各自政態度應付這些要求,導致公司治理、風險管理和合規管理流程疊牀架屋、複累贅。
這些問題相關費用上升,企業高管層努力希望通過地管理業務風險,達到法定合規要求及遵守財務報告規定之外,讓這些工作創造出價值。
第一條 進一步加強和提升XX集團有限公司(以下簡稱:公司)及所屬各子公司依法規範管理、依法合規經營能力和水平,建立健全合規管理體系,實現公司合規管理制度化、規範化,防範合規風險,保障公司質量發展,《中華人民共和國公司法》《中華人民共和國企業國有資產法》《關於全面推進法治央企建設意見》《中央企業合規管理指引(試行)》《企業境外營合規管理指引》有關法律法規,結合公司實際,制定本辦法。
第三條 本辦法稱合規,是指公司及各子公司及其員工經營管理行為符合適用法律法規、監管規定、行業準則和企業章程、規章制度以及國際條約、規則要求。
第四條 本辦法稱合規風險,是指公司和各子公司及其員工因不合規行,引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響可能性。
第五條 本辦法稱合規管理,是指以防控合規風險目的,公司和各子公司及其員工經營管理行為對象,開展包括制度制定、風險識、合規審查、風險應、責任追究、考核評價、合規培訓有組織、有計劃管理活動。
(一)全面覆蓋原則。公司合規管理應覆蓋所有業務領域、各部門、各子公司和分支機構、全體員工,貫穿決策、執行、監督全流程。(二)強化責任原則。合規管理應作公司主要負責人履行推進法治建設第一責任人職責工作內容。建立全員合規責任制,明確管理人員和各崗位員工合規責任並督促。(三)協同聯動原則。公司合規管理與法律風險防範、紀檢、審計、內控、風險管理工作籌、銜接,保合規管理體系運行。(四)客觀獨立原則。嚴格法律法規等規定公司和員工行進行客觀評價和處理。合規工作機構獨立履行職責,受其他部門和人員干涉。
第七條 公司應當樹立合規經營理念,大力營造合規文化氛圍,全員樹價值觀,積極引導員工合規從業,做到合規經營、人人有責,切實防範合規風險。
1.合規管理組織體系:包括合規管理決策機構、領導機構、合規負責人、合規工作機構、合規工作人員設置及其合規管理職責;2.合規管理制度體系:包括公司合規管理所各項經營管理規章制度和流程,合規管理基本制度及流程、專項合規管理制度和流程;3.合規管理運行機制:包括合規重點領域、環節、人員和行為確定、合規風險識別及管控、合規事項調查及獎懲機制;4.合規管理保障機制:包括合規理念宣導、合規文化培育、合規培訓教育制度。
第十一條 公司設立合規管理委員會,合規管理委員會職責主要包括:
(一)公司董事會決定,建立健全合規管理組織架構;(二)審議公司合規管理戰略規劃、基本制度、年度工作報告和工作方案;(三)審議、批准公司合規管理制度規定、合規管理計劃和合規管理流程,採取措施保合規制度得到執行和合規要求融入業務領域;(四)審議、批准公司報告合規風險事項;(五)決定公司合規風險或合規事項解決方案;(六)監督各位合規管理規章制度建設執行情況,促進建立企業依法合規管理效機制;(七)保障合規負責人、合規工作機構及合規工作人員獨立履行合規管理職責,並提供相應履職條件;(八)倡導和培育公司合規文化;(九)及時制止並糾正不合規經營行,並公司違規問責相關規定有關違規人員進行責任追究或提出處理建議;(十)指導、監督和評價公司合規管理工作;(十一)經公司董事會授權或其他規章制度規定職責。公司合規管理委員會下設辦公室,設法律事務部,作為合規工作牽頭部門,負責委員會工作。
公司業務部門是本業務領域合規管理責任部門,“業務工作誰主管,合規責任誰承擔”原則,負責本業務領域合規管理工作,合規管理工作中主要職責包括:
(一)要求完善業務管理制度和流程,保執行;(二)主動開展合規風險識別和隱患排查,發佈合規預警;(三)組織合規審查,及時公司法律事務部報告合規風險事項,妥善應對處置合規風險事件;(四)進行合規宣貫和培訓及商業夥伴合規調查工作,並配合違規問題調查及組織開展整改工作。
整體負責組織、協調和監督合規管理工作,研究起草合規管理方案和計劃、基本制度和專項制度,組織開展風險識預警,參與事項合規審查和風險應,為其他部門提供合規支持。
第十四條 公司合規管理“第三道防線”為公司紀檢、審計相關部門,職權範圍內履行合規管理監督職責。
審計部門負責組織合規審計,發現違規問題時,督促違規整改,紀檢部門負責其職責範圍內,履行合規管理監督職責,並加強工作協同和銜接,保合規管理體系運行。
第十五條 公司應當外部環境變化,結合自身實際,全面推進合規管理基礎上,突出重點領域、重點環節和重點人員,切實加強合規風險防範。
