文|魏慎洪 王雪莲
关键词:合规管理;法务管理;内控管理;风险管理;协同机制
随着合规管理体系建设的深入,部分国有企业对既有法务管理体系、内控管理体系、全面风险管理体系与合规管理体系之间的关系存在一定困惑,有的企业甚至出现了多部门管理、多体系并存、多轨道运行的风险管理格局。为避免管理体系重复建设、人员重叠配置、职能重合交叉、管理职能多重并行等问题,亟须有效推动法务管理、内部控制、全面风险管理与合规管理的高效协同,提升管理效能。
四大体系协同必要性
随着合规管理的不断深入,越来越多企业发现合规体系的建设和运行需要和公司内部其他管理体系关联起来,统筹考虑。总体而言,加强四大体系协同的必要性主要体现在三个方面。
一是从理论角度看,四个体系虽然各有侧重,但总体上都以风险控制为导向,在体系结构、工作内容、工作方式、工作方法上有很多交叉重叠,亟须统筹协调。比如几个体系都涉及风险识别、评估和应对,虽然各自关注的重点不完全相同,但重合之处也很明显,在一个企业独立设置多个职责交叉的管理体系不仅增加管理成本,也造成重复劳动,降低工作效能。
二是从发展历程角度看,这几项工作在中央企业相继推广,需要界定概念,助力落实。2006年国务院国资委下发《中央企业全面风险管理指引》,在中央企业开展全面风险管理,并成为常态化工作机制。2008年财政部等五部委发布《企业内部控制基本规范》,要求企业加强、优化内部控制体系建设。2010年印发《企业内部控制配套指引通知》,针对18个企业重点领域提出具体指引。2012年国务院国资委与财政部联合发布《关于加快构建中央企业内部控制体系有关事项的通知》,进一步就中央企业强化内部控制体系提出明确要求,推动企业内部控制体系建设深入开展。2008年国务院国资委开始在中央企业大规模推进法治企业建设。2014年明确提出并逐步深化合规管理体系建设,此时,全面风险、内部控制、法律事务体系已在企业推广实施多年,某种程度已成为企业运行基本规范和管理机制,企业对新生的合规管理体系的职责范围及与其他体系的边界不是很清晰,容易引起管理层和业务部门的疑虑,不解决这个问题,合规管理体系很难得到有效落实。
三是从管理实践角度看,协同问题的解决提上日程。风险、内控、合规、法治工作原先分散在各个部门,如企业风险管理在财务、企管、战略部门,内控在审计部门,法治、合规在法务部门,虽实务中存在一些重复性工作,但从具体工作部门来看,问题并不突出。这两年随着企业机构职能调整和合规管理工作的不断深入,越来越多企业将四项工作整合到法律合规部门,使得四大体系的协同问题更加突显,作为同一个部门的四项工作,必须考虑解决工作机制的交叉和重叠问题。
协同机制的逻辑基础与核心问题
从风险范围上看,按照中央企业全面风险管理指引的表述,全面风险包括战略风险、市场风险、财务风险、运营风险、法律风险五类,内控、合规、法治表现出来的具体风险都在全面风险范围内。法律风险和合规风险的差别是法律风险以违反法律法规及监管政策引发的风险为主,而合规还包括违反国际准则、企业内部规章制度和商业伦理等引发的风险。总体上看,四大体系应该是交叉关系而不是包含关系。
从几个体系涉及的工作领域看,全面风险范围最大,其次是内部控制,再次是合规管理,最后法律事务,如果据此将其理解为这四者是包含关系,容易形成只要做好了前两项工作,后两项也自然而然完成的观念,从而在实际工作中留下很多隐患。
实际上这几个体系虽然有很多交叉,但也有各自特点。比如全面风险管理中的外部环境风险,很难用内部控制的方式解决;内部控制有五大目标,合法合规只是其中之一;企业法务总体上是服务职能,支持业务和战略,而合规总体上是监督职能,是底线、红线。从这个意义上看,目前最佳的方式是结合企业实际推进成果衔接、工作协同,而不是将四个体系生硬整合成一个体系。
四大体系是不同时期、不同监管部门,为解决不同问题而建立的管理体系,每个体系关注重点有明显差别。风险体系关注风险识别、评估,进而明确其对企业战略目标实现的影响,内控体系关注如何通过制度、流程及其他各自管理活动实现风险内部控制,合规关注内外规的底线风险、红线风险,法律关注企业合法权益的维护和实现。从功能上,可以将四大体系关系表述为以风险管理为导向、以内部控制为手段、以依法合规为基础,多体系协同保障企业行稳致远。
有效协同思路和机制
1. 两种思路
