中核核电运行管理有限公司
摘要:本文主要探讨构建企业风险、内控、法律、合规一体化管理体系思路及实施路径。通过梳理风险、内控、法律、合规关系及内在关联,分析构建一体化管理必要性。从风险管理思路出发,整合内控、法律、合规管理流程,提出建立风险、内控、法律、合规一体化管理思路及具体实施路径等。
关键词:风险、内控、法律、合规、一体化
一、引言
为进一步加强国有企业风险管控,推动国有企业持续、稳定、健康发展,国务院国有资产监督管理委员会(下称“国资委”)于2006年颁布了《中央企业全面风险管理指引》(下称“《指引》”),对中央企业开展全面风险管理工作、落实相关管理规定提出了明确要求。2015年国资委重磅出台《关于全面推进法治央企建设的意见》,提出探索建立法律、合规、风险、内控一体化管理平台要求。2020年至2021年国资委连续下发《关于开展对标世界一流管理提升行动的通知》及《关于进一步深化法治央企建设的意见》,明确要求构建全面、全员、全过程、全体系的风险防控机制,探索构建法律、合规、内控、风险管理协同运作机制。从企业内生需求来看,随市场经济深入发展及全球化进程加快,企业面临日益复杂的风险挑战,传统的分立管理体系已无法满足企业提高核心竞争力的需求,企业融合风险管理、内部控制、法律、合规管理工作构建一体化管理体系已势在必行。
二、风险管理体系概述
2004年COSO委员会提出企业全面风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各部门和各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。从2006年国资委《指引》发布以来,企业构建并持续优化全面风险管理体系的脚步从未停歇。经过8年运行及改进已建立完善的风险管理组织体系和有效的运行机制,从风险管理制度体系为出发,以完善风险管理“三道防线”为着力点,以建立信息化管理平台为手段实现企业风险全面受控。企业全面风险管理体系是以风险初始信息收集为起点,以组织开展风险评估、科学选择风险管理策略、编制风险管理解决方案、有效开展风险监控及预警、积极开展风险应对为流程,以风险改进和提升为终点并进入下一周期的闭环管理体系。
三、风险管理、内部控制、法律、合规的关系
在企业实际运营中风险管理体系、内部控制体系、法律体系、合规体系是看起来各自分立的管理体系,但其内在管理思路和目标存在诸多互通。简单来说,风险管理是通过风险信息收集、识别、评估、应对、改进提升等一套完整流程实现企业战略目标的活动;内部控制是为实现公司经营的效果与效率、财务报告的可靠性、合规性提供合理保证而采取的一系列控制措施的过程;法律、合规分别是企业为满足外规和内规而实施的管理活动或行为。风险管理、内部控制、法律、合规虽然在定义上存在实质不同,但其管理目标存在一致性,管理要求相互补充,相互促进。探究其对应管理体系建立的本质原因无外乎是企业为满足不同阶段管理要求而“生”,为提升管理能力而“长”,服务总体战略目标实现。各管理体系并不存在水火不容或本质差别,相反存在着密切的联系,几者相互依存、相互促进,这就构成了融合管理流程,提升工作效率,构建风险、内控、法律、合规一体化管理体系的基础。
四、建立风险、内控、法律、合规一体化管理体系的必要性
目前企业风险、内控、法律、合规工作实践中存在分立的管理体系和监管要求,虽运转良好,但从结果导向出发存在管理流程复杂,管理成本升高,管理效率降低的问题。构建风险、内控、法律、合规一体化管理体系存在如下优势:
2020年7月,内部审计师协IIA会发布了新版 “三道线模型“(Three Lines Model),通过更全面地理解风险,涵盖内控、协作、保证和问责制等因素,更好地反映业内对风险管理和治理原则的最新看法,新版三线模型旨在帮助组织确定最能帮助实现目标并促进强有力的治理和风险管理的结构和流程。从“三道防线”模型出发,风险、内控、合规归口管理部门均位于第二道防线,负有指导业务部门开展对应管理工作及辅助纪检审计部门开展监督评价的责任。企业现行的分立管理体系因缺少交流,常多头开展工作,造成工作流程重叠。一体化管理体系运作可以整合风险、内控、法律合规各项管理活动,实现信息互通及管理协同,有效减少重复工作流程。
