专项、专注、专业
风险内控管理工作是一个长期的工作,应该融入到日常工作的方方面面。很多公司对风险内控工作定位不准,在运营过程中导致风险内控工作的方向偏离、管理缺失、后劲不足。目前不少公司要么将风险内控工作放在其审计部门下,要么就是放在法律合规等部门当中,这些组织虽然与风险内控管理工作具有不少共性,但却并未也很难承担起风险管理的全部职能,或是将注意力聚焦在财务指标而未能全盘考虑,或是陷于制度、流程的梳理与具体的业务检查如法律检查当中,风险内控管理组织体系并未形成。另外,没有专门的组织进行衔接,仅仅完善各自业务部门的制度、流程难免会出现风险内控管理工作与业务之间无法达成一致、相互冲突的尴尬局面。很多管理者还有一种误区,风险内控不需要成立新的部门,可以交由公司的审计部门或法律部门来开展这项工作,必要时也可临时组织几个相关的职能部门临时成立一个项目小组,走矩阵式组织结构的路线。但是不要忘了,风险内控是一个持续动态的贯穿事前、事中、事后的过程,自从在风险内控框架中加入了战略、经营等因素后,它的作用在企业也就不言而喻,过去的框架的关键词是内部、事中、事后,固堤、防御,那现在的框架则是侦查、分析、统筹、策划、执行、出击、守卫、分析以及反馈的全过程。审计或法律等专业的部门存在于组织,有其重要的功能,但是这些职能部门却往往只是聚焦在提高自身部门业务水平的基础之上,让他们负责风险内控,往往会造成以点带面、局部与整体不能兼顾的情形。风险内控中很多工作也是某些职能部门很难兼顾的,比如风险矩阵相关工作,环境一旦发生变化,风险识别、估计、评价等工作也要重新评估。
专岗、专人、专事
风险内控管理的顺利实施,离不开强有力的组织保障,因此专业机构的成立以及专门人员的配备是必不可少的。而目前的现状是很多集团公司在公司治理上并不完善,不但其他部门很多员工工作职责划分不清,就连内控工作也是职责混乱,不能将责任落实到人,权责利不分,相互推诿,风险内控组织形同虚设。在公司运营过程中,很多部门也是从本部门的观点出发配合风险内控的相关工作,不是事不关己高高挂起控制不足,就是涉及自身利益事无巨细,控制过度与控制不力的现象时有发生,没有站在公司整体运营的视野上,存在“风控管理近视症”,没有大局观,缺乏整体观。