<output id="5zixi"></output>
<output id="5zixi"><legend id="5zixi"></legend></output>
<p id="5zixi"><del id="5zixi"><div id="5zixi"></div></del></p>

<tr id="5zixi"><label id="5zixi"></label></tr>
<p id="5zixi"></p>
  • <tr id="5zixi"><label id="5zixi"></label></tr><td id="5zixi"><ruby id="5zixi"></ruby></td><acronym id="5zixi"><meter id="5zixi"></meter></acronym><object id="5zixi"><strong id="5zixi"><address id="5zixi"></address></strong></object>
    統一治理框架下的合規管理、內部控制和風險管理
    2022/6/16 8:50:27  點擊率[244]  評論[0]
    【法寶引證碼】
      【學科類別】公司法
      【出處】微信公眾號:德和衡律師
      【寫作時間】2022年
      【中文關鍵字】合規管理;內部控制;風險管理
      【全文】

        關于合規管理、內部控制和風險管理等的協調或統籌問題,由來已久。早在2015年國資委印發的《關于全面推進法治央企建設的意見》中,就提出“探索建立法律、合規、風險、內控一體化管理平臺”。2019年,國資委印發《關于加強中央企業內部控制體系建設與監督工作的實施意見》,進一步提出“強內控、防風險、促合規”。2021年國資委,印發《關于進一步深化法治央企建設的意見》,則提出“探索構建法律、合規、內控、風險管理協同運作機制,加強統籌協調,提高管理效能”。
       
        從第一次正式提出的“探索一體化”,到最新提出的“探索協同運作”,這至少反映了兩個問題。第一個是法律、合規、內控、風險管理等的關系處理較為棘手,六年下來,一直處于“探索”狀態。第二個是四者的關系從“一體化”轉變為“協同運作”,這提出了一些信號,也反映了一些實踐。
       
        如何處理法律、合規、內控、風險管理的關系,一直是大型企業法務管理、合規管理,包括內部控制等專業領域一個繞不開的難題。本文基于統一治理框架,提供一套相對“統一”的合規管理、內部控制和風險管理整合機制——治理風險合規(GRC)管理體系。
       
        一、 什么是統一治理框架
       
        “治理”一詞在不同的語境下,有不同的定義。國際內審協會對治理的定義是:“治理是董事會實施的各種流程和框架的組合,用以告知、指導管理和監督組織的活動,以實現組織的目標”。經濟合作發展組織(OECD)將治理定義為“公司的管理層及其董事會、股東其他利益相關者之間存在的一種關系。公司治理為目標的確定、目標的實現方式和績效監督方式提供結構”。
       
        治理是實現企業目標的手段,它是一個體系或一種組合。每一企業都需要治理,企業是借助治理體系來滿足利益相關者的需求,并通過產品和服務來創造價值的。價值反映了效益、風險與資源之間的平衡,企業需要可行的治理系統來實現價值。但是,具體的治理內容,又因企業類型和監管要求的不同而不同。
       
        有效的治理,因為總結了企業的最佳實踐和監管的最新要求,是結構化的。結構化有利降低體系的復雜性,提高可理解性,實現精細化管理。治理的這種結構化特點,便促進了可對比、可復制的治理框架的出現。
       
        站在企業運作效率的角度,企業內有且只有“一個”體系,無疑是更加正確的。這就要求有效治理框架把企業的不同管理體系整合起來。即整合到基準的體系之上,這便是統一治理框架。統一治理框架既考慮了基準的治理框架,又不斷的把新出現的管理要求、管理措施整合到基準框架之內,優先考慮固有的治理體系能否滿足新要求,而非另行組合一套包含人、財、技術及流程等在內的新體系。
       
        當然,即便是基準體系,也應當跟隨企業的內外情境的變化而進行變化。統一治理框架本身也應是動態的,在框架的設計、運行、監測和評價過程中,均需根據情境變化而做出適當的調整。
       
        二、 基準治理框架的組成
       
        治理框架的設計,取決于企業的價值觀,融合了股東和利益相關者的利益考量。從股東角度,治理的主要目標是股東利益最大化,有效的治理框架應重在協調管理層與股東的關系,激勵管理層為企業創造更多收益。從利益相關者角度,治理的目標除了增加企業利潤以外,還應承擔社會責任,遵守良好商業道德,包括但不限于保證員工安全、創造就業、改善環境、減少債權人風險,參與社區活動等。
       
