兰 晋
(深国际控股(深圳)有限公司,广东 深圳 518000)
我国国有企业内控体系建设可以分为三个阶段。第一个阶段为启动探索阶段:2002年塞班斯法案颁布,我国第一批基于此法案在境外上市公司开始启动了关于内控体系建设。此时依据COSO委员会发布的《内部控制—整体框架》《会计法》《内部控制规范—基本规范(试行)》等一系列文件,中央企业开始重视内部控制,在资金管理等重点领域搭建内控模块并推广到地方国有企业。第二阶段是系统整合阶段:2006-2010年先后出台《中央企业全面风险管理指引》《企业内部控制规范》《企业内部控制配套指引》,国有企业开始全面梳理涵盖所有业务流程的内部控制体系,建立风险管理三道防线,形成内部控制体系与全面风险管理体系并行的内控工作体系,但此时的企业内控体系中风险管理与内部控制还相对独立。第三个阶段为内控风险合规一体化阶段:自2015年开始国有企业根据《关于全面推进法治央企建设的意见》《中央企业合规管理办法》《关于加强中央企业内部控制体系建设与监督工作的实施意见》等文件要求及指引,以“强内控、防风险、促合规”为目标,建立起以内控体系与监督制度为统领,各项具体操作规范为支撑的“l+N”内控体系。此时的内控体系通常涵盖内控、风控、法务及合规等多个体系,在增强企业防风险能力、筑牢安全防火墙方面取得了一定的成果。但随着体系涵盖范围的拓展以及对复合型专业能力要求的不断提高,体系与体系之间交叉重叠影响了组织投入与产出效能,职责边界划分不清,存在着各行其是、相互推诿、不能有效融合发挥统一管控作用的问题。
国有企业常见的“1+N”内控体系通常由企业内控管理、风险管理以及合规管理三个管理体系组成,以下简称为基本内控体系。其中,企业内控管理通常是将业务流程上的关键控制嵌入制度条文,通过建立秩序、规则和习惯来保证企业经营效率和效果,促使实现发展战略。它的基本管理模式是“预防性控制”,对于不同的业务流程预设不同的审批路径,利用不同岗位人员之间的相互牵制,实现控制目标。企业风险管理是通过风险识别、评估、应对、报告等方法,为各项生产经营活动正常进行提供保障。它的基本管理模式是“信任”,在企业持续经营过程中,通过信任最接近风险源的人员,保障组织能及时识别不断变化的潜在风险,在一致的风险偏好下能够及时对风险进行应对和处理,进而实现战略目标。合规管理则是将最新的法律法规监管要求等内化成企业的规章制度,通过培育合规文化、合规清单、合规检查、强化监督问责等有组织、有计划的管理活动降低合规风险的过程。它的基本管理模式是“权威”,明确经营活动的底线、责任与义务,要求企业在守正的基础上再去创新。
内控、风控、合规这三个基本管理体系虽侧重点、工作方式、管理模式有所不同,但管控的实施主体具有高度一致性,都是董事会(专门委员会)、经理层为管控主体,全体员工为实施主体。因此,国有企业在“1+N”内控体系建设的要求下,大多将这三个体系进行了整合,形成了基本组织架构,如图1所示。各个企业还会根据自身的职能划分不同将法律管理、工程全过程管理等体系嵌入其中,共同构成多位一体的内控体系架构。
图1 “三道防线”架构图
从纵向看,基本内控体系的最高决策层为董事会,董事会及其下设专门委员会负责构建、健全覆盖各业务单位、职能部门的内控体系,对股东负责;经理层负责组织领导企业内部控制、风险管理以及合规管理机制运行,并确保其运行有效,定期向董事会汇报基本内控体系的执行情况;各业务或职能管理部门负责本业务或职能领域的内控体系的建设和运行,梳理业务流程的关键控制点和风险点,提出控制措施,明确岗位职责和授权审批权限,完善管理制度并组织实施。集团企业基本内控体系通常会设有内控风控与合规管理部门(以下简称“风控部门”)和审计部门,风控部门主要负责统筹内控标准的建设实施及基本内控体系的日常运行管理工作,审计部门则主要负责内控体系的监督审查和评价工作,通过内部审计准确揭示内控缺陷及风险隐患,督促内控整改。
从横向看,基本内控体系通过明确角色和划分职责建立“三道防线”监督模型:业务单位及各职能部门为第一道防线,承担主体责任、执行相应的控制措施,保障企业运营;合规及风险委员会和风控部门为第二道防线,通过收集、识别、分析、报告、建议及督导的方式以防控风险为焦点对第一道防线的工作提供支持;审计委员会和审计部门则是第三道防线,在组织内部保持相对独立性及客观性,检视第一、第二道防线的有效性。
国有企业“1+N”内控体系中,合规管理的思维方式是底线思维,强调工作需要合乎规范,主要抓手是各项规章制度,内控管理的思维方式是制衡思维,强调按照不同层级人员的相互制衡,主要抓手是设计有效的工作流程,这两个体系在实践工作中,操作相对简便,各方人员对同一件事情的判断有明确的规章可依,对是否违规操作或存在内控缺陷的结论争议较小。但风险管理的思维方式是权衡思维,由于风险的不确定性,对风险的识别、判断以及应对主观性比较强,争议通常较大,风险管理的主要抓手是明确责任划分,授权各层级在各自权限范围内管理风险并将重大风险信息进行上报,但在实践中,各层级往往趋利避害,直接或间接影响了内控体系的有效运行。从风控视角看,国有企业“1+N”内控体系存在的问题及原因如下:
首先,国有企业领导人为任期制,且绩效考核指标的完成与否与当年薪酬直接挂钩,为了满足绩效考核任务,通常采取有意或无意的举措使得投资或市场运营等部门的“经济地位”高于风控部门,使同级监督变得十分困难。其次,风控部门虽然在内控执行、风险报告以及合规管理过程中需要直接向董事会下设合规及风控委员会汇报,但相对于审计部与审计委员会之间的关系而言,独立性不强,在履行日常管理职责时,仍需要受到经理层直接管理,所揭示的风险点可能经过粉饰。在业绩压力、领导压力等多重压力之下,第二道防线的监督效能难以充分发挥。
首先,由于风控部门为中后台职能部门,主要行使“踩刹车”职能,存在“治未病声名不显”的特征,对企业的正常经营业务不存在直接的关系,使得风控部门工作成果难以量化,业绩难以体现。现代企业多采用360度对员工进行考核评价,由于定性指标过多,可能对风控部门作出不公平的评价。其次,为了压实风控责任,部分企业将风险事件的发生与否、化解风险事件等与风控部门的绩效考核直接挂钩,虽然一线业务部门及子公司才是主体责任人,但在实际工作中,由于责任追究通常涉及面广,搜集证据、厘清各方责任和事件脉络花费时间长,风控部门通常都会在风险事件发生当年承担“连带责任”,直接影响年终考核。
“1+N”内控体系的建设与运行需要集团上下全体员工的参与,作为信息交互的中心,为了更准确地揭示风险加以应对,风控部门需要对各种来源的信息进行筛选及交叉复核,从而做出最符合实际的风险判断。然而业务部门以及子公司通常为尽快达成业绩,可能对所获取的信息有所保留,而其他职能部门也会因关注重点不同,提供的信息各有侧重,信息传递的不顺畅使得跨部门协作难度增高,也降低了内控体系的运行效率和效果。有些国企为了改善这种情况,也搭建了包含财务、合同、业务等的信息系统,但总体来看,国有企业除了某些资本运营企业外,信息化水平还比较低下,很多企业只是将传统的纸质流程转化成了电子流程,远未达到“智能化”水平,数据产出格式也不统一,风控部门很难直接取用,有时反而降低了信息的获取效率。
进入高质量发展时期,国有企业应当全面意识到风险管控的重要性,以此为核心开展内控体系的建设:一是优化内控与风险管理相关制度,明确风险管理工作不仅仅是风险控制部门的职责,业务部门及各子公司距离风险源最近,是风险防范的第一道防线,企业的“一把手”是内控体系建设的第一责任人,需要带头遵守规定,强化风险防范;二是将企业风险管理提升到企业战略地位,将企业的风险与收益综合考虑,形成适合企业自身的风险偏好,制定风险策略并根据内外部环境进行调整;三是提升风控部门的权威性,无论是经济地位还是干部职级方面,风控部门应当与业务部门平级,对于存在重大争议的事项,召开联席工作沟通会议,充分听取各方意见;四是营造良好的风气与氛围,加强对风险防控的宣传教育,通过正面和反面案例的讲解,让员工充分了解风险防控的意义,促进风险意识入脑入心。
优化薪酬分配,建立“赏罚分明”的考核机制,将风控部门绩效考核指标的内容与岗位职责精准匹配:一是可在分解绩效考核指标的时候,将风控考核指标按照一定的权重同时分配给业务部门以及风控部门,避免业绩部门只负责项目拓展,而不负责后续风险管理;二是可参考证券行业合规管理规定,风控部门人员年度薪酬总额不低于公司同级别人员的中位数,充分调动风控部门人员积极性;三是提高风险管理队伍的综合素质与专业水平,开展专业技能培训,并将是否通过培训考核与职位晋升直接挂钩;四是坚持在实际工作中培养人才,建立风控部门和其他部门的双向轮岗机制,注重工作方法和理念的沟通交流,培养既懂业务又懂风控的复合型风控人才。
如果一个企业的数字化水平较高,其数据精准度就高,内控可信赖程度就会高,基于这些数据资源进行的风险分析就会更加准确。对此,笔者建议一是提升各企业信息系统的智能化水平,在每个子流程中,根据企业历史数据结合企业战略目标设计风险预警关键量化指标,一旦触碰到了这些指标,将自动推送至各个业务流程负责部门并抄送给风控部门,打通信息数据传递路径,提升风险防范效率;二是优化信息化系统对外部信息的实时抓取能力,尤其是对行业变化、政策变化等敏感数据及时抓取,便于企业内部人员分析归纳,从而掌握集团企业所在行业的风险趋势变化,实现风险信息的动态管理;三是有条件的企业可以安排专项预算,将整体性风险监测智能化系统纳入未来3年到5年的战略规划,明确阶段性目标与成效,打通各个流程和模块的风险信息,整合输出符合要求的风险信息监测报告。
本文对国有企业如何优化“1+N”内控体系建设提出了思路和建议,认为各企业所在行业、生命周期、成本效益计划以及责任分工不同,因此对构建内控工作体系会有不同的考虑和安排,但有一点必须是一致的,即都应将风险管理嵌入业务活动中,增强风控内生动力,避免出现“业务”与“风险”两张皮的现象。