2006年开始,中国先后出台全面风险管理、内部控制、合规管理等管理体系要求,对国有企业防范风险、依法合规经营提供了系统的政策指导。随着一系列制度政策的颁布,中央企业、国有企业按照要求逐步推进全面风险管理体系建设、内控管理体系建设和合规管理体系建设。同时,部分国有企业对各管理体系之间的关系与如何整合存在的困惑。本文通过梳理建立各管理体系的政策依据,厘清相关关系,继而提出将各体系整合的思路。
一、政策脉络
2006 年 6 月,国务院国资委颁布了《中央企业全面风险管理指引》,为中央企业做好风险管理工作提供了指南。2008年5月,财政部等五部委颁布《企业内部控制基本规范》等相关文件成为包括央企在内的企业内部控制工作指引。2018 年 11 月,国务院国资委颁布《中央企业合规管理指引(试行)》,为中央企业做好合规管理提供了政策依据。2018 年 11 月,国务院国资委颁布《中央企业合规管理指引(试行)》,对于中央企业合规管理体系建设提出要求和建议。2022年9月,国务院国资委颁布正式发布《中央企业合规管理办法》,成为中央企业合规管理的主要规则。这些文件的颁布,有效加强了中央企业的风险管理、内部控制与法律合规意识。中央企业、国有企业普遍以此为依据建立相应的管理组织架构体系以及相应的工作部署与安排。
二、概念厘清
(一)全面风险管理
根据《中央企业全面风险管理指引》,全面风险管理是企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
(二)内部控制
根据《企业内部控制基本规范》,内部控制是一种管理过程,其目标是合理保证企业经营管理的资金资产安全以及合法合规。对内控管理,董事会、经理层等企业治理主体需将业务流程上的关键控制嵌入制度条文,设计一系列风险防控规定,努力提高经营效率和效果,促进实现发展战略。
(三)合规管理
根据《中央企业合规管理办法》,合规管理是指企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向, 以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。可见,合规管理是一种管理活动,其目的是为有效防控合规风险,企业需将最新的法律法规监管要求,即企业的合规义务转化为规章制度,实现“外规内化”,解决“哪些必须做”“哪些不能做”,以及过程中行为活动的“红线”和“底线”是什么,通过明确对应的责任,提升执行有效性。
三、三大体系的区别与内在联系
(一) 三者之间存在边界,相互之间无法涵盖或取代
通过对全面风险管理、内部控制和合规管理三种管理体系建设的要求进行总结,可以归纳出其在建设目标、建设路径和管理侧重点上存在诸多不同:
|
_ | 目标 | 路径 | 管理侧重点 |
风控 | 实现风险可控的总目标 | 企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系 | 通过建立健全的风险管理能力体系有效识别、防控并化解各类风险 |
内控 | 提高企业经营管理水平和风险防范能力,促进企业可持续发展 | 不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等 | 经营管理合法合规、资产安全、财务报告及相关信息真实完整 |
合规 | 有效防控合规风险 | 以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理 | 管理企业和员工经营管理行为,保障符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求 |
(二)三者之间相互联系
根据对政策要求、概念分析及对工作方法的体会,可以看出三者之间相互关联,不可分割。
1. 内控与风控:
从《全面风险指引》的内容和要求来看,其借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法,以及国内有关内控机制建设方面的规定,对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述,覆盖了企业管理的各方面、各层次和各过程存在的风险。
