了解更多

陶光辉:统一治理框架下的合规管理、内部控制和风险管理

发布日期:2024/9/15 阅读量:156  来源于:  http://www.mylsfw.com/

关于合规管理、内部控制和风险管理等的协调或统筹问题,由来已久。早在2015年国资委印发的《关于全面推进法治央企建设的意见》中,就提出“探索建立法律、合规、风险、内控一体化管理平台”。2019年,国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》,进一步提出“强内控、防风险、促合规”。2021年国资委,印发《关于进一步深化法治央企建设的意见》,则提出“探索构建法律、合规、内控、风险管理协同运作机制,加强统筹协调,提高管理效能”。


从第一次正式提出的“探索一体化”,到最新提出的“探索协同运作”,这至少反映了两个问题。第一个是法律、合规、内控、风险管理等的关系处理较为棘手,六年下来,一直处于“探索”状态。第二个是四者的关系从“一体化”转变为“协同运作”,这提出了一些信号,也反映了一些实践。


如何处理法律、合规、内控、风险管理的关系,一直是大型企业法务管理、合规管理,包括内部控制等专业领域一个绕不开的难题。本文基于统一治理框架,提供一套相对“统一”的合规管理、内部控制和风险管理整合机制——治理风险合规(GRC)管理体系。


一、什么是统一治理框架


“治理”一词在不同的语境下,有不同的定义。国际内审协会对治理的定义是:“治理是董事会实施的各种流程和框架的组合,用以告知、指导管理和监督组织的活动,以实现组织的目标”。经济合作发展组织(OECD)将治理定义为“公司的管理层及其董事会、股东其他利益相关者之间存在的一种关系。公司治理为目标的确定、目标的实现方式和绩效监督方式提供结构”。


治理是实现企业目标的手段,它是一个体系或一种组合。每一企业都需要治理,企业是借助治理体系来满足利益相关者的需求,并通过产品和服务来创造价值的。价值反映了效益、风险与资源之间的平衡,企业需要可行的治理系统来实现价值。但是,具体的治理内容,又因企业类型和监管要求的不同而不同。


有效的治理,因为总结了企业的最佳实践和监管的最新要求,是结构化的。结构化有利降低体系的复杂性,提高可理解性,实现精细化管理。治理的这种结构化特点,便促进了可对比、可复制的治理框架的出现。


站在企业运作效率的角度,企业内有且只有“一个”体系,无疑是更加正确的。这就要求有效治理框架把企业的不同管理体系整合起来。即整合到基准的体系之上,这便是统一治理框架。统一治理框架既考虑了基准的治理框架,又不断的把新出现的管理要求、管理措施整合到基准框架之内,优先考虑固有的治理体系能否满足新要求,而非另行组合一套包含人、财、技术及流程等在内的新体系。


当然,即便是基准体系,也应当跟随企业的内外情境的变化而进行变化。统一治理框架本身也应是动态的,在框架的设计、运行、监测和评价过程中,均需根据情境变化而做出适当的调整。


二、基准治理框架的组成


治理框架的设计,取决于企业的价值观,融合了股东和利益相关者的利益考量。从股东角度,治理的主要目标是股东利益最大化,有效的治理框架应重在协调管理层与股东的关系,激励管理层为企业创造更多收益。从利益相关者角度,治理的目标除了增加企业利润以外,还应承担社会责任,遵守良好商业道德,包括但不限于保证员工安全、创造就业、改善环境、减少债权人风险,参与社区活动等。


这说明,一个有效的组织治理框架,特别是作为基准的治理,在实现组织的核心诉求时,必须同时考虑内外部情境。外部情境包括宏观环境因素和利益相关者的期望与要求等,内部情境包括企业的文化、企业内的信息传递、企业的沟通方式等。


因此,作为基准的治理框架,由核心“组件”和环境“组件”两部分构成。核心组件部分,是实现企业核心诉求的组合,具体包括目标、组织、制度、流程和绩效等五个要素。环境组件部分,是实现企业诉求必须同时考虑的因素,具体包括企业文化、信息与沟通、外部情境等三个要素。


