内控、风险、合规、审计关系.docx

《内控、风险、合规、审计关系.docx》由会员分享，可在线阅读，更多相关《内控、风险、合规、审计关系.docx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2019收官之作：冯萌.王凯|企业内控、内审、风险管理与合规关系辨析基于一家企业极简发展史的探讨（转）一、问题的提出“当前，在企业内外部环境的共同作用之下，“内控、内审、风险 管理和合规”作为一项管理活动或者作为具体部门，已在各类企业中频 繁出现。与此同时，这些概念的范畴、相互关系以及在企业中如何实践, 业已引发了广泛讨论。我们认为，对于这些问题的讨论不应脱离企业发展过程中所产生的内 在管理需求，因此我们不妨从一家企业的发展史的视角展开讨论。我们 给这家企业起名为K企业，并且给这家企业安排一位创始人、股东、老 板兼总经理一一Z先生，以及其他几位关键角色（按出场先后顺序排列）:A先生K企业内控部

2、负责人B先生K企业内审部负责人C先生一一K企业风险管理部负责人D女士一一K企业合规部负责人请注意，这只是一个高度简化的示例。二、K企业的极简发展史如中国大多数企业一样，K企业也经历了从无到有、从小到大、从简 单到复杂的发展历程，并最终成为一家涉足餐饮、金融等行业的企业集 团。K企业已经发展成为一个大型企业集团，企业的内控、内审、风险管 理和合规部门也运行了很长一段时间，Z先生渐渐发现，事情并没有预 想的那么简单，这些部门似乎都或多或少遇到了问题。例如，风险管理部C先生开始抱怨：投资管理部门等部门针对不理 想的投资项目，开始向风险管理部甩锅。不仅如此，风险管理部的管理 范围被不断泛化，很多部门认

3、为只要是认为有风险的事情，就应该找风 险管理部，问题类型从各类业务合同签订到人员离职补偿，不一而足， 让风险管理部应接不暇。然而，更多的抱怨则是来自各职能部门，例如：部门内的一些业务， 合规部门会检查一遍，内审部门也会检查一遍，消耗时间精力。不仅如 此，合规部门和内审部门经常还会提出不同的整改意见，让人无所适从。 又如风险评估工作，内控部、风险管理部和合规部都会进行组织，也让 各部门觉得难以理解。其中，让Z先生更担忧的是，业务部门已经多次 表示，风险管理部、合规部等部门提出的一些要求过于苛刻，已经严重 制约业务发展。还好，K企业拥有务实及开放的企业文化。通过沟通，Z先生采取了 如下措施：1）将

4、总经办作为日常工作协调的平台，明确以风险为导向对内控部 门、内审部门及合规部门进行工作协调，并且通过不断优化管理制度对 各部门的职责、配合流程进行明确。如：在内审部门制定审计计划的过 程中，应根据情况组织相关方来识别、评价风险，其中内控、合规和风 险管理部门的风险评价结论将作为重要输入；2）在董事会层面组建了风险管理委员会进行重大风险决策，提升风 险评价、风险对策制定的层级，促成在企业内形成统一的风险评价结论；3）通过持续宣贯、绩效管理等手段，明确前端部门（如业务部门） 在风险控制中的关键作用，夯实第一道防线，遏制风险失控后的“甩锅 行为。通过上述努力，企业风险政策更加统一和明确，内控、内审等

5、工作的 协调性得到加强，对业务部门的干扰也有所降低。归纳一：内控、内审、风险管理与合规各自如何应运而生？从上面K企业发展史，我们可以做如下的总结：1）内控作为渗透到企业各个业务领域的内在管理机制，从企业建立 那天开始即存在，随着企业的不断发展会不断演进得更系统化和规范化； 随着企业制度体系不断复杂化，内控部门则会以制度集中归口管理部门 的形式出现，并将负责组织全企业的风险识别、评价与应对措施制定工 作。2）当股东/老板为自己的时间、精力或专业性所限，无法对企业进行 有效监督时，则会对内审产生需求，这时独立的内审部门往往会出现。3）当企业对于特定风险存在重大顾虑，并且认为已有组织架构无法 有效防

