國有企業(yè)“法務、合規(guī)、風險、內(nèi)控” 一體化協(xié)同管理體系建設創(chuàng)新思考與研究

近年來，隨著國家依法治企的推進和加強，《中央企業(yè)合規(guī)管理指引(試行)》、《企業(yè)境外經(jīng)營合規(guī)管理指引》、ISO37301: 2021《合規(guī)管理體系 要求及使用指南》、《中央企業(yè)合規(guī)管理辦法》等文件和標準相繼發(fā)布實施，企業(yè)合規(guī)管理和風險控制體系建設進入深水區(qū)。各類企業(yè)加強合規(guī)、內(nèi)控、風險管理和法律管理，推進合規(guī)管理，努力防范和化解風險。國有企業(yè)的市場環(huán)境大多復雜，在經(jīng)營管理過程中往往伴隨著各種風險。針對風險的預防控制和應對一直是中央和國有企業(yè)的一項重要任務。中央和國有企業(yè)具有多功能管理和充分參與的典型特征。在這種模式下，公司的法律、合規(guī)、內(nèi)部控制和風險管理系統(tǒng)是自主的，風險控制工作與公司的業(yè)務是脫節(jié)的。也存在重復性工作、出現(xiàn)遺漏的要點以及存在協(xié)調(diào)不力導致公司風險管理工作效率低下的情況。

一、法務、合規(guī)、內(nèi)控、風險一體化管理的內(nèi)涵

法務管理的核心是對公司的法律風險進行管理，包括法律風險環(huán)境信息的定義、評估和應對法律風險、檢查監(jiān)督、溝通和文件制作。在企業(yè)法律風險管理方面，構建和實施企業(yè)法律風險體系是可能的。

合規(guī)管理是指有組織和有計劃的管理活動，如系統(tǒng)開發(fā)、風險識別、合規(guī)審查、風險應對、責任評估和合規(guī)培訓。根據(jù)公司和員工的經(jīng)營管理行為，有效預防和控制合規(guī)風險。合規(guī)管理的重點是建立合規(guī)管理體系，從各個方面保護企業(yè)業(yè)務。

風險管理包括內(nèi)部風險和外部風險。內(nèi)部風險包括與人力資源相關的風險。外部風險包括經(jīng)濟條件、當前產(chǎn)業(yè)政策、金融環(huán)境、市場競爭、所需資源供應、監(jiān)管要求。

內(nèi)部控制是指圍繞風險管理的戰(zhàn)略目標制定和實施的規(guī)則規(guī)定、程序和措施。公司內(nèi)部控制貫穿公司管理活動的決策，擴展到實施和監(jiān)督的各個階段，包括整個經(jīng)營活動過程。

法務、合規(guī)、內(nèi)部控制和風險管理是相互關聯(lián)、互補和協(xié)調(diào)的，旨在有效預防和控制各類風險。因此，企業(yè)必須建立一個與組織、業(yè)務目標、業(yè)務內(nèi)容和業(yè)務流程相關的全面的法務、合規(guī)、內(nèi)部控制和風險管理體系。

二、法務、合規(guī)、內(nèi)控、風險一體化管理的必要性

（一）法務、合規(guī)、內(nèi)控、風險管理存在的問題

當?shù)氐膰衅髽I(yè)目前面臨著規(guī)模較小、缺乏法律和合規(guī)專家的問題。大多數(shù)公司要么缺乏健全的“法律管理、合規(guī)管理、內(nèi)部控制和風險管理”的運營體系，要么出現(xiàn)多部門管理，存在邊界不清、職能重復、協(xié)調(diào)困難、信息不足、合力不足、效率低下等問題。一些公司缺乏法律服務和職能，而另一些公司缺乏健全的內(nèi)部控制系統(tǒng)，無法及時建立恰當?shù)闹С种贫?。公司?nèi)部控制和違規(guī)制裁不嚴格，無法發(fā)揮風險防范作用，以及對于風險管理的意識不強等問題都急需解決。

