一文讲透企业法务、风控、内控、合规、三标体系之间的关系
按现代企业制度建立的企业,自然会出现三标体系、内控体系、风控体系、合规体系、法务管理体系同时运行的格局,在企业很多人看来,既然本质上所有的体系都是为了规范及防范风险,为何不将这些体系进行有效整合,以减少流程繁复程度、提高效率。
“优化流程以提高效率”从来都是科学管理追求的,那么相关体系能不能融合或者说哪些可以融合,自然就成了需要斟酌的问题。
1、内控
从狭义的角度看,内控包括内控体系建设和内控监督与评价。
内控体系建设主要是编制内控制手册、各项流程的权限指引和内部控制文档等;
监督与评价主要是评估体系建设和运行情况并提出改善意见。
2、风险管理
根据定义,一般企业的风险管理主要包括:企业年度风险评估、专项风险评估、项目风险管理。
年度风险评估主要是对企业一年度的风险进行收集、分析、评估、制定应对措施; 专项风险评估主要是对重大事项开展; 项目风险管理多是对承揽或开发项目进行风险评估及管理。
3、内控与风险控制的关系
内控与风控在范围上有重叠,且都要贯穿决策、执行、监督全过程,覆盖企业各种业务和事项:
内部控制从宏观而言是企业运营目标的全过程控制,包括应保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,以提高经营效率和效果,促进企业实现发展战略。
风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
内部控制与风险管理与其说是专项工作,不如说是理念、文化与方法论。
4、内控、风险管理与三标体系
之所以在讨论完内控、风控之后立即把三标体系拉入讨论,是因为很多企业(尤其是技术性企业)的内控及风险管理都是按专项工作来处理的,是以相应的内审、外审标准来开展的。换句话说,企业实际往往是通过三标体系的构建及执行来达成企业内控、风控作用的,而负责内控、风控的相关岗位只是以相应的内审、外审标准开展了应对要求的表面性工作。
内部控制、风险管理、三标体系确实应该进行有效整合,但如何融合,业界一直有争论: 研究三标体系的人通常认为,内部控制主要是针对财务,而三标体系是覆盖整个企业的;研究内部控制的人通常认为,三标体系主要是针对产品质量,而内部控制是覆盖整个企业的。
笔者认为,内部控制和风险管理、三标都覆盖企业各种业务和事项,自说自话解决不了问题。三者争论到最后总会融合的,在学界没有统一思想之前,如果企业想自己整合,不妨:在三标体系制订时,融合内部控制理论中先进的理念、方法,通过三标体系来实现内控目标。同时,在组织机构上,让三标体系和内部控制体系由同一个部门归口管理,可以促进这个融合的加快。
需要关注的是:
无论内控与风控、三标体系在企业内如何进行了融合,要通过相关机构对内控、风控、三标体系的检查,企业依然得按照相关机构对内控、风控、三标的体系进行文案工作。即,从应对检查这个层面上讲,除非相关机构进行了有效整合,企业就只能是被动追随者。
5、关于法务
自2001年加入WTO以后,国家持续推进企业法律建设,对企业而言,关于法律建设的要求都是很直接且明确的:
1) 就日常经营,国家层面明确要求企业做到三项法律审核达到100%,这个要求坚持了近20年。至于哪些属于三项法律审核的范围,以及法律审核关注点及关注事项,也都有各种上级文件的要求;
2) 就纠纷处理,法律救济是基本业务。
6、关于合规
2019年是很多国企合规的起步年,不少央企已经建立里自己的合规体系,也有很多企业还没有合规管理体系在运行。无论属于何种情况,合规的理念都需要在三标体系里有所体现。同时,合规作为新生事物,它关注的对象重点倒真不在生产过程,更多关注决策、经营、管理行为,要求相关行为符合国际规则、所在国法律与规则、中国自身的法律法规,要求企业经营应符合道理要求,所以合规管理有独立的体系是难免的。但合规体系与企业经营管理不会是、也不允许是两层皮,应该是融为一体但又强化了监管的格局。