        這說明,一個有效的組織治理框架,特別是作為基準的治理,在實現組織的核心訴求時,必須同時考慮內外部情境。外部情境包括宏觀環境因素和利益相關者的期望與要求等,內部情境包括企業的文化、企業內的信息傳遞、企業的溝通方式等。
       
        因此,作為基準的治理框架,由核心“組件”和環境“組件”兩部分構成。核心組件部分,是實現企業核心訴求的組合,具體包括目標、組織、制度、流程和績效等五個要素。環境組件部分,是實現企業訴求必須同時考慮的因素,具體包括企業文化、信息與溝通、外部情境等三個要素。
       
        基準治理框架,不僅指以上八個要素,而且也同時指這八個要素的相互關系。每一個要素,均有其明確的定位和作用。只有共同發揮其價值,才能產生良好治理的效果。
       
        1. 目標,是治理的基礎,也是企業開展所有工作的前提。治理框架的設計,應從企業所處發展階段的各個目標設定開始,考慮實現目標所需的要素和對應的資源投入。目標包括長期目標,即企業的使命和愿景;還有中期目標,即企業的戰略;以及短期目標,即企業的年度目標,業務流程目標,以及個人目標。
       
        2. 組織,是企業實現目標所需要的合適的人及人的組合。組織要素可包含組織結構、決策機制和勝任力模型三個元素。組織結構是組織成員的合理分工,形成縱向和橫向的權責。決策機制確定企業內決策做出的主體、程序、信息與溝通等。例如,風險三道防線,就是一項合理的決策安排。勝任力模型是實現組織權責所需的知識和技能。
       
        3. 制度,是規范業務活動、具有持續性和普遍效力的內部文件。制度是以文本的形式,規定企業應做什么,怎么做,由誰做,做的標準是什么,以及做得好和做不好的后果是什么等內容。制度又可進一步分為制度管理制度、流程管理制度和業務管理制度三個元素。制度管理制度,統領企業內所有制度、流程、規范、標準等;流程管理制度針對制度中程序的建立與運行建立規范;各業務管理制度則規定各項業務開展過程涉及的職責、程序、標準、要求等。
       
        4. 流程,是將制度的相關規定付諸行動的過程。流程是實現治理目標的具體工作。因為每一項具體工作,是由許多工作任務組成,故通常情況下,一個流程本身是由多個子流程組成的。即流程是分級分層的。第一層級的流程,由戰略決策流程、核心業務流程、管理支持流程三部分組成。每一部分,均由若干個二級流程組成,依此類推,最多可達五級。美國生產力和質量中心(APQC)推出的流程分類框架PCF,在流程的分級分類方面可謂典范。
       
        5. 績效,是已設定目標的事實上的實現結果。績效,可以是企業整體的績效、部門或個人的績效,制度和流程執行情況等的績效。促進績效達成的一個有效工具,是哈佛大學的卡普蘭和諾頓兩位教授開發的平衡計分卡。平衡計分卡建議企業從財務、客戶、內部流程、學習 與成長四個方面分解目標、建立績效標準。
       
        6. 企業文化,是公司員工的共同價值觀、理念和意識。企業文化雖無法看到或觸摸,但實際存在于企業成員的行動和工作之中。企業文化會對其他要素產生明顯的影響。如企業文化的強弱,會對制度的復雜程度和人際溝通產生很大影響。反過來,其他要素業會影響企業文化的演進。一般認為,企業文化應包括行為準則、經營理念、決策指引、企業形象、社會責任等。
       
        7. 信息與溝通,也是治理框架必不可少的要素。企業“應且只能”通過信息和溝通,才能支持各項業務的開展。信息與溝通,也做作為企業內外部要素互動的橋梁,在治理框架中發揮重要的作用。從企業架構角度,信息,可進一步分為數據架構、應用架構和技術架構。溝通,可進一步分為溝通機制、內部報告、外部報告等元素。
       
        8. 外部情境,是影響企業實現目標的外部因素,包括宏觀環境因素和利益相關者期望與要求。宏觀環境因素,又可分為政治、經濟、社會、文化、技術、EHS、法律和行業等元素。利益相關者期望與要求,包括政府、監管機構、社會組織、客戶、供應商、競爭者、媒體和公眾等元素。外部情境,對于企業治理的影響也是非常大的,而且同樣是雙向的。
       
