风险、合规、内控“三位一体”体系构建的思考与实践(下篇)
风险、合规、内控“三位一体”管理体系建设将成为国有企业新形势下改革转型升级、提质增效工作的重要保障,为企业高质量发展保驾护航。
上期【国企改革观象台】专栏文章以政策文件为理论基础,结合企业实践经验,总结了“三位一体”管理体系融合的原则与方法、践行路径和价值成效。本期文章将在充分总结企业实践经验的基础之上,分享“三位一体”体系实现有机融合的实践方式及可操作的方法。
企业需要通过构建一套顶层设计、一条“三位一体”管理体系营建路径、一套具体工具,来解决“三位一体”管理体系谁来管、管什么、怎么管、怎么保障、怎么落地的实际问题,形成全面覆盖、精准防控、落地可行、切合实际的企业管理工具,实现“一套管控体系,不同管控视角,多维管控成效”的目标。
一、聚焦重点——厘清“三位一体”管控对象
以公司发展战略、经营目标为出发点,结合公司组织架构及职能分工,了解并梳理企业为实现战略及经营目标所开展的核心经营活动及重点业务领域,作为推进“三位一体”管理的对象及抓手,也是“三位一体”体系建设的基础工作。
重点业务领域的梳理可以结合《中央企业合规管理指引》和《中央企业合规管理办法》中涉及的重点领域及合规风险较高的业务,以及《企业内部控制基本规范》和18项应用指引的建议,并结合公司的具体经营实际,做到目标为导向、业务全覆盖、领域有重点。
二、靶向发力——收集内外部合规信息
厘清了公司的重点业务领域及关键环节后,最终目的是为了发现企业潜在的风险(包含合规风险)。因此,企业还需要收集并熟悉重点业务领域及关键环节所应遵守的内外部监管规定及其变化,为公司未来内外部合规义务辨识、风险识别、风险应对提供参考依据。如下是企业应定期收集并持续关注变化的内外部合规信息类别:
建议企业各部门由专人负责定期收集及更新相关领域的外部法律法规信息,并记录该合规信息涉及的业务领域、效力级别、法规标题、发文机关、实施和发布时间、获取网址等,定期汇总形成全公司的《合规数据库》,以便于后续公司对外部法律法规信息的查阅、使用、管理及更新。
三、践行规范——明确内外部合规义务
基于公司的经营业务活动,从各经营业务及职能领域的重点经营活动及关键事项出发,根据收集到的各类内外部合规信息,系统性地从内外部监管规定及企业内部规章制度中识别并分析其对具体业务活动开展过程中每个行为的合规义务及合规要求、属于的合规义务类型、合规义务摘要、约束对象、违反合规义务条款责任所产生的违规后果、违规责任类型、该合规义务在公司内部的主要负责部门及岗位等,形成《合规义务清单》。
四、全面洞悉——识别合规及经营风险
企业基于已识别到的合规义务,结合企业自身业务特点与运营特色,识别风险各类驱动因素,例如经营理念、经济环境、行业政策、产业链趋势等。通过收集各类内外部风险事件的相关数据,从各驱动因素的层面分析诱发风险的重要成因与对企业自身的影响程度,从而做到对企业经营过程中各类切实风险的识别,识别涵盖外部监管合规义务、内部控制运营的薄弱环节、各关键业务领域的风险及风险事件等,形成《三位一体风险库》,包含专项业务领域、分级(通常可划分为一、二、三级)风险名称、各级风险描述、各风险的关键风险指标、风险主责部门等要素内容。
五、整合联动——建立协同联动管控措施
结合外部合规义务及风险管理要求,通过“外规内化”完善企业内部规章制度及管控措施,在防控各类风险、满足外规监管要求的前提下,明确各个领域、各项工作、各个环节的业务流程、管理要点、岗位职责等具体管控措施,形成《风险合规内控管理手册》(以下简称《手册》),保障业务的有效开展。
《手册》涵盖各业务流程的控制目标、风险描述、适用范围、相关制度和政策、流程说明、业务流程图、风险控制矩阵及权责矩阵,为企业各项业务的开展提供直观、清晰的实践指引,是企业从经验化管理到系统化、标准化管理转型的重要成果。《手册》中各项流程明确涉及到的合规要点、风险事项,将合规义务融入业务流程,将风险要素嵌入管理措施,在使用《手册》执行业务流程的过程中,实现将风险意识与合规意识潜移默化地转移至员工的思维中,有效提升工作效能。
《手册》中流程图可采用特定且不同的图形符号,更加形象直观的展示应对外部法律法规和监管合规要求的内部控制措施、应对企业面临的关键经营风险的内部控制措施,实现将合规及风险管控要求有机的融合于内部控制管理之中,降低流程执行过程不合规及可能面临的风险。
六、落实责任——明晰职能授权
全面厘清企业各部门、各岗位的职能职责及授权范围,通过运用不同标识,梳理和优化各关键业务事项谁提交、谁审核、谁审批、谁配合、谁备案,实现各环节责任精准落实到岗,压实“三位一体”管理职责到人,保障管理体系有依托、可落地、可操作、可执行。
七、数字赋能——管控方式信息化
加强信息化顶层谋划,通过运用信息化手段,将风险及合规关注点融合嵌入信息系统权责设置、关节流程节点中,健全风险、合规、内控“三位一体”信息化管理功能,实现三体系控制活动信息化。通过系统固化及刚性约束,有效推动“三位一体”管理体系的落地运行。
八、行稳致远——搭建运行保障机制
建立风险、合规、内控“三位一体”管理体系的运行保障机制,通过定期的风险识别及评估机制,持续收集公司内外部风险管理、合规管理、内控管理的各类信息(包括外部法律法规及监管要求变化),调整各项风险应对及管控措施,监控风险的应对情况。对已经不再适用的风险或风险管控措施进行调整,同时结合风险检查中发现的设计有效性问题,持续优化“三位一体”管理体系的管理工具及公司规章制度,增进一体化管控成效,确保“三位一体”管理体系持续健康发展。
九、闭环管理——动态监督评价及完善
建立“三位一体”管理体系考核机制及事项报告机制,结合开展“三位一体”管理体系有效性评价,通过以评促建的方式,识别并整改“三位一体”管理体系的问题或漏洞,不断健全管理制度,优化管理流程,规范经营行为,完善体系建设,培育具有企业特色的风险、合规及内控管理文化,推动公司整体管理水平提升,实现风险、合规、内控“三位一体”管理体系的动态闭环管理。
通过建立及运行风险、合规、内控“三位一体”管理体系,实现动态收集各类风险信息及法律法规监管要求,识别及评估企业面临的各类风险及合规要求的变化,不断完善风险及合规要求应对措施,弥补管理薄弱点,真正的将风险管理和合规管理要求与业务流程的管控充分融合,促使企业依法合规开展各项经营活动,推动企业实现“一套管控体系,不同管控视角,多维管控成效”的目标。