|
版權(quán)歸原作者 僅用于學習交流 如涉版權(quán) 請聯(lián)系刪除。 來 源 | 《航空財會》
編 輯 | 撲克風控官 將內(nèi)部控制�����、風險管理���、合規(guī)管理等諸多管控要素整合,形成“N位一體”的綜合性管控體系成為多家中央企業(yè)的共識�。越來越多的單位認識到以管控主線為核心,各部門協(xié)同,構(gòu)建“一體化”風險管控體系的重要性�。本文以執(zhí)行國資委合規(guī)管理有關(guān)文件精神為基石,在創(chuàng)建阿米檢測技術(shù)有限公司“大合規(guī)”體系過程中����,總結(jié)和提煉了內(nèi)控、風險與合規(guī)相融合的實踐經(jīng)驗����,為企業(yè)管理者提供建設(shè)思路和參考。近年來�����,國際社會和各國政府都在致力于建立和維護開放���、透明���、公平的社會秩序,與此同時����,我國全面推進依法治國,國家領(lǐng)導人多次在重要會議中強調(diào)“依法治企����、合規(guī)經(jīng)營”的理念����。國資委2019年頒布《關(guān)于加強中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實施意見》����,提出企業(yè)應當依法合規(guī)開展各項經(jīng)營活動,實現(xiàn)“強內(nèi)控����、防風險、促合規(guī)”的管控目標[1]���。在這樣的背景下����,“合規(guī)”的概念逐步進入國有經(jīng)濟組織的視野�,但如何建立有效運行的合規(guī)管理體系,如何落地實施���,合規(guī)管理與其他管控體系之間的關(guān)系等問題�,困擾著企業(yè)管理層��,影響企業(yè)合規(guī)體系建設(shè)的有效開展����。合規(guī)以合規(guī)義務遵循為首要�����,如果違反合規(guī)義務會引發(fā)合規(guī)風險����,該風險可能給企業(yè)或相關(guān)組織帶來刑事責任、民事責任����、監(jiān)管處罰及商譽損失,這些風險項下可以具體積累多種風險爆發(fā)點(如勞動用工風險��、商業(yè)伙伴風險�、競爭風險、市場交易風險�����、與行政主體間的風險等)���,涉外企業(yè)可能因違反所在國法律�、法規(guī)引起輿論關(guān)注,并承受巨額處罰����。
我國企事業(yè)單位高速發(fā)展成為帶動世界經(jīng)濟的巨大引擎,同時也暴露出法律意識淡薄�、辦事隨意、不講原則等問題����,人情經(jīng)營較為普遍。為打造國際一流企業(yè)����,實現(xiàn)高質(zhì)量發(fā)展,各單位急需對標國際先進企業(yè)�����,深化改革體制�����、規(guī)則、制度�,而章程、規(guī)則和管理制度等管控文件恰恰是合規(guī)管理�、內(nèi)部控制的基礎(chǔ)�����。從員工遵循的角度看�����,執(zhí)行合規(guī)管控下制定的各項制度�����,成為員工“守規(guī)矩”的基礎(chǔ)�,但是守規(guī)矩的前提是要“立規(guī)矩”,同時還要“講規(guī)矩”����,建立合規(guī)管理文化。我國中央企業(yè)自2012 年開始陸續(xù)建立了內(nèi)部控制和全面風險管理體系����,培育了良好的風險管理文化,增強了各級領(lǐng)導干部內(nèi)部控制意識�,對風險防控發(fā)揮了重要作用�。但在合規(guī)體系建設(shè)方面�,大多數(shù)企業(yè)由法律部門牽頭,一般停留在制定合規(guī)管理規(guī)定�����、合規(guī)行為準則等合規(guī)基本制度層面��,做的較好的企業(yè)也僅僅完成了合規(guī)義務清單的梳理���,尚未真正落實到企業(yè)日常經(jīng)營和行為中�����,員工普遍認為“合規(guī)”僅僅是法律遵循的口號�,與自己業(yè)務活動關(guān)系不大��,并與內(nèi)部控制���、風險管理脫節(jié)�����,未能形成管控合力�,“大合規(guī)”管理文化尚未建立起來。因此���,為促進合規(guī)行為的遵守����,防止不合規(guī)行為發(fā)生��,實現(xiàn)合規(guī)經(jīng)營的企業(yè)治理目標����,防范化解企業(yè)面臨的重大風險�,我國企、事業(yè)單位建立內(nèi)控��、風險���、合規(guī)“三位一體”的管理體系刻不容緩�。