010-82685584学习标杆企业实践,解析《企业内部控制基本规
次浏览
文|胡静(知本咨询项目经理)
前言
自2008年财政部等五部委联合发布《企业内部控制基本规范》以来国家陆续出台了多个关于内控、风控以及合规体系建设方面的政策,在政策的指引下,大部分中央企业建立了法律管理体系、内部控制体系和全面风险管理体系,并正在逐步推进合规管理体系建设工作。
但从成效来看,部分企业尚未形成集团化、体系化的风险防控体系,风险管理在低水平徘徊,对价值保护的贡献率不高。
企业对“风控类”职能高效运作,尤其是法律、合规、内控、风险管理四类职能的协同运作提出了更高、更务实的要求和期望。
一是职能分散
部分企业中,法律管理、合规管理、内控管理、风险管理四项职能分散在不同职能部门,部门间协作存在障碍;
同时,在治理层和管理层也存在多头领导的情况。
二是管理成熟度不同
法律管理、内部控制在大部分企业中较为成熟,风险管理由于风险管理理论的革新一直处于探索阶段,对企业风险防控发挥作用有限;
合规管理在企业处于起步阶段。
三是四项职能各自特征明显
四项职能虽然均以防范化解企业风险为目标,但是各有特点,不能简单合并或者叠加;
需要找到四项职能的“最大公约数”和“最小公倍数”,实施更为高效的协同运作。
针对上述问题,自2015年起国家出台多项政策,指导并鼓励中央企业探索“四项职能”一体化平台,探索构建法律、合规、内控、风险管理协同运作机制,加强统筹协调,提高管理效能。
随着政策的不断深化,我们可以看到一个实现保护企业价值、创造企业价值的“大风控”新时代已经开启。
从上述企业风控需求的变化以及国家的政策指引方向,我们不难发现,新的风控时代最大的也是最基本的一个特点就是体系融合。
而在体系融合方面,华侨城与国家电投集团已经为我们打出了一个样板,下面就来看看这两家企业如何通过开展风控合规体系的顶层设计,促进风险、内控、合规体系的有机融合。
华侨城集团有限公司法律合规部 2018年初成立后,先后承担法律事务管理、合规管理、全面风险管理和内部控制管理四项具体职能。
目前已经“四位一体”全面风险管理体系。
华侨城集团依法治企的“四位一体”全面风险管理体系就是法务部门具体负责,融合合规、内控、风险、法务四项管理职能的一体化综合管理体系。
图:华侨城“四位一体”全面风险管理体系
华侨城建立“四位一体”全面风险管控体系,是将风险、内控、合规管理体系整合的标杆模式。
华侨城集团以实现合规要求为目标,以内控建设和风险管理为抓手,以法律思维为底层连接,构建“四位一体”的全面风险管理体系。
该体系由法务部门具体负责,是融合合规、内控、风险、法务四项管理职能的一体化综合管理体系。
华侨城确定了体系中合规、内控、风险、法务四个部分相互交集的主要侧重点“建、控、化、用”,确保四个部分不打架、不重叠,从而实现“四位一体”全面风险管理体系有效运转。
具体如下:
合规和内控的交集在于“建”。
华侨城集团将公司管理制度汇编成册,建立涵盖董事会事务、战略管控、投资管理、财务管控、人力资源管理、法律事务管理、采购管理、信息化管理、安全管理、综合事务管理和党建工作等方面近 200 部制度的企业内部规章制度体系,为全面加强企业内部建设、培育“具有全球竞争力的世界一流企业”奠定了良好的合规管理基础。
内控和风险管理着重于“控”。
华侨城将重要业务领域关键控制点(即风险易发点)制定于业务流程中。
华侨城集团在谈判、签约、运营、退出等各个环节明确了责任部门和责任人,并对重点环节和重要流程进行监督,确保内控工作落到实处。
同时,华侨城集团还致力于加强内部控制体系建设,整合内部监督资源,加强信息共享和成果共用,形成防控合力。
风险管理要基于合规着力于“化”。
华侨城集团坚持以防范和化解重大风险作为业务开展的基础,规范执行“三重一大”决策制度,强化相应决策程序的执行和监督,确保重大决策事先做到调研、论证、讨论“三充分”;
对业务开展可能产生的风险进行评估,并针对风险评估中提示的风险制定相应的预案,以有效防范重大风险。
同时,集团关注关键性风险,高度警惕各类“黑天鹅”“灰犀牛”事件,积极应对行业调控,确保守住底线。
依法治企着力于“用”。
华侨城法务部门日常专责于案件纠纷管理、合同管理以及律师、律所管理等具体事务,而积极运用法治思维和法律手段,强化企业全员依法办事的法治理念和行为习惯,更应是其主要职责。
同时,华侨城认为法务部门还应具有全面风险管控意识,如果公司运营出现风险,应根据实际情况,按合规管理、内控管理、风控管理分门别类,调剂法治资源统筹解决,使“四位一体”全面风险管理体系有效运转。
