风险管理内部控制合规管理三位一体整合的研究
当今世界进入了一个乌卡时代,我们正处在一个易变性、不确定性、复杂性、模糊性共存的世界里。企业的生存与发展面临着无数的不确定性,事件引发的全面风险管理、内部控制、合规管理(下称风险、内控、合规)先后引入企业管理,成为我国企业治理的重要组成部分,并日益受到各方面的重视。同时,由于企业外部管理部门不同的管理角度和监管要求,以风险管控为导向的三类管理体系逐步导入企业后,使企业内部三项管理工作出现了多部门管理、多体系并存、多轨道运行的风险管理格局,造成了体系重复建设、人员重叠配置、职能重合交叉、管理多重并行等问题,既浪费了企业资源,又加重了业务负担,还减低了管理效率,严重影响了风险、内控、合规管理的实践效果,为此,本文拟结合多年管理与咨询的实践经验,在深入总结分析风险、内控、合规分线条管理弊端的基础上,探究了将三者整合构建的必要性和可行性,提出构建风险、内控、合规三位一体的总体框架和基本思路。
一、风险、内控、合规管理的异同及弊端的分析
(一)全面风险管理、内部控制、合规管理的异同
全面风险管理和内部控制与合规管理均为企业治理框下的管理活动,属于同质化管理活动,根据5W2H管理分析法的基本要点,风险管理与内部控制和合规管理的相同之处包括:管控目的,管控对象,管控主体,管控方式,管控目标,管控基础。而不同之处在于风险管理、内部控制与合规管理源于不同的背景,管理的视角、维度、侧重点和作用领域各有不同,主要表现为管控功能不同,全面风险管理既可以帮助企业保持价值,也可以帮助企业创造价值;内部控制重在保持和维护企业价值;合规管理主要是防止企业遭受处罚和损失。管控重心不同,全面风险管理侧重战略层面且来自企业外部的有利机会利用和不利风险管控;内部控制侧重内部业务运营层面的风险预防与控制;合规管理侧重企业和员工的对外强制性承诺义务和自愿性承诺义务的责任管控。管控层级不同,全面风险管理目标多为利益相关者的期望目标;内部控制目标一般为公司正常运行的保障目标;合规管理目标主要为保障公司健康运行的底线目标。管控范围不同,全面风险管理的风险包括外部风险和内部风险;内部控制风险主要指内部风险;合规风险既包括外归内化风险,也包括内部自觉性承诺风险。
(二)风险、内控、合规管理分线条并存的弊端
近年来,出于国家监控部门的强烈要求,企业自身管理的内生性需要,以及企业竞争与发展的外在影响,各企业纷纷导入并建立了全面风险管理、内部控制和合规管理的制度与流程体系,员工的风险意识明显增强,企业抵抗风险能力不断提高,重大风险事件有所遏制。与此同时,在企业内部也出现了全面风险管理、内部控制、合规管理重复建设,多轨并行的状况,不可避免的产生了制度体系冲突,流程繁琐复杂,造成企业管理负担加重,管理效率降低等问题,主要表现在:不同部门依据不同的政策和要求,建立各自的管理体系、管理制度与流程,造成多部门、多政策、多系统风险管理,使得风险管理政出多门,风控职能重复交叉,风控要求目标多元,业务管理疲于响应。而且这种条线分割还会形成部门墙,导致企业内部信息割裂,体系运行各自为政,削弱了内部协同效应[1]。也会使业务管理与风险管理相互脱节,三项风险管理体系相互分离或交叉重复,从而导致管理冲突或管理真空,降低了治理效率与效果,分散风险管理目标,增加业务负担,淡化风险绩效管理地位,出现评价标准的差别与分歧等。
二、风险、内控、合规管理三位一体整合的总体框架
(一)五大要素的整合构想
1.环境与目标
在内部控制的“内部环境”要素基础上,将全面风险管理的治理与文化、战略与目标设定要素和合规管理中的合规政策与制度要素进行融合整合,形成“环境与目标”要素,主要元素包括定义企业管理层的基调,确定企业使命、愿景、发展战略、业务目标,为实现企业目标搭建组织架构、配置人力资源、建立企业文化、确立风险偏好、管理风格和合规义务。