問題1:實踐工作中�,合規(guī)管理是法律概念還是內(nèi)控概念,存在不同意見分歧���,部分企業(yè)合規(guī)和內(nèi)控分別由不同部門管理�����,容易產(chǎn)生本位主義思想����。法律部門多從外部法律法規(guī)遵循出發(fā),形成法律風險防范體系���,可能導致經(jīng)營管理領(lǐng)域合規(guī)義務研究�����、分析不夠深入�����,合規(guī)與業(yè)務流程��、風險管理相脫節(jié)����,缺乏有效��、實用的落地運行機制,內(nèi)部控制�����、風險管理與合規(guī)管理協(xié)同性不強���,難以真正發(fā)揮強管理�、促經(jīng)營�、防風險、創(chuàng)價值的作用[2]�。
分析:企業(yè)對合規(guī)概念的理解不同����,普遍認為合規(guī)是法律概念,合規(guī)風險等同于法律風險�����,強調(diào)“外規(guī)”的遵循����,跨國經(jīng)營企業(yè)更多的考慮國際環(huán)境、所在國法律規(guī)范和國際慣例��、條約等,而將以章程��、制度���、職責為核心的“內(nèi)規(guī)”未納入合規(guī)的范疇�����,將其歸屬于內(nèi)控和風險管理���,使得合規(guī)體系與業(yè)務相脫節(jié),單純強調(diào)了法律的遵循�,難以形成管控合力。問題2:缺乏理論支撐和指導���,一體化管控意識不強�����,歸口管理部門不統(tǒng)一�,各自為政�����,專業(yè)化程度低,精力分散�����,浪費資源�。分析:國有企業(yè)、上市公司建立并實施內(nèi)部控制����、風險管理比較早,思想相對成熟���,對風控管理有一定認知���,風控文化逐步形成。隨著“合規(guī)”��、“法治央企”概念引入�,一些企業(yè)要么按照上級文件精神制定一個制度或清單�����,以應付檢查��;要么認為內(nèi)控、風險管理就是合規(guī)�、法治的一部分,簡單的做些補充性工作�����,未能形成統(tǒng)一的一體化企業(yè)管控理念�����。問題3:目前���,企業(yè)面臨內(nèi)控評價���、風險管理、合規(guī)檢查�、監(jiān)察審計、專項督察���、巡視等各類監(jiān)管��,頻于應付�����、顧及不暇���,往往一撥人走了�,又來一波���,很多檢查����、評價內(nèi)容相似�����,只是側(cè)重點和出發(fā)點不同�。監(jiān)督、檢查周期也重疊�����,所提供的資料也差不多�����,導致企業(yè)認為形式的東西過多�,削弱了監(jiān)督的效果,使得企業(yè)風險管控“精神疲勞”����,這種分散式的檢查、評價機制�����,既影響風控管理效果����,又影響企業(yè)日常工作。分析:隨著市場經(jīng)濟環(huán)境的日益復雜�,增加了重大風險發(fā)生的可能性,為防范可能發(fā)生的風險����,國資管理等部門出臺了各類風險應對的文件�、通知等。企業(yè)在消化����、落實過程中�����,未能很好的理解文件精神�,未能繼承、沿用原有良好的控制體系�,單純?yōu)榱恕拔募睂嵤z查、評價��,各體系協(xié)同不夠�,導致監(jiān)督、檢查“四面開花”����,基層單位瀕于應付,應接不暇��,影響正常工作開展����。內(nèi)控、風險����、合規(guī)三位一體的合規(guī)管理體系探索合規(guī)管理本質(zhì)上來說也是風險控制,內(nèi)部控制流程�、風險管理與合規(guī)管理的融合,形成一套風險控制管理體系��,將成為風控領(lǐng)域發(fā)展的必然趨勢���,即“從不同的角度說風險的事”��,一套體系解決相似管理問題����,避免勞民傷財���。企業(yè)放下禁錮的包袱���,輕裝前進,將逐步成為企�、事業(yè)單位的共識。
