建立完善法律合规风险内控一体化管理体系 一体化推进国有企业全面风险管理与内部控制.docx
-
资源ID:67120836
资源大小:25.91KB
全文页数:10页
- 资源格式: DOCX
下载积分:15金币
快捷下载
会员登录下载
微信登录下载
三方登录下载:
微信扫一扫登录
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
建立完善法律合规风险内控一体化管理体系 一体化推进国有企业全面风险管理与内部控制.docx
建立完善法律合规风险内控一体化管理体系一体化推进国有企业全面风险管理与内部控制摘要企业如何就法律、合规、风险、内控管理体系进行有效衔接、协调 统一;如何进一步整合管理资源,提升管理效能,从而避免职能交叉、工作重复、 合力不足、效率不高、效果不显著等一系列问题。机电结合自身实际,建立四位 一体化的风险管理体系,对法律事务管理、合规管理、风险管理、内部控制有关 组织机构、工作目标、工作内容、方法、机制以及工作流程等进行有机整合,将 原本独立的法律风险管理体系、合规管理体系、经营风险管理体系及内部控制体 系进行融合,建立平台统一、信息共享、流程整合、功能强化、协调运转的风险 一体化管理体系,为其他企业整合风险管理资源、融合风险管理职能,提升依法 治企能力及风险管理水平,建立真正有效的、适应新形势市场竞争需要的一体化 的风险管理模式进行了探索,提供了可以推广、借鉴的风险管理模式。一、背景为促进国有经济持续健康发展,防范企业风险,国务院国资委及市国资委对 国有企业建立健全法治体系、合规管理体系、全面风险管理体系以及内部控制体 系均提出了明确要求。按照市国资委的管理要求,年月起,机电制定法律事务 管理制度,成立法律事务中心,逐步建立法律风险防范体系;2013年,机电启 动内控体系建设工作,并于年完成内控体系建设;年月,机电制定经营风险防 控体系建设方案(试行)以及风险信息库,初步建立经营风险防范体系;年 月起,市国资委陆续开展研讨会、组织宣传培训并下发市管企业合规管理工作 实施方案,机电启动合规管理体系建设。上述法律、合规、风险、内控管理工作,由于启动时间不同,监督实施主体 不同,机电按照上级要求逐步推进,四大体系建设先后分别由三个部门负责,法 律合规工作由法律事务部门负责,风险管理由运营管理部门负责,内控建设由财 务部门负责。相应地,机电对所属下级单位的法律、合规、风险、内控管理,也 由不同部门分别开展。工作推进过程中,存在职能交叉、工作重复、合力不足、 效率不高、效果不显著等一系列问题。如何构建既满足国资监管要求,又符合公 司实际、有效运行的风险管理体系,并能够适应市场竞争新形势,深入推进国企 改革转型升级,成为机电亟需解决的课题。为解决上述问题,机电成立了专项课题工作组,通过走访调研内外部企业, 对公司高管及管理岗位人员进行访谈,组织外部风险管理专家论证,梳理法律、 合规、风险、内控的内涵、管理流程、体系、区别与联系等,经过大量工作,专 项课题工作组研究发现,四项职能不是对立的,而是协调统一的,可以进行有机 融合。只要对法律事务管理、合规管理、风险管理、内部控制有关组织机构、工 作目标、工作内容以及工作流程等进行有机整合,建立一体化管理平台,并有效 实施,就能构建平台统一、信息共享、流程整合、功能强化、协调运转的法律、 合规、风险、内控一体化管理体系(简称“风险一体化管理体系在改革转型、 攻坚克难的大背景下,构建与实施风险一体化管理体系显得尤为迫切:(-)管理成本降低、提高效率的需要机电风险管理职能分散,为“多头”管理模式,即法律、合规管理职能在法 律事务中心,风险管理职能在战略运营部,而内部控制建设职能在计划财务部, 三个部门分别开展管理活动,存在管理“三张皮”现象。另外,合规管理、内控 管理、风险管理的流程均包含风险识别、风险评估、风险控制、监督与改进等环 节,多个部门各自开展工作,存在重复管理、资源浪费等问题,也给所属下级单 行监督评价。