2.风险评估
在内部控制的“风险评估”要素基础上,将全面风险管理“绩效”要素中的识别风险、评估风险严重程度、风险排序三个元素和合规管理“风险识别与预警”要素中的合规风险识别、合规风险评估、合规风险排序与分级三个元素进行整合,形成“风险评估”要素,主要元素包括企业内外部的所有风险因子识别、风险事项分析、风险后果评价等[2]。
3.风险应对
在优化内部控制的“风险评估”要素中的风险应对策略选择元素和“控制活动”要素的基础上,将全面风险管理“绩效”要素中的选择风险策略、制定与执行风险解决方案元素和合规管理中的“合规风险监测、合规风险应对、合规审查、合规问责”要素进行整合,形成“风险应对”要素,主要元素包括风险应对策略选择、风险监测、风险预警、不利风险控制、有利风险利用、重大事件应急处置等。
4.沟通与汇报
在内部控制“信息传递与沟通”要素基础上,将全面风险管理的“信息、沟通与报告”中信息系统建设、信息传递、信息报告元素和合规管理中的合规信息沟通与汇报进行整合,形成“沟通与汇报”要素,主要元素包括信息传递组织架构、信息传递路径、信息传递技术、信息报告内容等。通过沟通与汇报实现风险管理各要素之间、要素与内外部环境之间、要素与元素之间、元素与元素之间的信息联通和交互传递,为管理与控制提供信息支持和依据。
5.监督与评价
在内部控制“内部监督”要素基础上,将全面风险管理中的“评审与整改”要素和合规管理中的“合规评价与改进”要素进行整合,形成“监督与评价要素,主要元素包括环境监测与评估、过程执行监控、控制绩效评价、缺陷认定与改进等。
(二)四类目标的整合构想
1.战略目标
在原内部控制三类目标的基础上,增加全面风险管理的战略目标,旨在通过“大风险”管理,降低实现战略目标的不确定性,并提升内部控制和合规管理的战略地位。
2.运营目标
整合风险内控合规管理在确保运营效率与效果方面的价值体现,将运营目标定位为确保企业各项规章制度、流程和为实现经营目标而采取的重大措施的贯彻执行,防控合规风险,规范经营行为,保障经营管理的有效性。
3.报告目标
充分融合内部控制、全面风险管理与合规管理在内外部报告方面的质量要求,确保企业对内或对外提供的财务报告、经营报告、合规报告的真实性与可靠性,满足利益各方的需要,并赢得各方信任与合作,为企业正确决策提供有效信息[3]。
4.合规目标
在原内部控制目标强调保证国家法律法规遵从性基础上,扩大合规外延,提高合规地位,强调合规的重要性,在原目标基础上增加企业规章、企业自愿性承诺(契约义务、社会责任、道德倡议等),以更好地满足利益各方的诉求和社会的期望。
(三)三道防线的整合构想
以《内部控制-整合框架》中明确的“整个公司层面、分部、经营单元、职能部门”适应主体组件为基础,借鉴全面风险管理的三道防线构架,整合形成“大风险”管理的三道防线,即:
1.执行防线
包括经营单元、分部、业务部门、职能部门,主要职能是通过执行业务流程进行风险防控;
2.管理防线
包括董事会下设的风险内控合规管理委员会和企业的“大风险”归口管理部门、对口专业职能部门,主要职能是通过风险管理决策、指导、审核进行风险管理;
3.监督防线
包括董事会下设的审计委员会和企业的内部审计部门,主要职能是通过日常监督、定期评价、专项检查进行风险管控和处置。
三、风险、内控、合规管理三位一体整合的基本思路
基于“大风险”管理体系的组成要件与运作机理,将全面风险管理、内部控制与合规管理进行三位一体整合构建,需要从以下六个维度并运用相应的方式进行一体化整合。
(一)情境一体化
