雒宏偉(上海天祥質量技術服務有限公司)
2019年6月14日發表在國企網
摘要: 央企按照《中央企業合規管理指引》的要求建立合規管理體系并成立合規管理部門,而很多央企已經建立了全面風險管理體系、內控體系和其它管理體系,這些體系之間什么關系?如何整合?并且現有的風控、審計和法務在承擔一些合規管理工作,它們與合規管理職能之間職責如何劃分?本文將圍繞這些問題進行研究分析。
關鍵詞:中央企業合規管理指引 合規管理體系
Study on RelationshipBetween Compliance, Risk Control, Auditing and Law
LUO HONGWEIIntertek China
Abstract: Central enterprises need to establishcompliance management system and set up compliance department according toCentral Enterprises Compliance Management Guideline. However, a lot of centralenterprises have in place Comprehensive Risk Management System, InternalControl System and other management systems. What are the relationships betweenthese systems? How to integrate? Since existing risk control, auditing and lawfunctions are undertaking parts of compliance management works, how to separatetheir responsibilities? This article will study and analyze these questions.
Keywords: Central Enterprises Compliance ManagementGuideline Compliance Management System
在當前中美競爭的大背景下,美國人利用中興通訊和華為所謂的合規問題對其進行嚴厲的制裁,使得合規管理的重要性受到上至國家領導人下至普通百姓的高度關注。“為推動中央企業全面加強合規管理,加快提升依法合規經營管理水平,著力打造法治央企,保障企業持續健康發展”,2018年11月2日國資委下發了《中央企業合規管理指引(試行)》(以下簡稱“合規指引”)。指引第四條明確“中央企業應當加快建立健全合規管理體系”,并在第十條提出“法律事務機構或其他機構為合規管理牽頭部門”、“監察、審計、法律、內控、風險管理、安全生產、質量環保等相關部門,在職權范圍內履行合規管理職責。”因此,按照“合規指引”的要求,央企要建立合規管理體系并要成立合規管理部門。但是目前大部分央企已經按照國資委和財政部的相關文件要求建立了全面風險管理體系、內控體系,并且成立了單獨的或者合并的風控、審計、法務部門在履行與合規相關的部分職能,如果再成立合規管理部門,很多人就會提出疑問:現有的全面風險管理體系和風控體系與合規管理體系之間是什么關系?如何整合?合規管理職能和現有的風控、審計、法務之間的職責如何劃分?
上述問題是筆者在給央企提供合規管理體系培訓和咨詢服務的過程中被經常問到的問題,我將針對以上這些問題進行研究分析,希望能給央企貫徹《中央企業合規管理指引》建立合規管理體系提供參考。
一、合規管理體系與全面風險管理體系、內控體系的關系
在說明這三個體系之間的關系之前,我們要先了解央企建立這三個體系的背景。關于為什么要建立合規管理體系我們已在前面進行了說明。而央企建立全面風險管理體系是因為國資委“為指導國務院國有資產監督管理委員會(以下簡稱國資委)履行出資人職責的企業(以下簡稱中央企業)開展全面風險管理工作,增強企業競爭力,提高投資回報,促進企業持續、健康、穩定發展”,在2006年6月6日印發《中央企業全面風險管理指引》(國資發改革[2006]108號)(以下簡稱“風險指引”),其中第四條提出建立全面風險管理體系。而央企建立內控體系是因為2008年5月22日財政部“為了加強和規范企業內部控制,提高企業經營管理水平和風險防范能力,促進企業可持續發展,維護社會主義市場經濟秩序和社會公眾利益”,會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》(以下簡稱“內控規范”),提出了建設內控體系的要求。
從“風險指引”的內容和要求可以看出“風險指引”實際上是參考了國際上關于風險管理的一些標準、法規、管理理念和最佳實踐,該指引明確“本指引所稱全面風險管理,指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系”。全面風險管理體系覆蓋了企業管理的各個方面、各個層次和各個過程存在的風險。
而“內控規范”明確“內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,提高經營效率和效果,促進企業實現發展戰略。”“內控規范”的第二十條提出“企業應當根據設定的控制目標,全面系統持續地收集相關信息,結合實際情況,及時進行風險評估。”從規范的內容和要求可以看出財政部要求的這個內控體系也是建立在風險管控的基礎上,主要針對的是合規風險、資產管理風險從財務的角度對內部控制和財務報告的真實性和完整性提出了具體要求,和國資委要求的全面風險管理體系本身很多要求是一致的,體系存在相當一部分的重疊。
關于合規管理體系,“合規指引”給出合規管理的定義:“本指引所稱合規管理,是指以有效防控合規風險為目的,以企業和員工經營管理行為為對象,開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動。”從中可以看出合規管理體系只是針對的企業的合規風險,圍繞合規義務和合規風險建立的管理體系。
除了合規管理體系外,很多央企已經建立了眾多的其它管理體系,如:質量管理體系、環境管理體系、職業健康安全管理體系、信息安全管理體系、能源管理體系等,這些管理體系也都是建立在風險管控的基礎上的,如質量管理體系管控質量風險、環境管理體系管控環境風險等,同時考慮到質量管理、環境管理、安全管理、信息安全管理、能源管理等的特點、管理原則和最佳實踐,并且與ISO的管理體系方法相結合。實際上風險管控是融入到各個管理體系當中是其不可分割的一部分,而各個管理體系在風險管理管控的基礎上又有各自更加具體的要求。風控體系本身關注的一個重點就是合規風險,而風控體系和全面風險管理體系的很多要求是一致的,因此我們說全面風險管理體系、內控體系和合規管理體系之間存在緊密的聯系。為了管理的有效性和效率,我們應將全面風險管理體系、內控體系、合規管理體系與其他管理體系整合。
二、合規管理體系與全面風險管理體系、內控體系以及其它管理體系如何整合?
