“法务、合规、内控、风险”协同管理的
实践背景
对于法律风险、合规风险、重大风险等的预防、控制与应对,一直是中央企业、国有企业的一项重要工作。央、国企具有多职能部门管理且全员参与的特性,这种管理模式导致企业法务、合规、内控、风险管理等自成体系,风险管控工作与业务工作相脱节,同时也存在重复且漏点多、协同能力弱等问题,从而使得企业的整体风险管控工作无法取得成效。
就大型企业的业务管理而言,法务、合规、内控、风险等活动,在不同企业由不同的部门承担,实践中存在一定的职责交叉和职能重复;同时在国资监管层面,法务、合规、内控、风险等工作,由国资委下属不同的“局”或“处”监督管理,在实际中,各监管部门推动不均衡;另外一个层面,在指导标准文件方面,法务、合规、内控、风险等均存在各自的“指引”、“规范”或“标准”,但这些指导文件的组成和流程还是存在较大差异的。前述三点说明法务、合规、内控、风险活动本身是来自于不同的“背景”的,也说明法务、合规、内控、风险是存在较大区别的,谁也无法消灭谁,否则不会出现当前“多头并行”的状态。
由此,相关主管部门一直在推动法务管理、合规管理、内部控制、风险管理的统筹或协同。例如:
2015年12月
在国务院国资委印发的《关于全面推进法治央企建设的意见》中,提出“探索建立法律、合规、风险、内控一体化管理平台”。
2019年10月
国务院国资委印发的《关于加强中央企业内部控制体系建设与监督工作的实施意见》,进一步提出“强内控、防风险、促合规”。
2021年10月
国务院国资委印发《关于进一步深化法治央企建设的意见》,则提出“探索构建法务、合规、内控、风险管理协同管理机制,加强统筹协调,提高管理效能”。
2022年10月1日
国务院国资委颁布的《中央企业合规管理办法》正式施行,其第26条再次提出“中央企业应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同管理机制,加强统筹协调,避免交叉重复,提高管理效能。”
“法务、合规、内控、风险”协同管理的
整合价值
推动“法务、合规、内控、风险”协同管理,是大型企业加强统筹协调,提高管理效能的必然结果,对于企业的职能统筹、风险评估及规范管理等均存在巨大价值。
1
加强企业风险管控职能的统筹
当前,大型企业的风险管控工作是分散的。法务部门(法务岗)承担了法律风险管理的职责;合规部门(合规岗)承担了合规风险管理的职责;内控部门(内控岗)承担了内部控制的职责;风险部门(风控岗)承担了风险管理的职责。这些职责,本质上都属于集团的风险管理职责,虽然风险属性不一、具体措施不一,通过协同管理,可统筹起来。
2
整合风险评估工作
内部控制工作,自2012年5月国务院国资委、财政部联合发文,提出要关于加快构建中央企业内部控制体系以来,以风险管理为导向,梳理各类各项业务流程,查找经营管理风险点,评估风险影响程度等工作,一直是央企、国企风险管控工作的重点。2006年6月发布的《中央企业全面风险管理指引》、2018年11月发布的《中央企业合规管理指引(试行)》 ,均提出要进行风险辨识、风险评估等工作。在表现形式上,不同企业所制定的风险清单或风险矩阵,形式也各一,有必要从内容和形式上,对风险评估工作进行整合。
3
协同风险管控制度和流程
为应对经营管理中出现的各类风险,企业采取了不同的风险管控措施。如内部控制中的不相容职责相分离、合规管理中的合规审查与调查、风险管理活动中的风险对冲策略等,这些管控措施的实现,均有赖于企业主动建立相关的流程和机制,并形成书面的规章制度或手册指南等。由此,导致企业中可能存在多个部门或岗位牵头推动的风险管控相关的管理流程或管理制度,这些流程或制度,均是以企业的业务为对象,从而导致某一业务运行会被多个管控流程“制约”,影响了效率。因此,协同管理可以对分散的、不同特点的风险管控流程进行统一配置,去掉重复和冲突,减少管控节点,提高运行效率和效能。
4
统一合规与风控文化
法务、合规、内控、风险等工作,离不开有效的风险文化。但事实上,在合规管理中,监管部门和企业提出了合规文化;在内控和风险管理中,监管部门和企业提出风险管理文化。一个企业,要达到统一思想的地步,应当形成“强文化”。强文化,指企业的某种文化是显著突出的,发出的声音是一致的。合规文化是强调底线、规则优先于业务,但风险文化又包含了追求效率,以战略目标实现为核心等思想,在某些情况下,两者必然会发生冲突。如何取舍,企业必须有明确的合规价值观以及统一的风控认知。因此,在企业风险文化建设层面,有必要把法务、合规、内控、风险等可能蕴含的企业“亚文化”统一到企业文化建设中,如此方可达到统筹协调、提高管理效能的结果。
“法务、合规、内控、风险”协同管理的
实施路径
1
“法务、合规、内控、风险”协同管理的整体思路