（二）法務、合規(guī)、內(nèi)控、風險一體化管理的優(yōu)勢

1、降低管理成本，提高管理效率

國有企業(yè)現(xiàn)行的法務管理、合規(guī)管理、內(nèi)部控制管理和風險管理程序包括風險識別、風險評估、風險應對、監(jiān)測和改進，以及多部門設立、重復管理和資源浪費。建立一個全面的內(nèi)部控制和風險管理系統(tǒng)，可以減少相關子系統(tǒng)之間的管理分歧，簡化管理結(jié)構，優(yōu)化管理流程，減少管理聯(lián)系，在優(yōu)勢方面實現(xiàn)互補，為問題提供全面的解決方案，共享資源，節(jié)約資源，提高管理效率。

2、有效防范風險，促進企業(yè)安全發(fā)展

從中央企業(yè)到地方國企，都能對于風險防范進行高度的重視，堅持深入思考，提高風險的防控技能，建立全面的風險管理體系，

有效控制重大糾紛和重大危險事件的發(fā)生頻率。促進決策，解決重大風險事件，提高企業(yè)運營質(zhì)量和整體水平，支持企業(yè)業(yè)務發(fā)展。

3、強化風險管理理念，塑造企業(yè)風險管理文化

在經(jīng)濟市場大背景下，風險管理應運而生并且現(xiàn)如今已成為現(xiàn)代企業(yè)管理的重要組成部分，是企業(yè)良性穩(wěn)步可持續(xù)運行的基本保障，也是企業(yè)加入市場競爭，進行合法經(jīng)營的重要舉措。內(nèi)部控制和風險的綜合管理可以極大地整合人力和物力資源，突出風險管理的有效性，并且深入人心的風險管理理念，有助于建立重視風險和自我管理的企業(yè)風險管理文化以及具有商業(yè)誠信和合法合規(guī)經(jīng)營的商譽。

4、適應新形勢下市場競爭、改革轉(zhuǎn)型升級的需要

隨著新經(jīng)濟常態(tài)的到來，國有企業(yè)面臨著新的困境。其一，市場外部的競爭日益激烈，其二，內(nèi)部管理模式和內(nèi)部機制日益受到限制。合法合規(guī)建立內(nèi)部控制和全面的風險管理體系是公司轉(zhuǎn)型升級的重要保障。整合完善現(xiàn)有風險管理資源，構建企業(yè)經(jīng)營發(fā)展健康閉環(huán)管理鏈，可以推動國有企業(yè)改革轉(zhuǎn)型，提升核心市場競爭力。

三、“四個統(tǒng)一”的管理機制

（一）組織職能統(tǒng)一

在構建全面的法務管理、風險管理、內(nèi)部控制或合規(guī)管理體系時，企業(yè)首先需要建立與管理相關的組織結(jié)構，以明確管理責任。同樣，達到風險，內(nèi)部控制和合規(guī)的一體化建設第一步是整合組織職能，簡化公司的內(nèi)部組織結(jié)構，避免職能重疊，避免延誤。具體而言，在管理、治理和執(zhí)行方面，有必要實現(xiàn)全面的法務管理、風險管理、內(nèi)部控制和合規(guī)職能的相統(tǒng)一。

（二）工作機制統(tǒng)一

工作機制的統(tǒng)一主要包括第二道防線的年度風險、內(nèi)控與合規(guī)工作的安排，以及第二道防線與其他部門協(xié)調(diào)機制的統(tǒng)一兩個部分。第二道防線是基于組織職能統(tǒng)一的原則，將年度法務、風險、內(nèi)部控制和合規(guī)工作相結(jié)合，建立年初安排、年中控制和年終總結(jié)的工作機制。然而實質(zhì)是要進行整合，如內(nèi)部控制自我評估與合規(guī)性核查、年度計劃和年報整合，在一定程度上降低了管理控制的成本，但實際實施取決于管理工具的一體化。