(一)公司管控1.貫徹執行黨和國家方針政策、決策部署、國家法律法規、公司規章制度,“三重”、以及規章制度規定程序和權限履行決策。2.執行國資委、集團國有資產監管相關規定,定期開展風險評估,經營投資風險及時分析、識別、評估、預警、應,發現風險隱患、風險事件及時報告、處理。3.定期開展內控測試和評價,發現內控缺陷問題及時處理、報告。4.及時整改落實上級監管機構問題提出整改工 作要求。5.規章制度、經濟和決策法律審核率達到 100%。(二)市場交易1.完善交易管理制度,建立健全自律信體系。2.嚴格遵守反商業賄賂、反壟斷、反競爭相關法律法規,嚴禁各種方式商業賄賂、壟斷、競爭行為。3.正確履行合同,不得理由放棄應得權益。4.嚴禁開展融資性貿易或“轉”“走單”貿易業務。5.規定開展招投標、賒銷信用、資質、擔保或預付款項等業務。6.規定應收賬款及時追索或採取保全措施。7.商業夥伴和存在潛在合規風險商業夥伴開展合規調查,通過簽訂合規協議、要求作出合規承諾方式促進商業夥伴行為合規。(三)安全環保。嚴格執行國家安全生產、環境保護法律法規,完善企業生產規範和安全環保制度,加強監督檢查,開展安全、環境保護、職業相關合規風險識排查, 及時發現並整改違規問題。(四)產品質量。完善質量管控體系,加強過程管理,各環節質量關,提供優質產品和服務。(五)勞動人事。嚴格遵守勞動法律法規,完善勞動管理制度,規範勞動簽訂、履行、變更和解除,切實維護勞動者合法權益。(六)財務税收。完善財務內部控制體系,嚴格執行財務事項操作和審批流程,財經紀律,強化依法納税意識,嚴格遵守税收法律政策。(七)轉讓產權、股權、資產。審批程序和權限履行決策程序,規定要求開展審計和資產評估,規定要求和公開公平交易原則定價,規定執行迴避制度,規定進場交易。(八)投資併購1.規定履行決策和審批程序,決策時充分考慮風險因素並制定風險防範預案。2.規定開展可行性研究、盡職調查並進行風險分析,盡職調查存在疏漏。3.規定進行財務審計、資產評估和估值。4.確保相關報告內容,不得出具報告。5.規定項目概算進行審查,確保不出現偏離實際情況。6.外部環境和項目本身情況發生變化,規定及時調整投資方案並採取止損措施。7.嚴格執行投資項目負面有關規定。(九)知識產權。及時申請註冊知識產權成果,規範實施許可和轉讓,加強商業秘密和商標保護,依法規範使用他人知識產權,防止侵權行為。(十)贊助捐贈。建立健全贊助捐贈管理制度,嚴格履行審批決策程序,正確履行企業社會責任;(十一)境外經營。圍繞市場熱點、監管重點和集團核心業務,關注和研究相關合規風險,及時發佈相關風險提示,建立健全境外業務管理制度,建立風險排查、預警及應機制,遵循地關於外商投資各項監管規定,切實防控境外合規風險。(十二)進出口貿易。遵守全球業務貿易管制和制裁規範。實施禁運國家或地區,任何個人或公司不得參與或協助運國及其國民或居民商品或服務,做到進出口合規。(十三) 其他需要重點關注領域。
(一)制度制定環節。強化規章制度、重組改制方案重要文件合規審查,確保符合法律法規、監管規定要求;(二)經營決策環節。嚴格落實“三重”決策制度,細化各層級決策事項和權限,加強決策事項合規論證關,保障決策依法合規;(三)生產運營環節。嚴格執行合規制度,加強重點流程監督檢查,確保生產經營過程中照章辦事、章操作。(四)其他需要重點關注環節。
(1)管理人員。促進管理人員切實提高合規意識,帶頭依法依規開展經營管理活動,認真履行承擔合規管理職責,強化考核監督問責;(2)風險崗位人員。合規風險評估情況明確界定風險崗位,有性加大培訓力度,使風險崗位人員熟悉並嚴格遵守業務涉及各項規定,加強監督檢查和違規行為追責;(3)海外人員。培訓作為海外人員任職、上崗條件,確保遵守我國和所在國法律法規等相關規定。(4)其他需要重點關注人員。
(一)深入研究投資所在國法律法規及相關國際規則,全面掌握禁止性規定,明確海外投資經營行為紅線、底線;(二)海外合規經營制度、體系、流程,重視開展項目合規論證和盡職調查,依法加強境外機構管控,規範經營管理行為;(三)定期排查梳理海外投資經營業務風險狀況,重點關注重決策、、大額資金管控和境外子企業公司治理方面存在合規風險,妥善處理、及時報告,防止風險或影響擴大蔓延。
第二十條 公司及各子公司應建立健全合規管理制度,制定全員普遍遵守合規行規範,重點領域制定專項合規管理制度,並法律、規則和準則變化和監管動態,及時外部有關合規要求轉化內部規章制度。
第二十一條 公司及各子公司應建立合規風險識別預警機制,全面系統梳理經營活動中存在合規風險,風險發生可能性、影響程度、潛後果進行系統分析,於典型性、普遍性和可能產生後果風險及時發佈預警。
第二十二條 公司及各子公司應加強合規風險應,發現合規風險制定預案,採取措施,及時應處置。公司及各子公司經營管理活動中因違反法律法規、上級監管規定或內部規章發生(或發生)以下合規風險事件,公司合規管理委員會統籌協調處理,及時或指定負責人,有關業務主管部門主支撐,相關部門協同配合,限度化解風險、降低損失。
第二十三條 公司及各子公司應建立健全合規審查機制,審查作為規章制度制定、事項決策、簽訂、項目運營經營管理行為程序,及時不合規內容提出修改建議,審查不得實施。
