国有企业风险管理、内部控制、合规体系整合的观察与建议.pdf

国有企业风险管理、内部控制、合规体系整合的观察与建议 国有企业监管体系优化系列 国有企业正积极解读及响应各级国资委于最近颁发的有关内控、风险、合规、审计等领域的必威体育精装版指引。在甫瀚与企业交 流的过程中，如下话题备受关注： 国资监管机构关于“风控”、“合规”等⽂件频发，有关要求⽇益全⾯和精深，企业应抓住哪些要点开展2020年的风控合规 ⼯作，并建⽴内控三年规划？ ⼤部分成熟企业从若⼲年前已开始按要求实施全⾯风险管理，并逐步建⽴了内控体系、合规职能等。现在提倡“体系融 合”，会不会有些⼯作要推倒重建？ 信息化⼀再被强调，是增强“⼤监管”体系刚性的、促使的有效⼿段。信息化建设的投⼊通常⽐较⼤，本企业的风控合规 体系信息化应该从哪⾥开始，往哪⾥去？有没有更灵活的实现⽅法？ 国资委对风险管理提出了更⾼的要求，并明确提出了应予以关注的重点领域。企业在原有的风险管理⼯作上需要做哪些 升级才能满⾜有关要求，实现良好的管理效果？ 风控与合规⼯作被要求纳⼊企业考核范围。考核机制设计的合理性和可⾏性备受关注，应如何设计？ 内控及风险管理明确被纳⼊责任追究范围。如何建⽴⼀套信息透明、预警及时的⼯具以⽀持各级分控负责⼈有效履⾏风 控职责和提供决策⽀持？ 内部审计职能作为重要的监督⼒量，在监督企业风控、合规职能的领域，如何能发挥积极作⽤，促进内控缺陷整改和重 ⼤风险的闭环？ 就上述热点问题及企业⽇常⼯作中可能存在的疑问，甫瀚将以国资委101号⽂及若⼲纲领性⽂件作为研究基础，结合对 企业风控体系运作情况的观察，出版系列专题，与企业⼀同探讨“⼤监管体系”的⼯作⽬标与重点难点。 本期我们将聚焦 “体系融合”、 “监管⽂件核⼼精神”两个领域，为企业提供建议。 敏于知：体系融合是趋势 外部监管必威体育精装版要求及趋势中最显著的⼀个⽅向是推动风险管理、内控、合规、内审体系整合 2019年10⽉国务院国资委发布 《关于加强中央企业内部控制体系建设与监督⼯作的实施意见》（国资发监督规 〔2019〕101号），提出实现“强内控、防风险、促合规”的管控⽬标。近⽇，部分地⽅国资委则跟进发布本辖区内市属 国有企业内部控制体系建设与监督⼯作有关事项⼯作要求（如深圳），进⼀步要求推动国有企业风险管理、内控、合 规、内审体系融合。 企业实际运作中亦⾯临着多体系并⾏产⽣重复投⼊和职能边界交叉的困扰 风险管理、内部控制等⼯作领域起步较早、运⾏多年，⼤量企业做了很多努⼒且实现了⼀定的效果，但就风控、合规管 理体系本⾝⽽⾔，在企业实践中也存在⼀些现实问题，如： • 体系单独建设，体系之间存在内容缺乏协同和统⼀。 • 体系内容复杂，可操作性差，“多张⽪”现象严重。 • 风控、合规管理⼯作容易流于形式，难以落地。 • 管理难度⼤、成本⾼；增加业务部门负担、重复劳动，降低⼯作效率等。 如何解决风险管理、合规、内控体系落地效果不佳的状况，成为诸多企业所⾯临的共同问题。 体系融合的提议具战略价值：通过防御体系协同联动，使企业风险防控效能最⼤化 达于⾏：甫瀚的观点 体系融合的基调明确、⽅向清晰，并不需要“推倒重建” 101号⽂对体系融合所定的基调明确，即“建⽴健全以风险管理为导向、合规管理监督为重点，严格、规范、全⾯、有效 的内控体系”。内审仍作为第三道防线，发挥监督评价作⽤。部分企业对于风险管理和内部控制已实现⼀定程度的融 合，业内也有较为成熟的⽅法论及实施案例，那么重点则转向合规管理与风控体系的融合，两者在⽅法论层⾯亦具备良 好依据，并⾮“推倒重建”。 甫瀚以国资委印发的两份权威指引《中央企业全⾯风险管理指引》与《中央企业合规管理指引（试⾏）》作为分析基 础，从定义范围、组织架构、程序⽅法、管理报告等维度对各项体系要素的融合基础进⾏了探索。 • 定义范围 ：作为⼀类重⼤风险，且为企业管理底线，合规风险因其重要性程度，应予以重点关注和专项管理，即合 规风险管理是全⾯风险管理的⼀部分。 • 组织架构 ：法律事务机构或其他相关机构为合规管理牵头部门，合规职能具有权威的独⽴性，合规与风险管理职能 可合署。需要强调的是，在探索体系整合过程中未必要强制进⾏组织架构的重组，更多是制度和⼯作程序的整合与 协同。 • • 管理报告 ：向国资委报送的年度报告趋于整合，应按照内控体系⼀体化⼯作要求编制内控体系年度⼯作报告。 制度仍然是有⼒的抓⼿ 以往各监管体系建设的时候，⼀套齐全的制度和⼿册必不可少。然⽽长期以来，⼆道防线专业化的管控制度和⼀道防线 业务领域的管理制度之间“两张⽪”的现象⼀直存在。在这⼀轮的内部控制体系优化中，“制度”被明确要求做出升级。企业