2006年開始,中國先后出臺全面風險管理、內部控制、合規管理等管理體系要求,對國有企業防范風險、依法合規經營提供了系統的政策指導。隨著一系列制度政策的頒布,中央企業、國有企業按照要求逐步推進全面風險管理體系建設、內控管理體系建設和合規管理體系建設。同時,部分國有企業對各管理體系之間的關系與如何整合存在的困惑。本文通過梳理建立各管理體系的政策依據,厘清相關關系,繼而提出將各體系整合的思路。
一、政策脈絡
2006 年 6 月,國務院國資委頒布了《中央企業全面風險管理指引》,為中央企業做好風險管理工作提供了指南。2008年5月,財政部等五部委頒布《企業內部控制基本規范》等相關文件成為包括央企在內的企業內部控制工作指引。2018 年 11 月,國務院國資委頒布《中央企業合規管理指引(試行)》,為中央企業做好合規管理提供了政策依據。2018 年 11 月,國務院國資委頒布《中央企業合規管理指引(試行)》,對于中央企業合規管理體系建設提出要求和建議。2022年9月,國務院國資委頒布正式發布《中央企業合規管理辦法》,成為中央企業合規管理的主要規則。這些文件的頒布,有效加強了中央企業的風險管理、內部控制與法律合規意識。中央企業、國有企業普遍以此為依據建立相應的管理組織架構體系以及相應的工作部署與安排。
二、概念厘清
(一)全面風險管理
根據《中央企業全面風險管理指引》,全面風險管理是企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
(二)內部控制
根據《企業內部控制基本規范》,內部控制是一種管理過程,其目標是合理保證企業經營管理的資金資產安全以及合法合規。對內控管理,董事會、經理層等企業治理主體需將業務流程上的關鍵控制嵌入制度條文,設計一系列風險防控規定,努力提高經營效率和效果,促進實現發展戰略。
(三)合規管理
根據《中央企業合規管理辦法》,合規管理是指企業以有效防控合規風險為目的,以提升依法合規經營管理水平為導向, 以企業經營管理行為和員工履職行為為對象,開展的包括建立合規制度、完善運行機制、培育合規文化、強化監督問責等有組織、有計劃的管理活動。可見,合規管理是一種管理活動,其目的是為有效防控合規風險,企業需將最新的法律法規監管要求,即企業的合規義務轉化為規章制度,實現“外規內化”,解決“哪些必須做”“哪些不能做”,以及過程中行為活動的“紅線”和“底線”是什么,通過明確對應的責任,提升執行有效性。
三、三大體系的區別與內在聯系
(一) 三者之間存在邊界,相互之間無法涵蓋或取代
通過對全面風險管理、內部控制和合規管理三種管理體系建設的要求進行總結,可以歸納出其在建設目標、建設路徑和管理側重點上存在諸多不同:
|
_ | 目標 | 路徑 | 管理側重點 |
風控 | 實現風險可控的總目標 | 企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系 | 通過建立健全的風險管理能力體系有效識別、防控并化解各類風險 |
內控 | 提高企業經營管理水平和風險防范能力,促進企業可持續發展 | 不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等 | 經營管理合法合規、資產安全、財務報告及相關信息真實完整 |
合規 | 有效防控合規風險 | 以提升依法合規經營管理水平為導向,以企業經營管理行為和員工履職行為為對象,開展的包括建立合規制度、完善運行機制、培育合規文化、強化監督問責等有組織、有計劃的管理 | 管理企業和員工經營管理行為,保障符合法律法規、監管規定、行業準則和企業章程、規章制度以及國際條約、規則等要求 |
(二)三者之間相互聯系
根據對政策要求、概念分析及對工作方法的體會,可以看出三者之間相互關聯,不可分割。
1. 內控與風控:
從《全面風險指引》的內容和要求來看,其借鑒了發達國家有關企業風險管理的法律法規、國外先進的大公司在風險管理方面的通行做法,以及國內有關內控機制建設方面的規定,對中央企業開展全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督與改進、風險管理文化、風險管理信息系統等方面進行了詳細闡述,覆蓋了企業管理的各方面、各層次和各過程存在的風險。
