许腾 张建鑫
摘要:近年来,为加快国有企业高质量发展,提高国有企业应对重大风险的防范和化解能力,国务院国有资产监督管理委员会建立了严格、规范、全面、有效的内部控制体系,重点是风险管理和依法合规。作为国有企业改革的一项重要任务,国有企业目前正处于逐步建立合规管理体系的阶段。在实际运营过程中,公司分别推进法务、风险、内部控制和合规工作,并分别进行制度建设和体系建设。有些任务重叠,工作内容重复,内部控制风险管理和合规监督体系分散,统一控制的效率低,导致管理资源浪费,影响公司管理的整体效率。
关键词:法务;合规;风控;内控;一体化管理
近年来,随着国家依法治企的推进和加强,《中央企业合规管理指引(试行)》《企业境外经营合规管理指引》ISO37301: 2021《合规管理体系要求及使用指南》《中央企业合规管理办法》等文件和标准相继发布实施,企业合规管理和风险控制体系建设进入深水区。各类企业加强合规、内控、风险管理和法律管理,推进合规管理,努力防范和化解风险。国有企业的市场环境大多复杂,在经营管理过程中往往伴隨着各种风险。针对风险的预防控制和应对一直是中央和国有企业的一项重要任务。中央和国有企业具有多功能管理和充分参与的典型特征。在这种模式下,公司的法律、合规、内部控制和风险管理系统是自主的,风险控制工作与公司的业务是脱节的,也存在重复性工作、存在遗漏要点以及存在协调不力导致公司风险管理工作效率低下的情况。
一、法务、合规、内控、风险一体化管理的内涵
法务管理的核心是对公司的法律风险进行管理,包括法律风险环境信息的定义、评估和应对,法律风险、检查监督、沟通和文件制作。在企业法律风险管理方面,构建和实施企业法律风险体系是可能的。
合规管理是指有组织和有计划的管理活动,如系统开发、风险识别、合规审查、风险应对、责任评估和合规培训。根据公司和员工的经营管理行为,有效预防和控制合规风险。合规管理的重点是建立合规管理体系,从各个方面保护企业业务。
风险管理包括内部风险和外部风险。内部风险包括与人力资源相关的风险。外部风险包括经济条件、当前产业政策、金融环境、市场竞争、所需资源供应和监管要求。
内部控制是指围绕风险管理的战略目标,制定和实施的规则规定、程序和措施。公司内部控制贯穿公司管理活动的决策,扩展到实施和监督的各个阶段,包括整个经营活动过程。
法务、合规、内部控制和风险管理是相互关联、互补和协调的,旨在有效预防和控制各类风险。因此,企业必须建立一个与组织、业务目标、业务内容和业务流程相关的全面的法务、合规、内部控制和风险管理体系。
二、法务、合规、内控、风险一体化管理的必要性
(一)法务、合规、内控、风险管理存在的问题
地方国有企业目前面临着规模较小、缺乏法律和合规专家的问题。大多数公司要么缺乏健全的“法律管理、合规管理、内部控制和风险管理”的运营体系,要么出现多部门管理,存在边界不清、职能重复、协调困难、信息不足、合力不足、效率低下等问题。一些公司缺乏法律服务和职能,而另一些公司缺乏健全的内部控制系统,无法及时建立恰当的支持制度。公司内部控制和违规制裁不严格,无法发挥风险防范作用,以及对于风险管理的意识不强等问题都急需解决。
(二)法务、合规、内控、风险一体化管理的优势
1. 降低管理成本,提高管理效率
国有企业现行的法务管理、合规管理、内部控制管理和风险管理程序包括风险识别、风险评估、风险应对、监测和改进等环节,设立多部门进行重复性管理,会造成资源浪费的情况。建立全面融合协调的内部控制和风险管理系统,优化管理结构,升级管理流程,在优势方面实现互补,为问题提供全方位的解决措施,能够降低相关分系统之间在管理方面存在的分歧,达到降低管理成本、节约资源、提高效率的目的。
2. 有效防范风险,促进企业安全发展
从中央企业到地方国企,都能对于风险防范进行高度的重视,坚持深入思考,提高风险的防控技能,建立全面的风险管理体系,有效控制重大纠纷和重大危险事件的发生频率。促进决策,解决重大风险事件,提高企业运营质量和整体水平,支持企业业务发展。
3. 强化风险管理理念,塑造企业风险管理文化
在市场经济大背景下,风险管理应运而生,并成为企业进行现代化管理的重要组成部分,是企业良性稳步高质量运行的基本保障,也是企业在竞争激烈的时代,进行合法可持续经营的重要保障。内部控制和风险的综合管理可以极大地整合人力和物力资源,突出风险管理的有效性,并且深入人心的风险管理理念,有助于建立重视风险和自我管理的企业风险管理文化以及具有商业诚信和合法合规经营的商誉。