第二十四條 公司及各子公司應強化違規問責,完善違規行為處罰機制,違規責任範圍,細化懲處標準。舉報渠道,反應問題和線索,及時開展調查。調查證實存在違規行為,應相應規章制度和流程進行處理,追究違規單位和違規人員責任。
(一)發現違規行,公司審計部應有關單位發出書面整改通知,有關部門應及時整改並反饋整改結果。(二)違規行為公司造成損失或其他後果,公司有關規定處理。觸犯國家刑事法律者,將移送司法機關處理。(三) 違規行為公司造成損失或其他後果,給予責任單位和責任人員相應懲戒。相關負責人規定履行合規政策傳達、勸阻和制止職責,可予以處理。(四) 發現違規事件或行為,應報報,報、謊報、瞞報、漏報,或者經核認有其他失職、違規行為,情節和影響程度,國家或公司有關規定追究責任,觸犯國家刑事法律者,將移送司法機關處理。(五) 違規問責情況抄送法律事務部備案。
第二十五條 公司及各子公司應開展合規管理評估,定期對合規管理體系有效性進行分析,對或反覆出現合規風險和違規問題,深入查找根源,完善相關制度,堵塞管理漏洞,強化過程管理,持續改進提升。
第二十六條 公司發生第二十二條所述合規風險事件,應事件發生時公司業務分管領導口頭報告,報告公司法律事務部,並事件發生後 3 日內形成專題報告上報。
(一)合規風險事件基本描述,包括發生時間、地點、崗 位、相關責任人和;(二)合規風險事件認定;(三)可能或形成影響或損失程度估計;(四)採取措施和後續措施;(五)報告單位認為需要説其他事項。
各業務部門經營管理活動中,風險識別和預判,可能發生合規風險事件,應及時報告公司業務主管領導,報告公司法律事務部。公司各子公司發生第二十二條所述合規風險事件,應事件發生時公司業務主管部門口頭報告,報告公司法律事務部,並事件發生後3日內形成專題報告上報。公司各子公司經營管理活動中,風險識別和預判,可能發生合規風險事件,應及時報告公司業務主管部門,報告公司法律事務部。
第二十七條 公司及各子公司應加考核評價,合規管理情況納入各部門和所屬企業負責人年度綜合考核,細化評價指標。各業務部門和員工合規職責履行情況進行評價,並結果作為員工考核、幹部任用、評先選優等工作。
第二十八條 公司及各子公司應加管理信息化建設,通過信息化手段優化管理流程,記錄和保存相關信息,加強企業經營管理行為依法合規情況在線監控和風險分析,實現信息集成與共享。
第二十九條 公司及各子公司應建立專業化、素質合規管理隊伍。合規管理機構設置專職合規崗位,各業務部門設置合規專員崗位。公司及各子公司應業務規模、合規風險水平因素配備專職合規管理人員,持續加強業務培訓,提升隊伍能力水平。規模子公司,可以設立專門合規管理機構,相關部門履行合規管理職責,同時明確相關負責人和聯繫人員。海外經營地區、重點項目應明確合規管理機構或配備專職合規工作人員,切實防範合規風險。
第三十條 公司及各子公司合規工作機構應制定年度合規培訓計劃,並本單位人事部門或其他相關部門建立協作機制,培訓列入員工年度培訓計劃;公司及各子公司應每年組織一次全員合規培訓。
第三十一條 公司及各子公司應積極培育合規文化,通過組織合規培訓、簽訂合規承諾書、製作傳播合規宣傳媒介方式,增強全體員工合規意識,樹立依法合規、守法價值觀,築牢合規經營思想基礎。
第三十二條 公司及各子公司建立合規管理表彰獎勵政策,對合規管理進單位和個人,給予表彰獎勵。
(一)本年度合規管理工作開展情況,包括:合規管理組織體系建設及職責履行情況,合規管理制度體系建設情況,合規風險管控機制建設及運行情況,違規行為調查及處理情況,合規管理保障機制建設及運行情況;(二)下一年度合規管理工作方案;(三)年度合規管理工作報告數據表(年度合規管理工作報告數據表見附錄一)公司年度合規工作報告,經公司合規負責人審定後報公司董事會。
第三十四條 公司各子公司本辦法,結合實際情況制定本單位合規管理制度。
第三十五條 本辦法盡事宜,國家有關法律法規執行。
第一條 建立規範、XX有限公司(以下簡稱“公司”)全面風險管理體系,防範、控制和化解公司經營管理過程中可能發生或出現風險,促進企業持續發展,保障企業資產保值增值,《中華人民共和國公司法》、《中央企業全面風險管理指引》法律法規及規章制度,結合公司實際,制定本辦法。
第二條 本辦法適用於公司總部。公司下屬各級全資、控股子公司(以下簡稱“下屬企業”)應結合本單位經營管理實際,本辦法制定相應風險管理內部控制管理實施細則。
第三條 本辦法稱風險,指未來定性企業實現其戰略目標和經營目標影響。
第四條 本辦法稱全面風險管理,指企業圍繞總體經營目標,通過企業管理各個環節和經營過程中執行風險管理基本流程,培育風險管理文化,建立健全全面風險管理體系,從而實現風險管理總體目標提供合理保證過程和方法。
