冲突分析

注1：在一些企业（如实行全面风险管理框架的企业），可能会设置更加综合的“风险管理部”，部门职责会涵盖全面的风险识别/评价/控制措施制定、控制执行的事前/事中/事后监控（如监控特定动态风险指标）、风险控制标准制定、参与重大风险决策、风险相关管理制度制定、监督检查、风险管理效果评价/报告、风险管理考核等职能，其职能可以理解为K企业内控部、内审部、风险管理部及合规部的综合。不仅如此，“合规”、“内控”等概念在不同企业也可能涵盖不同的范畴，如在一些企业，合规部门的职责既包括外部合规、也包括企业内部管理制度合规，其范畴大于本文中所描述的合规部职责。整体上，我们认为在分析时应聚焦具体职责，而非概念或部门名称。

四、对企业的建议

围绕内控、内审、风险管理和合规的职能定位，很多企业存在困惑。结合前文，我们提出如下建议，供企业参考。

1、先识别和评价风险，再根据企业的实际情况考虑部门的设置。

如前文所述，设置部门的基本目的是有效控制风险、支持业务的开展。企业应首先有效识别并评价其所面临的风险，从合理分配风险控制相关职责（如制度管理、检查评价等）的角度，根据业务复杂性、组织成熟度等因素考虑部门的设置，而非先设置部门再考虑部门职责。

如在前面的例子中，相对于内控部和内审部，K企业设置了风险管理部和合规部，是因为该企业基于对特定业务风险和合规风险的评价结果，决定通过专设部门的方式增强对这些风险的控制效果，实质上是在前端部门之后增加了一道风险防线。然而，增加防线是需要增加组织成本的，是否合理取决于这些成本的投入产出比，即降低风险所带来的收益是否大于新增控制成本。

2、将注意力放在具体风控措施的执行，而非追求形式层面的部门齐备。

从企业的角度，应将注意力先集中于风险控制相关措施是否到位，如前文所提到的风险是否已经全面有效地识别和评价、管理制度是否已经有效建设与维护、是否已经建立了有效的监督机制等等。如经过评价，在现有架构下前述措施都已执行到位，则不需要在部门层面做过多调整；如果企业发现在现有架构下无法有效执行必要风控措施，则需要考虑在部门设置等方面予以调整。

3、单设部门会带来专业化、独立性等好处，但也会增加协调等成本，这也需要企业进行评估取舍，并且加强协调。

例如，由于风险管理部、合规管理部的职责是基于特定风险展开，因此往往会与内控部门和内审不可避免的出现职能重合：如在合规风险领域，合规部门在制度制定/评审及风险识别/评价方面会与内控部门职能重合、在检查评价方面会与内审部门职能重合。

又例如，风险管理部在具体业务过程中会参与风险评价和决策，则会与前端部门的职责重合（如投资管理部也必须识别评价投资风险，并且在决策过程中充分考虑风险）。

因此，如果同时设置多个部门，应尽可能的免多头及重复管理，并且需要建立一定的横向沟通机制。

结语

对企业内控、内审、风险管理与合规的关系，从理论到实践，都存在着较大争议。我们认为，针对这些问题的分析应该从企业发展阶段及各阶段内在需求出发，否则易陷入概念之争。针对本文观点，欢迎业内同仁批评指正。

来源：冯博内控正经谈

作者：冯萌 王凯

上海阅洲咨询高级经理宋志强先生对本文亦有贡献。感谢黄海云女士所提出的宝贵建议。

如有侵权，联系删除，谢谢！