(一)內(nèi)控��、風險�、合規(guī)之間的區(qū)別與聯(lián)系內(nèi)部控制主要以業(yè)務流程為核心,通過控制矩陣將業(yè)務層面的風險控制在可接受水平����;全面風險管理主要是化解和防范重大風險,對風險進行辨別、分析����、評價、報告而形成體系化的風險管理����;合規(guī)管理主要從法律角度切入風險的預防,通過企業(yè)外部法律����、法規(guī)遵循,內(nèi)部規(guī)章制度的遵守等����,考量企業(yè)合規(guī)義務的遵循,防范不合規(guī)導致的企業(yè)合規(guī)風險���。內(nèi)控���、風險、合規(guī)均是從不同的側(cè)面或角度對風險進行的管理�����。內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全�����、財務報告及相關(guān)信息真實完整�,提高經(jīng)營效率和效果��,促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略[3]�����。內(nèi)部控制通過對業(yè)務層面風險的管理�,分析風險動因,控制日常經(jīng)營行為���,從而防止誘發(fā)重大風險的因素發(fā)酵����。因此���,內(nèi)部控制更側(cè)重流程管理����,與生產(chǎn)經(jīng)營結(jié)合最為緊密,屬于風險管理第一道防線���。內(nèi)部控制體系運行識別出重大風險�,往往通過編制重大風險解決方案進行預防���。風險管理體系主要是以國資委全面風險管理指引為引導�����,建立的包括風險辨識����、風險分析和評價的方法論���。通過風險評估進行排序��,優(yōu)先管理排名靠前的風險�,通過剩余風險的評估�����,確定企業(yè)風險可接受水平��,并對重大風險實施責任和目標化管理,定期回顧���、總結(jié)和報告�����,糾正控制措施�����,主要目的是防范和化解重大風險[4]。合規(guī)管理主要以國家法律���、法規(guī)以及國際條約���、慣例、企業(yè)內(nèi)部章程��、制度的遵循為出發(fā)點����,梳理合規(guī)義務清單,確定重點領(lǐng)域���、重點環(huán)節(jié)和重點人員���,防范企業(yè)重要合規(guī)風險事項的發(fā)生[5]�,內(nèi)控���、風險����、合規(guī)區(qū)別與聯(lián)系如圖1所示��。圖1 內(nèi)控��、風險�、合規(guī)區(qū)別與聯(lián)系(二)合規(guī)管理與內(nèi)部控制融合內(nèi)部控制是以流程為核心的風險管控手段,是指導具體工作的管理文件�。企業(yè)通過內(nèi)控流程規(guī)范內(nèi)控機制,合理界定崗位職責及權(quán)力運行結(jié)構(gòu)�����,梳理優(yōu)化業(yè)務及管理流程��,科學規(guī)范經(jīng)濟活動和業(yè)務活動����,對業(yè)務層面潛在風險進行全面評估�,擬定適當控制措施并遵照執(zhí)行�����,為業(yè)務運營體系起到強有力的支撐保證作用�����。原有內(nèi)部控制體系中的流程圖主要通過邏輯關(guān)系對作業(yè)程序進行描述�,關(guān)鍵節(jié)點審核、審批作為重點控制��,與企業(yè)規(guī)章制度基本保持一致����,合規(guī)性管控要求體現(xiàn)不強����。內(nèi)控流程強調(diào)經(jīng)營風險,合規(guī)管理強調(diào)合規(guī)風險���,兩者均以風險預防為核心?�,F(xiàn)階段�����,大多數(shù)企業(yè)的合規(guī)風險是通過合規(guī)義務清單進行控制����,而合規(guī)義務清單一般是由法務工作者或律師按照外部法律梳理,具有法律條文的全面性����、廣泛性的特點,形成的合規(guī)義務清單是一份大而全的數(shù)據(jù)庫�����,與業(yè)務活動銜接不是很緊密����,將合規(guī)管理的要求和業(yè)務活動緊密結(jié)合,更具實際執(zhí)行意義��。在內(nèi)控流程中嵌入合規(guī)要求�����,將業(yè)務風險和合規(guī)風險進行融合,體現(xiàn)在業(yè)務流程圖中�����,可以清晰的提醒流程執(zhí)行者業(yè)務環(huán)節(jié)的風險點與合規(guī)要求���。例如:基本制度制定流程�,融入合規(guī)要求后的流程為[6]:(1)相關(guān)部門擬定規(guī)章制度���;(2)部門負責人審核�;(3)法律部門合規(guī)審查��;(4)制度歸口部門審核�����;(5)分管領(lǐng)導審核:(6)是否涉及職工切身利益��;(7)是則執(zhí)行工會或職工代表大會審議��;(8)否則執(zhí)行總經(jīng)理辦公會審議����;(10)董事會決議。