内控-风险-合规一体化建设100问 | 完整版(建议收藏)
2023-05-06 09:10:46 来源: 评论: 点击:
来源 | 中天华溥管理视野 作者 | 阎攀宇 1.企业开展合规管理的背景是什么?国际标准化组织(ISO)在2014年12月发布国际标准ISO19600《合规管理体系—指南》其中明确规定:组织
来源 | 中天华溥管理视野
作者 | 阎攀宇
国际标准化组织(ISO)在2014年12月发布国际标准ISO19600《合规管理体系—指南》其中明确规定:组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。这是国际上比较规范的关于合规管理领域的标准化文件。
我国,此办法于2022年10月1日起实施。作为我国第一个合规管理方面的规章,这个办法的出台对于我国企业的合规发展具有里程碑的意义。
国务院国有资产监督管理委员会在2022年8月印发《中央企业合规管理办法》明确规定:“合规是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。降低企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。”
同时,《办法》规定:“企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。”
在内容上,企业的合规既包括法律法规、行业准则、监管制度、国际通用规则、商业惯例等外部规范要求,也包括企业章程、企业基本制度、业务指引、操作规范等内部制度。
首先,内生性体现在将企业业务经营及管理过程中有效、有益、有用的经验、做法、惯例、操作流程、运行模式或管理要求等内生为“规”,规制企业和员工的经营管理行为。
其次,内化性体现在外规内化,一方面将法律法规、监管制度、行业规范、准则等内化为内部制度,另一方面内生的“规”要符合法律法规、监管制度等国家强制性、指导性规范要求。
最后,适配性体现在企业的“规”需要与企业性质、行业、战略、发展、规模、结构、运营等内外部实际及环境相适配。
首先,特定性体现在企业的“规”具有特定对象、特定范围、特定活动等方面的针对性和指向性,以企业和员工经营管理行为为规范对象,以企业经营管理为特定范围,适合有计划、有组织的企业组织活动。
其次,目的性体现在合规是以防控合规风险为主要目的,指引企业和员工规范、有序、安全、有效、稳定、高效、有价值的开展经营管理活动。
最后,系统性体现在合规是一套运营管理体系和系统,包括规范建立、执行、监督、评价等全方面管理活动。
合规确保企业和人员经营管理和行为符合“规”的要求,并建立一套合规管理体系,防控合规风险,但合规侧重于建立标准和规范、发现问题、识别风险、合规评价等方面,处于风险的前端预防、控制和管理,注重结果评价,不能从实质上、根本上解决风险问题。
合规管理的主要功能是防控企业法律风险,避免因行政处罚或者刑事责任追究而导致企业被剥夺经营资格,遭受严厉处罚。
合规管理对于企业来说具有促进企业稳健经营运行、防范违规风险、规范员工行为、防止决策失误、减少生产安全方面出现的问题等重要意义。
合规管理是一种通过体系化操作方式管控企业主体运行中违规风险漏洞的综合管理方法。是以企业主体的适用法律法规为基础覆盖至完善的商业道德与价值观的建设。合规管理强调适用性,也就是合规管理体系要适用于企业,每家企业的合规体系都应该符合企业自身所具备的行业特征与文化特征。
1、外部法律法规的变化导致企业某些原本不受限的行为,随着新法律的颁布变得不合规了,因此需要建立管理流程以识别这种变化,防范企业合规风险;
2、因竞争者、客户、供应商等不当行为给本企业带来合规风险;
3、监管部门、执法部门要求本企业建立和执行合规管理体系;
4、监管部门、执法部门对已建立合规管理体系的企业及高管实行正向激励;
7、合规管理成为一种市场准入门槛,没有合规体系将限制企业的某些市场行为。
1、企业内部员工为自身利益有意违规或不作为导致合规风险发生;
2、企业员工自身能力和认识不足,无意识犯错,产生合规风险;
3、企业内部代理人的放任、作假等行为,导致合规风险发生;
4、企业内部设备、存货的物理或化学特征,导致资产、事故等合规风险。
1、保障企业合法权益:企业合规是一种管理方法,是确保企业能够达到合规目标,实现稳健经营的有效手段。企业合规建设不但有利于保障企业稳健经营运行,有效防范违规风险,也可以避免被别有用心之人损害企业权益,是企业保障自身合法利益的有力手段。
2、促进与大型企业商业合作:随着大型国企、外资企业的合规体系建设基本完成,很多已经完成合规建设的企业都在加强对商业伙伴的合规管理要求。合规已经成为和这些大型企业合作的基本条件,如果未达到这些大型企业的合规要求,将会在合作过程中承受巨大的损失。因此,合规体系建设更加有利于企业在竞争中脱颖而出。
3、为上市和上市后管理提供支持:合规管理是一种体系化的管理方法。对于有志于上市或上市后良好运行的企业,合规可以提供很好的帮助。避免很多企业临近上市之时发现很多难以解决的旧有问题,或者根本无法符合上市条件的情况。对于上市之后的企业,面临的监管更加复杂,也需要有更好合规管理支撑。
4、在刑事、行政责任中保护企业、企业家:对企业或企业家涉嫌刑事犯罪、行政违法行为,现有相应的合规激励,可以做到对企业、企业家不起诉、减轻从轻或免予处罚,但是这需要企业能够切实拿出有效合规管理的证据。通过合规建设可以让企业这方面的证据保留,以便获取相关合法权益。
5、树立企业良好文化形象:合规可以促使公司形成廉洁、诚信、正直的企业文化,大大减少企业内部的管理成本,避免内部腐败、欺诈等现象发生。合规可以树立企业的良好形象,减少对外交流阻碍。企业可以通过ISO 37301标准认证等方式来展示自身良好的合规基础。
6、便于企业获取补贴、奖励:企业通过完善的合规体系建设,在获取行政补贴、奖励的时候,更加容易获得监管部门的认可和接受,避免监管部门的疑虑。同时通过合规管理,在准备相关申请材料中能够做到更多有效展示。
国务院国资委于2022年8月23日出台的《中央企业合规管理办法》大致包含以下几点:
以制度建设构建合规体系突出合规管理重点领域,在合规管理基本制度要求构建分级分类合规制度体系。以制度建设取代以往的合规管理重点,并且规范制度体系的构建逻辑,合规重点领域的制定专项指南。
合规管理,管理为重——合规人员要有灵活运用管理经验的能力,随时间加强、加深、拓宽管理。并不是机械的遵循指引。
运行机制:企业首先设立风险识别预警机制,建立并且定期更新合规风险库,同时将风险嵌入业务流程,在流程中进行合规审查。
及时建立应对措施,并向相关合规部门报告,企业遇到重大合规风险事件,需要首席合规官报告国资委,一般事件由合规管理人员向首席合规官报告。同时设计相关举报平台,并发挥法务、风控、内控的协同机制,提高管理效能。
建立定期开展合规管理体系有效性评价机制,重点专项评价机制,评价结果用于合规管理体系的改进、完善。
针对违规行为,需要建立相关的规则问责机制,包括责任范围,问责标准,根据违规行为要纳入考核。
1、加强公司的合规意识,建立起公司的合规文化与价值。当前国内企业合规工作面临着挑战,经济全球化对中国公司合规的要求越来越高。管理层要加强对公司合规管理的理解与认识并广泛宣传,要让合规的观念和意识渗透到公司经营管理的每个环节。公司要把对员工进行合规教育与培训作为职业培训的主要内容之一,让合规的观念与意识普及到每位员工,在公司上下建立起完整的合规文化与价值体系。
2、建立健全公司内部的各种规章制度。结合本公司实际情况,建立一套能够落地的、有效率的、能够被广大员工认同的管理制度、机制与体系。其中最重要的一点,就是如何形成有效的管理架构,特别是要理顺合规部门与相关部门的关系。采取分工负责、齐抓共管、协同联动的方式,来解决公司运营中出现的问题。公司要把恪守商业道德,遵守法律法规,完善合规管理体系作为公司管理的目标。财务管理制度、用工管理制度、合同管理制度、审计监督管理制度等要统一纳入公司运营的具体流程中。公司要注重各个制度之间的衔接,真正做到法商融合,在开展业务的过程中,合规管理和业务紧密结合。将各个合规管理的节点纳入整个业务流程之中,一方面可以减少人为因素的干扰;另一方面也可以节省时间成本,使合规管理工作顺利进行。通过一系列公司规章制度的建立与实施,真正做到制度管人,人人合规,事事合规,有效避免、减少、及时应对公司在经营管理中的各种风险。
3、建立和完善公司内部的考核机制和监督检查机制。公司要逐渐完善考核机制,增加合规和风险考核的内容,实行效率与安全并重。如果一味地追求业务指标,而忽视合规和风险指标,毫无疑问会增加公司的运营风险。一旦风险发生,势必增大公司的运营成本。业务指标和合规指标并重的考核机制,才是完善的公司考核机制。合规风险的有效管控应与公司主要领导及管理人员的个人考评挂钩,真正做到合规管理责任到人。为避免违规行为再次发生,公司要建立起完善的监督检查制度及违规罚则,要建立起严格的责任追究制度。要明确审计部门与其他部门之间的职责划分,各负其责。在公司日常运营过程中,对于不合规的公司管理人员、员工,公司要及时予以纠正、处罚。上述制度的建立和实施,不仅可以罚当其则,增强相关人员的合规意识,而且也能够对公司的其他管理人员和员工起到很好的警示作用。
10.合规管理体系与ESG评级体系的关系是怎样的?
