众所周知,企业面临的内、外部环境不断变化,这些变化为企业带来机遇的同时,又带来了风险,企业需要把握机遇、规避风险,因此风险管理、内部控制、合规监管应运而生。然而结合部分企业既有风控部、合规部、法务部、内审部等部门这一现象,企业对三者概念的理解与适用,不免有所重叠。本文将对上述三者进行研究,希望对你有所帮助。
文 | 冼星华 许俊星 华商律师事务所
本文由作者向新则独家供稿
企业合规命题复杂、多样。风险管理、内部控制及合规监管之间的概念差异、关系对照更甚。目前,尚未形成较大范围的共识。
自2006年6月,国务院国有资产监督管理委员会(简称“国资委”)出台《中央企业全面风险管理指引》后,三者频繁出现在中共中央、中央政府及相关部门所发布的规章或规范性文件中,拟对央企、国企或中大型民营企业运营管理进行顶层设计。然而,结合部分企业既有风控部、合规部、法务部、内审部等部门这一现象,企业对三者概念的理解与适用,不免有所重叠。除企业历史局限性外,似是而非的关联性,加上功能、目的雷同,导致企业未及时整合资源,陷入部门、人员冗余、运行乏力等协同不一的局面,削弱各自功用。2022年,正值“国企改革三年行动方案统一部署”最后一年,对上述三者进行研究,并不算晚,故借题发挥。阶段更迭:全面风险管理、内控体系、合规监管到“强内控、防风险、促合规”统一追溯上述三者概念、关系,不得不从历年文件定义与体系逻辑中展开。本文发现,针对企业引导与规范,三者出现时间顺序较为清晰,表现为:先提出风险管理,再提倡内部控制,后展开合规监管,最后融合处理(见图1-1)。1. 全面风险管理阶段:构建全面风险管理体系(2006-2008)2006年6月,国资委发布《中央企业全面风险管理指引》(国资发改革〔2006〕108号),标志着作为国有经济支柱的央企率先进入全面风险管理时代。针对企业管理各环节,指引强调必须执行风险管理基本流程,培养良好风险管理文化,构建健全、全面风险管理体系,并从风险管理策略、风险理财措施、风险组织职能体系、风险信息系统和风险管理解决方案(即内控措施)切入,对企业管理提出宏观性、系统性要求。同时,指引罗列五种风险类型,包括战略风险、财务风险、市场风险、运营风险、法律风险(见图表1-2),并以是否可能为企业带来盈利或机会作为判断依据,明确纯粹风险(只会带来损失的一种可能性)与机会风险(损失与盈利并存)两种风险概念。
图表1-2 2020年度中央企业风险分类参考标准[1]针对企业内、外部风险进行辨识、分析、评价,可视为是后续央企进行内控体系构建、优化、实现合规监管的基础条件。此阶段,国资委虽在“风险管理解决方案”中提出内控措施,但对于内部控制体系构建、优化,尚不属于中心话题。反观培养企业就风险收集、评估、管理并解决的能力才是关键。
2. 强化内控阶段:加强、优化内部控制体系建设(2009-2014)2009年7月,财政部联同证监会、审计署、银监会、保监会(后二机构已合并为银保监会)印发《企业内部控制基本规范》(财会〔2008〕7号),基本确立了央企、国企“强内控”基调。至此,有别于仅在针对性解决特定风险的内控措施,企业必须结合内部环境、风险评估、控制活动、信息与沟通、内部监督五大要素,构建内部控制体系,进入常态化企业规程管控时期。两者在逻辑上存在本质差异:在全面风险管理阶段,内控措施等同于问题解决终端,意在对企业全面风险诊断后,及时提出针对性解决方案,为风险而内控,即呈现“先风险评估,后内控解决”的模式。而在内部控制体系构建阶段,内部控制本质意义在于推动企业内、外部常态化运转,抑制一切风险突发,是“以内控,防风险”的思维。此时,企业不再是传统的“先诊后治”的思路,反而存在“要我内控”向“我要内控”转化的端倪。在前一文件的基础上,2010年4月,财政部再次联同上述四部门印发《企业内部控制配套指引通知》( 财会〔2010〕11号),针对企业开展多层制度、机制、程序、流程构想,涵盖了组织架构、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统领域。事无巨细,似乎详实到没有任何管理经验的员工都能掌握企业内部控制的“密码”。