918博天娱乐官网咨询在服务过大量法律、合规、风险、内控咨询项目经验基础上,创新设计了“大风控”管理体系建设的前沿方法论——“918博天娱乐官网四位一体融合模型”。
“十五五”期间,918博天娱乐官网咨询预判法律、合规、风险、内控四位一体的“大风控”管理体系还将进一步推进管理目标、组织架构、工作流程和保障体系等四方面融合。
一、政策背景:多职能整合趋势明显,为企业内业减负
近年来,全面风险管理相关概念,包括风险管理、内部控制、合规管理、法律事务管理等逐渐成为国有企业的常态化治理要求,融入到企业的日常管理和长期发展战略中,然而在实践中,多项管控职能的频繁介入反而增加了部分企业的内业压力,尤其是对业务部门的生产效率,有时甚至会起到适得其反的效果。因此,近些年,国务院国资委不断探索风险管理、内部控制、合规管理、法律事务管理一体化融合的方法和路径。
《中央企业全面风险管理指引》(国资发改革〔2006〕108号)中最早提出了“风险管理与内部控制融合”、“内控方案符合合规要求”的概念,为四位一体融合提供了理论依据。《关于全面推进法治央企建设的意见》(国资发法规〔2015〕166号)中提出了合规与法律事务管理相结合的要求,并明确提出“探索建设法律、合规、风险、内控一体化管理平台”,这也是一体化概念的初次出现。
近年来国资委对融合的要求逐步提高,《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2020〕307号)中提到“深化制度整合优化,针对内控、风险管理、合规管理监督制度各行其是、各说各话、不能有效发挥统一管控作用等问题,建立以内控体系建设与监督制度为统领,各项具体操作规范为支撑的‘1+N’内控制度体系”。《关于做好2023年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅监督〔2023〕8号)中进一步提到“将内控、风险和合规管理监督职责整合优化情况,内控职能部门与各业务部门协同配合及履职情况等列入中央企业内控体系建设年度工作报告中”,将四位一体建设明确列入央企的考核指标之中。
二、融合基础:四大角度具备趋同性
根据政策文件及实践经验,对“法律、合规、风险、内控”各自体系框架进行分析,可以发现四者的整体结构和部分要素相似,具备融合基础。
01、目标及功能趋同
四个体系都是公司依法治企建设的重要内容和组成方面,都以风险的有效防控为总体目标。其中风险为导向,法务、合规是重点,内控是重要基础和有效保障,内控与风险、合规与法务趋同性更强。四个体系各有侧重,相辅相成,共同推进和保障公司依法治企建设。
02、组织体系趋同
法务、合规、风险、内控四个体系在第一责任人、治理机构、专门委员会、审计监督、其他职能与业务部门日常管理职责、分子公司组织体系等方面具有趋同的要求和规定。
四个体系的管理统筹部门都是职能管理部门,为业务部门与经营活动提供支持、进行监督,都需要将管理要求和节点融入业务流程。
03、制度流程趋同
在制度体系上,四个体系基于各自职责而存在差异,但在风险识别、风险评估、风险控制、考核和监督、宣传和培训、计划与报告、管理信息系统、文化建设等方面的制度流程方面存在趋同性。
04、运作方式趋同
四个体系管理的流程和环节都包括重大事项审查、审计和监督、考核与评价、宣传和培训、管理计划与报告、管理信息系统等,运作方式具有趋同性。
总体来看,“法律、合规、风险、内控”四个体系在目标及功能、组织体系、制度流程、运作方式上均具有高度趋同性,因此,开展“四位一体”协同整合具备充分的基础条件。
然而“法律、合规、风险、内控”仍具有不同的概念侧重,在“四位一体”融合过程中,要充分考虑到彼此间的差异性,对于独特性较强的流程环节实施差异化管控。
如法律事务管理侧重于法律审查和处置、维护公司利益;合规管理侧重于执行的规范管理,防止违规操作;内部控制侧重于运营执行保障、关键节点控制;风险管理侧重于全面视角,包括系统性和操作性风险的管控。
三、“四位一体”融合思路:一个整体融合思路,四大融合机制
01、整体融合思路
在法律、合规、风险、内控“四位一体”融合建设与实施过程中,918博天娱乐官网咨询设计了“大风控”管理体系建设的前沿方法论——“918博天娱乐官网四位一体融合模型”,对“大风控”流程的核心环节针对性地进行一体化或差异化管理,其核心理念是:针对“四位一体”中相似的流程环节进行一体化运作;针对“四位一体”中针对性较高的流程环节差异化管理。