4. 适应新形势下市场竞争、改革转型升级的需要
随着新经济常态的到来,国有企业面临着新的困境。其一,市场外部的竞争日益激烈,其二,内部管理模式和内部机制日益受到限制。建立内部控制和全面的风险管理体系是公司适应新形势下的市场要求,进行转型升级的有力举措。针对风险管理资源进行梳理完善,形成企业良性经营发展,能够促进国有企业改革转型,提升国有企业核心市场竞争力。
三、“四个统一”的管理机制
(一)组织职能统一
在构建全面的法务管理、风险管理、内控或合规管理体系时,企业首先需要简化公司的内部组织结构,整合组织职能,优化组织架构。同时明晰各组织机构的具体职能,避免出现职能重叠导致的出现问题后无人解决,推诿扯皮的现象发生。具体而言,在管理、治理和执行方面,有必要实现全面的法务管理、风险管理、内部控制和合规职能的相统一。
(二)工作机制统一
工作机制统一涉及第二道防线的年度风险、内控与合规工作的安排,以及第二道防线与其他部门协调机制的统一两个部分。第二道防线是基于组织职能统一的原则,将年度法务、风险、内部控制和合规工作相结合,建立年初安排、年中控制和年终总结的工作机制。然而实质是要进行整合,如内部控制自我评估与合规性核查、年度计划和年报整合,在一定程度上降低了管理控制的成本,但实际实施取决于管理工具的一体化。
此外,协调第二道防线与其他部门之间的机制,需要监管机构之间的协作机制,主要承担对目标企业监督工作相关机构和相关业务进行整合。例如在法务管理、风险管理、内部控制、合规管理、法律事务管理、文件核查、审计、监察等方面都需要考虑。
(三)管理制度统一
从管理的角度来看,法务、风险、内部控制和合规的整合可以分为两个方面。一个是系统建设,另一个是日常系统运行。系统建设基本上是根据内部控制和合规要求设计控制标准,并在日常运营中实施这些标准。形式方面由于在内部控制、风险防范以及合规层面存在差别,不同的企业开发相关的管理工具比如说:包括风险管理手冊、内部控制手册、内部监控评估手册、合规管理手册、合规化手册等。按管理工具分类,除第二和第三道防线上的专业部门外,第一道防线的业务部门对这些管理工具的理解和有效使用并不具有实质性和可操性。
(四)评价体系统一
第一道防线的相关部门根据系统制定的控制标准进行日常管理。除了日常流程审计,第二道防线主要包括年度系统评估,第三道防线是系统有效性评估。
第二道防线的年度评估是确保管理体系有效运行的重要任务。因此,建立统一的评估体系也是促进风险控制、内部控制和合规一体化的重要任务之一。企业应明确风险管理、内部控制自我评估、合规管理检查的具体要求,运用综合管理体系的评估形式、评估方法以及评估汇报路径,明确检查和评估问题的纠正和后续机制,制定与综合评价相关的检验和测试程序,制定基本版本的检验表格和综合评价底稿,明确检验结果和缺陷识别标准,将内部控制自我评估、合规管理检查及风险检查工作有机统一,降低控制成本,实现评价目标。
四、“四个统一”主要思路
(一)融合管理体系
将分散在风险、法律、内控、合规四大管理体系中的风险因素有机整合,叠加管理要求,形成全面的风险防控体系。在开始覆盖流程之前,设计覆盖框架。根据合规、风险和内部控制以及法务的现有体系选择因素。
国有企业一般将四大风险管理体系的风险控制要素定义为培训、劳动标准、风险管理、事件审查、违规管理、信息与沟通、宣传与培训、规划与报告、文化建设等。在确定重叠框架后,法务、合规、风险和内部控制等现有管理要求将整合到一个统一框架中。在这个过程中有几点需要注意:
1. 全面风险清单的构建
所有库存项目将根据公司在法律、合规、风险和内部控制系统领域创建的基本库存进行分类和汇总。风险清单分类标准的选择主要是为了判断现有四大体系的成熟度和合理性,植根于内部控制体系的“十八项指引”或风险体系中的五大风险类型可以作为总结综合风险清单的依据。具体制定的过程中,要注意编目时应采用编号规则和命名约定;应建立统一的标准和规范,以形成危险发生概率和程度的定量或分级指标。
2. 全面风险事件库的构建
在四个体系中,风险管理类最突出的优势是对外部因素的关注。因此,四位一体体系中的事件库应从风险的角度出发,搜集同一行业、同一类别、同一分类的企业,可供参考的风险事件,结合国企本身的历史风险事件,形成风险事件库进行参考。风险事件的统计范围包括:风险描述、风险时间、风险原因和解决方案,从而统一风险识别思路。