“法务、合规、内控、风险”协同管理,是在承认法务管理、合规管理、内部控制、风险管理等工作不能相互取代的基础上进行的统筹安排。四者之所以不能相互取代,是因为其各有独特要求;之所以可以协同,是因为其具有共同属性的管理要素。“法务、合规、内控、风险”的协同,是建立在这种“共性”和“个性”交织在一起的基础之上的。协同管理的基本路径即应当围绕“求同存异”的思路展开。
2
归纳“法务、合规、内控、风险”的共通管理要素
根据《企业法律顾问管理办法》(1997)、《国有企业法律顾问管理办法》(2004)等规定,结合标杆企业的法务管理实践,要实现良好的法务管理,必须在以下几个方面展开。这几个方面,即构成了法务管理的管理要素。它们分别是法务情境、合格法律顾问、法务内部服务、资源支撑、法务部运行、绩效考核、改进等。
根据《中央企业合规管理办法》(2022)等规定,并结合ISO 37301 《合规管理体系 要求及使用指南》(2021)等标准,要实现有效的合规管理,必须围绕以下几个管理要素。它们分别是合规管理环境、合规职责、合规治理方针、合规行为准则、合规风险评估、合规管理制度、合规管控流程、合规评价、合规文化等。
根据《企业内部控制基本规范》(2008)等规定,结合COSO《内部控制整合框架》(2013)等标准,要实现有效的内部控制,必须围绕以下几个管理要素。它们分别是内部环境、风险评估、控制活动,信息与沟通、内部监督等。
根据《中央企业全面风险管理指引》(2006)等规定,结合COSO《企业风险管理—整合战略和绩效》(2017)等标准,要实现有效的企业风险管理,必须围绕以下几个管理要素。它们分别是风险组织、风险信息收集、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险文化等。
通过将法务管理、合规管理、内部控制、风险管理等工作进行细分,梳理、形成各自的管理要素,再对比四者的要素内容,可较清楚地认识“法务、合规、内控、风险”的共通之处,从而为四者的协同管理打下坚实基础。
表1:法务、合规、内控、风险的共通管理要素
3
突出“法务、合规、内控、风险”的各自价值主张
“法务、合规、内控、风险”的协同,不是混同。在协同管理过程中,仍需强调四者的独立价值,即各自的侧重点是不同的。认识到这一点,是对四者形成的不同历史背景的尊重,也是对四者各自发挥其特有价值的肯定。即是说,如何怎样协同或统筹,甚至“一体化”,都无法完全去掉这四者的特有“价值主张”。
当今企业的基本命题一是持续发展,二是风险控制。在不确定性逐渐增加的“乌卡”时代,风险控制变得越来越重要。企业必须发展出更加科学、合理的风险控制手段和工具。基于企业对风险管控的综合需求,法务管理、合规管理、内部控制、风险管理等,可以说是在不同的企业内部管理背景下发展而来的。
法务管理是基于市场经济发展,企业对法律的需求逐渐增加,但对控制法律成本的需求也在增加,最终希望用“内部法律顾问”的方式取代大部分的社会职业律师。内部控制是基于特定时代上市公司财务造假肆行,监管者为挽救资本市场的投资者信心而强力介入企业内部管理,要求企业依法强化内部沟通,保障如实披露。合规管理则是基于各国强化用法律作为竞争的手段,加大监管力度,同时运用“胡萝卜加大棒”的机制,以促进企业能够自动遵守法律,服从监管。风险管理,也是因大量企业经常遭遇毁灭性打击,提示人们要主动建立一套机制,以提前感知风险、控制风险等而出现的。
不同的背景,产生了不同的风险管控“体系”,也沉淀下来不同的风险管控理念。这些不同的价值理念,是企业实现综合风险管控所必须借助的桥梁。经过提炼,可总结如下:法务管理的特有理念,是用法律作为一种手段,尽可能地创造和保护企业的权益,其关键思维是一种商业思维;合规管理的特有理念,是通过企业建立自上下的合规管理体系,保证企业对法律法规、监管政策、行业标准、道德规范的遵守,其关键思维是一种底线思维;内部控制的特有理念,是通过企业建立健全内部规范的运作规则,设置职责权限,明确关键控制节点和控制要求,促进业务处理规范化和标准化,其关键思维是一种制衡思维;风险管理的特有理念,是围绕企业的经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的流程,健全风险管理体系,保障将企业的风险控制在与企业目标相适应并可承受的范围内,其关键思维是一种权衡思维。
表2:法务、合规、内控、风险的各自价值主张
“法务、合规、内控、风险”协同管理的
实施步骤
根据上述对“法务、合规、内控、风险”协同管理的路径分析,运用通用治理体系的管理模型,可设计出各企业“法务、合规、内控、风险”协同管理的实施步骤。
1
统一目标