以企业风险评估为例,每年9月集中开展一次覆盖公司全领域的风险评估工作,而重大风险评估则每年至少开展两次,法律合规风险评估则以不定期方式开展。如此3到4次的大范围评估活动从组织到实施过程至少需要3个月,涉及部门及人员也至少100人。全面风险与法律合规风险评估虽然维度不同,但逻辑相通,存在整合的可能性。采用一体化管理体系运作可以在一次大范围评估活动中协同开展对应的风险评估活动,大大提高管理效能。
企业类型不同,对应投入的管理成本各有差异。从生产型企业管理现状分析,诸多生产一线的风险内控合规管理人员属于岗位兼职工作,其本职工作以外的管理精力有限。目前企业的风险内控合规管理活动中,除评估任务外还需要定期开展风险管控监测、合规管控情况反馈、重要风险事件反馈、内部控制评价及其他风险内控合规体系建设的配合工作,对于生产部门而言管理人力成本较高。一体化管理工作可以实现同类别工作同时触发,差异项工作减少触发范围,有效降低管理成本。
五、建立风险、内控、法律、合规一体化管理体系的思路和实施路径
(一)管理思路
基于上述内容,构建风险、内控、法律、合规一体化管理体系具备必要性和重要性。如何开展企业一体化体系建设,出发点和着力点定位尤为重要。2005年,英国Turnbull委员会(伦敦股票交易所委托英国特许会计师协会成立的委员会)认为,风险管理对企业目标的实现具有重要意义,企业的内部控制在风险管理中扮演关键角色,内部控制应当被管理者看作范围更广的风险管理的必要组成部分。基于本人长时间的风险内控管理岗位工作的经验,从覆盖范围上风险管理大于内部控制,内部控制更强调的是内部管理制度执行、关键业务活动及关键风险点的控制,是风险管理的必要环节;而法律合规工作更强调的是履行法律法规、部门规章、上级管理要求等领域的内、外规的管理活动,其内容完全可以包容进风险管理内涵之中。因此,应建立以风险管理为基础,以内部控制为手段,以法律合规为底线的风险、内控、法律、合规一体化管理体系。
(二)实施路径
开展一体化管理体系建设,首先应梳理现有各级组织机构职能。包括:董事会、董事会下设风险审计管理委员会、总法律顾问/首席合规官、归口管理部门、监督评价部门及业务部门的各级机构,整合其管理职能,做到统一决策、统一履责。统筹谋划,合理设置权责边界,厘清业务审批层级,建立一体化管理组织基础。
开展一体化管理体系建设,其次要打通管理流程。统筹业务规划,健全运行机制。建立风险、内控、法律、合规一张表,从基础业务摸底识别业务及合规风险,设置关键控制活动及关键控制点;从关键任务出发重点关注战略目标、监管要求、技术改造及考核等风险,优化重大风险项目管理方法,加强过程管理法律合规监控。统一梳理全年业务工作,建立工作台账,科学整合业务流程,不断统一管理机制。
开展一体化管理体系建设,要发挥第三道防线监督检查职能。深入评价内部控制缺陷,结合缺陷整改、制度升版、机制优化系列工作,不断提升管理能力。持续加大重点业务、重点流程管控力度,运用数智手段创新发展,提不断提高业务人员能力,加强管理培训,切实提高风险管控能力,确保依法合规经营,努力实现企业健康、安全、可持续发展,推动一体化管理机制改进提升。
六、结论
综上所述,建立风险、内控、法律、合规一体化管理体系是企业发展内生需求和外部要求的必然趋势。企业应以企业战略目标为指引建立以风险管理为基础,以内部控制为手段,以法律合规为底线的一体化管理体系,不断整合管理流程,优化管理框架,提高管理效率,培养管理人才,持续提升改进,助推企业高质量及可持续发展目标实现。
七、参考文献
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网 琼ICP备2021005105号
