法律、合规、内控、风险管理协同运作——核心是风险管理协同
发布时间:2022-08-12
文 | 郭青红 汇业律师事务所 合伙人
企业建立法律、合规、内控、风险管理协同运作机制,从理论到实践都倍受关注和重视。基于多个项目实践经验,笔者认为,这一协同运作机制的核心是风险管理协同。
一、从“一体化管理平台”到“协同运作机制”
国务院国资委2015年12月8日发布《关于全面推进法治央企建设的意见》,首次要求中央企业探索建立法律、合规、风险、内控一体化管理平台。
国务院国资委2021年10月17日《关于进一步深化法治央企建设的意见》,要求中央企业探索构建法律、合规、内控、风险管理协同运作机制,加强统筹协调,提高管理效能。
国务院国资委办公厅2022年1月15日《关于开展中央企业“合规管理强化年”工作的通知》,要求中央企业积极探索法治框架下法律、合规、风控协同运作的有效路径,完善工作机制,减少交叉重复,提升管理效能。
就同一内容,三份文件的的表述略有不同,但背后含义丰富。一是,四大管理体系在组织体系、制度体系、运行机制、保障机制等方面存在诸多趋同性,但其运行机制也存在差异性和各自的专业性。四大管理领域要协同运作,而非绝对的一体化管理。二是,风险防控是四大管理体系的主要管理目标。四大体系要以风险为导向,以内控为根基,以法律合规管理为重点。建立四大管理体系的协同运作机制,排序从“法律、合规、风险、内控”调整为“法律、合规、内控、风险”,更能反映其内在逻辑关系。
二、相互关系
(一)全面风险、法律风险与合规风险之间的关系
1. 风险内容
按照国务院国资委《中央企业全面风险管理指引》,企业全面风险包括战略风险、财务风险、市场风险、运营风险、法律风险等。
按照国家质量监督检验检疫总局、国家标准化委员会《企业法律风险管理指南》,企业法律风险包括法律环境风险、违法风险、违约风险、怠于行使权利风险和不当行为风险。
按照国务院国资委《中央企业合规管理指引(试行)》以及各地方政府国资委合规管理指引,合规风险是企业及其员工违反合规义务给企业带来损失和法律责任的可能性,包括违法风险、违反内部规章风险和违反道德规范风险。
2. 相互关系
全面风险与法律风险、合规风险属于同一维度和同一范畴,存在包含与被包含的关系。其中,全面风险包括法律风险与合规风险,法律风险与合规风险之间也存在交叉(即违法风险)。法律风险、合规风险属于全面风险的子风险或者专项风险。图示如下:
(二)法律、合规、内控与风险管理之间的关系
按照美国COSO最新的《企业风险管理整合框架》,全面风险管理由八个步骤和要素构成,即目标设定、内部环境、事项识别、风险评估、风险应对、控制活动、监督和检查、信息和沟通。
按照财政部等五部委《企业内部控制基本规范》,内部控制由环境评审、风险评估、控制措施、信息与沟通、监督检查等五个步骤和要素构成。根据企业管理目标的需要,内部控制过程中的风险评估,可以是全面风险评估,也可以是专项风险(如法律风险、合规风险、公司治理风险、供应链风险等)评估。
按照国务院国资委《中央企业全面风险管理指引》,全面风险管理体系包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统等。内部控制为风险管理提供重要的应对措施,内部控制体系也成为全面风险管理体系的主要子体系之一。正因为如此,国务院国资委2019年10月19日《关于加强中央企业内部控制体系建设与监督工作的实施意见》,要求中央企业以风险管理为导向、内控为基础、法律合规管理重点,实现“强内控、防风险、促合规”的管控目标,形成全面、全员、全过程、全体系“同防共治”的风险防控机制,即大风控体系。
但是,内部控制自含完整的风险管理(风险识别、评估和应对)流程,自成体系,可以相对于全面风险管理体系独立存在。在我国,内部控制与全面风险管理呈现日趋融合的趋势。上交所、深交所《上市公司内部控制指引》已经将内部控制的传统五要素扩展到与全面风险管理趋同的八要素。因此,企业如果尚未建立全面风险管理体系,也可以选择只建立内部控制体系并强化其中的风险管理。