此外，協(xié)調(diào)第二道防線與其他部門之間的機制，需要監(jiān)管機構之間的協(xié)作機制，主要承擔對目標企業(yè)監(jiān)督工作相關機構和相關業(yè)務進行整合。例如在法務管理、風險管理、內(nèi)部控制、合規(guī)管理、法律事務管理、文件核查、審計、監(jiān)察等方面都需要考慮。

（三）管理制度統(tǒng)一

從管理的角度來看，法務、風險、內(nèi)部控制和合規(guī)的整合可以分為兩個方面。一個是系統(tǒng)建設，另一個是日常系統(tǒng)運行。系統(tǒng)建設基本上是根據(jù)內(nèi)部控制和合規(guī)要求設計控制標準，并在日常運營中實施這些標準。形式方面由于在內(nèi)部控制、風險防范以及合規(guī)層面存在差別，不同的企業(yè)開發(fā)相關的管理工具比如說包括風險管理手冊、內(nèi)部控制手冊、內(nèi)部監(jiān)控評估手冊、合規(guī)管理手冊、合規(guī)化手冊等。按管理工具分類，除第二和第三道防線上的專業(yè)部門外，第一道防線的業(yè)務部門對這些管理工具的理解和有效使用并不具有實現(xiàn)性和可操行。

（四）評價體系統(tǒng)一

第一道防線的相關部門根據(jù)系統(tǒng)制定的控制標準進行日常管理。除了日常流程審計，第二道防線主要包括年度系統(tǒng)評估，第三道防線是系統(tǒng)有效性評估。

第二道防線的年度評估是確保管理體系有效運行的重要任務。因此，建立統(tǒng)一的評估體系也是促進風險、內(nèi)部控制和合規(guī)一體化的重要任務之一。企業(yè)應結(jié)合內(nèi)部控制自我評估、合規(guī)管理檢查和風險管理的相關要求，采用綜合管理體系評估的組織形式、評估方法、報告路徑，可以明確檢查和評估問題的糾正和后續(xù)機制，制定與綜合評價相關的檢驗和測試程序，制定基本版本的檢驗表格和綜合評價底稿，明確檢驗結(jié)果和缺陷識別標準，將內(nèi)控自評、合規(guī)檢查及風險檢查工作相結(jié)合，有效降低控制成本，實現(xiàn)評價目標。

四、“四個統(tǒng)一”主要思路

（一）融合管理體系

將分散在風險、法律、內(nèi)控、合規(guī)四大管理體系中的風險因素有機整合，疊加管理要求，形成全面的風險防控體系。在開始覆蓋流程之前，設計覆蓋框架。根據(jù)合規(guī)、風險和內(nèi)部控制以及法務的現(xiàn)有體系選擇因素。

國有企業(yè)一般將四大風險管理體系的風險控制要素定義為培訓定義、勞動標準、風險管理、事件審查、違規(guī)管理、信息與溝通、宣傳與培訓、規(guī)劃與報告、文化建設等。在確定重疊框架后，法務、合規(guī)、風險和內(nèi)部控制等現(xiàn)有管理要求將整合到一個統(tǒng)一框架中。在這個過程中有幾點需要注意:

1、全面風險清單的構建

所有庫存項目將根據(jù)公司在法律、合規(guī)、風險和內(nèi)部控制系統(tǒng)領域創(chuàng)建的基本庫存進行分類和匯總。風險清單分類標準的選擇主要是為了判斷現(xiàn)有四大體系的成熟度和合理性，植根于內(nèi)部控制體系的“十八項指引”或風險體系中的五大風險類型可以作為總結(jié)綜合風險清單的依據(jù)。具體制定的過程中，要注意編目時應采用編號規(guī)則和命名約定；應建立統(tǒng)一的標準和規(guī)范，以形成危險發(fā)生概率和程度的定量或分級指標。