从《企业内部控制基本规范》和《企业内部控制应用指引》的内容和要求可以看出,财政部要求的这个内控体系也是建立在风险管控的基础上,主要针对的是合规风险、资产管理风险,从财务的角度对内部控制和财务报告的真实性和完整性提出了具体要求。这与国资要求的全面风险管理体系本身很多要求是一致的,体系存在一部分的重叠。
从全面风险管理涵盖的外延来看,全面风险管理涵盖了内部控制,内部控制系统是全面风险管理的一个子系统。内部控制是全面风险管理的必要环节,对于企业所面临的运营风险,内部控制系统是必要的、高效的和有效的风险管理方法。
2.风控与合规管理:
合规管理是企业全面风险管理的核心内容,是风险控制的基础、底线。原保监会《保险公司合规管理办法》第3条明文规定,合规管理是保险公司全面风险管理的一项重要内容,也是实施有效内部控制的一项基础性工作。原银监会《商业银行合规风险管理指引》第4条也规定,合规管理是商业银行一项核心的风险管理活动。商业银行应综合考虑合规风险与信用风险、市场风险、操作风险和其他风险的关联性,确保各项风险管理政策和程序的一致性。同时,全面风险管理也为企业合规风险管理提供风险管理的技术方法、经验和实践案例。
3. 内控与合规管理:
企业内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整。保证企业经营管理合法合规是内部控制的首要目标。企业合规管理通过建立健全合规管理体系,助力企业内控落地,完善内控架构,推动实现企业内控的首要目标,保障企业经营管理的合法合规性。
合规管理帮助梳理和审查企业内部规章制度,对其存在的问题进行修改、补充,使之合法合规,并根据需要制定新的规章制度,明确各部门管理边界与协调合作机制,消除职责重叠、交叉和推诿,填补管理真空,形成管理合力。
通过对三者之间关系的解析可以看出——合规管理是基础,是企业经营发展的底线,体现了外部的强制性要求,如法律法规要求、政府监管政策等。内部控制是手段,内部控制不但要求合规,还要求各环节、各流程的合规是完善的、有效的,更倾向于过程的实施和控制。风险管理是导向,风险管理范围最广最全面,通过执行风险管理的基本流程,对企业面临的战略风险、财务风险、市场风险、运营风险和法律风险等五类风险进行管控,但还是要以合规风险管理为基础,内部控制为抓手,将控制目标、控制措施等内容融入风险管理策略和风险应对措施,最终实现风险管理的总目标。三项管理体系在构建过程中缺一不可,是结构化的和不可分割的,是“三位一体”的关系。
在具体实施过程中,片面地注重单一管理体系会加大企业的风险管理成本,降低企业的决策效率,导致企业管理边界不清、职责混乱,从而造成企业管理资源的浪费。为了提升企业经营效率和市场竞争能力,需要加快推进三项管理体系的整合工作。
四、三项管理体系整合
(一)整合的政策依据
2015 年,国家出台了《关于全面推进法治央企建设的意见》,2019年,国务院国资委印发了《关于加强中央企业内部控制体系建设与监督工作的实施意见》,明确提出内控、合规、风险管理体系的整合要求,要以“强内控、防风险、促合规”为融合的目标,以风险管理为导向、内部控制体系为基础、以合规管理为重点,将全面风险管理及合规管理的内容融入内部控制体系中。
后续出台的包括《关于加强中央企业内部控制体系建设与监督工作的实施意见》《关于进一步深化法治央企建设的意见》《关于做好 2021 年中央企业内部控制体系建设与监督工作有关事项的通知》《关于开展中央企业“合规管理强化年”工作的通知》《中央企业合规管理办法》等多项政策,都在指导并鼓励国有企业探索四项管理职能一体化平台,构建合规、内控、风险、法律管理协同运作机制,加强统筹协调,提高管理效能。因此,建设内控、风控和合规“三位一体”的企业管理体系已成为时代的课题。
(二)整合思路
1. 组织机构的整合