法律、合规、内控与风险管理之间的关系,图示如下:
三、法律、合规、内控、风险管理协同运作的核心是风险管理协同
(一)风险防控,是四大体系的主要目的。
图示如下:
(二)风险管理,是四大体系运行机制的主要构成要素和内容。
图示如下:
(三)风险管理流程,四大体系趋同
法律风险管理、合规风险管理、内部控制、全面风险管理拥有共同的风险管理流程,即环境评审、风险评估、风险应对、信息与沟通、监督与检查。
(四)风险管理,四大体系的核心内容
法务管理、合规管理、内部控制和全面风险管理四大体系,其组织体系围绕风险防控的需要而设置,其制度流程围绕风险防控的需要而制定,其保障机制围绕风险防控的需要而开展。尤其是,四大体系的组织体系、保障机制具有很强的趋同性,可以进行整合。
四、关注企业风险的特点
(一)关注风险的差异性
1. 风险性质存在差异
全面风险中的战略风险、财务风险、市场风险,大多属于机会风险(即带来损失和盈利的可能性并存)。而法律风险、合规风险,大多属于存粹风险(即只有带来损失一种可能性)。
2. 风险评估方法存在差异
3. 风险管理策略(风险应对)存在差异
特别提示,当任何经营活动存在合规风险并可能违反禁止性合规义务或强制性合规义务时,应采取一票否决(即风险规避)的风险管理策略。
4. 不同企业面临的风险存在差异
不同企业,由于其所处内外部环境(业务和产品范围、业务规模、经营地域等)不同,其面临的风险可能存在差异。同一企业在不同发展阶段,其面临的风险也可能不同。
(二)各类风险可能并存
1. 大多企业,尤其是企业集团总部和独立经营的企业,可能同时存在全面风险中的各类风险,即战略风险、市场风险、财务风险、运营风险、法律风险与合规风险。
不少企业(如企业集团各级子公司)可能没有战略制定、市场开拓、对外投资方面的权限或管理内容,因此,这些企业面临的主要是运营风险、法律风险与合规风险。
2. 企业一项决策、经营活动和经济合同等,可能同时存在多个类别的风险。例如,企业为扩大产品和市场范围而投资并购另一家企业,其中可能同时存在战略风险、市场风险、财务风险、法律风险与合规风险。
五、法律、合规、内控、风险管理协同运作机制的建立
(一)目标和原则
我国中央企业、地方国有企业建设法律、合规、内控、风险管理协同运作机制,围绕企业改革发展总体目标,健全企业法人治理机制,以风险为导向、内控为基础、法律合规为重点,牢筑风险管理三道防线,形成全面、全员、全流程、全体系的风险防控机制,全面防控企业各类风险,促进企业健康可持续发展。
(二)建立分类、分层风险管理机制
企业乃至企业的具体经营活动都面临多个风险并存的情况。不同类别风险的性质、评估方法、风险管理策略等存在差异。
企业单凭某一类风险管理(如合规风险管理),不可能防控所有种类的风险。
企业应建立分类、分层、立体防控的风险管理机制,对不同类别和性质的风险,有针对性地采取不同的评估方法及风险管理策略,形成全面、全员、全流程、全体系的风险防控机制,全面防控企业各类风险,
(三)组织整合与岗位整合
四大体系的组织体系趋同,应当进行整合。
整合风险管理岗位,负责合规管理、风险管理与内部控制。
风险管理(尤其是法律风险管理与合规风险管理)的专业性很强,需要懂法律、晓管理、精合规、熟业务的专业知识和能力。企业应注重复合型人才的引进和培养。
(四)风险管理制度与流程的一体化
对企业现有风险管理制度与流程进行修改、补充,制定覆盖全面风险管理、法律风险管理与合规风险管理的统一的风险管理指引。
(五)同步、统一开展初步风险管理
在对各部门领域开展初步风险管理时,同步、统一地识别各类风险、开展风险评估、提出应对措施建议。
(六)项目中开展立体式风险评估
对项目进行包括全面风险、合规风险、法律风险在内的立体式风险评估。
(七)风险管理信息系统一体化
建立包括全面风险、合规风险、法律风险在内的风险管理信息一体化。