2、全面風險事件庫的構建

在四個體系中，風險管理類最突出的優(yōu)勢是對外部因素的關注。因此，四位一體體系中的事件庫應從風險的角度出發(fā)，搜集同一行業(yè)、同一類別、同一分類的企業(yè)，可供參考的風險事件，結(jié)合國企本身的歷史風險事件，形成風險事件庫進行參考。風險事件的統(tǒng)計范圍包括:風險描述、風險時間、風險原因和解決方案，從而統(tǒng)一風險識別思路。

（二）精簡流程融合

1、風險清單及風險事件庫

以“加法”完成的風險清單和風險事件數(shù)據(jù)庫為基礎，每一事項可以在法律、合規(guī)、風險、內(nèi)控四類風險中進行標注，可以鎖定風險應對的管理流程，可以索引相關的現(xiàn)有系統(tǒng)。

2、流程標識

在全面風險防控體系運行過程中，通過不同的控制方法在相應的流程中識別風險點，與風險清單中的控制手段相對應，從而增強風險控制。

3、以“1+N”的制度體系作為“四位一體”

“1”指《四位一體全面風險防控管理控制手冊》，是公司整合風險管理的綱領性文件，明確了融合職能、融合制度、組織和職責的整合，基本管理模式和基本管理流程。

“N”是指在具體運用《四位一體全面風險防控管理控制手冊》過程中，對于具體事項的細化規(guī)定可以通過借鑒合同管理辦法來進行進一步的規(guī)定，除此之外還有風險評估手冊、法律糾紛管理辦法、國際標準手冊、內(nèi)控合規(guī)手冊、風險應對手冊等。

（三）提升管理水平

“四位一體”風險防控體系的構建過程也賦能了企業(yè)的整體管理職能。綜合管理體系運行機制的合理創(chuàng)新，將有效提高管理效率，優(yōu)化風險防控工作和各項管理職能，事半功倍，體現(xiàn)倍增效應。

1、治理與組織層面

在組織架構設計上，從治理層、管理層、執(zhí)行層的定位出發(fā)，統(tǒng)一組織職能，精簡組織架構，對風險防范相關職責進行明確，避免職能交叉。

治理層的設計重點是符合當下相關政策法規(guī)，如設立首席合規(guī)官和總法律顧問；管理層需要關注權限的劃分；執(zhí)行層面是加強部門的職能分工和協(xié)調(diào)機制。組織架構設計的核心目標是將一體化風險防控的要求嵌入企業(yè)管理的各個環(huán)節(jié)，促進決策、運營和管理的緊密配合。

2、管理制度與流程層面

通過梳理風險清單相關制度，一方面將進一步明確風險事件的權責歸屬，歸屬范圍將擴展至企業(yè)所有職能和業(yè)務條線；另一方面，流程中風險關注點的標記將涉及到從業(yè)務流程到管理流程的銜接，并將為相關系統(tǒng)補充風險識別、應對、評估和信息反饋等工作項。

（四）優(yōu)化資源配置

1、管理資源的分配

為了更好地實施法務、合規(guī)、風險和內(nèi)控一體化管理體系，企業(yè)需要不斷加強風險管理人才隊伍建設，培養(yǎng)一批真正掌握風險管理技術和方法的專業(yè)人才團隊。同時，要進一步完善人才聘用選拔管理機制，拓寬職工的發(fā)展渠道，充分將各類人才的積極性和主動性調(diào)動起來，真正做好法務、合規(guī)、內(nèi)控、風險綜合管理的人才支撐建立工作。

2、數(shù)字化資源的分配

企業(yè)需要構建一體化的風險管理信息平臺，如涵蓋法務數(shù)據(jù)庫、風險數(shù)據(jù)庫、內(nèi)控數(shù)據(jù)庫、供應商數(shù)據(jù)庫、案例數(shù)據(jù)庫等內(nèi)部數(shù)據(jù)庫，加強風險案例數(shù)據(jù)、風險清單等風險管控類數(shù)據(jù)的積累。此外，企業(yè)需要打通各種管理信息系統(tǒng)的數(shù)據(jù)庫，將風險控制點嵌入業(yè)務管理流程，按照業(yè)務管理中的角色和崗位實現(xiàn)風險預警和風險審查。