并根据工作安排,组织开展专项风险评估和专项内控监督评价。四 是按需组织风控专项检查。根据业务内部控制评价、监督评价等发现的问题,针 对特定单位、特定事项、特定要素开展风控专项检查,深入剖析风控管理中存在 的问题,发现风控存在的缺陷。(四)构建长效机制,确保问题整改全覆盖一是建立一体化风控缺陷整改机制。将各类检查、监督评价发现的缺陷进行 整合,统一整改。各责任单位制定整改计划,建立整改台账,明确责任、限期落 实,并采用即行即改、举一反三等整改方式严格整改落实,通过扎实有效的整改 工作,将整改成果转化为治理效能。二是加大问题整改跟踪检查力度。按时间节 点检查验收内控缺陷整改情况,动态更新内控缺陷整改台账。同时将整改落实情 况纳入年度体系有效性抽查评价范围,完善提示函和通报工作机制,对整改不力 的印发提示函或通报,进一步落实整改责任,避免出现重复整改、形式整改等问 题。(五)做好激励约束,实施全要素覆盖的考核评级一是探索建立风控成熟度评价体系。建立风险内控实施的激励约束机制,制 定风控成熟度评价规则,评价指标可覆盖风控管理组织、风险管理机制、流程管 控、风控执行、风控监督、缺陷整改、风控信息化等风控核心内容。定期组织对 各子公司风控工作情况进行综合评级,将各责任单位和全体员工实施风险内控的 情况纳入绩效考评体系。二是充分运用监督评价结果。加大监督检查结果在经营 决策及干部管理工作中的运用力度,对体系不健全、执行不力、瞒报漏报谎报重 要事项、整改落实不到位的单位和个人予以考核,必要时开展责任追究工作,强 化监督警示震慑作用。(六)强化队伍建设,实现全员覆盖的风控文化建设。一是推进风控人才梯队建设。在各部门、各单位配置专兼职风险管理人员, 建立包括管理人员、骨干人才、管理专家等在内的职业发展畅通通道,明确高层 次人才选拔的申报资格、选聘程序、工作纪律与职责、工作条件与待遇、考核评 价、薪酬激励、交流培训、职业发展等内容,加强各层级风险内控人才队伍的培 养。二是培育风险内控文化。将风险管理文化融入企业文化建设全过程,充分发 挥企业领导的先导和垂范作用,树立主动参与的全员风险内控理念,通过采用专 项培训、课题研讨、内外部对标交流等形式,提升全员风险管理意识,营造积极 向上的风控文化氛围。基于全面风险管理与内部控制在国有企业实现高质量发展和资产保值增值 中的地位和作用,国有企业必须坚定一体化推进全面风险管理与内部控制的信心 和决心,正确认识二者的交叉互融关系与推进中的不足,才能有效发挥二者的价 值作用。国内外知名企业的成功实践启示我们,全面风险管理与内部控制只有相 互协同而非单打独斗,并始终结合市场动态和经营发展需求,营造协同互鉴的风 险管控环境,建立健全与企业发展战略目标相一致的科学化内部控制体系,就一 定能为国有企业搏击市场风浪形成强有力保障。位造成了工作负担。所以,为降低管理成本,提高管理效率,必须对四项职能进 行融合提升,整合流程,共享信息,构建统一管理平台。(二)风险管理真正落地、发挥实效的需要近年来,因外部环境影响,机电案件高发、风险较大,亟需采取有效措施防 范风险。然而,公司风险管理职能不仅分散,职能也相对边缘化,并且由于风险 管理部门和内控建设部门分离,风险管理部门识别风险后也无法直接修订完善流 程、落实控制活动,风险管理未能有效落地。为应对以上问题,切实有效发挥风 险管理职能作用,必须进行职能融合,确定专门的风险一体化管理归口部门,协 调统一地开展工作。(三)适应新形势下市场竞争、改革转型升级的需要随着新一轮的经济新常态的到来,机电迎来了新的挑战,一方面是外部市场 竞争形势日益严峻,另一方面则是内部体制机制、管理模式的制约日益凸显。机 电风险管理体系建设是公司转型升级、提质增效工作的重要保障。对现有风险管 理资源进行整合提升,可以构建良性闭环的公司经营发展管理链条,进而推动国 企改革转型升级,所以,机电亟需构建起强而高效的风险管理体系,为公司经营 发展保驾护航。调研发现,大量中央企业以及市属国有企业与机电所处的环境相似,执行的 法律文件一样,开展风险管理的时间也大致相同,机电风险管理面临的问题并不 是个体性问题。