什么是“内控”、“合规”及“全面风险”?
1、内部控制:根据财政部、证监会、审计署、银监会、保监会关于印发《企业内部控制基本规范》的通知的规定,内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
2、合规:根据国资委关于印发《中央企业合规管理指引(试行)》的通知的规定,合规,是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。
3、全面风险:根据《中央企业全面风险管理指引》中定义的全面风险管理,是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
内控、合规、全面风险的主要法律依据是什么?
1、《中央企业全面风险管理指引》
2006年6月,国资委发布了《中央企业全面风险管理指引》,要求企业开展全面风险管理工作,注重防范和控制风险造成的损失和危害,通过有效的风险管理,为企业创造价值,促进经营目标的实现。《中央企业全面风险管理指引》中对风险的分类是把风险分为战略风险、财务风险、市场风险、运营风险和法律风险。
(1)战略风险是指不确定因素对企业实现战略发展目标和实施发展规划的影响。为减少这些影响,企业要结合市场情况保持企业的核心竞争优势,选择合适的产品组合,抓住发展机会,规避市场损失等方面的风险因素。
(2)财务风险包括利率和汇率的变动、原材料或产品价格波动、信用政策等不确定因素对企业现金流的影响,以及公司在理财方面的行为对企业财务目标的影响。
(3)市场风险是指未来市场价格(利率、汇率、股票价格和商品价格)的不确定性对企业实现其既定目标的影响。市场风险可以分为利率风险、汇率风险、股票价格风险和商品价格风险,这些市场因素可能直接对企业产生影响,也可能是通过对其竞争者、供应商或者消费者间接对企业产生影响。
(4)运营风险是指包括供应链的管理、运营资源的合理调配、关键人员的流动、法律合规、监督检查等涉及公司运营方面的不确定性因素对公司运营目标方面的影响。
(5)法律风险是指不同国家或地区法律法规环境的差异性、具体法律法规的新制定和变更给企业带来的影响。
2、《企业内部控制基本规范及配套指引》
为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,中央财政部等五部委于2008年正式印发了《企业内部控制基本规范》,明确了企业内部控制建设与实施应该遵循的基本原则和总体要求,确立了我国企业建立和实施内部控制的基础框架。2010年,五部委进一步发布了《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》三大《企业内部控制基本规范》配套指引文件,明确了在开展企业内部控制流程体系建设、评价以及审计工作的具体规范标准与要求。
对于企业具体内控评价工作而言,《企业内部控制基本规范及配套指引》从内控框架、业务流程、评价程序三个层面提出了规范性要求。
3、《中央企业合规管理指引》
2018年11月,国资委印发《中央企业合规管理指引(试行)》,当中对中央企业合规管理职责、合规管理重点、合规管理运行、合规管理保障等方面进行了明确规范。其核心内容包括如下方面:
(1)确定合规范围及相关定义。合规的范围包括法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。同时,明确了合规风险、合规管理的定义。
(2)建立健全合规管理体系。按照全面覆盖、强化责任、协同联动、客观独立的原则,将合规要求覆盖各业务领域、各部门和全体员工,合规管理牵头部门独立履行职责,同时,合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接,确保合规管理体系有效运行。
(3)设立合规管理机构,强化合规管理职责。进一步明确董事会、监事会、经理层的合规管理职责;设立合规委员会、合规管理负责人和合规管理牵头部门,负责指导、组织、协调和监督合规管理工作;各业务部门负责本领域的日常合规管理职责,监察、审计、法律、内控等相关部门在职权范围内履行合规管理职责。
(4)突出合规管理的重点领域、重点环节、重点人员。中央企业应当结合自身实际,突出合规管理重点。其中,重点领域包括市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴、海外投资经营等。同时,合规管理应当覆盖制度制定、经营决策、生产运营等重点环节,并针对管理人员、重要风险岗位人员、海外人员等重点人员加强管理。
(5)明确合规管理运行和保障的具体要求。规范合规管理运行,建立健全合规管理制度,建立风险识别、应对、审查、违规问责、管理评估等机制。加强合规管理保障,在考核评价、信息化建设、队伍建设、合规培训、合规文化等方面,为合规管理工作提供支持。
内控、合规、风险管理三大体系融合的目标与方式
1、为什么要融合?
风险、内控、合规管理三套体系在国有企业的应用推广,源于中国监管机构相关政策,包括2006年的《中央企业全面风险管理指引》、2012年的《关于加快构建中央企业内部控制体系有关事项的通知》、2018年的《中央企业合规管理指引(试行)》的强大牵引。
在过去的十几年里,先后出台的三套体系指引对国有企业防控化解重大风险、维护合法合规经营提供了系统的理论参照,也为夯实企业基础管理,实现高质量发展提供了普遍的控制对标。但在具体的企业实践过程中,也出现了一系列亟需国资国企共同关注和研究解决的现实问题,包括:风险、内控、合规概念、内涵、边界不清;三套体系各行其道、壁垒森严;体系成果浮于表面;管理效率低,投入产出不成正比等。
国有企业一边面对外部监管趋严的合规压力,一边又面对风控管理手段“过剩”带来的烦恼,迫切需要根据国资最新监管要求,对风险、内控、合规管理体系的关系作出厘清和调整,促进管理手段和工具升级。
在上述背景下,2019年11月,国务院国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》(国资发监督规〔2019〕101号,以下简称“《实施意见》”)。随后,国务院国资委于2019年12月下发《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》(国资厅发监督〔2019〕44号,以下简称“《通知》”)。
2、融合的目标是什么?
《通知》明确提出内控、合规、风险管理体系的整合要求:各中央企业要以“强内控、防风险、促合规”为融合的目标。
3、怎么融合?
根据《实施意见》的要求,建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系。即以“内控作为”统一的体系,将全面风险管理及合规管理的内容融入其中。