基准治理框架,不仅指以上八个要素,而且也同时指这八个要素的相互关系。每一个要素,均有其明确的定位和作用。只有共同发挥其价值,才能产生良好治理的效果。


1.目标,是治理的基础,也是企业开展所有工作的前提。治理框架的设计,应从企业所处发展阶段的各个目标设定开始,考虑实现目标所需的要素和对应的资源投入。目标包括长期目标,即企业的使命和愿景;还有中期目标,即企业的战略;以及短期目标,即企业的年度目标,业务流程目标,以及个人目标。


2.组织,是企业实现目标所需要的合适的人及人的组合。组织要素可包含组织结构、决策机制和胜任力模型三个元素。组织结构是组织成员的合理分工,形成纵向和横向的权责。决策机制确定企业内决策做出的主体、程序、信息与沟通等。例如,风险三道防线,就是一项合理的决策安排。胜任力模型是实现组织权责所需的知识和技能。


3.制度,是规范业务活动、具有持续性和普遍效力的内部文件。制度是以文本的形式,规定企业应做什么,怎么做,由谁做,做的标准是什么,以及做得好和做不好的后果是什么等内容。制度又可进一步分为制度管理制度、流程管理制度和业务管理制度三个元素。制度管理制度,统领企业内所有制度、流程、规范、标准等;流程管理制度针对制度中程序的建立与运行建立规范;各业务管理制度则规定各项业务开展过程涉及的职责、程序、标准、要求等。


4.流程,是将制度的相关规定付诸行动的过程。流程是实现治理目标的具体工作。因为每一项具体工作,是由许多工作任务组成,故通常情况下,一个流程本身是由多个子流程组成的。即流程是分级分层的。第一层级的流程,由战略决策流程、核心业务流程、管理支持流程三部分组成。每一部分,均由若干个二级流程组成,依此类推,最多可达五级。美国生产力和质量中心(APQC)推出的流程分类框架PCF,在流程的分级分类方面可谓典范。


5.绩效,是已设定目标的事实上的实现结果。绩效,可以是企业整体的绩效、部门或个人的绩效,制度和流程执行情况等的绩效。促进绩效达成的一个有效工具,是哈佛大学的卡普兰和诺顿两位教授开发的平衡计分卡。平衡计分卡建议企业从财务、客户、内部流程、学习 与成长四个方面分解目标、建立绩效标准。


6.企业文化,是公司员工的共同价值观、理念和意识。企业文化虽无法看到或触摸,但实际存在于企业成员的行动和工作之中。企业文化会对其他要素产生明显的影响。如企业文化的强弱,会对制度的复杂程度和人际沟通产生很大影响。反过来,其他要素业会影响企业文化的演进。一般认为,企业文化应包括行为准则、经营理念、决策指引、企业形象、社会责任等。


7.信息与沟通,也是治理框架必不可少的要素。企业“应且只能”通过信息和沟通,才能支持各项业务的开展。信息与沟通,也做作为企业内外部要素互动的桥梁,在治理框架中发挥重要的作用。从企业架构角度,信息,可进一步分为数据架构、应用架构和技术架构。沟通,可进一步分为沟通机制、内部报告、外部报告等元素。


8.外部情境,是影响企业实现目标的外部因素,包括宏观环境因素和利益相关者期望与要求。宏观环境因素,又可分为政治、经济、社会、文化、技术、EHS、法律和行业等元素。利益相关者期望与要求,包括政府、监管机构、社会组织、客户、供应商、竞争者、媒体和公众等元素。外部情境,对于企业治理的影响也是非常大的,而且同样是双向的。


治理框架图


1.png


三、合规管理、内部控制和风险管理的整合


基准治理框架统一且细化了管理的要素,并指出了管理的过程。这个框架不仅适用于企业的整体管理,也适用于企业的部门管理或某项业务流程的管理。合规管理、内部控制、风险管理作为企业的某种管理,不管是否存在一些第三方智力组织,甚至是基于法规规定,所提示的“标准或框架”,都应与上述基准治理框架相符合。


这里包含二层意思。一是,合规管理、内部控制、风险管理应建立现有的管理实践之上,运用现有的管理资源,而非另起炉灶。二是,合规管理、内部控制、风险管理等相关管理,不应该与基准治理框架相冲突,应在基准治理框架之下进行操作。简言之,基准治理框架可看作是合规管理体系、内部控制框架、风险管理系统的“上位法”。


