关于风险、内控、合规体系整合升级思考


 

 

2019年12月,国务院国资委下发《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅发监督〔2019〕44号)。该文件明确提出:各中央企业要以“强内控、防风险、促合规”为目标,进一步整合优化内控、风险和合规管理相关制度,完善内控缺陷认定标准、风险评估标准和合规评价标准,构建相互融合、协同高效的内控监管制度体系。从外部监管最新要求可以看出:推动风险管理、内部控制、合规管理体系整合是未来的发展趋势。

 

1、为什么要开展体系整合

 

风险、内控、合规管理三套体系在国有企业的应用推广,源于中国监管机构相关政策,包括2006年的《中央企业全面风险管理指引》、2012年的《关于加快构建中央企业内部控制体系有关事项的通知》、2018年的《中央企业合规管理指引(试行)》等系列文件。

 

2006年

国资委发布《中央企业全面风险管理指引》,指导企业开展全面风险管理工作,进一步提高企业管理水平,增强企业风险防范能力,促进企业稳步发展。

 

2012年

国资委发布《关于加快构建中央企业内部控制体系有关事项的通知》,要求中央企业高度重视内部控制工作,统筹协调,周密部署,抓紧推进内部控制建设与实施工作,采取有力措施保证内部控制有效执行,推动经营管理水平不断提升。

 

2018年

国资委发布《中央企业合规管理指引(试行)》推动中央企业全面加强合规管理,加快提升依法合规经营管理水平,着力打造法治央企,保障企业持续健康发展。

 

在过去的十几年里,先后出台的三套体系指引对国有企业防控化解重大风险、维护合法合规经营提供了系统的理论指导,也为夯实企业基础管理,实现高质量发展树立了普适的控制标杆。但就风险、内控及合规管理体系本身而言,在企业实践中也存在一些现实问题,如:

 

各体系单独建设,体系之间存在内容衔接不畅、缺乏协同。

 

风险、内控、合规概念、内涵、边界不清,体系并行增加业务部门负担、导致重复劳动,降低工作效率等。

 

体系内容复杂,可操作性差,体系成果浮于表面,“多张皮”现象严重。

 

因此,企业迫切需要结合外部监管要求,有效利用各种风险管理手段,厘清和调整风险、内控、合规管理体系的关系,推进体系整合落地,创造1+1+1>3的价值。

 

2、如何理解风险、内控、合规三者关系

 

(1)合规是经营管理的基本要求

 

合规管理是指企业通过制定合规政策,按照外部法规的要求统一制定并持续修改内部规范,监督内部规范的执行,以实现增强内部控制,对违规行为进行持续监测、识别、预警、防范、控制、化解合规风险的一整套管理活动和机制。

 

合规的核心是确保公司各项生产经营活动遵循内外部的法律、规范、条例、指引、制度等。从狭义范围,防范合规风险强调的是防范企业及其员工因不合规行为,引发法律责任、受到相关处罚,造成经济或声誉损失以及其他负面影响,重点是符合外部法律、规范。广义来说,合规所说的“规”是即包括国家法律、行业准则、国际条约等外部要求,同时也涵盖内部规章制度。但无论从狭义或者广义来说,合规核心是强调遵守和执行规范,满足监管要求,所以说合规可以起到最基本的抑制操作风险的作用,保证企业日常生产经营不会因触碰法律法规红线而受到相关处罚,影响企业经营,甚至导致企业倒闭。

 

(2)内控是经营管理的重要抓手

 

内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。从上述定义可以看出来,内控目标更加广泛,既注重结果,又重视过程,在此基础上发展较完善的工具和方法(COSO框架)。简单来说,合规是结合内外部要求提出我们要做什么,禁止做什么,而内控是合规的具体实现手段,结合企业经营管理和业务流程设计内部控制关键点,提出要怎么去做,怎么去防范风险。所以说,内控核心是管理制度化、制度流程化、流程信息化,确保内控目标实现,是经营管理的重要抓手。

 

(3)风控是经营管理的核心本质

 

风险是指不确定性对目标的影响。关于这个定义有三点需要特别解释:1.影响是与期待的偏差,包括积极或消极;2.目标可以有不同方面(如财务、健康安全以及环境目标),可以体现在不同的层次(如战略、组织范围、项目、产品及过程);3.不确定性是指风险事件发生概率或者后果信息不完整,未来不可预测。

 

从上述定义发现,企业经营管理本质就是风险管理,管理者任务就是解决影响企业发展目标实现的不确定性。风险管理体系提供一系列工具和方法论,要求从更高的管理角度看待风险,解决内控、合规无法发现问题(例如内控无法衡量资本市场波动会给公司业务带来多大风险),所以说风控是经营管理的核心本质,企业风险管理能力高低直接决定它未来能走得多远。

 

下面以采购业务为例,具体解释合规、内控、风险差异:

 

合规关注的是采购工作是否符合了相关外部的法律法规要求,以及遵循了内部制度的规定。例如,内部人员是否违反廉洁收受回扣,当地政府对采购商品有没有特别规定等。

 

内控侧重的是采购的程序和流程中的关键控制点是否被设计全面并有效执行。例如,采购业务不相容职责分离,采购业务提交、审核、审批、备案的权限是否合理设计等。

 

风险侧重的是综合考虑了未来的各种情景对采购活动本身和生产运营产生的影响并作出合理的风险应对。例如:新冠肺炎发生后,管理层需分析上游供应商能否按质按期供货,并评估做出更换供应商或者改变生产计划等决策。

 

3、关于整合构建体系思考与建议

 