從《企業內部控制基本規范》和《企業內部控制應用指引》的內容和要求可以看出,財政部要求的這個內控體系也是建立在風險管控的基礎上,主要針對的是合規風險、資產管理風險,從財務的角度對內部控制和財務報告的真實性和完整性提出了具體要求。這與國資要求的全面風險管理體系本身很多要求是一致的,體系存在一部分的重疊。
從全面風險管理涵蓋的外延來看,全面風險管理涵蓋了內部控制,內部控制系統是全面風險管理的一個子系統。內部控制是全面風險管理的必要環節,對于企業所面臨的運營風險,內部控制系統是必要的、高效的和有效的風險管理方法。
2.風控與合規管理:
合規管理是企業全面風險管理的核心內容,是風險控制的基礎、底線。原保監會《保險公司合規管理辦法》第3條明文規定,合規管理是保險公司全面風險管理的一項重要內容,也是實施有效內部控制的一項基礎性工作。原銀監會《商業銀行合規風險管理指引》第4條也規定,合規管理是商業銀行一項核心的風險管理活動。商業銀行應綜合考慮合規風險與信用風險、市場風險、操作風險和其他風險的關聯性,確保各項風險管理政策和程序的一致性。同時,全面風險管理也為企業合規風險管理提供風險管理的技術方法、經驗和實踐案例。
3. 內控與合規管理:
企業內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整。保證企業經營管理合法合規是內部控制的首要目標。企業合規管理通過建立健全合規管理體系,助力企業內控落地,完善內控架構,推動實現企業內控的首要目標,保障企業經營管理的合法合規性。
合規管理幫助梳理和審查企業內部規章制度,對其存在的問題進行修改、補充,使之合法合規,并根據需要制定新的規章制度,明確各部門管理邊界與協調合作機制,消除職責重疊、交叉和推諉,填補管理真空,形成管理合力。
通過對三者之間關系的解析可以看出——合規管理是基礎,是企業經營發展的底線,體現了外部的強制性要求,如法律法規要求、政府監管政策等。內部控制是手段,內部控制不但要求合規,還要求各環節、各流程的合規是完善的、有效的,更傾向于過程的實施和控制。風險管理是導向,風險管理范圍最廣最全面,通過執行風險管理的基本流程,對企業面臨的戰略風險、財務風險、市場風險、運營風險和法律風險等五類風險進行管控,但還是要以合規風險管理為基礎,內部控制為抓手,將控制目標、控制措施等內容融入風險管理策略和風險應對措施,最終實現風險管理的總目標。三項管理體系在構建過程中缺一不可,是結構化的和不可分割的,是“三位一體”的關系。
在具體實施過程中,片面地注重單一管理體系會加大企業的風險管理成本,降低企業的決策效率,導致企業管理邊界不清、職責混亂,從而造成企業管理資源的浪費。為了提升企業經營效率和市場競爭能力,需要加快推進三項管理體系的整合工作。
四、三項管理體系整合
(一)整合的政策依據
2015 年,國家出臺了《關于全面推進法治央企建設的意見》,2019年,國務院國資委印發了《關于加強中央企業內部控制體系建設與監督工作的實施意見》,明確提出內控、合規、風險管理體系的整合要求,要以“強內控、防風險、促合規”為融合的目標,以風險管理為導向、內部控制體系為基礎、以合規管理為重點,將全面風險管理及合規管理的內容融入內部控制體系中。
后續出臺的包括《關于加強中央企業內部控制體系建設與監督工作的實施意見》《關于進一步深化法治央企建設的意見》《關于做好 2021 年中央企業內部控制體系建設與監督工作有關事項的通知》《關于開展中央企業“合規管理強化年”工作的通知》《中央企業合規管理辦法》等多項政策,都在指導并鼓勵國有企業探索四項管理職能一體化平臺,構建合規、內控、風險、法律管理協同運作機制,加強統籌協調,提高管理效能。因此,建設內控、風控和合規“三位一體”的企業管理體系已成為時代的課題。
(二)整合思路
1. 組織機構的整合
組織機構是一項管理體系的頂層設計,做好組織機構的架設,整合優化內控、風險、合規監管職責,構建“橫向到邊、縱向到底”的一體化組織架構。企業應修訂章程、調整三項工作管理人員的職責,將三項管理工作分別納入董事會層面的專業委員會進行管理,由一人分管,并統領牽頭部門。這樣才能實現三項管理工作的指令統一、職責清晰、上下貫通、分層負責,達到一體化運行的效果。