ISO37301:2021《合规管理体系要求及使用指南》是由ISO/TC技术委员会编制,于2021年4月发布和实施,适用于全球任何类型规模性质行业的组织。
而ESG是从环境、社会和公司治理三个维度,评估企业经营的可持续性与对社会价值观念的影响。
ISO37301规定了组织建立运行保持和改进合规管理体系的要求,并提供实用指南,为各类组织提高自身的合规管理能力提供系统方法。采用PDCA理念覆盖了合规管理体系建立、运行、保持和改进全流程,基于合规治理原则为组织建立并运行合规管理体系,传播积极的合规文化,提供了整套解决方案。
ESG评级的工作流程主要由三部分组成,一是数据采集和信息归纳,二是指标设置、评分评级和形成评级结果,三是将评级结果指数化,从而形成服务投资的产品。
合规管理体系与ESG评价体系是相辅相成的,2022年6月1日起正式实施的国内首个企业ESG披露标准内专门有关于合规管理的部分,如供应商管理、商业道德等内容,均可与将ESG与合规管理做出相关连接。
企业在确定合规重点领域时,可以先对本企业面临的各类风险进行优先级排序,将(1)风险较大的业务活动、(2)治理层所关心的重要领域以及(3)经营管理活动中面临的首要问题作为合规重点领域。
在划定合规管理重点领域范围的基础上,对于合规风险高、影响范围大、合规管理空白的领域应优先制定完善合规管理制度及管控措施。企业应根据风险识别情况结合企业类型、所处行业等因素确定符合企业合规管理要求的其他重点领域。
企业应建立定期的合规风险识别评估机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,并进行分级分类管理。对于典型性、普遍性、可能产生严重后果或影响范围大的风险应纳入合规重点领域并及时发布预警。
合规《行为准则》主要是指员工在日常经营行为中应遵守并满足坚持诚信合规、维护公平竞争、防止腐败贿赂、禁止内幕交易、回避利益冲突、保守商业秘密等方面的合规要求。
合规《行为准则》是纲领性文件,在合规体系中有着类似“根本法”的独特地位。它对所有合规相关工作都具有指导性,对组织的全体成员都具有约束力(包括管理层,员工,甚至供应商等)。
因此,在制定《行为准则》时组织应综合考虑企业文化、核心价值观、公司业务范围等内部因素,同时还应认真研究行业情况,相关法律法规政策等外部环境,在内容中还应体现出公司最高管理级别的合规态度、承诺和要求,以及相关违反的处理、后果等。
合规管理制度总体上包括两部分:管理规范和行为规范。前者主要体现为合规工作管理办法及配套实施细则,具体内容是明确部门及其职责、具体工作内容和要求、相应奖惩机制等等。后者主要是作为行为总规范的合规准则及重点领域的合规指引文件等。
所以也可以说,合规行为准则是合规管理制度体系的一部分!
14.什么是“外规内化”?企业如何做好“外规内化”工作?
外规内化是指将外部有关合规要求转化为内部规章制度的一种行为。要求企业动态、及时更新完善企业规章制度,按照合规管理的要求,不断完善以企业章程为核心的企业制度体系。
企业根据外部法规环境变化的情况,不断修订完善企业规章制度是企业外规内化的关键环节,企业应把梳理的内外部合规要求落实在具体的规章制度中。
企业在运营过程中对于存在的或可能发生的风险源进行分析、研判,并收集整理、辨别对应的风险事件或所有风险点,形成合规风险列表,并对风险列表加以描述、评估,以进一步对合规风险进行监测和控制的系统性活动就是风险识别活动。
企业的风险识别活动是企业合规体系建设的基础性条件,反过来说,合规管理活动主要是针对识别出来的风险点来进行控制的。
合规风险的识别以合规义务为基础,合规风险识别、风险更新应从风险发生可能性、风险发生后果严重程度两个维度进行,通过收集梳理相关合规风险点、分析合规风险形成或产生的原因、对合规风险进行分类评估。
(1)头脑风暴法。是将一些人聚集起来,通过彼此的沟通交流、想法、建议、意见的表达等让大家的思想发生碰撞,为团队工作找出问题和机会,从而产生 1+1>2 的效果。
(2)专家调查法。会有相应的风险小组,挑选一些相关领域的专家,征求专家的意见,然后综合汇总整理再反馈给专家,再次征求意见,反复进行4~5轮,最终专家们的意见会趋于一致,达成共识。
(3)情景分析法。通过对公司内外相关问题,进行系统分析,设计出多种可能的未来情景。基于设计的场景识别关键影响因素,基于该因素可能发生的场景,进行场景内容的分析,进而发现风险可能造成的后果。
(4)核对表法。将项目范围、目标、成本、质量要求、进度、类似项目成功或失败的原因等列在一张表上,进行一一核对。这种方法可以识别到进度风险、成本风险、质量风险等。
(5)流程图法。流程图需要建立项目的全链路流程图以及各子域流程图,可涵盖项目的整体流程以及分支细节。再通过将实际情况与流程图一一对比,便可识别风险。
(6)财务报表法。通过分析三大财务报表可以识别项目中是否存在财务风险、人事风险等,这些对企业来说都是至关重要的。
(7)SWOT分析法。SWOT分析法是一种系统分析工具,通过识别企业面临的优势、劣势、机会以及成本,从多角度对公司面临的风险进行定性识别。
(8)事故树分析法。是系统安全分析中最重要的定量分析方法之一,运用逻辑推理对企业各种系统的危险点进行辨识和评价,不仅能分析出发生事故的直接原因,而且能深入地揭示事故发生的潜在原因。
合规联席会议是指企业为充分沟通合规风险信息,由合规管理负责人负责召集和主持,并联合多部门围绕合规风险内容,通过定期会议等形式研究、协商、指导、共享、部署跨部门的合规管理各项工作的会议。
合规联席会议不是一个决策机构,而是一个沟通机构,通过定期召开联席会议的方式,将多个涉及合规的部门集中在一起,就合规管理中出现的问题进行统一协商、共同研究、征求意见、工作协调的一种机制。
合规联席会议的讨论结果,为企业合规体系的建设、完善、优化提供依据,是合规管理的重要一环。
第一,确定联席会议的参与部门及人员名单。一般来看,涉及到企业管理各个层面的部门以及相关高层领导都属于合规联席会议的成员。但是企业可以根据每次合规主题的不同,选择不同的部门与人员参与某次联席会议。
第二,明确联席会议的主要职责。由于联席会议主要是讨论、协商、参谋机构,联席会议的名称也大致表明了联席会的主要职责中没有决策。因此,联席会的主要职责应该将除决策之外的其他职责明确出来,这样参与部门与参与人员在会前都会有所准备。
第三,明确联席会议的工作规则。由于联席会议的讨论、协商与参谋特征,因此联席会议的工作规则要根据这几类功能分别确定工作规则。需要注意的是,联席会议的工作规则包括会议规则与休会规则。其中,会议规则是会议召开过程中对相关合规问题讨论、协商的基本程序与过程。休会规则是在未召开会议期间,各个参与部门与成员应该承担的相关责任。
第四,确定各部门合规工作职责范围,加强协同配合。应该说,企业不同部门在联席会议中的职责范围是不同的,业务部门、风控部门、法律部门都应该在各自合规工作范围内,确定自己在合规联席会议中的职责范围。
合规风险应对是指企业及各下属企业针对发现的合规风险制定风险控制预案,充分调动各相关部门要求其协同配合,采取有效控制措施,及时应对处置,最大限度化解风险、降低企业损失的行为。
合规风险应对主要有五种措施,包括:规避风险、降低风险、转移风险、接受风险、对冲风险等措施。
规避风险。是一种有意识的避免某种特定风险发生的一种决策。比如,如果一个人怕出门遇到车祸,那么就干脆不出门了。规避的风险在企业中属于重大风险,比如法律风险就如此,企业绝对不能做违法的事情。
降低风险。指采取各种措施减少风险实现的概率及经济损失的程度。这种行动可以在损失发生之前、之中和之后采取。还是举刚才那个案例,如果一个人怕出门遇到交通事故,但是又不得不出门,那么他就可以通过遵守交通规则、不闯红灯、不横穿马路等行为,降低交通事故发生的概率。
转移风险。指的是风险的承担者通过若干经济和技术手段将风险转移给他人承担。比如说企业如果认为持有一件资产存在贬值的风险,那么就会倾向于将资产卖掉。或者通过购买财产保险,以备将来发生火灾时,将风险转移给保险公司。
接受风险。指的是风险暴露者自己承担风险并以自身财产来弥补损失。这种选择可以理解为,明知道做这件事有风险,但是觉得自己可以接受这种风险,因此对这种风险的可能发生,并不采取任何应对措施。
对冲风险。指的是通过投资组合的多元化来分散投资风险。风险对冲的原则就是使整体风险最小而收益最大。
企业合规审查,是指为保证企业经营管理活动的合规性,对企业的经营管理活动是否合规进行审核检查,包括对违规整改、合规持续改进情况的审查。它不仅是执法机关、司法机关(我国现阶段主要是检察机关)在办理案件中,对企业合规整改情况考察的重要手段,更是企业在主动合规过程中,确保合规管理效果的重要内容。
合规审查虽然是执法机关、司法机关在办理案件中的主要手段,但是它与法律审查并不能完全划等号。二者的不同主要集中在:
(1)合规审查强调对企业经营活动的全面审查,其范围要远远广于法律审查,并包括法律审查;
(2)合规审查是对企业所有合规规范予以审查,但法律审查仅在法律法规实务领域审查。
合规管理应覆盖的重点环节主要包括制度制订环节、决策环节、生产运营环节以及企业认定的其他重点环节。
制度制定环节:主要包括制度体系能否覆盖企业的所有决策管理环节(全面性)、制度体系是否符合行业特征以及企业特征(适合性)、制度制定过程是否符合企业制度管理的要求(程序性)。
决策环节:主要指企业四会一层在决策过程中是否符合法定程序、企业决策事项(三重一大)是否清晰。