第五條 公司全面風險管理總體目標:(一)確保公司各項經營管理活動遵守有關法律法規;(二)確保風險控制總體目標適應並可承受範圍內;(三)確保公司有關規章制度和實現經營目標而採取措施貫徹執行,保障經營管理有效性,提高經營活動效率和效果;(四)確保公司建立各項風險發生後危機處理方案,保護企業災害性風險或人失誤而遭受損失;(五)提高公司員工風險管理意識,形成風險管理文化。
第六條 公司全面風險管理遵循全面、、合理、制衡、獨立原則,確保風險管理有效性。(一)全面性。公司風險管理應當做到事前、事中、事後控制相統一;覆蓋公司所有業務、部門和人員,滲透到決策、執行、監督、反饋各個環節。(二)重要性。全面風險管理基礎上,關注重要業務、重點項目和風險領域。(三)合理性。全面風險管理應公司經營規模、業務範圍、風險狀況及所處環境適應,應以合理成本實現風險管理目標。公司應實際出發,務求實效原則,制定開展全面風險管理總體規劃,予以實施。(四)制衡性。風險管理應當在治理結構、機構設置及權責分配、業務流程方面形成制約、監督,同時兼顧運營效率。(五)獨立性。承擔風險管理監督檢查職能部門應當獨立於公司其他部門。
第八條 全面風險管理應涵蓋公司治理經營管理活動中所有環節,包括:(一)公司治理環節:主要包括股東大會、董事會、黨組織委員會理辦公會會議運作和管理層職權。(二)資產購買和出售環節:主要包括資產自建、購置、處置、維護、保管記錄。(三)外投資環節:包括投資有價證券、股權、金融衍生品及其他、短期投資、委託理財、募集資金使用決策、執行、保管記錄。(四)外擔保、籌融資環節:包括借款、擔保、承兑、租賃、發行債券授權、執行記錄。(五) 關聯交易環節:包括關聯方界定,關聯交易定價、授權、執行、報告和記錄。(六)經營管理環節:主要包括生產、採購付款、銷售收款、財務會計管理、全面質量管理、產品研發、人事管理、環境保護、安全管理。
第十一條 公司董事會負責規劃公司整體風險控制體系。提出全面風險管理目標和實施要求,審議公司風險管理和企業內控制度、組織機構設置及其職責方案,以及其他涉及公司權益風險處置方案。
第十二條 理辦公會負責董事會要求,制定公司風險控制體系總體方案和實施步驟。全面風險管理體系建設,持續改善公司整體風險管理體系;對風險問題提出解決方案並組織實施,危機事件設立臨時性處理機構;指導和督促下屬企業全面風險管理工作。
第十三條 公司綜合管理部為公司風險管理職能部門,公司經理層負責並報告工作。主要職責:(一)負責公司全面風險管理體系建設、推進和管理工作,指導各部門風險管理工作實施,協調解決風險管理過程中一般性問題;(二)組織編制公司全面風險管理年度工作報告並經理層提交;(三)組織制定公司風險管理有關規章制度;(四)組織建立公司風險管理信息系統;(五)配合人力資源部組織風險管理有關培訓活動;(六)組織研究並提出風險管理策略和跨部門風險解決方案,監督檢查解決方案實施情況;(七)負責風險管理有效性持續評估,研究提出風險管理改進方案;(八)負責組織風險管理工作考核;(九)負責公司風險管理文化建設;(十)負責經理層交辦全面風險管理相關其他工作。
第十四條 審計部門是企業全面風險管理監督部門,負責企業全面風險管理監督和評價。
第十五條 公司各職能部門和業務部門是風險管理執行機構。各部門負責人本部門職責範圍內風險控制第一責任人。主要職責:(一)執行風險管理規章制度和基本工作流程;(二)負責本部門風險管理初始信息收集整理工作,建立健全本部門風險管理內控子系統,提出本部門業務流程中風險點和控制點識別信息;(三)研究提出本部門事項和業務流程風險識別和判斷標準,提出本部門風險風險解決方案,並負責該方案組織實施和該風險監控;(四)負責提出本部門業務風險評估報告;(五)參與起草全面風險管理年度報告;(六)負責風險管理信息化系統本部門運行操作;(七)負責組織制定本部門各項業務風險管理制度,或編制各項業務管理制度時建立風險控制內容;(八)負責本部門風險管理工作自查和風險管理文化建設有關工作。
第十六條 參照《中央企業全面風險管理指引》,公司面臨風險分為戰略風險、運營風險、市場風險、財務風險、法律合規風險及風險六大類別。公司風險實行歸口管理、分工負責管理原則,各部門應本辦法規定,對各自負責風險領域實施管理監控。(一)戰略風險:公司董事會和理辦公會負責企業戰略風險管理監控;(二)運營風險:公司各部門負責各自所屬運營管理風險管理監控;(三)市場風險:公司業務部門負責各自所屬業務領域市場風險管理監控;(四)財務風險:公司財務部門負責財務風險管理監控;(五)法律合規風險:公司綜合管理部、董事會辦公室、環保合規部、廢家電事業部負責企業合規和法律事務風險管理監控;(六)風險:綜合管理部、人力資源部負責公司職工從業風險管理和監控。
第十七條 公司建立風險管理信息收集積累機制。風險管理信息包括風險及風險管理相關宏觀經濟、政策法規、市場狀況、技術革新、財務狀況、人力配置、管理措施、信息報告方面信息。公司各部門應、持續地收集風險信息,並通過信息化系統或其他方式送交公司。風險管理職能部門,公司風險管理職能部門應風險信息進行整理和辨識,應用於風險識別和風險評估工作。
