（3）对“专业性”的考虑。不同的风险控制手段会对实施主体提出不同的专业性要求。

（4）对“独立性”的考虑。特定风险控制手段会对独立性提出较高的要求。

3.关于部门的设置

企业应根据所处发展阶段、业务复杂度、所面临的风险情况等因素决定如何进行部门设置。在现实中，存在两类典型问题：首先是因人设部门，因人设岗，这样可能导致企业组织结构会随着人员更替频繁变化，管理体系频繁变动；其次是生搬硬套其他企业的组织架构，或造成机构臃肿，或导致部门间协调困难。

企业内控、内审、风险管理、合规部门如何设置呢？这里有三个核心问题：

（1）是否需要单设部门？

（2）如果单设部门，核心工作职责和权限包括哪些？

（3）如何与相关部门进行协调？

对于这三个问题，可以在表6-12的内容中寻找答案。

表6-12　内控、内审、风险管理和合规管理部门的比较（3）对“专业性”的考虑。不同的风险控制手段会对实施主体提出不同的专业性要求。

（4）对“独立性”的考虑。特定风险控制手段会对独立性提出较高的要求。

3.关于部门的设置

企业应根据所处发展阶段、业务复杂度、所面临的风险情况等因素决定如何进行部门设置。在现实中，存在两类典型问题：首先是因人设部门，因人设岗，这样可能导致企业组织结构会随着人员更替频繁变化，管理体系频繁变动；其次是生搬硬套其他企业的组织架构，或造成机构臃肿，或导致部门间协调困难。

企业内控、内审、风险管理、合规部门如何设置呢？这里有三个核心问题：

（1）是否需要单设部门？

（2）如果单设部门，核心工作职责和权限包括哪些？

（3）如何与相关部门进行协调？

对于这三个问题，可以在表6-12的内容中寻找答案。

表6-12　内控、内审、风险管理和合规管理部门的比较①在一些企业（如实行全面风险管理框架的企业），可能会设置更加综合的“风险管理部”，部门职责会涵盖全面的风险识别、评价、控制措施制定，控制执行的事前、事中、事后监控（如监控特定动态风险指标），风险控制标准制定，参与重大风险决策，风险相关管理制度制定，监督检查，风险管理效果评价、报告，以及风险管理考核①在一些企业（如实行全面风险管理框架的企业），可能会设置更加综合的“风险管理部”，部门职责会涵盖全面的风险识别、评价、控制措施制定，控制执行的事前、事中、事后监控（如监控特定动态风险指标），风险控制标准制定，参与重大风险决策，风险相关管理制度制定，监督检查，风险管理效果评价、报告，以及风险管理考核等职能，其职能可以理解为K企业内控部、内审部、风险管理部及合规部的综合。不仅如此，“合规”“内控”等概念在不同企业也可能涵盖不同的范畴，如在一些企业，合规部门的职责既包括外部合规，也包括企业内部管理制度合规，其范畴大于本节中所描述的合规部职责。整体上，笔者认为在分析时应聚焦具体职责，而非概念或部门名称。

不难看出，K企业的“风险管理部”和“合规部”都是因聚焦特定风险源而产生的，是职能必须向其他部门进行横向拓展的部门，具有这种特征的其实还有“质量部”“安全部”等部门。如质量部为从整个产品生命周期上强化质量管理，会对采购部、生产部进行工作检查，并且参与这些部门的制度、流程及标准的制定。

由于内控、内审、风险管理和合规都是围绕“风险”展开的，业界已提出“大风控”的概念，核心思想是“既然大家都是管风险的，为什么不合在一起呢？”。笔者认为，如前文所述，内控、内审、风险管理和合规职能在独立性要求、所聚焦风险领域、与其他部门的关系、人员专业技能等方面存在实质性差异，受到“专业化引力”等因素的影响，在实践中仍会出现按照部门进行分工的趋势。根据前文分析，部门间潜在冲突会体现在独立性、工作范围和人员专业性要求三个方面（见表6-13）。

●独立性：是否参与具体业务活动（如是否参与具体业务决策）、汇报路径等。例如，如果风险管理部参与具体业务评审，其独立性会受到影响。等职能，其职能可以理解为K企业内控部、内审部、风险管理部及合规部的综合。不仅如此，“合规”“内控”等概念在不同企业也可能涵盖不同的范畴，如在一些企业，合规部门的职责既包括外部合规，也包括企业内部管理制度合规，其范畴大于本节中所描述的合规部职责。整体上，笔者认为在分析时应聚焦具体职责，而非概念或部门名称。

