如何打开风险、内控、合规、审计、监察的职能边界？

一、一切都和信息有关

信息论的创始人香农说：信息就是用来消除不确定性的，信息的度量就是对不确定性的降低程度。

但信息是什么，到现在没有人可以定义！按照香农的说法，有信息，就表明有某种不确定性存在，而我们说，风险，本身就是一种不确定性，那么没有了不确定性，就没有了风险。这样的话，我们就将风险和信息进行了关联，足可以看出信息对风险产生的影响。从这个角度讲，风险，来自我们和未来的信息不对称性！

在我们经典的风险管理和内部控制理论框架中，包括COSO和ISO的理论中，都有一个必不可少的要素，就是信息与沟通。最开始接触它的时候，觉得无比抽象，今天再看的时候，认为这个要素背后可以承载那么多重要的意义。

我们通常把含有一定发生概率会对我们产生不利影响的事件信息称为风险信息，这类风险信息应该被组织的相关机构或职能及时接收并做恰当处理，这是我们对企业管理风险的基本要求或者叫组织保障。但如果这个基本要求达不到，第一，本身就是风险；第二，在这样的情形下去管理风险效果会大打打折。

二、变革时代企业组织体系的变化

在之前的文章中，我提到过关于巨变时代对于传统企业管理带来的冲击，为了应对不确定性，企业的组织架构和管理方式未来都会做出相应适应性调整。原来的“科层制”式组织架构不再适合高度变化的环境，信息的高速传播和变化让传统的决策方式变得太过迟缓，企业只能选择授权业务一线，才能够做出最适当的决策。所以，纵向上的层级被压缩，上下级之间关系被颠倒，领导从高高在上的“权威”，将要变成服务一线后勤部长，这是企业应对不确定时代必须要做出的转变。海尔砍掉中层、华为让听见炮火的人做决策阐述的都是一样的道理。

这是从组织架构的纵向上看，从组织架构的横向来看，又会有什么样的困难和变化？

那就是原来明晰的部门划分、清晰的权责设置，外部不确定环境下开始慢慢成了出现信息孤岛、无法协同、大量管理灰色地带的原因。企业管理其实就是那么简单，所有人都要盯着共同的目标，做的都是同一件事，只是离现场的距离和角度不同而已，所以我们划分了众多部门来分别负责不同的事，这也是确定性时代强调的专业化细分的结果，但今天，它显然不适用了。想成功应对不确定时代的原则，就需要尽量减少内耗和沟通成本，以价值为导向，让尽量多的资源都用于打粮食，而不是在抢粮食。

最近看到陈春花教授在数字化时代的一个观点表述，就是当下企业都要转向以客户为中心，这就是数字化对企业赋能，尽最大程度消除了冗余和信息不对称，在于内部不同职能的充分协同，可以瞄准共同目标力出一孔。那在企业怎么体现？让尽量同质化管理的职能集合到一起，把边界打开，信息在大职能中可以充分自由流动，对于同质化内容，进行拉通管理。所以，如果我们看不确定时代的组织变革，应该是包括纵向压缩和横向拉通两个方面的表现。

三、大风控概念

在上一周小米风控的交流现场，我和各位现场的朋友分享了一个“大风控”的概念。企业的核心职能就是管理风险、实现价值，所以管理风险和实现价值本身就是对立统一的两个方面。

谁是企业的风控职能和风控人？

我之前的文章中说企业的关键决策层是最大的风险管理者，但落实到我们各个风控职能，不是每个职能都可以深度参与公司战略层面重大决策，所以大部分的风控职能是在战略实施层面。所有以风险为主要工作对象的职能部门都算风控职能。企业中二三道防线职能部门的底层逻辑和主要的工作对象都是风险管理，但角度和距离风险的位置不同。风险、内控、合规、法务、审计、监察（纪检）所有职能都是更好的管理和防范风险，我们拿一个采购业务为例：

风险侧重的是采购决策做出时是否综合考虑了未来的各种情景对采购活动本身和生产运营产生的影响，而做出最佳采购计划和安排；内控侧重的是采购的程序和流程中的关键控制点是否被设计全面并有效执行。做出采购决策之后，内控需要合理保障整个采购实施的控制和效率，与决策时考虑到的部分风险进行前后呼应。

合规关注的是采购工作是否符合了相关外部的法律法规要求，以及遵循了内部制度的规定。对于外部相关方来说，合规还需要关注供应商本身的合规情况，如诚信情况、黑名单、制裁等等，以及可能诱使我方出现合规问题的情形（合规文化、招待标准等），内控的实施其中一个目标就是要达到合规。

法务重点关注法律风险，很多企业把法务和合规放在一起，但也有很多企业分设，因为合规主要是管理边界性风险，而法务需要管理的风险更综合。就采购业务来讲，法务的主要工作是为了达到采购目标、执行采购决策与外部相关方订立相关约定时，如何用法律的语言达到这一点并尽最大程度保护自身利益，确保各种情形下风险可控。

审计关注的是整个采购过程中对采购制度的健全、适当，并被有效执行进行确认，采购部门和采购管理、控制部门是否恰当履行了职责。

监察（纪检）的目标性比较明确，主要针对的是整个采购过程中人的要素，比如廉洁风险，与上面各个环节都有交叉，比如在做采购决策、采购实施过程、采购验收付款，都有散落着廉洁风险点。

他们之间既有不同侧重点、又有协同效应，但针对的对象都是同一类业务的风险。所以我提出“大风控”的概念，可以整合和风险相关的职能，打开部门边界，实现信息的互通共享，拉通风险管理职能，实现端到端的一体化风险管理。把所有职能的目标整合到实现业务目标上来。

大风控的概念，以风险之名，集合二三道防线职能，最大程度上整合了内部资源，除此之外，还没有任何一个词可以担此大任。大风控的概念，就是让企业的风控人，联合起来，以最高效的方式进行协同，支持企业做价值创造！

四、企业实践的方式

对于“大风控”概念，不同的企业会有不同的理解，我觉得从企业来讲，可以有几种实践方式可以参考：

1、最简单的方式是培养“大风控”意识，重视二三道防线职能部门之间的配合和协作，而不再是“各负其责”，不再有明显的“条线思维”。从风险出发，统一规划落实每类风险在各个职能的职责权限；

2、对待同一种风险源，形成风险管理的一体化协作交流机制。风险管理职能是头，负责设计和决策阶段的风险，内控、合规、法务是身，负责实施和运行阶段的风险，审计监察（纪检）是尾，负责监督检查全过程的风险状况。

3、有条件的企业，可以尽量整合职能，形成大风控部，或大风控中心。我们看到很多企业，从务实的角度出发，将二三道防线的职能已经尽量多的集中到了一个部门。

今天正好在德国陪同央企考察，和其中一个石油企业的领导聊到大风控的概念，他说这个提法很好，唯一不太确定的就是关于内部审计的职能是否可以纳入大风控部，对此我也做了一些调研。结论是从企业内部管理和外部监管的角度，没有太大的障碍说一定不行，因为就算合并之后各职能也是根据需要设置不同的工作组，所以在这方面企业可以大胆探索，实践出真知。

风控本一家，不分你我他！为了企业更好的发展，风控人，联合起来吧！

本文来自风险管理世界，作者：疯控叔。