第十八條 公司辨識風險信息基礎上,自身經營管理實際,組織公司各部門開展風險識工作。(一)戰略風險。指未來定性企業實現其戰略目標影響。(二)運營風險。指企業運營過程中,於外部環境複雜性和變動性以及主體環境認知能力和適應能力有限性,而導致運營失敗或使運營活動達不到預期目標可能性及其損失。(三)市場風險。指於市場及相關外部環境定性而導致企業市場萎縮、達不到預期市場效果乃至影響企業生存發展一種可能性。(四)財務風險。指財務基礎管理制度完備,運營經費控制使公司運營經費支出和管理成本未在指標控制範圍內;各項財務活動中,各種內外因素使財務狀況不明確,導致公司財務蒙受經濟損失風險。(五)法律合規風險。指於企業外部法律環境發生變化,或於包括企業自身內法律主體法律規定或定行使權利、履行義務,而企業造成負面法律後果可能性。(六)風險。指公司管理層或員工執行公司事務過程中或日常生活中出現謀求腐敗行為可能性。
第十九條 公司風險發生原因,結合實際情況,對上述風險細化分類,形成風險分類總目錄(見附件1)。
第二十條 公司風險發生概率以及影響程度,結合定量數據和定性分析進行風險評估。一般而言,公司可經風險評估風險分為風險、風險、風險和風險四個等級(見附件2)。
第二十一條 公司風險評估標準描述、説、歸類各種風險,並風險和風險形成風險管理。公司評估多項風險時,各項風險進行,確定關注重點和管理優先順序。
延伸閱讀…
第二十二條 風險評估由公司組織各部門自行組織實施,時可聘請有資質、信譽風險管理專業諮詢機構協助實施。
第二十三條 風險管理策略,是指公司自身條件和外部環境,圍繞公司發展戰略,確定風險、風險承受度、風險管理有效性標準,選擇風險管理工具總體策略,並確定風險管理所需人力和財力資源配置原則。
第二十四條 公司業務確定風險和風險承受度,風險限度和不能超過限度,並此確定風險預警線及相應採取對策。
第二十五條 公司風險收益相平衡原則,風險管理成本資金預算和控制風險組織體系、應措施總體安排。
第二十六條 風險管理策略應包括風險規避、風險轉移、風險降低、風險接受四種方式:(一)風險規避:即為了避免受風險影響而退出業務活動應對方式;(二)風險轉移:即利用工具風險部分或全部轉移第三方,防止遭受災難性損失應對方式;(三)風險降低:即採取控制措施降低風險事件影響程度或發生概率,風險控制可接受範圍內應對方式;(四)風險接受:即風險規避、風險轉移、風險降低策略可行,或採取措施成本超過接受風險成本情況下,風險採取任何措施,接受該風險應對方式。
第二十七條 公司自身風險和風險承受度,採用一種或多種應方式結合,管理和應風險。
第二十八條 風險,可通過現有制度與流程加以控制,增加額外控制,但風險事件實際發生後應及時分析總結,並結果報風險管理職能部門備案。
第二十九條 風險,公司應對現有制度與流程進行評估,查找差距與,補充完善控制措施,應風險,防範風險升級擴散,並結果報風險管理職能部門備案。
第三十條 風險和風險,應公司整體層面上加以應。應相關部門會風險管理職能部門研究提出風險管理措施和解決方案,內容包括但限於風險目標,所需組織領導,所涉及管理及業務流程、所需要資源,相關工作安排。
第三十一條 公司定期總結和分析制定風險管理策略有效性和合理性,結合實際修訂和完善。
第三十二條 公司經營戰略風險策略、風險控制運營效率相平衡原則,建立和完善風險管理內控機制。
第三十三條 公司建立風險管理內控機制,應建立健全以下制度和包括以下內容:(一)崗位授權制度。所涉及各崗位明確規定授權對象、條件、範圍和額度,任何組織和個人不得超越授權做出決定;(二)審批流程制度。明確規定各類審批事項批准程序、條件、範圍和額度、必備文件以及有權批准的部門和人員;(三)內控責任制度。權利、義務和責任相統一原則,明確規定各有關部門和業務單位、崗位、人員應負責任和獎懲制度;(四)預算管理制度,明確各部門預算管理中職責權限,規範預算編制、審定、下達和執行程序,強化預算約束;(五)審計檢查制度。結合內控有關要求、方法、標準流程,明確規定審計檢查對象、內容、方式和負責審計檢查部門;(六)考核評價制度。應科學設置考核指標體系,企業各部門和全體員工業績進行定期考核和客觀評價,考評結果作為員工獎懲、聘任、交流、培訓;(七)風險預警制度。對風險進行持續不斷監測,及時發佈預警信息,制定應急預案,並情況變化調整控制措施;(八)堅持不相容崗位職責分離原則,建立崗位權力制衡機制。堅持授權執行、執行監督不相容崗位分離設置,確有時可關鍵崗位設置一崗雙人,制約,減少錯誤和舞弊管理風險。
第三十四條 條件時,公司將信息技術應用於全面風險管理工作,風險管理企業各項管理業務流程、管理軟件統一規劃、統一設計、統一實施、運行。
第三十五條 公司內部控制目標,結合風險應策略,綜合運用控制措施,各種業務和事項實施控制。
