国有企业作为我国经济社会发展的“稳定器”和“压舱石”,增强企业的抗风险能力尤显重要。近年来为进一步提升国有企业防范化解重大风险能力,推动国有企业高质量发展,国务院国资委将建立健全“以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系”作为国企改革一项重要工作来推进,并分别于2019年、2020年印发了《关于加强中央企业内部控制体系建设与监督工作的实施意见》和《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》。两份文件均提出并倡导国有企业开展风险管理体系、内部控制体系、合规管理体系的“三合一”工作。
除监管要求外,从国有企业自身的需求出发,构建风险、内控、合规一体化管理体系,也符合企业发展的需求。自2006年国务院国资委颁发《中央企业全面风险管理指引》,2008年五部委颁发《企业内部控制基本规范》,国有企业陆续建立了风险管理及内部控制管理体系,随着2018年,国资委颁发《中央企业合规管理指引(试行)》,国有企业正在逐步建立合规管理体系。企业在实际工作开展过程中存在着风险、内控、合规三项工作分头推进、分别开展体系建设、制度建设的情况,部分工作职责交叉、工作内容重复,导致内控、风险管理、合规管理监督制度各行其是、各说各话、不能有效发挥统一管控作用,在一定程度上形成了管理资源浪费,影响了企业整体的管理效率。
从企业管理的需求来看,国有企业开展风险、内控、合规一体化管理体系的建设将是未来的一大趋势。安永作为专业的咨询服务机构,近年来参与了大量的企业开展风险、内控、合规一体化工作,并且总结出建立风险、内控、合规一体化管理体系的方法及路径。我们认为,国有企业构建“风险、内控、合规一体化管理体系”应建立“四个统一”的管理机制和“一个核心”的运行机制,以实现体系融合。本篇文章将主要分享关于风险、内控、合规一体化工作中建立“四个统一”的管理机制的方法和实践经验。
“四个统一”的管理机制
风险、内控、合规一体化管理体系的构建,需要建立相关机制,通过实现组织职能统一、工作机制统一、评价机制统一、管理制度统一,切实推动风险、内控、合规一体化的落地。
1. 组织职能统一
在建立全面风险管理、内部控制或合规管理体系时,企业首先会设立相关管理的组织架构,并明确管理职责。同样的,要实现风险、内控、合规一体化,首先需要在组织职能方面进行统一,精简企业内部组织架构,同时避免职能交叉重复,防范推诿扯皮。
具体来说,需要实现风险、内控、合规管理职能在治理层、管理层和执行层的职责统一。其中,在治理层,通常可以将相关职能放到同一个董事会专门委员会;在管理层,由同一个领导小组负责风险、内控、合规管理的相关职责。治理层和管理层的职能统一较为容易推行,而在执行层,一般来说第一道防线和第三道防线的职能都很清晰,并且较为统一,主要难点在第二道防线的职能统一。
在实践中,大部分企业在风险、内控、合规管理方面的专责部门是分开的,一般由两个或三个部门分别负责不同的管理体系建设及运行。第二道防线的职能合并,一般会涉及人员调动或组织架构调整,从落地推行方面存在一定难度,但也是一体化工作开展的重要基础。
2. 工作机制统一
工作机制的统一主要包含两个部分:第二道防线年度的风险、内控、合规工作的铺排,以及第二道防线与其他部门的工作协调机制的统一。
在组织职能已经统一的前提下,第二道防线年度的风险、内控、合规工作的整合,建立年初布置、年中管控、年末总结的工作机制,但核心的实质在于将风险、内控、合规之间重复的工作进行合并,例如内部控制自评与合规检查,各项工作的年度计划及年度报告的整合等,在一定程度上降低管控成本,不过具体的落地实施则要依赖于管理工具的一体化(即以风险为导向的运行机制,详见该系列后续文章内容)。
此外,第二道防线与其他部门的工作协调机制的统一,需要构建风险管理、内部控制、合规管理、法务管理、纪检监察、审计、监事会等监督主体之间的协同工作机制。对负责企业监督工作的有关机构和业务进行整合,从工作内容、目标、要求以及具体工作执行的方法、程序等方面,将各项监督工作有机结合,建立监督主体之间相互协调、合作联动的业务流程,增强监督工作合力。从优秀企业的实践来看,核心在于打通企业内部的监督机制,通过联席会议机制,将合规考核、审计结构运用、纪检问责、违规经营责任追究等事项,从考核问责标准、相关程序及流程方面进行统一。
3. 管理制度统一
风险、内控、合规一体化工作,从管理角度看,主要可分为两个部分,一个是体系建设,另一个是体系的日常运行。体系建设本质上是根据风险、内控及合规的相关要求,设计管控标准,并落实到日常业务中。形式上,基于风险、内控及合规的差异,企业会制定配套的管理工具,包括风险管理手册、内控手册、内控评价手册、合规管理手册、合规指引等。不同的管理工具,除第二、三道防线的专业部门外,对于第一道防线的业务部门,看懂并有效应用上述管理工具,从实践来看并不具有可操作性。对于国有企业来说,大多数的业务部门日常更依赖规章制度来执行相关管理流程。
所以从一体化体系建设的角度,需要实现管理制度的统一,即将风险、内控及合规管理要求、评价标准及风险应对措施融入到制度当中,切实做到企业日常的业务流程及管理符合风险、内控及合规的要求。而如何设计相关管控措施,以及管理工具的一体化,则需要依靠一体化的风险管理机制(即以风险为导向的运行机制,详见该系列后续文章内容)。
4. 评价体系统一
一体化管理体系的日常运行工作,可从执行层各道防线的角度进行拆分,第一道防线相关部门根据体系所建立的管控标准执行日常管理工作,第二道防线部门除日常流程性的审核工作外,较为主要的就是每年的体系评价,第三道防线则是对体系的有效性进行评估。
第二道防线的年度评价工作,是有效保障各个管理体系是否有效运行的重要工作,所以在推动风险、内控及合规一体化工作过程中,进行评价体系统一也是重要工作之一。企业可结合内部控制自评、风险管理及合规管理检查的相关要求,明确一体化管理体系评价工作的组织形式、评价方式、报告路径、检查评价问题整改及跟踪机制,制定一体化评价的相关检查测试程序,编制一体化评价检查清单及评价底稿,明确一体化检查结果及缺陷认定标准,实现内控自评、合规检查及风险检查工作的整合,在实现评价目标的同时,有效降低管控成本。
小结
“四个统一”的管理机制是国有企业推动风险、内控、合规一体化整合的有效路径及方法,国有企业可以结合企业自身的实际情况,通过组织职能、工作机制、管理制度及评价体系的统一,来推动一体化管理体系的落地,降低管控成本,提升管控效率。
本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。