6、范该风险时，即可能设置专门的风险管理部门，以提升对此特定 风险的控制效果。（注：在央企等实施全面风险管理标准的企业所设置 的风险管理部，可能会全面负责各类风险的控制，和前文所提出的风险 管理部职责将存在重大差异。对此，后文还将进行阐述。）4）当企业面临较高的外部合规压力时，则会采取合规管理措施，并且可能单独设置合规部门。归纳二：内控、内审、风险管理与合规部门如何分工协调？典型的分工协调方式可以归纳为：1）风险管理部和合规部在自身所聚焦的风险领域，可以主导特定制 度流程编制，也可以要求其他部门根据其要求完善自身相关制度流程， 但就制度流程的基础管理程序而言，需要在内控部门所维护的基本框架 之下进

7、行。2）风险管理部门和合规部可以在自身所聚焦的领域可以对其他部门 进行检查，但应与内审部门进行协调，以减轻其他部门的配合压力。3）内审部门则是对包括内控、风险管理和合规部门在内的所有部门 进行监督检查，在风险管理部和合规部所聚焦的风险领域，可以充分参 考这两个部门的工作成果及检查发现。4）在风险识别与评估方面，整体工作由内控部门牵头，内控部门在 具体工作开展中，针对风险管理部门和合规部所聚焦的风险领域，应充 分参考风险管理部门和合规部的工作成果。而风险管理部门和合规部就 其所聚焦的风险领域，应主导对应风险的识别和评价工作。内控、内审、风险管理与合规部门的日常工作协调在总经办平台上进 行,涉及重

8、大决策的，由董事会层面的风险管理委员会完成。三、让我们回到控制风险”这个本质从K企业的发展简史可以看出，内控、内审、风险管理和合规的出现, 本质上还是为了有效支持企业业务开展，更具体的，是为了企业能够有 效控制风险。风险控制核心工作先不考虑具体的实施主体，风险控制的核心工作事项包括：1 ）对风险进行识别和评价，并根据风险评价结果制定控制措施；2）将控制措施在原则、职责、流程和标准中明确，通过建章立制进 行制度化管理；3）对制度运行及风险管理情况进行检查和评价,落实奖惩并持续改 进。2、风险控制中需要考虑的因素1 ）是管具体业务还是管游戏规则？前者是针对具体风险本身（对合同中常见条款陷阱的识别标

9、准），后 者是针对围绕风险的管理规则（如针对复杂的非标准合同设置专业评审 机制）。2 ）是管执行（运动员）还是管监督（裁判员）?如果是管监督, 是监督过程（业务执行过程规范性）还是监督“结果（业务执行效果）？3 ）对“专业性”的考虑。不同的风险控制手段会对实施主体提出不同 的专业性要求。4）对“独立性”的考虑。特定风险控制手段会对独立性提出较高的要求。3、关于部门的设置企业应根据所处发展阶段、业务复杂度、所面临的风险情况等因素来 决定如何进行部门设置。在现实中，存在两类典型问题：首先是因人设 部门，因人设岗，这样可能导致企业组织结构会随着人员更替频繁变化, 管理体系频繁变动；其次是生搬硬套其他

10、企业组织架构，或造成机构臃 肿,或导致部门间协调困难。企业内控、内审、风险管理、合规部门如何设置呢？这里有三个核心 问题：1）是否需要单设部门？2）如果单设部门，核心工作职责/权限包括哪些？3）如何与相关部门进行协调？对于这三个问题，可以在下面的内容中寻找答案。内控部内审部风险管理部（注1）合规部风险控制价值点提升风险识别、 评价与控制措施 制定的全面性和 科学性；提升管理制度的 系统性、规范性 和科学性。对管理制度体系的 设计及运行情况进 行独立监督。特定风险的识 别、评价与控制 措施制定；针对具体业务中 特定风险的评价 与决策。合规风险的识别、 评价及控制措施 制定；针对具体业务合 规风险