2012年5月,国资委与财政部联合发布《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价〔2012〕68号),进一步强化内部控制体系构建路径,分别提出“全面启动内控建设与实施”“建立健全内控体系,全面梳理各类业务流程”“确保内部控制有效执行”“促进内部控制持续改进与优化”思路,进一步强化内部控制的重要意义。3. 企业合规初阶:提倡法律合规,合规纳入考核(2015-2018)2015年8月,中共中央、国务院发表《中共中央国务院关于深化国有企业改革指导意见》(中发[2015]22号),明确将“发挥企业总法律顾问在经营管理中的法律审核把关作用,推进企业依法经营、合规管理”。合规第一次在银行或金融机构监管政策范畴外,被中央、国家政府所提倡,并面向各类型央企、国企。但此时,对于合规监管仍只是法律层面的提法,暂未见诸于行业标准、合同或者政策监管层面。同时,亦不涉及海外合规问题。同年12月,国资委印发《关于全面推进法治央企建设的意见》(国资发法规〔2015〕166号),“将合规经营等依法治企情况纳入对中央企业领导人员的考核体系”。这对普及合规工作与意识的重要性不言而喻,考虑到国情,但凡纳入考核,已不是随口说说而已。2017年12月,国家质量监督检验检疫总局、国家标准化管理委员会共同编制《合规管理体系指南》[2],其中引言处提到“合规意味着组织遵守了适用的法律法规及监管规定,也遵守了相关标准、合同、有效治理原则或道德准则。若不合规,组织可能遭受法律制裁、监管处罚、重大财产损失和声誉损失,由此造成的风险,即为合规风险”。与此同时,指南第7.2条“建立控制和程序”已提到,“采取有效的控制措施确保满足合规义务,能够预防或发现不合规事件并纠正。充分⽽严格地设计各类、各层次的控制措施,以促进组织的活动和运⾏环境,实现合规义务。在合理的情况下,这些控制措施宜植⼊常规的组织过程”。关于合规监管依赖于内部控制的路径早有端倪。4. “强内控、防风险、促合规”阶段:全面融合内部控制体系(2019年-至今)不过,即便是国内已出现企业合规基本要求,但“合规”二字却是在境外贸易合规社会背景下强势出圈(可参见君册原创《解读刑事合规第三方监管评估机制》,载于君册法律专栏)。中国企业遭受境外合规冲击,在一定程度上推动风险管理、内部控制及合规监管进一步融合,并以“强内控、防风险、促合规”作为终极目标。针对中兴事件、孟晚舟事件,2018年11月,国资委发布《中央企业合规管理指引(试行)》(国资发法规〔2018〕106号),标志着央企合规经营管理建设正式进入下半场,应实现全面性、规范化、日常化合规监管体系。重点领域包括:市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴。同时,文件还强调企业从事境外投资经营时,应深入研究当地法律法规及规则,掌握海外投资经营红线,重视海外合规论证和尽职调查,对于“三重一大”[3]谨慎处理,及时报告等。这是中国企业国际化后不得不面临的挑战。2018年12月,发改委等七部门火速出台《企业境外经营合规管理指引》,国内外合规较量暗潮汹涌。2019年10月,国资委发布《中央企业合规管理指引》(国资发监督规〔2019〕101号),提出所谓“强内控、防风险、促合规”目标,并基于“国企改革三年行动方案统一部署”计划,依次发布《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2019〕 44 号)《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2020〕 307 号)《关于做好2022年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2021〕 299号),正式宣告“强内控、防风险、促合规”全面融合的内部控制体系时代到来。本文看来,公司法人除了公司法意义上管理自治外,更多时候,合法合规评价更为关键。为实现这一控制目标,企业不得不面对特定语境下的价值追求。不论是“全面风险管理”“内部控制”“合规监管”抑或者是“强内控、防风险、促合规”下的全面内控,都是特定社会背景下的产物。“风险管理”指企业围绕总体经营目标,通过企业管理各环节和经营,执行风险管理基本流程,培育良好风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证【见《中央企业全面风险管理指引》(国资发改革〔2006〕108号)】。“内部控制”是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程【见《企业内部控制基本规范》(财会〔2008〕7号)】。“合规管理”是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动【见《中央企业合规管理指引(试行)》(国资发法规〔2018〕106号)】。通过历年文件对企业经营管理目标实现的不同提法,可发现三者存在关联(见表格2-1)。