關于管理體系的整合我專門寫過一篇“圍繞企業戰略基于全面風險管控的管理體系整合研究”的文章發表在最新一期的《中國認證認可雜志》上。為了避免重復,現在只將整合的思路在此與大家分享。
管理體系整合不是簡單的文件的整合,應該作為真正的一體化的管理體系運行。如圖一所示,建立一體化管理體系要首先識別企業的內外部環境和相關方的要求,識別企業外部的機會和威脅,企業自身的優勢劣勢,從而有針對性地制定企業的戰略目標,使企業得到更好的發展。接著進行風險的識別分析和評價。各管理體系可以分別進行風險識別、分析,然后統一進行評價,找出企業需要控制的重大風險,然后制定措施進行控制。將風險的識別分析和評價作為各個管理體系策劃的基礎,各職能部門可以分別對各自分管的管理體系進行策劃,但是各管理體系的要求和風險的應對措施要整合進入企業的各業務過程,并將各崗位涉及的管理體系要求整合進入企業統一的崗位職責,并根據職責確定新的能力要求。同時將各管理體系制定的目標整合進入企業的績效考核,并考慮重要程度不同確定不同的權重。
圖一 管理體系整合的思路和方法
三、合規管理職能和現有的風控、審計、法務之間職責如何劃分?
“合規指引”的第十條明確“法律事務機構或其他相關機構為合規管理牽頭部門,組織、協調和監督合規管理工作,為其他部門提供合規支持,主要職責包括:(一)研究起草合規管理計劃、基本制度和具體制度規定;(二)持續關注法律法規等規則變化,組織開展合規風險識別和預警,參與企業重大事項合規審查和風險應對;(三)組織開展合規檢查與考核,對制度和流程進行合規性評價,督促違規整改和持續改進;(四)指導所屬單位合規管理工作;(五)受理職責范圍內的違規舉報,組織或參與對違規事件的調查,并提出處理建議;(六)組織或協助業務部門、人事部門開展合規培訓。
“風險指引”第三十九條明確“企業風險管理職能部門應定期對各部門和業務單位風險管理工作實施情況和有效性進行檢查和檢驗,要根據本指引第三十條要求對風險管理策略進行評估,對跨部門和業務單位的風險管理解決方案進行評價,提出調整或改進建議,出具評價和建議報告,及時報送企業總經理或其委托分管風險管理工作的高級管理人員。”
“內控規范”第十五條明確提出“內部審計機構應當結合內部審計監督,對內部控制的有效性進行監督檢查。內部審計機構對監督檢查中發現的內部控制缺陷,應當按照企業內部審計工作程序進行報告;對監督檢查中發現的內部控制重大缺陷,有權直接向董事會及其審計委員會、監事會報告。”
而企業的法務部門通常負責:參與決策,為企業的經營、管理決策提供法律上的可行性、合法性分析和法律風險分析;參與企業重大經濟活動的談判工作,提出減少或避免法律風險的措施和法律意見;審查、修改、會簽經濟合同、協議,協助和督促企業對重大經濟合同、協議的履行;解決已發生的法律問題等。
從上述指引和規范對合規管理、風險管控、內部審計的職責的要求以及企業通常賦予法務部門的職責來看,這些職能之間存在一些交叉。為了對它們職責進行區分,我們把它們放在整合后的一體化管理體系中進行說明。結合圖一管理體系整合的思路和方法,我們認為包括風控部門在內的各職能部門應參與到企業內外部環境的分析和企業戰略目標的制定,而風控部門可以作為牽頭部門。風控部門負責組織風險評價工作,制定統一的評價的方法和準則,由其他各職能部門如:質量部、環保部、安全部、IT、合規部、研發部、人力資源部、法務部、財務部等組織完成對企業相關職能管理方面存在的風險的識別和分析,其中合規部負責所有合規風險的識別和分析,而法務部負責合規風險當中法律法規方面的風險的識別和分析,所有的風險由風控部門匯總進行統一評價,形成企業整體的重大風險清單,然后由各職能部門組織制定分管范圍內重大風險的應對措施,由風控部門將措施匯總組織討論評審后,提交領導層批準,然后風控部門組織各相關部門落實,并圍繞重大風險和風險控制措施實施的有效性制定相關層級、部門和崗位的目標。各職能部門圍繞各分管范圍的內的重大風險管控效果和風險控制措施有效性,策劃各分管范圍內監督檢查和內部審計的計劃,明確監督檢查和內部審計的項目、責任部門、方法、完成頻次和時間等,其中重要的或者法規要求的監督檢查和審計工作交審計部實施,其它一些監督檢查工作由其它相關職能部門實施,各職能部門根據監督檢查的情況和審計發現的問題督促各部門制定措施。
從上面的分析可以看出,總體上風控部門是風險綜合管理部門,合規部是合規風險的管理部門,法務部負責合規風險中法律法規風險的管控和一些法律實務工作,審計部負責重大風險管控措施、重要法律法規和內部管理制度落實的監督檢查工作。
參考文獻
【1】 SASAC,《中央企業合規管理指引(試行)》
【2】 SASAC, 《中央企業全面風險管理指引》
【3】 MOF,《企業內部控制基本規范》
作者簡介
雒宏偉,工商管理博士。研究方向:反賄賂管理、合規管理、資產管理、道路交通安全管理。INTERTEK集團上海天祥質量技術服務有限公司ISO37001、ISO19600、ISO39001和ISO55001項目經理。