机电在调研过程中发现,大量中央企业和市属国企在风险管理体 系构建上面临同样的问题,如何进行职能整合、发挥实际效果是大量国企面临的 共同难题。如能实现职能的有机整合,将是我国国有企业风险管理的一次重要尝 试,不仅能够减少企业管理成本,也能进一步提高企业管理效率。另外,近年来 党中央高度重视风险防范,强调坚持底线思维,提高防控能力,着力防范化解重 大风险,中美贸易摩擦形势也复杂多变,美欧日三方联合声明,意图限制我国国 有企业发展,内外部环境均对企业风险管理以及合规经营提出了更高的要求,而 将法律、合规、风险、内控进行一体化管理的探索将具有非常重要的意义。二、内涵及做法(一)法律、合规、风险、内控一体化管理体系的内涵机电法律、合规、风险、内控一体化管理体系是在原独立的法律风险管理体 系、合规管理体系、经营风险管理体系及内部控制体系基础上建立的深度融合、 协调运转的风险一体化管理体系,是公司经营管理体系的重要组成部分。风险一体化管理,指公司从实际出发,为避免职能交叉、资源浪费,提高风 险防范能力,对法律事务管理、合规管理、风险管理、内部控制有关组织机构、 工作目标、工作内容、方法、机制以及工作流程等进行有机整合,成立风险一体 化管理平台、组建归口管理部门,命名为法律风控中心,进行统一归口管理。在 风险管理框架下,以风险管理为导向,内部控制和合规管理纳入风险管理基本流 程,法律事务管理提供专业支持和保障,构建平台统一、信息共享、流程整合、 功能强化、协调运转的风险一体化管理体系。(-)法律、合规、风险、内控一体化管理体系的组织架构1 .建立“两级管控,三道防线”管控机制机电风险一体化管理实行“两级管控,三道防线”管控机制,公司总部统一 领导,指导所属企业开展法律、合规、风险、内控工作,公司总部和所属企业分 别负责本企业的工作。“两级管控”,指公司总部与所属企业两级管控。公司总部,建立并实施风 险一体化管理;所属企业,贯彻落实公司对所属企业法律、合规、风险、内控管 理工作的各项要求及规章制度规定,结合实际,建立健全本企业法律、合规、风 险、内控管理体系,接受公司对本企业的指导、管理和监督。“三道防线”,指公司总部和所属企业均应建立风险管理三道防线,各业务 部门为风险管理第一道防线;风险管理归口部门为风险管理第二道防线;内审部 门、纪检监察部门为风险管理的第三道防线。上级单位风险管理三道防线分别对 下级单位风险管理三道防线具有业务指导和监督职责。2 .强化组织领导,各司其职机电建立由董事会(包含董事会下设的专门委员会)、监事会、经营管理层、 风险一体化管理归口部门、风险管理具体责任部门、风险管理监督部门及所属企 业组成的风险一体化管理组织架构。(1)公司董事会是公司风险一体化管理的最高决策机构。(2)公司董事会下设法治与风险委员会、审计委员会,对董事会负责,并 根据公司章程公司董事会专门委员会工作规则履行风险一体化管理有关 职责。(3)公司监事会是公司风险一体化管理的监督机构,负责监督董事会、经 理层建立与实施风险一体化管理。(4)公司总经理办公会负责组织领导公司风险一体化管理的建设和日常运 行。(5)公司总法律顾问是公司风险管理的负责人,负责领导公司风险一体化 管理归口部门开展日常工作,协调指导跨领域、跨部门的风险一体化管理相关事 项,组织落实董事会、总经理办公会关于风险一体化管理的议决事项以及指导、 协调、推进风险一体化管理其他有关工作。(6)公司法律风控中心是公司风险一体化管理归口部门,在公司总法律顾 问领导下,具体负责风险一体化管理体系的建设和整体运转,负责风险一体化管 理工作的组织协调,并指导所属企业开展风险管理工作。(7)公司业务部门是风险管理具体责任部门,各部门负责人是部门风险管 理工作负责人。公司建立风险联络员机制,各部门负责人指定一人为部门风险管 理联络员。(8)公司审计部负责公司风险管理工作的评价审计监督,公司纪检监察部 负责执纪问责。(9)所属企业参照公司制度,结合企业实际,建立企业风险管理体系。