1、风险管理、内部控制、合规管理有不少的工作内容和工作程序是重合的,在一定程度上形成了管理资源浪费,影响了企业整体的管理效率。
自2006年国资委颁发《中央企业全面风险管理指引》,2008年五部委颁发《企业内部控制基本规范》,国有企业陆续建立了风险管理及内部控制管理体系,随着2018年,国资委颁发《中央企业合规管理指引(试行)》,国有企业正在逐步建立合规管理体系。企业在实际工作开展过程中存在着风险、内控、合规三项工作分头推进、分别开展体系建设、制度建设的情况,部分工作职责交叉、工作内容重复,如风险评估,在内部控制实施时,需要风险评估;在执行合规管理工作时,是一个必要的程序;对于全面风险管理工作,风险评估尤其需要,导致风险管理、内控、合规管理监督制度各行其是、各说各话、不能有效发挥统一管控作用,在一定程度上形成了管理资源浪费,影响了企业整体的管理效率。
如何减少类似的重合或重复工作,简化操作流程,是驱动对三者进行统筹考虑的主要因素。
2、风险管理、内部控制、合规管理的共同基础是对业务流程中出现的各类风险行为进行管控,管控的表现形式均是通过管理制度体系体现出来的。
合规、内控与风险管理均是基于业务流程开展工作的,特别在合规、内控等相关管理文件中均强调了管控工作要““融入业务领域”、“嵌入业务流程”等。业务流程是风险管理体系、内部控制体系、合规管理体系等所有风险管理体系建设依赖的基础,而制度体系是风险管理体系、内部控制体系、合规管理体系等所有风险管理体系的表现形式。
3、监管部门对企业风险管理、内部控制、合规管理的要求逐渐转向一体化管理。
2015年12月8日国务院国有资产监督管理委员会在《关于全面推进法治央企建设的意见》中,提出“探索建立法律、合规、风险、内控一体化管理平台”。
2019年10月19日国资委在《关于加强中央企业内部控制体系建设与监督工作的实施意见》要求,“建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系。进一步树立和强化管理制度化、制度流程化、流程信息化的内控理念,通过“强监管、严问责”和加强信息化管理,严格落实各项规章制度,将风险管理和合规管理要求嵌入业务流程,促使企业依法合规开展各项经营活动,实现“强内控、防风险、促合规”的管控目标,形成全面、全员、全过程、全体系的风险防控机制,切实全面提升内控体系有效性,加快实现高质量发展。”
2019年12月26日,国资委在《关于做好 2020年中央企业内部控制体系建设与监督工作有关事项的通知》中提出,“各中央企业要以“强内控、防风险、促合规”为目标,进一步整合优化内控、风险管理和合规管理监督工作,按一体化要求编制2019年度内控体系工作报告,不再分别报送《中央企业内部控制评价报告》和《中央企业年度风险管理报告》。”
由此可以看出,监管部门对国有企业开展风险管理体系、内部控制体系、合规管理体系的三项工作要求已经融合成为了一项要求。
4、从国有企业自身的需求出发,构建风险、内控、合规一体化管理体系,也符合企业发展的需求。
风险管理、内控、合规三者均与企业风险管控密切相关, 只是关注点和切入点不一样。企业经营管理,其实越简单越好。对企业风险管理来说,本质上并不需要多个管理体系。因此,将合规管理体系、内部控制体系、全面风险管理体系进行有效衔接、融合与统筹,即所谓一体化,是大多数企业的必然选择,也是构建一套管理企业经营风险的整体方法。
从企业管理的需求来看,国有企业风险、内控、合规一体化管理体系建设是未来的发展趋势。企业通过一体化管理体系的建设,有效整合风险、内控及合规管理体系,在满足外部监管要求的同时,整合及优化内部管理资源,降低管控成本,提升管控效率和全面风险管理水平,为企业发展保驾护航。
风险、内控、合规一体化管理体系是三个体系的有机融合,一体化管理体系的建设,需要兼顾三个体系各自的特殊要求,将特殊要求与统一架构融合在一起,才构成完整的合规、内控与风险一体化管理体系。这样构建起来的体系,才是更完善、更符合实际的一体化管理。
1、策划一套完整的风险、内控、合规一体化管理实施方案。
在对企业合规、内控与风险管理现状进行调研之后,策划一套完整的风险、内控、合规一体化管理实施方案。一般包括一体化体系建设的核心原则、主要目标、工作阶段、重点工作内容、主要工作成果和工作保障等内容。
2、设计一套完整的风险、内控、合规管理体系。
设计一套完整的风险、内控、合规管理体系,主要从以下几个方面开展工作:
第一,在组织架构层面,组织职能进行统一。
精简企业内部组织架构,设立风险、内控、合规一体化管理的组织架构,并明确管理职责,避免职能交叉重复,防范推诿扯皮。
第二、统一组织对该三类风险进行识别、分析与评价。
不管是实行独立的管理体系,还是一体化的管理体系,风险评估都是风险管理、内部控制、合规管理的必经阶段。基于企业业务流程,组织对该三类风险统一进行识别、分析与评价,是一体化管理体系建设的关键动作。
第三、针对性的制定风险管控措施与策略。
风险评估的目的是为了制定相适宜的风险管控措施。风险、内控、合规一体化管理,需要达到同时管理三类风险的目的。因全面风险、内控、合规所关注的风险性质各不相同,其管控措施也不尽相同。在一体化管理体系建设过程中,需要针对不同性质的风险,采取不同的管控措施。
第四、建立统一的制度流程管理体系。
风险、内控、合规一体化管理体系建设本质上是根据风险、内控及合规的相关要求,设计相应的管控标准,并落实到日常业务中。形式上,将风险、内控及合规管理要求、评价标准及风险应对措施融入到制度管理体系当中,形成统一的管理制度体系。
3、建立一体化的运行监督机制。
从管理角度看,风险、内控、合规一体化管理体系主要可分为两个部分,一个是体系建设,另一个是体系的日常运行监督。
首先,建立一套运行监督评价体系。结合内部控制自评、风险管理及合规管理检查的相关要求,明确一体化管理体系评价工作的组织形式、评价方式、问题整改及跟踪机制,制定一体化评价的相关检查测试程序,明确一体化缺陷认定标准,编制一体化评价检查清单、评价底稿和评价报告,实现风险检查、内控自评、合规检查工作的整合。
其次,各监督主体统一工作协调机制。对负责企业监督工作的纪检监察、审计、监事会等监督主体进行整合,从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将各项监督工作有机结合,建立监督主体之间相互协调、合作联动的业务流程,增强监督工作合力,形成大监督的协同工作机制。
结合企业自身实际,对风险管理、内部控制、合规管理的工作目标、工作内容、方法、机制以及工作流程等进行有机整合,将原本独立的风险管理体系、内部控制体系、合规管理体系、经营管理体系进行有效融合,建立平台统一、信息共享、流程整合、功能强化、协调运转的风险一体化管理体系,形成真正有效的、适应新形势市场竞争需要的一体化的风险管理模式。
