|
作者:陶光辉 来源:法务人俱乐部 关于合规管理、内部控制和风险管理等的协调或统筹问题,由来已久。早在2015年国资委印发的《关于全面推进法治央企建设的意见》中,就提出“探索建立法律、合规、风险、内控一体化管理平台”。2019年,国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》,进一步提出“强内控、防风险、促合规”。2021年国资委,印发《关于进一步深化法治央企建设的意见》,则提出“探索构建法律、合规、内控、风险管理协同运作机制,加强统筹协调,提高管理效能”。 从第一次正式提出的“探索一体化”,到最新提出的“探索协同运作”,这至少反映了两个问题。第一个是法律、合规、内控、风险管理等的关系处理较为棘手,六年下来,一直处于“探索”状态。第二个是四者的关系从“一体化”转变为“协同运作”,这提出了一些信号,也反映了一些实践。 如何处理法律、合规、内控、风险管理的关系,一直是大型企业法务管理、合规管理,包括内部控制等专业领域一个绕不开的难题。本文基于统一治理框架,提供一套相对“统一”的合规管理、内部控制和风险管理整合机制——治理风险合规(GRC)管理体系。  “治理”一词在不同的语境下,有不同的定义。国际内审协会对治理的定义是:“治理是董事会实施的各种流程和框架的组合,用以告知、指导管理和监督组织的活动,以实现组织的目标”。经济合作发展组织(OECD)将治理定义为“公司的管理层及其董事会、股东其他利益相关者之间存在的一种关系。公司治理为目标的确定、目标的实现方式和绩效监督方式提供结构”。 治理是实现企业目标的手段,它是一个体系或一种组合。每一企业都需要治理,企业是借助治理体系来满足利益相关者的需求,并通过产品和服务来创造价值的。价值反映了效益、风险与资源之间的平衡,企业需要可行的治理系统来实现价值。但是,具体的治理内容,又因企业类型和监管要求的不同而不同。 有效的治理,因为总结了企业的最佳实践和监管的最新要求,是结构化的。结构化有利降低体系的复杂性,提高可理解性,实现精细化管理。治理的这种结构化特点,便促进了可对比、可复制的治理框架的出现。 站在企业运作效率的角度,企业内有且只有“一个”体系,无疑是更加正确的。这就要求有效治理框架把企业的不同管理体系整合起来。即整合到基准的体系之上,这便是统一治理框架。统一治理框架既考虑了基准的治理框架,又不断的把新出现的管理要求、管理措施整合到基准框架之内,优先考虑固有的治理体系能否满足新要求,而非另行组合一套包含人、财、技术及流程等在内的新体系。 当然,即便是基准体系,也应当跟随企业的内外情境的变化而进行变化。统一治理框架本身也应是动态的,在框架的设计、运行、监测和评价过程中,均需根据情境变化而做出适当的调整。 治理框架的设计,取决于企业的价值观,融合了股东和利益相关者的利益考量。从股东角度,治理的主要目标是股东利益最大化,有效的治理框架应重在协调管理层与股东的关系,激励管理层为企业创造更多收益。从利益相关者角度,治理的目标除了增加企业利润以外,还应承担社会责任,遵守良好商业道德,包括但不限于保证员工安全、创造就业、改善环境、减少债权人风险,参与社区活动等。 这说明,一个有效的组织治理框架,特别是作为基准的治理,在实现组织的核心诉求时,必须同时考虑内外部情境。外部情境包括宏观环境因素和利益相关者的期望与要求等,内部情境包括企业的文化、企业内的信息传递、企业的沟通方式等。 因此,作为基准的治理框架,由核心“组件”和环境“组件”两部分构成。核心组件部分,是实现企业核心诉求的组合,具体包括目标、组织、制度、流程和绩效等五个要素。