11、的评价与 决策。对接并响应外部 监管部门。对具体业务的风险 控制通常不作为参与 具体业务的风险 控制。为确保独立性，不 参与具体业务风险 的控制。参与具体业务特 定风险控制（如 贷款发放评审）。参与具体业务合 规风险控制（如合 同合规审查）。制度管理（编制、 修订、废止等）工作对全企业管理制 度进行集中归口 管理。作为内部顾问， 对关键业务流程 梳理/优化。不参与具体制度管 理，但基于审计发 现对制度提出整改 /优化意见。组织特定风险领 域相关管理制度 的制定、修订和 评价工作。时相关管理制 度，围绕特定风 险进行评审。组织合规风险领 域相关管理制度 的制定、修订和评 价工作。对相关管理制度

12、进行合规性评审。对其他部门的检查 与评价对各部门的制度 规范性进行检查 和评价。对各部门管理制度 的设计和执行情况 进行检查与评价。对各部门的特定 风险管理情况进 行检查和评价。对各部门的合规 风险管理情况进 行检查和评价。组织相关部门进行 风险识别和评价负责组织企业全 面风险识别与评 价。在审计计划过程中 会酌情组织相关部 门进行风险识别和 评价，并将充分考 虑内控、风险管理 和合规部门的风险 评价输入。在审计报告中，基 于审计发现进行风 险提示。负责特定风险的 识别与评价。负责合规风险的 识别与评价。不难看出，K企业的风险管理部（注1 ）和合规部都是因聚焦特定风险源而生、是职能必须向其他部

13、门进行横向拓展的部门，具有这种特征的其实还有质量部、安全部等部门。如质量部为从整个产品生命 周期上强化质量管理，会对采购部、生产部进行工作检查，并且参与这 些部门的制度、流程及标准的制定。由于内控、内审、风险管理和合规都是围绕“风险”展开，业界已提出 大风控”概念，核心思想是既然大家都是管风险的，为什么不合在一起 呢？我们认为，如前文所述，内控、内审、风险管理和合规职能在独 立性要求、所聚焦风险领域、与其他部门的关系、人员专业技能等方面 存在实质性差异，受到“专业化引力（参看亨利朋茨伯格卓有成效的 组织一书）等因素的影响，在实践中仍会出现按照部门进行工作分工 的趋势。根据前文分析，部门间潜在冲

14、突会体现在独立性、工作范围 和专业性要求”三个方面。独立性：是否参与具体业务活动（如是否参与具体业务决策）、汇报 路径等。例如，如果风险管理部参与具体业务评审，其独立性会受到影 响。工作范围：如制度归口范围等。例如内控部门，相对其他部门需负责 企业整体制度归口管理。专业性要求：人员所需具备的专业知识，如特定风险领域的风控技能、 部门间协调技能等。例如合规部门人员应熟悉企业所处监管环境的外部 合规要求及合规方法。内控部内审部风险管理部合规部内控部X独立性、工作范 围及人员专业性 要求冲突冲突等级：中工作范围及人员 专业性要求冲突冲突等级：中工作范围及人员 专业性要求冲突冲突等级：中内审部XX独立

15、性、工作范 围及人员专业性 要求冲突冲突等级：高独立性、工作范 围及人员专业性 要求冲突冲突等级：高风险管理部XXX人员专业性要求 冲突冲突等级：低合规部XXXX注1:在一些企业（如实行全面风险管理框架的企业），可能会设置 更加综合的风险管理部，部门职责会涵盖全面的风险识别/评价/控制措 施制定、控制执行的事前/事中/事后监控（如监控特定动态风险指标）、 风险控制标准制定、参与重大风险决策、风险相关管理制度制定、监督 检查、风险管理效果评价/报告、风险管理考核等职能，其职能可以理解 为K企业内控部、内审部、风险管理部及合规部的综合。不仅如此合 规、内控等概念在不同企业也可能涵盖不同的范畴，如在