1.体制协同
在体制协同方面,国家电投成立了法治央企建设领导小组,与合规领导小组合署,在党组领导下开展工作。
组建董事会风险(合规)管理委员会,履行风险、合规、内控专业委员会职责,把具体的法律风险、合规风险和内控缺陷纳入风险管理范畴,风险管理报告在提请党组会审议并完善后,提请董事会审定。
把风险管理体系和内部控制体系融入法治央企建设体系框架,法治央企建设规划及实施方案在提请党组会审议并完善后,提请董事会审定;
年度法治央企建设工作要点和考评报告经法治央企建设领导小组审定后向风险(合规)管理委员会汇报。
党组、董事会定期听取法治建设和风险防控情况汇报。
2.体系协同
在体系协同方面,目前国家电投总部把法律、合规、风险、内控四项职能整合到法律部,所属66家二级单位中,42家四项职能归口一个部门,24家法治、合规职能归口到法律部,风险、内控职能归口到战略部或审计部,为探索实施四项职能协同运作奠定基础。
国家电投制定了《法治建设规定》,明确在法治框架下,建立法律管理、合规管理、风险管理和内部控制体系,使四项职能的管理体系在保持各自独立的前提下,统一在依法治企的逻辑框架之下,实现同计划、同部署、同实施、同检查、同考核。
在规范管理的基础上,通过建立信息化平台,实现协同运作和信息共享。
3.机制协同
机制协同是四项职能协同运作的核心,国家电投在机制协同方面,推动关键业务事项在事前、事中、事后“全周期”协同,进而带动三道防线整体协同,实现风险防控系统化。
事前主要以法律、合规审查为主线,按具体事项不同带动风险评估、内控审查融入并完成各职能协同的“一岗式审查”;
事中主要以内控为主线,整合内控、合规、风险开展专项综合评价,督促事前各项审查意见、风险防控措施有效落地;
事后主要是在审计报告、后评价报告征询意见过程中提出意见建议,与第三道防线建立协同路径,确保事前、事中提出的意见和发现的问题得到落实和处理,法律职能提供法律救济,支持业务谈判和纠纷解决。
除了上述华侨城与国家电投的案例外,还有很多一流央企也已经逐步完成风险、内控、合规多体系有机融合。
例如:中航集团提出以“四位一体”支撑一流法治,通过“五个一”(一个方法论、一套体系、一套人马、一个报告机制、一个流程)实现融合管理;
中国化学工程将四项工作要求有机融入制度,形成一项业务、一套制度、一个流程;
建设科技集团提出以实现合规要求为目标,以内控建设和风险管理为抓手,以法律思维为底层连接,构建“四位一体”的全面风险管理体系;
中煤地质总局、南光集团实施法务、合规、风险、内控、审计、追责“六位一体”管理,不断提升管理效能;
中国航材以内控为主线,整合法律、合规、风险要求,在同一岗位实现制度、流程、工作方案一体化,等等。
分析这些“大风控体系”建设上的优秀案例实践的共同点,我们可以看到要实现风险、内控、合规多体系有机融合,就需要从体系规划、组织架构、工具方法、工作流程、成果报告等方面入手推进。
体系规划整合:从风险、内控、合规单独进行规划变为统筹整体规划,对企业未来持续提升风控能力的总目标、阶段性目标、工作任务、时间表作出前瞻性安排。
组织架构整合:明确治理机构风险内控的职责要求;
条件成熟时归口一个部门进行管理,否则需明确归口部门间的工作界面;
重新定义三道防线的工作职责;
明确集团对下属企业的风控要求和工作流程。
工具方法整合:对风险、内控、合规三者具体实施过程中涉及的管理标准和工作表单进行优化设计,包括风险评估标准、风险地图、风控矩阵、风控评价和合规检查底稿等。
工作流程整合:将原来并行存在的三套流程进行合并和串接,形成贯穿年度风控常态化工作的一条管理流程,明确流程节点上的责任部门和输入输出。
成果报告整合:规范统一的工作成果模板,特别对于上报监管机构的管理报告,分析采纳不同的监管要求和意见,在企业内部整合成为一份报告,提升报告编制的效率效果。
此外,企业管理制度是风险、内控、合规最终的落脚点,风险、内控、合规亦借助从不同层次角度发现制度存在缺陷,推动企业制度持续完善提升。
其中,对于风险管理,企业需建立风险决策、风险日常管理、风险预警预案的管理制度,提升风险管理执行刚性;
对于内控管理,企业需将业务流程上的关键控制嵌入制度条文,保持一致;
对于合规管理,企业需将最新的法律法规监管要求,即企业的合规义务转化为规章制度,实现“外规内化”。
这样才能达到真正意义上的体系融合从而进一步实现风控赋能。
