|
一�����、從“一體化管理平臺”到“協(xié)同運作機制” 國務院國資委2015年12月8日發(fā)布《關于全面推進法治央企建設的意見》��,首次要求中央企業(yè)探索建立法律�����、合規(guī)��、風險�、內(nèi)控一體化管理平臺���。 國務院國資委2021年10月17日《關于進一步深化法治央企建設的意見》��,要求中央企業(yè)探索構建法律���、合規(guī)�����、內(nèi)控、風險管理協(xié)同運作機制����,加強統(tǒng)籌協(xié)調(diào),提高管理效能�。 國務院國資委辦公廳2022年1月15日《關于開展中央企業(yè)“合規(guī)管理強化年”工作的通知》,要求中央企業(yè)積極探索法治框架下法律�����、合規(guī)�、風控協(xié)同運作的有效路徑,完善工作機制�,減少交叉重復,提升管理效能���。 就同一內(nèi)容����,三份文件的的表述略有不同,但背后含義豐富����。一是,四大管理體系在組織體系����、制度體系、運行機制����、保障機制等方面存在諸多趨同性,但其運行機制也存在差異性和各自的專業(yè)性�。四大管理領域要協(xié)同運作,而非絕對的一體化管理�。二是,風險防控是四大管理體系的主要管理目標�����。四大體系要以風險為導向�,以內(nèi)控為根基,以法律合規(guī)管理為重點�����。建立四大管理體系的協(xié)同運作機制,排序從“法律��、合規(guī)����、風險、內(nèi)控”調(diào)整為“法律�、合規(guī)�、內(nèi)控、風險”�����,更能反映其內(nèi)在邏輯關系���。 二����、相互關系 (一)全面風險�����、法律風險與合規(guī)風險之間的關系 1. 風險內(nèi)容 按照國務院國資委《中央企業(yè)全面風險管理指引》���,企業(yè)全面風險包括戰(zhàn)略風險��、財務風險��、市場風險��、運營風險����、法律風險等。 按照國家質(zhì)量監(jiān)督檢驗檢疫總局���、國家標準化委員會《企業(yè)法律風險管理指南》��,企業(yè)法律風險包括法律環(huán)境風險�����、違法風險�、違約風險�、怠于行使權利風險和不當行為風險。 按照國務院國資委《中央企業(yè)合規(guī)管理指引(試行)》以及各地方政府國資委合規(guī)管理指引�����,合規(guī)風險是企業(yè)及其員工違反合規(guī)義務給企業(yè)帶來損失和法律責任的可能性,包括違法風險���、違反內(nèi)部規(guī)章風險和違反道德規(guī)范風險�����。 2. 相互關系 全面風險與法律風險�、合規(guī)風險屬于同一維度和同一范疇�,存在包含與被包含的關系。其中���,全面風險包括法律風險與合規(guī)風險,法律風險與合規(guī)風險之間也存在交叉(即違法風險)���。法律風險���、合規(guī)風險屬于全面風險的子風險或者專項風險。圖示如下: (二)法律�����、合規(guī)、內(nèi)控與風險管理之間的關系 按照美國COSO最新的《企業(yè)風險管理整合框架》���,全面風險管理由八個步驟和要素構成����,即目標設定�����、內(nèi)部環(huán)境��、事項識別����、風險評估、風險應對��、控制活動�、監(jiān)督和檢查、信息和溝通��。 按照財政部等五部委《企業(yè)內(nèi)部控制基本規(guī)范》��,內(nèi)部控制由環(huán)境評審��、風險評估、控制措施����、信息與溝通、監(jiān)督檢查等五個步驟和要素構成�。根據(jù)企業(yè)管理目標的需要,內(nèi)部控制過程中的風險評估�,可以是全面風險評估,也可以是專項風險(如法律風險�����、合規(guī)風險���、公司治理風險��、供應鏈風險等)評估。 按照國務院國資委《中央企業(yè)全面風險管理指引》�����,全面風險管理體系包括風險管理策略�����、風險理財措施、風險管理的組織職能體系�、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)等。內(nèi)部控制為風險管理提供重要的應對措施�,內(nèi)部控制體系也成為全面風險管理體系的主要子體系之一。正因為如此�,國務院國資委2019年10月19日《關于加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》,要求中央企業(yè)以風險管理為導向�����、內(nèi)控為基礎�、法律合規(guī)管理重點,實現(xiàn)“強內(nèi)控�、防風險、促合規(guī)”的管控目標����,形成全面、全員��、全過程���、全體系“同防共治”的風險防控機制����,即大風控體系。 但是����,內(nèi)部控制自含完整的風險管理(風險識別、評估和應對)流程����,自成體系,可以相對于全面風險管理體系獨立存在��。在我國����,內(nèi)部控制與全面風險管理呈現(xiàn)日趨融合的趨勢。上交所��、深交所《上市公司內(nèi)部控制指引》已經(jīng)將內(nèi)部控制的傳統(tǒng)五要素擴展到與全面風險管理趨同的八要素�。因此,企業(yè)如果尚未建立全面風險管理體系���,也可以選擇只建立內(nèi)部控制體系并強化其中的風險管理。 