所 属企业可以将法律、合规、风险、内控四项职能进行一体化管理或分别设置,分 别设置的应明确牵头部门。所属企业应在企业管理层中明确风险管理负责人,并 可在其下设置风险管理部门。所属企业风险管理负责人,由总法律顾问或主管法 律工作的领导担任。(三)法律、合规、风险、内控一体化管理体系的制度建设机电建立风险一体化管理“1+N”制度体系,为工作推进提供坚实的制度基 础。“1”指法律、合规、风险、内控一体化管理制度,是公司风险一体化管 理纲领性文件,对职能融合、体系融合、组织机构及职责、基本管理模式、基本 管理流程等予以明确。“N”指在基本制度框架之下,通过合同管理办法、法律 纠纷管理办法、内控合规手册、内控合规评价手册等对具体事项进行细化规定, 从而构建风险一体化管理制度体系。(四)法律、合规、风险、内控一体化管理体系的基本管理流程机电重点从风险评估、风险控制、报告与监控、宣传培训、监督与改进、考 核与责任追究六个方面,对风险一体化管理工作进行闭环管理,不断优化风险一 体化管理体系。01风险评估机电每年收集与公司风险管理相关的内部、外部初始信息,对收集的风险管 理初始信息和各项业务管理流程进行风险辨识、分析和评价,并根据内部条件和 外部环境,围绕公司经营目标,确定风险偏好、风险承受度等,选择风险承担、 风险规避、风险转移、风险控制等适合的风险管理策略,针对各类风险制定风险 管理解决方案。风险评估工作定期开展,实施动态管理,对新的风险和原有风险的变化及时 进行重新评估,并及时总结和分析已制定的风险管理策略及解决方案的有效性和 合理性,结合实际情况不断修订和完善。02风险控制风险评估后,公司将风险应对策略、风险应对措施、法律合规要求等嵌入到 各业务流程、各业务活动中,融入各项规章制度,循序渐进的优化内部控制,使 公司在正常运营过程中自发的防止错误、提高运行效率。同时,公司落实合同、 制度、重大决策三项法律审核,开展合规审查,有效防范风险。年月,公司开展总部制度全面梳理工作。通过制度“立、改、废”,清理现 有制度,实现规章制度“瘦身”,并将外部监管、法律合规、风险管理要求全面 嵌入规章制度、工作标准及业务流程,从而完善公司内部管理制度体系。公司部分所属企业内控体系建设主要依赖中介机构,存在业务流程与企业实 际脱节、部分业务流程缺少有效控制等情形。为解决前述问题,提高风险防控能 力,健全风险管控体系,年月,公司启动重要业务领域关键业务流程标准制定工 作。结合公司总部及所属企业经营实际,公司聚焦销售业务、采购业务、资产管 理、资金活动、产品研发、合同管理、生产管理等重要业务领域,梳理查找流程 缺陷,根据关键环节的控制要求和风险应对措施,研究制定关键业务流程标准 “N”条,并要求企业结合企业实际根据“N”条流程标准完善本企业业务流程、 制度及风险管控体系,并确保有效执行。03报告与监控公司建立风险报告与监控预警机制。公司总部各部门对职责范围内的风险, 所属企业对本企业的风险进行日常监控预警和重点监控。总部各部门及所属企业 在发现重大风险或风险隐患时,按照管理权限、管理层级及时上报,并由风险一 体化管理归口部门向公司总经理办公会报告。04宣传培训公司注重推进风险管理文化建设,每年针对领导干部、业务部门人员、风险 管理有关人员等不同受众设计不同主题,通过多种途径和形式,有针对性的开展 法律、合规、风险、内控宣传培训工作,促进提升风险一体化管理水平,提高全 员风险意识,保障风险一体化管理目标的实现。05监督与改进公司及时跟踪、监督风险一体化管理状况,根据监督结果对风险一体化管理 工作进行改进与提升,确保风险一体化管理工作的效果。总部各部门及所属企业 每年对风险管理有关工作进行自查,及时发现缺陷并改进。公司风险一体化管理 归口部门每年对总部各部门和所属企业风险管理体系建设及运转状况进行检查, 提出调整或改进建议。公司审计部每年对风险管理有效性进行评价,法律、合规、 风险管理制度建设及实施情况纳入审计部原内控体系监督评价范畴。