第三十六條 公司建立風險預警機制和突發事件應急處理機制,風險預警標準,對可能發生風險或突發事件,制定應急預案、明確責任人員、規範處置程序,確保突發事件得到及時妥善處理。
2006年開始,中國後出台全面風險管理、內部控制、合規管理管理體系要求,國有企業防範風險、依法合規經營提供了系統政策指導。一系列制度政策頒佈,中央企業、國有企業要求推進全面風險管理體系建設、內控管理體系建設和合規管理體系建設。同時,部分國有企業各管理體系之間關係如何整合存在。本文通過梳理建立各管理體系政策,釐關關係,繼而提出各體系整合思路。
2006 年 6 月,國務院國資委頒佈了《中央企業全面風險管理指引》,為中央企業做好風險管理工作提供了指南。2008年5月,財政部五部委頒佈《企業內部控制基本規範》相關文件成為包括央企內企業內部控制工作指引。2018 年 11 月,國務院國資委頒佈《中央企業合規管理指引(試行)》,為中央企業做好合規管理提供了政策。2018 年 11 月,國務院國資委頒佈《中央企業合規管理指引(試行)》,於中央企業合規管理體系建設提出要求和建議。2022年9月,國務院國資委頒佈正式發佈《中央企業合規管理辦法》,成為中央企業合規管理主要規則。這些文件頒佈,加強了中央企業風險管理、內部控制與法律合規意識。中央企業、國有企業普遍以此建立相應管理組織架構體系以及相應工作部署與安排。
《中央企業全面風險管理指引》,全面風險管理是企業圍繞總體經營目標,通過企業管理各個環節和經營過程中執行風險管理基本流程,培育風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理組織職能體系、風險管理信息系統和內部控制系統,從而實現風險管理總體目標提供合理保證過程和方法。
《企業內部控制基本規範》,內部控制是一種管理過程,其目標是合理保證企業經營管理資金資產安全以及合法合規。內控管理,董事會、經理層企業治理主體需將業務流程上關鍵控制嵌入制度條文,設計一系列風險防控規定,努力提高經營效率和效果,促進實現發展戰略。
《中央企業合規管理辦法》,合規管理是指企業防控合規風險目的,提升依法合規經營管理水平導向, 企業經營管理行為和員工履職行為對象,開展包括建立合規制度、完善運行機制、培育合規文化、強化監督問責有組織、有計劃管理活動。可見,合規管理是一種管理活動,其目的是防控合規風險,企業需法律法規監管要求,即企業合規義務轉化規章制度,實現“外規內化”,解決“哪些做”“哪些不能做”,以及過程中行活動“紅線”和“底線”是什麼,通過明確對應責任,提升執行有效性。
(一) 三者之間存在邊界,之間涵蓋或取代
通過對全面風險管理、內部控制和合規管理三種管理體系建設要求進行總結,可以歸納出其在建設目標、建設路徑和管理側重點上存在多:
企業管理各個環節和經營過程中執行風險管理基本流程,培育風險管理文化,建立健全全面風險管理體系
延伸閱讀…
提高企業經營管理水平和風險防範能力,促進企業可持續發展
提升依法合規經營管理水平導向,企業經營管理行為和員工履職行為對象,開展包括建立合規制度、完善運行機制、培育合規文化、強化監督問責有組織、有計劃管理
管理企業和員工經營管理行為,保障符合法律法規、監管規定、行業準則和企業章程、規章制度以及國際條約、規則要求
政策要求、概念分析及工作方法體會,可以看出三者之間關聯,不可分割。
從《全面風險指引》內容和要求,其借鑑了發達國家有關企業風險管理法律法規、國外大公司風險管理方面通行做法,以及國內有關內控機制建設方面規定,對中央企業開展全面風險管理工作總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監督改進、風險管理文化、風險管理信息系統方面進行了詳細闡述,覆蓋了企業管理各方面、各層次和各過程存在風險。
從《企業內部控制基本規範》和《企業內部控制應用指引》內容和要求可以看出,財政部要求這個內控體系是建立風險管控基礎上,主要是合規風險、資產管理風險,財務角度內部控制和財務報告真實性和完整性提出了要求。這國資要求全面風險管理體系本身很多要求是,體系存在一部分重疊。
從全面風險管理涵蓋外延,全面風險管理涵蓋了內部控制,內部控制系統是全面風險管理一個子系統。內部控制是全面風險管理環節,於企業面臨運營風險,內部控制系統是、和風險管理方法。
合規管理是企業全面風險管理核心內容,是風險控制基礎、底線。原保監會《保險公司合規管理辦法》第3條明文規定,合規管理是保險公司全面風險管理一項內容,是實施內部控制一項基礎性工作。原銀監會《商業銀行合規風險管理指引》第4條規定,合規管理是商業銀行一項核心風險管理活動。商業銀行應綜合考慮合規風險信用風險、市場風險、操作風險和其他風險關聯性,確保各項風險管理政策和程序一致性。同時,全面風險管理企業合規風險管理提供風險管理技術方法、經驗和實踐案例。