企业的生存与发展不仅有赖于内部的基础环境,更需要与外部环境进行交互作用,外部因素既会给企业发展带来机遇,也会增加企业目标实现的不确定性,同时还存在着一些企业生存与发展的规则高压线。因此,企业风险管理体系的建立不能无视这些内外部因素的存在与影响,反而需要遵循系统论的环境适应性原则,分析、改造和利用环境,将与公司相关的环境因素转化为公司有效的生产资源或要素,成为风险管理系统的重要组成要件。一是将全面风险管理关注的外部政治、经济、社会、技术、市场等因素与合规管理关注的外部法律法规因素转化为企业内部的资源、要素、规章等,与内部控制赖以存在的企业内部环境因素融为一体,作为“大风险”管理系统的建立基础与影响因子,成为系统建设与更新的首要组件;二是将环境分析作为企业战略与目标制定的必要环节和基本决策因子,以保证有的放矢,依据充分,决策正确;三是将环境变化监测作为各责任主体风险观察和报告的重要职责,纳入风险预警和内部报告体系,形成制度化、常态化的风险动态监测与评估机制。
(二)目标一体化
为实现企业目标提供合理保证是风险、内控与合规管理的共同目标,构建一体化整合管理体系,必须以统一目标为先导进行系统整合。
按照“企业使命-愿景-战略目标-业务目标”的一致性原则,逐级分解确立风险内控合规三位一体“大风险”管理系统的统一目标体系。首先应解码企业使命,转换为企业具体的战略目标,然后利用平衡计分卡或OKR等战略分解工具分解确定具体业务目标,再通过目标细分解析,识别出影响目标实现的关键成功要素和重要风险因素,在此基础上,结合企业管理层的风险偏好、风险容忍度,统一确定“大风险”管理系统的战略、运营、报告、合规四类目标,并依据职能职责进行时空二维分解落实,以保证将风险降低到企业可承受的风险容忍度之内且能最大限度地促进企业战略目标的实现。
要正确处理四类目标之间的相互关系,使其相互协调并保持与总体目标的同向性和一致性。其中战略目标是先导目标,运营目标是核心目标,报告目标与合规目标是基础目标,四类目标共同支撑和保障企业价值和使命的实现。在目标统一过程中,战略目标的确定应兼顾管理层的风险态度、企业风险与回报期望水平、宏观环境的不可控风险因素;运营目标包含内部控制单列的资产目标,运营目标的确定应考虑市场状况、资产安全和有效利用、资源配置、员工素质水平等;合规目标的确定可根据企业管理能力与水平,在确保外部法律法规要求的最低行为标准基础上,综合全面风险管理、内部控制的发展状况,不断提高企业合规标准;报告目标的确定应充分考虑报告使用者的需要,确保报告的及时性、完整性、真实性、准确性。
按照重要性原则,科学确定重要业务的关键绩效指标(KPI),匹配设置关键风险指标(KRI),为风险预警指标与阀值设置、风险管理绩效评价奠定基础,创造条件。
(三)组织一体化
组织是目标实现的主体集合,包括任务、职权、职责及相互之间的运行机制和监督与协作关系。风险内控合规组织一体化整合包括以下方面:
统一风险内控合规管理的决策机构、办事机构、执行机构和监督机构。董事会负责企业风险内控合规管理的建立健全和有效实施,行使决策管理权力;董事会下设“风险内控合规委员会”,统一负责企业风险、内控、合规管理的政策制定、辅助决策、组织领导、业务指导;明确法务或风险管理部门为企业风险内控合规管理的统一归口管理部门,并承担风险内控合规委员会办公室的职责,负责董事会、风险内控合规委员会的重大决策的组织落实与监督执行;董事会下设审计委员会,负责风险内控合规审计监督与工作评价的政策制定、辅助决策、组织领导和业务指导;内部审计部门受审计委员会领导,对审计委员会负责,承担审计委员会的日常工作,负责风险内控合规监督与评价的日常事务性工作。审计委员会和内部审计部门共同承担风险管理的第三道防线职责。
赋能对口专业职能部门分别承担对口风险的职能管理事务。如风险管理部门负责战略风险、市场风险、运营风险、财务风险的风险信息收集、风险运行监测、风险识别、风险评估与风险预警报告,并参与此类风险应对的方案审核和决策管理;财务部门负责内部控制相关风险的监测、预警、报告和风险应对方案审核与重大决策;法务部门负责合规管理风险的收集、识别、评估、审查、调查、问责处理等。对口专业职能部门与风险管理归口部门和风险内控合规委员会共同承担风险管理的第二道防线职责。
