中国律师网 | 陶光辉:合规、内控、风险一体化管理体系的构建

陶光辉

北京德和衡律师事务所

高级联席合伙人

当今社会,正面临着“百年未有之大变局”。企业身处其中,不可避免地要应对越来越多的不确定性。对风险的预防、控制与应对,已成为一项相对独立的企业管理职能。随着一些监管文件的发布和推行,合规管理、内部控制、全面风险管理(以下简称为“合规、内控、风险“)等与风险密切相关的概念,逐渐进入企业高层的视野。在最新的一份国企改革三年行动方案中,“防风险”已成为国有企业董事会的最重要职责之一。

但是,不管是企业内负责风险防控的专业部门和人员,还是企业的高层管理者及经理层,对于合规、内控、风险管理三者边界的认知,仍是不清晰的,甚至存有不少的困惑。源自不同背景、不同来源,不同要求的合规、内控、风险管理等职责,在中大型企业内的并存,已造成了一定的重复和冲突。

对于该问题,国企监管部门国资委已有所洞察。在2015年12月发布的重磅文件《关于全面推进法治央企建设的意见》中,明确要求央企“探索建立法律、合规、风险、内控一体化管理平台”。这对合规、内控、风险等进行一体化的管理,提出了初始的要求。在2020年6月发布的《关于对标世界一流管理提升行动的通知》中,提出央企要“构建全面、全员、全过程、全体系的风险防控机制“。这为建立合规、内控、风险一体化管理体系,再次提出了新的期望。

一、合规、内控、风险进行一体化的动因

要建立合规、内控、风险一体化管理体系,须先问为什么要进行合规、内控与风险的一体化管理?对央、国企来说,在合规管理方面,标志性的指引文件是2018年颁发的《中央企业合规管理指引(试行)》;在内部控制方面,权威文件是2008年颁发的《企业内部控制基本规范》;在风险管理方面,标志性的指引文件是2006年颁发的《中央企业全面风险管理指引》。这三份文件,出台的时间和背景,各不相同,给企业风控等工作带来不同的视角。但同时,对企业风控等工作从不同角度也提出了不同的要求。企业为符合这些不尽一致的要求,分别进行了大量的人力和财力资源的投入,但取得的最终效果往往一般。将合规、内控与风险三者进行一体化管理,已是大势所趋。

首先,在组织架构层面。实践中的法务、合规、内控、风控等部门设置呈现各种式样。有一些企业内分设法务部、合规部、风险管理部、内控部等部门,有一些企业将法务与合规职能放在一个部门,另有一些企业将内控部作为风险管理部门下属的一个子部门,等等。不同的部门设置,反映了企业对合规、内控、风险等的认识不一致,也造成了企业执行合规、内控、风险管理工作的资源配置不同。这无疑会引起一些困惑和冲突。一个有效的解决办法,就是进行统一的部门设置和统一的资源调度。

其次,合规、内控、风险管理,包括法律管理,有不少的工作内容和工作程序是重合的。如风险评估,在执行合规管理工作时,是一个必要的程序;在内部控制实施时,同样需要;对于全面风险管理工作,尤其需要。但是,在具体进行工作拆解和职责分工时,合规、内控与风险管理内的风险评估工作又不完全相同。合规管理所指的“风险评估”,是指“梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析”。内部控制需要的“风险评估”,是“及时识别、系统分析经营活动中与实现内部控制目标相关的风险”。全面风险管理所界定的“风险评估”,是“查找各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险”。可见,合规、内控、风险三者都需要进行风险评估,但具体表现和关注点,乃至评估方法,可能有所不同。如何减少类似的重合或重复工作,简化操作流程,是驱动对三者进行统筹考虑的主要因素。

再次,从发展路径看,三份文件目前是各成一派,分别发展。合规管理指引文件是由国资委政策法规局主导制定,反映了监管部门对制止国企违反法律法规底线的考量。按该指引,央企合规管理牵头部门应当于每年年底总结合规管理工作情况,起草年度报告,经董事会审议通过后报送国资委。内部控制规范是由财政部等五部委联合制定的,反映了监管部门对企业提升资源配置效率和防范经营风险能力的关注。按2012年颁布的《关于加快构建中央企业内部控制体系有关事项的通知》规定,央企必须每年5月31日前向国资委报送内部控制评价报告,同时抄送派驻本企业监事会。全面风险管理指引文件是国资委企业改革局主导制定的,反映了监管部门对企业建立全面风险管理体系,实现风险管理总体目标的要求。2008年起,国资委开启中央企业报送年度全面风险管理报告的试点工作,自2009年开始,中央企业每年均向国资委报送年度《企业风险管理报告》。

