當今社會,正面臨著「百年未有之大變局」。企業身處其中,不可避免地要應對越來越多的不確定性。對風險的預防、控制與應對,已成為一項相對獨立的企業管理職能。隨著一些監管文件的發布和推行,合規管理、內部控制、全面風險管理(以下簡稱為「合規、內控、風險「)等與風險密切相關的概念,逐漸進入企業高層的視野。在最新的一份國企改革三年行動方案中,「防風險」已成為國有企業董事會的最重要職責之一。
但是,不管是企業內負責風險防控的專業部門和人員,還是企業的高層管理者及經理層,對於合規、內控、風險管理三者邊界的認知,仍是不清晰的,甚至存有不少的困惑。源自不同背景、不同來源,不同要求的合規、內控、風險管理等職責,在中大型企業內的並存,已造成了一定的重複和衝突。
對於該問題,國企監管部門國資委已有所洞察。在2015年12月發布的重磅文件《關於全面推進法治央企建設的意見》中,明確要求央企「探索建立法律、合規、風險、內控一體化管理平臺」。這對合規、內控、風險等進行一體化的管理,提出了初始的要求。在2020年6月發布的《關於對標世界一流管理提升行動的通知》中,提出央企要「構建全面、全員、全過程、全體系的風險防控機制「。這為建立合規、內控、風險一體化管理體系,再次提出了新的期望。
一、合規、內控、風險進行一體化的動因
要建立合規、內控、風險一體化管理體系,須先問為什麼要進行合規、內控與風險的一體化管理?對央、國企來說,在合規管理方面,標誌性的指引文件是2018年頒發的《中央企業合規管理指引(試行)》;在內部控制方面,權威文件是2008年頒發的《企業內部控制基本規範》;在風險管理方面,標誌性的指引文件是2006年頒發的《中央企業全面風險管理指引》。這三份文件,出臺的時間和背景,各不相同,給企業風控等工作帶來不同的視角。但同時,對企業風控等工作從不同角度也提出了不同的要求。企業為符合這些不盡一致的要求,分別進行了大量的人力和財力資源的投入,但取得的最終效果往往一般。將合規、內控與風險三者進行一體化管理,已是大勢所趨。
首先,在組織架構層面。實踐中的法務、合規、內控、風控等部門設置呈現各種式樣。有一些企業內分設法務部、合規部、風險管理部、內控部等部門,有一些企業將法務與合規職能放在一個部門,另有一些企業將內控部作為風險管理部門下屬的一個子部門,等等。不同的部門設置,反映了企業對合規、內控、風險等的認識不一致,也造成了企業執行合規、內控、風險管理工作的資源配置不同。這無疑會引起一些困惑和衝突。一個有效的解決辦法,就是進行統一的部門設置和統一的資源調度。
其次,合規、內控、風險管理,包括法律管理,有不少的工作內容和工作程序是重合的。如風險評估,在執行合規管理工作時,是一個必要的程序;在內部控制實施時,同樣需要;對於全面風險管理工作,尤其需要。但是,在具體進行工作拆解和職責分工時,合規、內控與風險管理內的風險評估工作又不完全相同。合規管理所指的「風險評估」,是指「梳理經營管理活動中存在的合規風險,對風險發生的可能性、影響程度、潛在後果等進行系統分析」。內部控制需要的「風險評估」,是「及時識別、系統分析經營活動中與實現內部控制目標相關的風險」。全面風險管理所界定的「風險評估」,是「查找各業務單元、各項重要經營活動及其重要業務流程中有無風險,有哪些風險」。可見,合規、內控、風險三者都需要進行風險評估,但具體表現和關注點,乃至評估方法,可能有所不同。如何減少類似的重合或重複工作,簡化操作流程,是驅動對三者進行統籌考慮的主要因素。
再次,從發展路徑看,三份文件目前是各成一派,分別發展。合規管理指引文件是由國資委政策法規局主導制定,反映了監管部門對制止國企違反法律法規底線的考量。按該指引,央企合規管理牽頭部門應當於每年年底總結合規管理工作情況,起草年度報告,經董事會審議通過後報送國資委。內部控制規範是由財政部等五部委聯合制定的,反映了監管部門對企業提升資源配置效率和防範經營風險能力的關注。按2012年頒布的《關於加快構建中央企業內部控制體系有關事項的通知》規定,央企必須每年5月31日前向國資委報送內部控制評價報告,同時抄送派駐本企業監事會。全面風險管理指引文件是國資委企業改革局主導制定的,反映了監管部門對企業建立全面風險管理體系,實現風險管理總體目標的要求。2008年起,國資委開啟中央企業報送年度全面風險管理報告的試點工作,自2009年開始,中央企業每年均向國資委報送年度《企業風險管理報告》。