企業內部控制目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息。保證企業經營管理合法合規是內部控制首要目標。企業合規管理通過建立健全合規管理體系,助力企業內控落地,完善內控架構,推動實現企業內控首要目標,保障企業經營管理合法合規性。
合規管理幫助梳理和審查企業內部規章制度,其存在問題進行修改、補充,使合法合規,並需要制定規章制度,明確各部門管理邊界協調合作機制,消除職責重疊、交叉和推諉,填補管理真空,形成管理合力。
通過對三者之間關係解析可以看出——合規管理是基礎,是企業經營發展底線,體現了外部制性要求,如法律法規要求、政府監管政策。內部控制是手段,內部控制不但要求合規,還要求各環節、各流程合規是完善、,傾向於過程實施和控制。風險管理是導向,風險管理範圍全面,通過執行風險管理基本流程,企業面臨戰略風險、財務風險、市場風險、運營風險和法律風險五類風險進行管控,但是要合規風險管理基礎,內部控制為抓手,將控制目標、控制措施內容融入風險管理策略和風險應措施,實現風險管理總目標。三項管理體系構建過程中缺一不可,是結構化和不可分割,是“三位一體”關係。
當今世界進入了一個烏卡時代,我們一個變性、定性、複雜性、模糊性共存世界裏。企業生存發展面臨着無數定性,事件引發全面風險管理、內部控制、合規管理(下稱風險、內控、合規)後引入企業管理,成為我國企業治理組成部分,並日益受到各方面重視。同時,於企業外部管理部門管理角度和監管要求,風險管控導向三類管理體系導入企業後,使企業內部三項管理工作出現了多部門管理、多體系並存、多軌道運行風險管理格局,造成了體系複建設、人員重疊配置、職能重合交叉、管理多重並行問題,既浪費了企業資源,加重了業務負擔,減低了管理效率,嚴重影響了風險、內控、合規管理實踐效果,此,本文擬結合多年管理諮詢實踐經驗,深入總結分析風險、內控、合規分線條管理弊端基礎上,探究了三者整合構建必要性和可行性,提出構建風險、內控、合規三位總體框架和基本思路。
全面風險管理和內部控制合規管理企業治理框下管理活動,屬於同質化管理活動,5W2H管理分析法基本要點,風險管理內部控制和合規管理之處包括:管控目的,管控對象,管控主體,管控方式,管控目標,管控基礎。而之處於風險管理、內部控制合規管理源於背景,管理視角、維度、側重點和作用領域各有不同,主要表現管控功能,全面風險管理既可以幫助企業保持價值,可以幫助企業創造價值;內部控制保持和維護企業價值;合規管理主要是防止企業遭受處罰和損失。管控,全面風險管理側重戰略層面且來企業外部機會利用和風險管控;內部控制側重內部業務運營層面風險預防控制;合規管理側重企業和員工對外強制性承諾義務和自願性承諾義務責任管控。管控層級,全面風險管理目標多利益相關者期望目標;內部控制目標為公司運行保障目標;合規管理目標主要為保障公司運行底線目標。管控範圍,全面風險管理風險包括外部風險和內部風險;內部控制風險主要指內部風險;合規風險既包括外歸內化風險,包括內部覺性承諾風險。
近年來,出於國家監控部門要求,企業自身管理內生性需要,以及企業競爭發展外影響,各企業導入並建立了全面風險管理、內部控制和合規管理制度與流程體系,員工風險意識增強,企業抵抗風險能力提高,風險事件有所遏制。與此同時,企業內部出現了全面風險管理、內部控制、合規管理複建設,多軌並行狀況,不可避免產生了制度體系衝突,流程繁瑣複雜,造成企業管理負擔加重,管理效率降低問題,主要表現:部門政策和要求,建立各自管理體系、管理制度與流程,造成多部門、多政策、多系統風險管理,使得風險管理政出多門,風控職能複交叉,風控要求目標多元,業務管理於響應。而且這種條線分割會形成部門牆,導致企業內部信息割裂,體系運行各自政,削弱了內部協同效應[1]。會使業務管理風險管理脱節,三項風險管理體系分離或交叉複,從而導致管理衝突或管理真空,降低了治理效率與效果,分散風險管理目標,增加業務負擔,淡化風險績效管理地位,出現評價標準分歧。
內部控制“內部環境”要素基礎上,將全面風險管理治理與文化、戰略目標設定要素和合規管理中合規政策與制度要素進行融合整合,形成“環境目標”要素,主要元素包括定義企業管理層基調,確定企業使命、願景、發展戰略、業務目標,實現企業目標搭建組織架構、配置人力資源、建立企業文化、確立風險、管理風格和合規義務。
內部控制“風險評估”要素基礎上,將全面風險管理“績效”要素中識別風險、評估風險程度、風險排序三個元素和合規管理“風險識預警”要素中合規風險識、合規風險評估、合規風險排序分級三個元素進行整合,形成“風險評估”要素,主要元素包括企業內外部所有風險因子識別、風險事項分析、風險後果評價[2]。
優化內部控制“風險評估”要素中風險應策略選擇元素和“控制活動”要素基礎上,將全面風險管理“績效”要素中選擇風險策略、制定執行風險解決方案元素和合規管理中“合規風險監測、合規風險應、合規審查、合規問責”要素進行整合,形成“風險應”要素,主要元素包括風險應策略選擇、風險監測、風險預警、風險控制、風險利用、重大事件應急處置。
