从2006年首次提出风险体系建设要求,到2015年逐渐清晰地强调在各大风险相关的企业功能上关注协同和整体效率提升,国务院国资委对于大风控体系的建设提出了更加细化和精准的要求,这其中包括了体制机制、制度建设、风险管理、信息化管控、监督评价的全面融合思路、建议和目标要求。国有企业在已经落实功能的各个部门中开展大风控融合体系建设,需要的不仅是目标,更重要的是适合企业差异化需求的路径和方法。
正略咨询在与国有企业的逐步探讨、测试、应用的过程中,形成了一整套针对法务、合规、风险、内控四体系融合工作,基于最佳实践的“四位一体”风险防控体系建设方法论——四则运算法:
“要素融合做加法、流程融合做减法、管理提升做乘法、资源配置做除法”。
四则运算法的工作内容分为两个圈层,核心风控圈层、企业风控圈层。
核心风控圈层:推进风险防控体系的各管理要素的融合建设,并形成一体化的风险管理运作机制。聚焦各个管理体系自身的风险管理要素的融合、制度流程精简,提升风险管理的精细化程度。包含的是全面风险防控管理体系的核心要素,涉及管理目标、制度体系、考核评价、宣传培训、信息管理、文化建设,以及这些核心要素的运行流程和与流程相配合的制度体系。核心圈层工作是要素融合做加法、流程融合做减法。
企业风控圈层:企业圈层,重点解决企业部门协作、资源配置带来的问题,通过机制创新以及资源配置优化实现风险管理效率和效益的提升。包括了整个企业范围内与大风控相关的所有事项,涉及战略规划、治理体系、组织架构、业务单元、各职能模块及集团下属企业范畴。企业圈层工作是管理提升做乘法、资源配置做除法。
一、要素融合做加法
将分散在法务、合规、风险、内控四个管理体系中的风险要素,进行有机融合,叠加形成全面风险防控体系的管理要求。叠加过程启动前,需要对叠加的框架进行设计,可以依据法务、合规、风险、内控的现有体系设计去选定要素。
国有企业通常可以将四大风控管理体系的风险管控要素划分为:责权界定、工作标准、风险管理、事项审查、违规管理、信息与沟通、宣传和培训、计划与报告、文化建设等,或是根据国有企业的具体管理或业务需求,在这一范围中进行选择或在范围之外进行要素的增加。
确定叠加框架后,将法务、合规、风险、内控现有管理要求按照框架进行梳理后并入统一的框架。过程中有几个要点需要注意:
01、全面风险清单的构建
应当基于企业在法务、合规、风险、内控各体系中企业已经建立的基础清单,将所有清单中的事项进行分类和汇总。选择风险清单的分类标准的依据主要来源于对现有四大体系成熟度和合理性的判断,可以采用内控体系中的“十八项指引”或是风险体系中的“五大类风险”等作为全面风险清单加总的基底。在清单的制定中,需要建立统一的标准规范,比如编号规则、名称规则、风险点描述的用语规范,对于风险发生的概率和影响程度形成量化或分级指标。
02、全面风险事件库的构建
在四体系中,风险的管理范畴最突出的优势是对外部因素的关注。所以四合一体系中的事件库应该以风险的视角收集同行业、同类别、同分类企业可参照的风险事件,结合国有企业自身的历史风险事件,形成风险事件库参照。风险事件的统计可以涵盖:风险描述、风险时间、风险成因、解决方案等内容,以此来统一风险辨识思路。
二、流程融合做减法
四大体系都有各自差异化的视角和功能,融合过程就是求同存异的过程。通过对四个体系管理流程的梳理,可以有效地识别趋同事项,保留差异化事项。
01、风险清单及风险事件库
基于“加法”完成的风险清单及风险事件库,可以对每一个事项进行法务、合规、风险、内控四类风险类型标注,锁定风险应对的管理流程,并对相关的现有制度进行索引(如下图所示)。
02、流程标识
在全面风险防控体系运作过程中,通过控制方式的不同在相应流程中进行风险点标识,与风险清单中的控制手段对应,提升风险控制的力度(如下图所示)。
03、以“1+N”的制度体系作为“四位一体”核心风险圈层的融合成果
“1”指《四位一体全面风险防控管理控制手册》,是公司风险一体化管理纲领性文件,对职能融合、体系融合、组织机构及职责、基本管理模式、基本管理流程等予以明确。
“N”指在统一的基本制度框架之下,保留差异视角,通过合同管理办法、法律纠纷管理办法、国际准则手册、内控合规手册、风险应对手册、风险评价手册等作为《四位一体全面风险防控管理控制手册》对具体事项进行细化的规定,从而构建风险一体化管理制度体系融合过程中,将各大管理体系中的通用和重复事项进行合理简化的制度体系。
三、管理提升做乘法
“四位一体”风险防控体系的建设过程也是对企业整体管理功能的赋能。对融合管理体系的运行机制做合理创新,会对管理效率形成有效提升,让风险防控工作与各项管理功能相互优化、事半功倍,体现乘法效应。
01、治理与组织层面
在组织架构设计上,从治理层、管理层和执行层各个层级定位出发,统一组织职能,对组织架构进行精简,明确风险防范相关职责,避免职能的重复交叉。
治理层的设计重点是要符合相关政策规定,如首席合规官、总法律顾问的设立;管理层需要重点明确权限分工;执行层则是强化部门职能分工和协同机制。组织架构的设计核心目标是将一体化风险防控的要求嵌入到企业管理的各个环节,促进决策、经营、管理过程的紧密配合。
02、管理制度与流程层面
通过对风险清单相关制度的梳理,一方面会在风险事件的权责归属上作进一步的明确,归属范围会扩大到企业的各个职能及业务条线上;另一方面,在流程中的风险关注点的标注,会涉及到从业务流程到管理流程的衔接工作中,并且会对相关制度作出风险识别、应对、评估、信息反馈等的工作事项补充。
四、资源配置做除法
在要素融合、流程融合、机制创新的基础上,通过优化资源配置,提升全面风险防控的收益,对组织效能进行合理优化。
01、管理资源的分配
为更好地落实法务、合规、风险、内控一体化管理体系建设,企业需要持续加强建设风险管理人才队伍,培养一批真正掌握风险管理技术和方法的专业化团队。同时,在人才选聘、管理的机制上要进一步完善,拓宽其职业发展通道,充分调动各类人才的积极性和主动性,真正做好建立法务、合规、内控、风险一体化管理的人才支撑。
02、数字化资源的分配
企业需要构建一体化风险管理信息化平台,如涵盖法务库、风险库、内控库、供应商库、案件库等企业内部数据库,进而强化对风险案例数据、风险清单等风险管控数据的积累。还有企业需要打通各管理信息系统的数据库,将风险管控要点嵌入业务管理流程,实现对业务管理的按角色按岗位的风险提示以及风险审查。
企业可以充分利用大数据、AI等技术手段构建风险预警系统和模型,实现对各环节的风险把控,落实风险预警机制。
五、结语
此篇,为正略咨询“四位一体”全面风险防控体系建设方法论的首篇,重点介绍融合的方案和路径。后续,正略咨询还将以专题的方式介绍“四位一体”建设如何在集团与下属企业中实现管理的穿透性;辨析在不同的企业现状下,如何理解和应用法务、合规、风险、内控之间的关系;三道防线架构中,治理与组织架构和职能的设置方法;以及央国企首席合规官政策解读与企业实践方案设计的方法,以期在国有企业大风控体系建设中助力。