2.制度的整合
制度是企業運行的基礎和依據。對制度整合的程度很大程度決定了三項管理體系相互融合的程度。制度整合工作應首先識別現有制度,既對現有制度及其對應的流程、表單進行全面甄別、梳理,其次,根據業務歸類和管理流程,整合數量繁多、內容重復的制度,廢止不適用的制度,統一規范文件要素、編碼管理、編寫體例、格式和名稱。同時,要把內控的要求嵌入業務制度,在業務制度中落實合規管理及風險控制管理的要求,把實施情況納入內控體系監督評價范疇,制定定性與定量相結合的內控缺陷認定標準、風險評估標準和合規評價標準,并對標準的評價程序、評價方式不斷完善,最終形成統一的制度體系,切實全面提升制度的有效性、協同性、可行性。
3.風險評估的整合
不論是對企業全面風險而言,還是對某一單項業務風險而言,風險評估都是管理各種風險的決策基礎。內控和風控的風險識別與分析,既包括企業整體業務層面的風險,也包括單個業務或項目層面的風險,比合規的風險識別與分析要廣。但是,在風險評估中,管理層所用的評估方法是可以通用的。每個業務領域的潛在風險,以及風險發生的時間和概率及其影響范圍,是一致的。在整合過程中,可以用同樣的評估方法,共用一套風險事件庫和風險評估清單。
4.風險控制的整合
控制活動是三項管理工作整合過程中最核心的要素。整合的思路是,首先,要把職責分離的控制措施貫穿于企業的各個層級和業務單元;其次,把三項管理工作根據業務要素分別對業務流程以及技術環節進行重新梳理、優化、整合;再次,將全面風險管理和合規管理的措施嵌入內控全流程;最后,要把三項管理工作的預防性控制措施和檢查性措施分別合并、優化、同步開展。風險控制活動整合的重點和難點是,要以內部控制為主線,突出全面風險管理的風險控制措施和合規管理體系運行的機制和特色,尤其是涉及到某一具體業務流程,要把三項管理活動的風險控制方式結合、統一,讓三者既有銜接又相互補充,最大限度發揮三項管理工作的職能作用,從而實現企業運營風險最小化。
5.信息系統建設工作的整合
對于企業管理而言,信息是不可或缺的元素,企業內部控制、風險管理、合規管理都需要從內外部獲取大量信息。建立三位一體管理體系,應當建設一體化信息系統。在信息收集、填報流程上,應根據業務要素和管控要素的要求,統一表單;對于三項管理體系流程上相重疊的部分,設置“三合一表單”,優化交叉和關聯流程的信息化系統建設。對于各自獨立、無法合并的流程,則應進行梳理、優化、整合,嵌入具體的業務流程。行有余力的企業,應當探索利用大數據、人工智能和云計算等信息化技術,實現風控、內控和合規風險的實時監測、預警等自動化運行目標。
結語
由于風控、內控和合規管理是各自獨立的管理體系,“三合一”的整合過程必然會存在許多困難和待探討、摸索之處。即便經過整合,也將會存在無法融合的地方。例如組織架構、管理制度、溝通機制和監控機制,由于三大體系存在差異,在運行中勢必需要采取不同的方法和處理原則進行區別。但是,從節約管理成本、提升管理效率的角度來說,將三大體系進行整合是勢在必行的,而且,從組織機構、制度、風險評估、風險控制、信息化建設這幾個要素著手對風控、內控和合規管理進行整合的路徑是可行的。
文 | 華炬合規業務中心 郭宏
.
團隊簡介|Team Profile
華炬律師事務所合規業務中心,是在山西華炬律師事務所公司法律事務部、稅務法律事務部、國資國企法律事務部、刑事法律事務部、爭議解決法律事務部等部門中,選拔精通企業內控、企業合規、企業經營法律風險防范的精英律師組成,現團隊核心成員十余名,律師及律師助理若干,擅長處理公司領域各類疑難復雜案件和項目。
合規業務中心核心業務:企業合規體系建設、合規有效性評價、企業單項或多項業務單元合規義務梳理和風險排查、刑事涉案企業合規第三方監督評估、企業內部控制體系建設、企業風險管理體系建設等。
版權聲明:本文內容由互聯網用戶自發貢獻,該文觀點僅代表作者本人。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。如發現本站有涉嫌抄襲侵權/違法違規的內容, 請發送郵件至 舉報,一經查實,本站將立刻刪除。