元韬咨询认为,关于风险、内控、合规管理体系整合升级可以分为 “三个统一、形神兼顾”,通过组织架构统一、管理工具统一、工作机制统一,统筹实施各项管理体系,落实体系中的各项管理要素,实现体系管理价值上的1+1+1>3。

 

(1)组织架构统一

 

一说起风险管理组织架构,就不得不提风险管理的“三道防线”,即企业的业务部门作为前端部门是风险管理的第一道防线;企业风险管理职能机构作为风险管理的第二道防线;企业的内部审计职能机构作为风险管理的第三道防线。类似“三道防线”做法,同样出现在内控管理、合规管理等体系建设,但在实际运行过程中,很多企业的内控、风险、合规体系分别由不同部门统筹管理(内控部、风险管理部、合规部等),体系分别运行,一定程度上影响了企业控制活动的整体效率和效果。

 

在体系整合过程中,企业可以将原有风控、内控、合规职能归到同一部门统筹,减少跨部门沟通与协同。例如:某电网企业开展总部组织机构改革时,将原财务部负责的内部控制管理(简称内控)、原企管部负责的全面风险管理、原法律部负责的合规管理职能整合到法规部归口管理,同时启动了3个体系的整合研究工作。需要强调的是,在探索体系整合过程中未必要强制进行组织架构的重组,在条件不成熟的企业,更多的是制度和工作程序的整合与协同。

 

(2)管理工具统一

 

现阶段,企业基于上级要求、自身业务活动(投标、销售等)或管理需求,开展各类体系化管理活动,但各类管理体系又相对独立,甚至每个体系都有各自的“书”, 这就导致体系落地困难,容易造成体系要求与实际经营管理脱节,甚至产生“两张皮”现象。所以,管理体系建设必须重视与经营管理活动相融合,通过“同一套”制度/流程/系统等管理工具实现落地。

 

在体系整合过程中,制度/流程/系统仍然是有力的抓手。企业应通过风险识别评估和应对等手段,全面梳理内控、风险和合规管理相关要求,并实现如下融合:

 

外规内化:及时将法律法规等外部监管要求转化为企业内部规章制度。

 

违规追责内容纳入制度:将违规经营投资责任追究内容纳入企业内部管理制度中。

 

权限要求融入制度:在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控的权限要求。

 

内控要求嵌入流程:将内控关键控制点嵌入具体业务流程,并推进自动化、智能化实施控制(基于RPA财务智能化对账等)。

 

 

管理工具统一将打破“一个体系一套制度”的围墙,并且真正让制度/流程/系统融入体系要求,最终实现“管理制度化、制度流程化、流程信息化”。

 

(3)工作机制统一

 

尽管风险、内控、合规管理体系的具体要求和侧重点略有差异,其基础理论却一脉相承,各个体系都包括风险识别与评估、风险应对,自我评价、专项检查、报告编写等类似的工作内容。所以各体系并行的企业业务部门和基层单位经常抱怨每年都要做大量重复工作,应付各个部门的风险评估,专项检查,写评价报告等,结果是员工疲于应付,体系推进效果不佳。根据《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》要求,从2020年起,中央企业不再分别报送《中央企业内部控制评价报告》和《中央企业年度风险管理报告》,取而代之按一体化要求编制《2019年度内控体系工作报告》,这说明企业统一工作机制,工作流程是大势所趋。

 

在体系整合过程中,企业在统一组织架构和管理工具的基础上,建立基于风险管理的运作机制:以风险管理流程为核心,梳理内控、合规要求开展风险识别与评估,制定风险控制措施,并对重大风险建立专项治理方案开展季度监控,建立重大经营风险报送机制;建立以合规内控为主的监督机制:建立重要经营决策事项、管理制度以及相关法律事项的合规审查流程,以内控检查、内控评价为手段开展监督,融合合规要求,并按照内控体系一体化工作要求编制内控体系年度工作报告。

 

元韬咨询已实施案例介绍(部分)

 

项目:「某电网企业法律风险管理体系建设」

 

服务内容:基于现状梳理各项业务法律风险,建立法律风险库;结合岗位职责,制定法律风险岗位防范措施并提供落地的手段,形成《法律风险岗位防控信息卡》;根据法律风险防控现状,建立法律风险防控机制,包括问题处理机制、融入业务机制和运作保障机制。

 

项目:「某电网企业内部控制管理体系建设」

 

服务内容:明确内控体系运转机制,建立内控与一体化管理的衔接标准,把内控要求融入一体化制度流程中,形成《内部控制管理细则》、《内控管理手册》、《内控评价手册》;协助开展内控评价,查找发现若干内控缺陷,提交《内控评价报告》。

 

项目:「某电网企业廉洁风险专项管理」

 

服务内容:设计廉洁风险评估标准,基于现状梳理开展廉洁风险梳理,形成廉洁风险库;针对重点领域(物资采购、基建管理、市场营销等)的关键岗位,开展岗位风险防范,并形成《岗位廉洁风险防控卡》;定期开展廉洁风险评估,形成评价报告。

 

项目:「某电网企业基于业务流程的营销风险管控体系深化应用」

 

服务内容:从营销业务关键流程着手,优化风险评估、升级风险防控, 落实系统固化需求, 建立健全风险事中、 事后管控防控机制,形成营销风险管理机制;以此形成基于营销业务流程视角的风险全过程管控,提出营销业务风险管控措施。针对重点监控营销业务流程,建立营销风险监控指标以及风险预警规则。

 

 

 

 

 

                                                                                                                  作者:陆 俊 周柳君

                                                                                           

                                                                                                                  编辑:吴 璨

回到顶部