生产运营环节:主要是指生产运营过程是否符合制度管理中的程序要求、是否在作业中符合行业规定或者公司制定的作业标准。
其他重点环节:企业认为其他可能给企业带来重大不合规行为的环节,都应该制定相应的合规规定,并遵照执行。
企业合规管理的重点环节应覆盖企业合规管理的重点人员,主要包括决策管理人员、重要风险岗位人员、海外人员以及企业认定的其他重点人员。
专项合规管理制度是针对重点领域制定的管理制度,如反垄断合规制度、反腐败合规制度、数据保护合规制度、安全生产合规制度、劳动用工合规制度、税务管理合规制度等。
在全面合规体系建立之前,企业可以就本企业已经发生、或者可能发生、或者发生后影响较大的重点领域,单独建设合规管理体系,通过合规管理制度、合规管理组织的方式,予以控制,避免不合规事项的发生或者再次发生。
结合我国企业近年合规体系建设的实践经验,《合规办法》对于合规管理的内容有了更清晰的分类表达,包括“建立合规制度、完善运行机制、培育合规文化、强化监督问责”等方面。
风险导向:合规管理制度建设的重点作用是规避风险,针对可能发生不合规的领域,建设基于风险管理的制度体系。因此也可以说,建立合规制度之前,首先就要识别与分析企业决策经营过程中的风险点。
公正公开:制度的建设就是要适合企业特征,另外还需要在企业内执行。因此制度制定前、制定中一定要公开征求各方面意见,不能搞私下主义、更不能搞一言堂,必要时还要征求外部专家的意见。在制度颁发后,更要公开制度,主动开展培训宣贯,推动制度的落地实施。
实用有效:企业制度一定要符合行业特征要求、更要适合于企业运营实际,因此一定要注意,在企业制度建设过程中不要照抄照搬,不能把其他企业的先进制度简单的搬过来,只有这样才能满足对企业管理的实用性与有效性。
通俗易懂:制度是给人看的,要能保证公司内大多数员工能够读懂制度、理解制度。因此编写制度的语言一定要通俗易懂、简单明了,让每位员工都能理解制度的具体要求与内涵。
适度合理:企业的风险是随时存在的,如果要在没有任何风险的情况下开展决策经营,那么企业为了控制风险的成本就会无限扩大,并不符合企业经营风险的基本原则。因此企业制度一定要适度合理,不能为了过分控制风险而无限制提高运营成本、降低决策效率。
与时俱进:与时俱进的意思是制度建设并不是建完以后就一直沿用下去,还应该根据外部的政策环境变化、企业内部的组织流程变革、企业管理水平的提高,不断的对制度进行更新与完善,这样才能符合企业合规管理的要求。
需要。根据合规管理信息化建设的基本要求,主要包含以下五点:
一是建立合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库,对风险发生的可能性、影响程度、潜在后果等进行分析,对典型性、普遍性或者可能产生严重后果的风险及时预警;
二是加强合规管理信息化建设的主要内容,包括研发和建立合规制度、典型案例、合规培训、违规行为记录等信息系统;
三是定期梳理业务流程,查找合规风险点,运用信息化手段将合规要求和防控措施嵌入流程,针对关键节点加强合规审查,强化过程管控;
四是加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通,实现数据共用共享;
五是利用大数据等技术,加强对重点领域、关键节点的实时动态监测,实现合规风险即时预警、快速处置。这些规定和要求为合规管理信息化建设明确了目标和方向、实现路径和运营方式,使合规管理信息化建设成为合规管理不可或缺的工具和手段。
可以。合规信息化建设是对原有信息化系统进行优化和改造。同时,在国务院国资委发布42号令第三十五条也强调,中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通,实现数据共用共享。
企业应先建立合规管理体系,再委托第三方中介机构通过规则嵌入流程,配合多种分析工具(如指标、模型、人工智能等),结合大数据中心以及内外部数据采集的支持,建立合规体系的信息化管理。
从这方面来看,合规管理体系是信息化系统建设的基础,信息化系统是合规管理落地实施的手段和方法,可以使合规管理更加高效与准确。
合规要求是强制性的,不以企业意志为转移。主要是从外部的法律法规、地方性规章、行业标准与规定中提取并演化出来的。这些合规要求是企业基本的合规义务,任何企业都应该遵守的。
合规承诺是非强制的,但一经企业做出,便具有约束力。合规承诺主要是从企业的愿景、使命、价值观中提炼并演化出来的,包括企业内部的规章制度以及行为规范,也是企业自愿遵守的,高于法律约束的管理准则与行为准则。
从以上分类可以看出,企业的合规义务在实践中主要包括三方面。一是企业应遵守的法律法规,含国际法律、惯例;二是企业应遵循的内部规章制度;三是企业应遵照的职业道德规范。在国有企业中,党规党纪也是当然的合规义务之一。
企业承诺的合规义务,是企业合规管理的基础,因此确定合规义务就显得非常重要,也是合规体系建设的前置性条件,但是在合规义务确定中,企业却会面临着不同的难点,主要体现在以下方面:
我们在上题已经说过,合规义务来源于外部合规要求以及内部的合规承诺,仅仅从外部的合规要求来看,法律法规、地方规章、行业标准等都是企业提取外部合规要求的依据,而这些法律法规、规章标准数量庞大,如果没有专业人员的参与,很难从这些数量庞大的法律文件中识别适合于本企业的合规要求。
在数量庞大的同时,外部的法律法规与行业规章又不是一成不变的,随着时代的发展以及法治建设的进程,外部对企业合规提出的要求会随时发生变化,需要企业及时提取外部合规要求的变化,更新企业自身的合规风险库。
同时,企业内部的管理也是根据企业的导向以及管理水平随时变化,因此内部的合规承诺也应该在这个基础上随时调整,以使自己的合规承诺适合于企业管理的现状。
这种随时变动的特征,也给企业的合规义务管理带来了很大的困难。因此,企业也应该建立合规义务的动态管理机制,保证合规义务符合企业合规管理的要求。
31.企业合规管理的风险与企业风险管理、内控管理的风险是一致的吗?
在企业内控理念中,风险是一个令人厌恶的词汇,对于内控理念中出现的风险点,需要企业采取措施予以控制。
在企业风险管理概念中,风险本身是个中性词,既包含威胁,也包含机会。企业在风险管理中,应该遵循风险经营的理念,对不同的风险采取不同的处置措施。
在合规管理中,风险只包含威胁。合规风险,其实就是不合规造成的负面影响。对于合规管理中的风险,企业应该通过各种方式予以规避,避免风险的发生。从这个意义来看,合规风险与内控风险具有大致一致的思想范围。
合规培训是指为使企业员工掌握应知的合规知识、规则和风险防控要求而开展的培训活动。
合规培训,一般可分为面授培训与网络培训。面授培训是大家可以在一起做案例讨论,然后因为有人的参与和互动在里面,所以更适合做成像研讨性质的,引导大家去思考。另外面授培训一般都是定制培训。而网络培训多为标准化培训,后者好处在于可以打破时间地域的局限性,也可以综合地运用图片、动画、视频等方式。
一般的合规培训都是由企业专门的合规官开展实施。合规官有丰富的专业知识储备,能够促使培训对象深入、透彻地了解合规风险及具体的防范措施。
合规培训是为了增强企业员工全员合规意识,加强对合规经营的学习领会和对合规工作常态化管理,更好地落实企业合规政策,有效防范和降低企业经营中的合规风险,实现全体员工从“要我合规”向“我要合规”的积极转变。
从这方面来看,合规培训的目标是要在员工中建立起合规文化理念,通过合规文化的建设,让员工形成自主合规的思想意识与行为习惯。
业务部门及为业务工作开展提供支持的职能部门是合规风险管理第一道防线以及第一责任主体,应当在本部门领域和职责范围内开展全面、专业合规审查。
合规管理牵头部门负责对各部门提起的合规审查事项进行程序性审查。这是企业合规管理的第二道防线。
审计监察部门负责通过审计监督的方式,监督合规体系落实的情况,已经合规体系的适合性。对于合规体系的不适合性以及不能落实的部分,审计监察部门应提出审计整改要求,要求企业的合规主体进行改正。也是企业合规的第三道防线,也是最后一道防线。
容错免责是指把是否依法合规作为免责认定的重要依据,在依法合规的情况下宽容员工出现的失误、过失、过错与偏差行为。《中央企业违规经营投资责任追究实施办法(试行)》也对“容错免责”进行了规定:对中央企业经营管理有关人员在企业改革发展中所出现的失误,不属于有令不行、有禁不止、不当谋利、主观故意、独断专行等的,根据有关规定和程序予以容错。
从政策角度来看,随着国有企业合规体系的持续完善与发展,合规管理中的“容错免责”机制是需要逐步建立并不断完善的。
根据2022年4月19日国家相关部委印发的《涉案企业合规建设、评估和审查办法(试行)》,目前司法机关试点的刑事合规不起诉的政策中,企业是否已经建立或者能够建立起有效的合规体系是司法机关做出是否对企业法人发起刑事诉讼的重要考量因素之一。而企业有效合规计划中内部举报制度又是必不可少的组成部分,同时内部举报制度也是企业能够有效发现和防范企业不当行为的重要方式。
第一,企业内部员工往往最容易发现企业中存在的违法违规行为,从事生产、经营、会计、营销等职能的员工对所服务企业及所在部门存在的不当行为最为了解,而当这种不当行为被越早的揭露,越能把公司所涉及的法律风险和可能造成经济损失的可能性降到最低。
第二,企业内部举报机制本身也是判断公司内部合规制度是否完整与有效重要标准。建立起顺畅有效的内部举报制度,可以使企业及时了解公司在经营决策过程中存在的不合规问题,并能迅速进行展开应对与整改,这也能使公司避免风险无限制扩大、甚至面临“失控”的局面。