16、一些企业， 合规部门的职责既包括外部合规、也包括企业内部管理制度合规，其范 畴大于本文中所描述的合规部职责。整体上，我们认为在分析时应聚焦 具体职责,而非概念或部门名称。四、对企业的建议围绕内控、内审、风险管理和合规的职能定位，很多企业存在困惑。结合前文，我们提出如下建议，供企业参考。1、先识别和评价风险，再根据企业的实际情况考虑部门的设置。如前文所述，设置部门的基本目的是有效控制风险、支持业务的开展。 企业应首先有效识别并评价其所面临的风险，从合理分配风险控制相关 职责（如制度管理、检查评价等）的角度，根据业务复杂性、组织成熟 度等因素考虑部门的设置，而非先设置部门再考虑部门职责。如在前面的

17、例子中，相对于内控部和内审部，K企业设置了风险管理 部和合规部，是因为该企业基于对特定业务风险和合规风险的评价结果, 决定通过专设部门的方式增强对这些风险的控制效果，实质上是在前端 部门之后增加了一道风险防线。然而，增加防线是需要增加组织成本的, 是否合理取决于这些成本的投入产出比，即降低风险所带来的收益是否 大于新增控制成本。2、将注意力放在具体风控措施的执行，而非追求形式层面的部门齐备。从企业的角度，应将注意力先集中于风险控制相关措施是否到位，如 前文所提到的风险是否已经全面有效地识别和评价、管理制度是否已经 有效建设与维护、是否已经建立了有效的监督机制等等。如经过评价， 在现有架构下前述

18、措施都已执行到位，则不需要在部门层面做过多调整； 如果企业发现在现有架构下无法有效执行必要风控措施，则需要考虑在 部门设置等方面予以调整。3、单设部门会带来专业化、独立性等好处，但也会增加协调等成本，这也需要企业进行评估取舍，并且加强协调。例如，由于风险管理部、合规管理部的职责是基于特定风险展开，因 此往往会与内控部门和内审不可避免的出现职能重合：如在合规风险领 域，合规部门在制度制定/评审及风险识别/评价方面会与内控部门职能 重合、在检查评价方面会与内审部门职能重合。又例如，风险管理部在具体业务过程中会参与风险评价和决策，则会 与前端部门的职责重合（如投资管理部也必须识别评价投资风险，并且

19、在决策过程中充分考虑风险）。因此，如果同时设置多个部门，应尽可能的免多头及重复管理，并且 需要建立一定的横向沟通机制。结语对企业内控、内审、风险管理与合规的关系，从理论到实践，都存在 着较大争议。我们认为，针对这些问题的分析应该从企业发展阶段及各 阶段内在需求出发，否则易陷入概念之争。针对本文观点，欢迎业内同 仁批评指正。第一阶段：K企业创立，Z先生几乎掌控一切Z先生做快餐餐厅起家，第一家餐厅的收银兼出纳是自己的一位亲 戚，后厨、服务员5-6个，从原料采购、装修、菜单设计都是Z先生自 己负责。甚至厨师忙不过来时，Z先生自己也会去炒两个菜，这些里里 外外都是自己张罗。会计是找的代账公司帮着记账。

20、因为自己菜品有些 特色，而且真材实料，生意一直不错。甚至附近写字间的公司专门在这 里定了员工餐，生意越来越好。渐渐地，每天客户订餐量巨大，Z先生每天光菜市场都要跑好几次， 发现自己忙不过来了，Z先生意识到目前的管理模式已经不行了。第二阶段：K企业初具规模，Z先生开始进行分权、明确职责分工、 开始建章立制，Z先生也开始从亲力亲为转向监督评价，系统化企业内 控显现，并建立了专门的内控部门。K企业生意持续火爆，踌躇满志的Z先生决定扩大经营。Z先生开始 招聘包括采购人员、财务人员在内的专业人员。与此同时，饭店大厨和 核心骨干分别入股，引入外部投资人，在未来一年连续开了三个分店， 为了实现集中管理，Z先