06考核与责任追究公司强化风险管理考核与责任追究,将风险管理纳入企业经营绩效考核,并 按照法律法规及公司规章制度进行责任追究。三、效果(一)管理效益1 ,体系整合、降本增效机电将法律、合规、风险、内控进行一体化管理,避免职能交叉、多头管理, 建立统一的归口管理部门,设置法律风控中心;将合规管理、内部控制嵌入风险 管理基本流程,以法律事务管理为专业支持和保障,形成一体化的管理流程,避 免重复劳动;共享信息和资源,法律纠纷案件、审计等反映的问题能够及时纳入 风险信息库,风险识别及控制不仅有利于外规内化、确保合规经营、防范风险, 也有利于法律事务的事前管控,四项职能有机融合,相辅相成,有效降低管理成 本,提高效率。2 .各项职能充分发挥作用(1)法律在风险一体化管理体系下,全面推进公司法治建设,加强案件及合同管控。 公司建立系统500万元以上重大案件向公司总经理办公会报告机制及重大案件 台账、包案机制,有效促进重大案件解决。公司推进落实合同100%法律审核, 建立重大合同评审机制,规范合同签订,防范法律风险,遏制新发重大案件。(2)合规结合机电实际,按风险管理基本流程,加强重点领域、重点环节、重点人员 合规管理,聚焦商业活动合规审查、上市公司合规管理、境外企业合规管理、采 购销售合规管理、商业道德合规管理等领域。(3)风险侧重建立健全风险管理体系,执行风险管理基本流程,以重大风险的管理和 重要流程的内部控制为重点,将风险管理各项要求切实融入公司管理和业务流程 中,确保风险管理工作有效落地。(4)内控内部控制作为公司风险一体化管理的重要抓手之一,公司在风险一体化管理 体系下,有效发挥内部控制作用,以内部环境为重要基础、以风险评估为重要环 节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证, 关注高风险领域高风险业务流程,建立符合公司实际的内部控制。3 .建立专业风险管理人才队伍公司通过内部培养及市场化选聘,打造了一支全部通过国家司法考试或注册 会计师考试,取得法律职业资格或注册会计师资格的专业人才队伍。并且,机电 加强风险管理人才培养储备,通过“分级+派驻”的管理模式,将风险管理人才 输送到所属企业担任总法律顾问兼风险管理负责人,以派驻人员为抓手,使所属 企业风险管理工作有效开展并真正落地。目前,机电已经形成良好的风险管理人 才选、用、育、留机制,建立起一支专业的风险管理队伍。(二)经济效益1 .保障企业健康持续发展经过两年来的工作推进,公司已建立风险一体化管理组织体系,制定了风险 一体化管理制度,风险管理流程有效进行,风险一体化管理体系落地。北一机床、 股份、环保、置地等重点子企业,已结合企业实际,建立企业风险管理体系,重 点管控工程项目、资金活动、资产管理、合同管理、销售、采购及业务外包等领 域,为企业生产经营、改革发展提供保障。2 .重大风险、重大诉讼案件得到有效管控风险一体化管理体系建立后,公司按照制度规定,开展风险管理工作,执行 风险管理流程,严控风险。公司法律风控中心参与公司重大收购4项、重大重组 清算2项、混合所有制改革2项,涉及金额近亿元,为公司经营决策全过程防范 重大风险;对公司销售领域、建设工程项目开展合规内控检查,发布合规经营指 导意见,防范重点领域重大风险;对企业年以来签订的合同及有关事项开展全面 风险排查;开展风险评估,吸收采纳法律纠纷案件、审计、巡视等发现的问题, 定期更新风险信息库;公司总部开展制度全面清理工作,并结合企业生产经营情 况开展重要业务领域和关键环节控制流程标准梳理及制定;同时,有效防范风险, 公司系统案件总量和总金额连续多年上升趋势得到遏制,年,案件总量同比下降 20.24%,涉案总金额同比下降13.13%,预计年案件总量和涉案总金额将持续下 降。面对新形势下市场竞争新常态,建立风险一体化管理体系能够有效遏制公司 重大诉讼案件、重大风险事件突出、频发的态势,能够推动重大诉讼案件解决, 化解重大风险事件,提升了公司整体运营质量和水平,为公司经营发展保驾护航。