企业可以根据自身情况与特点,设立违规问题反映的专门渠道,确立合规调查基本方式和程序,由合规管理牵头部门负责维护运行以及相关线索的后续跟进处理。发现问题线索涉及违纪违法的,合规管理牵头部门应将问题线索及材料移送纪检监察部门等有关单位。
举报热线:企业建立专门的举报电话,由专人接听举报人的电话;
举报邮箱、信箱:企业建立专门的举报邮箱、信箱,并向全体员工或者利益相关人公布,定期检查举报内容;
公开讨论:企业建立起公开讨论的机制,以公司纪检部门与公司高层为主,邀请相关员工与利益相关人,就公司内部运营中的违规问题开展公开讨论;
总经理接待日:一定周期总经理会面对全体员工,接待员工反映的问题;
第三方机构专门负责:企业可以委托第三方机构接收员工反映问题,这样可以利用第三方机构的无利益关联性,打消员工在举报时的顾虑。
合规管理评估是指定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。
一是合规体系有效性评估。通过查找合规问题,重新审视合规管理体系与管理内容是否符合公司基本情况,通过这个体系是否能够满足企业规避不合规行为的情况,是否需要对现有合规体系进行修正与完善,重新建立合规要求与合规制度。
二是合规体系落地实施情况评估。也就是如果企业通过评估认为合规体系有效性没问题,那么主要的问题就是合规体系的执行或者说运行中出现了问题。这时就需要最高管理者或者合规管理部门通过明确职责、合规培训、建立合规文化以及将合规管理纳入到考核中,强化合规管理体系的落地执行。
合规管理评估一般包括成立评估工作组、设计评估工作方案、开展具体评估工作、编制检查评估报告和编制后续整改方案等几个步骤。具体评估工作包括:
1、确定评估工作重点:合规管理涉及到企业的各个层面,不可能在评估中面面俱到。企业在合规管理评估活动之前,需要根据公司业务重要性、外部监管程度、风险发生频率等方面来确定后续评估工作重点。通过这种重点评估的方式,了解到合规管理中存在的主要问题。
2、收集审查合规管理体系相关文件。文件种类包括但不限于:合规管理体系政策;合规报告;审计报告;与公司合规风险识别、应对相关的文件;公司业务重点领域的各类具体规范、指引类文件;公司合规管理培训涉及的相关文件;公司内部举报调查文件以及自律检查建议等。
3、开展调查问卷、实地访谈。首先收集受访者的背景资料(职位、部门、年限等),来确保受访者覆盖范围足够广、且受访人员结构合理具有代表性;在确定企业合规管理体系建设情况,包括受访者对于合规概念的认识、对自身及本部门合规职责履职情况的评估等。
需要。绩效考核是合规管理的重要组成部分。特别是对于合规文化尚不成熟、长效合规机制还未形成的一些企业,通过合规绩效考核机制来提升合规执行力就尤为重要。员工绩效计划被列为一种有效的控制措施以确保对合规义务的履行。企业应该结合企业的发展价值观,将合规考核纳入企业绩效管理体系中去,有效协调业务拓展与合规管理的关系,帮助员工建立正确的业务发展目标。
合规管理考核评价是合规管理保障的重要措施,一般应该与企业人力资源考核周期保持一致。企业可以制定单独的合规绩效考核机制,也可以将合规考核标准融入到总体的绩效管理体系中去。通过有效的合规绩效考核机制,对有重大合规贡献的员工应该给予表彰或奖励。对有合规问题的员工,应该给予积分扣分或相应的处罚。
需要特别说明的是,根据我们的经验,如果能够将合规管理考评与绩效薪酬建立起有效的联系与对接,那么对合规管理要求的落地执行将会产生更好的效果。
合规管理评价应当与企业其他管理考核相衔接、融合,如与员工绩效考核相融合、与评先选优挂钩,作为干部任用、晋升的重要依据。很多公司合规具有一票否决的权利,出现严重合规问题可以直接把高级管理人员免职、降级、解除劳动合同等。并且在人员招聘录用或晋升的时候往往会考察这个人过往合规方面的记录,如果发现比较严重的违规问题,往往是不会录用或晋升的。
2004年,美国的COSO委员会(全美反舞弊性财务报告委员会发起组织)提出了《企业风险管理—整体框架》,其中明确规定:“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”同时,该《框架》将风险管理的要素分为八个方面:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。
2006年6月,国务院国有资产监督管理委员会印发《中央企业全面风险管理指引》(国资发改革[2006]108号)明确规定:“企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”
同时,该《指引》明确规定:“全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”并从风险信息、风险评估、管理策略、解决方案、监督与改进、组织体系、信息系统、风险文化等方面进行了规范和要求。
在内容上,风险管理具有全面性和总体性的特征。全面性体现在一方面风险管理是一种持续性行为,贯穿于企业经营管理全过程,对各项业务管理、环节、流程等全面风险控制,对企业内外部风险全面把控,对历史、现在及未来全生命周期的风险分析预测等;另一方面风险管理本身的全流程性,从组织、制度、程序、措施、系统、文化,到建立、评估、执行、解决、处置、监督、评价、改进等全方位的管理系统和体系,识别企业所面临的各类风险。总体性体现在围绕企业总体经营目标和战略发展,关注的是企业整体风险,整体宏观上实现经营管理战略目标。
在设置上,风险管理具有独立性和权威性的特征。一方面将风险管理职能提升到高级管理层,体现出权威性,另一方面企业要独立于业务部门设置职责清晰、权责明确的风险管理部门,并直接从属于高级管理层管理,体现出独立性,不受其他部门影响,以保证其客观性和公正性。
在效果上,风险管理具有合目的性和价值性特征。首先,风险管理是一个动态的过程,强调风险管理与企业经营管理过程相结合,并受人、文化等因素影响,强调“软控制”(即精神层面的内容,例如管理层的风格和理念、企业文化等)的作用和风险意识,即不同企业的风险管理都深深烙上企业文化的印记。其次,风险管理受目标驱动,并明确组织中的每一个人对风险管理负有责任,且由于内部控制的固有限制,风险管理只能提供合理保证,而非绝对保证。最后,风险管理的最终目标与企业目标一致,在现代社会中,企业目标已不仅仅是追求利润最大化、价值最大化,而是追求构建起一个和谐的内部控制机制,考虑所有利益相关者的利益,改进和提高内部控制的效率和效果,也是风险管理价值所在。
国务院国资委的颁布的《全面风险管理指引》将全面风险管理定义为:企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理体系,为实现风险管理的总体目标提供合理保证的过程和方法。COSO用过程来描述全面风险管理,是目前比较通行的做法。这个定义反映了以下几方面的基本概念:
1、企业风险管理是一个过程,一个流程,它持续作用于企业,并渗透于企业的各项活动中,是降低和控制风险的一系列程序。
2、企业风险管理不仅仅是企业管理层或风险管理机构的职责,同时需要企业各个层级几乎所有的员工共同参与实施。
3、企业风险管理应当在企业战略的制定过程中被应用。
4、由于风险的客观存在性,风险管理并不能给企业提供绝对的保证,而只能为企业实现其经营目标提供一个合理的保证。
5、企业风险管理旨在识别将会影响企业的潜在事项,并将风险控制在风险承受能力之内。
2004年9月,COSO结合《萨班斯—奥克斯利法案》的相关要求,颁布了一个概念全新的报告,即《企业风险管理—整体框架》(以下简称“ERM”框架)。框架的出台顺应了各方需求。与1992年的《内部控制—整体框架》相比,ERM 框架在内部控制的内涵、目标、要素以及内部控制责任承担等层面作了全新突破,对企业风险管理作出了更为详尽的阐述。ERM 框架并没有取代《内部控制—整体框架》,而是基于该框架并将其融入其中,全面推进了内部控制标准的发展。
在ERM中明确提出了风险管理的8要素,即:内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、内部监督。
48.风险管理框架的8要素中“内部环境”是指什么?
“内部环境”是企业风险管理所有其他构成要素的基础,为其他风险管理要素提供运行的规则和结构。内部环境包含很多内容,包括风险管理理念、风险容量、董事会、诚信和道德价值观、对胜任能力的要求、组织结构、权力和职责的分配及人力资源准则,它影响着企业的战略和目标如何制定、经营活动如何组织以及如何识别、评估风险并采取行动;它还影响着企业的风险控制活动、信息与沟通体系、风险监督等风险管理要素。
49.风险管理框架的8要素中“目标设定”是指什么?
风险管理框架的8要素中的“目标设定”是指,企业必须首先建立企业要实现的战略或者目标,管理层才能识别影响目标实现的潜在风险事项。
从企业管理的角度来看,企业决策与经营的各项活动均存在风险,但是如果要对所有活动面对的风险全部控制,那么企业的运行成本将会无限增加。因此,设定适当的风险控制目标就显得非常重要。
企业风险管理确保管理层采取适当的程序去设定风险控制目标,确保所选定的风控目标支持和切合该企业的使命,并且与它的风险容量相符。
50.风险管理框架的8要素中“事件识别”是指什么?