也就是说,合规、内控、风险管理等整合的一个最佳思路,应该是将这几者整合进基准治理框架之内。当前理论和实践中出现的一些“合规内控风险一体化”、“法律合规内控风险协同运作” 等思路,其实都没有站在这种企业整体管理角度,没有去寻找这几者的“上位法”,其 “整合”效果则可想而知。


合规管理、内部控制、风险管理的整合,不是要素的整合,而是体系的整合,且是二级体系向一级体系的“靠拢”。即便这些二级体系“出身豪门”、“来自权威”,在整合的实践中,仍应服从上一级管理体系的要求。当然,我们在此不排除有其他的整合或协同思路。例如,本文作者另行开创的“法治管理系统八要素”,可从另一个企业整体角度整合法律、合规、内控、风险管理等。


将合规管理、内部控制、风险管理整合进基准治理框架之后,这个治理框架就因加上了合规、内控、风险管理的内容,而成为一个独特的统一治理框架。为研究方便,我们将其从企业治理体系中抽出,独立形成一个“治理风险合规(Governance Risk & Compliance,GRC)管理体系”(以下简称为“GRC管理体系”)。想强调的是,企业内并非显然存在这个GRC管理体系,它只是在基准治理框架的基础上整合了合规、内控、风险管理体系的一个特别称呼。GRC本身的来源和其他涵义,限于篇幅,在此不述。本文的GRC管理体系,可认为是基准治理框架+风险管理+内控+合规的一个整合体系。即GRC管理体系是将合规管理、内部控制、风险管理等整合起来的一种方式。


合规管理、内部控制、风险管理之所以能整合进基准治理框架,是因为这四者的组成要素有很大的相通之处。在明确其大方向——为企业的发展提供结构化的“控制为主”的职能——趋于一致的前提下,对四者很容易联想到应该进行“整合”。


细言之,治理是在基准治理框架的八个要素下进行的。从目标要素开始,分别需要人(组织)、工作(制度和流程)、成果(绩效)、信息(信息与沟通)、文化(企业文化)、环境(外部情境)等要素的协作,才能完成有效的治理。


观察风险管理的组成要素,以《COSO 企业风险管理—整合战略和绩效》(2017)为例,该框架给出了企业(全面)风险管理应具备治理和文化、战略和目标设定、执行、检查和修正、信息沟通与报告等五个要素。这五个要素同样涉及了环境、文化、目标、工作、信息沟通等,与基准治理框架的大多数要素,内核是相通的。同样,对照国资委2006年印发的《中央企业全面风险管理指引》,也可看到类似的要素组合而成“指引”的框架。前两项指导文件,是实务中最为普遍的全面风险管理操作指南。


观察内部控制的组成要素,以《COSO内部控制整合框架》(2013)为例,该框架给出了企业内部控制应具备控制环境、风险评估、控制活动、信息与沟通、内部监督等五个要素。每个要素下均明确了若干原则,一共17项原则。这些要素和原则,涉及环境、人、目标、工作、信息、绩效等,与基准治理框架的大多数要素,内核也是相通的。同样,对照财政部等2004年颁发的《企业内部控制基本规范》,也可看到类似的要素组合成的“框架”。前两项指导文件,是实务中最为普遍的内部控制操作指南及要求。


观察合规管理的组成要素,以《ISO 37301 合规管理体系要求及使用指南》(2021)为例,该标准给出了组织合规管理应具备的组织环境、领导作用、策划、支持、运行、绩效评价、改进等七个要素。这七个要素涉及环境、文化、人、工作、绩效等,与基准治理框架的大多数要素,内核也是相通的。同样,对照国资委2018年印发的《中央企业合规管理指引(试行)》,也可看到类似的要素组合。前两项指导文件,是实务中最为普遍的合规管理操作指南。


通过对比要素的相通之处,我们清楚的看到了合规管理、内部控制、风险管理整合进基准治理框架的可行性。结合“一个企业只有一个治理体系”的说法,我们也理解了合规管理、内部控制、风险管理整合进基准治理框架的必要性。


