建立企业法律、合规、风险、内控一体化管理平台
发布时间:2020-03-03
文 | 郭青红 汇业律师事务所 合伙人
国务院国资委2015年12月8日《关于全面推进法治央企建设的意见》(国资发法规[2015]166号)要求探索建立法律、合规、风险、内控一体化管理平台。如何建立这四大领域的一体化管理平台是个大课题,也一直是企业在建立合规管理体系实务中普遍遇到和思索的问题。
本文基于汇业律师事务所企业合规管理团队多年的合规管理服务实践,对这一课题做初步探讨。限于篇幅,本文只做框架性的简要介绍。
一、一体化管理平台
企业管理体系是企业建立方针和目标并实现这些目标的体系,是企业组织制度与管理制度的总称,核心要素包括目标设定、组织机构、制度流程、监督检查、绩效考核与激励、培训、文化建设等。企业不同管理功能与业务领域之间存在各自不同的目标、计划、领导、组织和控制机制,并因此建立企业管理的若干分体系,包括财务管理体系、生产管理体系、QHSE(质量、健康、安全、环境)管理体系、采购管理体系、销售管理体系、人力资源管理体系、内部控制体系、风险管理体系、法务管理体系、合规管理体系等。
一体化管理平台又称一体化管理体系(Integrated Management System,即IMS),是企业将两个或两个以上的管理体系,经过有机协调整合成为一个管理体系运行,成为相互协调、相互兼容、相互补充的有机整体。将两个或多个管理体系整合为一个管理体系或者一体化管理平台的基本前提是,被整合的管理体系的各构成要素或者主要构成要素存在趋同性。建立一体化管理平台,有助于减少相关分体系之间管理上的不协调,优化管理流程,减少管理环节,实现优势互补,提供问题的整体解决方案,共享与节约资源,提高管理效率。
建立一体化管理平台的最佳实践案例是QHSE(质量、健康、卫生、环境)管理体系整合。QHSE管理体系将体系结构、形式、内容趋同的三个独立体系(即质量管理体系ISO9000、环境管理体系ISO14001、职业健康和安全管理体系OHS AS18001)进行有机整合,建立一体化的管理平台和系统(即QHSE系统),使三个体系的各构成要素相互兼容、相互协调、相互补充,实现资源管理合理化、运行过程协调化、测量分析同步化、持续改进综合化、管理机制一体化以及内部监督一体化,并实现一体化的体系认证审核。
二、我国企业开展法律、合规、风险、内控管理的基本情况
1. 国有企业
我国中央企业一直是四大体系的率先践行者,从集团总部到各子公司都建立了法务管理体系、内部控制体系和全面风险管理体系,并正在积极推动合规管理体系建设。
大型地方国有企业集团及其子公司已经建立起法务管理体系和内控管理体系,并正在积极推动合规管理体系建设,但大多没有建立全面风险管理体系。一般地方国有企业的法务管理、内部控制大多处于初始阶段,子公司尚未开展法务管理或内部控制。一般地方国有企业尚未开展合规管理和全面风险管理。
2.民营企业
民营企业建立四大体系的情况与地方国企类似。作为商业银行、保险公司、证券公司、基金管理公司、上市公司的民营企业以及一些走在改革前沿的大型民企(如华为等),已经开展了法务管理、合规管理和内控管理。开展全面风险管理的民营企业很少。
3.外商投资企业
我国外商投资企业大多遵从作为外国投资方的跨国企业集团的经营管理体系,开展了法务管理、合规管理和内部控制。法务部在外商投资企业具有独立性和很高的权威,并接受跨国企业集团法务部的垂直管理。外商投资企业的合规管理聚焦于重点领域的专项合规管理,包括反贿赂、反垄断、反洗钱、反舞弊、利益冲突、网络与数据安全等。外商投资企业的内部控制体系构成企业强大的管理基础,内部控制制度和流程贯穿到企业经营管理的各个领域和各个层面。风险管理一般由内部控制负责,因此开展全面风险管理的外商投资企业并不多见。
三、建立法律、合规、风险、内控
一体化管理平台的基础条件
法务管理、合规管理、内部控制、风险管理四大体系都是我国企业依法治企建设的重要内容,存在不同程度的趋同性。四大体系之间存在建立一体化管理平台的基础条件。
1.四大体系都是企业依法治企建设的重要内容和组成方面,其中风险管理为导向,法务管理、合规管理是重点,内部控制是重要基础和有效保障。四大领域各有侧重,相互补充,相辅相成,共同推进和保障企业依法治企建设。
从现代风险管理的三道防线来看,法务管理、合规管理、内部控制、风险管理都同属于第二道防线,业务部门与其他职能部门属于第一道防线,而审计、监察属于第三道防线。
2. 它们都属于企业的职能管理部门,对企业业务部门与业务活动提供支持,进行监督,都要求将管理要求和节点融入业务流程。
3. 合规目标是四大领域共同的、最基本的目标。相比较而言,在管理目标方面,内部控制与风险管理趋同性更强。
4.风险管理是四大领域共同的内容,法律风险管理、合规风险管理是全面风险管理的组成部分,内部控制本身包括企业运营的风险管理,并为全面风险管理应对提供内部控制措施。
5. 四大管理体系的流程和环节存在趋同性,具体表现在:
(1)管理体系的流程和环节都包括管理目标、组织体系、制度体系、风险管理、重大事项审查、审计和监督、考核与评价、宣传和培训、管理计划与报告、管理信息系统、文化建设等。
