近年来,国际社会和各国政府都在致力于建立和维护开放、透明、公平的社会秩序,与此同时,我国全面推进依法治国,国家领导人多次在重要会议中强调“依法治企、合规经营”的理念。在这样的背景下,“合规”的概念逐步进入国有经济组织的视野,但如何建立有效运行的合规管理体系,如何落地实施,合规管理与其他管控体系之间的关系等问题,困扰着企业管理层,影响企业合规体系建设的有效开展。
1 “三位一体”管控融合存在的问题及分析
(1) 实践工作中,合规管理是法律概念还是内控概念,存在不同意见分歧,部分企业合规和内控分别由不同部门管理,容易产生本位主义思想。法律部门多从外部法律法规遵循出发,形成法律风险防范体系,可能导致经营管理领域合规义务研究、分析不够深入,合规与业务流程、风险管理相脱节,缺乏有效、实用的落地运行机制,内部控制、风险管理与合规管理协同性不强,难以真正发挥强管理、促经营、防风险、创价值的作用。
分析:企业对合规概念的理解不同,普遍认为合规是法律概念,合规风险等同于法律风险,强调“外规”的遵循,跨国经营企业更多的考虑国际环境、所在国法律规范和国际惯例、条约等,而将以章程、制度、职责为核心的“内规”未纳入合规的范畴,将其归属于内控和风险管理,使得合规体系与业务相脱节,单纯强调了法律的遵循,难以形成管控合力。
(2) 缺乏理论支撑和指导,一体化管控意识不强,归口管理部门不统一,各自为政,专业化程度低,精力分散,浪费资源。
分析:国有企业、上市公司建立并实施内部控制、风险管理比较早,思想相对成熟,对风控管理有一定认知,风控文化逐步形成。随着“合规”、“法治央企”概念引入,一些企业要么按照上级文件精神制定一个制度或清单,以应付检查;要么认为内控、风险管理就是合规、法治的一部分,简单的做些补充性工作,未能形成统一的一体化企业管控理念。
(3) 目前,企业面临内控评价、风险管理、合规检查、监察审计、专项督察、巡视等各类监管,频于应付、顾及不暇,往往一拨人走了,又来一波,很多检查、评价内容相似,只是侧重点和出发点不同。监督、检查周期也重叠,所提供的资料也差不多,导致企业认为形式的东西过多,削弱了监督的效果,使得企业风险管控“精神疲劳”,这种分散式的检查、评价机制,既影响风控管理效果,又影响企业日常工作。
分析:随着市场经济环境的日益复杂,增加了重大风险发生的可能性,为防范可能发生的风险,国资管理等部门出台了各类风险应对的文件、通知等。企业在消化、落实过程中,未能很好的理解文件精神,未能继承、沿用原有良好的控制体系,单纯为了“文件”实施检查、评价,各体系协同不够,导致监督、检查“四面开花”,基层单位濒于应付,应接不暇,影响正常工作开展。
2 内控、风险、合规三位一体的合规管理体系探索
2.1 内控、风险、合规之间的区别与联系
内部控制主要以业务流程为核心,通过控制矩阵将业务层面的风险控制在可接受水平;全面风险管理主要是化解和防范重大风险,对风险进行辨别、分析、评价、报告而形成体系化的风险管理;合规管理主要从法律角度切入风险的预防,通过企业外部法律、法规遵循,内部规章制度的遵守等,考量企业合规义务的遵循,防范不合规导致的企业合规风险。内控、风险、合规均是从不同的侧面或角度对风险进行的管理。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制通过对业务层面风险的管理,分析风险动因,控制日常经营行为,从而防止诱发重大风险的因素发酵。因此,内部控制更侧重流程管理,与生产经营结合最为紧密,属于风险管理第一道防线。
2.2 合规管理与内部控制融合
内部控制是以流程为核心的风险管控手段,是指导具体工作的管理文件。企业通过内控流程规范内控机制,合理界定岗位职责及权力运行结构,梳理优化业务及管理流程,科学规范经济活动和业务活动,对业务层面潜在风险进行全面评估,拟定适当控制措施并遵照执行,为业务运营体系起到强有力的支撑保证作用。原有内部控制体系中的流程图主要通过逻辑关系对作业程序进行描述,关键节点审核、审批作为重点控制,与企业规章制度基本保持一致,合规性管控要求体现不强。内控流程强调经营风险,合规管理强调合规风险,两者均以风险预防为核心。现阶段,大多数企业的合规风险是通过合规义务清单进行控制,而合规义务清单一般是由法务工作者或律师按照外部法律梳理,具有法律条文的全面性、广泛性的特点,形成的合规义务清单是一份大而全的数据库,与业务活动衔接不是很紧密,将合规管理的要求和业务活动紧密结合,更具实际执行意义。
2.3 合规管理与风险管理融合
风险,就是未来不确定性对企业的影响。在企业经济运行过程中,风险无处不在、无时不有。风险管理时,既要避免麻痹心理、侥幸心理,盲目乐观,忽视风险的存在;同时也不要过于悲观,杞人忧天,裹足不前,丧失发展良机。两种极端的风险管控态度均不合理,要识别风险,分析内在成因及变化趋势,采取适当措施加以控制,在防范、化解风险的同时,把握机遇,获得收益。无论是内部控制、合规管理、法制建设,其主要目标是风险控制,只是从不同的角度和出发点阐述和论证,并通过不同的控制措施对风险点进行预防。因此,企业风险管理完全可以和内部控制、合规体系融合,成为一套完整的“泛合规”管控体系,其中包含经济风险的日常管控措施,也涵盖重点领域廉洁风险的防控,同时将梳理出来的合规风险矩阵化管理,形成一套全面的“泛”风险管理体系,避免企业管理体系过多,各自为政或因体系衔接不当造成执行掣肘,增加企业风险管理运营负担。体系过多还可能会给管理层、职工造成负面影响,不利于培育良好的风险管理文化。因此,融合风险管理与合规体系非常必要。
3 结束语
合规意味着组织遵守了适用的法律法规及监管规定,也遵守了相关标准、合同、有效治理原则或道德准则。若不合规,组织可能遭受法律制裁、监管处罚、重大财产损失和声誉损失。在风险管理领域,不同的机构、部门从各自的管控要求和目的制定监管要求,其核心都是相关风险防范,管控目标是一致的,整合风险管理体系,有助于企业提高风险管理效率,形成管控合力,节约人力资源和运营成本,易于培育统一的风险管理文化。
参考文献
[1]国资委.关于印发《关于进一步深化法治央企建设的意见》的通知[EB/OL].[2021-10-17].
[2]财政部等五部委.企业内部控制基本规范(财会〔2008〕7号)[EB/OL].[2008-07-10]
[3]国资委.关于印发《中央企业全面风险管理指引》的通知[EB/OL].[2006-06-20]
[4]阿米检测技术有限公司.2021年度大合规管理体系文件及交流资料[R].无锡:2021.