其中第(3)(7)(10)節(jié)點為合規(guī)管理要求����,在流程圖中用醒目符號標注合規(guī)風險點,合規(guī)與內(nèi)控流程融合流程如圖2所示����,在一張業(yè)務流程圖中,實現(xiàn)了內(nèi)控與合規(guī)的控制整合�。注:菱形標記為內(nèi)控風險點,流程節(jié)點C01-C07為業(yè)務層面風險控制點����,圓點標記為合規(guī)風險控制點內(nèi)部控制的流程(風險)控制措施主要是以控制矩陣形式體現(xiàn),一般包括風險類別���、控制目標�����、風險點描述�、控制點編號����、控制點描述�����、執(zhí)行部門�����、執(zhí)行崗位�、控制頻率��、控制證據(jù)���、控制依據(jù)等要素��,主要反映業(yè)務層面風險的控制����,一般為流程執(zhí)行者日常工作中的風險防范�����。合規(guī)要求與控制矩陣融合的基本做法是:首先通過流程圖識別法�,辨別哪個環(huán)節(jié)存在合規(guī)風險,其次對構(gòu)成風險的主要因素進行分析����,然后準確進行合規(guī)風險描述,最后擬定控制措施�。表現(xiàn)形式上對原控制矩陣進行修改,增加風險類別���,將內(nèi)控和合規(guī)進行區(qū)分����,融合的作用就是讓流程執(zhí)行者關(guān)注業(yè)務風險的同時�,提高對合規(guī)風險的警覺,潛移默化的將合規(guī)文化滲透到日常經(jīng)營管理當中�,合規(guī)與控制矩陣融合見表1。表1 合規(guī)與控制矩陣融合(節(jié)選)內(nèi)部控制評價是企業(yè)對內(nèi)部控制設(shè)計和運行有效性進行的客觀評價����,其目的在于準確地揭示經(jīng)營管理的風險狀況,優(yōu)化內(nèi)部控制體系�����,促進內(nèi)部控制系統(tǒng)有效運行�。合規(guī)管理評估是通過對合規(guī)管理體系的有效性進行分析��,對重大或反復出現(xiàn)的合規(guī)風險和違規(guī)問題����,深入查找根源�,完善相關(guān)制度,堵塞管理漏洞��,強化過程管控����,持續(xù)改進提升。內(nèi)部控制評價完全可以與合規(guī)管理評估或評價融合�,將合規(guī)評價指標細化后,對員工合規(guī)職責履行情況進行評價��。根據(jù)內(nèi)部控制評價點控制要求���,對內(nèi)部控制體系設(shè)計和運行進行評價���,并設(shè)置不同的權(quán)重,形成綜合考核評價結(jié)論�,并將結(jié)果作為員工考核、干部任用�、評先選優(yōu)等工作的重要依據(jù)���。(三)合規(guī)管理與風險管理融合風險����,就是未來不確定性對企業(yè)的影響[7]。在企業(yè)經(jīng)濟運行過程中�,風險無處不在、無時不有����。風險管理時,既要避免麻痹心理����、僥幸心理,盲目樂觀�,忽視風險的存在;同時也不要過于悲觀�����,杞人憂天�����,裹足不前,喪失發(fā)展良機�。兩種極端的風險管控態(tài)度均不合理,要識別風險���,分析內(nèi)在成因及變化趨勢��,采取適當措施加以控制�����,在防范��、化解風險的同時��,把握機遇���,獲得收益。無論是內(nèi)部控制�����、合規(guī)管理�����、法制建設(shè),其主要目標是風險控制���,只是從不同的角度和出發(fā)點闡述和論證�����,并通過不同的控制措施對風險點進行預防。因此���,企業(yè)風險管理完全可以和內(nèi)部控制�����、合規(guī)體系融合�����,成為一套完整的“泛合規(guī)”管控體系����,其中包含經(jīng)濟風險的日常管控措施����,也涵蓋重點領(lǐng)域廉潔風險的防控����,同時將梳理出來的合規(guī)風險矩陣化管理����,形成一套全面的“泛”風險管理體系,避免企業(yè)管理體系過多����,各自為政或因體系銜接不當造成執(zhí)行掣肘,增加企業(yè)風險管理運營負擔����。體系過多還可能會給管理層、職工造成負面影響���,不利于培育良好的風險管理文化����。