企业风控应关注“权责”的健康运行-企业内部控制协会|企业反舞弊联盟工作委员会

敏于知

问题

随着业务多元化和管理复杂度的增加，企业管理层越来越认识到一个科学的权责划分及管理，对企业发展的重要性。风控部门在日常开展工作时，也经常发现若干与权责相关的现象或“机会点”：

大量控制缺陷的根因都是权责管理问题。如权责设置时的不科学、不明确，或授权时的不合理，以及行权时的越界、不作为等；企业中绝大部分的舞弊事件也源于权力寻租；

权责是开展各项管理及控制优化的骨架，但往往缺失。内控部门在协助业务部门开展流程优化、完善控制设计的时候，经常发现在没有良好权责管理基础的情况下，对于判断业务流转、优化审批流、设置控制点等，都或多或少会受到影响；

企业的关键岗位人员难以看到自身权力运行的全景。个人权责经常分散地分布在数量庞大的各信息系统和制度流程中，这给统计、调整及清理等都带来了较大困难。关键岗位人员也经常在沟通中反馈，由于对其权责的定位不清晰，或其不了解履职风险和控制要求，故容易出现管控问题；

身处复杂的市场环境，很多企业期望通过“授权”策略来增加反应速度和增强竞争活力，但过程中缺少科学的原则和工具方法来为“授给谁、授多少、怎么授”等方面提供支持，更无法建立随业务和风险变化而动态调整权责的机制。

总体而言，尽管《中国企业内部控制基本规范》、行业主流风险管理及内部控制框架等都提及了“权责”对企业整体治理及管控的重要性，但在具体开展工作时，企业风控部门以往更多关注的是具体业务和流程中的不相容职责分离（SOD）等内容，而对于整体权责管理领域尚鲜有系统性的关注。这其中存在多方面的原因，例如梳理权责所需的视角偏宏观（一般需要结合集团管控模式的梳理）、涉及跨领域事项（如战略、人力资源、运营及信息技术等多部门）、沟通成本高、对风控职能自身需具备的综合能力挑战大，甚至在某些特殊的企业里“权力分配”还被视为敏感禁区。

另外对于风控职能自身而言，“两张皮”、“定位低”等也是我们在与企业管理层沟通时常听到的问题所在。

趋势及观点

甫瀚业已观察到，大量领先企业的风控部门已围绕“权”开展了不同的工作或尝试，在为企业创造价值的同时亦实现了自身价值和效能的提升，这体现在：

有企业内控部门牵头梳理关键岗位权责矩阵，建立配套管理机制，集中管理，持续维护；

内控部门伴随梳理流程控制同步输出《关键岗位行权及风控指引》；

有内审部门针对关键岗位人员进行定期“画像”，推进经济责任审计模式的进化；

企业内控部、监察部针对敏感岗位权限持续进行风险监督等。

结合现状分析及对领先企业做法的观察，甫瀚认为：权责管理是企业管理枢纽，也是深水区。风控职能于其中不应缺位，而应以此为抓手，夯实企业整体管控的重要基石，提升自身工作价值和效率。风控工作的关注点应从以往仅分析“事”（的风险）的视角，慢慢向分析“岗”、分析“权”的方向进行兼顾和平衡。

例如，在权责梳理、风控赋能、行权监督等若干权责相关的领域和阶段，企业风控职能都可以发挥价值：

权责梳理——权责矩阵是基础，也是评估企业管理基础是否完善、企业管控逻辑是否通畅的试金石

企业内控部门可牵头组织或推动企业完成对权责矩阵的建设，奠定企业业务管控基础。

梳理过程是审视企业整体管理体系完善情况的过程。正所谓牵一发而动全身，企业应考虑逐一推动建立关键事项清单、明确集团管控模式、明确组织职责和边界、优化业务流转乃至流程管理基础、评估信息系统落地情况，及建立授权管理机制等。

梳理过程的一般做法为梳理业务关键事项、梳理或继承集团管控模式、继承组织架构和岗位职责、确定权责界面，以及输出RACI表格。过程中可综合应用多种工具方法。需留意的是，权责来源可能是多方面的，如组织岗位职责的天然属性、被他人授予或委托、根据流程流转的需要在业务中正常履职等等。以上这些在管理中可根据需要进行区分，从而避免笼统管理而产生的高成本。

风控赋能——风控要求与岗位权责联结，支持关键岗位人员履职，同时提供了整合的风控服务

做法示意一：建立关键岗位行权、履职的风控指引

一方面，对于以往从业务流程视角开展风险识别与控制标准的建设，可继续结合关键岗位权责情况，从“岗位”视角整合相关信息，汇总为《某岗位行权履职风控指引》，以支持履职。另一方面，与以往《业务/流程内控手册》以流程描述为主的逻辑不同，可从“岗位角色和权责”入手展开，在描述“有何权责 → 行权中有何风险 → 需关注的管控要点”的过程中，自然而然地把风控工作和管理层最关注和最熟悉的“权”联系起来，很好地解决了“工作定位偏低”和“两张皮”的问题，服务界面也比较友好。

具体内容：考虑角色代入（岗位角色及其权责界面） → 岗位整体履职要求和整体风控责任 → 业务关键风险 → 关键控制要求 → 各业务详细流程和内控要求（同一般流程或《业务内控手册》中的具体描述）→ 行为红线（通用的职业操守红线、商业行为准则的要求等）。尽管变换了视角，但并未改变风险管理和内控职能需要在业务中开展扎实工作的基本要求。

形式：初期可考虑手册式汇总，但鉴于手册在使用和维护方面的局限性，可考虑逐渐由纸面手册过渡为借助信息化呈现，实现岗位权责、行权风险提示、控制要点的集中管理。

做法示意二：开展“岗位风险称重”，实施差异化管控策略

在人力资源领域素有“岗位称重”的做法，即根据岗位的影响力、贡献程度和工作强度等进行价值评估，以辅助开展进一步的职级评定。参考此方法，企业亦可在风控领域相应开展“岗位风险称重”：比如某岗位有什么权力？某岗位涉及哪些关键事项及哪些典型的风险场景？整体风险水平如何？…… 继而评估应匹配什么级别的监督水平，应如何实施差异化的管控策略。“岗位风险称重”对岗不对人，是客观反映岗位风险水平和应有监督强度的工具。

另外，行业内还有对关键人员进行“职业健康及风险画像”的做法。“画人先画岗”，同样离不开对其岗位权力风险的评估。

行权监督——行权监管和回顾优化，有较多创新空间，并大有作为

关注点示意一：可关注权力运行的基本遵从性

行权监管是监察工作的核心工作领域，除以往传统的工作方法外，亦可充分利用新工具和数据分析方法，对审批绕过、突破授权、不当拆分、代批秒批等情况进行识别，并对审批例外事项的比例及审批习惯的变化等进行定期观察。

关注点示意二：可基于前述岗位风险称重，延伸开展行权动态监督

以下图为例，某企业定期对关键岗位的风险进行画像，形成“健康报告”，期望对管理者任命、履职、离任全过程的监督覆盖给予支持，从而实现向“阳光履职监督 2.0”模式的进化。

关注点示意三：可关注权责设置的合理性

对关键岗位权责的运行情况定期回顾分析，包括：

根据审批规模、审批流瓶颈和效率分析等，为管理层提供阈值调整、权责事项调整、授权方面的建议；

风控职能对业务风险水平及重要性也有掌握，提示管理者关注“应批未批”或“事无巨细”事项；

协助管理层评估其时间（管理资源）在各类事项中的投入是否合理；

从整体管控视角，定期审视企业权力运行的全景图，关注分布的均衡性、合理性等。

达于行

甫瀚可提供的服务及创新探索

甫瀚持续关注权责对企业管理及风险控制的影响，协助企业在权责管理相关业务中开展优化。我们可提供如下主要服务：

集团管控模式设置与优化

建立整合的权责管理机制，如覆盖权责设计、落地、优化、监督全过程的制度和工具方法等

权责管理现状诊断，借助新兴工具方法评估效率及控制优化空间

权责梳理、权责矩阵优化

岗位风险称重、建立岗位视角的风险管控指引

建立关键岗位画像体系、支持相关审计运作模式的转型等

此外，甫瀚亦期望在权责管理领域与各界同仁联合开展创新性探索与课题研究，如动态授权管理机制、特定岗位相关的风险场景积累、管理资源投放的ROI分析等，以期进一步助力企业“权责”的健康运行。

来源：甫瀚咨询Protiviti ，版权归原作者所有，如涉侵权，请联系我们删除，谢谢！

分享到：

618@geiic.org

97046009 97047009

400-8080-428

用户名：
密码：
验证码：