“事件识别”是指识别影响企业目标实现的内部和外部事件,即确定这些潜在事项对企业到底是机会还是风险。如果是机会,应将其反馈到战略和目标设定之中,而如果是风险则应该展开有效的评估和应对。
这些事项是来自于内部或外部的影响实施战略和目标实现的事故或事件,其驱动因素可能来自很多方面,比如外部的经济因素(价格、资本等)、自然环境、政治、技术、社会等因素,以及内部的基础结构、人员、流程、技术等。企业应该采取各种方式,比如互动研讨、统计数据、追踪技术、内部分析、预警触发等。
在“事件识别”中,为了更好的管理事项以及其背后的风险及其应对,应该考虑事项之间的关联关系,事项的类别划分(包括正负向划分以及不同属性类别上的划分)。
51.风险管理框架的8要素中“风险评估”是指什么?
“风险评估”是指通过考虑某一风险发生的可能性高低和影响大小来对其加以分析,并以此作为如何进行风险管理的依据。在设定风险控制目标,发现风险事项之后,必须进行适当的风险评估。
评估风险对企业实现目标的影响程度或风险价值等,有定性与定量两种方法——定性方法包括问卷调查、集体讨论、专家咨询、政策分析、行业标杆比较、管理层访谈和调查研究等,而定量方法包括统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。根据coso的建议,定性和定量的方法相结合是最佳选择。
52.风险管理框架的8要素中“风险应对”是指什么?
“风险应对”是指管理层在风险容忍度和成本、收益原则下,确定风险应对方案并考虑其对风险事项的可能性和效果的影响,然后设计、确定和实施选择的应对方案。
风险应对措施通常包括回避、降低、分担和承担四种。此外,在风险应对的过程中,还应该有组合的观念——一个不同风险组合应对之后,其风险应对管理成本可能会下降,也可能因为组合而积聚上升变得更加重要,这就如同合力效应。
53.风险管理框架的8要素中“控制活动”是指什么?
“控制活动”是指为了应对风险的发生所采取的措施和方法,通过控制活动的实行,降低或者消除风险发生的可能性。
控制活动通常包含两个要素:确定应做什么的政策和有效地实施政策的程序。控制活动也可以分为预防性控制、检查性控制、纠正性控制和补偿性控制等各种类型。
在风险管理中,风险控制活动贯穿在组织的各个层级和各个职能部门,包括一系列不同的活动,比如批准、授权、验证、调节、评价、评估、职责分离等等。
54.风险管理框架的8要素中“信息与沟通”是指什么?
“信息与沟通要素”是指提倡企业必须有效识别、收集来源于企业内部和外部的定性或定量的经营信息,并以适当的方式与相关利益者进行有效沟通。
信息的来源无论是内部,还是外部都有正式渠道,也有非正式渠道,有直接渠道也有间接渠道。比如,商户的风险高低在于获得商户的信息多少、来源及其可靠性——有直接与商户面谈或问卷调查得到信息,也可能有通过新闻媒体、网络平台、监管机构等方面获得的有关商户的信息。
另外,现在信息化时代下,内部不同平台之间的信息共享程度,以及内部系统与外部系统(供应商或客户)的集成度和信息分享程度都在日益上升。这给信息、沟通的及时性、效率得到改善,而同时信息的深度、及时性、可靠性对于信息分析决策都变得日益重要。
同信息的来源分为内部和外部一样,信息的沟通也分为内部和外部沟通。信息的内部沟通是为了更高的事项企业的战略、经营、报告和合规方面的目标。内部沟通包括横向的沟通和纵向的沟通,横向的沟通有利于风险的应对和控制活动的协调开展,纵向信息的及时沟通便于决策及其措施的快速确定和传达。
信息的外部沟通主要集中在企业主体与外部利益相关者之间的沟通,比如供应商、客户、监管机构、投资者等等。
55.风险管理框架的8要素中“内部监督”是指什么?
“内部监督”是一个对风险要素当前功能及其业绩质量进行评估的过程。通常监督通过两种方法进行:通过持续的活动或个别评价。
持续监控建立在企业日常重复发生的业务活动和风险管理活动之上,而个别评价则是在事后进行的,可以作为对持续监控的补充。
专门的评价通常要确定评价的范围、频率、目的,并关注评价过程、方法和报告形成评价的信息传递机制和分享机制。在企业风险管理工作的实务处理中,这两种方法是结合进行的。
战略风险,是指影响企业实现战略发展目标和实施发展规划的各种不确定因素或可能性。企业的战略风险既有来源于企业内部的,又有来源于企业外部的。战略风险包括竞争风险、行业方向转换风险、战略收购合并风险、客户偏好转换风险等。
战略风险示例' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
财务风险,是指企业因未来财务状况不确定而产生的实际财务结果与预期财务目标发生偏离,进而蒙受损失的可能性。财务风险包括利率和汇率的变动风险、原材料或产品价格波动风险、信用政策风险,以及公司理财行为风险等。
财务风险示例
运营风险,是指企业在运营过程中,由于外部环境的复杂变动以及企业自身对环境认知能力和适应能力的局限性,导致企业运营失败或使运营活动无法达到预期目标的可能性。运营风险包括流程风险、人为风险、系统风险、事件风险、业务风险和操作风险等。
运营风险示例
法律风险,是指由于企业外部法律环境发生变化,或由于包括企业自身在内的法律主体未按照法律规定或合同约定有效行使权利、履行义务,而对企业造成负面法律后果的可能性。法律风险包括:国内外政治法律环境风险与政策风险,员工道德操守风险,重大协议与合同的遵守与履行风险,法律纠纷风险,及知识产权风险等。
法律风险示例
市场风险,是指未来市场价格的不确定性对企业实现既定目标的负面影响。市场风险包括商品价格与物资供应风险、客户供应商信用风险、税收风险和商品价格风险等。
市场风险示例
1、侧重点不同:内部控制侧重于制度层面,通过规章制度规避风险;风险管理则更侧重交易层面,通过市场化的自由竞争或市场交易规避风险。典型的内部控制是为保证资金安全和会计信息的真实可靠,会计控制是其核心;而典型的风险管理则关注特定业务中与战略选择或经营决策相关的风险与收益的比较,贯穿于管理过程的各个方面。
2、管理幅度不同:风险管理包含风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动;而内部控制负责风险管理过程中及其以后的重要活动,如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。内部控制主要强调事中和事后的管理活动;风险管理除了对事中和事后进行管理,还会在事情开展之前进行风险的辨识和评估,并制订出相应的应对方案。
3、对风险的对策不一致:全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法,因此,该框架在风险度量的基础上,有利于企业的发展战略与风险偏好相一致,帮助董事会和高级管理层实现全面风险管理的目标。这些内容是内部控制框架所无法提供的。
ERM 框架(即企业风险管理—整合框架)认为企业进行风险管理的目标有四个:
一是战略目标——使企业的风险管理活动与使命相关联并且支撑企业使命;
二是经营目标——利用风险管理工作有效和高效率地利用企业资源;
四是合规性目标——使企业经营符合相关法律、法规的规定。
企业进行风险管理可采取风险承担、风险规避、风险转移、风险转换、风险对冲等应对策略。
风险承担,可以是被动的,也可以是主动的,可以是无意识的,也可以是有意识的,因为有时完全回避风险是不可能或明显不利的。采取有计划的风险承担不失为一种规避风险的方式。
风险规避,即通过放弃或拒绝合作停止业务活动来回避风险源。比如,虽然潜在的或不确定的损失能就此避免,但获得利益的机会也会因此丧失。
风险转移,即承担风险的主要对象把原本可能发生在自己身上的损失通过转移和嫁接的方式处理风险。企业通常可以通过保险或者对外承包等手段来把风险的后果以及其应对的责权转交给第三方。其中,保险的意思是通过为企业的产品进行相关保险的购买,使保险公司来帮企业接受风险;而对外承包则是通过各种合法途径以及渠道将自己本身对于业务的所有权转交给其他对象,进而将随之可能附带的风险进行一并转交的手段。
风险转换,一般是企业使用战略调整等方式对目前所面临的风险进行转换,使之成为另外的风险。风险转换的方式通常有制造衍生产品或者之前提到的战略调整等。风险转换通常不能对企业所面对的风险产生减少和规避作用,最常见的就是企业对风险进行转换之后减少了当前的风险,同时也加剧了另外的风险。企业有效地利用风险转换可以成功实现自身在两个甚至更多的风险之中周旋,取得最佳的效果,甚至能够实现无成本或者低成本。
风险对冲,指企业在自身具备一定的抗风险实力的情况下,通过多种渠道,成功引入不止一个风险因素,让它们之间产生对冲效果并且相互抵消。在企业所可能面临的各类风险中,原本存在着可以对冲并且有自然抵消的性质,企业应该对其有充分的了解并在适当的关键时机加以把握和利用。此外,考虑风险能否对冲时要站在一个相对的高度来审视,同时要防止风险的对冲不慎而导致多项风险同时发生,使企业面临更大的危机。
在策略的选择上,企业应根据不同业务特点统一确定风险偏好和风险承受度,即企业愿意承担哪些风险,明确风险的最低限度和不能超过的最高限度,并据此确定风险的预警线及相应采取的对策。
确定风险偏好和风险承受度,要正确认识和把握风险与收益的平衡,防止和纠正忽视风险与片面追求收益而不讲条件、范围以及认为风险越大、收益越高的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇。
风险管理组织体系是体现企业内部各个风险管理部门排列顺序、聚集状态、联系方式以及部门之间相互关系的结构体系。各个企业应当根据自身的具体情况建立适合自己的风险管理组织体系。
规模较小的企业,可以只设单个风险管理机构,而对于规模较大的企业来说,一个健全有效的风险管理组织体系则应当包括规范的公司法人治理结构、风险管理职能部门和内部审计部门及其他有关职能部门、各相关业务单位的组织领导机构等要素。