21、生组建了管理总部。分店建立后，Z先生有了新问题：他发现，老店还好，大家都熟悉。新店他虽然关注很多，但是经常出错。不是上错菜,就是客户投诉，总 之每天都有新的问题。最让他感到头疼的是，分店的现金流水情况总是 不放心，可是又不知道如何去管。他就派人去其他品牌餐饮店卧底,发现这些各个分店出品都差不多，而且新人进入后很快就能上手，原因在 于不论分店数量多少，都在一个统一管理标准下经营运行。受到触动，2先生在外部咨询机构的协助下，K企业相关管理制度逐 步建立起来，例如：分店财务管理模块，通过总部集中招募财务经理, 直接对总经理负责，外派到各分店。同时采用收支两条线的方式，收入 及时上交总部，采购资金与费

22、用等再定期拨付；在质量管理方面，组建 了专门的质控部门，编制了标准化的质量管理手册；在信息化方面，K 企业购置了一套小型信息系统并顺利上线。K企业发展到现在，内控作为一种内在机制，在K企业已逐步建立起来。管理运作起来后，开始还很顺畅，但是餐饮行业人员流动快，餐饮品 类不断增加，对管理制度进行持续更新改进的要求越来越迫切。但由于 制度管理相关权限（典型权限包括具体制度谁来编制？谁来审批？谁来 宣贯？谁来监督？等）模糊、制度编写标准不统一，管理制度自身越来 越混乱。不仅如此，各部门之间经常会为自己的利益对制度流程发生争 论，甚至吵到总经理办公室，Z先生焦头烂额。Z先生决定组建专业化的内控部门，并且

23、招募了 A先生加盟，成为内 控部门负责人。A先生思维缜密并拥有多年的企业流程管理经验，对于 内控部门工作的开展，A先生提出了如下观点：1）企业管理制度必须由内控部门来进行统筹，采取统一的分级分类标准，管理制度的发布/修订/废止必须经过内控部门的审核；2）内控部门应该充分参与各类制度专业讨论，充分发表专业意见；3）内控部门应持续组织开展企业制度评价工作，进行风险识别和评价，以推进管理制度持续优化。Z先生对A先生的观点表示赞同，鼓励A先生尽快开展工作，尽早 成为企业的制度大管家。事实证明，A先生专业度很不错，在其负责的 内控部门的持续努力之下，K企业的制度系统性、规范性和科学性得到 显著提升，各部

24、门之间的衔接更加顺畅、有效。更重要的，重大风险得 到及时识别和应对，Z先生的管理压力明显降低。第三阶段：K企业规模持续扩大，Z先生发现自己已看不过来，决定安排人专门负责检蛰，内审正式登场。随着业务规模逐步扩大，K企业已经发展到10家分店，分布于3个 城市。Z先生发现尽管整体经营还不错，但有两家分店总在亏钱，却不 知道什么原因。有朋友建议他应该找审计人员检查一下。在找外部审计 机构和建立内审部门之间，经过仔细思考权衡，Z先生决定为了企业长 远发展，应组建自己的内审部门。通过专业猎头，Z先生找到了 B先生。B先生之前在另一家知名餐饮企业集团担任审计部负责人，因全家迁往 本市，因此需要选择新的企业就

25、业。B先生在了解了 K企业是新建内审 部门及其他相关基本情况之后，对Z先生提出了如下几点要求：1）内审部门负责人直接向Z先生汇报，以确保其审计工作开展具有 足够的独立性和权威性；2） K企业所有部门和岗位都纳入内审部门的审计范围，包括刚刚成立 不久的内控部门，其审计范围不能受到任何形式的限制；3）关于内审部门与内控部门的关系吕先生表示内控部门主要负责管 理制度的建立，内审部门主要负责检查管理制度的执行情况，对制度设 计不合理的地方，内审部门也会提出；4）关于审计重点，内审部门将独立进行风险评估和制定,同时将充 分听取Z先生的意见；5）内审部门将受理并处理各类举报。Z先生听完B先生的要求，有点担