      治理框架圖
       
       
        三、 合規管理、內部控制和風險管理的整合
       
        基準治理框架統一且細化了管理的要素,并指出了管理的過程。這個框架不僅適用于企業的整體管理,也適用于企業的部門管理或某項業務流程的管理。合規管理、內部控制、風險管理作為企業的某種管理,不管是否存在一些第三方智力組織,甚至是基于法規規定,所提示的“標準或框架”,都應與上述基準治理框架相符合。
       
        這里包含二層意思。一是,合規管理、內部控制、風險管理應建立現有的管理實踐之上,運用現有的管理資源,而非另起爐灶。二是,合規管理、內部控制、風險管理等相關管理,不應該與基準治理框架相沖突,應在基準治理框架之下進行操作。簡言之,基準治理框架可看作是合規管理體系、內部控制框架、風險管理系統的“上位法”。
       
        也就是說,合規、內控、風險管理等整合的一個最佳思路,應該是將這幾者整合進基準治理框架之內。當前理論和實踐中出現的一些“合規內控風險一體化”、“法律合規內控風險協同運作” 等思路,其實都沒有站在這種企業整體管理角度,沒有去尋找這幾者的“上位法”,其 “整合”效果則可想而知。
       
        合規管理、內部控制、風險管理的整合,不是要素的整合,而是體系的整合,且是二級體系向一級體系的“靠攏”。即便這些二級體系“出身豪門”、“來自權威”,在整合的實踐中,仍應服從上一級管理體系的要求。當然,我們在此不排除有其他的整合或協同思路。例如,本文作者另行開創的“法治管理系統八要素”,可從另一個企業整體角度整合法律、合規、內控、風險管理等。
       
        將合規管理、內部控制、風險管理整合進基準治理框架之后,這個治理框架就因加上了合規、內控、風險管理的內容,而成為一個獨特的統一治理框架。為研究方便,我們將其從企業治理體系中抽出,獨立形成一個“治理風險合規(Governance Risk & Compliance,GRC)管理體系”(以下簡稱為“GRC管理體系”)。想強調的是,企業內并非顯然存在這個GRC管理體系,它只是在基準治理框架的基礎上整合了合規、內控、風險管理體系的一個特別稱呼。GRC本身的來源和其他涵義,限于篇幅,在此不述。本文的GRC管理體系,可認為是基準治理框架+風險管理+內控+合規的一個整合體系。即GRC管理體系是將合規管理、內部控制、風險管理等整合起來的一種方式。
       
        合規管理、內部控制、風險管理之所以能整合進基準治理框架,是因為這四者的組成要素有很大的相通之處。在明確其大方向——為企業的發展提供結構化的“控制為主”的職能——趨于一致的前提下,對四者很容易聯想到應該進行“整合”。
       
        細言之,治理是在基準治理框架的八個要素下進行的。從目標要素開始,分別需要人(組織)、工作(制度和流程)、成果(績效)、信息(信息與溝通)、文化(企業文化)、環境(外部情境)等要素的協作,才能完成有效的治理。
       
        觀察風險管理的組成要素,以《COSO 企業風險管理—整合戰略和績效》(2017)為例,該框架給出了企業(全面)風險管理應具備治理和文化、戰略和目標設定、執行、檢查和修正、信息溝通與報告等五個要素。這五個要素同樣涉及了環境、文化、目標、工作、信息溝通等,與基準治理框架的大多數要素,內核是相通的。同樣,對照國資委2006年印發的《中央企業全面風險管理指引》,也可看到類似的要素組合而成“指引”的框架。前兩項指導文件,是實務中最為普遍的全面風險管理操作指南。
       
        觀察內部控制的組成要素,以《COSO內部控制整合框架》(2013)為例,該框架給出了企業內部控制應具備控制環境、風險評估、控制活動、信息與溝通、內部監督等五個要素。每個要素下均明確了若干原則,一共17項原則。這些要素和原則,涉及環境、人、目標、工作、信息、績效等,與基準治理框架的大多數要素,內核也是相通的。同樣,對照財政部等2004年頒發的《企業內部控制基本規范》,也可看到類似的要素組合成的“框架”。前兩項指導文件,是實務中最為普遍的內部控制操作指南及要求。
       
        觀察合規管理的組成要素,以《ISO 37301 合規管理體系要求及使用指南》(2021)為例,該標準給出了組織合規管理應具備的組織環境、領導作用、策劃、支持、運行、績效評價、改進等七個要素。這七個要素涉及環境、文化、人、工作、績效等,與基準治理框架的大多數要素,內核也是相通的。同樣,對照國資委2018年印發的《中央企業合規管理指引(試行)》,也可看到類似的要素組合。前兩項指導文件,是實務中最為普遍的合規管理操作指南。
       