值得一提的是,在國資委最新印發的《關於做好2020年中央企業內部控制體系建設與監督工作有關事項的通知》中,國資委提出要進一步整合優化內控、風險管理和合規管理監督工作,按一體化要求編制2019年度內控體系工作報告,不再分別報送《中央企業內部控制評價報告》和《中央企業年度風險管理報告》,且報告的接收部門統一為國資委綜合監督局。由此可以看出,合規、內控與風險管理三者需向監管部門提供的工作報告,不管是出於效率提升,還是出於整合優化,未來合而為一,也將是一種趨勢。
最後,合規、內控與風險管理三者均與企業風險管控密切相關,只是關注點和切入點不一樣。各種管理體系,大多數是人為設計和實施的,都是某種角度的實踐理性產物。企業經營管理,其實越簡單越好。對企業風險管理來說,本質上並不需要多個管理體系。但管理企業經營風險的單一方法,至今並沒有出現。因此,將合規管理體系、內部控制體系、全面風險管理體系進行有效銜接、融合與統籌,即所謂一體化,是大多數企業的必然選擇,也是構建一套管理企業經營風險的整體方法。
二、合規、內控、風險進行一體化的基礎
建立合規、內控、風險一體化管理體系,第二個要回答的問題,就是合規、內控與風險管理為什麼能一體化?它們進行一體化管理的基礎是什麼?這需要從企業的目標說起。
很明顯,企業的目標不應該是「風險管理」。風險管理,只是企業在實現目標的過程中不得不處理的一個環節。企業的目標,根本上還是企業的經營業務。企業必須通過對戰略的選擇、對業務的執行來完成其經營。所有的管理體系,都應當是為企業經營服務的。與風險相關的管理體系,也不例外。因此,合規管理、內部控制和全面風險管理,雖然有不同的起源和要求,但根本上,都必須圍繞企業的業務。基礎的業務行為或稱業務流程,是合規、內控與風險管理工作的共同對象。正是在企業的業務執行過程中,才產生了對合規管理、內部控制與風險管理等工作的需求。
合規、內控與風險管理工作,雖然是基於業務流程,但正常的業務行為並不必然會帶來合規管理、內部控制或風險管理等工作的啟動。正常的或稱為順利的業務行為,只會產生下一個業務行為。只有那些不正常的業務行為(包括經營和管理行為),如違法的行為、不當的行為、錯誤的行為等,才會促使合規、內控或風險管理等工作的產生。這些不正常、不順利的業務行為,在企業看來,即是風險行為。
合規管理是針對那些違反外部法律法規以及道德規範導致企業受損的業務行為;內部控制是針對那些企業內因缺少控制措施導致企業受損的業務行為;全面風險管理是針對那些沒有辨識內外環境發生變化導致企業受損的業務行為。總之,合規、內控與風險管理針對的都是非正常的企業行為。
這些非正常的行為是相對的,是企業正常業務流程過程中出現的意外、疏忽或故意等與企業目標不一致的行為。從這個意義上說,合規、內控與風險管理面臨的情境是一致的,也即我們通常所說的風險。這正是三者可以進行一體化管理的共同基礎。它與監管部門一再強調的體系建設須「以風險管理為導向」也是吻合的。
出現了風險行為,企業自然需要施加管控。因此,對違反法律法規或道德規範的行為的預防與管控,促使了合規管理工作的產生。對企業內缺少控制措施的行為的預防與管控,促使了內部控制工作的產生。對企業缺乏識別變化的行為的預防與管控,促使了風險管理工作的產生。這是合規、內控與風險管理三者在邏輯上的形成過程,與三者在不同歷史時期出現並分別得以強調和運用,可相互印證、毫不違和。
綜上,業務流程是合規、內控與風險管理工作的底層對象。對業務流程中出現的各類風險行為進行管控,是合規、內控與風險可以一體化管理的共同基礎。也就是說,基於業務流程,既是所有風險管理體系,包括合規管理體系、內部控制體系、風險管理體系等建設過程中均須依賴的前提,也是合規、內控與風險一體化管理體系建設過程中必須依賴的前提。這一點,可從國資委2019年10月印發的《關於加強中央企業內部控制體系建設與監督工作的實施意見》中「將風險管理和合規管理要求嵌入業務流程,促使企業依法合規開展各項經營活動」的規定,再次得到驗證。
