建立企业风险管理的一体化管理平台
发布时间:2019-05-31
文 | 郭青红 汇业律师事务所 合伙人
我国国资委2015年12月8日发布《关于全面推进法治央企建设的意见》(国资发法规 [2015] 166号),要求我国中央企业加快提升合规管理能力,…… 探索建立法律、合规、风险、内控一体化管理平台。国资委《中央企业合规管理指引(试行)》要求推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接,确保合规管理体系有效运行。
建立法律、合规、风险、内控一体化管理平台已经成为我国企业共同关注和亟需解决的课题。
本文对我国有关企业风险管理的标准、办法、指南和指引进行了梳理及初步比较分析,提出探索建立我国企业风险管理一体化管理平台的一些想法和意见,抛砖引玉,以供探讨。
本文基于我国企业风险管理的标准、办法、指南和指引,尤其是《中央企业全面风险管理指引》、《商业银行合规风险管理指引》、ISO19600《合规管理体系 指南》、《中央企业合规管理指引(试行)》以及《企业法律风险管理指南》。
关于企业运营风险,我国并无标准、指南作专门规定,本文有关企业运营风险及其管理的观点和意见,主要基于对《中央企业全面风险管理指引》和《企业内部控制基本规范》的理解。
一、有关风险管理的标准、办法、指南和指引
我国有关企业风险管理的标准、办法、指南和指引列表如下:
二、四类风险的定义、范围和层级
四类风险的定义、范围和层级列表如下:
违反法律、法规产生的风险,因违反合同义务而产生的违约风险,因侵权行为而产生侵权责任风险,因怠于行使法定权利或约定权利产生的风险、因不当行为产生的风险以及诉讼、仲裁法律风险等。
可见,企业全面风险、运营风险、合规风险、法律风险是自上而下、依次包含的关系。企业全面风险包含了整个企业的所有风险,而法律风险的范围最小。
四类风险及其管理的范围和层级,可以用下图来表示:
三、四类风险管理的定义和目的
四类风险管理的定义和目的列表如下:
可见,企业全面风险管理、运营风险管理、合规风险管理、法律风险管理也是自上而下、依次包含的关系。我国保监会《保险公司合规管理办法》第三条规定,合规管理是保险公司全面风险管理的一项重要内容,也是实施有效内部控制的一项基础性工作。我国国家标准《企业法律风险管理指南》第4条f)款规定,企业法律风险管理是企业风险管理体系的组成部分。
四、四类风险的管理流程
全面风险、运营风险、合规风险、法律风险的管理流程列表如下:
可见,就四类风险管理的流程而言,我国有关四类风险的标准、办法、指南和指引的规定趋同,都包含了六个流程。其中,第二、三、四、五、六个基本相同,虽然文字表述略有不同。
但是,合规风险管理的第一个流程,与其他三类风险管理的第一个流程不同。合规风险管理的第一个流程是识别合规义务,指向明确,内容具体,可操作性强。其他三类风险管理的第一个流程都是风险环境信息的收集,其内容相对空泛,可操作性也差一些。
五、四类风险的评估方法
四类风险的评估方法列表如下:
可见,各类风险的评估方法因风险及其管理本身范围的大小、风险管理目的的不同而存在差别。全面风险管理更加侧重于宏观的、预测性的、前瞻性的风险管理,更多地采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈、调查研究、统计推论、计算机模拟等风险评估方法。而合规风险管理更多地采用情景分析、因果分析、可能性和影响程度分析、检查表等方法,具有更强的直接可操作性。
六、四类风险应对
四类风险应对列表如下:
就风险应对而言,风险应对的环节一般包括分析和确定风险承受度,权衡风险与收益,运用风险规避、风险降低、风险转移、风险分担和风险承受等风险应对措施,将风险控制在企业可以承受的范围。
