大风控2.0，如何打开风险、内控、合规、审计、监察的职能边界 / 四六文摘

一、一切都和信息有关

信息论的创始人香农说：

信息是用来消除不确定性的，信息的度量就是对不确定性的降低程度。

但信息是什么？

到现在没有人可以定义！

按照香农的说法，有信息，就表明有某种不确定性存在；

而我们说，风险，本身就是一种不确定性，没有了不确定性，就没有了风险。

这样的话，我们就将风险和信息进行了关联，足可以看出信息对风险产生的影响。

从这个角度讲，风险，来自我们和未来的信息不对称性！

在我们经典的风险管理和内部控制理论框架中，包括COSO和ISO的理论中，都有一个必不可少的要素，就是信息与沟通。

最开始接触它的时候，觉得无比抽象，今天再看的时候，认为这个要素背后可以承载那么多重要的意义。

我们通常把含有一定发生概率会对我们产生不利影响的事件信息称为风险信息，这类风险信息应该被组织的相关机构或职能及时接收并做恰当处理，这是我们对企业管理风险的基本要求或者叫组织保障。

但如果这个基本要求达不到，第一，本身就是风险；第二，在这样的情形下去管理风险效果会大打打折。

二、变革时代企业组织体系的变化

在之前的文章中，我提到过关于巨变时代对于传统企业管理带来的冲击，为了应对不确定性，企业的组织架构和管理方式未来都会做出相应适应性调整。

原来的“科层制”式组织架构不再适合高度变化的环境，信息的高速传播和变化让传统的决策方式变得太过迟缓，企业只能选择授权业务一线，才能够做出最适当的决策。

所以，纵向上的层级被压缩，上下级之间关系被颠倒，领导从高高在上的“权威”，将要变成服务一线后勤部长，这是企业应对不确定时代必须要做出的转变。

海尔砍掉中层、华为让听见炮火的人做决策阐述的都是一样的道理。

这是从组织架构的纵向上看，从组织架构的横向来看，又会有什么样的困难和变化？

那就是原来明晰的部门划分、清晰的权责设置，外部不确定环境下开始慢慢成了出现信息孤岛、无法协同、大量管理灰色地带的原因。

企业管理其实就是那么简单，所有人都要盯着共同的目标，做的都是同一件事，只是离现场的距离和角度不同而已，所以我们划分了众多部门来分别负责不同的事，这也是确定性时代强调的专业化细分的结果。

上一个商业时代，核心是效率和成本的竞争，但今天，它显然不适用了。

想成功应对不确定时代的原则，就需要尽量减少内耗和沟通成本，以价值为导向，让尽量多的资源都用于打粮食，而不是在抢粮食。

最近看到陈春花教授在数字化时代的一个观点表述，就是当下企业都要转向以客户为中心，这就是数字化对企业赋能，尽最大程度消除了冗余和信息不对称，在于内部不同职能的充分协同，可以瞄准共同目标力出一孔。

那在企业怎么体现？

让尽量同质化管理的职能集合到一起，把边界打开，信息在大职能中可以充分自由流动，对于同质化内容，进行拉通管理！

所以，如果我们看不确定时代的组织变革，应该是包括纵向压缩和横向拉通两个方面的表现。

三、大风控概念

在上一周小米风控的交流现场，我和各位现场的朋友分享了一个“大风控”的概念。

企业的核心职能就是管理风险、实现价值，所以管理风险和实现价值本身就是对立统一的两个方面。

谁是企业的风控职能和风控人？

我之前的文章中说企业的关键决策层是最大的风险管理者，但落实到我们各个风控职能，不是每个职能都可以深度参与公司战略层面重大决策，所以大部分的风控职能是在战略实施层面。

所有以风险为主要工作对象的职能部门都算风控职能。

企业中二三道防线职能部门的底层逻辑和主要的工作对象都是风险管理，但角度和距离风险的位置不同。

风险、内控、合规、法务、审计、监察（纪检）所有职能都是更好的管理和防范风险，我们拿一个采购业务为例：

内控侧重的是采购的程序和流程中的关键控制点是否被设计全面并有效执行。做出采购决策之后，内控需要合理保障整个采购实施的控制和效率，与决策时考虑到的部分风险进行前后呼应。

合规关注的是采购工作是否符合了相关外部的法律法规要求，以及遵循了内部制度的规定。

对于外部相关方来说，合规还需要关注供应商本身的合规情况，如诚信情况、黑名单、制裁等等，以及可能诱使我方出现合规问题的情形（合规文化、招待标准等），内控的实施其中一个目标就是要达到合规。

法务重点关注法律风险，很多企业把法务和合规放在一起，但也有很多企业分设，因为合规主要是管理边界性风险，而法务需要管理的风险更综合。

就采购业务来讲，法务的主要工作是为了达到采购目标、执行采购决策与外部相关方订立相关约定时，如何用法律的语言达到这一点并尽最大程度保护自身利益，确保各种情形下风险可控。