(二)精简流程融合
1. 风险清单及风险事件库
以“加法”完成的风险清单和风险事件数据库为基础,每一事项可以在法律、合规、风险、内控四类风险中进行标注,可以锁定风险应对的管理流程,可以索引相关的现有系统。
2. 流程标识
在全面风险防控体系运行过程中,通过不同的控制方法在相应的流程中识别风险点,与风险清单中的控制手段相对应,从而增强风险控制。
3. 以“1+N”的制度体系作为“四位一体”
“1”指《四位一体全面风险防控管理控制手册》,是公司整合风险管理的综合性文件,在手册中针对职能融合、制度融合、组织融合以及基本管理模式和基本管理流程都进行了规定。
“N”是指在具体运用《四位一体全面风险防控管理控制手册》过程中,对于具体事项的细化规定可以通过借鉴合同管理办法来进行进一步的规定,除此之外还有风险评估手册、法律纠纷管理办法、国际标准手册、内控合规手册、风险应对手册等。
(三)提升管理水平
“四位一体”风险防控体系的构建过程也赋能了企业的整体管理职能。综合管理体系运行机制的合理创新,将有效提高管理效率,优化风险防控工作和各项管理职能,事半功倍,体现倍增效应。
1. 治理与组织层面
在组织架构设计上,从治理层、管理层、执行层的定位出发,统一组织职能,精简组织架构,对风险防范相关职责进行明确,避免职能交叉。
治理层的设计重点是符合当下相关政策法规,如设立首席合规官和总法律顾问;管理层需要关注权限的划分;执行层面是注重加强部门的职能分工和协调机制。针对治理层、管理层、执行层的组织架构设计,其想达到的目标是将风险防控的要求贯彻融入企业的各个部门和环节,实现治理、管理和执行的默契配合。
2. 管理制度与流程层面
通过梳理风险清单相关制度,一方面将进一步明确风险事件的权责归属,归属范围将扩展至企业所有职能和业务条线;另一方面,流程中风险关注点的标记将涉及到从业务流程到管理流程的衔接,并将为相关系统补充风险识别、应对、评估和信息反馈等工作项。
(四)优化资源配置
1. 管理资源的分配
为了更好地实施法务、合规、风险和内控一体化管理体系,企业需要不断加强風险管理人才队伍建设,培养一批真正掌握风险管理技术和方法的专业人才团队。同时,要进一步完善人才聘用选拔管理机制,拓宽职工的发展渠道,充分将各类人才的积极性和主动性调动起来,真正做好法务、合规、内控、风险综合管理的人才支撑建立工作。
2. 数字化资源的分配
企业需要构建一体化的风险管理信息平台,如涵盖法务数据库、风险数据库、内控数据库、供应商数据库、案例数据库等内部数据库,加强风险案例数据、风险清单等风险管控类数据的积累。此外,企业需要打通各种管理信息系统的数据库,将风险控制点嵌入业务管理流程,按照业务管理中的角色和岗位实现风险预警和风险审查。
五、构建法务、合规、内控、风险一体化管理体系相关建议
(一)法务、合规、内控、风险一体化管理体系建设原则
1. 坚持领导主抓和全员参与相结合。明确企业主要负责人是加强风险控制的第一责任人;建立全员责任制,将合法合规、内部控制和风险防控要求深入岗位职责,在岗位工作全过程中进行落实。
2. 坚持综合治理和突出重点相结合。法务、合规、内控、风险一体化管理应覆盖整个业务领域、整个业务流程、整个组织层面和全体员工,贯穿决策、执行、监督的全过程,突出重要领域、关键环节、关键人员和关键单位的管理。
3. 坚持成本与效益、控制与效率的统一。风险控制要充分考虑成本和收益、控制和效率,以适中的成本和效率实现有效的防控。
(二)法务、合规、内控、风险一体化管理体系建设思路
1. 以明确组织架构为前提。
首先,在治理层面,由全体董事组成的业务执行机关是企业风险综合管理的最高决策机构。企业中还有审计委员会以及法治与风险委员会,这两者都对董事会负责。监事会在企业综合风险管理中的地位属于监督机关,主要负责监督董事会和经理层建立和实施风险管理的举措。
其次,在管理层面,总经理主要负责公司的日常运营和组织建设,领导公司的全面风险管理。法律总顾问或主管领导主要负责法律事务、合规、内部控制和风险管理等职责。
最后,在执行层面,法务部发挥统筹协调作用,设立兼职合规管理人员,将特定合规要求纳入工作职责和业务流程,做好特殊领域的合规管理,及时有效地防范和处理合规风险。
2. 以强化制度建设为基础