环境组件部分,是实现企业诉求必须同时考虑的因素,具体包括企业文化、信息与沟通、外部情境等三个要素。 基准治理框架,不仅指以上八个要素,而且也同时指这八个要素的相互关系。每一个要素,均有其明确的定位和作用。只有共同发挥其价值,才能产生良好治理的效果。 1.目标,是治理的基础,也是企业开展所有工作的前提。治理框架的设计,应从企业所处发展阶段的各个目标设定开始,考虑实现目标所需的要素和对应的资源投入。目标包括长期目标,即企业的使命和愿景;还有中期目标,即企业的战略;以及短期目标,即企业的年度目标,业务流程目标,以及个人目标。 2.组织,是企业实现目标所需要的合适的人及人的组合。组织要素可包含组织结构、决策机制和胜任力模型三个元素。组织结构是组织成员的合理分工,形成纵向和横向的权责。决策机制确定企业内决策做出的主体、程序、信息与沟通等。例如,风险三道防线,就是一项合理的决策安排。胜任力模型是实现组织权责所需的知识和技能。 3.制度,是规范业务活动、具有持续性和普遍效力的内部文件。制度是以文本的形式,规定企业应做什么,怎么做,由谁做,做的标准是什么,以及做得好和做不好的后果是什么等内容。制度又可进一步分为制度管理制度、流程管理制度和业务管理制度三个元素。制度管理制度,统领企业内所有制度、流程、规范、标准等;流程管理制度针对制度中程序的建立与运行建立规范;各业务管理制度则规定各项业务开展过程涉及的职责、程序、标准、要求等。 4.流程,是将制度的相关规定付诸行动的过程。流程是实现治理目标的具体工作。因为每一项具体工作,是由许多工作任务组成,故通常情况下,一个流程本身是由多个子流程组成的。即流程是分级分层的。第一层级的流程,由战略决策流程、核心业务流程、管理支持流程三部分组成。每一部分,均由若干个二级流程组成,依此类推,最多可达五级。美国生产力和质量中心(APQC)推出的流程分类框架PCF,在流程的分级分类方面可谓典范。 5.绩效,是已设定目标的事实上的实现结果。绩效,可以是企业整体的绩效、部门或个人的绩效,制度和流程执行情况等的绩效。促进绩效达成的一个有效工具,是哈佛大学的卡普兰和诺顿两位教授开发的平衡计分卡。平衡计分卡建议企业从财务、客户、内部流程、学习 与成长四个方面分解目标、建立绩效标准。 6.企业文化,是公司员工的共同价值观、理念和意识。企业文化虽无法看到或触摸,但实际存在于企业成员的行动和工作之中。企业文化会对其他要素产生明显的影响。如企业文化的强弱,会对制度的复杂程度和人际沟通产生很大影响。反过来,其他要素业会影响企业文化的演进。一般认为,企业文化应包括行为准则、经营理念、决策指引、企业形象、社会责任等。 7.信息与沟通,也是治理框架必不可少的要素。企业“应且只能”通过信息和沟通,才能支持各项业务的开展。信息与沟通,也做作为企业内外部要素互动的桥梁,在治理框架中发挥重要的作用。从企业架构角度,信息,可进一步分为数据架构、应用架构和技术架构。沟通,可进一步分为沟通机制、内部报告、外部报告等元素。 8.外部情境,是影响企业实现目标的外部因素,包括宏观环境因素和利益相关者期望与要求。宏观环境因素,又可分为政治、经济、社会、文化、技术、EHS、法律和行业等元素。利益相关者期望与要求,包括政府、监管机构、社会组织、客户、供应商、竞争者、媒体和公众等元素。外部情境,对于企业治理的影响也是非常大的,而且同样是双向的。 治理框架图  基准治理框架统一且细化了管理的要素,并指出了管理的过程。这个框架不仅适用于企业的整体管理,也适用于企业的部门管理或某项业务流程的管理。合规管理、内部控制、风险管理作为企业的某种管理,不管是否存在一些第三方智力组织,甚至是基于法规规定,所提示的“标准或框架”,都应与上述基准治理框架相符合。 