治理、风险管理、内部控制、

合规管理要素对比表


2.jpg


四、治理风险合规(GRC)管理体系的组成

合规管理、内部控制、风险管理整合进基准治理框架,即形成本文所述的治理风险合规(GRC)管理体系。这个GRC,并非典型意义上的GRC,即与美国第三方组织——OCEG(开放合规和职业道德团体)提出的GRC,还是存在一定区别的。OCEG GRC有其固定的能力模型和技术解决方案,本文的治理风险合规(GRC)管理体系则是为解决合规、内控、风险管理整合问题而借用了GRC概念及其一定的原则和理念。


合规、内控、风险管理的各自要素,不再分别强调,而是要“嵌入”到治理框架的要素之中。在“嵌入”的过程中,我们认为“风险评估”这个要素,对于合规管理、内部控制、风险管理的实际工作,也非常重要。因此,有必要把风险评估作为一个独立的要素,放入整合后的管理体系之中。这样,基于治理框架的合规管理、内部控制、风险管理整合而成的治理风险合规(GRC)管理体系,便是建立在九个要素的基础之上的。


特别强调的是,整合后成为一个体系不表示合规管理、内部控制和风险管理工作消失,而仅表明原来的合规管理体系、内部控制体系、风险管理体系成为GRC管理体系的一部分,合规职能、内控职能,以及风险管理职能仍然是存在的,且相互独立,以满足不同体系的内、外部特定要求。如对外按要求出示一些特定报告,可分别出具。


治理风险合规(GRC)管理体系要素表


3.jpg


治理风险合规(GRC)管理体系由目标、组织、风险评估、制度、流程、绩效、企业文化、信息与沟通、外部情境等九个要素组成。各要素的内涵都很丰富,综合了公司治理、合规管理、内部控制、风险管理的多样实践,同时也糅合了大量的经典管理及组织科学理论。


1.GRC管理体系中的目标,是指整合合规管理、内部控制、风险管理等,也即构建治理风险合规(GRC)管理体系之时,应首先建立一套统一的治理与风险管理目标。这个目标应将战略、业务与风险的平衡,经营效率效果的提升,报告与信息披露的真实,法律法规及道德规范的遵循等均应包含进去。不管是公司战略层,还是业务流程层或者个体岗位层,其目标确定时,均应同时考虑以上的多重目标内容。如发生目标冲突,企业应在其价值观指导下进行决策选择。


2.GRC管理体系中的组织,是指构建GRC管理体系,应将合规、内控、风险管理的组织职责统筹起来,建立一个统一的治理与风险管理组织。例如,全面合规与风险管理委员会。该委员的职责把原来可能分散的法律、合规、内控、风险管理等职责集中起来,交由一个最高的治理机构管辖。当然,这个统一,不是必然的。如企业暂时条件不具备,也可用一种半统一的方式进行过渡。如以一种联席会议的方式,进行统筹。


3.GRC管理体系中的风险评估,指在执行GRC管理制度和流程之前,必须先找出存在的问题和风险。问题和风险是制度及流程实施的前提,不以问题和风险为导向,所进行的管理制度和流程,可能会造成业务与管理两张皮的现象。因此,虽然在标准的基准治理框架中,未把风险评估作为一项独立的要素,仅把风险评估作为制度和流程工作展开的条件,但鉴于风险评估的重要性,本文建议将其作为一项要素。GRC管理体系中的风险评估,应该对全部类型的风险同时进行评估,包括因违反法律法规可能产生的法律合规风险,因内部流程缺陷可能产生的内控风险,因对外界环境变化不敏感产生的战略风险、环境风险等。


4.GRC管理体系中的制度,指将合规、内控、风险管理等相关的制度统一设计、统一编制,同步实施、同时评价。现有的合规管理制度包括合规管理办法、合规行为准则、业务合规操作指引、合规流程管理制度、合规管理手册等。现有的内部控制制度包括资金内控制度、采购内控制度、存货管理内控制度、销售内控制度、工程项目内控制度等。现有的风险管理制度包括风险准则与风险文化办法、风险管理策略管理办法、风险预警与跟踪管理办法等。将这些制度或办法,按制度管理的规则统一进行编制、实施和考核。


5.GRC管理体系中的流程,是九个要素之中唯一一个需要分别进行处置的要素。这是因为流程,本质是风险管控措施的执行,在合规、内控、风险管理等过程中表现的主要特点完全不一样,无法进行“一体化”。也正是因为这一点,合规、内控、风险管理的职能才得以持续独立,不至于因为这个“统筹”或“一体化”过程而趋于消失。合规流程,侧重于要求和监督;内控流程,侧重于制约和控制;风险管理流程,侧重于判断和权衡。这几者的流程的特点,是很不一样的,其各自手段也是迥异的。