(三)社会效益对法律、合规、风险、内控四项职能进行有机整合,建立风险一体化管理体 系会产生较大的社会“辐射”效应,具体如下:1.使风险管理理念深入人心,形成风险管理文化为适应市场化、现代化、国际化发展需要,风险管理已经成为现代企业管理 必不可少的环节,是企业健康可持续发展的根本保障,也是市场经济下企业参与 市场竞争、确保合法合规经营的重要举措。进行风险一体化管理,能够极大整合 人员力量,凸显风险管理效果,风险管理真正落地,使风险管理理念深入人心, 建立起廉洁自律、重视风险、诚信经营、依法合规的企业风险管理文化。2,为其他企业提供可推广、借鉴的风险管理模式市国资委在关于全面推进市属国企法治建设的意见中明确提出:“建立 由总法律顾问领导,法律事务机构牵头,相关部门共同参与、齐抓共管的合规管 理工作体系,研究制定统一有效、全面覆盖、内容明确的合规制度准则,加强合 规教育培训,努力形成全员合规的良性机制。探索建立法律、合规、风险、内控 一体化管理平台。”风险一体化管理,不仅能够有效落实国资委、财政部等对法 律、合规、风险、内控制定的各项管理规定,也落实了国资委关于一体化管理平 台的建设要求。现阶段,大多国有企业乃至民营企业仍旧是法律合规、风险内控 分属不同的管理条线,随着合规体系建设工作的全面开展,企业普遍面临的困惑 就是法律、合规、风险、内控管理体系如何有效衔接,协调统一,如何进一步整 合管理资源,进一步提升管理效能,而风险一体化管理是解决这一课题的有效思 路。机电结合自身实际,实行四位一体化的风险管理体系,其价值不仅在于解决 自身风险管理体系建设的问题,更重要的意义在于为其他企业整合风险管理资 源、融合风险管理职能,提升依法治企能力及风险管理水平,建立真正有效的、 适应新形势市场竞争需要的一体化的风险管理模式进行了探索,提供了可以推 广、借鉴的风险管理模式。四、展望与思考机电结合公司实际,融合职能体系,建立法律、合规、风险、内控一体化管 理体系。风险一体化管理体系构建及实施过程中,公司主要负责人高度重视,把 风险一体化管理工作纳入公司全局工作统筹谋划,为公司推进风险一体化管理工 作奠定了基础。目前,公司风险一体化管理体系已实现公司系统全面覆盖,并有 效运转。下一步,公司将结合“十四五”战略规划及公司经营实际,持续推进风 险一体化管理工作,加大重点业务领域、重点业务流程管控力度,提升信息化水 平,推动信息系统的集成应用,不断完善风险一体化管理体系,切实提高公司抗 风险能力,确保依法合规经营,努力实现高质量发展。近年来,国内外严峻复杂的经济形势和接踵而至的巨大风险挑战愈演愈烈, 国有企业经营的不确定性和不可控性风险因素不断增加,全面推行内部控制与风 险管理工作的重要性也越发凸显。为实现国有企业高质量发展,统筹传统安全和 非传统安全,党中央对防范化解重大风险给予了高度重视,习近平总书记多次强 调要增强忧患意识,防范各类风险挑战。党的二十大报告更是将防范化解重大风 险放在了更加突出的位置。国资委在贯彻落实党中央、国务院关于防范化解重大 风险和推动高质量发展的决策部署中,也将建立健全“以风险管理为导向、合规 管理监督为重点,严格、规范、全面、有效的内控体系”作为国企改革的一项重 要工作来推进。因此,如何将全面风险管理与内部控制在设计层面有机融合、在 运行层面协同推进,是关系到国有企业合规性与效益性经营的重要保证,是低成 本化解各类风险带来经济损失的有力之举,是国有企业深化改革亟待统筹考量的 重要课题。全面风险管理与内部控制的概念及关系(一)全面风险管理与内部控制的概念风险管理源于19世纪30年代。2004年,美国COSO (反虚假财务报告委 员会下属的发起人委员会)委员会在企业风险管理一整合框架中指出,“企 业风险”管理是一个过程,它由一个主体的董事会、管理层和其他人员实施,应 用于战略制订并贯穿于企业之中,用于识别可能影响主体的潜在事件,管理风险 以使其在该主体的风险偏好之内,并为主体目标的实现提供合理的保证。现已成 为世界各国和众多企业广为接受的标准规范。