如何理解四种不同的风险管理体系
合规的概念其实最早起源于美国的《反海外腐败法》(Foreign Corrupt Practices Act,下称“FCPA”),主要目的是禁止企业及个人向海外政府官员行贿。此后,坚决打击商业贿赂,建立全球性的合规营商环境,成为越来越多国家的共同目标,并通过国际标准化组织(ISO)在2014和2016年分别制定的ISO19600《合规性管理体系指南》和ISO37001《反贿赂管理体系》,让合规从狭义的反商业贿赂扩充为更广义的合规。中国的合规管理则是在经历了金融行业、上市企业的合规起步后,逐渐形成了合规法律体系的框架,并由国资委在《央企合规指引》中首次提出要求中央企业建立合规体系。根据《央企合规指引》,合规管理是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
根据《企业内部控制基本规范》,内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
全面风险管理的概念来自于国务院国资委2005年印发的《全面风险管理纲要(试行)》,2006年国资委在《央企全面风险管理指引》中对全面风险管理的概念做了进一步明确,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
企业法律风险管理的主要参考标准是《GB/T 27914-2011企业法律风险管理指南》(下称“《法律风险管理指南》”)。根据该指南,法律风险管理是企业全面风险管理的组成部分,贯穿于企业决策和经营管理的各个环节。法律风险管理过程由明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查等环节组成,目的是有效管理法律风险,支持企业的决策和经营管理活动。
(一)四种风险管理体系的侧重与区别
通过对比上述四种管理体系的定义,我们可以发现四者各有侧重与区别,具体体现在:
1. 工作目标
合规管理体系以有效防控企业合规风险为目标,以企业及其员工的经营管理行为为对象;企业内控体系的基本目标是促进或保证企业经营管理合法合规、资产安全、财务报告信息真实准确完整;全面风险管理的基本目标旨在通过采取有效措施减少、降低风险发生的概率或者规避风险,以保证企业持续、健康、稳定发展;法律风险管理的目标是有效管理法律风险,支持企业的决策和经营管理活动,促进企业战略目标的实现。
2. 管理依据
合规管理的管理依据范围大于法律管理。根据《法律风险管理指南》的规定,法律风险管理的规定依据主要来源于法律规定、监管要求或合同约定,法律风险管理的策略和方法不应违反法律的强制性规定和义务性规定;而根据《指引》和《企业境外经营合规管理指引》,企业合规中的“规”,不仅包括法律法规、监管规定,还包括行业准则和企业章程、规章制度以及国际条约、规则,甚至还包括商业惯例、道德规范等;全面风险管理的依据是有关法律法规、行业监管要求、企业内部规章制度等;企业内控体系主要体现在企业内部工作流程和方法上,是企业风险管理的必要环节,内控体系主要强调设计和建立相互制衡的组织机构以及企业内部制度、流程,并对这些制度和流程的实施有效性进行评价和监督。
3. 工作内容
法律风险管理并不包含管理体系的考核评价和责任追究,法律风险管理体系工作内容的范围也小于合规管理体系工作内容。法律风险管理的工作内容主要包括:明确法律风险环境信息(即对企业内外部环境中与法律风险相关的信息进行收集、分析、整理、归纳的一系列过程)、法律风险评估(包含法律风险识别、法律风险分析和法律风险评价等三个步骤)、法律风险应对、监督和检查;而企业合规管理体系工作内容主要包括风险识别、评估、合规审查、风险应对、考核评价、责任追究、合规培训等管理活动; 内控体系则强调的是企业内部的制度和流程,工作内容主要是检查企业内部制度和流程是否相互制衡,是否有效、完整;企业全面风险管理的主要工作内容包括:收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案以及风险管理的监督与改进。
(二)四种风险管理体系的交叉
但与此同时,由于合规、内控、风控、法律管理四个管理体系都是针对同一企业组织体系的经营管理和业务流程,并且都是由企业现有的业务部门、职能部门根据部门职责贯彻实施,因此各管理体系在工作内容和工作方法上除了上述分析的侧重与区别外,实际上也存在着重合交叉的地方,例如:
1. 外部规范
企业防范合规风险及法律风险管理体系均包含了企业需要遵守法律规定和监管要求。法律管理是合规管理的核心,但合规管理的范围大于法律管理。
2. 风险维度
基于未来的不确定性对企业经营目标实现的影响,企业的风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。可见,法律风险属于企业面临的全面风险之一,法律风险管理是企业风险管理体系的组成部分。同时,法律风险管理也是企业合规管理工作的重要构成部分,而建立健全内控体系是确保合规管理、法律管理落地的重要途径。
3. 工作方法
就工作方法而言,内部控制的五要素是控制环境、风险评估、控制活动、信息与沟通、监控活动。合规管理则是通过搭建合规组织架构、制定合规管理制度、合规风险的识别与评估、合规举报与调查、合规审查、合规处理、合规考核与培训等方式来实现合规风险的管控。两者的管控手段虽然并不完全一致,但本质上,他们的管控逻辑是一样的,这也是他们可以整合在一起的原因之一。而风险管理所采用的收集初始信息、进行风险评估、监督改进等工作方法,实际上也同样适用于合规风险管理。
