網上投稿
一、合規、內控及風險管理體系融合依據
國資委2019年在整合《關于加快構建中央企業內部控制體系有關事項的通知》(2024年1月3日失效)《中央企業全面風險管理指引》《中央企業合規管理指引(試行)》相關要求的基礎上,下發《關于加強中央企業內部控制體系建設與監督工作的實施意見》(國資發監督規〔2019〕101號、以下簡稱“101號文”),規定建立健全以風險管理為導向、以合規管理監督為重點,嚴格、規范、全面、有效的內控體系,實現“強內控、防風險、促合規”的管控目標。
同時,結合國資央企新一輪內控體系建設與監督三年工作進行部署安排,國資委2023年印發《關于做好2023年中央企業內部控制體系建設與監督工作有關事項的通知》(國資廳監督2023[8]號,以下簡稱“2023年8號文”),規定建立健全以風險管理為導向、合規管理監督為重點,嚴格、規范、全面、有效的內控體系[1]。
在“101號文”“2023年8號文”等相關文件基礎上,國資委印發《關于做好2024年中央企業內部控制體系建設與監督工作有關事項的通知》(國資廳監督〔2024〕20號)(以下簡稱“2024年20號文”),進一步要求充分發揮內控機制在依法合規治企、嚴肅財經紀律、防范化解重大風險等方面的重要作用[2]。
鑒于國資委上述一系列政策出臺,各大企業及服務機構陸續推動合規管理、內控管理及風險管理一體化整合升級,不斷探索多位一體的體系融合,基于合規、內控、風控三位一體體系演變發展為三位一體+法務的四位一體體系、四位一體+審計的五位一體體系、亦或者五位一體+紀檢、監察形成的多位一體體系,并不斷推出“X位一體”一體化管理成果或產品。
二、合規、內控、風控“三位一體”管控現狀
101號文對中央企業提出“強內控、防風險、促合規”的一體化管控思路,將中央企業內控管理工作推進到了2.0時代。結合目前合規、內控、風控“三位一體”融合現狀,其操作程序仍沿用單體系搭建的模式,主要體現在以下方面:
第一,環境分析:
從一體化管理環境判斷為起始點,分別對合規管理現狀、內部控制管理的現狀、風險管理的現狀,以及三者職能協同或沖突現狀進行掃描與分析,以此確定一體化管理實施思路;
第二,方案制定:
制定一體化建設方案,基于企業經營管理行為拆解企業的業務流程與管理事項,形成分職分級管控;
第三,風險識別:
融合合規風險、內部控制風險以及全面風險,基于已有風險清單對識別的風險進行整合、分析及評價;
第四,組織架構:
搭建組織體系,組建委員會,任命第一責任人等;
第五,制度管理:
制度體系建設,在融合原有合規管理辦法、內部控制管理辦法、全面風險管理辦法的基礎上制定一體化管理辦法,形成一體化制度層級。
三、一體化體系管控異同與難點
合規、內控與風險管理在不同的場景下對應不同的定義及解讀,三者亦存在交叉與共性。
(一)合規、內控與風險管理的異同
1. 以合規管理體系建設為視角,《中央企業合規管理辦法》所稱合規管理,是指企業以有效防控合規風險為目的,以提升依法合規經營管理水平為導向,以企業經營管理行為和員工履職行為為對象,開展的包括建立合規制度、完善運行機制、培育合規文化、強化監督問責等有組織、有計劃的管理活動。
合規管理作為底層思維管理,側重于要求企業經營管理行為和員工履職行為符合“外法內規”。
2.從內控管理體系建設來看,《企業內部控制基本規范》規定,內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。2013年5月新版《內部控制——整合框架》明確內部控制是一套流程,受組織的董事會,管理層和其他員工所影響,被設計并用來為組織提供合理保證,使其實現運營,報告和遵循目標。
內部控制的本質是通過管理實現控制目標,達到權責制衡。
3.《中央企業全面風險管理指引》所稱全面風險管理是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。
風險管理重心在于權衡企業目標與風險防控。
4.合規、內控與風險管理對環境管理、風險識別、組織架構、制度、管控機制及評價監督等內容均納入管理范疇,三者在前述方面存在共性與交叉。
| 來源 |
合規管理 |
內控管理 |
風險管理 |
| 外部標準 |
GB/T35770-2022《合規管理體系要求及使用指南》 |
《COSO內部控制整合框架》(2013) |
《COSO企業風險管理-整合戰略和績效整合框架》(2017) |
| 法律依據 |
《中央企業合規管理辦法》(國務院國有資產監督管理委員會令第42號) |
《企業內部控制基本規范》的通知(財會〔2008〕7號) |
《中央企業全面風險管理指引》國資發改委(〔2006〕108號) |
| 交叉內容 |
管理環境、風險識別與評估、組織架構設計、制度建設、流程管控、評價與監督 |
||
(二)合規、內控與風險管理體系融合的難點