7、法律、合规、内控与全面风险管理的关系
1)对企业而言,法律、合规、内控、全面风险都是一种理念。
从企业风险管控的角度来说,我们认为从风险层级低到高的顺序应是:
法律管理→合规管理→内部控制→全面风险管理。
法律管理是最基础的层面,法律是底线与红线,逾越了就要付出代价。
合规管理是因为融入世界后的法律管理升级版,在中国法律之外加入了企业道德标准、国际规则、国际规范等。合规管理的本质并不聚焦于风险管理,它只是要求企业要有不违反内外部法律及制度规范的道德认知,同时,国际组织会惩罚哪些无此道德认知并做出违规事件的企业,相关国家会以刑法加诸于违反了国际规则的企业经营层人员。
内部控制是企业管理理念,不但要求企业行为符合规范,同时还要考察企业规范是否完善、企业规范有没有配备相应的执行点,执行企业规范的过程是不是有效。
全面风险管理是风险管控的最高形式,一切控制都是为了避免风险。
2)对企业实际运行而言,可以将三标体系当作法律、合规、内控、全面风险等理念落在实处的载体,作为理念落地的指南及手册。
8、企业内部如何整合为好?
就国内企业的现状而言,有将合规、法务、内控、风控按“四位一体”的思维整合,划归企业法务部门统一管理的,也有将内控、三标整合,划归企业标准生产部门管理、将合规、法律、风控划归企业法律部管理的…..各有特色,并无定论。
尽管从理论上,将合规、内控、风控、法务、三标明确交由企业内不同部门归口管理,也属于实现了企业层面的管理要素有序整合,但公司不同部门之间的沟通、协同都难免客观存在降效的情况,各企业应该根据自身所在行业及企业本身管理风格做出合理调配。
9、企业法律事务机构及企业法务人需要直面
大多数企业法律部门的基础职能应是在国务院国有资产监督管理委员会颁布《国有企业法律顾问管理办法》之后,根据该文件要求企业法律事务部门应承担的10项职责构建的,企业法务人员的工作焦点自然在合同审查及企业纠纷案件处理上。
自合规建设兴起,无论是从合规本意考虑还是借鉴国际经验,企业法律机构已毫无争议地需要承担起企业合规的归口管理职责。
随着合规建设的推进,整个社会及企业都迟早会发现,合规建设将极大程度上改变过去十多年企业法务人员的工作状态(无论是工作深度、工作方式、还是业务覆盖面上都是如此)。尤其对于面对全球市场的竞争性企业里的企业法律机构及法务人,即便企业的内控、风控归口职责在企业其他部门,但因为企业内控、风控体系上的短板、运行上无意或故意疏忽,都极大几率转化为企业法务人需要处理的棘手事件,且因为“合规”职能的承担,而使企业法律事务机构及法律事务人员成为这里事件里永远存在的责任者。
总 结
法律、合规、内控与全面风险管理都不独立于具体生产经营业务而存在,都可以以三标体系的形式实现。
1)可以把内部控制理论视为一切管理的方法论:
①从体系建设上而言,所有体系建设都应该遵循内部控制的理念与方法论;
②从工作实践而言,任何活动也都应该遵循内部控制的理念与方法论
2)在企业经营生产中,内控、风控、三标可以直接整合:内控是理念、风控是目标、三标是载体。
3)应对外部检查,三标、内控、风控依然得按各自的套路运行;
4)企业法律建设体系、合规体系只要生下来就会有好的融合性,法律本身既是工作也是理念,而合规本身就是理念,这种理念要求天然需要在企业的三标、风控、内控中体现出来。所以关于融合,以及融合后的工作调整,可以结合合规体系一并构建。
竹影扫尘
现任某央企大型子公司总法律顾问,中国技术经济学会 高级会员,英国皇家测量师学会专业会员,教授级高工。在基建领域从事招投标、商务、合同管理近三十年;在基建投资、经济咨询领域有丰富经验;成功处理过特大纠纷案件及系列纠纷案件。