內部控制“信息傳遞溝通”要素基礎上,將全面風險管理“信息、溝通報告”中信息系統建設、信息傳遞、信息報告元素和合規管理中合規信息溝通彙報進行整合,形成“溝通彙報”要素,主要元素包括信息傳遞組織架構、信息傳遞路徑、信息傳遞技術、信息報告內容。通過溝通彙報現風管理各要素之間、要素內外部環境之間、要素與元素之間、元素與元素之間信息聯通和交互傳遞,為管理與控制提供信息支持和。
內部控制“內部監督”要素基礎上,將全面風險管理中“評審整改”要素和合規管理中“合規評價改進”要素進行整合,形成“監督評價要素,主要元素包括環境監測評估、過程執行監控、控制績效評價、缺陷認定改進。
原內部控制三類目標基礎上,增加全面風險管理戰略目標,旨在通過“風險”管理,降低實現戰略目標定性,並提升內部控制和合規管理戰略地位。
整合風險內控合規管理確保運營效率與效果方面價值體現,運營目標定位確保企業各項規章制度、流程和實現經營目標而採取措施貫徹執行,防控合規風險,規範經營行為,保障經營管理有效性。
充分融合內部控制、全面風險管理合規管理內外部報告方面質量要求,確保企業內或外提供財務報告、經營報告、合規報告真實性可靠性,滿足利益各方需要,並贏得各方信任與合作,企業正確決策提供信息[3]。
原內部控制目標強調保證國家法律法規遵從性基礎上,擴大合規外延,提高合規地位,強調重要性,原目標基礎上增加企業規章、企業自願性承諾(契約義務、社會責任、道德倡議),地滿足利益各方訴求和社會期望。
《內部控制-整合框架》中“整個公司層面、分部、經營單元、職能部門”適應主體組件基礎,借鑑全面風險管理三道防線構架,整合形成“風險”管理三道防線,即:
包括經營單元、分部、業務部門、職能部門,主要職能是通過執行業務流程進行風險防控;
包括董事會下設風險內控合規管理委員會和企業“風險”歸口管理部門、對口專業職能部門,主要職能是通過風險管理決策、指導、審核進行風險管理;
包括董事會下設審計委員會和企業內部審計部門,主要職能是通過監督、定期評價、專項檢查進行風險管控和處置。
基於“風險”管理體系組成要件運作機理,將全面風險管理、內部控制合規管理進行三位一體整合構建,需要從以下六個維度並運用相應方式進行化整合。
企業生存發展不僅有賴於內部基礎環境,需要與外部環境進行交互作用,外部因素既會企業發展帶來機遇,會增加企業目標實現定性,同時存在着一些企業生存發展規則壓線。因此,企業風險管理體系建立不能無視這些內外部因素存在影響,反而需要遵循系統論環境適應性原,分析、改造和利用環境,公司相關環境因素轉化公司生產資源或要素,成為風險管理系統組成要件。一是全面風險管理關注外部政治、經濟、社會、技術、市場因素合規管理關注外部法律法規因素轉化企業內部資源、要素、規章,內部控制賴以存在企業內部環境因素融為,作為“風險”管理系統建立基礎影響因子,成為系統建設首要組件;二是環境分析作為企業戰略目標制定環節和基本決策因子,保證有的放矢,充分,決策正確;三是環境變化監測作為各責任主體風險觀察和報告職責,納入風險預警和內部報告體系,形成制度化、常態化風險動態監測評估機制。
實現企業目標提供合理保證是風險、內控與合規管理目標,構建化整合管理體系,統一目標為先導進行系統整合。
“企業使命-願景-戰略目標-業務目標”一致性原則,分解確立風險內控合規三位一體“風險”管理系統的統一目標體系。應解碼企業使命,轉換企業戰略目標,然後利用計分卡或OKR戰略分解工具分解確定業務目標,通過目標細分解析,識別出影響目標實現關鍵要素和風險因素,此基礎上,結合企業管理層風險、風險容忍度,統一確定“風險”管理系統戰略、運營、報告、合規四類目標,並職能職責進行時空二維分解,保證風險降低到企業可承受風險容忍度之內且能限度地促進企業戰略目標實現。
要正確處理四類目標之間關係,使其協調並保持總體目標同向性和一致性。其中戰略目標是先導目標,運營目標是核心目標,報告目標合規目標是基礎目標,四類目標支撐和保障企業價值和使命實現。目標統一過程中,戰略目標確定應兼顧管理層風險態度、企業風險回報期望水平、宏觀環境可控風險因素;運營目標包含內部控制單列資產目標,運營目標確定應考慮市場狀況、資產安全和利用、資源配置、員工素質水平;合規目標確定可企業管理能力與水平,確保外部法律法規要求行為標準基礎上,綜合全面風險管理、內部控制發展狀況,提高企業合規標準;報告目標確定應充分考慮報告使用者需要,確保報告及時性、完整性、性、準確性。
重要性原則,科學確定業務關鍵績效指標(KPI),匹配設置關鍵風險指標(KRI),風險預警指標閥值設置、風險管理績效評價奠定基礎,創造條件。
組織是目標實現主體集合,包括任務、職權、職責及之間運行機制和監督協作關係。風險內控合規組織化整合包括以下方面: