三思而后言——做专家前你要知道的

今天我们来谈合规内控风险系统建设——合规管理+内部控制+风险管理，可能一提到系统，我们就跃跃欲试，很多解决方案提供商都能很快给出一些方案，尤其是营销工具的丰富、百度的快捷，各种方案层出不穷，销售也好，售前也好，往往拿着PPT、demo就能演示，这也是我们每每见客户常做的事情。

面对着客户，我们经常以专家形象抛出三个管理难点——“你们落地执行难”、“你们动态监管难”、“你们体系管理难，管理过程不沉淀”，口若悬河说半天，一通操作猛如虎，但是客户好像无动于衷，你要让客户说哪里不满意，他们也说不出，但是好像就是不用你的方案。

“嚓，咋办？”，今天我们就来谈谈你做专家前要做到的这三四点。

我们是IT从业者，不是方案宣讲者，更准确地说，我们是帮助客户进行更好的信息化、数字化建设的从业者，给客户最为合适的建设思路和方案是使命，是你作为“专家”要具备的基本能力。

那么我们来聊一下在做“合规管理+内部控制+风险管理”这些建设前我们需要做到什么。

一、首先要清楚组织设置的背后原因

我们去看客户的组织架构，你会发现客户在组织架构层面，往往法务、合规、内控、风控等部门设置呈现各种式样，有一些是分别设法务部、合规部、风险管理部、内控部等部门，而有一些则是将法务与合规职能放在一个部门，还有一些企业将内控部作为风险管理部门下面的一个子部门等等。

这些不同的部门设置，实际上反映了企业对合规、内控、风险等的认识不一致，也是在企业里造成执行合规、内控、风险管理工作的资源配置不同的原因，而这些设置，会引起一些困惑和冲突。

当我们的客户会和你抱怨“我们内部矛盾多”时，我们应该首先要清楚的是客户产生这样认知背后的原因，这些原因是我们和客户进行更有效的咨询沟通的前提。作为专家尤其是咨询专家知道原因后能更快找到一个有效的解决办法，提供好的咨询建议，如建议客户进行组织调整，进行统一的部门，这也是很多企业管理层需要咨询专家给出的意见。

二、其次是重合与重复

我们知道了部门的设置，就会更清楚一点，企业的合规、内控、风险管理，甚至包括法律管理，有很多的工作内容和工作流程其实是重合的，这些重合重复的工作和流程，我们要做到非常清楚，也可以说是我们要和客户梳理的重点。、

下面举一个风险评估的例子：

合规管理——风险评估：是指“梳理经营管理活动中存在的合规风险，对风险发生的可能性、影响程度、潜在后果等进行系统分析”；

内部控制——风险评估：是“及时识别、系统分析经营活动中与实现内部控制目标相关的风险”；

风险管理——风险评估: 是“查找各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险”。

大家发现一个情况就是合规、内控、风险三者都需要进行风险评估，但具体的关注点或评估方法就有所不同。如何减少类似的重复工作，梳理业务流程、简化操作程序、协同驱动，是对三者进行统筹的主要因素，也是客户在进行管理体系设计时所面对的难题。

三、最后协同一体化是必须

变局需要统一，当今社会正面临着“百年未有之大变局”，我们企业处在其中，就不可避免地要应对越来越多的不确定性，对风险的预防、控制与应对已经成为一项相对独立的企业管理职能。

但是国家对内控、风险、合规由于出台政策的时间不同、背景不同，造成了组织在进行合规、内控与风险管理时的不统一，人力、财力投入也不一致，管理效果往往没有因投入加大而效果增强，这就给管理提出一个问题——“如何一体化”、“如何协同”。

随着数字化、智能化的到来，合规、内控与风险三者进行一体化协同管理，成为管理层最为关心的问题。

从政策上，国资委《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》中宣布，整合优化内控、风险管理和合规管理监督工作，报告的接收部门统一为国资委综合监督局。由此可以看出，合规、内控与风险管理不管是出于效率提升，还是出于整合优化，一体化是趋势。

从管理体系角度，合规、内控与风管都与企业风险管控密切相关，只是关注点和切入点不一样，但是又人为设计了很多管理体系，但实际上对于业务经营和企业管理，其实越协同越简单越好。

因此，将合规、内控、全面风险管理这些体系进行有效链接、业务衔接、程序融合与工作统筹，即协同一体化，是大多数企业的必然选择，也是构建一套管理组织经营风险的整体方法。

建立一体化管理体系，基础靠什么?这是我们要回答的。

我们首先要清楚企业的目标是经营业务。因此，合规、内部和全面风险管理从根本上都必须围绕企业的业务。基础的业务流程与行为，是他们工作的共同对象，也是在企业的业务执行过程中，产生了对合规内部风险管理的工作需求。

在企业经营业务开展时，当企业的业务流程在执行过程中出现了意外，或是疏忽等问题，导致与企业经营目标不一致时，合规、内控与风险管理面临的情境是一致的，业务流程是它们工作的底层对象。

我们只有了解到这些，进行深入沟通和梳理，提出：建设协同化、数字化、系统化、统一平台来实现各种制度落地；运用智能化管理，与业务结合，实现事前预警；对接第三方资信平台，构建风险模型，进行智能化动态监控；利用移动化及可视化技术进行所有管控的全过程闭环的管理与展现；形成各种分析报告......这些就是我们可以理直气壮给客户指出问题、给出答案，并深入浅出讲出真正适合客户方案的基础。