(2)在组织体系上,四大领域在第一责任人、治理机构、专门委员会、审计监督、其他职能部门与业务单位日常管理职责、子公司组织体系等方面都具有趋同的要求和规定。
(3)在制度体系上,四大领域的制度体系都基于各自职责而存在差异,但在风险管理、审计和监督、宣传和培训、计划与报告、管理信息系统、文化建设等的制度流程方面都存在趋同性。
(4)在管理体系的其他流程和环节方面(包括风险管理、审计和监督、宣传和培训、计划与报告、管理信息系统、文化建设等),四大领域都存在趋同性。
当然,四大体系之间也存在差异性。首先是侧重点不一样。法务管理侧重于专业性的法律事务,合规管理侧重于合规管理活动的组织、指导、监督和考核,内部控制侧重于企业内部环境、运营风险管理和控制活动,全面风险管理则侧重于企业整体性、组合性风险管理并引入风险偏好、风险承受度、风险与利益平衡等理念。此外,四大体系在管理目标、管理制度、事项审查等方面也存在差异。法务管理因其法律事务的专业性与实务性而具有更强的独立性,与其他三大领域的差异性也更大。合规管理、内部控制、风险管理都属于管理性部门,在职能和管理体系方面存在更多的交叉和重叠,相互之间的差异性相对要小一些。
四、LCR整合框架
LCR整合框架是对法务管理(Legal Matters)、合规管理(Compliance)、内部控制(Control)和风险管理(Risk Management)四大体系的框架和构成要素等进行整合。这是建立法律、合规、风险、内控一体化管理平台的第一步。
(一)四大体系的现有框架
法务管理、合规管理、内部控制、风险管理四大体系的现有框架列表如下:
法务管理体系的架构基于合规管理体系架构模式进行编排,体系架构是一致的。内部控制体系基于内部控制的基本要素(内部环境、风险识别与应对、控制活动、信息与沟通、内部监督)进行编排。风险管理体系基于国家标准《风险管理 原则与实施指南》进行编排。因此,法务管理体系、合规管理体系的架构,内部控制体系的架构,与风险管理体系的架构存在较大差别。但仔细比较,其主要构成要素趋同,包括管理目标、组织体系、制度体系、风险管理、计划报告、宣传培训、监督检查、管理信息系统、文化建设等。
(二)LCR整合框架
兼顾四大体系构成要素相互之间的趋同性以及差异性,考虑到整合后体系构成要素的完整性,将LCR整合框架扩大到15个构成要素,即管理目标、组织体系、制度体系、运行机制(包括法律合规事务、风险管理、控制活动与违规管理)和保障机制(包括监督检查、人力资源保障、宣传培训、计划报告、管理信息系统与文化建设)。LCR整合框架列表如下:
五、建立高度一体化的管理平台
以已经建立法务管理体系、合规管理体系、内部控制体系、风险管理体系的企业(主要是中央企业、大型地方国企和大型民企集团)为例,可以探索建立高度一体化管理平台,实现管理体系各构成要素之间整合的最大化,只保留原来各体系各自专业性的、独立的特殊事务。
1.基本理念
建立高度一体化管理平台基于以下基本理念:
(1)建立一体化管理平台,以实现一体化管理平台的实用性、有效性、融合性以及共享和节约资源、提高经营管理效率为目的。
(2)合规管理与法务管理、内部控制的的趋同性都比较强,因为外法(外部法律、法规)的合规管理与法务管理重叠,内规(企业章程和内部规章制度)的合规管理与内部控制重叠,两者都接受内审部门的审计监督。因此,建立高度一体化管理平台,合规管理的独立性受到挑战。外法的合规管理可由法务管理兼管,内规的合规管理则可以由内部控制兼管。
(3)内部控制与风险管理的趋同性很强,因为全面风险管理是在内部控制的基础上发展起来的,是对企业内部控制基本要素的扩展。深交所和上交所《上市公司内部控制指引》已经在传统的内部控制五大基本要素(内部环境、风险评估、控制活动、信息与沟通、内部监督)基础上增加了三个要素(目标设定、事项识别和风险对策),将内部控制的五大要素扩展为八大要素,使内部控制的基本要素与全面风险管理的基本要素完全一致。因此,建立高度一体化管理平台,全面风险管理的独立性受到挑战,可以将内部控制的风险管理扩展为全面风险管理并由内部控制兼管。
(4)建立一体化管理平台,不是简单的相加或者去留,而需要兼顾每一领域的侧重点和特殊性(例如,法务事务的专业性和实务性,内部控制的控制活动等),并在统一的管理体系中予以考虑,留有空间和余地。
2.要素之间的高度整合
在高度一体化管理平台中,四大体系的以下构成要素实现高度整合:
(1)组织体系方面,实现第一责任人、治理机构、专门委员会、管理负责人一体化,并设立法务内控部统一四大领域的管理。
(2)实现风险管理、事项审查、审计监督、激励机制、考核评价、计划报告、管理信息系统、文化建设一体化。
3.高度一体化管理平台框架
四大体系整合后高度一体化管理平台框架列示如下:
六、建立一体化管理平台的步骤
四大体系一体化管理平台的建设一般包括以下步骤:(1)基础培训,统一思想;(2)立项及项目启动;(3)环境评审(尽职调查);(4)体系策划与体系文件编制;(5)体系评审;(6)宣传培训;(7)调整组织机构与职责;(8)监督审计;(9)持续改进。
建立法律、合规、风险、内控一体化管理平台是一个大工程,需要统一思想,协调一致;需要充分准备,稳步推进,立足长远;需要有效落地,避免形式主义;更需要企业最高领导层强有力的支持。