三、合規、內控、風險管理的各自架構及其淵源
建立合規、內控、風險一體化管理體系,在搞清楚為什麼要一體化之後,接下來的問題自然就是怎樣進行一體化?合規、內控與風險,同屬企業風險管理工作的某一個部分,有不同的來源、不同的要求、不同的指向。要促進三者一體化,除了發現其共同的對象與基礎以外,還需歸納和總結其運行架構。管理架構是有意識的系列管理活動的要素及其相互之間的關係。它是管理體系的內核。唯有統一了架構,才足以表明和保障三者一體化管理體系的落地。
要歸納三者的統一架構,先要深刻認識三者各自的架構。作為風險管理工作,合規、內控與風險管理,均遵循過程方法和PDCA(PLAN-DO-CHECK-ACTION)循環法。三者在方法論上,有共通之處。共同的方法論,決定了三者的架構存在一致性。但三者最後呈現的架構,卻仍是不完全相同的。
合規管理的架構,根據《中央企業合規管理指引(試行)》的規定,由合規管理原則、職責、重點、運行與保障等部分組成。其中運行機制包括合規管理制度、合規風險識別預警機制、合規風險應對機制、合規審查、違規問責、合規有效性評估等,保障機制包括合規考核評價、合規管理信息化建設、合規管理隊伍建設、合規培訓、合規文化培育、合規報告制度等。該運行架構,與2017年頒布的國家標準GB35770-2017《合規管理體系 指南》相比,更符合央企的實際情況。但不可否認的是,企業在實際運行合規管理架構時,不可避免地會參考國家標準《合規管理體系 指南》。可以說,正是這個等同採用了ISO國際標準的國內標準,為合規管理納入一體化管理體系搭建了一道橋梁。
內部控制的架構,根據《企業內部控制基本規範》的規定,由基本原則、內部環境、風險評估、控制活動、信息與溝通、內部監督等部分組成。監管部門隨後公布的18項配套《企業內部控制應用指引》為內部控制在企業中的實際運行提供了具體參考。該現行的內部控制架構,很明顯是參照了知名的美國反虛假財務報告委員會下屬的發起人委員會COSO內部控制整合框架(1992年正式版,1994年增補,2013年更新版)。COSO在內部控制框架的基礎上,又發展和進化出企業風險管理整合框架(COSO-ERM,2004年正式版,2017年更新版)。由此可以看出,內部控制的架構與風險管理的架構本身有相通之處。
風險管理的架構,根據《中央企業全面風險管理指引》的規定,由總體目標、基本原則、信息收集、風險評估、風險管理策略、風險管理解決方案、監督與改進、組織體系、信息系統、風險管理文化等部分組成。該指引是在貫徹落實《企業國有資產監督管理暫行條例》關於「國有及國有控股企業應當加強內部監督和風險控制」的要求,參考COSO內部控制整合框架、COSO-ERM、美國薩班斯法案等背景下而出臺的。由此,風險管理的架構,與內部控制的架構也存在著天然的內在契合之處。
合規、內控與風險管理,作為分別發展的管理體系,有著各自的運行架構。這既是需要對三者進行一體化管理的起因,也是搭建一體化管理體系要克服的難點。也就是說,需要在充分認識各自架構的基礎上,找到一種統一的架構,將三者能夠有效的融合起來。這就是本文所述的一體化管理體系的核心。
四、合規、內控、風險管理體系的統一架構
企業內的管理體系各自為政,以整合的方法來統一管理,不是一件新鮮的事。關於質量(ISO9001)、環境(ISO14001)、職業健康安全(OHSAS18001)三個管理體系,早有專業機構倡議對其進行整合,形成整合管理體系(IMS)。一些著名的國際標準化機構,還專門頒布體系整合的方法指南。如ISO在其ISO/IEC 導則第 1 部分(ISO/IEC Directives,Part 1)附錄 SL提出管理體系標準化的建議。英國標準協會(BSI)為整合相關管理體系,專門製作和公布了一個《PAS99:2012整合管理體系的框架——通用管理體系要求的規範》。
