正略咨詢在服務過大量法律��、合規(guī)�、風險、內控咨詢項目經(jīng)驗基礎上�,創(chuàng)新設計了“大風控”管理體系建設的前沿方法論——“正略四位一體融合模型”。
?
“十五五”期間�����,正略咨詢預判法律��、合規(guī)��、風險�、內控四位一體的“大風控”管理體系還將進一步推進管理目標、組織架構�����、工作流程和保障體系等四方面融合�����。
?
一、政策背景:多職能整合趨勢明顯���,為企業(yè)內業(yè)減負
?
近年來�����,全面風險管理相關概念�����,包括風險管理�����、內部控制�、合規(guī)管理��、法律事務管理等逐漸成為國有企業(yè)的常態(tài)化治理要求�,融入到企業(yè)的日常管理和長期發(fā)展戰(zhàn)略中,然而在實踐中�,多項管控職能的頻繁介入反而增加了部分企業(yè)的內業(yè)壓力,尤其是對業(yè)務部門的生產(chǎn)效率��,有時甚至會起到適得其反的效果�����。因此���,近些年��,國務院國資委不斷探索風險管理��、內部控制��、合規(guī)管理��、法律事務管理一體化融合的方法和路徑��。
?
《中央企業(yè)全面風險管理指引》(國資發(fā)改革〔2006〕108號)中最早提出了“風險管理與內部控制融合”��、“內控方案符合合規(guī)要求”的概念�,為四位一體融合提供了理論依據(jù)��?���!蛾P于全面推進法治央企建設的意見》(國資發(fā)法規(guī)〔2015〕166號)中提出了合規(guī)與法律事務管理相結合的要求,并明確提出“探索建設法律����、合規(guī)���、風險、內控一體化管理平臺”��,這也是一體化概念的初次出現(xiàn)��。
?
近年來國資委對融合的要求逐步提高��,《關于做好2021年中央企業(yè)內部控制體系建設與監(jiān)督工作有關事項的通知》(國資廳監(jiān)督〔2020〕307號)中提到“深化制度整合優(yōu)化���,針對內控�、風險管理����、合規(guī)管理監(jiān)督制度各行其是、各說各話���、不能有效發(fā)揮統(tǒng)一管控作用等問題���,建立以內控體系建設與監(jiān)督制度為統(tǒng)領,各項具體操作規(guī)范為支撐的‘1+N’內控制度體系”?���!蛾P于做好2023年中央企業(yè)內部控制體系建設與監(jiān)督工作有關事項的通知》(國資廳監(jiān)督〔2023〕8號)中進一步提到“將內控�����、風險和合規(guī)管理監(jiān)督職責整合優(yōu)化情況���,內控職能部門與各業(yè)務部門協(xié)同配合及履職情況等列入中央企業(yè)內控體系建設年度工作報告中”����,將四位一體建設明確列入央企的考核指標之中��。
?
二����、融合基礎:四大角度具備趨同性
?
根據(jù)政策文件及實踐經(jīng)驗,對“法律��、合規(guī)�����、風險、內控”各自體系框架進行分析��,可以發(fā)現(xiàn)四者的整體結構和部分要素相似�����,具備融合基礎�����。
?
01�����、目標及功能趨同
?
四個體系都是公司依法治企建設的重要內容和組成方面���,都以風險的有效防控為總體目標��。其中風險為導向��,法務��、合規(guī)是重點�,內控是重要基礎和有效保障���,內控與風險���、合規(guī)與法務趨同性更強�。四個體系各有側重����,相輔相成����,共同推進和保障公司依法治企建設。
?
02�、組織體系趨同
?
法務、合規(guī)����、風險、內控四個體系在第一責任人�、治理機構、專門委員會�、審計監(jiān)督、其他職能與業(yè)務部門日常管理職責����、分子公司組織體系等方面具有趨同的要求和規(guī)定。
?
四個體系的管理統(tǒng)籌部門都是職能管理部門,為業(yè)務部門與經(jīng)營活動提供支持���、進行監(jiān)督���,都需要將管理要求和節(jié)點融入業(yè)務流程。
?