        通過對比要素的相通之處,我們清楚的看到了合規管理、內部控制、風險管理整合進基準治理框架的可行性。結合“一個企業只有一個治理體系”的說法,我們也理解了合規管理、內部控制、風險管理整合進基準治理框架的必要性。
       
        四、 治理風險合規(GRC)管理體系的組成
       
        合規管理、內部控制、風險管理整合進基準治理框架,即形成本文所述的治理風險合規(GRC)管理體系。這個GRC,并非典型意義上的GRC,即與美國第三方組織——OCEG(開放合規和職業道德團體)提出的GRC,還是存在一定區別的。OCEG GRC有其固定的能力模型和技術解決方案,本文的治理風險合規(GRC)管理體系則是為解決合規、內控、風險管理整合問題而借用了GRC概念及其一定的原則和理念。
       
        在對比了合規管理、內部控制、風險管理與基準治理框架的各自要素的相通之處后,我們基本明確,要將合規管理、內部控制、風險管理進行整合,其實質是用基準治理框架給出的要素和要素之間的關系來統一安排合規管理、內部控制、風險管理等體系性的工作。這種統一的視角,貫穿于體系的設計、實施、運行、監測與評價的全過程。
       
        合規、內控、風險管理的各自要素,不再分別強調,而是要“嵌入”到治理框架的要素之中。在“嵌入”的過程中,我們認為“風險評估”這個要素,對于合規管理、內部控制、風險管理的實際工作,也非常重要。因此,有必要把風險評估作為一個獨立的要素,放入整合后的管理體系之中。這樣,基于治理框架的合規管理、內部控制、風險管理整合而成的治理風險合規(GRC)管理體系,便是建立在九個要素的基礎之上的。
       
        特別強調的是,整合后成為一個體系不表示合規管理、內部控制和風險管理工作消失,而僅表明原來的合規管理體系、內部控制體系、風險管理體系成為GRC管理體系的一部分,合規職能、內控職能,以及風險管理職能仍然是存在的,且相互獨立,以滿足不同體系的內、外部特定要求。如對外按要求出示一些特定報告,可分別出具。
       
        治理風險合規(GRC)管理體系由目標、組織、風險評估、制度、流程、績效、企業文化、信息與溝通、外部情境等九個要素組成。各要素的內涵都很豐富,綜合了公司治理、合規管理、內部控制、風險管理的多樣實踐,同時也糅合了大量的經典管理及組織科學理論。
       
        1. GRC管理體系中的目標,是指整合合規管理、內部控制、風險管理等,也即構建治理風險合規(GRC)管理體系之時,應首先建立一套統一的治理與風險管理目標。這個目標應將戰略、業務與風險的平衡,經營效率效果的提升,報告與信息披露的真實,法律法規及道德規范的遵循等均應包含進去。不管是公司戰略層,還是業務流程層或者個體崗位層,其目標確定時,均應同時考慮以上的多重目標內容。如發生目標沖突,企業應在其價值觀指導下進行決策選擇。
       
        2. GRC管理體系中的組織,是指構建GRC管理體系,應將合規、內控、風險管理的組織職責統籌起來,建立一個統一的治理與風險管理組織。例如,全面合規與風險管理委員會。該委員的職責把原來可能分散的法律、合規、內控、風險管理等職責集中起來,交由一個最高的治理機構管轄。當然,這個統一,不是必然的。如企業暫時條件不具備,也可用一種半統一的方式進行過渡。如以一種聯席會議的方式,進行統籌。
       
        3. GRC管理體系中的風險評估,指在執行GRC管理制度和流程之前,必須先找出存在的問題和風險。問題和風險是制度及流程實施的前提,不以問題和風險為導向,所進行的管理制度和流程,可能會造成業務與管理兩張皮的現象。因此,雖然在標準的基準治理框架中,未把風險評估作為一項獨立的要素,僅把風險評估作為制度和流程工作展開的條件,但鑒于風險評估的重要性,本文建議將其作為一項要素。GRC管理體系中的風險評估,應該對全部類型的風險同時進行評估,包括因違反法律法規可能產生的法律合規風險,因內部流程缺陷可能產生的內控風險,因對外界環境變化不敏感產生的戰略風險、環境風險等。
       
