截止目前,没有哪个人、哪个文件能把这四者的关系和区别给界定,尽管有人会从某个视角引出系统性说法,但与实际业务又大相径庭!
本文结合个人经验,也纯属个人观点!
包括个人吐槽,也欢迎大家吐槽。
旨在激发大家深入“思考”,碰撞出“思想”的火花,哈哈!
一、内审
这四者关系中,最能拎得清的就是内审了,毕竟历史发展悠久(西周),而且制度建设完善,内部审计部门也被大多数组织接受。
内审与“合规、内控、风险”的关系界限相对明确,内审仍旧是提供独立客观的评估,有时也会参与到“合规、风控和风险管理”的设计中来,相对来说,内审是最独立,也是最易分辨的。
这里就不唠叨了,毕竟很多人清楚内审是怎么回事!
二、内控
关于内部控制,现成的理论也是一堆一堆的,几乎所有人都认为内控很重要,连上市公司也要求内控自评,看似很规范!
但是,如果不是为了应付来自政策或市场监管的压力,有几个公司愿意单独设置一个“内控部”?
为什么不愿意呢?
恰恰是它管得太宽了,也太深了,但是,专业度跟不上。
1.内部控制包括的几个要素,从环境到运营都有,几个管理目标也高大上,这就存在一个问题:你做得宽了,还能做深吗?
企业中,内控制度一大堆,但最终还是得靠专业人士来执行,但人家专业人士有自己的管理模式,有自己的专业要求,有自己的业务特色,其专业性控制比内控制度更实用。
有人说,让“内控部门”把各类专业制度流程都整合好不就行了吗?确实是可以!
但是像这样的全才和专才上哪儿找?难道在“内控部门”中再组建一个管理团队吗?
这也是内控的尴尬之处!
所以,企业中设置“内控部”,很难起到管理改进的效果。有的时候,甚至会浪费更多资源,增加无谓的工作量。
另一方面,内部控制对于来自组织外部的风险,很难发挥作用!
三、合规
有人把“合规”当成组织运营中最核心,最基础的部分,这样理解也没大毛病,因为他只考虑了硬性的“规矩”。
有很多组织,专抓内部“合规”管理,重心是某项制度的执行,比如:预算执行!
实务中,也有很多企业会设立“法务合规部”,合规管理纯粹由法务人员来执行,主要应对法律风险。
合规能对内又能对外,那我们应该怎么理解合规呢?
这就需要我们先把一个概念理清楚:“合规”到底合的是什么“规”?
1.往大里说,这个“规”包括国家法律法规、行业规范和惯例、组织内部制度流程、企业文化要求等,这样一说,合规范围就大了去了。
这一变大,再说它只是最基础、最核心的要求,就有点儿勉强了。
另一方面,合规即包括“建立”规矩,也包括“监督”规矩,这又涉及到了内控管理和风险管理。
2.要是往小里说,组织内建一个合规部,可能只针对某一项风险,比如法律风险,比如金融操作合规等。
总之,对合规的定位,可大可小!
这就存在一悖论:组织设立一个“合规部”,如果只管一块业务的话,有点儿浪费;要是管得宽了吧?业务又太多,还会和内控和风险管理打架,引起管理混乱!
最终,它不得不沦为一个鸡肋:食之无味,弃之可惜。
可以预见,如果单独设立了合规部,该部门未来也会慢慢被“边缘化”!
四、风险管理
近几年,风险管理是最为火爆的一个话题,很多企业有“先见之明”,早早搭建了“风控体系”,且设立单独的管理部门:风险中心。
甚至将法务、审计、质检岗、安全岗全部纳入到“风险中心”里面。
但是,实务中,无论在多大的组织里,真正做风险管理的也就那么一两个人!
庞大的“风控中心”往往是:身子大,脑子小!像笨拙的食草长颈龙一样!
其涵盖内容怎么样?
1.往大里说。风险真的是无处不在,在地球上,无论什么人,什么事儿,都会存在各种不确定性,不确定性就是风险!
所以,风险管理也就无所不包:内部管理、外部环境,人财物、吃穿住行等等!只要能想到的,都可以纳入到风险管理体系中来。
于是,各种各样的风险管理制度、风险矩阵、评估方法都冒出来了。
但是,时间一长,很多人会发现,风控做的范围越广,风控措施越可能沦为一纸文书,越缺少操作性。
2.反而,做得专一的人更有潜力。比如,有些企业的“风险部”专审核各类内部签批手续,重点把控收支风险。
有的企业专职做“资金风险”,专管投融资。
这些业务定位专一,范围更窄的,反而更具有生命力。
五、大乱斗
如果在一个企业中,有内审部、合规部、内控部和风险部,那四者之间怎么相处呢?
一个小故事!
经济在发展,市场在成熟,但是猪老板觉得生意越来越难做了:今天员工出事儿,明天顾客闹事儿,一会儿产品又出问题,一不小心又得罪了税局、工商局等政府部门。
这些“意外”之事,总是让猪老板心烦意乱!