26、心这样设置内审部门是否会引发内 部冲突，后来转念一想，内审部门本来就是监督部门，引发冲突几乎是 必然的，也就接受了 B先生的要求。在Z先生的大力支持之下，以B先生为首的内审部门成立了。针对 前面所提到的两家分店存在的亏损问题，内审部门对比企业内部及竞品 企业营业数据，发现这两家店经营成本异常偏高，除了公司统一配送的 主材外，其他当地自主采购的蔬菜等，比市场价格偏高。在此基础上， 内审部门经过明察暗访,发现采购经理有舞弊嫌疑，使用了自己亲属进 行配送。Z先生在查阅了内审报告之后，根据相关管理制度，立即对相 关人员进行了严厉处罚，直接责任人被解除劳动合同。Z先生对B先生 及内审部门的工作非常满意，

27、之前的顾虑也逐渐被打消。在此之后，内审部门对几项管理顽疾进行了专项检查，在查明原因之 后提出了整改意见，并在内控部门的配合之下对管理制度进行了优化, 建立了长效机制。第四阶段：K企业向投资集团转型，但投资及贷款业务风险频发，Z 先生决定安排专业人员集中管理投资及贷款风险，风险管理部门出现了。随着K企业在业内的知名度越来越高，一些战略投资人开始与Z先生进行接触，并且达成了注资意向。随着战略投资人资金的注入，Z先 生意识到需要进入新的业务领域，因此Z先生对K企业的组织架构进行 了调整，将原有的餐饮业总部转换成为投资平台并启动对外投资，传统 餐饮业务以一个事业部的形式继续运营。经过高层研讨，K企业的

28、投资 方向基本确定为新兴的非银行金融行业及餐饮行业。在金融行业，K企 业首先收购了一家小贷公司。然而，K企业的投资之路并不顺利。一次是小贷公司在进行贷款审核 时，由于对债务人没有进行充分的风险评估,一笔资金借出去后无法追 回。另一次是餐饮公司准备和一个合作方共同开发一个西餐新品牌，在 投资前没有对市场前景、合作方实力等进行有效投资风险评估，最终导 致投资失败。这时,Z先生已经充分意识到金融业务及对外投资的风险跟他之前买 菜做饭时所面临的风险不可同日而语,再次陷入迷茫。Z先生组织团队 进行了行业对比，认为一些企业所采取的组建专业的风险管理部门来对 这些风险进行集中管理是一条思路。但是，新设部门不

29、是件小事情，Z 先生决定先征求一下内控部负责人A先生的意见，并且专门询问了就安 排内控部来行使专项风险管理的可行性。A先生问明Z先生来意，经过仔细思考提出了如下观点：1）认同应该由专业部门对投资等重大风险进行专门管理的合理性；2）不建议由内控部门来履行风险管理职能，主要理由：首先，内控 部门的核心职责是维护并且优化全企业的管理制度体系，而不会介入到 具体业务，而风险管理必须介入具体业务，否则难以实现风险控制效果; 其次，在风险识别方面，内控部门是组织相关部门进行全面的风险识别， 而风险管理部门则需要聚焦特定重大风险并给出专业判断，两者的工作 重点和专业要求都存在较大差异。Z先生虽然觉得这些事确