通过统筹法务管理、合规管理、内部控制、风险管理等工作目标,既强调四者目标的共通性,又突出各自的侧重点,将四者的目标进行统一描述,原有的个性化目标,作为协同管理的子目标。由此,可以得到“法务、合规、内控、风险”协同管理的统一目标:通过建立协同机制,确保企业能有效地遵循法律法规,平衡风险与收益,并实现企业权益最大化。
2
协同组织
在大型企业集团内, 法务管理、合规管理、内部控制、风险管理等工作职责,往往是分属于不同的部门或岗位。进行协同管理,存在两个前提。一个前提是,需要一个统一的顶层设计。例如,在董事会下设置或合并一个合规与风控委员会,统筹领导集团的法务、合规、内控、风险管理等事务。另一个前提是,须将四类岗位职责进行统一分工、明确四者的工作边界。在同一业务事项下,可能需要法务、合规、内控等多个岗位参与,但执行的工作内容却是依四者的不同子目标而进行。例如,一次投资合同审查事项中,法务岗应当重视合同条款是否能保障本企业的合法权益等的审查;合规岗应当重视本投资事项和投资过程是否符合国家法律法规等的审查;内控岗应当重视本投资流程是否符合公司内部授权体系,是否属于履行公司的投资管控流程等的审查;风险岗应当重视本投资事项是否与公司战略一致,公司是否有能力执行本投资等的审查。这些不同的审查内容,由不同岗位审查人员出具,须先划分和明确其各自职责,然后合并审查,由此才能发挥出岗位的协同效益。
3
风险统一评估
法务管理、合规管理、内部控制、风险管理等工作,均需要风险评估。如果缺乏协同管理机制,风险评估是分别进行的,仅评估各自领域的风险。但是,对于风险的分类,其实是人为的。作为一种客观存在的可能性,风险其实是综合的。因此,作为协同管理的一个关键点,便是要统一规划,对风险进行全面的评估。一次性进行所有风险的评估,不仅节省了成本,而且对形成企业员工的全面风控及合规意识,大有裨益。同时,对问题与风险的发现,应当置于同一维度,同步进行辨识、分析与评价,形成整合的风险内控与合规控制矩阵。
4
流程协同设计
在对问题和风险进行辨识、描述、分析之后,需要针对性地提出解决措施。在法务管理部分,解决措施体现为审查意见、诉讼代理思路、并购法律意见等。在合规管理部分,体现为合规审查、合规检查、举报与合规调查等。在内部控制部分,体现为授权体系的设计、关键控制节点的设置、业务控制流程的优化等。在风险管理部分,体现为风险预警指标的设计、风险管理策略等。这些机制原来是分头进行的。如果实行四者的协同管理,应当合并“同类项”,突出“特殊项”,形成统筹的法务效率流程、合规监督流程、内控制衡流程、风险应对流程等四大类管控流程。
5
制度合并汇编
与管控流程类似,原有的法务管理、合规管理、内部控制、风险管理等均各自有其相关制度。如《合同管理办法》、《合规管理办法》、《风险管理办法》等。实行协同管理,可在管控流程统筹的基础上,制定专门的《法律、合规、风险、内控协同管理办法》。同时,借助企业整体规章制度建设优化的时机,将原有分散的风险管控类制度进行合并汇编,形成整合的风险管控与合规管理制度手册。
6
统一考核
风险管控,重在有效执行。实行协同管理,应将协同职责逐级进行责任分解,将风险管控执行与管理权限配置、岗位合规职责落实等有机结合,建立整合培训机制,确保每个岗位员工熟知本岗位权限和职责,并具备相应的专业胜任能力,形成员工积极参与、自觉执行、主动监督的全员全面风险管控意识与氛围。加强信息沟通与报告机制以及日常监督检查,并转化为考核指标,将对协同管理的遵守情况纳入考核、形成评价。通过整体评价工作,充分揭示协同管理机制的设计缺陷和运行缺陷,提出管理改进建议,及时报告董事会和管理层,并跟踪落实缺陷整改。
作者简介
陶光辉
taoguanghui@deheheng.com
微信:Krokso
北京德和衡律师事务所高级合伙人,合规与企业法治业务中心总监。
兼任北京大学全球高端法商人才计划未来领袖授课专家,大连大学法学院客座教授,中国五矿化工进出口商会合规委员会专家委员等。
律师,仲裁员,高级经济师,同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。
武汉大学法学硕士,18年法律工作经验。其中,8年法务经历,曾任大型集团法务总监;3年创业经历,系一法网的创始人;7年执业律师经历,现为律所管委会委员。在企业合规管理建设领域,陶律师创立“DHH合规内控风险协同建设五环模型”、“企业法治管理系统八要素模型”。
在企业合规领域,拥有如下资格或证书:
中国管理科学学会培训中心高级企业合规师
BSI基于ISO 37301合规管理体系实务合规师认证
国际注册法务会计师(FCPA)
中国船级社ISO 37301 合规管理体系内部审核员
中国五矿化工进出口商会合规委员会专家委员
北京一法合规培训中心首席讲师
上海企业合规研究中心法律顾问
西藏自治区涉案企业合规第三方监督评估机制专业人员名录库入选人员