1、公司法人治理结构,一般包括股东(大)会、董事会、监事会、经理层等,企业应当按照《公司法》的要求建立健全规范的公司法人治理结构,各机构应依法、依公司章程的规定行使职权,履行职责,形成既高效运转、又有效制衡的法人治理机制。
2、业务管理部门或单位,主要包括业务管理或执行部门,如生产部门、销售部门、供应部门等。这是风险管理的一线部门,是风险识别、控制的主体,也可称之为风险管理的第一道防线。
3、风险管理职能部门,一般包括风险管理委员会及其执行机构,这是风险管理的第二道防线。风险管理职能部门主要制定风险管理制度,提出风险管理实施意见,组织协调全面风险管理日常工作,指导、监督有关职能部门、各业务单位以及全资、控股子企业开展全面风险管理工作等。
4、内部审计部门,一般包括审计委员会及其执行机构,是风险管理的第三道防线。内部审计部门在风险管理方面,主要是负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告。
5、法律事务部门,一般包括总法律顾问与法律事务部,也可根据企业实际情况不设专门的法律事务部而将法律事务委托给中介机构办理,本部门主要负责各项经济业务或行为的审查、合同的拟订或会签、经济纠纷的处理、法律风险的防范与化解等工作。
董事会是企业风险管理框架中的核心,它需要对风险管理的目标确立、组织构建、建章立制、制度执行以及审计与监控情况全面负责。董事会就企业全面风险管理工作的有效性对全体股东负责。董事会在全面风险管理方面主要履行的职责包括:
1、审议并向股东(大)会提交企业全面风险管理年度工作报告。
2、确定企业风险管理总体目标、风险偏好、风险承受度,批准风险管理策略和重大风险管理解决方案。
3、了解和掌握企业面临的各项重大风险及其风险管理现状,作出有效控制风险的决策。对公司全面风险管理体系的建立健全、有效实施及检查监督负责。
4、批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制。
6、批准内部审计部门提交的风险管理监督评价审计报告。
8、批准风险管理措施,纠正和处理任何组织或个人超越风险管理制度作出的风险性决定的行为。
监事会是董事会外部的监督机制,对股东(大)会负责,与董事会互相独立、互不隶属,在风险管理组织框架中,监事会起到了监督企业风险管理决策及实施过程的作用。监事会的重点监督对象是董事会,并且通过对董事会的监督来实现对经营管理层的监督职能。根据《公司法》等相关法律、法规的要求,监事会在全面风险管理方面主要履行的职责包括:
1、列席董事会和经营管理层会议,就企业风险管理相关议题发表监督意见,充分了解重大事项的背景经过及风险管控情况。
2、就与企业财务活动、经营决策相关的风险管理情况开展专项检查,通过检查发现并分析企业风险管理制度方面的缺陷和漏洞,督促董事会和管理层勤勉履职。
3、向董事会及经营管理层成员通报专项检查报告内容,督促董事会和经营管理层整改落实,适时跟踪后续审计,保证监事会检查实效。
4、调研审阅各类经营信息材料,了解企业总体风险管理情况,揭示企业经营管理中存在的风险隐患,向董事会和经营管理层提出有针对性的意见。
5、密切联系外部审计机构,了解外部审计工作进展情况,并指导内部审计部门开展内审及稽核工作。
6、对董事会和经营管理层在风险管理框架下履职行为合法合规性的监督,当董事会和经营管理层发生违规违法行为,损害企业和股东利益时,采取措施予以制止、纠正并追究责任。
68.董事会下设风险管理委员会,其应当承担怎样的职责?
风险管理委员会成员一般由3-5名董事组成,由董事会选举产生,委员会成员中应当有熟悉企业重要管理及业务流程的董事,以及具备风险管理监管知识或经验、具有一定法律知识的董事。风险管理委员会对董事会负责,向董事会提交风险管理决策及报告,其主要履行的职责包括:
3、审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告。
4、审议内部审计部门提交的风险管理监督评价审计综合报告。
69.董事会下设审计委员会,其应当承担怎样的职责?
审计委员会同样是隶属于董事会的专业委员会,它独立于经营管理层,其建立的初衷是在董事会建立一个独立的、专门的治理力量以强化外部审计师的独立性,从而提高公司财务报告信息的真实性和可靠性。委员会成员可以从外部董事中选取。审计委员会在进行风险管理时应当承担的职责包括:
1、了解管理层对财务报告风险的评估情况,就相关问题征询外部审计师的意见。
3、了解可能诱发重大风险的财务报告方面的薄弱环节。
5、了解内部审计师的风险评估和根据该评估而制定的审计计划。
6、了解管理层的企业风险评估结果及其对财务报告的影响,审查企业内部控制程序的有效性,并接受有关方面的投诉。
7、监督企业社会中介审计等机构的聘用、更换及报酬支付。
风险识别是指企业运用各种方法与手段,系统、全面、连续地认识管理与经营过程中所面临的各种风险事件,并进行有效的记录,形成风险清单的过程。
风险识别是在建立了风险评估的基础、完成了企业目标的设置与分解这些准备工作后的一个步骤,其实是真正开始“发现”与“挖掘”企业决策与经营过程中风险的首要步骤,是企业有针对性地处理风险、管理风险的基础。
风险分析是指在识别了风险事件后,需要对风险发生的原因、风险发生会造成的影响、风险涉及的相关岗位与人员、风险所属的领域与业务流程等搜集进一步的信息,以便于后续对风险进行有效的管理与应对这样一个过程。
企业所面临的风险是错综复杂的,需要通过建立风险分析模型进行有效的识别和分析。因此风险识别与分析在整个风险管理中具有十分重要的位置,只有全面、准确地识别出风险,才能衡量、评价风险和选择应对风险的办法。
风险识别与分析过程包括识别那些可能对目标产生重大影响的风险源、影响范围、事件及其原因和潜在的后果。风险识别与分析有许多种方法,最主要使用的有以下几种:
企业在开展风险评估工作时,需要确定合理的范围。风险评估的操作范围可以是整个集团,也可以是集团负责某业务中的一个事业部,或者是某家子公司,甚至可以为某一个企业中的某一部门,或者独立的信息系统、特定系统组件和服务等。
在风险评估之前,我们需要关注这个组织的“目标”,然后才能确定合理确定风险评估的广度与深度。应该说,不同的组织目标对风险的态度是完全不同的,可能在这家企业属于重大风险的事项,在另外一家企业中是完全可以接受甚至忽略的事项。
我们可以举个例子,在生产型企业中,股权投资是一项非常重大的事项,需要经过经营层与决策层的多次讨论与研究,必要时还需要外部专家与行业专家的论证。但是在一家私募股权基金或者产业投资公司中,投资业务只是一项常规性的日常业务,往往仅仅会通过风险对冲的方式降低投资的风险。
首先,企业应根据风险管理解决方案制定相应的风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。
其次,企业应针对识别出来的风险事项制定内部控制措施,一般至少包括以下内容:
第一,建立内控岗位授权制度。对内控所涉及的各岗位明确规定授权的对象、条件、范围和额度等,任何组织和个人不得超越授权作出风险性决定。
第二,建立内控报告制度。明确规定报告人与接受报告人,报告的时间、内容、频率、传递路线、负责处理报告的部门和人员等。
第三,建立内控批准制度。对内控所涉及的重要事项,明确规定批准的程序、条件、范围和额度、必备文件以及有权批准的部门和人员及其相应责任。
第四,建立内控责任制度。按照权利、义务和责任相统一的原则,明确规定各有关部门和业务单位、岗位、人员应负的责任和奖惩制度。
第五,建立内控审计检查制度。结合内控的有关要求、方法、标准与流程,明确规定审计检查的对象、内容、方式和负责审计检查的部门等。
第六,建立内控考核评价制度。具备条件的企业应把各业务单位风险管理执行情况与绩效薪酬挂钩。
第七,建立重大风险预警制度。对重大风险进行持续不断的监测,及时发布预警信息,制定应急预案,并根据情况变化调整控制措施。
第八,建立健全以总法律顾问制度为核心的企业法律顾问制度。大力加强企业法律风险防范机制建设,形成由企业决策层主导、企业总法律顾问牵头、企业法律顾问提供业务保障、全体员工共同参与的法律风险责任体系,完善企业重大法律纠纷案件的备案管理制度。
第九,建立重要岗位权力制衡制度,明确规定不相容职责的分离。主要包括:授权批准、业务经办、会计记录、财产保管和稽核检查等职责。对内控所涉及的重要岗位可设置一岗双人、双职、双责,相互制约,明确该岗位的上级部门或人员对其应采取的监督措施和应负的监督责任,将该岗位作为内部审计的重点等。
最后,企业应当按照各有关部门和业务单位的职责分工,认真组织实施风险管理解决方案,确保各项措施落实到位。
75.对风险管理的有效性进行检验的主要方法有哪些?
1、压力测试。是指在极端情形下,分析评估风险管理模型或内部控制流程的有效性,发现内部控制中的问题,并根据发现的问题制定改进措施的方法,目的是防止出现重大损失事件。
2、返回测试。是将历史数据输入到风险管理模型或内控流程中得出一个结果,把得出的结果与预测值对比,以检验内控方法的有效性。
3、穿行测试。是指在风险管理过程中,在正常运行的条件下,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求进行对比,以发现内控流程是否存在缺陷的方法。
4、内控体系有效性自我评估。是对内部控制制度进行评估的工作过程。它涉及所有员工,而不仅仅是少数审计人员或高层管理人员。这里的有效性评价是针对控制系统的评价,有别于部门业绩的评价和个人业绩的评价。
改进和提高企业风险管理水平可以由各有关部门和业务单位自发进行,也可以由风险管理职能部门通过定期检查出具改进建议后进行。
企业各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门。
77.风险管理职能部门如何改进、提高风险管理能力?