30、实有点抽象，但基于对A先生专业度的信 任，他决定先尝试一下。经人介绍，Z先生决定招募C先生作为部门负 责人来组建企业风险管理部，C先生具有丰富的投资管理经验，对K企 业所在行业也有深入理解。在正式履职之前，C先生与Z先生也有一次 深入的交流，结合之前的经验，C先生提出：1）风险管理部名称含义比较模糊，因此必须清晰界定风险管理部所 管理的风险范畴，现在看主要是投资风险及金融业务的贷款风险；2）风险管理部将集中于特定风险的识别、评价与应对，但这不能替 代前端部门（如投资管理部）自身应履行的风险管理职责；3）风险管理部应充分参与相关制度流程（如投资管理制度）的制定；4）风险管理部应充分参与具体项目，

31、充分获取信息并具有实质性的 管理权限；5）风险管理部有权对相关部门风险管理相关工作进行检查和评价。C先生领导下的风险管理部一方面对相关管理制度进行了重大修订， 对可研、尽调、过会等关键环节的制度要求进行显著优化,另一方面直 接介入项目尽调、评审等工作，促使风控措施真正落地。基于风险管理 部专业工作，Z先生及时否决、终止了几个高风险项目，避免了损失。第五阶段：外部合规压力激增，Z先生意识到法律法规红线是碰不得 的，决定集中力量搞合规，合规部门出现了。随着K企业业务规模及业务范围的进一步扩大（除了传统餐饮和非银 行金融行业，K企业还涉足了中央厨房，涉及食品加工企业），Z先生 发现市场监督管理局、银

32、保监会等政府部门对企业的监管越来越严、要 求越来越细，特别是最近几次检查，检查组都提出了措辞严厉的合规问 题。不仅如此，Z先生还目睹了一些同行因为合规问题最终关门大吉甚 至惹上官司的事例。作为企业的法定代表人，Z先生非常紧张。对于Z 先生而言,各类监管文件犹如天书，一时间Z先生又没了主意。Z先生找来了 A先生、B先生和C先生来一起讨论，Z先生的本意是 想请内控部或者风险管理部来兼顾合规这一块，并且由内审部来加强审 计。对此，A先生、B先生和C先生给出了如下建议：1）考虑到K企业的行业特点，建议单独设置合规部，理由包括：能 够让监管部门感受到K企业对合规工作的重视程度,同时能够清晰的与 监管部门

33、进行日常工作对接；由于在各个部门都可能存在合规风险敞口 （如投资管理部门、菜品采购部门等），合规部必须对各个部门进行持 续的合规监控和督导，这和当前内控部和风险管理部的职能特征并不吻 合；合规风险源主要来自外部监管要求，合规管理人员的专业性也具备 自身特点；2）内控部将充分配合合规管理要求，例如针对相关管理制度引入合 规审查；3）风险管理部将在项目风险过程中，进行充分的合规审查；4）内审部将合规管理活动纳入内部审计范围。Z先生虽然对又要新设一个部门有些犹豫，但上面第一点显然打动了 Z先生一一以后监管部门再来检查，如果可以告知他们企业已经组建了 专门的合规部，在感觉上确实会好很多。于是，K企业合

34、规部正式成立, 并且聘请了干练的D女士担任合规部负责人。D女士在走马上任之前， 提出了如下要求：1）在当前日趋严格的外部监管环境下，合规无小事，K企业从上至下 必须建立合规意识，不能有侥幸心理；2）合规部必须有权参与涉及合规风险的重大决策，必须有权对其他 部门的合规遵从情况进行检查和整改；3）合规部应能主导合规相关管理制度的制定，并且对各类制度进行 必要的合规审查；4）合规部将持续对外部监管要求进行分析和评估，与监管部门保持 有效沟通，在相关部门通力配合的前提下，将外部监管要求内化为企业 内部管理要求。Z先生基本认同D女士的观点，表示将全力支持。随着合规部开始全 面履职，经过一段时间的内部合规自查及整改，Z先生明显感觉到政府 监管部门对K企业的态度发生了转变，所提出的合规问题，无论是从数 量上还是性质上看，都得到了显著改善。第六阶段：各类风控专业部门似乎都齐全了，Z先生又开始为这些职 能间该如何协调发愁了。