该模型的核心优势是在大幅提升管理效率的同时,保持条线专业性,同时符合国资委的相关监管要求;但模型对于企业管理提出了更高要求,需要设置专门的部门针对“法律、合规、风险、内控”进行统筹管控,对企业管理能力和人员专业性要求会相应提高。
918博天娱乐官网四位一体融合模型简述
02、四大融合机制之一:管理目标融合
“四位一体”建设基础是风险管理、内部控制、合规管理和法务管理的管理目标有较高的相似性。
风险管理的核心管理目标是规避未来的不确定性对公司实现经营目标的影响;内部控制的核心管理目标是合理保证公司的经营管理,提高经营效率和效果,促进实现发展战略;合规管理的核心管理目标是以公司和员工经营管理行为为对象,有效防控合规风险;法务管理的核心管理目标是保障重大决策、重要项目材料的合法合规,提供法律支持,提出法律风险防范的意见和建议。
综合法律、合规、风险、内控的管理目标,通过梳理可以形成“四位一体”建设的总体目标如下:
1. 确保经营管理合法合规,提高风险防控能力。
2. 提高经营效率,达成战略目标。
3. 履行社会责任。
4. 培养风险防控文化。
03、四大融合机制之二:组织架构融合
在“四位一体”组织架构融合过程中,基于风险、内控、合规管理的传统“三道防线”组织架构,引入最新的“三线模型”理论,进一步完善“四位一体”全面风险管理过程中各部门的职责分工,有效落实企业全面风险管理的关键意图和职责,为企业各项业务经营保驾护航;同时,为全面风险管理职能的持续优化和完善奠定良好的基础框架。
国际内审协会(IIA)2020年发布的“三线模型”
在明确厘清“三线”分工的基础上,坚持“价值导向、立足现状、重点管控、良好开局”四大总体原则,以及“平衡发展的前瞻性和现实可操作性”、“平衡整体一致性和局部特殊性”、“平衡管控意图与经营效率”的“三大平衡”基本原则,实现组织架构的充分有效融合。
04、四大融合机制之三:工作流程融合
工作流程融合的整体融合思路为:梳理法律、合规、风险、内控管理的各自的流程,对相似的流程进行一体化运作,具备差异化的流程通过插入式、吸纳式、并行式三种方式进行融合,最终形成融合后的“四位一体”工作流程。
法律、合规、风险、内控流程梳理整合一览
融合后的“四位一体”工作流程总览
05、四大融合机制之四:保障体系融合
1. 制度流程文件融合
建立“1+N”全面风险防控制度体系,完善制度、风险信息、流程等内容。
(1)基本制度
“1”:一套整体制度,以《“四位一体”全面风险管理手册》为总体引领,既是全面风险管理的顶层设计,又包含法律、合规、风险、内控的共通部分内容。
“N”:《内部控制手册》《合规管理办法》《法务管理制度》等制度为配套,包括各个职能独立内容和相关具体细则。
(2)风险信息库/数据库
“1”:一套信息库,以《“四位一体”管理信息库》为核心,梳理包括风险管理、内部控制、合规管理和法务管理的一体化风险防控清单,为实际开展“四位一体”风险管理工作提供基础性参考。
“N”:针对风险管理中达到十大风险、关键合规领域可单独制定清单。
(3)流程体系
“1”:以工作流程融合为基础,以聚焦关键事项、服务重点业务为原则,依托关键业务流程进行相应的风险点和控制点标注,并将识别出的关键防控事项标注在业务流程内,制定完善的《全面风险管理流程》。
“N”:针对重要领域和关键流程独立设置对应的管理流程手册。
2. 其他保障体系融合
在监督检查、激励约束、资源保障、信息化系统建设、文化建设等多维度保障“四位一体”体系的建设和运行。
(1)监督检查、激励约束
按照集中、分层、分类的原则,加强对重大、重要风险、重点单位、重要业务的管理;建立有效的“四位一体”综合考核评价机制,纳入各级领导干部的年度绩效考核,制定相应的奖励或惩罚措施。
(2)资源保障、信息支撑
加强人才队伍建设,培养一批真正掌握“四位一体”管理技术和方法的专业化团队;将全面风险管理经费列入预算管理;打造“四位一体”一体化管理平台,逐步实现管控规范化、信息化、智能化、数字化。
(3)文化培育、根植理念
将全面风险防控文化融入企业文化建设和日常管理行为,营造“人人有责、共同防范”的良好氛围;提高全体员工风险意识,增强风险防控的主动性。