组织机构是一项管理体系的顶层设计,做好组织机构的架设,整合优化内控、风险、合规监管职责,构建“横向到边、纵向到底”的一体化组织架构。企业应修订章程、调整三项工作管理人员的职责,将三项管理工作分别纳入董事会层面的专业委员会进行管理,由一人分管,并统领牵头部门。这样才能实现三项管理工作的指令统一、职责清晰、上下贯通、分层负责,达到一体化运行的效果。
2.制度的整合
制度是企业运行的基础和依据。对制度整合的程度很大程度决定了三项管理体系相互融合的程度。制度整合工作应首先识别现有制度,既对现有制度及其对应的流程、表单进行全面甄别、梳理,其次,根据业务归类和管理流程,整合数量繁多、内容重复的制度,废止不适用的制度,统一规范文件要素、编码管理、编写体例、格式和名称。同时,要把内控的要求嵌入业务制度,在业务制度中落实合规管理及风险控制管理的要求,把实施情况纳入内控体系监督评价范畴,制定定性与定量相结合的内控缺陷认定标准、风险评估标准和合规评价标准,并对标准的评价程序、评价方式不断完善,最终形成统一的制度体系,切实全面提升制度的有效性、协同性、可行性。
3.风险评估的整合
不论是对企业全面风险而言,还是对某一单项业务风险而言,风险评估都是管理各种风险的决策基础。内控和风控的风险识别与分析,既包括企业整体业务层面的风险,也包括单个业务或项目层面的风险,比合规的风险识别与分析要广。但是,在风险评估中,管理层所用的评估方法是可以通用的。每个业务领域的潜在风险,以及风险发生的时间和概率及其影响范围,是一致的。在整合过程中,可以用同样的评估方法,共用一套风险事件库和风险评估清单。
4.风险控制的整合
控制活动是三项管理工作整合过程中最核心的要素。整合的思路是,首先,要把职责分离的控制措施贯穿于企业的各个层级和业务单元;其次,把三项管理工作根据业务要素分别对业务流程以及技术环节进行重新梳理、优化、整合;再次,将全面风险管理和合规管理的措施嵌入内控全流程;最后,要把三项管理工作的预防性控制措施和检查性措施分别合并、优化、同步开展。风险控制活动整合的重点和难点是,要以内部控制为主线,突出全面风险管理的风险控制措施和合规管理体系运行的机制和特色,尤其是涉及到某一具体业务流程,要把三项管理活动的风险控制方式结合、统一,让三者既有衔接又相互补充,最大限度发挥三项管理工作的职能作用,从而实现企业运营风险最小化。
5.信息系统建设工作的整合
对于企业管理而言,信息是不可或缺的元素,企业内部控制、风险管理、合规管理都需要从内外部获取大量信息。建立三位一体管理体系,应当建设一体化信息系统。在信息收集、填报流程上,应根据业务要素和管控要素的要求,统一表单;对于三项管理体系流程上相重叠的部分,设置“三合一表单”,优化交叉和关联流程的信息化系统建设。对于各自独立、无法合并的流程,则应进行梳理、优化、整合,嵌入具体的业务流程。行有余力的企业,应当探索利用大数据、人工智能和云计算等信息化技术,实现风控、内控和合规风险的实时监测、预警等自动化运行目标。
结语
由于风控、内控和合规管理是各自独立的管理体系,“三合一”的整合过程必然会存在许多困难和待探讨、摸索之处。即便经过整合,也将会存在无法融合的地方。例如组织架构、管理制度、沟通机制和监控机制,由于三大体系存在差异,在运行中势必需要采取不同的方法和处理原则进行区别。但是,从节约管理成本、提升管理效率的角度来说,将三大体系进行整合是势在必行的,而且,从组织机构、制度、风险评估、风险控制、信息化建设这几个要素着手对风控、内控和合规管理进行整合的路径是可行的。
文 | 华炬合规业务中心 郭宏
.
团队简介|Team Profile
华炬律师事务所合规业务中心,是在山西华炬律师事务所公司法律事务部、税务法律事务部、国资国企法律事务部、刑事法律事务部、争议解决法律事务部等部门中,选拔精通企业内控、企业合规、企业经营法律风险防范的精英律师组成,现团队核心成员十余名,律师及律师助理若干,擅长处理公司领域各类疑难复杂案件和项目。
合规业务中心核心业务:企业合规体系建设、合规有效性评价、企业单项或多项业务单元合规义务梳理和风险排查、刑事涉案企业合规第三方监督评估、企业内部控制体系建设、企业风险管理体系建设等。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
