近年来,风险、合规、内控和法务四个企业管理功能的融合建设,已经成为大型企业讨论及逐步深化实践的重要管理提升领域。对于央国企,国务院国资委自2006年以来,对全面风险防控、合规制度建设等相关问题,提出了从顶层设计到精细化管理各层面的要求;对于大型民营企业,面对国际市场开拓、技术领域发展,以及诸多风险因素频发的经济环境,风险防控体系的有效性、高效性也成为举足轻重的管理体系建设课题。而风险、合规、内控和法务四体系的融合建设即是该领域众多课题中面临极大挑战的其中之一,为什么有挑战?因为成功的实践案例较少;因为企业之前的差异化较大;个性化设计和落地实施过程中需要解决问题的难度也就相应提高。
本文基于尊龙凯时咨询长期为企业提供四体系融合建设解决方案的实践经验,拿出几项相对具有典型性的、值得企业重点关注的要点及解决建议,供企业参考。
首先有两个前提:明确差异、明确目标。
一、前提一:明确差异
风险、合规、内控和法务四体系在企业中各自承担不同职责,但又相互关联、相互影响。风险管理体系负责识别、评估、监控和应对企业面临的各种风险;合规管理体系则确保企业遵守法律法规和内部规章制度,防范合规风险;内部控制体系通过一系列控制措施,保障企业权责设置执行到位和财务报告的准确性;而法务管理体系则为企业提供法律咨询和纠纷处理等服务。
在协同运行中,四体系在不同类型企业中承担着不同的功能,四体系的关系存在差异。常见的有几类企业:
(1)风险导向企业。例如在金融机构中,由于行业的业务和监管特征,风险管理的重要性更加突出,风险防控是长期处于核心地位的,并且已经形成了业务全覆盖的精细化管理体系,在融合建设中,其他三个体系需要围绕风险体系的基础和建设要求展开。
(2)内控合规并重企业。建筑业、制造业企业,尤其是国央企,在国资委的要求和指引下,已经形成了相对成熟的内控和合规体系建设。一方面,由于企业规模庞大,分级分类的权责设置比较完善;另一方面,对外面临着更加全面和细化的行业标准和法律法规。尤其是国际业务,更加需要对国别差异有明确的认知。因此,在融合建设中,内控与合规两个体系之间的相互协同和补充,在清单、流程层面的搭建逻辑的设计就至关重要。
(3)合规导向企业。民航与交通企业很有代表性,具有强监管的特殊性,在实际经营过程中,在安全保障、设备检修、运营规模等可能造成重大影响和具有一定公益属性的事项上,有严格的法律法规,以及相关的行业管理部门的细化要求作为依据,建立了相关制度,但通常在企业层面,缺少公司级别跨功能的顶层设计。在融合建设过程中,流程设计、跨部门组织建设、公司级别的制度建设会成为关键要素。
二、前提二:明确目标
融合建设的目标在企业的实践中,是多样性的。基本目标会涉及:提升管理效率、加强跨功能协同、实现共同的企业风险防控效果。通过融合建设,可以实现风险、合规、内控和法务资源的共享和互补,避免重复劳动和资源浪费,从而提高管理效率。同时,融合建设可以促进各部门之间的沟通和协作,打破部门壁垒,形成合力,共同应对企业面临的各种风险和挑战。此外,一体化风险防控也是融合建设的重要目标之一,通过整合各体系的风险信息和管理资源,形成全面、系统的风险防控体系,提升企业的整体风险管理水平。
同时,还要关注企业的个性化目标,可能会涉及:组织及岗位职能设置、核心管理或业务流程设计、制度建设及报告机制、信息化体系衔接、针对业务的预警机制设计等。这样的目标可以通过了解“四位一体”风险防控体系建设方法,根据工作步骤进行梳理,找到企业核心关注的环节,做出定位。(详见系列文章:国有企业“四位一体”全面风险防控体系建设解决方案)
明确了以上两个前提,再介绍两个在咨询客户中通常会遇到的两个难点,通过实践,尊龙凯时咨询形成了相对具有普遍适用性的解决方案,在国有企业及大型企业中都可以借鉴。
三、难点一:风险清单、内控清单、合规义务清单的如何做一体化建设?
清单的一体化是管理体系融合的显性特征,也是形成融合建设后续的流程、制度等建设工作的基础和索引。因此,通常会受到关注,并得到持续的优化。
风险清单的根源是风险架构、识别、分析、应对、评价等的风险防控方法,风险清单中的一级架是相对粗放的,核心价值是提供了风险防控中发现问题、解决问题的标准动作和方法。
内控清单在国有企业中,依据国资委提供的“十八项指引”已经在架构上得到了充分的验证和实践中的个性化延伸,同时,内控清单与权责体系的衔接,也为流程的建设提供了基础。
合规义务清单、法务案例库,通常是以法律、法规为起点,在实践中逐步应用和完善的。与法规、法务的对应关系非常严谨,处理或应对规范,颗粒度非常细化,指引明确。
融合工作至关重要的是:建立取其精化、保持独立的共存关系。
具体而言,是根据前述的两个前提,按照企业特征和管理需求,建立一体化清单的架构和内容。可以尝试以风险事项为内容,以内控为架构,以合规义务清单为最细致的事项颗粒度进行融合。首先,风险管理方法形成风险事项,作为融合工作的基础。其次,以内控体系为架构,将风险应对逻辑与内控措施及权责设置相对应,确保内控措施的有效性能够覆盖风险点。以合规义务清单中的内容为基本的事项颗粒度,将合规要求与风险管理和内部控制内容进行对应,补充架构中颗粒度不足的事项,重点是企业风险防控的核心事项,确保企业在满足合规要求的同时实现风险的有效控制。
四、难点二:清单、制度、法规条款、主责部门、管理流程之间的关联
在融合建设过程中,需要明确各项风险事项应对措施对管理体系的要求,以及具体权责归属和执行标准。同时,要明确各主责部门在风险管理、合规管理和内部控制中的职责和权限,确保各项工作的有序开展。此外,还需要优化管理流程,确保各项管理活动能够高效、顺畅地进行,实现风险、合规、内控和法务工作的有机融合。
风险、合规、内控和法务的融合建设是提升企业整体风险管理水平和竞争力的重要途径。一系列融合设计,只有真正落地实践,经过一段调整周期,内化到相关岗位的工作职责和流程中,才能在工作场景中、在体系建设的评价工作中,基于各体系关联关系的核心环节,不断优化、提升。