企业如何通过合理的工作安排,实现“强内控、防风险、促合规”
通过上述对比,我们可以发现企业合规、内控、风险、法律管理这四个管理体系在管理依据、工作内容、工作方法等方面既有侧重和区别,又有重合与交叉,中央企业在建设合规体系时,并不是建立一个孤立的新体系,而应该结合企业实际情况,围绕企业战略目标和经营目标,将合规、内控、风险、法律管理的要求,嵌入企业管理各个环节和业务经营的基本流程,并通过持续优化整合及完善,促进四者在企业经营管理中的有机融合。国资委在《内控体系实施意见》中也提出,中央企业要建立健全以风险管理为导向、合规管理监督为重点的内控体系,且要将风险管理和合规管理要求嵌入业务流程,实现“强内控、防风险、促合规”的管控目标。
实际上,目前大部分中央企业已经不同程度地建立了合规体系、内控体系、风险管理及法律管理体系,但由于这四种管理体系毕竟在同一个企业组织体内运行实施,加上部分管理体系在工作内容或工作方法有重合交叉之处,因此在实践中容易形成管理缺位或带来不同体系之间的衔接问题。为此,中央企业可以从以下角度,探索建设合规、内控、风险、法律管理“四位一体”风险防控体系:
(一) 由集团总部牵头探索“四位一体”的实践
实践中,中央企业集团内部各下级单位的内控、风控、合规、法律管理工作等都需要与集团的接口部门形成有效对接,集团企业在各个管理体系中对下属单位的管理,也需要形成较为统一的工作机制,才能便于具体工作的开展和管理。因此,探索各个体系在企业经营管理中的融合,往往需要集团企业先做好相关的梳理工作。
此外,由于二三级单位会更聚焦于具体业务,出于减轻工作压力的考虑,对于内控、风控、合规、法律管理的一体化往往有着强烈的需求,但可能不具备足够的理论功底来推进相关工作。在这一点上,集团企业可以从集团的高度,探索建设合规、内控、风控、法律管理“四位一体”的风险防控体系,避免在实践中出现部门职责不明确,业务流程不清晰,甚至在管理流程衔接上出现真空地带,导致企业管理资源重复配置或配置不足,同时也难以有效防范企业经营管理风险。例如,华侨城集团作为大型央企集团,已经开始探索合规管理、内部控制、风险管理、法务管理四项职能的一体化管理,为下属企业提供建设性思路1。
(二) 在不同体系之间整合组织架构的职能
在多个体系的要求下,企业可能需要各部门承担多个管理职能。在实践中,企业可以将相同的职责进行合并,避免企业制度、组织架构的冗杂。例如,企业可以设定由董事会下的审计与风控委员会承担《合规管理指引》中规定的合规委员会职责,将合规职能附着在现有的专业委员会里,或者借鉴全面风险管理体系中关于风险控制“三道防线”的思路,搭建合规管理牵头部门与业务部门、纪检监察、审计部门在合规管理职能上的分工与合作机制。
五家试点央企之一的东方电气及其试点下属企业在开展合规建设的过程中,就充分利用了公司法律事务、内部控制、风险管理部门集中一个部门的优势,避免各条线、各部门独立运行、难于兼容的弊端,充分发挥好合规管理、内部控制与风险管理之间的融合、反哺关系,统筹整合形成管理合力,将风险评估与预警手段和内控评价方法运用到合规管理中,通过三大体系有效结合,提升合规管理水平,同时协调监察、审计等资源,实现违规信息共享和联动机制2。
(三) 借鉴不同体系的工作方法与风险管控思路
如前所述,不同体系的工作方法存在相通之处,因此在同一个企业内部,不同体系之间的管理工作可以相互借力,共享相同工作要素和成果,避免重复劳动。例如,企业在开展合规风险识别和评估时,可以借鉴《企业法律风险管理指南》中关于法律风险清单梳理的工作方法和评估标准,梳理合规风险点并形成合规风险库,确定重点领域,并在企业法律风险管理工作中识别出的法律风险的基础上,识别、评估企业合规风险。同时,企业也可以结合绩效考评控制、授权审批控制、财务及预算控制、不相容职责分离控制等各项内控措施的要求,细化与合规管理相关的各项配套细则。
例如,中石油集团在开展合规管理时就运用了风险管理的思路,持续推进法律合规风险岗位防控机制建设,结合岗位责任制,逐项明确岗位法律合规风险,细化防控措施,形成岗位法律合规风险防控手册,将合规风险防控纳入公司内部控制体系,促使合规风险防控落实到具体岗位3。
(四) 建立统一的信息管理系统
在“无纸化办公”已成为主流趋势的今天,信息化对于任何一个企业管理体系都是不可或缺的。企业探索合规、内控、风险、法律管理“四位一体”风险防控体系时,应当将如何建设一个能够覆盖全方位、全流程,整合企业内部合规、内控、风控、法律管理等信息资源,实现风险评估集中化、风险监控常态化、风控效果可量化的信息化、数字化的统一管理信息系统一并纳入考虑范围。一个合理、高效、完善的一体化信息管理系统,不仅能够使合规管理嵌入到企业运作的重点领域、重点环节,覆盖合规管理的重点人员,还能实现合规、内控、风控体系与业务信息系统互联互通、有机融合。对于信息化基础较好的中央企业,还可以探索利用大数据、云计算、人工智能等技术,实现实时监测、自动预警、监督评价等在线监管功能,有效减少传统模式下企业内部产生大量的纸质文件流转、审批和存档工作,提高办公效率。
合规、内控、风险、法律管理四者之间既有关联又有区别,中央企业应结合企业管控实际,充分利用现有资源,将企业的合规管理、内部控制、全面风险管理、法律管理既做到有所区分,又能实现有效融合,从而提升整体的管理效率,实现“强内控、防风险、促合规”的目的。