这里包含二层意思。一是,合规管理、内部控制、风险管理应建立现有的管理实践之上,运用现有的管理资源,而非另起炉灶。二是,合规管理、内部控制、风险管理等相关管理,不应该与基准治理框架相冲突,应在基准治理框架之下进行操作。简言之,基准治理框架可看作是合规管理体系、内部控制框架、风险管理系统的“上位法”。 也就是说,合规、内控、风险管理等整合的一个最佳思路,应该是将这几者整合进基准治理框架之内。当前理论和实践中出现的一些“合规内控风险一体化”、“法律合规内控风险协同运作” 等思路,其实都没有站在这种企业整体管理角度,没有去寻找这几者的“上位法”,其 “整合”效果则可想而知。 合规管理、内部控制、风险管理的整合,不是要素的整合,而是体系的整合,且是二级体系向一级体系的“靠拢”。即便这些二级体系“出身豪门”、“来自权威”,在整合的实践中,仍应服从上一级管理体系的要求。当然,我们在此不排除有其他的整合或协同思路。例如,本文作者另行开创的“法治管理系统八要素”,可从另一个企业整体角度整合法律、合规、内控、风险管理等。 将合规管理、内部控制、风险管理整合进基准治理框架之后,这个治理框架就因加上了合规、内控、风险管理的内容,而成为一个独特的统一治理框架。为研究方便,我们将其从企业治理体系中抽出,独立形成一个“治理风险合规(Governance Risk & Compliance,GRC)管理体系”(以下简称为“GRC管理体系”)。想强调的是,企业内并非显然存在这个GRC管理体系,它只是在基准治理框架的基础上整合了合规、内控、风险管理体系的一个特别称呼。GRC本身的来源和其他涵义,限于篇幅,在此不述。本文的GRC管理体系,可认为是基准治理框架+风险管理+内控+合规的一个整合体系。即GRC管理体系是将合规管理、内部控制、风险管理等整合起来的一种方式。 合规管理、内部控制、风险管理之所以能整合进基准治理框架,是因为这四者的组成要素有很大的相通之处。在明确其大方向——为企业的发展提供结构化的“控制为主”的职能——趋于一致的前提下,对四者很容易联想到应该进行“整合”。 细言之,治理是在基准治理框架的八个要素下进行的。从目标要素开始,分别需要人(组织)、工作(制度和流程)、成果(绩效)、信息(信息与沟通)、文化(企业文化)、环境(外部情境)等要素的协作,才能完成有效的治理。 观察风险管理的组成要素,以《COSO 企业风险管理—整合战略和绩效》(2017)为例,该框架给出了企业(全面)风险管理应具备治理和文化、战略和目标设定、执行、检查和修正、信息沟通与报告等五个要素。这五个要素同样涉及了环境、文化、目标、工作、信息沟通等,与基准治理框架的大多数要素,内核是相通的。同样,对照国资委2006年印发的《中央企业全面风险管理指引》,也可看到类似的要素组合而成“指引”的框架。前两项指导文件,是实务中最为普遍的全面风险管理操作指南。 观察内部控制的组成要素,以《COSO内部控制整合框架》(2013)为例,该框架给出了企业内部控制应具备控制环境、风险评估、控制活动、信息与沟通、内部监督等五个要素。每个要素下均明确了若干原则,一共17项原则。这些要素和原则,涉及环境、人、目标、工作、信息、绩效等,与基准治理框架的大多数要素,内核也是相通的。同样,对照财政部等2004年颁发的《企业内部控制基本规范》,也可看到类似的要素组合成的“框架”。前两项指导文件,是实务中最为普遍的内部控制操作指南及要求。 观察合规管理的组成要素,以《ISO 37301 合规管理体系要求及使用指南》(2021)为例,该标准给出了组织合规管理应具备的组织环境、领导作用、策划、支持、运行、绩效评价、改进等七个要素。