问: 随经营环境的变化，公司董事会和高级管理层越来越关注企业内部控制与风险管理建设工作。但对于未来公司内控与风险管理部门的定位及与其他部门的关系，我们仍存在一些困惑，能否就此提供一些建议？

  答：受到外部监管、企业治理及企业战略管理的推动，内部控制与风险管理在企业经营中日趋重要，并得到公司董事会和高级管理层越来越多的关注。如何设立企业内控与风险管理部门，理清其与其他部门之间的关系，已经成为许多企业需要面对的问题。

  我们借鉴企业风险管理三道防线的模型 如下图 ，可以为明确企业内控与风险管理部门的定位及与其他部门的关系提供基本思路。

  第一道防线：企业运营单位及有关部门，主要职责包括：

  • 设计管理流程及业务流程控制

  • 执行业务控制及风险管理流程

  • 收集相关风险管理信息

  • 实施风险管理评估

  第二道防线：企业内控与风险管理部门，主要职责包括：

  • 制定企业内控及风险管理政策与程序

  • 实施企业整体风险监控

  • 定期风险汇总与报告

  • 制定重大风险管理解决方案

  第三道防线：企业内部审计部门，主要职责包括：

  • 基于风险的审计计划

  • 风险管理监督与评价

  • 内控审计

  从目前中国央企对企业内控与风险管理部门的设置来看，一般包括以下几种情况：

  • 单独设立企业内控与风险管理部门

  • 将企业内控与风险管理职能与企业法律事务职能合并

  • 将企业内控与风险管理职能与企业内部审计职能合并设置

  • 将企业内控与风险管理职能与企业财务职能合并设置

  当然，企业内控与风险管理部门的设置需要与企业实际情况相结合，考虑企业战略、组织架构、企业文化，甚至企业内控与风险管理部门负责人资历等因素。但无论如何，在部门设置过程中需要坚持执行职能与监控职能相分离、保持内部审计职能独立性等原则。

  企业内控与风险管理部门应对总经理或其委托的高级管理人员负责，主要职责一般包括：

  • 根据公司发展战略，制定内控与风险管理体系建设规划、政策与程序并组织实施。

  • 提出跨职能部门的重大决策、重大风险、重大事件和重要业务流程的标准。

  • 提出风险管理策略和跨职能部门的重大风险管理解决方案，并负责该方案的组织实施和对此风险的日常监控。

  • 提出跨职能部门的重大决策风险评估报告。

  • 组织、协调企业内控与风险管理的日常工作，为各专业部门及公司所属单位内控与风险管理工作提供指导。

  • 监督与检查企业内控与风险管理体系执行的有效性。

  • 组织建立企业内控与风险管理信息系统。

  • 办理内控与风险管理其他有关工作。

  只有在董事会及企业高级管理层的大力倡导与推动下，同时保持企业内控与风险管理部门之间、企业各运营单位与相关部门之间、企业内审部门之间良好的沟通与互动，企业内控与风险管理体系的运行才有效。

回答问题的专家是德勤企业风险管理服务华北区合伙人翁国樟。