        4. GRC管理體系中的制度,指將合規、內控、風險管理等相關的制度統一設計、統一編制,同步實施、同時評價。現有的合規管理制度包括合規管理辦法、合規行為準則、業務合規操作指引、合規流程管理制度、合規管理手冊等。現有的內部控制制度包括資金內控制度、采購內控制度、存貨管理內控制度、銷售內控制度、工程項目內控制度等。現有的風險管理制度包括風險準則與風險文化辦法、風險管理策略管理辦法、風險預警與跟蹤管理辦法等。將這些制度或辦法,按制度管理的規則統一進行編制、實施和考核。
       
        5. GRC管理體系中的流程,是九個要素之中唯一一個需要分別進行處置的要素。這是因為流程,本質是風險管控措施的執行,在合規、內控、風險管理等過程中表現的主要特點完全不一樣,無法進行“一體化”。也正是因為這一點,合規、內控、風險管理的職能才得以持續獨立,不至于因為這個“統籌”或“一體化”過程而趨于消失。合規流程,側重于要求和監督;內控流程,側重于制約和控制;風險管理流程,側重于判斷和權衡。這幾者的流程的特點,是很不一樣的,其各自手段也是迥異的。
       
        6. GRC管理體系中的績效,是指包括合規、內控、風險管理等均涉及的評價、考核、監督、調查、追責、改進等在內的所有工作事項。績效是形成體系運行閉環的必不可少的組成,它是對合規、內控、風險管理制度與流程執行的反饋,也是不斷驅使過程管理走向目標的重要手段。績效評價,在GRC管理體系中,建議統一進行。
       
        7. GRC管理體系中的企業文化,指圍繞風險、合規、職業道德、社會責任等而統一開展的文化設計與宣傳實施的工作事項。OCEG認為文化在GRC體系中居于中心的地位。在內部控制整合框架和風險管理框架中,也都存在關于企業文化的內容。合規、內控、風險管理從不同方面強化了企業文化,而企業文化也為GRC管理體系提供良好的土壤。
       
        8. GRC管理體系中的信息與溝通,綜合了合規管理、內部控制、風險管理的共同要素。信息與溝通,在任何管理體系中,都是必不可少的。實現該信息要素的統一,最佳方式是建立一套打通的合規、內控、風險一體化管理信息系統。溝通要素的整合,要注意溝通機制的設計,特別是承認存在大量的非正式溝通,有助于整合體系的績效提升。
       
        9. GRC管理體系中的外部情境,包括外部宏觀環境和利益相關者的期望及要求,這個要素在合規管理、內部控制、風險管理的整合中,可謂能形成天然的“統一”。因為一個企業,特定時空下,只能處于一種特定宏觀環境下以及只面對同一類利益相關者。合規、內控、風險管理單個體系在分析外部情境時,本來分析的即是同一的外部情境。只是,外部情境分析在內部控制、風險管理的原框架中,可能處在不同的要素之中。
       
        以上是本文作者對治理風險與合規(GRC)管理體系的一般介紹,將另行撰文講述GRC管理體系的構建、運行與評價等。

      【作者簡介】
      陶光輝,北京德和衡律師事務所高級合伙人,主要業務方向為國有企業合規管理。
      【參考文獻】

      [1]《有原則績效之路——GRC理論與實踐初探》,北京慧點科技有限公司編著,清華大學出版社2016年版。

      [2]《治理風險與合規——統一治理框架下的風險管理、內部控制和合規管理》,陳飛泉,中國經濟出版社2021年版。

      [3]《組織》,【美】詹姆斯 G.馬奇、赫伯特 A.西蒙,邵沖譯,機械工業出版社2021年版。


      本網站文章僅代表作者個人觀點,不代表本網站的觀點與看法。
      轉載請注明出自北大法律信息網
    0
    北大法律信息網
    www.chinalawinfo.com
    法律動態
    網站簡介
    合作意向
    網站地圖
    隱私政策
    版權聲明
    北大法寶
    www.pkulaw.cn
    法寶動態
    法寶優勢
    經典客戶
    免費試用
    產品服務
    專業定制
    購買指南
    郵件訂閱
    法律會刊
    北大英華
    www.pkulaw.com
    英華簡介
    主要業務
    產品列表
    英華網站
    聯系我們
    用戶反饋
    返回頂部
    二維碼
    不要添了,我高潮了视频