这七个要素涉及环境、文化、人、工作、绩效等,与基准治理框架的大多数要素,内核也是相通的。同样,对照国资委2018年印发的《中央企业合规管理指引(试行)》,也可看到类似的要素组合。前两项指导文件,是实务中最为普遍的合规管理操作指南。 通过对比要素的相通之处,我们清楚的看到了合规管理、内部控制、风险管理整合进基准治理框架的可行性。结合“一个企业只有一个治理体系”的说法,我们也理解了合规管理、内部控制、风险管理整合进基准治理框架的必要性。 治理、风险管理、内部控制、 合规管理要素对比表  合规管理、内部控制、风险管理整合进基准治理框架,即形成本文所述的治理风险合规(GRC)管理体系。这个GRC,并非典型意义上的GRC,即与美国第三方组织——OCEG(开放合规和职业道德团体)提出的GRC,还是存在一定区别的。OCEG GRC有其固定的能力模型和技术解决方案,本文的治理风险合规(GRC)管理体系则是为解决合规、内控、风险管理整合问题而借用了GRC概念及其一定的原则和理念。 在对比了合规管理、内部控制、风险管理与基准治理框架的各自要素的相通之处后,我们基本明确,要将合规管理、内部控制、风险管理进行整合,其实质是用基准治理框架给出的要素和要素之间的关系来统一安排合规管理、内部控制、风险管理等体系性的工作。这种统一的视角,贯穿于体系的设计、实施、运行、监测与评价的全过程。 合规、内控、风险管理的各自要素,不再分别强调,而是要“嵌入”到治理框架的要素之中。在“嵌入”的过程中,我们认为“风险评估”这个要素,对于合规管理、内部控制、风险管理的实际工作,也非常重要。因此,有必要把风险评估作为一个独立的要素,放入整合后的管理体系之中。这样,基于治理框架的合规管理、内部控制、风险管理整合而成的治理风险合规(GRC)管理体系,便是建立在九个要素的基础之上的。 特别强调的是,整合后成为一个体系不表示合规管理、内部控制和风险管理工作消失,而仅表明原来的合规管理体系、内部控制体系、风险管理体系成为GRC管理体系的一部分,合规职能、内控职能,以及风险管理职能仍然是存在的,且相互独立,以满足不同体系的内、外部特定要求。如对外按要求出示一些特定报告,可分别出具。 治理风险合规(GRC)管理体系要素表  治理风险合规(GRC)管理体系由目标、组织、风险评估、制度、流程、绩效、企业文化、信息与沟通、外部情境等九个要素组成。各要素的内涵都很丰富,综合了公司治理、合规管理、内部控制、风险管理的多样实践,同时也糅合了大量的经典管理及组织科学理论。 1.GRC管理体系中的目标,是指整合合规管理、内部控制、风险管理等,也即构建治理风险合规(GRC)管理体系之时,应首先建立一套统一的治理与风险管理目标。这个目标应将战略、业务与风险的平衡,经营效率效果的提升,报告与信息披露的真实,法律法规及道德规范的遵循等均应包含进去。不管是公司战略层,还是业务流程层或者个体岗位层,其目标确定时,均应同时考虑以上的多重目标内容。如发生目标冲突,企业应在其价值观指导下进行决策选择。 2.GRC管理体系中的组织,是指构建GRC管理体系,应将合规、内控、风险管理的组织职责统筹起来,建立一个统一的治理与风险管理组织。例如,全面合规与风险管理委员会。该委员的职责把原来可能分散的法律、合规、内控、风险管理等职责集中起来,交由一个最高的治理机构管辖。当然,这个统一,不是必然的。如企业暂时条件不具备,也可用一种半统一的方式进行过渡。如以一种联席会议的方式,进行统筹。 3.GRC管理体系中的风险评估,指在执行GRC管理制度和流程之前,必须先找出存在的问题和风险。问题和风险是制度及流程实施的前提,不以问题和风险为导向,所进行的管理制度和流程,可能会造成业务与管理两张皮的现象。