之前,猪老板站在风口上,跟着风飞了一波,但是风一停,连走路都变得困难了!
市场竞争又越来越激烈,猪老板操碎了心,经营却越发艰难!
于是,猪老板一发狠:“谁能让企业不再出玄蛾子,我高薪聘请!”
于是,阿猫阿狗,蜂拥而至。
看着鱼龙混杂的应聘人员,猪老板发愁地看着自己的大肚皮:别人发愁先白头发,他发愁是涨大肚皮!
终于灵机一动:“我要请的人,一是要有高度,二要能为企业目标服务!”
忽啦啦走了一波,只剩下四人:内审、内控、合规、风险。
1.内审
内审自信地走到猪老板面前说:“我有独立的、客观的、系统的方法,评估企业经营活动和各类风险,能当猪老板的眼睛和手,改善运营和风险管理,促进企业目标实现!”
见猪老板眼中透出赞赏之色,内审正想得意,只听到“啪、啪、啪”三个大巴掌拍在脸上。
内审被拍飞了,是合规、内控和风险三人出手:“屁!只会站在一边说风凉话的家伙,天天不干正事儿(不深入业务),又是事后诸葛亮(事后审计),有个屁用?”
2.内控
内控走到猪老板面前说:“我是内控,企业内部的一切运营,皆归我管,我有五大要素,有五大目标,有完善的内控矩阵!有我在,一切不是问题!”
只听“啪啪”又来两巴掌,内控也被拍飞了,是合规和风险出的力:“基本的操作都不会,还谈五大目标,五大要素?再说,你也只能对内,现在的风险在哪儿?大多来自于外部!只会‘窝里横’的家伙!”
3.合规
合规此时走向前,对猪老板说:“您的企业之所以会出事儿,一是对政府的政策了解不透彻,现在三天出台一个新政策,不了解的话肯定要出事儿?二是内部操作不规范,立了规矩不遵守,怎么能做出好产品?让我来,保证内外都合规,啥也不用怕!”
猪老板正觉有理,“啪”地一声,合规也被拍飞了。
风险说:“只会盯着合规那一点儿说事儿,不知道风险无处不在吗?只考虑合规,不评估风险,只会让规矩越来越多,哪里会有效率?再说,企业要发展,需要创新!有时为了更大目标,必须要冒风险的!猪老板,让我来,我会把各路风险分析的透彻,没人比我更在行!”
4.风险上位
猪老板很满意风险的说法,他一个人几乎能把内审、合规和内控的活儿全包揽了!
但是,风险入职后,猪老板更忙了!
天天风险评估,风险矩阵,所有风险都是“自上而下”推行,下边人做得怎么样,他也不知道,忙活了一年,除了多了几张风险表格,啥改变也没有。
猪老板气得正要骂风险,他忙解释道:“风险管理涉及的面太广了,您让内审、内控和合规都来上班吧,一人管一块,这样才管得来!”
不得已,猪老板把人都请来了。
最后,企业经营确实有了起色。
(1)内审不仅评价各业务部门的经营,还对合规、内控和风险的管理进行评价,让猪老板对企业的运营情况更熟悉,管理的也更得心应手!
(2)合规将工作重心转移到外部法律风险上,各类纠纷和违规行为确实少了。
(3)内控则全力完善内部控制制度和流程,运营效率也有了提升。
(4)风险管理,让老板看到了企业中的各类风险,一时间确实提升了抗风险能力,后来也将重心转移到外部风险上,如:资金风险、投资风险、市场预测、政府政策研读等。
一时间,猪老板的企业开始欣欣向荣。
5.打架
虽然内审、合规、内控和风险渐渐找到自己的定位,但是仍旧觉得自己是老大,相互之间的业务能力不相上下,自然争斗不断。
猪老板只顾赚钱,从不关心四人的矛盾,也不考虑团队建设。
有钱赚,企业中的权威在四人的帮助下又越发强大,猪老板心满意足。目前令他烦恼的,只剩下那四人的争权压利、越来越多管理提升要求、越来越多的奖金需求。
猪老板只是头猪,为了眼前的利益,不注重技术更新,不注重人才培养,无论四人怎么提建议,他都停足不前,不愿改变。
终有一日,他觉得四人管的太宽了,开始管到他头了上了,四人工资又太高,就心生不满:“企业现在一切顺利,我又清楚怎么管理,不如把四人开了!”
于是,企业中出现了一场轰轰烈烈地改革,四人被夺权,不得不黯然退场。
企业提升管理困难无比,但要破坏,却快得很!眨眼间,内审、合规、内控、风险的相关管理全部清零,企业变成猪老板的一言堂。
猪老板忘了一点儿:所有的管理理论和方法,虽处于老板的领导之下,但是,却不是由老板一人在操办,是需要专业团队来运作、协作的。
企业走上了下坡路,等猪老板认清现实时,已经晚了,之前制度流程已破坏殆尽,四位得力干将也各自找到下家,不会再回来。
最后,猪老板只得看着自己的大肚皮,不停地发愁...!
请多多