但是,就合规风险和法律风险而言,我们有必要对不同类别的合规风险和法律风险进行甄别。根据合规规范(包括法律法规)强制执行的效力,可以将合规规范划分为禁止性规范、强制执行的规范和一般性合规规范。就禁止性规范和强制执行的规范而言,如不遵守,则直接构成违法或者违规,导致直接的行政处罚或经济损失,必须采取风险规避的应对措施,而不适宜采取风险降低、风险转移、风险分担和风险承受等风险应对措施。就一般合规规范而言,则可以根据风险的实际情况,采取风险降低、风险转移、风险分担和风险承受等风险应对措施。
我们还特别注意到,我国国家标准《企业法律风险管理指南》在风险管理流程上采用了与全面风险、运营风险更相近的风险管理流程。其中,法律风险的评估方法包括问卷调查法、访谈调研、头脑风暴法、德尔菲法、检查表法等。法律风险的应对策略包括规避风险、降低风险、转移风险、接受风险和其他策略等。我们认为,就禁止性规范和强制执行的法律、法规而言,上述法律风险的一些评估方法(如头脑风暴法、问卷调查法)和一些风险应对策略(如降低风险、转移风险、接受风险)似有不妥之处。这些评估方法和应对策略更加适合于一般性法律、法规以及因违反合同义务而产生的违约风险、因侵权行为而产生侵权责任风险、因怠于行使法定权利或约定权利产生的风险以及因不当行为产生的风险以及诉讼、仲裁法律风险等。我们认为,就禁止性规范和强制执行的法律、法规而言,其相应法律风险的管理流程、风险评估方法、风险应对措施等,更适合使用合规风险管理的流程、风险评估方法和风险应对措施。
七、四类风险的管理体系
针对全面风险管理、运营风险管理、合规风险管理、法律风险管理,我国有关标准、办法、指南和指引要求企业建立全面风险管理体系、内部控制体系、合规管理体系以及法律风险管理体系。列表如下:
八、建设企业风险管理一体化管理平台
(一)建立企业风险管理一体化管理平台的必要性
1. 建立企业风险管理一体化管理平台,是企业发展的需要
企业集约化管理是管控企业成本、节约企业资源、提高经营管理效率、促进企业发展的基本要求。企业集约化管理要求避免企业的组织机构、人员、费用、系统及其他资源的重叠和浪费。我国有关企业风险管理的标准、办法、指南和指引先后要求我国企业(尤其是中央企业和地方国有企业)建立企业全面风险管理体系、企业内部控制体系、企业法律风险管理体系以及企业合规管理体系。这些体系之间如何协调联动并建立一体化管理平台,实现集约化管理,是企业在启动合规管理伊始就必须研究和解决的课题。
2. 建立一体化管理平台,是四类风险管理的内在要求
如前所示,四类风险存在自上而下依次包含的关系。我国有关企业风险管理的标准、办法、指南和指引关于四类风险管理的管理流程、风险评估方法以及风险应对措施等方面的规定,虽然有着各自强调的重点,但整体趋同。
较上层级的风险管理更加粗放,侧重理论研究、统计推理,更多地考虑对风险、机会和利益进行平衡,更具有前瞻性、预测性和风险管理的统领作用。而较下层级的风险管理(即合规风险管理和法律风险管理)的风险管理范围更窄,风险评估方法和风险应对措施更加具体、直接和可操作性,能够助力较上层级风险管理的落地以及具体有效地实施。合规风险管理和法律风险管理的对象、范围、流程、风险评估方法、应对措施、风险监测和预警等方面最为接近,完全可以将法律风险管理融入合规风险管理,而不再设单独的法律风险管理或者法律风险管理体系。
3. 建立一体化管理平台,是有关合规规范的要求
我国国资委2015年12月8日《关于全面推进法治央企建设的意见》(国资发法规[2015]166号),要求我国中央企业加快提升合规管理能力,…… 探索建立法律、合规、风险、内控一体化管理平台。
我国国资委《中央企业合规管理指引(试行)》将协调联动确立为中央企业建立健全合规管理体系的基本原则,要求推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接,确保合规管理体系有效运行。
