风险管理要从细微处抓起，所谓防微杜渐，不可养虎遗患。而这恰恰是当下企业风险管理的普遍问题所在，看公司的管理架构，内控部门——合规管理部、风险控制部、稽核审计部设置周全，人头齐备。可是问题却照样层出不穷，且问题发生后，手忙脚乱，应对无着。
　　问题的关键在于缺乏一套有效的机制使公司的各个内控部门像一个有机整体那样有效运转起来，如身之使臂，臂之使指，浑然一体。
　　虽然现在很多企业都有内控部门，但合规部做什么，风控部做什么，审计部又该做什么，多数人讲不清，混在一起，胡子眉毛一把抓。严密的风险控制机制，就是要研究三大内控部门应该如何各尽其能、各司其职。我对三者的定位是，合规部侧重事前的规范性，未来风险有多大，多少白面应加多少水，应当提前预测，既像教练员，也像保健医生；风控部讲究监控的贴身紧逼，它像是一个边线员，球过边线，立马举旗；而稽核、审计部门强调科学的导向性，像是裁判员。一个事前，一个事中，一个事后，三位一体。
　　不过，如果遭遇部门领导或者公司领导的“一把手”权力干预，如何保证监督权力的实施？这不仅是公司治理，也是国家治理的核心难题。对此，除了在大的层面上，需要建立董事会、经营层与监事会、审计机构相互独立制衡的现代企业制度之外，还需要一些具体而微的制度设计。
　　比如逐级报告和跨级报告机制相结合的制度。就特定风险事项来说，各级内控管理人员在原则上应首先向本部门或本层级负责人报告，然后要同时报告上级管理部门。在报告事项未得到及时或正确处理时，可在同时报告的基础上，向更高层级管理人员或外部监管机构进行跨级报告。如出现重大违法违规行为、已报告的风险没有得到高级管理层或董事会的有效处理，或监管机构认为有必要时，公司更高层级的首席风险官或合规总监还可以向监管机构，比如证监会跨级报告。
　　再比如一票否决制。在决策环节，合规管理人员可列席所有决策环节会议，并根据政策法规发表独立合规意见，若现行法律、法规、规章制度对该项决策有禁止性规定的，或该决策存在其他合规风险的，可以一票否决该项决策。
　　在执行过程，合规管理人员认为存在合规风险的，发起部门应当立即进行整改；如果合规部门与发起部门意见存在分歧，发起部门必须立即暂停项目实施。然后，合规部门与发起部门分别向各自上级管理部门报告，直至取得一致意见。如果上级管理部门之间也不能取得一致意见，再由公司向外部专家、监管部门沟通、请示，最终以专家、监管部门意见为准。
　　以山西证券为例，2009年股市大跌，股票跌到10%的时候，内控部门根据此前的风险预测，要求强制平仓。业务部门虽然提出异议，无需平仓，但也必须听从内控部门的意见。后来股市一路下跌，公司避免了重大损失。
　　再如封闭督办制。各层级合规人员可以在权限范围内，独立封闭对合规隐患进行跟踪、监控和督办，这就有效解决了合规人员对同事、同级和上级难以说“不”的难题，保证了合规工作的独立性。
　　“一年做好靠机遇、三年做好靠机制、百年做好靠文化”，通过这一系列机制，最终目的是培养一种“合规比创新更重要，风控比盈利更重要，规则比权力更重要”的企业文化，让从总裁到普通员工的全体员工都形成风险控制意识，自觉在意识上成为内控的一员。这就是“双内控”的精髓：“内控”=“控制”+“监控”，“控制”是由有关人员直接去控制风险，如柜员、业务操作人员、各执行人员、决策人员等。而“监控”则以上述三大风险控制机构为主体。唯此，方能做到“善正者正于始、能禁者禁于微”。
　　[编辑代永华]
　　E-mail：[email protected]