企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出方案调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员。一般可以从两方面入手:
(1)审视风险管理解决方案的执行情况,了解其中的问题,提出调整和改进建议。
(2)根据风险管理策略的变化,对风险解决方案提出调整建议,以保证风险管理解决方案的适用性。
企业各业务部门作为企业风险管理的第一道防线,在直接面临并应对风险的同时,也是对风险管理工作进行监督的第一线。在监督改进过程中,业务部门可以选择首先识别高风险区域,识别出错的交易和行为,针对问题的根本原因进行调查,实施跟进并确保必要的纠正措施得到实施。
79.业务部门风险管理监督与改进工作的途径包含哪些?
(1)及时获得风险管理方案执行的证据,取得外部对内部信息的反映和印证;
(5)监督员工对道德规范的遵守情况以及是否执行控制活动;
(6)定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应当及时报送企业的风险管理职能部门。
80.影响国有企业实施企业风险管理外部因素有哪些?
同发达国家相比,外部环境对国有企业实施风险管理的保障和支撑还很有限。虽然近年来有所加强,但是对风险管理实施技术、风险管理绩效考核等方面注重不足,也缺乏良好的学术交流氛围,不少企业虽然建立了风险管理流程,但能对于企业战略的支撑作用非常有限,风险管理的实施缺乏实际效果。主要体现为:
①监管机构对于风险管理实施监督经验尚浅。发达国家普遍在20世纪80年代以来推广风险管理的相关标准,而中国的风险管理主要从2006年国务院国资委推出《全面风险管理指引》以后才正式起步。
②国有企业绩效考核中对风险因素的考虑不足。我国企业绩效评价体系,无论是上市公司还是国有企业都有一定的局限性。虽然经济增加值(EVA)的导入可以部分反映企业风险,但国有企业的上级主管部门没有就风险管理对领导层提出明确的要求,因此国有企业领导往往缺乏风险管理意识。
③保险与金融领域缺乏专业的风险管理工具。金融行业由于其风险较高,是风险管理实践的先行者,但由于国内金融市场发展程度不足,投资者规避证券投资风险的渠道与工具都比较少,企业可以选择的专业风险管理工具极其有限,很多时候,企业只能采取推出资本市场的方法来规避系统风险。
④缺乏成熟的风险管理行业与市场。虽然国际上知名的咨询公司早在21世纪初就开始提供风险管理咨询方面的业务,但能专门提供全面风险管理咨询的国内机构并不多,而且其产品也不够丰富,缺乏根据企业所处行业的不同提供后续跟踪支持与服务的能力。另一方面,除了金融机构之外,风险管理实践的分享活动、行业协会也非常少,企业缺乏获取高质量风险管理信息的渠道。
81.影响国有企业实施企业风险管理内部因素有哪些?
国有企业多数没有设立独立的风险管理部门,也尚未明确各级组织的风险管理职责,普遍存在风险意识淡薄、内控机制不完善、风险信息和沟通渠道不畅通等问题,具体可以归纳为以下几点:
①企业战略与风险管理体系不相适应。我国企业在目标的制定上有一个很大弊端就是急于求成,希望以最快的方式获得回报,致使企业在发展的过程中遭受过多自身不可承受的风险,同时缺乏与之相匹配的风险管理策略和措施,导致企业应对市场变化敏感度不够、发展后劲不足,有的企业甚至在重大风险事件发生时毫无应对措施,导致巨额损失,因此需要明确风险管理体系的阶段性目标,并与企业发展战略紧密契合。
②风险管理组织结构与职责尚未明确。国外企业的风险管理组织架构在不同国家、不同行业内有较大区别,会根据其自身的规模、业务特点、风险领域等选择适当的组织架构与相应职责。虽然国务院国资委的《全面风险管理指引》作了风险管理组织结构的相关规定,企业仍然需要根据自身情况来考虑,尤其需要明确风险管理的专职部门和风险管理领导小组的成员,汇报条线、权威等,避免形式主义。在实践中,有不少企业将内审部设为风险管理兼职部门,不失为一个短期内可取的方案,但需要在企业风险管理基本流程运作一段时间后,考虑设置独立部门。
③风险管理基本流程与运作机制尚未建立。有不少企业对风险开展了专项的管理工作,但缺乏整体性考虑,跨部门的合作很少,导致了对真正的重大问题认识却不足,从风险管理成熟度看,这类企业往往处于第二个阶段,因此,系统地建立风险管理流程与运作机制是企业走向风险智能管理的必然。
④风险管理人才严重缺乏。随着近年来风险管理理论与实践的发展,风险管理的技术性、管理要求等大大增加了。我国企业全面风险管理工作尚处在初级阶段,风险管理人才严重短缺,而风险管理又是一项难度大、专业性强的工作,因此需要培养大批满足企业需求的、具备强大的项目管理能力、熟悉风险管理理论以及专项风险计量技术与工具的风险管理人才。很多企业往往选择风险管理外包的方式来缓解本企业该类人才的不足。
⑤缺乏有效的内控体系保障。国有企业往往在制度建设上较为完整,但仔细一检查,制度不更新、相互矛盾、缺乏有效执行的情况非常多,缺乏一整套完整的内控体系。随着《企业内部控制基本规范》及其配套指引的出台,国有企业也开始大规模的内控梳理与体系建设工作,这是一个建立健全内控保障体系的好时机。只有内控体系保障了日常管理,让管理层有精力更多地思考重大风险的应对,才能真正体会到风险管理对于企业“增值”的意义。
⑥缺乏风险管理的激励约束机制。在衡量企业风险管理的工作成效时,要将企业全面风险管理的有效性检验与企业的绩效考核工作对接,使其与企业负责人激励约束机制相挂钩。由于缺乏全面风险管理绩效考核体系量化评价标准的数据基础,导致体系有效性检验不到位。国有企业高层人员大多是上级(集团公司或国资委)指派的,其官本位的思想以及过强的行政组织激励体系,不可避免地导致了管理人员行为的短期化,努力增加公司业绩只是高层管理人员的次优选择。
⑦信息与沟通机制不健全。国有企业对信息系统的重视程度还比较薄弱,特别是信息系统规划和基础安全管理等方面,从而导致系统应用的范围和深度有很大差距。分散的风险管理系统居多,相互之间也缺乏有效的数据接口或接口管理,影响了信息传递的质量与效率,因此,结合风险管理的基本要求,逐步引入整合型的风险管理信息系统,也是风险管理走向成熟的必修课。
国有企业风险管理的建设需要考虑当前外部环境与内部环境的限国有企业风险限制,其中一个基础性的工作就是需要将风险管理流程及其关键要素制度化,只有建立制度化的风险管理体系,才能将各种对于风险管理的思考与实践进行不断的总结,使思考与实践越来越全面,越来越深入,才能让管理团队的集体思考力量得到发挥。
83.国有企业风险管理的制度建设应当考虑哪些关键因素?
风险管理制度需要纳入企业现有的制度体系中。通常,国有企业制度体系建设中需要考虑的五个关键因素为企业的内外部环境、战略目标及措施、管控模式及组织环境、业务及管理流程和岗位职责规范。
(1)内外部环境。任何一个企业都不是生存在真空的环境中,制度是企业的法,这个法可以说是“小法”,是微观层面的法,而企业所处的环境,包括国家地区、行业、资本市场等的运行规则,我们可以称之为“大法”。企业的“小法”必须建立在“大法”的框架之下,否则就失去了存在的根据。影响和制约国有企业风险管理制度建设的外部环境因素包括三个。一是国家的法律、法规,如《全面风险管理指引》、《企业内部控制基本规范》等;二是社会的道德习俗和文化;三是治理规则对企业的要求。企业的风险管理制度在规范个人行为时仅限于个人的企业组织方面,它必须受到国家法律、法规,社会传统、习俗的制约。也就是说企业的风险管理制度不能违反国家的法律、法规,并尊重社会的传统、习俗。同时,对于以不同的合约方式形成的企业,企业的风险管理制度也要受企业治理结构的限制。影响和制约国有企业风险管理制度建设的内部环境因素包括三个。一是企业的风险管理水平,二是企业风险管理文化的建设,三是企业业务发展的需要。企业的风险管理制度体系必须建立在企业当时的内部环境之上,不能一味地追求全面的风险管理制度体系而忽略自身的实际风险管理发展阶段与需求。企业每一个风险管理成熟度所对应的管理水平、企业文化建设和业务发展需求都不一样,所以企业所处的风险管理发展阶段的不同是影响和制约国有企业风险管理制度建设的主要内部环境因素。
(2)战略目标及措施。企业的风险管理制度体系需要通过规范企业中人的行为而实现企业组织风险管理目标,并服务于企业发展战略与为企业战略的实现提供保障。企业的一切目标都应该围绕实现战略而展开,企业的一切制度必须与战略相匹配。在实际工作中,风险管理制度应根据企业所倡导的宗旨、战略目标,围绕不断变化的生产、经营、管理的重大风险去编制、执行、维护制度,一切与战略目标产生冲突的风险管理制度都应及时废止或修改,保障这些制度与战略匹配的及时性,这是构建风险管理制度体系的基本理念。制度体系的建设工作还必须与战略阶段相匹配,分阶段制定和实施,并根据战略的调整进行动态调整,为了在不同的战略阶段实现各阶段的战略目标,战略措施要通过管理制度和业务制度来规范和固化下来,以此构成制度体系的主体内容。
(3)管控模式及组织环境。管控就是母公司对子公司管什么,管到什么程度,怎样管。通过确定母子公司的管控模式,划分母子公司的管理界面,明确母公司,即国有企业集团总部的定位和主要管理职能,将各项管理职能通过制度规范固定下来,这就形成了国有企业集团总部层面的制度体系。
风险管理制度体系建设需要考虑当前公司的管控模式,现在理论界的管控模式主要分为三种基本类型,即财务控制型、战略控制型和运营控制型。从财务控制型到运营控制型,随着集权程度的逐步提高,集团母公司承担的职能也越来越多,而子公司的职能则相应减少,这就意味着集团制度体系的内容在不断扩充,深度在不断延伸。如对于财务控制型集团,其风险管理组织体系所需要考虑的子公司的主要风险应该是投资回报与现金流相关的风险,而运营控制型集团所需要考虑的主要风险则要宽泛的多,因此其对应的风险管理部门的职能、汇报要求等均有区别。
(4)业务及管理流程。企业的风险管理制度体系,需要与企业现有的各项管理流程和业务流程充分兼容。实际上,随着风险管理概念的不断扩大,其所包容的信息已经远远超出了一个专项制度的概念,而公司的各项制度均应该以风险为导向来进行制定与实施,因此,在针对各项重大风险所制定的风险管理制度时,要针对企业的不同产品品种和生产特征绘制风险管理的流程。
(5)岗位职责规范。企业岗位规范及职责分析、制度形成于此。企业的战略规划、生产经营、管理职责等的落实都是由不同的企业职能岗位来实现的,但是,在企业中,我们经常能看到四种现象,即岗位职责缺位、错位、交叉和重叠,这些现象在国有企业表现得尤为突出,因此,风险管理制度体系中的合理定岗、明确岗位规范与职责能确保减少岗位职责不清、工作重复、扯皮推诿等无效率和混乱状况,确保各岗位能够各司其职、各负其责。同时,明确设计和制定科学、合理的岗位职数、岗位规范和职责本身就是企业制度的重要组成部分。
企业风险管理制度应当与企业现有的制度框架相符合。目前企业的制度体系已经建立多年,且企业人员的文字功底深厚,具备建立良好的企业制度的基础,但在实践中,我们发现也有不少企业缺乏良好的制度框架,也不理解制度的层级和相互之间的关系。
85.企业建设风险管理体系制度框架应当包括哪些内容?
