在全面提升國有企業風險防控水平的大背景下,國資委等相關部門在不同時間內在國有企業中推行了全面風險管理、內部控制、法務管理、合規管理四套管理體系,其核心目的是為企業提供重大風險化解、合規經營等方面的理論參照。由于四體系推行的時間先后不一,政策發布部門各不相同,所以在具體實踐中,四體系之間存在著管理范圍不清晰、內涵容易混淆、只能重復等一系列問題,對企業經營造成了一定的困惑。因此,推行法務、合規、風險、內控一體化管理的呼聲越來越高,相關監管部門也通過發布相關政策文件,為四者的融合提供指引。
要做好法務、合規、風險、內控四體系的深度融合,對四者關系開展辨析,厘清各體系的關系變得尤為重要。
01、“大風險”視角
“大風險”視角下,全面風險管理在管理范疇上是涵蓋了法務管理、合規管理和內控管理的,全面風險主要包括戰略風險、市場風險、運營風險、財務風險和法律風險等,而全面風險本身側重于外部視角,核心目的是支撐戰略決策、市場判斷。內控管理作為全面風險管理的重要組成部分,其側重于運營執行保障、關鍵節點控制。合規管理側重于規范管理、基礎建設、文化培育,而法務管理則關注的是法律審核和處置、維護公司利益。合規是內控的管理目標之一,而內控管理是法務管理工作的規避措施,法務管理則為合規管理提供專業支持。三者在全面風險管理的框架下,相互支撐但又有重疊部分。
02、“法治建設”視角
“法治建設”視角下,法治為企業風險管理的根本,必須堅持以風險為導向,合規為底線、內控為手段,而法務管理是合規管理的組成部分,是風險管理的抓手。其中內控管理是通過制度流程對業務進行完善優化的管理手段,而且內控人員需要深度介入到業務環境中,保障業務順利開展,過程中既要保證合規要求,也要防止內部要求阻礙企業運行,具備一定的柔性;合規是企業管理的底線,外規是不能逾越的紅線,內規除了企業經營管理的要求外,還有一部分是外規內化形成的,承載企業運營機制和管理機制,具備相當的管理剛性。作為風險管理的兩大組成部分,內控與合規剛柔并濟,保障企業風險防控的可靠性。
03、“大內控”視角
這種觀點認為,風險管理是更宏觀的管理概念,其余各項管理職能必須以風險管理為統領,而其他四項職能構成了其底層基礎。需要通過風險管理的理念、方法工具等來統籌其他幾項職能的開展。且在確定風險管理目標、機制時,需要融入其他幾項職能的管理狀況,充分利用其工作成果,集中調配資源,實現風險的集約管理。
內控管理是風險管理的主要支撐,內控的主要職責之一是制定企業的管理制度流程,在制度流程中融入風險、法務、合規的要求,確保企業良好運作。
合規管理為價值導向。合規管理是推進企業治理完善、合規經營、規范管理、守法誠信,規范企業各級員工的行為,并落實為企業的風險管理文化。法務管理則是合規管理的重要組成部分,為合規管理提供專業的支持,構架企業合規的基本架構。
04、“大合規”視角
大合規視角下是把企業的所有經營活動統一納入到企業大合規體系中,包括遵守所有層級的法律規范;遵守各部門法領域的法規;遵守不同國家和地區的法律規范;各級公司和部門的全合規;各經營管理領域的全合規;全面風險管理;企業全員合規和合規文化;大合規組織;合規管理體系建設等。其中內部控制是全面風險管理的重要載體,而法務管理是具體承擔企業合規管理工作的抓手,保障企業經營過程中能在各級法規框架下開展工作。
01、政策出臺順序
從2006年出臺《中央企業全面風險管理指引》,2010年五部委出臺《企業內部控制配套指引》,到2015年發布《關于全面推進法治央企建設的意見》,2018年出臺《中央企業合規管理指引》,2019年《關于加強中央企業內部控制體系建設與監督工作的實施意見》……政策出臺先后順序影響研究機構對相關政策的解讀。
02、企業類型和性質
企業類型和性質對于企業對法務、合規、風險、內控的關系也有一定的關聯,對于合規要求的行業或企業,如銀行業,一般都以大合規視角為主;而生產經營型企業一般以大內控視角進行全面風險防控設計。
03、企業風險管理組織現狀
企業是否有獨立的風險管理部門和風險管理的主導部門也會極大的影響對法務、合規、內控、風險關系的辨析。
04、外部機構類型
外部機構類型也會影響對四者關系的理解,律所一般以法治建設或大合規視角為主導,會計師事務所以大監督或者大風險為主導,咨詢公司一般以大風險和大內控視角進行解讀。
雖然在構建法務、合規、風險、內控四位一體全面風險防控體系的思路上,各方有不同的視角,但不同視角都是按照一定的理論基礎來制定的,都有一定的可參考性,從不同視角構建融合體系各有優劣勢。
補充信息:法務管理、合規管理、內控管理、風險管理的定義
法務管理:從《中央企業法律風險管理報告》《關于全面推進法治央企建設的意見》等相關文件中的規定來看,同時結合企業法務管理的實際,可以將法務管理定義為,企業通過專業法律服務或專職法務部門開展的相關制度制定、法律咨詢、合同及知識產權管理、法律糾紛處置等有計劃的管理活動。
合規管理:按照最新的《中央企業合規管理辦法》的定義,合規管理指的是企業以有效防控合規風險為目的,以提升依法合規經營管理水平為導向,以企業經營管理行為和員工履職行為為對象,開展的包括建立合規制度、完善運行機制、培育合規文化、強化監督問責等有組織、有計劃的管理活動。
內控管理:根據財政部下發的《企業內部控制基本規范》及《關于印發企業內部控制配套指引的通知》,內部控制是由企業各級管理層和全體員工實施的,目的在于實現控制目標的管理過程。保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整以及企業的經營管理效率效益提升,最終實現企業發展戰略是內部管理的目標。而內部控制體系涵蓋了企業控制環境、風險評估、控制活動、信息與溝通、監控五要素。
風險管理:企業風險是指未來的不確定性對企業實現其經營目標的影響。全面風險管理是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。從管理實踐來看,風險管理具備系統性、系統性特點,主要表現在風險管理關注的是企業的整體風險,視角更為宏觀。