因此��,融合風險管理與合規(guī)體系非常必要��。(四)合規(guī)重點的確定與落實我國法律規(guī)范、監(jiān)管規(guī)定����、行業(yè)準則、企業(yè)規(guī)章以及國際條約等有關(guān)合規(guī)要求浩如煙海��,全部納入企業(yè)合規(guī)體系顯然不現(xiàn)實�����,也不經(jīng)濟�����。企業(yè)“泛合規(guī)”體系建設(shè)���,應當在全面性的基礎(chǔ)上,確定重點合規(guī)內(nèi)容�。企業(yè)應當按照國資委合規(guī)管理規(guī)定,結(jié)合行業(yè)實際�����,梳理本單位的合規(guī)重點領(lǐng)域�����、重點環(huán)節(jié)和重點人員。共性的部分可采取國資委推薦的領(lǐng)域��,特有的部分應當從發(fā)展戰(zhàn)略��、價值鏈���、風險等角度進行考量���,綜合內(nèi)外部環(huán)境和內(nèi)部因素確定重點領(lǐng)域和重點環(huán)節(jié),并對確定的合規(guī)重點進行深入研究����,重點管理,形成廣而博的全面覆蓋����,合規(guī)重點精進深入的“丁”字型結(jié)構(gòu)。重點人員管理是合規(guī)管理體系的一個難點���,其難在“易識別��、難落實”�����,即重點人員比較容易確定�,一般可采用內(nèi)部控制的方法,將高風險環(huán)節(jié)��、關(guān)鍵崗位人員設(shè)定為重點人員等����。在體系設(shè)計時,重點人員采取何種方式實現(xiàn)合規(guī)性約束��,促進其主動履行合規(guī)義務較為困難�����,有關(guān)合規(guī)法規(guī)文件也沒有給出明確的指引��。筆者認為����,可通過如下方法初步實現(xiàn):一是細化關(guān)鍵崗位職責�����,將合規(guī)義務和要求融入崗位說明書,構(gòu)成日常崗位授權(quán)的一部分�;二是將重點人員融入內(nèi)控流程中,明確其參與的環(huán)節(jié)或履行的管理職責���,在年度內(nèi)控評價時��,重點人員管理設(shè)定為“必評”項����,不但要評價內(nèi)控的有效性���,還要對重點人員合規(guī)履職情況進行評定�;三是以各類重點人員合規(guī)基本義務為核心內(nèi)容���,參照合規(guī)義務清單���,按照“統(tǒng)一管理、逐級簽訂”的原則統(tǒng)一簽署《合規(guī)義務遵守承諾書》����,年度終了檢查、考核���,并與績效�����、問責掛鉤���,促進重點人員切實履行合規(guī)義務�����。(五)“三位一體”融合的解決之道企業(yè)內(nèi)部控制與風險管理部門經(jīng)過多年的實踐�����,擁有較為豐富的內(nèi)部控制�����、風險管理經(jīng)驗�����,工作程序和思路比較清晰,風險識別方法科學����、規(guī)范�����,可以有效指導合規(guī)管理體系建設(shè)�����。因此�����,建議將合規(guī)�����、內(nèi)控�、風險管理融合�,形成一體化的管控體系,由內(nèi)控部門牽頭成立企業(yè)全面風險工作機構(gòu)��,吸收法律����、經(jīng)營����、人事���、財務����、技術(shù)等專業(yè)人才參與合規(guī)義務清單梳理����,從整合風險管理的角度構(gòu)建與經(jīng)營管理緊密結(jié)合的、操作性強的合規(guī)�����、風險����、內(nèi)控三位一體的大合規(guī)管理體系。合規(guī)意味著組織遵守了適用的法律法規(guī)及監(jiān)管規(guī)定��,也遵守了相關(guān)標準�、合同��、有效治理原則或道德準則。若不合規(guī)����,組織可能遭受法律制裁、監(jiān)管處罰�����、重大財產(chǎn)損失和聲譽損失���。
在風險管理領(lǐng)域�����,不同的機構(gòu)����、部門從各自的管控要求和目的制定監(jiān)管要求�,其核心都是相關(guān)風險防范,管控目標是一致的�,整合風險管理體系,有助于企業(yè)提高風險管理效率����,形成管控合力��,節(jié)約人力資源和運營成本�,易于培育統(tǒng)一的風險管理文化���。
|
