基于业务流程的合规内部控制矩阵管理的实践探索

基于业务流程的合规内部控制矩阵管理的实践探索

梁青

广州汽车集团股份有限公司  广东广州 510623

    随着经济全球化纵深发展,国内外市场竞争日益激烈。近年来，国有企业逐步重视与加强合规管理的强化与完善，在学习领会《关于全面推进法治央企建设的意见》《中央企业违规经营投资责任追究实施办法（试行）》等一系列文件的基础上，逐步明确了企业违规经营投资责任追究的范围、标准、责任认定、追究处理和工作程序等。

由于企业管理层的理念与认知受限、管理手段过于简单粗放等因素，企业合规管理体系建设普遍侧重于搭起合规管理组织架构、宣贯合规要求以及违规责任追究。许多企业的合规管理以念“紧箍咒”为主，强调合规宣传、加强违规处罚；鲜少从业务流程的内部控制关键点设计、合规管理工具的开发等方面赋予经营者合规管理的“金箍棒”，合规管理往往形式大于内容，给企业的长远发展埋下了隐患。

本文以案例企业的合规管理实践背景，从企业合规管理环境、合规风险收集与评估、风险控制程序、内部审计监督等方面探索研究基于业务流程的合规内控矩阵管理体系构建的关键路径。

一、案例企业基本情况

B公司成立20多年，主营业务覆盖汽车销售与后市场服务、汽车物流服务等领域，年营收超过400亿元，下属140多家投资企业遍布在全国50多个城市、拥有员工1.6万余人，合规管理难度大。

（一）案例企业合规管理现状

B公司在坚持党的领导、强化审计监督、落实责任追究等方面加大监管力度，对公司各级人员起到敲山震虎的作用，违规经营的现象得到一定程度得遏制。但从合规管理专项调查结果显示，只有2家企业设置了专门的合规机构，设置率仅为1.6%；只有5家企业配置了专职合规人员，配置率仅为4.1%；下属企业普遍缺乏合规管理制度、法务管理基础薄弱，合规隐患仍然不容小觑。

（二）合规管理存在的主要问题

1、合规管理体系与经营管理体系不够融合

企业在长期的经营过程中，已经自然形成一套业务流程与管理模式，企业仅从法务推进的合规管理体系往往与业务流程割裂，未能聚焦业务操作流程、内化关键控制点。导致企业员工在具体业务执行中无所适从，合规要求难以落实。

2、合规管理体系重追责轻规范，缺乏持续改善动能

企业的合规管理体系忽视业务流程的合规标准规范与操作细则；导致一但出现违规事件，合规管理的责任追究或简单粗暴地以结果论责，或高高举起、轻轻放下，未能形成促进企业经营业务合规管理的积极预防与改善机制。

二、合规管理与内部控制矩阵管理实践

企业构建合规管理体系，应结合经营管理体系同步部署、同步构建；从企业内部控制的内部环境、风险评估、控制程序、信息沟通、内部监督五大要素着手，推进合规管理体系建设：

1、厘清企业内部合规环境，重点构建《合规内控手册》

企业的内控控制环境决定了企业合规管理的基调，它是合规风险收集与评估、控制程序、监督与改善体系的基础，它提供了企业合规管理的基本规则和架构。

B公司首先统一搭建公司及下属企业合规管理三级管控体系；明确了公司治理层、经营层及各业务部门、合规部门、监督部门在合规管理中的职责分工，强化了下属企业一把手作为推进合规体系建设的第一责任人。

其次，通过业务场景模拟与合规管理内部环境的评估，将《合规内控手册》作为具体工作指南，成为合规管理体系建设的重中之重。从内部控制五大要素审视《合规内控手册》的设计，结合业务流程的内部环境与企业所处的地域、行业环境，涵盖风险评估、控制程序、信息沟通等因子，目的是使《合规内控手册》成为企业合规管控的作业标准、合规管理体系的重要抓手。

2、 明确合规风险信息收集与评估程序

企业面对错综复杂的政治、经济环境，如何从法海中识别企业应履行的合规义务，并科学地按业务相关的重要性、紧急度排序，有的放矢地施策，是构建合规管理体系的重要考量因素。

遵循《合规管理办法》的指引，基于业务流程的《合规内控手册》设计，围绕业务关键节点的风险评估与预警机制，使得法律条文的收集更聚焦、更具体。聚焦相关法律具体条款与罚则、关注相关判例的合规风险损失，对标业务流程关键节点的控制规范，进行合规风险的发生概率、损失概率的量化评估。

《合规内控手册》明确业务岗位的“业务流程合规性识别”与合规岗位的“法律条文适用性识别”，两者以业务流程的关键节点聚焦合规风险识别、应对风险举措、内控标准与后评价准则。《合规内控手册》的运用使得业务人员与合规管理人员基于同一平台进行深度融合。

3、基于业务流程的合规控制程序

《合规管理办法》强调外规内化，即，将企业对外部法律的遵行性，嵌入企业制度流程，使之成为关键节点岗位职责的作业规范。

通过将外部法律法规、监管规定、技术标准与内部规章制度进行对标、业务流程的内控穿行测试，B公司从《合规内控手册》发布、 “业财一体化信息系统”控制节点，两个维度的控制程序，使得业务流程合规性遵循更顺滑，经营效率更高。

4、基于业务流程强化合规管理的信息沟通

准确与及时的信息沟通是企业精准施策、降低风险、提高经营效益的关键。《合规内控手册》

中业务流程与岗位权限的设计，内涵了信息传递的责任岗位与传递方向；其合规风险评估与内部控制程序，内涵了信息沟通的核心要素。

B公司嵌入合规管理信息化平台，将合规管理的理念、制度、《合规内控手册》、合规培训资料等快速传导到每个终端；法务咨询围绕现行法律条款与《合规内控手册》进行同步解读，使得法律咨询问题解析有法理、执行有指引。

5、围绕《合规内控手册》的内部监督与改善体系

内部监督是保证内部控制体系有效运行和持续改善的重要措施,是一个完善的内部控制体系必不可少的环节。

《合规内控手册》作为内部监督的抓手，有助于识别业务流程的制度设计缺陷与执行缺陷，从而督促业务部门将审计整改措施落实到《合规内控手册》补充迭代，促进了合规管理体系建设的持续改善。

三、实践总结：

认真解读《合规管理办法》及配套文件，深耕合规管理的风险管理特性，结合内部控制的体制，将合规管理体系打造成企业经营管理的“金箍棒”，这是B公司管理层在合规管理体系建设过程中获得的重要感悟。在企业经营管理中把合规管理的“紧箍咒”念好，把促进经营合规的“金箍棒”用好，将有利于推进企业健康、高效的可持续发展。

总而言之，合规管理不是简单的流程与合规的双向对标，而是在悖论经营的理念下，从涉及公司治理原则、组织结构与职责、风险识别方法、制度与流程、运行与保障、评价与监督、持续改善和信息化等方方面面进行系统性地优化过程。B公司从 “明晰法律条文是业务流程合规控制的充分条件”，以及“业务流程关键节点的合规内控程序是法律义务遵循的必要条件”，从充分条件与必要条件的结合夯实企业合规管理体系与经营管理体系的融合构建。落实了“合规就是生产力”、 “合规管理既是紧箍咒、更是金箍棒”理念的落地与普及。业务人员在开拓业务时也意识到对项目主动进行的合规性评估，且事前的评估、过程的执行及事后的总结有据可依、有章可循。

1 / 7