“内部控制”源于20世纪90年代,先后经历了内部牵制、内部控制制度、 内部控制结构、内部控制整体框架、风险管理整合框架等不同阶段的漫长演变。 1992年美国COSO委员会内部控制一整体框架将内部控制定义为:“内部控 制是由公司董事会、管理层和其他员工实施的,为实现经营的效果性和效率性、 财务报告的可靠性以及适用法律法规的遵循性等目标提供合理保证的一个过 程”。2004年在企业风险管理一整合框架中又拓展了内部控制,使之更有力、 更广泛地关注于企业风险管理这一更加宽泛的领域。(二)全面风险管理与内部控制的关系全面风险管理与内部控制同属公司治理范畴,二者既相互独立同时又紧密相 关。内部控制是风险管理的组成部分和重要手段,它主要针对企业内部经营活动。 全面风险管理则兼顾企业经营中的内外部风险,是内部控制的导向基础和拓展延 伸。尽管风险管理框架涵盖了内部控制框架的内容,但两者又是不可替代的。正 确认识内部控制和风险管理的关系、实现两者的深度融合与协同推进,是改善企 业管控效果、助推可持续发展的有力手段。具体表现为以下方面:第一,全面风险管理涵盖了内部控制。COSO框架中明确指出:风险管理框 架涵盖了内部控制框架的全部内容。内部控制作为其子系统之一,是风险管理框 架制定的基础。全面风险管理的四个目标包含了内部控制的三个目标,全面风险 管理的八个管理要素包含了内部控制的全部五个要素,全面风险管理与内部控制 的管理主体也是一致的,是对内部控制的拓展和延伸。因此,加强内部控制是提 升企业风险管理水平的重要路径。第二,内部控制是全面风险管理的核心内容。企业的风险普遍存在于生产经 营的各个环节,而内部控制是通过全方位建立过程控制体系、描述关键控制点和 以流程形式直观表达生产经营业务过程而形成的管理规范,能有效防范化解风 险,并作为风险管理的重要手段可发挥其良好作用。第三,全面风险管理和内部控制的逻辑框架具有一致性。全面风险管理为构 建风险导向的内部控制体系提供了基础,风险的识别与细化是建设内部控制体系 的前提。伴随业务发展,企业面临的重大风险动态变化,也促使内部控制体系不 断扩大其外延。构建内部控制和全面风险管理体系都是一个系统工程,都是一个 动态过程,都需要“整合”和“嵌入”公司既有管理机制之中。我国全面风险管理与内部控制的开展情况(一)风险管理与内部控制要求风险管理方面。我国风险管理研究始于1980年。2005年以来,中国证监会、 沪深证券交易所和国资委分别针对上市公司和中央企业出台了多部法规,要求建 立健全公司内部控制制度,尽早确立风险管理长效机制。2006年,国务院国有 资产监督管理委员会下发了中央企业全面风险管理指引,要求中央企业主动 建立全面风险管理体系,这是我国第一个全面风险管理的指导性文件,标志着我 国国有企业全面风险管理的时代已经来临。内部控制方面。20世纪90年代后期,我国开始加大企业内部控制的推行力 度。1999年修订的会计法第一次以法律的形式对建立健全内控制度提出了 原则性要求。2001年财政部发布的基本规范和内部会计控制规范一一货 币资金(试行),明确了单位建立和完善内部会计控制体系的基本框架和要求, 以及货币资金内部控制的要求。2008年,财政部、证监会、审计署、银监会、 保监会五部门联合发布了企业内部控制基本规范,标志着我国企业内部控制 规范体系建设取得了重大突破。2010年,五部门再次联合发布了企业内部控 制配套指引,包括了 18项企业内部控制应用指引、企业内部控制评价指引 和企业内部控制审计指引,连同此前发布的企业内部控制基本规范,标志 着适应我国企业实际情况、融合国际先进经验的内部控制规范体系基本建立。(二)风险管理与内部控制一体化推进的必要性通过对全面风险管理与内部控制的概念解析、发展历程回顾以及相互关系的 比较研究,认为二者之间既有逻辑上的承接性和方法论共性,又有目标导向下控 制要素的一致性与协同性。如能将内部控制方法与风险管理技术全方位融入一体 化管理流程之中,将有助于解决以下制约风险管理与内部控制一体化推进的几方 面问题。