選哪個部門負責全面風險管理？

不建議所有的企業動輒就設置風險管理委員會。因為“委員會”是虛的，各成員仍然還是公司高層或各個單位的負責人，能否真正履行委員會的管理職能還得因企業而異。

GSK（葛蘭素史克），國際大型制藥集團公司。其風險管理組織呈塔形結構梯次管理，層次分布較好。最高管理機構是CET，該機構由CEO、CFO等組成，是類似于公司風險管理委員會的一個機構。

GSK內審部的主要工作是巡回對全球各地子公司做審計，主要側重于內控流程的規范操作審計。各地子公司因大小不同，審計時間長短不同，大的子公司提前半年通知，小的子公司提前6周通知。目前GSK集團在全球各子公司推行隨時可以審計的方式，傾向于過程中的及時監控。審計前往往先要求子公司提供本公司的RISKMAP，并給予所在地子公司的總經理一次機會做風險闡述，可以在這個時間說明自己公司的主要風險是哪些，哪些風險因為什么樣的原因尚沒有得到較好控制，除此之外，就是審計人員通過審查發現問題和風險所在，以和該總經理的前期闡述對比。審計結果以子公司年度風險報告的形式向集團公司匯報，該風險報告對于子公司的績效影響很大，對年終考評結果具有較大影響。

個人認為，GSK的風險管理主要是側重于內控流程的操作規范，是在內控基礎上向風險管理的延伸，對過程的管理是其優點。其風險管理主要是保障內部按章操作，以結果為導向，與考評掛鉤，因此使得GSK的風險審計對子公司具有高度的權威和較大的威懾力。此外，風險管理側重在過程管理方面，是為了加強內部制度落實和加大執行監督力度，保障各子公司的經營管理活動在相應的可控框架內，也使得內部風險能夠得到較好的控制。

通過普先生（曾任職普華永道、福特公司，現任職GSK內審部）的講解和與其交流中感覺到，GSK的風險管理審計類同中移動的內審部，是依據制度或管理辦法為標準，通過審計和測試來發現各單位的操作不規范之處，這能夠較好地在過程中對某些框架內的風險做有效的管理，但是內審部如果僅僅是做合規性審計，在流程上要求大家注意做好風險管理的某些規范操作，只能保證大家有沒有按照規定去做，而不能保證大家對風險管理做得是否有效和高效。這是其不足之處。

此外，企業風險除了內部操作風險，還有更復雜的各種外部風險，諸如環境保護、當地法律等，這些對制藥行業影響最大的因素在現有的以內控主導的風險管理中并不能得到有效防范和管理。這與內審部的主要職責是合規審計，并且在審計中需要保證內審部的獨立性職能相關，因此難以要求在風險管理效率上促使各部門進一步加強。那么在當前各大企業紛紛推行企業全面風險管理之際，選擇由哪個部門來負責企業全面風險管理最為合適呢？

近期在為各個央企集團或地方大型國企做風險管理體系建設時，常需要設立某一類風險管理組織，以體現風險管理體系的真正確立和權責明確。以大型或超大型國企集團的風險管理具體管理實施部門為例，這里要提出兩種方案作為思考：其一，新成立一個部門為風險管理部，主要職責是負責企業全面風險管理，包括風險防范、過程管理和重大風險事件應急管理等；其二，將風險管理的職責作為新增的職責并入現有的某一部門，以內審部為首選部門，以財務部、法務部等作為次選部門。

首先看第一套方案。能夠設立風險管理部固然不錯，但由于大型企業集團內部管理復雜，對組織架構作調整常牽涉多部門，同時受到國資委對國企企業員工總數和管理者與工人數量對比的管理約束，此外還有董事會、股東會等的多方制約，因此若非高層全力推動，較難一步到位。而且，即使成功設立了專職的風險管理部，那么需要對這個部門職責和權限作好規范，不但要從制度管理層面予以明確其權威性和類似于內審的獨立性，而且還要考慮該部門工作的價值如何體現以及怎樣兼顧風險管理和企業效率的雙贏問題。職能部門的新設置需要積極考慮以上問題，缺少任何一個考慮，則該部門在日后的運作中便可能會觸及導致風險管理推行艱難或低效的淺灘或暗礁。

再來看第二套方案。將風險管理的職能放置在內審部，是為了借助內控的延伸來完善企業的風險管理，優點在于內審部相對于企業各個部門，具有較好的獨立性和全局觀（這點與法務部、財務部相類似，因此法務和財務也是風險管理職能歸屬的次選擇部門），曾經的企業內審工作經驗也有助于發現企業管理的風險所在。這種方案采取漸進的方式來做風險管理，內審部主要站在內部控制管理的角度看待和解決問題，優先保證內部的操作合規和制度執行到位。將風險管理的職能落在內審部，短期看有利于促使各單位更好貫徹風險管理的流程和操作，對于企業風險管理體系動態運作具有好處，但從長期看也有其不足。內審部由于其本職工作的局限性，在風險管理方面主要是保障各下屬單位按照風險管理的流程制度執行，強調的是“有沒有做”的問題，而解決不了“怎樣做好做優”的問題。此外，如今風險管理的范疇已經遠遠超出內控，在外部環境、政策、法律、技術發展等各方面對企業具有更大影響的風險也遠非內控管理規范和完善就能避免和防范，而這些風險，如果不能解決風險管理的有效性問題，就難以說企業的風險管理體系得到了較好建立和運轉有效。

因此我提倡在風險管理組織設計時，要充分考慮所在企業集團內的各種職能部門的長處和不足之處。例如，采取將風險管理職能劃歸內審部管理，那么從長遠的管理考慮，則建議有必要在內審的職能崗位之外，另外設立風險管理崗位，使得在內審職能成功推動和實施解決了“有沒有做”問題之外，有相應的風險管理專崗負責落實“做好做優”的風險管理問題。但總的來說，不管是設置風險管理部還是由內審部來負責，都要充分兼顧考慮到企業的內外部風險防范。

有的企業采取設置風險管理委員會的形式作為最高風險管理機構，這是一種總負責制的方式，如同目前有些央企里推行的總法律顧問制度，但我不建議所有的企業動輒就設置風險管理委員會。因為“委員會”是虛的，各成員仍然還是公司高層或各個單位的負責人，能否真正履行委員會的管理職能還得因企業而異。最近和同事工作之余交流，了解到兗礦集團管理制度中的風險管理三原則之一是“權威性原則”，這個提法還是頗為到位的。風險管理其價值在改善管理，通過改善管理來達到風險的防范，從這個角度上講，權威性原則就強調了風險管理不是各個部門或子單位可以討價還價的一場拔河，是必須要貫徹執行的一個死命令。

（作者為北京第—會達風險管理科技有限公司總監）