服務熱線
400 180 8892
國有企業作為我國經濟社會發展的“穩定器”和“壓艙石”,增強企業的抗風險能力尤顯重要。近年來為進一步提升國有企業防范化解重大風險能力,推動國有企業高質量發展,國務院國資委將建立健全“以風險管理為導向、合規管理監督為重點,嚴格、規范、全面、有效的內控體系”作為國企改革一項重要工作來推進,并分別于2019年、2020年印發了《關于加強中央企業內部控制體系建設與監督工作的實施意見》和《關于做好2021年中央企業內部控制體系建設與監督工作有關事項的通知》。兩份文件均提出并倡導國有企業開展風險管理體系、內部控制體系、合規管理體系的“三合一”工作。 除監管要求外,從國有企業自身的需求出發,構建風險、內控、合規一體化管理體系,也符合企業發展的需求。自2006年國務院國資委頒發《中央企業全面風險管理指引》,2008年五部委頒發《企業內部控制基本規范》,國有企業陸續建立了風險管理及內部控制管理體系,隨著2018年,國資委頒發《中央企業合規管理指引(試行)》,國有企業正在逐步建立合規管理體系。企業在實際工作開展過程中存在著風險、內控、合規三項工作分頭推進、分別開展體系建設、制度建設的情況,部分工作職責交叉、工作內容重復,導致內控、風險管理、合規管理監督制度各行其是、各說各話、不能有效發揮統一管控作用,在一定程度上形成了管理資源浪費,影響了企業整體的管理效率。 從企業管理的需求來看,國有企業開展風險、內控、合規一體化管理體系的建設將是未來的一大趨勢。安永作為專業的咨詢服務機構,近年來參與了大量的企業開展風險、內控、合規一體化工作,并且總結出建立風險、內控、合規一體化管理體系的方法及路徑。我們認為,國有企業構建“風險、內控、合規一體化管理體系”應建立“四個統一”的管理機制和“一個核心”的運行機制,以實現體系融合。本篇文章將主要分享關于風險、內控、合規一體化工作中建立“四個統一”的管理機制的方法和實踐經驗。 “四個統一”的管理機制 風險、內控、合規一體化管理體系的構建,需要建立相關機制,通過實現組織職能統一、工作機制統一、評價機制統一、管理制度統一,切實推動風險、內控、合規一體化的落地。 組織職能統一 在建立全面風險管理、內部控制或合規管理體系時,企業首先會設立相關管理的組織架構,并明確管理職責。同樣的,要實現風險、內控、合規一體化,首先需要在組織職能方面進行統一,精簡企業內部組織架構,同時避免職能交叉重復,防范推諉扯皮。 具體來說,需要實現風險、內控、合規管理職能在治理層、管理層和執行層的職責統一。其中,在治理層,通常可以將相關職能放到同一個董事會專門委員會;在管理層,由同一個領導小組負責風險、內控、合規管理的相關職責。治理層和管理層的職能統一較為容易推行,而在執行層,一般來說第一道防線和第三道防線的職能都很清晰,并且較為統一,主要難點在第二道防線的職能統一。 在實踐中,大部分企業在風險、內控、合規管理方面的專責部門是分開的,一般由兩個或三個部門分別負責不同的管理體系建設及運行。第二道防線的職能合并,一般會涉及人員調動或組織架構調整,從落地推行方面存在一定難度,但也是一體化工作開展的重要基礎。 工作機制統一 工作機制的統一主要包含兩個部分:第二道防線年度的風險、內控、合規工作的鋪排,以及第二道防線與其他部門的工作協調機制的統一。 在組織職能已經統一的前提下,第二道防線年度的風險、內控、合規工作的整合,建立年初布置、年中管控、年末總結的工作機制,但核心的實質在于將風險、內控、合規之間重復的工作進行合并,例如內部控制自評與合規檢查,各項工作的年度計劃及年度報告的整合等,在一定程度上降低管控成本,不過具體的落地實施則要依賴于管理工具的一體化(即以風險為導向的運行機制,詳見該系列后續文章內容)。 此外,第二道防線與其他部門的工作協調機制的統一,需要構建風險管理、內部控制、合規管理、法務管理、紀檢監察、審計、監事會等監督主體之間的協同工作機制。對負責企業監督工作的有關機構和業務進行整合,從工作內容、目標、要求以及具體工作執行的方法、程序等方面,將各項監督工作有機結合,建立監督主體之間相互協調、合作聯動的業務流程,增強監督工作合力。從優秀企業的實踐來看,核心在于打通企業內部的監督機制,通過聯席會議機制,將合規考核、審計結構運用、紀檢問責、違規經營責任追究等事項,從考核問責標準、相關程序及流程方面進行統一。 管理制度統一 風險、內控、合規一體化工作,從管理角度看,主要可分為兩個部分,一個是體系建設,另一個是體系的日常運行。體系建設本質上是根據風險、內控及合規的相關要求,設計管控標準,并落實到日常業務中。形式上,基于風險、內控及合規的差異,企業會制定配套的管理工具,包括風險管理手冊、內控手冊、內控評價手冊、合規管理手冊、合規指引等。不同的管理工具,除第二、三道防線的專業部門外,對于第一道防線的業務部門,看懂并有效應用上述管理工具,從實踐來看并不具有可操作性。對于國有企業來說,大多數的業務部門日常更依賴規章制度來執行相關管理流程。 所以從一體化體系建設的角度,需要實現管理制度的統一,即將風險、內控及合規管理要求、評價標準及風險應對措施融入到制度當中,切實做到企業日常的業務流程及管理符合風險、內控及合規的要求。而如何設計相關管控措施,以及管理工具的一體化,則需要依靠一體化的風險管理機制(即以風險為導向的運行機制,詳見該系列后續文章內容)。 評價體系統一 一體化管理體系的日常運行工作,可從執行層各道防線的角度進行拆分,第一道防線相關部門根據體系所建立的管控標準執行日常管理工作,第二道防線部門除日常流程性的審核工作外,較為主要的就是每年的體系評價,第三道防線則是對體系的有效性進行評估。 第二道防線的年度評價工作,是有效保障各個管理體系是否有效運行的重要工作,所以在推動風險、內控及合規一體化工作過程中,進行評價體系統一也是重要工作之一。企業可結合內部控制自評、風險管理及合規管理檢查的相關要求,明確一體化管理體系評價工作的組織形式、評價方式、報告路徑、檢查評價問題整改及跟蹤機制,制定一體化評價的相關檢查測試程序,編制一體化評價檢查清單及評價底稿,明確一體化檢查結果及缺陷認定標準,實現內控自評、合規檢查及風險檢查工作的整合,在實現評價目標的同時,有效降低管控成本。 小結 “四個統一”的管理機制是國有企業推動風險、內控、合規一體化整合的有效路徑及方法,國有企業可以結合企業自身的實際情況,通過組織職能、工作機制、管理制度及評價體系的統一,來推動一體化管理體系的落地,降低管控成本,提升管控效率。