五、構建法務、合規(guī)、內(nèi)控、風險一體化管理體系相關建議

（一）法務、合規(guī)、內(nèi)控、風險一體化管理體系建設原則

1、堅持領導主抓和全員參與相結(jié)合。明確企業(yè)主要負責人是加強風險控制的第一責任人；建立全員責任制，將合法合規(guī)、內(nèi)部控制和風險防控要求深入崗位職責，在崗位工作全過程中進行落實。

2、堅持綜合治理和突出重點相結(jié)合。法務、合規(guī)、內(nèi)控、風險一體化管理應覆蓋整個業(yè)務領域、整個業(yè)務流程、整個組織層面和全體員工，貫穿決策、執(zhí)行、監(jiān)督的全過程，突出重要領域、關鍵環(huán)節(jié)、關鍵人員和關鍵單位的管理。

3、堅持成本與效益、控制與效率的統(tǒng)一。風險控制要充分考慮成本和收益、控制和效率，以適中的成本和效率實現(xiàn)有效的防控。

（二）法務、合規(guī)、內(nèi)控、風險一體化管理體系建設思路

1、以明確組織架構為前提。

首先，在治理層面，由全體董事組成的業(yè)務執(zhí)行機關是企業(yè)風險綜合管理的最高決策機構。企業(yè)中還有審計委員會以及法治與風險委員會，這兩者都對董事會負責。監(jiān)事會是企業(yè)綜合風險管理的監(jiān)督機關，監(jiān)督董事會和經(jīng)理層內(nèi)綜合風險管理的建立和實施。

其次，在管理方面，總經(jīng)理將負責公司的日常運營和組織建設，領導公司的全面風險管理。總法律顧問或主管領導主要負責法律事務、合規(guī)、內(nèi)部控制和風險管理等職責。

最后是在執(zhí)行層面，法務部發(fā)揮統(tǒng)籌協(xié)調(diào)作用，設立兼職合規(guī)管理人員，將特定合規(guī)要求納入工作職責和業(yè)務流程，做好特殊領域的合規(guī)管理，及時有效地防范和處理合規(guī)風險。

2、以強化制度建設為基礎

一是建立法律管理、合規(guī)、內(nèi)部控制和統(tǒng)一風險管理的體系，明確職能、制度、組織和責任的統(tǒng)一、基本管理模式和基本管理流程。

二是在綱領性制度要求的基礎上，制定配套的管理工具，包括風險管理手冊、內(nèi)部控制手冊、內(nèi)部控制評價手冊、合規(guī)管理手冊等細化制度。

三是將風險、內(nèi)控和合規(guī)管理要求、評價標準和風險應對措施整合到體系中，確保企業(yè)日常業(yè)務流程和管理符合風險、內(nèi)控和合規(guī)要求。

四是將業(yè)務流程嵌入企業(yè)規(guī)章制度，將財務管理制度、用工管理制度、合同管理制度、審計監(jiān)督管理制度融入公司運營的具體流程，進一步加強對制度執(zhí)行現(xiàn)狀的檢查和監(jiān)督，強化制度的剛性約束。

五是定期進行系統(tǒng)整頓，編制新立、修改、廢止計劃，對重點改革任務配套體系進行完善，修訂重點領域管理標準，提高效率和相關性。

3、以構建閉環(huán)管理系統(tǒng)為重點

一是風險識別，收集與公司風險管理相關的內(nèi)外部初始信息，對手機原始信息以及在具體操作中的業(yè)務管理流程進行風險的識別和風險。

二是風險評估。依據(jù)企業(yè)經(jīng)營目標，定期舉辦風險偏好以及風險承受能力的評估，制定相應的風險應對策略，實施動態(tài)管理。

三是風險應對。將風險應對策略、風險應對措施和法律合規(guī)要求融入到所涉及的業(yè)務流程和項目中，組合規(guī)章制度，對于內(nèi)部控制達到逐步優(yōu)化的效果，使公司在日常運營中自覺防止失誤，提高經(jīng)營效率。

四是風險監(jiān)管和改進。法務風險控制部及時對綜合風險管理進行跟蹤和監(jiān)督，并根據(jù)監(jiān)督結(jié)果改進和推進綜合風險管理，確保綜合風險管理的效果。

五是考核問責。加強法務、合規(guī)、內(nèi)控、風險整合等方面的管理考核和責任追究，在企業(yè)績效考核中將風險管理情況這一考量因素納入，若考核存在問題，將依據(jù)我國的法律法規(guī)和企業(yè)的相關規(guī)章制度來進行責任追究。

4、以協(xié)同工作機制為保障

一是法律事務、合規(guī)、內(nèi)部控制和風險管理之間的重復工作將被合并，如內(nèi)部控制自我評估和合規(guī)檢查，以及各項工作的年度計劃和年度報告的整合。

二是要構建法務管理、合規(guī)管理、內(nèi)部控制、風險管理、紀檢監(jiān)察、審計、監(jiān)事會等監(jiān)管主體之間的協(xié)同工作機制。從具體工作實施的工作內(nèi)容、目標、要求、方法、程序等方面，將各項監(jiān)管工作有機結(jié)合起來，建立監(jiān)管主體之間相互協(xié)調(diào)配合的業(yè)務流程，增強監(jiān)管工作的合力。

5、以數(shù)字化建設為手段

一是搭建法務、合規(guī)、內(nèi)控、風險一體化管理系統(tǒng)平臺，建立法務數(shù)據(jù)庫、風險數(shù)據(jù)庫、內(nèi)控數(shù)據(jù)庫、供應商數(shù)據(jù)庫、案例數(shù)據(jù)庫等企業(yè)內(nèi)部數(shù)據(jù)庫，加強風險清單、風險事件、合同文稿、案例數(shù)據(jù)、控制措施等風險控制數(shù)據(jù)的持續(xù)積累。

二是利用信息技術打通各業(yè)務信息系統(tǒng)的數(shù)據(jù)庫，將風險審查要點嵌入重要業(yè)務流程，形成基于崗位職責的法律、合規(guī)、內(nèi)控和風險審查機制，實現(xiàn)業(yè)務信息系統(tǒng)在流程處理過程中，可以根據(jù)崗位對業(yè)務經(jīng)理、業(yè)務負責人、法律審核員等不同審查角色進行提示和審查。

三是建立企業(yè)風險識別預警機制，利用大數(shù)據(jù)和人工智能技術識別各類風險，設立風險預警管理系統(tǒng)，實時監(jiān)控業(yè)務流程各個環(huán)節(jié)可能存在的風險。

6、以人才隊伍建設為支撐

為適應綜合管理的需要，應繼續(xù)加強人才隊伍建設，打造懂專業(yè)、懂管理、懂業(yè)務、懂財務、會管理的復合型人才。同時，要把專業(yè)發(fā)展渠道進行擴展，對于復合型這種特殊人才，要在市場化選拔、管理和獎勵方面進行制度的完善，采取有效的激勵措施，將其積極性和主動性調(diào)動起來。

將企業(yè)法務、合規(guī)、內(nèi)控、風險一體化管理納入企業(yè)整體規(guī)劃，實現(xiàn)公司系統(tǒng)全覆蓋，加強重點業(yè)務領域和關鍵業(yè)務流程管控，推進信息系統(tǒng)集成應用，加快建立四大風險一體化管理體系，有效提升企業(yè)整體抗風險能力，為企業(yè)高質(zhì)量發(fā)展保駕護航。

文章來源：  《中國集體經(jīng)濟》    http://www.12-baidu.cn/w/jg/1406.html