在风险管理与内部控制关系上认识模糊。目前,部分集团化企业对风险管理 与内部控制间的正确关系和在企业发展过程中所占据的重要地位认识不清、分析 不够。一是割裂开来、区别对待的模糊认识不乏少数,妨碍了企业风险管理同内 部控制的有机结合,导致权力与责任划分不明确,绩效目标与措施协调不一致, 降低了企业应对风险的能力。二是有的企业负责人将内部控制与风险管理作为单 独部门对待,并根据二者工作特点建立独立的管理制度,这样会导致内部控制工 作人员在进行制度建设时无法对其进行综合分析,使制度建设缺乏科学性、合理 性,增加了风险管理成本并使管控效率和效果打折扣。风险管理与内部控制的互补性发挥不强。企业内部控制与风险管理主要是针 对企业的发展方向做出正确的识别和分析,并制定相应的可行性预案。一方面内 部控制为员工的行为设置准则,并通过内、外部风险的分析和研判对流程与关键 环节进行安全性设计与把控,防止因制度缺失造成经营损失。另一方面风险管理 又离不开内部控制,良好的内部控制可以减少风险发生的可能性,并且在某些无 法规避的风险发生时尽量降低损失。因此二者不能独立运行。风险管理与内部控制的制度与手段单一。我国大中企业对全面风险管理与内 部控制的研究起步较晚,尚缺乏完备的实践经验,更谈不上对自身的经营风险和 战略目标能有一个全面的把控机制,在风险管理制度和内控体系设置上仍缺乏合 理性与配套性,可操作性不强,单一的风险应对策略往往流于形式,难以发挥风 控价值。一些企业的内部控制存在与风险防范相脱离问题,缺乏完善的规避程序 与明确的内控标准,以致于无法为风险管理服务,一定程度上降低了风险管理效 果。一体化推进全面风险管理与内部控制的建议(一)落实组织保障,建立覆盖各层级的组织体系一方面,设立职责清晰、分权制衡的风险与内控组织架构。在公司党委领导 下,开展全面风险管理与内部控制工作,明确决策、执行、监督等方面的职责权 限,设立专门委员会为董事会决策提供咨询和建议,形成科学有效的职责分工和 制衡机制,成立专门机构或指定适当机构作为归口管理部门,保证风险内控机构 设置、人员配置和工作的独立性。另一方面,形成各司其职、各负其责的风险内 控责任机制。明确主要领导人员作为体系监督工作第一责任人的职责,落实各业 务部门体系有效运行责任,层层分解压实责任到具体工作岗位,结合业务流程中 的相关风险点,明确本岗位的内控职责,确保全体员工知悉本岗位的风险防控责 任,努力做到全员参与风控管理、不留死角,实现真正意义上的全面防控。(二)加强制度建设,完善全流程覆盖的制度体系首先,制定体系化管控制度。落实国资委整合优化内控、风险管理制度建设 要求,按照一体化推进全面风险管理与内部控制工作思路,制定公司全面风险管 理与内部控制规定,作为风险内控体系化管控的基本制度,建立以内控体系建设 与监督制度为统领,各项具体操作规范为支撑的“1+N”内控制度体系。其次, 明确业务流程风险管控要求。各部门、各单位在具体业务制度流程的制定、审核 和修订中嵌入风险管理与内控要求,明确重要业务领域和关键环节的内控要求和 风险应对措施,坚持制度流程化管控,确保内控制度体系覆盖研发、采购、生产、 销售、招投标、资金等所有业务和管理活动。(三)规范评价标准,落实全领域覆盖的监督评价机制围绕战略目标,以问题、风险为导向,整合内部监督力量,统一规范监督评 价的内容、工作程序、标准和方式、缺陷认定标准等,统筹推进风险管理与内控 体系监督评价工作。一是常态化实施风控监督。对于日常业务中违反内控流程、 风控措施执行不到位、风险超出承受度标准的业务予以叫停或退回,确保各项风 控措施得到有效执行,业务风险处于受控、可控状态。二是定期开展体系有效性 监督评价。以健全体系、规范流程、消除盲区、有效运行为重点,每年对体系健 全性、有效性进行全面自评,客观、真实、准确揭示经营管理中存在的内控缺陷 和风险问题,并形成报告。三是实现子公司监督评价全覆盖。在子公司全面自评 的基础上,围绕重点业务、关键环节和重要岗位,组织对所属企业体系有效性进