值得一提的是,在国资委最新印发的《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》中,国资委提出要进一步整合优化内控、风险管理和合规管理监督工作,按一体化要求编制2019年度内控体系工作报告,不再分别报送《中央企业内部控制评价报告》和《中央企业年度风险管理报告》,且报告的接收部门统一为国资委综合监督局。由此可以看出,合规、内控与风险管理三者需向监管部门提供的工作报告,不管是出于效率提升,还是出于整合优化,未来合而为一,也将是一种趋势。

最后,合规、内控与风险管理三者均与企业风险管控密切相关,只是关注点和切入点不一样。各种管理体系,大多数是人为设计和实施的,都是某种角度的实践理性产物。企业经营管理,其实越简单越好。对企业风险管理来说,本质上并不需要多个管理体系。但管理企业经营风险的单一方法,至今并没有出现。因此,将合规管理体系、内部控制体系、全面风险管理体系进行有效衔接、融合与统筹,即所谓一体化,是大多数企业的必然选择,也是构建一套管理企业经营风险的整体方法。

二、合规、内控、风险进行一体化的基础

建立合规、内控、风险一体化管理体系,第二个要回答的问题,就是合规、内控与风险管理为什么能一体化?它们进行一体化管理的基础是什么?这需要从企业的目标说起。

很明显,企业的目标不应该是“风险管理”。风险管理,只是企业在实现目标的过程中不得不处理的一个环节。企业的目标,根本上还是企业的经营业务。企业必须通过对战略的选择、对业务的执行来完成其经营。所有的管理体系,都应当是为企业经营服务的。与风险相关的管理体系,也不例外。因此,合规管理、内部控制和全面风险管理,虽然有不同的起源和要求,但根本上,都必须围绕企业的业务。基础的业务行为或称业务流程,是合规、内控与风险管理工作的共同对象。正是在企业的业务执行过程中,才产生了对合规管理、内部控制与风险管理等工作的需求。

合规、内控与风险管理工作,虽然是基于业务流程,但正常的业务行为并不必然会带来合规管理、内部控制或风险管理等工作的启动。正常的或称为顺利的业务行为,只会产生下一个业务行为。只有那些不正常的业务行为(包括经营和管理行为),如违法的行为、不当的行为、错误的行为等,才会促使合规、内控或风险管理等工作的产生。这些不正常、不顺利的业务行为,在企业看来,即是风险行为。

合规管理是针对那些违反外部法律法规以及道德规范导致企业受损的业务行为;内部控制是针对那些企业内因缺少控制措施导致企业受损的业务行为;全面风险管理是针对那些没有辨识内外环境发生变化导致企业受损的业务行为。总之,合规、内控与风险管理针对的都是非正常的企业行为。

这些非正常的行为是相对的,是企业正常业务流程过程中出现的意外、疏忽或故意等与企业目标不一致的行为。从这个意义上说,合规、内控与风险管理面临的情境是一致的,也即我们通常所说的风险。这正是三者可以进行一体化管理的共同基础。它与监管部门一再强调的体系建设须“以风险管理为导向”也是吻合的。

出现了风险行为,企业自然需要施加管控。因此,对违反法律法规或道德规范的行为的预防与管控,促使了合规管理工作的产生。对企业内缺少控制措施的行为的预防与管控,促使了内部控制工作的产生。对企业缺乏识别变化的行为的预防与管控,促使了风险管理工作的产生。这是合规、内控与风险管理三者在逻辑上的形成过程,与三者在不同历史时期出现并分别得以强调和运用,可相互印证、毫不违和。

综上,业务流程是合规、内控与风险管理工作的底层对象。对业务流程中出现的各类风险行为进行管控,是合规、内控与风险可以一体化管理的共同基础。也就是说,基于业务流程,既是所有风险管理体系,包括合规管理体系、内部控制体系、风险管理体系等建设过程中均须依赖的前提,也是合规、内控与风险一体化管理体系建设过程中必须依赖的前提。这一点,可从国资委2019年10月印发的《关于加强中央企业内部控制体系建设与监督工作的实施意见》中“将风险管理和合规管理要求嵌入业务流程,促使企业依法合规开展各项经营活动”的规定,再次得到验证。