我国银监会《商业银行合规风险管理指引》第二十一条要求,商业银行应建立合规管理部门与风险管理部门在合规管理方面的协作机制。
我国国家标准《企业法律风险管理指南》第4条f)款规定,企业法律风险管理是企业风险管理体系的组成部分,要与其他风险的管理活动整合,以提高风险管理的整体效率和效果,并要求将企业法律风险管理纳入企业全面风险管理体系。
(二)建立企业风险管理一体化平台探索
企业风险管理一体化管理平台,需要在企业风险管理的组织、职能、制度和流程、人员、资源、信息管理系统以及管理文化方面协调、融合和统一。
1. 领导支持,统一思想
建立企业风险管理一体化管理平台具有重要意义,企业领导需要给予高度重视和支持。各相关部门需要统一思想,立足全局,打破部门利益,紧密地协调合作。
2. 探索企业风险管理组织、职能和人员的一体化
企业四类风险管理的组织、职能与人员可以一体化。
一是将企业风险管理委员会与合规委员会合二为一,接受企业董事会的授权,对企业四类风险管理进行统一领导、管理和协调。
二是将四类风险的管理职能,由一个部门(可以是企业风控部门、内控部门或者法律合规部门)统一归口。如果不能由一个部门统一归口,则可以建立密切协作、统一协调的风险管理办公室、风险管理小组或者联系会议,由风险管理办公室、风险管理小组或者联系会议对企业风险管理进行统一管理。
三是建设一体化的企业风险管理队伍,培训、提高企业风险管理队伍的专业知识和能力。在开展企业风险管理项目时,企业风险管理队伍由风险管理归口部门(办公室或小组)统一调度和管理。
3. 探索风险管理制度与流程的一体化
企业风险管理制度涉及风险管理的组织、职责、流程等。企业四类风险在范围上属于依次包含的关系,其管理流程虽有各自强调的重点,但总体上趋同。因此,存在企业风险管理制度与流程一体化的基础和条件。
企业应成立专门项目小组,对企业现有各个风险管理制度与流程进行检查、分析和研究,对现有风险管理制度与流程进行修改补充,或者重新制定统一的企业风险管理制度,实现企业风险管理制度与流程的一体化。
4. 探索同步、统一开展风险管理项目
企业四类风险管理项目,因为其范围和重点不同,内容和要求也存在差别。但可以统筹协调,统一计划,统一开展四类风险管理的项目。例如,法律风险管理项目完全可以融入合规风险管理项目。
统一开展合规风险管理项目,有助于节约资源和成本,提高项目效率和效果,减少对相关业务部门和职能部门的干扰。
5. 探索建立企业风险管理一体化信息管理系统
探索企业风险管理信息化系统(OA系统)的融合统一,建立一体化的企业风险管理信息化平台,包括(但不限于):
(1)知识管理模块:实践经验、合规规范、典型案例、学术著作与文章、风险管理格式文件等;
(2)风险管理模块:发布风险管理项目方案,收集风险管理基础信息,提供风险评估的技术方法和程序,储存并不断更新风险清单并实现企业风险日常监测和预警,发布风险应对整改计划和方案,对风险的应对整改进行跟踪和监督检查;提供风险管理沟通与协调平台;
(3)风险管理制度和流程模块:发布风险管理制度与流程及其修改、补充,跟踪监督风险管理制度与流程的执行,收集风险管理制度和流程执行情况的信息和意见;收集对风险管理制度与流程的修改、补充意见;组织对风险管理制度与流程的修改和补充;
(4)风险审查模块:实现线上统一风险审查和审批;
(5)宣传与培训模块:提供线上风险管理宣传与培训平台,发布风险管理宣传与培训课程资料,实施线上风险管理宣传与培训,实现线上风险管理培训考核;
(6)风险管理计划与报告模块:收集风险管理计划、风险报告信息资料和意见,修改、提交、审批风险管理计划与报告,跟踪、监督风险管理计划、报告的执行。
6. 探索建设一体化的企业风险管理文化
通过企业风险管理一体化的组织、制度和流程、风险管理活动、培训与宣传等,建设企业一体化的风险管理文化。