1. 风险是企业内、外部综合问题组。具体审查风险时,企业不仅应审视外部、不可预估风险因素。同时,需要仔细考察内部操作层面风险。《中央企业全面风险管理指引》(国资发改革〔2006〕108号)所列五种风险中财务风险与运营风险,即所谓内在风险,实则追问企业是否严格依照规则、章程经营管理,而非执行“人治管理”。这为后续提倡内部控制埋下伏笔。按照上述文件说法,风险分为机会风险与纯粹风险。当出现纯风险,任何目标或策划,将不至于产生执行牵引力。但若风险包含投机性回报,风险处理将存在较大难度。机会风险更符合企业逐利过程中常见风险样态,反观纯粹风险少之又少,且在本文看来,不具有探讨意义。此时,企业需要对风险进行全面辨识,后分析与评价,再根据企业风险偏好、风险承受程度、内部标准、风险管理处理能力等一系列因素,决定企业行为可取性。这一整套风险管理流程并不排除内部控制的旨趣。正如前文所述,上述文件提出诸多内部调整、策划、执行流程与措施。这一设计虽只是“由外而内”,不得以选择,不完全触及内部控制体系建设,但为全面构建内部控制体系提供前期基础。实际上,风险管理与内部控制遥相呼应。2. 在发现风险、评估风险、解决风险路径下,企业经营管理会产生相应改制或优化的效果。但问题视角的风险查办方式,与现代企业治理、管理精神相违背,无法解决企业系统性风险问题。对此,自《企业内部控制基本规范》(财会〔2008〕7号)出台后,针对企业经营管理体系建设开始转变说法,强调全面内部控制作用。内部控制,表现为对相关法律法规、政策、规则解读,或对风险进行识别评估,将规范化、流程化的程序嵌入进企业整体运转各个环节,以避免人为因素侵害企业,实现从“人治文化”向“流程化管理”变革的过程。内部控制五大要素,包括:内部环境、风险评估、控制活动、信息与沟通、内部监督,即企业内控闭环思路(见图2-1)。企业需在自身固有的特色图谱中,通过差异性解读、对风险展开评估,再针对性进行内部控制。进行内部控制时,除体系、制度及流程设计与职能分工外,对信息沟通交流维护同样关键,最后,辅之以内部监督,形成一个完整的常态化、流线型行动语言。内部控制追求循环、可持续的企业经营管理生态,而非针对部分爆发或潜在问题采取行动方案予以解决。
在本文看来,内部控制好比假山流水景观设计与落地,问题关键往往不在于图稿设计(制度、章程)美观与否,而在于尽快解决假山、假草、水池、鱼等诸要素衔接性问题,以确保整个系统自发、稳定、可循环运转,并堵住漏洞,相当于在所谓的内部控制“设计缺陷”与“运行缺陷”两者之间往返、修改,直至找到最佳状态。这样看来,风险管理系为内部控制提出常青、常新的运营规则和程序,通过不断的风险反馈、监测,审视设计缺陷与运行缺陷。两者主次关系不言而喻,可以说,风险管理不仅为内部控制提供基础,同时使其不断完善,科学。3. 根据图1-1《2020年中央企业内部控制体系建设与监督工作有关事项》附件2知,合规风险系法律风险中最为基本、最严格部分。但针对合规监管却与风险管理不属于所谓种类之包含与被包含关系,反倒,合规监管需要包含对于整个风险管理与内部控制的基本严格审查,系二者更为核心的提法。合规监管,不局限于法律法规层面问题,还包括对规章制度、基本手册(内部层面)及行业规范、标准、行业监管体系(外部)的符合与适用,是由外向内的自我审视与问题发现的过程,强调动态性的“外规内化”。本质上,实现合规监管根本落脚点仍在于内部控制体系构建、优化。自2019年《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规〔2019〕101号)发布并提出“强内控、防风险、促合规”的内部控制体系建设后,国资委便开展“国企改革三年行动方案统一部署”,每年发布《中央企业内部控制体系建设与监督工作有关事项的通知》(简称“《央企内控通知》”),对企业内部控制体系建设与监督提出新指引。