法律�、合規(guī)、內(nèi)控與風險管理之間的關系�,圖示如下: 三����、法律���、合規(guī)����、內(nèi)控�、風險管理協(xié)同運作的核心是風險管理協(xié)同 (一)風險防控,是四大體系的主要目的���。 圖示如下: (二)風險管理�,是四大體系運行機制的主要構成要素和內(nèi)容���。 圖示如下: (三)風險管理流程��,四大體系趨同 法律風險管理���、合規(guī)風險管理、內(nèi)部控制��、全面風險管理擁有共同的風險管理流程�,即環(huán)境評審����、風險評估���、風險應對�、信息與溝通�����、監(jiān)督與檢查�����。 (四)風險管理�,四大體系的核心內(nèi)容 法務管理、合規(guī)管理��、內(nèi)部控制和全面風險管理四大體系�,其組織體系圍繞風險防控的需要而設置,其制度流程圍繞風險防控的需要而制定�,其保障機制圍繞風險防控的需要而開展。尤其是�����,四大體系的組織體系�、保障機制具有很強的趨同性,可以進行整合�����。 四����、關注企業(yè)風險的特點 (一)關注風險的差異性 1. 風險性質(zhì)存在差異 全面風險中的戰(zhàn)略風險、財務風險��、市場風險�����,大多屬于機會風險(即帶來損失和盈利的可能性并存)����。而法律風險、合規(guī)風險�,大多屬于存粹風險(即只有帶來損失一種可能性)。 2. 風險評估方法存在差異 3. 風險管理策略(風險應對)存在差異 特別提示�����,當任何經(jīng)營活動存在合規(guī)風險并可能違反禁止性合規(guī)義務或強制性合規(guī)義務時,應采取一票否決(即風險規(guī)避)的風險管理策略�。 4. 不同企業(yè)面臨的風險存在差異 不同企業(yè),由于其所處內(nèi)外部環(huán)境(業(yè)務和產(chǎn)品范圍��、業(yè)務規(guī)模��、經(jīng)營地域等)不同����,其面臨的風險可能存在差異。同一企業(yè)在不同發(fā)展階段�,其面臨的風險也可能不同。 (二)各類風險可能并存 1. 大多企業(yè)��,尤其是企業(yè)集團總部和獨立經(jīng)營的企業(yè)��,可能同時存在全面風險中的各類風險�����,即戰(zhàn)略風險����、市場風險、財務風險、運營風險��、法律風險與合規(guī)風險����。 不少企業(yè)(如企業(yè)集團各級子公司)可能沒有戰(zhàn)略制定��、市場開拓�����、對外投資方面的權限或管理內(nèi)容��,因此�,這些企業(yè)面臨的主要是運營風險、法律風險與合規(guī)風險����。 2. 企業(yè)一項決策、經(jīng)營活動和經(jīng)濟合同等�,可能同時存在多個類別的風險。例如�����,企業(yè)為擴大產(chǎn)品和市場范圍而投資并購另一家企業(yè),其中可能同時存在戰(zhàn)略風險���、市場風險��、財務風險��、法律風險與合規(guī)風險�。 五��、法律����、合規(guī)、內(nèi)控�����、風險管理協(xié)同運作機制的建立 (一)目標和原則 我國中央企業(yè)����、地方國有企業(yè)建設法律、合規(guī)��、內(nèi)控��、風險管理協(xié)同運作機制,圍繞企業(yè)改革發(fā)展總體目標���,健全企業(yè)法人治理機制���,以風險為導向、內(nèi)控為基礎�、法律合規(guī)為重點,牢筑風險管理三道防線�,形成全面�����、全員����、全流程、全體系的風險防控機制����,全面防控企業(yè)各類風險,促進企業(yè)健康可持續(xù)發(fā)展�。 (二)建立分類、分層風險管理機制 企業(yè)乃至企業(yè)的具體經(jīng)營活動都面臨多個風險并存的情況���。不同類別風險的性質(zhì)����、評估方法、風險管理策略等存在差異���。 企業(yè)單憑某一類風險管理(如合規(guī)風險管理)�,不可能防控所有種類的風險���。 企業(yè)應建立分類���、分層、立體防控的風險管理機制�����,對不同類別和性質(zhì)的風險�,有針對性地采取不同的評估方法及風險管理策略,形成全面��、全員�、全流程、全體系的風險防控機制����,全面防控企業(yè)各類風險����, (三)組織整合與崗位整合 四大體系的組織體系趨同����,應當進行整合。 整合風險管理崗位�,負責合規(guī)管理、風險管理與內(nèi)部控制�����。 風險管理(尤其是法律風險管理與合規(guī)風險管理)的專業(yè)性很強��,需要懂法律�����、曉管理�����、精合規(guī)�����、熟業(yè)務的專業(yè)知識和能力����。企業(yè)應注重復合型人才的引進和培養(yǎng)。 (四)風險管理制度與流程的一體化 對企業(yè)現(xiàn)有風險管理制度與流程進行修改�、補充,制定覆蓋全面風險管理����、法律風險管理與合規(guī)風險管理的統(tǒng)一的風險管理指引。 (五)同步���、統(tǒng)一開展初步風險管理 在對各部門領域開展初步風險管理時���,同步、統(tǒng)一地識別各類風險���、開展風險評估���、提出應對措施建議。 (六)項目中開展立體式風險評估 對項目進行包括全面風險���、合規(guī)風險��、法律風險在內(nèi)的立體式風險評估��。 (七)風險管理信息系統(tǒng)一體化 建立包括全面風險����、合規(guī)風險、法律風險在內(nèi)的風險管理信息一體化���。
|