因此,虽然在标准的基准治理框架中,未把风险评估作为一项独立的要素,仅把风险评估作为制度和流程工作展开的条件,但鉴于风险评估的重要性,本文建议将其作为一项要素。GRC管理体系中的风险评估,应该对全部类型的风险同时进行评估,包括因违反法律法规可能产生的法律合规风险,因内部流程缺陷可能产生的内控风险,因对外界环境变化不敏感产生的战略风险、环境风险等。 4.GRC管理体系中的制度,指将合规、内控、风险管理等相关的制度统一设计、统一编制,同步实施、同时评价。现有的合规管理制度包括合规管理办法、合规行为准则、业务合规操作指引、合规流程管理制度、合规管理手册等。现有的内部控制制度包括资金内控制度、采购内控制度、存货管理内控制度、销售内控制度、工程项目内控制度等。现有的风险管理制度包括风险准则与风险文化办法、风险管理策略管理办法、风险预警与跟踪管理办法等。将这些制度或办法,按制度管理的规则统一进行编制、实施和考核。 5.GRC管理体系中的流程,是九个要素之中唯一一个需要分别进行处置的要素。这是因为流程,本质是风险管控措施的执行,在合规、内控、风险管理等过程中表现的主要特点完全不一样,无法进行“一体化”。也正是因为这一点,合规、内控、风险管理的职能才得以持续独立,不至于因为这个“统筹”或“一体化”过程而趋于消失。合规流程,侧重于要求和监督;内控流程,侧重于制约和控制;风险管理流程,侧重于判断和权衡。这几者的流程的特点,是很不一样的,其各自手段也是迥异的。 6.GRC管理体系中的绩效,是指包括合规、内控、风险管理等均涉及的评价、考核、监督、调查、追责、改进等在内的所有工作事项。绩效是形成体系运行闭环的必不可少的组成,它是对合规、内控、风险管理制度与流程执行的反馈,也是不断驱使过程管理走向目标的重要手段。绩效评价,在GRC管理体系中,建议统一进行。 7.GRC管理体系中的企业文化,指围绕风险、合规、职业道德、社会责任等而统一开展的文化设计与宣传实施的工作事项。OCEG认为文化在GRC体系中居于中心的地位。在内部控制整合框架和风险管理框架中,也都存在关于企业文化的内容。合规、内控、风险管理从不同方面强化了企业文化,而企业文化也为GRC管理体系提供良好的土壤。 8.GRC管理体系中的信息与沟通,综合了合规管理、内部控制、风险管理的共同要素。信息与沟通,在任何管理体系中,都是必不可少的。实现该信息要素的统一,最佳方式是建立一套打通的合规、内控、风险一体化管理信息系统。沟通要素的整合,要注意沟通机制的设计,特别是承认存在大量的非正式沟通,有助于整合体系的绩效提升。 9.GRC管理体系中的外部情境,包括外部宏观环境和利益相关者的期望及要求,这个要素在合规管理、内部控制、风险管理的整合中,可谓能形成天然的“统一”。因为一个企业,特定时空下,只能处于一种特定宏观环境下以及只面对同一类利益相关者。合规、内控、风险管理单个体系在分析外部情境时,本来分析的即是同一的外部情境。只是,外部情境分析在内部控制、风险管理的原框架中,可能处在不同的要素之中。 以上是本文作者对治理风险与合规(GRC)管理体系的一般介绍,将另行撰文讲述GRC管理体系的构建、运行与评价等。 参考文献: [1]《有原则绩效之路——GRC理论与实践初探》,北京慧点科技有限公司编著,清华大学出版社2016年版。 [2]《治理风险与合规——统一治理框架下的风险管理、内部控制和合规管理》,陈飞泉,中国经济出版社2021年版。 [3]《组织》,【美】詹姆斯 G.马奇、赫伯特 A.西蒙,邵冲译,机械工业出版社2021年版。  创融咨询 , 交易担保 , 放心买 , 创融咨询 小程序
|
|
|