03��、制度流程趨同
?
在制度體系上��,四個體系基于各自職責而存在差異��,但在風險識別�����、風險評估��、風險控制��、考核和監(jiān)督���、宣傳和培訓���、計劃與報告��、管理信息系統(tǒng)�、文化建設等方面的制度流程方面存在趨同性�����。
?
04����、運作方式趨同
?
四個體系管理的流程和環(huán)節(jié)都包括重大事項審查、審計和監(jiān)督���、考核與評價、宣傳和培訓��、管理計劃與報告��、管理信息系統(tǒng)等�,運作方式具有趨同性。
?
總體來看�����,“法律��、合規(guī)、風險�����、內控”四個體系在目標及功能��、組織體系��、制度流程�����、運作方式上均具有高度趨同性�,因此,開展“四位一體”協(xié)同整合具備充分的基礎條件���。
?
然而“法律��、合規(guī)���、風險、內控”仍具有不同的概念側重����,在“四位一體”融合過程中�,要充分考慮到彼此間的差異性�,對于獨特性較強的流程環(huán)節(jié)實施差異化管控。
?
如法律事務管理側重于法律審查和處置��、維護公司利益�����;合規(guī)管理側重于執(zhí)行的規(guī)范管理�����,防止違規(guī)操作�;內部控制側重于運營執(zhí)行保障、關鍵節(jié)點控制��;風險管理側重于全面視角�,包括系統(tǒng)性和操作性風險的管控�。
?
三、“四位一體”融合思路:一個整體融合思路����,四大融合機制
?
01、整體融合思路
?
在法律�����、合規(guī)、風險�、內控“四位一體”融合建設與實施過程中,正略咨詢設計了“大風控”管理體系建設的前沿方法論——“正略四位一體融合模型”���,對“大風控”流程的核心環(huán)節(jié)針對性地進行一體化或差異化管理����,其核心理念是:針對“四位一體”中相似的流程環(huán)節(jié)進行一體化運作�����;針對“四位一體”中針對性較高的流程環(huán)節(jié)差異化管理���。
?
該模型的核心優(yōu)勢是在大幅提升管理效率的同時�,保持條線專業(yè)性����,同時符合國資委的相關監(jiān)管要求;但模型對于企業(yè)管理提出了更高要求��,需要設置專門的部門針對“法律、合規(guī)����、風險、內控”進行統(tǒng)籌管控�,對企業(yè)管理能力和人員專業(yè)性要求會相應提高。
?
正略四位一體融合模型簡述
?
02��、四大融合機制之一:管理目標融合
?
“四位一體”建設基礎是風險管理���、內部控制�����、合規(guī)管理和法務管理的管理目標有較高的相似性����。
?
風險管理的核心管理目標是規(guī)避未來的不確定性對公司實現(xiàn)經(jīng)營目標的影響���;內部控制的核心管理目標是合理保證公司的經(jīng)營管理����,提高經(jīng)營效率和效果�,促進實現(xiàn)發(fā)展戰(zhàn)略���;合規(guī)管理的核心管理目標是以公司和員工經(jīng)營管理行為為對象��,有效防控合規(guī)風險�;法務管理的核心管理目標是保障重大決策、重要項目材料的合法合規(guī)���,提供法律支持���,提出法律風險防范的意見和建議。
?
綜合法律����、合規(guī)、風險���、內控的管理目標�����,通過梳理可以形成“四位一體”建設的總體目標如下:
?
1. 確保經(jīng)營管理合法合規(guī)���,提高風險防控能力。
?
2. 提高經(jīng)營效率,達成戰(zhàn)略目標��。
?
3. 履行社會責任����。
?
4. 培養(yǎng)風險防控文化。
?
03����、四大融合機制之二:組織架構融合
?