不过,关于“强内控、防风险、促合规”三者全面融合问题,仍属于较大的实务难题。综上,风险管理需要面临最为严格合规监管问题,二者共同指向内部控制,三者相辅相成。而关于全面风险管理、全面内部控制,再到“强内控、防风险、促合规”全面融合内部控制阶段,不外乎是企业合规1.0、2.0、3.0的说法。自《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规〔2019〕101号)提出“强内控、防风险、促合规”后,国资委根据“国企改革三年行动方案统一部署”计划,在2020-2022年间连续发布《央企内控通知》(见表格1-2),对央企、国企企业合规内控建设与监督均有新要求。如果单独对“强内控、防风险、促合规”这一结构进行拆分,有多重解读:(1)强内控是手段,防风险、促合规是强内控之后所产生的直接效果;(2)强内控、防风险、促合规同为手段或目的,属同一位阶、方向提法,既要实现强内控评价、又要得到防风险、促合规效果,这直接涉及对三种价值体系下设操作规则、流程、程序相互融合问题,以降低机制混乱、人员冗余、执行缓慢、监督不到位等问题;(3)强内控与防风险均为手段或途径,只有促合规才是最终目的,企业只需整合强内控与防风险二者之间的冲突。显然,按照意见与通知的精神,“强内控、防风险、促合规”属于价值目标,属于第二种解读。照此思路,如何实现融合,在一定程度上属于体系主次分配问题。据图3-1知,三年间国资委针对内部控制建设着重强调“内控体系”“风险监测”(对应“风险评估”要素)“信息管控”(对应“信息与沟通”要素)“强化监督”(对应“内部监督”要素)间的共性问题,与内部控制五大要素基本重合。2021年,新增重点加强境外管控,并在2022年提出内控执行专项整治。不难看出,在融合问题上,第一要义需重点把握内部控制体系构建与优化,再分别纳入风险监测与合规监管压力所反馈的直接或间接信息,从而实现三者融合。对此,2021年《央企内控通知》明确,针对风险管理、内部控制、合规监管三者“各行其是”问题,应“建立以内控体系建设与监督制度为统领,各项具体操作规范为支撑的‘1+N’体系,同时,需对内控缺陷认定标准、风险评估标准及合规评价标准进行定性、定量上的处理”。照此说法,央企或国企不妨统一形成以内控部为首,适当增配风控组、合规组等分支组织架构。显然,加强内控部主导作用,将风险管理、合规监管全程贯穿于全面内部控制体系,更符合国资委文件精神与提法。对此,为方便理解,本文以大型基建项目总承包工程分工为例,制定如上表格(见表格3-2),厘清风险管理、内部控制及合规监管关系及负责领域,进而实现有机融合与配合。通过图表3-2可知,项目工程在对象甄选、招投标、合同签署、合同交办、履行管理、结算支付、合同终止、建档归档各阶段,宜建立在全面内部控制管理体系之中,有效确保业务行为保持于合理可控且日常压力承受范围;与此同时,对于履行过程中,突发意外、风险波动或法规政策剧变,应提前引入风险评估与合规监管思维与手段,预判趋势、降低外部压力,并不断促成“N+1”规则,完善内部控制体系,从而实现全面融合内部控制体系。借陈瑞华教授语,“企业合规是企业自我监督、自我管理、自我整改的一种公司治理方式”。但在企业治理过程中,对于合规的追求,既需要上述概念及框架的有力支撑,同时,需要差异化的经验,反复求证,只有如此,才可实现全面融合内部控制体系,企业也才算是真正意义上的合规企业。
[1] 摘自《2020年中央企业内部控制体系建设与监督⼯作有关事项》的通知 附件2[2]《合规管理体系指南》GB/T 35770-2017,翻译自Compliance management systems—Guidelines,ISO 19600:2014[3] 重大决策、重要人事任免、重大项目安排和大额度资金运作,见《中共中央办公厅、国务院办公厅印发关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》中办发[2010]17号
# 大鱼聊天室 #
3月27日(周日)晚上8点,大鱼聊天室邀请到北京浩天律师事务所全国董事局主席、管理合伙人蒋琪,一起聊聊“什么才是有品质的律所发展”。直播不可回放,欢迎扫码关注新则视频号,预约直播。
↓↓↓