不难看出，K企业的“风险管理部”和“合规部”都是因聚焦特定风险源而产生的，是职能必须向其他部门进行横向拓展的部门，具有这种特征的其实还有“质量部”“安全部”等部门。如质量部为从整个产品生命周期上强化质量管理，会对采购部、生产部进行工作检查，并且参与这些部门的制度、流程及标准的制定。

由于内控、内审、风险管理和合规都是围绕“风险”展开的，业界已提出“大风控”的概念，核心思想是“既然大家都是管风险的，为什么不合在一起呢？”。笔者认为，如前文所述，内控、内审、风险管理和合规职能在独立性要求、所聚焦风险领域、与其他部门的关系、人员专业技能等方面存在实质性差异，受到“专业化引力”等因素的影响，在实践中仍会出现按照部门进行分工的趋势。根据前文分析，部门间潜在冲突会体现在独立性、工作范围和人员专业性要求三个方面（见表6-13）。

●独立性：是否参与具体业务活动（如是否参与具体业务决策）、汇报路径等。例如，如果风险管理部参与具体业务评审，其独立性会受到影响。●工作范围：如制度归口范围等。例如内控部门，相对其他部门需负责企业整体制度归口管理。

●人员专业性要求：人员所需具备的专业知识，如特定风险领域的风控技能、部门间协调技能等。例如合规部门人员应熟悉企业所处监管环境的外部合规要求及合规方法。

表6-13　部门间潜在冲突分析●工作范围：如制度归口范围等。例如内控部门，相对其他部门需负责企业整体制度归口管理。

●人员专业性要求：人员所需具备的专业知识，如特定风险领域的风控技能、部门间协调技能等。例如合规部门人员应熟悉企业所处监管环境的外部合规要求及合规方法。

表6-13　部门间潜在冲突分析6.8.4　对企业的建议围绕内控、内审、风险管理和合规的职能定位，很多企业存在困惑。结合前文，笔者提出如下建议，供企业参考。

1.先识别和评价风险，再根据企业的实际情况考虑部门的设置

如前文所述，设置部门的基本目的是有效控制风险，支持业务的开展。企业应首先有效识别并评价其所面临的风险，从合理分配风险控制相关职责（如制度管理、检查评价等）的角度，根据业务复杂性、组织成熟度等因素考虑部门的设置，而非先设置部门再考虑部门职责。

如在前面的例子中，相对于内控部和内审部，K企业设置了风险管理部和合规部，是因为该企业基于对特定业务风险和合规风险的评价结果，决定通过专设部门的方式增强对这些风险的控制效果，实质上是在前端部门之后增加了一道风险防线。然而，增加防线是需要增加组织成本的，是否合理取决于这些成本的投入产出比，即降低风险所带来的收益是否大于新增控制成本。

2.将注意力放在具体风控措施的执行上，而非追求形式层面的部门齐备上

企业应将注意力先集中于风险控制相关措施是否到位，如前文所提到的风险是否已经全面有效地识别和评价，管理制度是否已经有效建设与维护，是否已经建立了有效的监督机制，等等。如经过评价，在现有架构下前述措施都已执行到位，则不需要在部门层面做过多调6.8.4　对企业的建议围绕内控、内审、风险管理和合规的职能定位，很多企业存在困惑。结合前文，笔者提出如下建议，供企业参考。

1.先识别和评价风险，再根据企业的实际情况考虑部门的设置

如前文所述，设置部门的基本目的是有效控制风险，支持业务的开展。企业应首先有效识别并评价其所面临的风险，从合理分配风险控制相关职责（如制度管理、检查评价等）的角度，根据业务复杂性、组织成熟度等因素考虑部门的设置，而非先设置部门再考虑部门职责。

如在前面的例子中，相对于内控部和内审部，K企业设置了风险管理部和合规部，是因为该企业基于对特定业务风险和合规风险的评价结果，决定通过专设部门的方式增强对这些风险的控制效果，实质上是在前端部门之后增加了一道风险防线。然而，增加防线是需要增加组织成本的，是否合理取决于这些成本的投入产出比，即降低风险所带来的收益是否大于新增控制成本。

2.将注意力放在具体风控措施的执行上，而非追求形式层面的部门齐备上

企业应将注意力先集中于风险控制相关措施是否到位，如前文所提到的风险是否已经全面有效地识别和评价，管理制度是否已经有效建设与维护，是否已经建立了有效的监督机制，等等。如经过评价，在现有架构下前述措施都已执行到位，则不需要在部门层面做过多调