在“四位一體”組織架構融合過程中,基于風險����、內控、合規(guī)管理的傳統(tǒng)“三道防線”組織架構�����,引入最新的“三線模型”理論���,進一步完善“四位一體”全面風險管理過程中各部門的職責分工����,有效落實企業(yè)全面風險管理的關鍵意圖和職責�,為企業(yè)各項業(yè)務經(jīng)營保駕護航;同時����,為全面風險管理職能的持續(xù)優(yōu)化和完善奠定良好的基礎框架。
?
國際內審協(xié)會(IIA)2020年發(fā)布的“三線模型”
?
在明確厘清“三線”分工的基礎上�����,堅持“價值導向����、立足現(xiàn)狀、重點管控��、良好開局”四大總體原則�,以及“平衡發(fā)展的前瞻性和現(xiàn)實可操作性”、“平衡整體一致性和局部特殊性”���、“平衡管控意圖與經(jīng)營效率”的“三大平衡”基本原則���,實現(xiàn)組織架構的充分有效融合。
?
04��、四大融合機制之三:工作流程融合
?
工作流程融合的整體融合思路為:梳理法律����、合規(guī)����、風險�����、內控管理的各自的流程����,對相似的流程進行一體化運作,具備差異化的流程通過插入式�����、吸納式�����、并行式三種方式進行融合���,最終形成融合后的“四位一體”工作流程�����。
?
法律���、合規(guī)�����、風險、內控流程梳理整合一覽
?
融合后的“四位一體”工作流程總覽
?
05���、四大融合機制之四:保障體系融合
?
1. 制度流程文件融合
?
建立“1+N”全面風險防控制度體系���,完善制度、風險信息�����、流程等內容�。
?
(1)基本制度
?
“1”:一套整體制度,以《“四位一體”全面風險管理手冊》為總體引領�,既是全面風險管理的頂層設計,又包含法律����、合規(guī)�、風險��、內控的共通部分內容��。
?
“N”:《內部控制手冊》《合規(guī)管理辦法》《法務管理制度》等制度為配套�����,包括各個職能獨立內容和相關具體細則����。
?
(2)風險信息庫/數(shù)據(jù)庫
?
“1”:一套信息庫,以《“四位一體”管理信息庫》為核心���,梳理包括風險管理����、內部控制����、合規(guī)管理和法務管理的一體化風險防控清單,為實際開展“四位一體”風險管理工作提供基礎性參考�����。
?
“N”:針對風險管理中達到十大風險、關鍵合規(guī)領域可單獨制定清單���。
?
(3)流程體系
?
“1”:以工作流程融合為基礎��,以聚焦關鍵事項�、服務重點業(yè)務為原則�,依托關鍵業(yè)務流程進行相應的風險點和控制點標注�����,并將識別出的關鍵防控事項標注在業(yè)務流程內���,制定完善的《全面風險管理流程》�����。
?
“N”:針對重要領域和關鍵流程獨立設置對應的管理流程手冊���。
?
2. 其他保障體系融合
?
在監(jiān)督檢查、激勵約束�、資源保障、信息化系統(tǒng)建設���、文化建設等多維度保障“四位一體”體系的建設和運行����。
?
(1)監(jiān)督檢查、激勵約束
?
按照集中�、分層、分類的原則��,加強對重大����、重要風險、重點單位����、重要業(yè)務的管理;建立有效的“四位一體”綜合考核評價機制���,納入各級領導干部的年度績效考核���,制定相應的獎勵或懲罰措施。
?
(2)資源保障���、信息支撐
?
加強人才隊伍建設�,培養(yǎng)一批真正掌握“四位一體”管理技術和方法的專業(yè)化團隊;將全面風險管理經(jīng)費列入預算管理���;打造“四位一體”一體化管理平臺�,逐步實現(xiàn)管控規(guī)范化�����、信息化�����、智能化��、數(shù)字化�。
?
(3)文化培育��、根植理念
?
將全面風險防控文化融入企業(yè)文化建設和日常管理行為��,營造“人人有責����、共同防范”的良好氛圍;提高全體員工風險意識,增強風險防控的主動性�����。