英國標準協會BSI公布的PAS99:2012規範,向公眾提供了一個整合管理體系的高階架構。正如該規範所述,「儘管本規範初衷是用於整合諸如BS EN ISO 9001,BS EN ISO 14001,BS ISO/IEC 20000, BS ISO 22301 和BS OHSAS 18001管理體系標準等,但它同樣適用於其他的國家和國際管理體系」。按PAS99:2012規範,整合管理體系的高階架構包括:組織的情境、領導作用、策劃、支持、運行、績效評價、改進等。基於此,結合三者各自的實踐架構,我們改造和推出包含七個階段的合規、內控、風險一體化管理體系(CIRms)統一架構。
1.環境與業務流程
理解組織的情境,是進行合規、內控與風險管理活動的第一步。如前所述,對這三項活動的需求,本來即是起源於企業內存在的非正常業務行為。要防控這些非正常業務行為,即風險行為的發生,前提又是了解企業內的正常業務行為。那麼,何謂正常,何謂不正常?這無疑又是一個主觀和客觀相結合的產物。因此,理解企業的環境,理解企業利益相關方的期望和需求,特別是拆解企業的業務流程,是正確開展各項風險管理活動的前提。在合規、內控等相關指引文件中,均強調了管控工作要「「融入業務領域」、「嵌入業務流程」等。
2.領導與資源支持
不管是合規管理,還是內部控制,或者風險管理,都極為重視企業高層的作用。合規管理,強調合規職責是「企業主要負責人履行推進法治建設第一責任人職責的重要內容」。內部控制,明確「董事會負責內部控制的建立健全和有效實施」。風險管理,則明確「董事會就全面風險管理工作的有效性對股東(大)會負責」。三者都強調了體系建設必須「自上而下」。最高領導者的親自參與,保證了合規、內控與風險管理體系的有效性。那些失敗的或無效的合規、內控與風險管理體系,往往是企業領導層沒有足夠的重視,或最高領導凌駕於經理層之上等原因造成的。除了領導的支持,有效的一體化管理,還需配套的資源支持。在執行時,組織獨立、能力提升、意識強化、與內外保持溝通,及時記錄等工作機制的建立,同樣重要。
3.方案策劃與設計
合規、內控與風險一體化管理,一定是企業主動實施的。在實質啟動之前,應有一套完整的實施方案。實施方案是在對企業合規、內控與風險管理現狀進行調研之後,按IMS的設計思路,對未來2-3年期的一體化管理活動進行的計劃安排。一般包括一體化體系建設的核心原則、主要目標、工作階段、重點工作內容(成果)和工作保障等內容。方案策劃與設計工作,是一體化管理體系高階架構的第三階段。同時,也是植入於一體化管理體系中的PDCA循環的第一步,即計劃(Plan)部分。
4.一體化風險評估
不管是實行獨立的管理體系,還是一體化的管理體系,風險評估都是合規管理、內部控制以及風險管理的必經階段。合規管理,關注的是「企業及其員工因不合規行為,引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性」,即合規風險。 內部控制,關注的是「經營活動中與實現內部控制目標相關的風險」,即內控風險。全面風險管理,關注的是「未來的不確定性對企業實現其經營目標的影響,具體分為戰略風險、財務風險、市場風險、運營風險、法律風險等」,即全面風險。基於企業業務流程,統一組織對該三類風險進行識別、分析與評價,是一體化管理體系建設的關鍵動作。如資源配置不到位,則將成為一個難點工作。
5.風險管控措施與策略
風險評估的目的是為了制定相適宜的風險管控措施。因合規、內控與全面風險所關注的風險其性質各不相同,其管控措施也不盡相同。在一體化管理體系建設過程中,需要針對不同性質的風險,採取不同的管控措施。合規風險,一般的管控措施包括:合規管理制度、合規風險預警機制、合規風險跟蹤機制、合規審查、合規檢查、合規報告,合規培訓等。內控風險,通用的管控措施包括:相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。全面風險,一般的應對策略包括:風險承擔、風險規避、風險轉移、風險轉換、風險對衝、風險補償、風險控制等。一體化管理,需儘量用統一的、集中實施的管控措施,達到同時管理三類風險的目的。
6.績效與內外評價
