在全面提升国有企业风险防控水平的大背景下,国资委等相关部门在不同时间内在国有企业中推行了全面风险管理、内部控制、法务管理、合规管理四套管理体系,其核心目的是为企业提供重大风险化解、合规经营等方面的理论参照。由于四体系推行的时间先后不一,政策发布部门各不相同,所以在具体实践中,四体系之间存在着管理范围不清晰、内涵容易混淆、只能重复等一系列问题,对企业经营造成了一定的困惑。因此,推行法务、合规、风险、内控一体化管理的呼声越来越高,相关监管部门也通过发布相关政策文件,为四者的融合提供指引。
要做好法务、合规、风险、内控四体系的深度融合,对四者关系开展辨析,厘清各体系的关系变得尤为重要。
一、对于法务、合规、风险、内控四者关系的不同观点
01、“大风险”视角
“大风险”视角下,全面风险管理在管理范畴上是涵盖了法务管理、合规管理和内控管理的,全面风险主要包括战略风险、市场风险、运营风险、财务风险和法律风险等,而全面风险本身侧重于外部视角,核心目的是支撑战略决策、市场判断。内控管理作为全面风险管理的重要组成部分,其侧重于运营执行保障、关键节点控制。合规管理侧重于规范管理、基础建设、文化培育,而法务管理则关注的是法律审核和处置、维护公司利益。合规是内控的管理目标之一,而内控管理是法务管理工作的规避措施,法务管理则为合规管理提供专业支持。三者在全面风险管理的框架下,相互支撑但又有重叠部分。
02、“法治建设”视角
“法治建设”视角下,法治为企业风险管理的根本,必须坚持以风险为导向,合规为底线、内控为手段,而法务管理是合规管理的组成部分,是风险管理的抓手。其中内控管理是通过制度流程对业务进行完善优化的管理手段,而且内控人员需要深度介入到业务环境中,保障业务顺利开展,过程中既要保证合规要求,也要防止内部要求阻碍企业运行,具备一定的柔性;合规是企业管理的底线,外规是不能逾越的红线,内规除了企业经营管理的要求外,还有一部分是外规内化形成的,承载企业运营机制和管理机制,具备相当的管理刚性。作为风险管理的两大组成部分,内控与合规刚柔并济,保障企业风险防控的可靠性。
03、“大内控”视角
这种观点认为,风险管理是更宏观的管理概念,其余各项管理职能必须以风险管理为统领,而其他四项职能构成了其底层基础。需要通过风险管理的理念、方法工具等来统筹其他几项职能的开展。且在确定风险管理目标、机制时,需要融入其他几项职能的管理状况,充分利用其工作成果,集中调配资源,实现风险的集约管理。
内控管理是风险管理的主要支撑,内控的主要职责之一是制定企业的管理制度流程,在制度流程中融入风险、法务、合规的要求,确保企业良好运作。
合规管理为价值导向。合规管理是推进企业治理完善、合规经营、规范管理、守法诚信,规范企业各级员工的行为,并落实为企业的风险管理文化。法务管理则是合规管理的重要组成部分,为合规管理提供专业的支持,构架企业合规的基本架构。
04、“大合规”视角
大合规视角下是把企业的所有经营活动统一纳入到企业大合规体系中,包括遵守所有层级的法律规范;遵守各部门法领域的法规;遵守不同国家和地区的法律规范;各级公司和部门的全合规;各经营管理领域的全合规;全面风险管理;企业全员合规和合规文化;大合规组织;合规管理体系建设等。其中内部控制是全面风险管理的重要载体,而法务管理是具体承担企业合规管理工作的抓手,保障企业经营过程中能在各级法规框架下开展工作。
二、影响法务、合规、风险、内控关系出现不同理解的因素
01、政策出台顺序
从2006年出台《中央企业全面风险管理指引》,2010年五部委出台《企业内部控制配套指引》,到2015年发布《关于全面推进法治央企建设的意见》,2018年出台《中央企业合规管理指引》,2019年《关于加强中央企业内部控制体系建设与监督工作的实施意见》……政策出台先后顺序影响研究机构对相关政策的解读。
02、企业类型和性质
企业类型和性质对于企业对法务、合规、风险、内控的关系也有一定的关联,对于合规要求的行业或企业,如银行业,一般都以大合规视角为主;而生产经营型企业一般以大内控视角进行全面风险防控设计。
03、企业风险管理组织现状
企业是否有独立的风险管理部门和风险管理的主导部门也会极大的影响对法务、合规、内控、风险关系的辨析。
04、外部机构类型
外部机构类型也会影响对四者关系的理解,律所一般以法治建设或大合规视角为主导,会计师事务所以大监督或者大风险为主导,咨询公司一般以大风险和大内控视角进行解读。
三、不同视角构建全面风险防控体系的优劣势比较
虽然在构建法务、合规、风险、内控四位一体全面风险防控体系的思路上,各方有不同的视角,但不同视角都是按照一定的理论基础来制定的,都有一定的可参考性,从不同视角构建融合体系各有优劣势。
补充信息:法务管理、合规管理、内控管理、风险管理的定义
法务管理:从《中央企业法律风险管理报告》《关于全面推进法治央企建设的意见》等相关文件中的规定来看,同时结合企业法务管理的实际,可以将法务管理定义为,企业通过专业法律服务或专职法务部门开展的相关制度制定、法律咨询、合同及知识产权管理、法律纠纷处置等有计划的管理活动。
合规管理:按照最新的《中央企业合规管理办法》的定义,合规管理指的是企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。
内控管理:根据财政部下发的《企业内部控制基本规范》及《关于印发企业内部控制配套指引的通知》,内部控制是由企业各级管理层和全体员工实施的,目的在于实现控制目标的管理过程。保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整以及企业的经营管理效率效益提升,最终实现企业发展战略是内部管理的目标。而内部控制体系涵盖了企业控制环境、风险评估、控制活动、信息与沟通、监控五要素。
风险管理:企业风险是指未来的不确定性对企业实现其经营目标的影响。全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。从管理实践来看,风险管理具备系统性、系统性特点,主要表现在风险管理关注的是企业的整体风险,视角更为宏观。