以某國有企業一體化項目為例,合規、內控管理一體化體系建設過程中,涉及風險類別、組織體系以及制度體系融合存在不適配等問題,本文結合案例就前述三方面內容作以下分析:
1.風險類別的劃分
一般而言,避免造成風險牽頭部門與風險防控部門的認知不一致,引發風險管控與風險庫建設工作的脫節,需針對風險形成原因、發生可能性及影響程度等方面進行分析,與第一道防線各部門溝通確認進一步完成等級評價與等級共識工作。
如前文所述,合規管理要求遵守“外法內規”,內控管理旨在制衡控制權責。實務中,合規管理與內控管理的各自牽頭部門在識別與分析風險過程中,對于風險落入何種類別(級別)的劃分存在爭議,合規風險側重于合規義務范疇下的企業全面風險,包括公司治理風險,內部控制涉及的風險側重按照《中央企業全面風險管理指引》進行分類,一般分為戰略風險、財務風險、市場風險、運營風險、法律風險等。
在推進一體化風險融合過程中,內控牽頭部門既主張不擴大風險類別又主張不得縮減風險分類。基于案例經驗,內部牽頭部門執行風險監測工作嚴格遵循國資委對國有企業內控風險監管的要求,甚至存在直接按照國資委下發監測表單進行補充完善的情形。從實務反饋可以看出,國有企業內控牽頭部門僅針對國資委劃分的戰略風險、市場風險、財務風險、法律風險、運營風險五類風險進行監測,對于企業除上述五類風險類別之外的風險是否進行監測沒有定論,反觀,合規管理范疇下的風險識別范圍更廣更全面。
鑒于此,一體化風險識別的難點之一在于對風險類別分類的改變,中央國企能否突破國資委要求將內控基于《中央企業全面風險管理指引》劃分的五類風險擴大甚至合并以適應合規管理風險類別之需,在實務操作中存在難度;其次,如何將內控關注的五類風險融入合規要求的風險,在實操中亦存在調整障礙。
2.一體化組織架構的設計
一體化管理的組織架構之設計難點在于如何實現統一部署、分工協調。101號文規定中央企業主要領導人員是內控體系監管工作第一責任人;《中央企業合規管理辦法》規定,中央企業應當設立合規委員會、結合實際設立首席合規官(由總法律顧問兼任)以及合規管理員。
實務中,內控管理一般由專門的內控部門或者審計部門牽頭管理,其對央國企分管領導負責;合規管理一般由法務部門或者合規部門專管,首席合規官作為領導合規管理部門組織開展相關工作與指導所屬單位加強合規管理的負責人,對央國企領導班子負責。具體到案例,分管合規與內控分屬不同牽頭管理部門,二者對應的分工不同,在實操中各部門/機構存在職能壁壘。
一體化體系融合需實現治理層、管理層及執行層的職責統一[3],本案中,總法律顧問作為管理層看似一人同時負責合規與內控,但從實際的業務管控流程可以清晰看出其分管二者的職位角色不同。法律明文要求央企設置合規委員會與首席合規官,意味著在現有法律框架下,合規委員會、首席合規官應該存在于央國企不被取消或吸收,那么合規管理范疇下設立的合規委員會能否兼管企業內控,以及央國企總法律顧問以首席合規官角色/職位能否分管內控對于一體化體系組織架構融合提出現實考驗。
一體化組織職能融合必然會涉及執行層中第二道防線的職能統一,如人員調動與組織架構調整。實務中,央國企是否能實際調整第二道防線部門及職責存在疑問。
(三)制度的可操作性
根據《中央企業合規管理辦法》規定,中央企業應當制定合規管理基本制度,明確總體目標、機構職責、運行機制、考核評價、監督問責等內容;《中央企業全面風險管理指引》規定,企業制定內控措施一般包括內控管理、內控報告、內控審批以及內控評價與監督等制度。制度的建立關乎內控管理體系、合規管理體系機制與保障措施的運行。
實務中,內控部門與合規管理部門為了執行體系會分別制定《內部控制管理辦法》《合規管理辦法》等制度,作為執行內控、合規管理的綱領性文件,根據法律規定,二者在制度中均明確機構、機制、考評及監督等內容。雖然制度的構成要素存在共通或交叉,二者在一體化體系融合中如何構建頂層文件?如何分布基本制度?涉及內控、合規管理相關的各類指引、手冊如何保障運行?均對一體化制度體系融合構成影響。
四、結語
101號文及相關規定提出“強內控、防風險、促合規”一體化大監督思路為企業充分發揮內部控制體系的強基固本作用指明了方向,筆者認為該文件的宗旨側重于對內控管理的加碼,而非“內控-風險-合規”三者基于同等地位進行簡單融合。
目前實務中存在的“X位一體”體系融合建設雖存在借鑒意義,但是否實際符合央國企發展存在諸多現實困境。如何科學調整不同維度下的監管要求實現一體化體系有效融合是當下央國企面臨的難題,亦需推動監管部門基于頂層設計出臺賦能企業發展的一體化體系協同建設路徑或方案。
注釋
[1] 《關于做好2023年中央企業內部控制體系建設與監督工作有關事項的通知》(國資廳監督〔2023〕8號)
[2] 《關于做好2024年中央企業內部控制體系建設與監督工作有關事項的通知》(國資廳監督〔2024〕20號)
[3] 安永:國資智匯|國有企業如何構建風險、內控、合規一體化管理體系?
滬公網安備 31010402007129號