(1)公司层级的基本管理制度。是指公司层面为规范公司运作或员工行为而制定的原则性要求,其目的是为规范在确定的原则和方向下进行实际操作。公司制度的效力通常为包括各职能部门及分公司的总公司。
(2)业务流程相关的管理制度和实施细则。是指在为达到公司目标、贯彻公司制度而在实际工作中开展的一系列业务活动,以及彼此间的关系。业务流程包括跨部门和部门内部流程,要具备可操作性。
(3)工作规范类的操作指南、作业标准等。是指具体的实务操作中可依据或参考的技术性文档,主要适用于标准化作业的部门或制造车间。
(4)管理表单。是在实际业务活动中用以记录业务轨迹或结果的载体,包括在信息系统中实现的电子表单。表单一般不单独出现,而与层级二或层级三的制度同时出现。
1992年9月,美国的COSO委员会(全美反舞弊性财务报告委员会发起组织)发布《内部控制—整体框架》明确规定:“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”同时,该《框架》提出了内部控制五要素理论,即:“企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督。”可以说,这是全球内部控制理论体系发展的最基础文件。
2008年6月,我国财政部、证监会、审计署、原银监会、原保监会联合发布《企业内部控制基本规范》(财会〔2008〕7号)并后续印发了《关于印发企业内部控制配套指引的通知》(财会〔2010〕11号)明确规定:“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”同时,该《基本规范》要求按照内部控制五要素构建内部控制管理体系。由此开启了我国内部控制体系建设与发展的步伐。
在内容及对象上,内控兼具全面性和重要性。全面性体现在内控要求对全员、全流程、全业务与管理环节的全面内部控制,人员涵盖董事会、监事会、经理层及全体员工,甚至还包括派遣和辅助人员等,流程贯穿决策、执行、监督、评价等全部流程环节,覆盖所有业务、事项和环节。重要性体现在在全面内部控制的基础上,内控注重重要业务、重点人员、重点领域、重要风险、敏感地带、薄弱环节和经营管理漏洞等方面。
在形式上,内控具有内部制衡性和过程控制性。内部制衡性体现在内控通过构建内部环境,对内部治理结构、机构设置及权责分配、业务流程等方面活动实现控制,设置有效的内部控制管理防线,实现相互控制、监督和制约。过程控制性体现在内控重视对过程的控制,发现过程中风险、漏洞、不足和薄弱环节,构建决策、执行、监督、评价等管理措施,实现控制目标。
在效果上,内控具有适应性和经济性。适应性体现在内控与企业所在行业、经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况不断变化动态调整,趋向于变化性和灵活性。经济性体现在内控目的一方面在于保证经营管理合法合规、资产及财务安全,防控内部操作风险等;另一方面在于提高经营效率和效果,实现企业发展战略,以适当成本时效有效控制。
内控通过构建内部环境、完善执行、加强监督、科学评价等方式,实现对全员、全流程和全业务等方面控制活动,但是内控重视过程控制,具有内部性,需要平衡内部控制与管理效益的关系,易于内卷化,对于结果管理和外部风险的关注和重视不够,所以对于外部性风险管控无能为力。
内部环境:是影响、制约企业内部控制建立与执行各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
风险评估:是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定,风险识别、风险分析和风险应对。
控制活动:是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
信息与沟通:是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。
监督检查:是企业对其内部控制的健全性、合理性有效进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以具体内容与外资企业的SOX404体系差不多。具体来讲主要包含如下几个文件:内控手册,风险数据库,内控评价手册。
内控手册为对每一个作业流程的描述,内容含流程描述、流程图、授权说明、运营分析等。
风险数据库是作业可能导致风险的现象描述的汇总。所涉及的风险一般指导致公司资产不安全,作业内容不合规合法,运营效率低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或文档的齐全性,第二部分检查控制过程,第三部分检查会计账务处理控制。
全面性原则:要求内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位各种业务和事项;
重要性原则:要求内部控制应当重点关注重要业务事项和高风险领域,切实防范重大风险;
制衡性原则:要求内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率;
适应性原则:要求内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整;
成本效益原则:要求内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
目的不同:内控体系是以会计报告为主要目的,ISO质量体系是以产品质量为主。
控制活动不同:在现阶段五部委提供的18项指引来看,内控体系缺少生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
设计部门不同:在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各个部门。
要求不同:内控体系是国家强制要求,而ISO只是产品运营体系的一个认证,非强制要求。
组织架构:首先建立内控小组,为了使内控体系得到有效落实和贯彻,内控小组组长最好由总经理或董事长担任。主要作业由内审人员负责。
业务运作:内控小组对各部门提交的制度进行对标和梳理。并根据内控指引对现有作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺钱的流程进行优化。内控小组根据调整后流程进行内控手册的编制和流程图绘制,最后形成内控手册,由总经理授权下发。
内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
内控检查的主要目的时间里明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,合适业务事项是否真实合理。
在建立内控体系之前,首先有个制度对标的过程,而这个过程是建立在调研开始前对公司现有制度建设情况的了解以及各模块划分的基础上,同时对制度设计期间的不足、缺陷做备查。
类似于我们平时通过五部委的18个指引,其实在18个指引的解读里,已经有对各个环节的要求,制度的对标对应的结论有:整个作业流程未形成书面的制度、作业流程缺少某个控制环节、控制环节缺少重要的控制点。对于单个控制点的评价:责任人是否明确、表单是否表达清楚、控制痕迹有没有、审批是否重复和异常等。
96.内控的后续检查主要是检查哪些?与内审的主要区别是什么?
大致有这几点:制度设计、流程(包含正常与异常流程)、不相容职责分离、表单审核、关键控制点是否确实等检查。与内审的主要区别在于内控是流程的完整和有效,内审主要检查内容是评价所发生事项的合理真实性。
内控体系评价分三个模块:分别为制度有效性评价和运营评价,运营评价分已有作业痕迹评价和系统作业评价。作业痕迹评价主要评价在内控评价期间已经形成的作业表单和流程。系统作业评价主要评价为现有系统评价,实际上类似于信息系统的白箱子测试,即通过新的数据的输入、处理和输出,了解现有系统运营作业情况。
一般通过审查现有的流程作业制度和文字,通过职责不相容分离、授权审批以及制度的完整性来评价。实施企业内控制度评价应遵循全面性、重要性、独立性原则,确保评价工作标准统一、客观公正。根据所收集的证据进行合理判断。
对检查期间已经形成的表单或者作业流程进行评价,如果企业内部自行检查提取表单即可,一般可以通过对现有的内控制度或者内控手册的核对来确认是否存在异常。
有效性的评价分四种情况:存在控制强点、存在控制弱点、存在控制缺失、不适用。其中需要说明的事存在控制弱点,即部分作业表单有审核或者有记录,部分表单无审核无记录等。
检查的对象包含控制环境和控制活动,控制环境所需资料:可通过获取如组织架构来评价组织架构,通过获取如CIS来评价企业文化,公司战略的评价可以通过公司高层会议或董事会、股东会的类似决策资料来评价等等;控制活动的评价所需资料:可以通过流程中所需要的各表单来确认。
内控系统运行有效性评价可以理解为穿行测试,除了一般性的政策流程的检查还应包含现有系统有效性评价中可能为体现出来的特殊情况。例如检查1-12月表单和流程,但均未体现有政策流程,通过这种补充检查即可获知特殊作业流程是否可以正常运转。
相关热词搜索:
上一篇: 江苏省政府1号文!支持“专精特新
下一篇:央企解读 | 《投资项目可行性研