三、合规、内控、风险管理的各自架构及其渊源

建立合规、内控、风险一体化管理体系,在搞清楚为什么要一体化之后,接下来的问题自然就是怎样进行一体化?合规、内控与风险,同属企业风险管理工作的某一个部分,有不同的来源、不同的要求、不同的指向。要促进三者一体化,除了发现其共同的对象与基础以外,还需归纳和总结其运行架构。管理架构是有意识的系列管理活动的要素及其相互之间的关系。它是管理体系的内核。唯有统一了架构,才足以表明和保障三者一体化管理体系的落地。

要归纳三者的统一架构,先要深刻认识三者各自的架构。作为风险管理工作,合规、内控与风险管理,均遵循过程方法和PDCA(PLAN-DO-CHECK-ACTION)循环法。三者在方法论上,有共通之处。共同的方法论,决定了三者的架构存在一致性。但三者最后呈现的架构,却仍是不完全相同的。

合规管理的架构,根据《中央企业合规管理指引(试行)》的规定,由合规管理原则、职责、重点、运行与保障等部分组成。其中运行机制包括合规管理制度、合规风险识别预警机制、合规风险应对机制、合规审查、违规问责、合规有效性评估等,保障机制包括合规考核评价、合规管理信息化建设、合规管理队伍建设、合规培训、合规文化培育、合规报告制度等。该运行架构,与2017年颁布的国家标准GB35770-2017《合规管理体系 指南》相比,更符合央企的实际情况。但不可否认的是,企业在实际运行合规管理架构时,不可避免地会参考国家标准《合规管理体系 指南》。可以说,正是这个等同采用了ISO国际标准的国内标准,为合规管理纳入一体化管理体系搭建了一道桥梁。

内部控制的架构,根据《企业内部控制基本规范》的规定,由基本原则、内部环境、风险评估、控制活动、信息与沟通、内部监督等部分组成。监管部门随后公布的18项配套《企业内部控制应用指引》为内部控制在企业中的实际运行提供了具体参考。该现行的内部控制架构,很明显是参照了知名的美国反虚假财务报告委员会下属的发起人委员会COSO内部控制整合框架(1992年正式版,1994年增补,2013年更新版)。COSO在内部控制框架的基础上,又发展和进化出企业风险管理整合框架(COSO-ERM,2004年正式版,2017年更新版)。由此可以看出,内部控制的架构与风险管理的架构本身有相通之处。

风险管理的架构,根据《中央企业全面风险管理指引》的规定,由总体目标、基本原则、信息收集、风险评估、风险管理策略、风险管理解决方案、监督与改进、组织体系、信息系统、风险管理文化等部分组成。该指引是在贯彻落实《企业国有资产监督管理暂行条例》关于“国有及国有控股企业应当加强内部监督和风险控制”的要求,参考COSO内部控制整合框架、COSO-ERM、美国萨班斯法案等背景下而出台的。由此,风险管理的架构,与内部控制的架构也存在着天然的内在契合之处。

合规、内控与风险管理,作为分别发展的管理体系,有着各自的运行架构。这既是需要对三者进行一体化管理的起因,也是搭建一体化管理体系要克服的难点。也就是说,需要在充分认识各自架构的基础上,找到一种统一的架构,将三者能够有效的融合起来。这就是本文所述的一体化管理体系的核心。

四、合规、内控、风险管理体系的统一架构

企业内的管理体系各自为政,以整合的方法来统一管理,不是一件新鲜的事。关于质量(ISO9001)、环境(ISO14001)、职业健康安全(OHSAS18001)三个管理体系,早有专业机构倡议对其进行整合,形成整合管理体系(IMS)。一些著名的国际标准化机构,还专门颁布体系整合的方法指南。如ISO在其ISO/IEC 导则第 1 部分(ISO/IEC Directives,Part 1)附录 SL提出管理体系标准化的建议。英国标准协会(BSI)为整合相关管理体系,专门制作和公布了一个《PAS99:2012整合管理体系的框架——通用管理体系要求的规范》。

英国标准协会BSI公布的PAS99:2012规范,向公众提供了一个整合管理体系的高阶架构。正如该规范所述,“尽管本规范初衷是用于整合诸如BS EN ISO 9001,BS EN ISO 14001,BS ISO/IEC 20000, BS ISO 22301 和BS OHSAS 18001管理体系标准等,但它同样适用于其他的国家和国际管理体系”。按PAS99:2012规范,整合管理体系的高阶架构包括:组织的情境、领导作用、策划、支持、运行、绩效评价、改进等。基于此,结合三者各自的实践架构,我们改造和推出包含七个阶段的合规、内控、风险一体化管理体系(CIRms)统一架构。