实现四大体系有效协同,提高体系运行效能,可从两方面总体设计。一是保持体系独立性,明确体系工作范围,减少内容交叉。比如可以按照COSO2017年最新全面风险指引框架,从风险层次上将公司战略性风险与一般性风险从管理体系中区别开来,COSO强调全面风险管理,重点关注与公司战略和绩效相关的风险,一般性管理运营风险可交给内控体系去完成,从而减少全面风险管理和内部控制管理的重复内容,使全面风险管理主要面对决策层,内部控制主要面对日常运营。二是打破体系管理壁垒,整合管理活动,实现体系融合和一体化。四大管理体系总体都以管控风险、保障企业高效运转为目标,基本都遵循PDCA循环管理结构运行,从风险识别、评估到应对与改进。根据各大管理体系的重点和优势,可将每个体系管理闭环打开,分别关注不同环节。四大体系中所有风险识别、评估内容都可交给风险管理体系完成,风险应对和改进内容都可交给内控和法律合规体系完成,从而在管理环节上避免交叉和重复。
2. 协同机制
实现四大体系有效协同,须从四个方面进行整合。
首先是组织整合。一是在公司治理层,明确治理主体(党委党组、董事会、经理层)在体系中的总体定位,减少职能交叉;二是四大体系管理机构和人员整合,在董事会管理中由一个专业委员会管理,如风险与审计委员会由同一个领导分管;三是四大体系管理职能由一个部门统一管理,这是四体协同的基础,从目前实施情况看,由法律部统筹管理是未来趋势。
其次是制度整合。规章制度是四大体系运行的基础,这些制度规定了体系运行的基本规则,要想实现体系有效协同须进行制度整合。包括两方面内容,一是形式整合,将各自制度体系有效整合成一个整体。二是内容整合,将原制度中 相关内容重新梳理,按照一体化思路进行顶层设计。
再次是运行整合。四大体系管理思路基本一致,都是从业务流程开始,对每一个流程梳理出具体风险点,然后进行评估,制定应对措施,确定责任部门和岗位等。整合四大体系管理活动就是统一流程、统一风险识别、统一风险评估、统一应对策略,经由一个管理活动输出多体系成果。
最后是报告整合。协同和一体化不仅应该体现在制度和管理活动中,也应该体现在最终工作成果上。报告整合也是协同的重要内容,但鉴于上报给管理机关的报告需要按照相应要求进行,如将风控、内控、合规、法治报告融为一体很可能无法满足监管要求,因而可考虑在公司内部形成综合性系列报告,实现重点数据、核心内容、管控成果的共享,并同步履行内部审核程序,确保报告内容协调一致。
三种协同模式
各中央企业对四大管理体系的理解存在较大差异,在实践中对四大体系关系的处理也有很大不同。这与各企业负责人的个人认知有关,也与各企业所处行业、主营业务范围以及公司治理成熟度有关。在企业合规管理实践中,大概有三种体系协同模式可供借鉴。
一是工作成果相互应用模式。四大体系各自独立运行,但体系之间有意识进行衔接,体系成果相互引用,比如合规体系建设时,风险清单的梳理要参考借鉴风险和内控体系的风险库。合规体系确定的重大合规风险,也应当是全面风险重要组成部分,并作为内控体系的控制点加以控制。通过规范化管理,实现体系运行的基本协同。
二是管理活动标准化模式。四大体系在风险管理流程和方式上的基本逻辑大体一致,都是从业务和管理流程开始,进行风险识别、评估和应对。实践中,有的企业通过对流程、风险识别、评估、应对过程的标准化,实现体系运行有效协调。如四大体系采用的业务流程结构和主要管控节点是统一的、标准化的,体系成果有利于相互贯通,避免因管理层次和颗粒度差异无法实现信息互通的问题。
三是管理结构一体化模式。主要做法是把四大体系相关管理职能进行分解,统一职责安排和制度设计。在公司治理层面,确定各治理主体在风险、内控、合规、法治方面的管理责任和定位。在管理要素方面,统一相关职能活动,实现同计划、同部署、同检查、同实施、同考核。在具体工作实施上,实行一岗多能,比如内控与风险一站式管控,合规与法律一岗式审查。
总体上,管理体系协同的首要任务是找到各体系联结点,综合考虑企业自身业务条线具体情况,以业务流程驱动相关管理体系要求,防止相关管理体系间的业务交叉和冲突。
对于业务条线相对单一的企业,如南方电网,其主营业务为电网建设、电力购销业务、负责电力交易与调度等,可选择在部门架构设置上将合规、内控、法务、风控四类职能归口到同一部门进行统筹管理,从而减少多部门沟通导致的信息传达效率低下、信息不对称、职责划分不明确等问题。
对于业务条线较复杂的企业,如华润集团,其业务领域包括大消费、综合能源、城市建设运营、大健康、产业金融、科技及新兴产业六大领域,涉及行业广泛,不同行业标准、运营模式有较大差异,在合规、内控、风控、法务方面的要求也会有较大差异,可根据不同业务条线选择适宜的部门架构,将四大管理体系的定位和职责进行明确和划分,并选择适当抓手将四大体系管理要素和管理手段有机串联,实现相关管理体系间的协同,防范“一刀切”“水土不服”等问题。■
作者魏慎洪系国家能源投资集团有限责任公司企业管理与法律事务部主任,王雪莲系国家能源集团技术经济研究院总经理、党委副书记。
|