作者:竹影掃塵
按現代企業制度建立的企業,自然會出現三標體系、內控體系、風控體系、合規體系、法務管理體系同時運行的格局,在企業很多人看來,既然本質上所有的體系都是為了規範及防範風險,為何不將這些體系進行有效整合,以減少流程繁複程度、提高效率。
“優化流程以提高效率”從來都是科學管理追求的,那麼相關體系能不能融合或者說哪些可以融合,自然就成了需要斟酌的問題。
1、內控
從狹義的角度看,內控包括內控體系建設和內控監督與評價。
內控體系建設主要是編制內控制手冊、各項流程的權限指引和內部控制文檔等;
監督與評價主要是評估體系建設和運行情況並提出改善意見。
2、風險管理
根據定義,一般企業的風險管理主要包括:企業年度風險評估、專項風險評估、項目風險管理。
年度風險評估主要是對企業一年度的風險進行收集、分析、評估、制定應對措施;
專項風險評估主要是對重大事項開展; 項目風險管理多是對承攬或開發項目進行風險評估及管理。3、內控與風險控制的關係
內控與風控在範圍上有重疊,且都要貫穿決策、執行、監督全過程,覆蓋企業各種業務和事項:
內部控制從宏觀而言是企業運營目標的全過程控制,包括應保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整,以提高經營效率和效果,促進企業實現發展戰略。
風險管理是指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,從而為實現風險管理的總體目標提供合理保證的過程和方法。
內部控制與風險管理與其說是專項工作,不如說是理念、文化與方法論。
4、內控、風險管理與三標體系
之所以在討論完內控、風控之後立即把三標體系拉入討論,是因為很多企業(尤其是技術性企業)的內控及風險管理都是按專項工作來處理的,是以相應的內審、外審標準來開展的。換句話說,企業實際往往是通過三標體系的構建及執行來達成企業內控、風控作用的,而負責內控、風控的相關崗位只是以相應的內審、外審標準開展了應對要求的表面性工作。
內部控制、風險管理、三標體系確實應該進行有效整合,但如何融合,業界一直有爭論: 研究三標體系的人通常認為,內部控制主要是針對財務,而三標體系是覆蓋整個企業的;研究內部控制的人通常認為,三標體系主要是針對產品質量,而內部控制是覆蓋整個企業的。
筆者認為,內部控制和風險管理、三標都覆蓋企業各種業務和事項,自說自話解決不了問題 。三者爭論到最後總會融合的,在學界沒有統一思想之前,如果企業想自己整合,不妨:在三標體系制訂時,融合內部控制理論中先進的理念、方法,通過三標體系來實現內控目標。同時,在組織機構上,讓三標體系和內部控制體系由同一個部門歸口管理,可以促進這個融合的加快。
需要關注的是:
無論內控與風控、三標體系在企業內如何進行了融合,要通過相關機構對內控、風控、三標體系的檢查,企業依然得按照相關機構對內控、風控、三標的體系進行文案工作。即,從應對檢查這個層面上講,除非相關機構進行了有效整合,企業就只能是被動追隨者。
5、關於法務
自2001年加入WTO以後,國家持續推進企業法律建設,對企業而言,關於法律建設的要求都是很直接且明確的:
1) 就日常經營,國家層面明確要求企業做到三項法律審核達到100%,這個要求堅持了近20年。
至於哪些屬於三項法律審核的範圍,以及法律審核關注點及關注事項,也都有各種上級文件的要求;2) 就糾紛處理,法律救濟是基本業務。
6、關於合規
2019年是很多國企合規的起步年,不少央企已經建立裡自己的合規體系,也有很多企業還沒有合規管理體系在運行。無論屬於何種情況,合規的理念都需要在三標體系裡有所體現。同時,合規作為新生事物,它關注的對象重點倒真不在生產過程,更多關注決策、經營、管理行為,要求相關行為符合國際規則、所在國法律與規則、中國自身的法律法規,要求企業經營應符合道理要求,所以合規管理有獨立的體系是難免的。但合規體系與企業經營管理不會是、也不允許是兩層皮,應該是融為一體但又強化了監管的格局。
7、法律、合規、內控與全面風險管理的關係
1)對企業而言,法律、合規、內控、全面風險都是一種理念。
從企業風險管控的角度來說,我們認為從風險層級低到高的順序應是:
法律管理→合規管理→內部控制→全面風險管理。
法律管理是最基礎的層面,法律是底線與紅線,逾越了就要付出代價。
合規管理是因為融入世界後的法律管理升級版,在中國法律之外加入了企業道德標準、國際規則、國際規範等。合規管理的本質並不聚焦於風險管理,它只是要求企業要有不違反內外部法律及制度規範的道德認知,同時,國際組織會懲罰哪些無此道德認知並做出違規事件的企業,相關國家會以刑法加諸於違反了國際規則的企業經營層人員。
內部控制是企業管理理念,不但要求企業行為符合規範,同時還要考察企業規範是否完善、企業規範有沒有配備相應的執行點,執行企業規範的過程是不是有效。
全面風險管理是風險管控的最高形式,一切控制都是為了避免風險。
2)對企業實際運行而言,可以將三標體系當作法律、合規、內控、全面風險等理念落在實處的載體,作為理念落地的指南及手冊。
8、企業內部如何整合為好?