01

1.环境与业务流程

理解组织的情境,是进行合规、内控与风险管理活动的第一步。如前所述,对这三项活动的需求,本来即是起源于企业内存在的非正常业务行为。要防控这些非正常业务行为,即风险行为的发生,前提又是了解企业内的正常业务行为。那么,何谓正常,何谓不正常?这无疑又是一个主观和客观相结合的产物。因此,理解企业的环境,理解企业利益相关方的期望和需求,特别是拆解企业的业务流程,是正确开展各项风险管理活动的前提。在合规、内控等相关指引文件中,均强调了管控工作要““融入业务领域”、“嵌入业务流程”等。

02

2.领导与资源支持

不管是合规管理,还是内部控制,或者风险管理,都极为重视企业高层的作用。合规管理,强调合规职责是“企业主要负责人履行推进法治建设第一责任人职责的重要内容”。内部控制,明确“董事会负责内部控制的建立健全和有效实施”。风险管理,则明确“董事会就全面风险管理工作的有效性对股东(大)会负责”。三者都强调了体系建设必须“自上而下”。最高领导者的亲自参与,保证了合规、内控与风险管理体系的有效性。那些失败的或无效的合规、内控与风险管理体系,往往是企业领导层没有足够的重视,或最高领导凌驾于经理层之上等原因造成的。除了领导的支持,有效的一体化管理,还需配套的资源支持。在执行时,组织独立、能力提升、意识强化、与内外保持沟通,及时记录等工作机制的建立,同样重要。

03

3.方案策划与设计

合规、内控与风险一体化管理,一定是企业主动实施的。在实质启动之前,应有一套完整的实施方案。实施方案是在对企业合规、内控与风险管理现状进行调研之后,按IMS的设计思路,对未来2-3年期的一体化管理活动进行的计划安排。一般包括一体化体系建设的核心原则、主要目标、工作阶段、重点工作内容(成果)和工作保障等内容。方案策划与设计工作,是一体化管理体系高阶架构的第三阶段。同时,也是植入于一体化管理体系中的PDCA循环的第一步,即计划(Plan)部分。

04

4.一体化风险评估

不管是实行独立的管理体系,还是一体化的管理体系,风险评估都是合规管理、内部控制以及风险管理的必经阶段。合规管理,关注的是“企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性”,即合规风险。内部控制,关注的是“经营活动中与实现内部控制目标相关的风险”,即内控风险。全面风险管理,关注的是“未来的不确定性对企业实现其经营目标的影响,具体分为战略风险、财务风险、市场风险、运营风险、法律风险等”,即全面风险。基于企业业务流程,统一组织对该三类风险进行识别、分析与评价,是一体化管理体系建设的关键动作。如资源配置不到位,则将成为一个难点工作。

05

5.风险管控措施与策略

风险评估的目的是为了制定相适宜的风险管控措施。因合规、内控与全面风险所关注的风险其性质各不相同,其管控措施也不尽相同。在一体化管理体系建设过程中,需要针对不同性质的风险,采取不同的管控措施。合规风险,一般的管控措施包括:合规管理制度、合规风险预警机制、合规风险跟踪机制、合规审查、合规检查、合规报告,合规培训等。内控风险,通用的管控措施包括:相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。全面风险,一般的应对策略包括:风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等。一体化管理,需尽量用统一的、集中实施的管控措施,达到同时管理三类风险的目的。

06

6.绩效与内外评价

风险评估与风险管控措施落地,均是一体化管理的重点工作。从PDCA循环角度,这两个阶段都属于PDCA循环中的执行(Do)部分。接下来,便是检查(Check)部分了。即一体化管理高阶架构的第六阶段——绩效与内外评价。该阶段的内容,其实非常丰富。按PAS99:2012规范的规定,该阶段包括监视、测量、分析和评价,内部审核,管理评审等。合规、内控与风险一体化管理在该阶段的工作,可以包括风险监测和测量、绩效反馈、体系有效性评估、体系评价报告、管理评审等。对于央、国企来说,提供一份合并的符合监管要求的合规、内控与风险一体化报告,是该阶段成果的最好表现。

07

7.纠正与持续改进

当发生风险事件时,有效的一体化管理体系应当对此立即做出反应,并采取行动控制和纠正它。这也是PDCA循环中的处理(Action)部分。当得知或预测有不合规情况发生时,一体化管理体系应立即启动对不合规事件的调查。当发现存在内控设计或运行缺陷,应当立即分析缺陷的性质和产生的原因,提出整改方案。企业对于不合规、内控缺陷或可能遭遇的重要风险,应当及时上报给相关管理层,并能保障一体化管理团队同时可得到通知。最后,企业应保证可持续改进IMS的适宜性、充分性和有效性。