一是建立法律管理、合规、内部控制和统一风险管理的体系,明确职能、制度、组织和责任的统一、基本管理模式和基本管理流程。
二是在纲领性制度要求的基础上,制定配套的管理工具,包括风险管理手册、内部控制手册、内部控制评价手册、合规管理手册等细化制度。
三是将风险、内控和合规管理要求、评价标准和风险应对措施整合到体系中,确保企业日常业务流程和管理符合风险、内控和合规要求。
四是将业务流程嵌入企业规章制度,将财务管理制度、用工管理制度、合同管理制度、审计监督管理制度融入公司运营的具体流程,进一步加强对制度执行现状的检查和监督,强化制度的刚性约束。
五是定期进行系统整顿,编制新立、修改、废止计划,对重点改革任务配套体系进行完善,修订重点领域管理标准,提高效率和相关性。
3. 以构建闭环管理系统为重点
一是风险识别,收集与公司风险管理相关的内外部初始信息,对手机原始信息以及在具体操作中的业务管理流程进行风险的识别和风险。
二是风险评估。依据企业经营目标,定期举办风险偏好以及风险承受能力的评估,制定相应的风险应对策略,实施动态管理。
三是风险应对。优化公司的规章制度,细化到具体应对风险的具体措施以及主营业务所涉及的法律合规要求,将其规章制度能够切实实施在业务流程和项目中,以此逐步实现优化内部控制的效果,公司在日常运营中要自觉对照规章制度,提高应对风险的能力,提升企业经营效率。
四是风险监管和改进。法务风险控制部门及时对综合风险管理进行跟踪和监督,并根据监督结果改进和推进综合风险管理,确保综合风险管理的效果。
五是考核问责。加强法务、合规、内控、风险整合等方面的管理考核和责任追究,在企业绩效考核中将风险管理情况这一考量因素纳入,若考核存在问题,将依据我国的法律法规和企业的相关规章制度来进行责任追究。
4. 以协同工作机制为保障
一是法律事务、合规、内部控制和风险管理之间的重复工作将被合并,如内部控制自我评估和合规检查,以及各项工作的年度计划和年度报告的整合。
二是要构建多个监管主体的协同监管机制,将法务管理、合规管理、内部控制、风险管理、纪检监察、审计、监事会等主体进行有机结合。在具体工作的方方面面,诸如:工作计划、工作方式、工作内容、工作要求等,建立在监管主体的组织下,相互协调配合的业务流程,提升监管工作的合力和效果。
5. 以数字化建设为手段
一是搭建法务、合规、内控、风险一体化管理系统平台,建立法务数据库、风险数据库、内控数据库、供应商数据库、案例数据库等企业内部数据库,加强风险清单、风险事件、合同文稿、案例数据、控制措施等风险控制数据的持续积累。
二是利用信息技术打通各业务信息系统的数据库,将风险审查要点嵌入重要业务流程,形成基于岗位职责的法律、合规、内控和风险审查机制,实现业务信息系统在流程处理过程中,可以根据岗位对业务经理、业务负责人、法律审核员等不同审查角色进行提示和审查。
三是建立企业风险识别预警机制,利用大数据和人工智能技术识别各类风险,设立风险预警管理系统,实时监控业务流程各个环节可能存在的风险。
6. 以人才队伍建设为支撑
为适应综合管理的需要,应继续加强人才队伍建设,打造懂专业、懂管理、懂业务、懂财务、会管理的复合型人才。同时,要对专业发展渠道进行扩展,对于复合型特殊人才,要在市场化选拔、管理和奖励方面进行制度的完善,采取有效的激励措施,将其积极性和主动性调动起来。
将企业法务、合规、内控、风险一体化管理纳入企业整体规划,实现公司系统全覆盖,对企业重点业务板块以及关键业务流程进行一体化管控,推进信息系统集成应用,促进建立四大风险一体化协同管理体系,有效提升企业整体抗风险能力,为企业高质量发展保驾护航。
参考文献:
[1]田昕清,刘丁源.“十四五”时期我国企业“走出去”合规风险研究[J].中国经贸导刊,2020(09):18-21.
[2]陶光云.X集团公司全面风险管理体系框架建设研究[D].昆明:昆明理工大学,2015.
[3]潘尤迪,乔骄.论我国国有企业构建完善法律合规体系的必要性——简评《中央企业合规管理指引(试行)》[J].法制与社会,2019(32):163-164.
[4]王军,王新文,黄碧波,等.大型国企法律、合规、风险、内控一体化管理体系[J].国企管理,2021(16):32-39.
[5]张鹤.国有企业规章制度体系建设完善策略[J].现代企业,2023(02):24-26.
(作者单位:许腾,山西建投集团装饰有限公司;张建鑫,山西华炬律师事务所)