6.GRC管理体系中的绩效,是指包括合规、内控、风险管理等均涉及的评价、考核、监督、调查、追责、改进等在内的所有工作事项。绩效是形成体系运行闭环的必不可少的组成,它是对合规、内控、风险管理制度与流程执行的反馈,也是不断驱使过程管理走向目标的重要手段。绩效评价,在GRC管理体系中,建议统一进行。


7.GRC管理体系中的企业文化,指围绕风险、合规、职业道德、社会责任等而统一开展的文化设计与宣传实施的工作事项。OCEG认为文化在GRC体系中居于中心的地位。在内部控制整合框架和风险管理框架中,也都存在关于企业文化的内容。合规、内控、风险管理从不同方面强化了企业文化,而企业文化也为GRC管理体系提供良好的土壤。


8.GRC管理体系中的信息与沟通,综合了合规管理、内部控制、风险管理的共同要素。信息与沟通,在任何管理体系中,都是必不可少的。实现该信息要素的统一,最佳方式是建立一套打通的合规、内控、风险一体化管理信息系统。沟通要素的整合,要注意沟通机制的设计,特别是承认存在大量的非正式沟通,有助于整合体系的绩效提升。


9.GRC管理体系中的外部情境,包括外部宏观环境和利益相关者的期望及要求,这个要素在合规管理、内部控制、风险管理的整合中,可谓能形成天然的“统一”。因为一个企业,特定时空下,只能处于一种特定宏观环境下以及只面对同一类利益相关者。合规、内控、风险管理单个体系在分析外部情境时,本来分析的即是同一的外部情境。只是,外部情境分析在内部控制、风险管理的原框架中,可能处在不同的要素之中。


以上是本文作者对治理风险与合规(GRC)管理体系的一般介绍,将另行撰文讲述GRC管理体系的构建、运行与评价等。


参考文献:


[1]《有原则绩效之路——GRC理论与实践初探》,北京慧点科技有限公司编著,清华大学出版社2016年版。


[2]《治理风险与合规——统一治理框架下的风险管理、内部控制和合规管理》,陈飞泉,中国经济出版社2021年版。


[3]《组织》,【美】詹姆斯 G.马奇、赫伯特 A.西蒙,邵冲译,机械工业出版社2021年版。


或许您还想看


陶光辉:未来5年国企法务管理趋势


陶光辉:企业全面合规管理时代已来


陶光辉:《中央企业合规管理办法(公开征求意见稿)》的九大亮点及五条建议


作者简介


陶光辉


北京德和衡律师事务所高级合伙人、北京大学全球高端法商人才计划未来领袖授课专家,大连大学法学院客座教授等


职业资格:律师,仲裁员,高级经济师,同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。


职业经历:武汉大学法学硕士,前后18年企业法律工作经验。其中,8年企业法务经历,曾任中国100强集团法务总监,获ALB2016中国最佳企业总法律顾问称号;3年法律创业经历,系知名法务教育平台(一法网)的创始人;7年执业律师经历。


学术成果:著有《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)、《合规管理十论》(内部出版)。在合规管理体系建设领域,陶律师创建“DHH合规内控风险一体化建设五环模型”。


服务客户:中广核新能源、中国新时代、中国纸业、中交规院、河钢集团、泰康健投、京煤集团、长城汽车、北京供销社、北京昌平国资委、北京建工、北京地铁、上海企业法律顾问协会、上海铁路局、上海杨浦国资委、青岛地铁、青岛港、国网江西电力、桂林交投、深圳投资控股、深圳航空、聊城信发、甘肃地矿、北京大学法学院、中国政法大学网络学院、上海海关学院、北京联合大学法学院等。


手机:18201002170

邮箱:taoguanghui@deheheng.com


湖南著名律师事务所 (http://www.mylsfw.com/falvzixun)提供邵阳市刑事刑法24小时律师电话微信,提供免费在线咨询。


标签:

部分文章来源于网络,无法查证出处,我们只做学习使用,如不同意收录请联系网站马上删除。

回到顶部