(四)风险一体化
整合构建统一的“大风险”评估体系,内容包括:
组建成立由分管领导牵头,风险管理归口部门、业务部门、职能部门、经营单元共同参加组成的风险评估委员会,负责企业风险评估管理工作。
建立风险信息收集、报告管理体系。明确业务部门、经营单元、行政职能部门为一线风险信息收集报告主体;风险职能管理部门、风险归口管理部门为二线风险信息收集、报告主体和一线风险信息审核主体;风险评估委员会为风险评估决策管理部门。
制定统一的风险评估管理制度。明确风险评估的范围、职责、程序、时间、方法、风险分类标准等。
整合构建统一的风险数据库。将已识别的风险按照风险发生的可能性和严重性等分为需关注的风险和需管理的风险,将需关注的风险存入风险数据库提示相关部门予以关注,将需管理的风险进一步划分为重大风险、重要风险和一般风险,明确风险环节、关键控制点和责任主体,跟踪风险变动与控制状态。
建立风险预警指标体系,设置风险预警阀值、警级划分标准、预警触发条件、预警主体与预警形式等。建立风险点、控制点、响应措施相互关联的控制矩阵。
(五)流程一体化
流程是一组要素输入、过程处理和成果输出的程序性活动集合,它对组织实现目标的具体业务活动作出路径、方向、顺序、主体、方式、标准等原则性规定,是风险内控合规一体化管理的承载主体和具体实现形式。
基于内部控制的核心业务流程,嵌入全面风险管理与合规管理的技术与方法,构建一体化的风险管理业务流程体系。按业务线条划分,需构建控制环境类(5项)、控制活动类(9项)、控制工具类(4项)等三大类十八项风险管理流程;按管理性质特征划分,需构建战略决策类、核心业务类、支持管理类业务流程。在流程设计与构造过程中,应以业务活动为主线,划分工作节点,在关键节点中嵌入风险管理措施并使之成为必要工作环节,强制落实风险管理责任。在决策环节,嵌入风险评估论证、合规审查、集体决策控制;在执行环节,嵌入不相容职务分离控制、预算控制、资产保护控制、授权审批控制、会计控制;在管理环节,嵌入风险监测控制、风险预警控制、应急预案处置、绩效评价控制;在监督环节,嵌入日常监督、合规调查、举报调查、定期评价、专项监督、问责处理控制。从而构建与业务活动紧密契合的风险、内控、合规一体化风险管理流程。流程体系应由流程图、流程描述说明、权限指引、流程表单等要素组成。
(六)制度一体化
制度与流程是风险管理的两大核心组件,是保证流程得以正确执行的行为规范。在实现流程统一的前提下,遵循目标——风险——措施的基本逻辑,就三项风险管理制度的管理目标、风险揭示、组织体系、职能职责、权限划分、工作程序、行为规范、监督评价、问责处理等内容进行整合,从而构建以风险管理大纲为指引,以分项业务风险管理制度为主体的1+N系统性大风险管理制度体系。制度体系由风险管理大纲,分项业务风险管理办法、重点业务事项风险管理指引等三级制度组成。综合流程与制度的核心内容,形成风险内控合规一体化管理手册,为有效实施大风险管理提供操作指南。
四、结语
简约管理是当今极简主义思潮下企业管理的变革趋势,也是应对乌卡时代(VUCA)的一种管理思维模式,核心标志是组织扁平化、流程兼容化、信息共享化、管理一体化。全面风险管理、内部控制、合规管理一体化整合构建既符合简约管理的发展方向,也合乎治理整合规范的基本要件,同时具有同质化管理资源整合利用的效率空间,是三大风险管理体系发展和提升的必然趋势。当然,风险内控合规管理各有其自身的形成背景和运行机理,一体化整合是一项全局性、系统性、长期性工程,需要结合企业的内部风险管理环境,统一规划、兼容并蓄、整体安排、分步实施,形成风险内控合规管控一体化的动态管理系统。