五、合规、内控、风险一体化管理的特殊要求

合规、内控、风险一体化管理体系是三个体系的有机融合,但并没有消灭他们。毕竟三个独立的体系,在一体化之前,各有其价值。一体化管理体系的建设,除了关注上述七个阶段的统一架构以外,仍需重视他们各自的特殊要求。这样构建起来的体系,才是更完善、更符合实际的一体化管理。

合规管理是应对合规风险的管理活动。合规风险,对企业来说,是一种底线风险。随着大面积普法行为的推广,对于业务行为是否违反法律法规,大多数情况下,企业及其员工是比较清楚的。至于最后还是发生了不合规事件,是因企业及其员工的自主选择。因为违法成本低,缺乏对法律的尊重和信仰,违法带来的利益诱惑过高等等,企业及其员工最终选择了违法违规。这是最常见的合规风险的发生原因。因此,合规管理工作要取得成效,必须大力营造合规氛围,培养合规意识,使企业及其员工能够“自我约束”,能够“主动合规”,而不仅是依赖外部的管控机制和管控行为。也就是要提倡合规与道德并行。这便是合规管理工作的特殊要求。具体的工作内容,可体现为合规培训、合规宣传,合规承诺书的签署及不合规的举报等等。

内部控制是应对内控风险的管理活动。内控风险,本质上是因企业内授权代理机制的内在缺陷造成的。企业出于分工的需要,划为不同的层级和不同的部门。在层级和部门之间,都存在代理机制。正因为有这些明示或默示的代理,才产生了企业内权力的误用、滥用、错用,才产生了舞弊、腐败、怠工、放任。内部控制管理,就是要对企业内权力与责任进行正确的配置。因此,内部控制工作的好坏,取决于企业内岗位职责与岗位权力能否相互制衡、相互监督。这便是内部控制工作的特殊要求。具体工作内容,可体现为梳理关键控制点、完善授权审批机制等等。

全面风险管理是应对企业可能的战略风险、财务风险、市场风险、运营风险、法律风险等。其难度之大,管控之广,经常超越了企业的能力范围。即大多数企业发生了一些重大的外部风险,不是因为他们不重视,或没有制衡机制,而是因为他们根本不知道风险的到来。全面风险管理工作,对风险部门的能力,提出了最大的挑战。这里的能力是广义的,包括信息获取、资源调配、数据统计、IT技术、主观认知等。对于全面风险管理工作,要有效展开,必须提高企业和员工的风险认识与分析能力。其二,在全面风险管理范畴内,风险是一个中性词。风险,可能是一种负面的影响,也可能是一种机会。对风险进行管理,不仅要消除或转移风险。在某些情况下,还需要利用风险。这与合规风险管理的预防、内控风险管理的控制,是不一样的。这便是风险管理工作的特殊要求。具体工作内容,可体现为确定风险准则、收集风险信息、压力测试、穿行测试等等。

在一体化管理过程中,合规、内控与风险管理还存在其他一些特殊要求,这与一体化管理所展现的包含七个阶段的统一高阶架构,并不矛盾。其实,在环境与业务流程、领导与资源支持、一体化风险评估等几乎所有的阶段,合规、内控与风险三者都有其各自的特别要求。如合规管理在风险评估阶段时,需要对企业的合规义务进行梳理。合规义务是相对固定的。有了合规义务清单,才可形成合规风险清单。但在内控和全面风险管理的风险评估环节,收集的是可能引起风险的内外部因素的信息。正是这些特殊要求与统一架构融合在一起,才构成完整的合规、内控与风险一体化管理体系。

作者简介

陶光辉

北京德和衡律师事务所企业合规与风控业务部主任,一法网创始人

陶光辉律师,武汉大学法学硕士,高级经济师,曾任中国民营企业集团前10强的法务总监,获ALB2016中国最佳总法律顾问称号,担任全球中国企业法务协会CACC秘书长,大连大学法学院客座教授,北京大学全球高端法商人才计划未来领袖授课专家,中国人民大学企业法治研究所兼职研究员,青岛仲裁委互联网仲裁院副院长,北京律师协会企业法律顾问专业委员会副主任等职务。陶律师曾为数百名中大型企业法务人员提供合规管理、法务管理、合同审查等专业培训。发表有关论文:《构建效率与合规并进的法务风控体系》、《以风险管理为导向的企业内控与合规》、《合规、内控、风险一体化管理体系:基于流程与统一架构》等。

手机:15701025272(微信同号)

(0)

相关推荐