就國內企業的現狀而言,有將合規、法務、內控、風控按“四位一體”的思維整合,劃歸企業法務部門統一管理的,也有將內控、三標整合,劃歸企業標準生產部門管理、將合規、法律、風控劃歸企業法律部管理的…..各有特色,並無定論。
儘管從理論上,將合規、內控、風控、法務、三標明確交由企業內不同部門歸口管理,也屬於實現了企業層面的管理要素有序整合,但公司不同部門之間的溝通、協同都難免客觀存在降效的情況,各企業應該根據自身所在行業及企業本身管理風格做出合理調配。
9、企業法律事務機構及企業法務人需要直面
大多數企業法律部門的基礎職能應是在國務院國有資產監督管理委員會頒佈《國有企業法律顧問管理辦法》之後,根據該文件要求企業法律事務部門應承擔的10項職責構建的,企業法務人員的工作焦點自然在合同審查及企業糾紛案件處理上。
自合規建設興起,無論是從合規本意考慮還是借鑑國際經驗,企業法律機構已毫無爭議地需要承擔起企業合規的歸口管理職責。
隨著合規建設的推進,整個社會及企業都遲早會發現,合規建設將極大程度上改變過去十多年企業法務人員的工作狀態(無論是工作深度、工作方式、還是業務覆蓋面上都是如此)。尤其對於面對全球市場的競爭性企業裡的企業法律機構及法務人,即便企業的內控、風控歸口職責在企業其他部門,但因為企業內控、風控體系上的短板、運行上無意或故意疏忽,都極大幾率轉化為企業法務人需要處理的棘手事件,且因為“合規”職能的承擔,而使企業法律事務機構及法律事務人員成為這裡事件裡永遠存在的責任者。
總 結
法律、合規、內控與全面風險管理都不獨立於具體生產經營業務而存在,都可以以三標體系的形式實現。
1)可以把內部控制理論視為一切管理的方法論:
①從體系建設上而言,所有體系建設都應該遵循內部控制的理念與方法論;
②從工作實踐而言,任何活動也都應該遵循內部控制的理念與方法論
2)在企業經營生產中,內控、風控、三標可以直接整合:內控是理念、風控是目標、三標是載體。
3)應對外部檢查,三標、內控、風控依然得按各自的套路運行;
4)企業法律建設體系、合規體系只要生下來就會有好的融合性,法律本身既是工作也是理念,而合規本身就是理念,這種理念要求天然需要在企業的三標、風控、內控中體現出來。所以關於融合,以及融合後的工作調整,可以結合合規體系一併構建。
作者介紹
竹影掃塵
現任某央企大型子公司總法律顧問,中國技術經濟學會 高級會員,英國皇家測量師學會專業會員,教授級高工。在基建領域從事招投標、商務、合同管理近三十年;在基建投資、經濟諮詢領域有豐富經驗;成功處理過特大糾紛案件及系列糾紛案件。