風險評估與風險管控措施落地,均是一體化管理的重點工作。從PDCA循環角度,這兩個階段都屬於PDCA循環中的執行(Do)部分。接下來,便是檢查(Check)部分了。即一體化管理高階架構的第六階段——績效與內外評價。該階段的內容,其實非常豐富。按PAS99:2012規範的規定,該階段包括監視、測量、分析和評價,內部審核,管理評審等。合規、內控與風險一體化管理在該階段的工作,可以包括風險監測和測量、績效反饋、體系有效性評估、體系評價報告、管理評審等。對於央、國企來說,提供一份合併的符合監管要求的合規、內控與風險一體化報告,是該階段成果的最好表現。
7.糾正與持續改進
當發生風險事件時,有效的一體化管理體系應當對此立即做出反應,並採取行動控制和糾正它。這也是PDCA循環中的處理(Action)部分。當得知或預測有不合規情況發生時,一體化管理體系應立即啟動對不合規事件的調查。當發現存在內控設計或運行缺陷,應當立即分析缺陷的性質和產生的原因,提出整改方案。企業對於不合規、內控缺陷或可能遭遇的重要風險,應當及時上報給相關管理層,並能保障一體化管理團隊同時可得到通知。最後,企業應保證可持續改進IMS的適宜性、充分性和有效性。
五、合規、內控、風險一體化管理的特殊要求
合規、內控、風險一體化管理體系是三個體系的有機融合,但並沒有消滅他們。畢竟三個獨立的體系,在一體化之前,各有其價值。一體化管理體系的建設,除了關註上述七個階段的統一架構以外,仍需重視他們各自的特殊要求。這樣構建起來的體系,才是更完善、更符合實際的一體化管理。
合規管理是應對合規風險的管理活動。合規風險,對企業來說,是一種底線風險。隨著大面積普法行為的推廣,對於業務行為是否違反法律法規,大多數情況下,企業及其員工是比較清楚的。至於最後還是發生了不合規事件,是因企業及其員工的自主選擇。因為違法成本低,缺乏對法律的尊重和信仰,違法帶來的利益誘惑過高等等,企業及其員工最終選擇了違法違規。這是最常見的合規風險的發生原因。因此,合規管理工作要取得成效,必須大力營造合規氛圍,培養合規意識,使企業及其員工能夠「自我約束」,能夠「主動合規」,而不僅是依賴外部的管控機制和管控行為。也就是要提倡合規與道德並行。這便是合規管理工作的特殊要求。具體的工作內容,可體現為合規培訓、合規宣傳,合規承諾書的籤署及不合規的舉報等等。
內部控制是應對內控風險的管理活動。內控風險,本質上是因企業內授權代理機制的內在缺陷造成的。企業出於分工的需要,劃為不同的層級和不同的部門。在層級和部門之間,都存在代理機制。正因為有這些明示或默示的代理,才產生了企業內權力的誤用、濫用、錯用,才產生了舞弊、腐敗、怠工、放任。內部控制管理,就是要對企業內權力與責任進行正確的配置。因此,內部控制工作的好壞,取決於企業內崗位職責與崗位權力能否相互制衡、相互監督。這便是內部控制工作的特殊要求。具體工作內容,可體現為梳理關鍵控制點、完善授權審批機制等等。
全面風險管理是應對企業可能的戰略風險、財務風險、市場風險、運營風險、法律風險等。其難度之大,管控之廣,經常超越了企業的能力範圍。即大多數企業發生了一些重大的外部風險,不是因為他們不重視,或沒有制衡機制,而是因為他們根本不知道風險的到來。全面風險管理工作,對風險部門的能力,提出了最大的挑戰。這裡的能力是廣義的,包括信息獲取、資源調配、數據統計、IT技術、主觀認知等。對於全面風險管理工作,要有效展開,必須提高企業和員工的風險認識與分析能力。其二,在全面風險管理範疇內,風險是一個中性詞。風險,可能是一種負面的影響,也可能是一種機會。對風險進行管理,不僅要消除或轉移風險。在某些情況下,還需要利用風險。這與合規風險管理的預防、內控風險管理的控制,是不一樣的。這便是風險管理工作的特殊要求。具體工作內容,可體現為確定風險準則、收集風險信息、壓力測試、穿行測試等等。
在一體化管理過程中,合規、內控與風險管理還存在其他一些特殊要求,這與一體化管理所展現的包含七個階段的統一高階架構,並不矛盾。其實,在環境與業務流程、領導與資源支持、一體化風險評估等幾乎所有的階段,合規、內控與風險三者都有其各自的特別要求。如合規管理在風險評估階段時,需要對企業的合規義務進行梳理。合規義務是相對固定的。有了合規義務清單,才可形成合規風險清單。但在內控和全面風險管理的風險評估環節,收集的是可能引起風險的內外部因素的信息。正是這些特殊要求與統一架構融合在一起,才構成完整的合規、內控與風險一體化管理體系。
(作者:陶光輝,北京德和衡律師事務所)