010-5780 4780

15010055730

联系电话

地址:北京朝阳区广渠路21号金海商富中心B座705

Copyright ©2019 北京一法企业管理有限公司  All rights reserved  京ICP备16058371号  网站建设:中企动力 北京

战略合作伙伴:法智易  |  大连大学人文学部  |  知识产权出版社  |  法律出版社  | 

增值服务

>
>
>
从法务部看企业风险管控三道防线

从法务部看企业风险管控三道防线

浏览量

 

法务部是企业内的一个职能部门。以目前的企业管理体系划分标准来看,这是可以肯定的。尽管法务部的具体职责内容在发生变化,但基本的职能没有变。法务部在企业价值链中,属于支持和监督的位置。法务部要做的是,如何站在价值链全流程角度,将该支持和监督工作做得最好。这就需要仔细辨别法务部与企业风险管控三道防线的关系。

 

一、董事会与管理层

 

董事会及董事会授权的管理层,在企业经营与管理中处于核心。一切业务部门和职能部门,都应由董事会和管理层进行指挥与安排。董事会和管理层,在公司治理中,其代表利益是不一样的。

董事会由董事组成。董事是公司股东派出的代表。董事一方面代表股东利益,另一方面作为公司的受托人,代表公司整体利益。董事会对公司的业务运营和宏观管理拥有全部的职权。它对公司其他要素有着根本性的影响,包括风险管理和内部控制职能相关的职责与权力。由董事会组建和形成的管理层,受董事会监督。管理层运用计划、组织、执行和检查等基本的管理活动,对单项的或整体的业务流程进行管理。法务、内控、合规等应当与这些流程进行整合。

企业从事与法务部类似工作的风险预防、控制与应对工作,是在一定环境下进行的。这种环境,是企业风险管理所有其他构成要素的基础。它具体可包括企业的价值观、员工的胜任能力、管理层对风险的态度以及企业内权力和资源如何分配等。

不管是法律支持,还是内控控制,或合规管理,都需要企业内“具体的人”来实施。企业内的每个人都具有自己独特的背景和能力,并且每个人都会有不同的需求,以及对事情的不同认识。如果这些认识、能力没有与企业目标协调一致,那么企业的资源、要素就会浪费在“内耗”中。因此,需要董事会和管理层建立高层基调,强调风险预防、控制与应对的重要性,并建立机制保证相关执行人员能清楚地知晓自己的职责和目标,与企业整体目标保持一致。

同时,管理层毕竟是董事会选聘的受托人,也会面临自身利益与所管利益的委托代理机制天然缺陷。如果管理层超越或凌驾于内部控制、合规管理之上,那么内控体系或合规体系,包括法务管理体系,将会形同虚设。一个有效的法务、合规、内控体系,将可能遭遇失败。因此,高度重视法务部与董事会、管理层的关系,是法务部真正发挥价值的关键所在。为更好地实现法务、合规、内控的本来目标,法务部有必要推动董事会、管理层对法务风控管理体系的重视和正确认知,并透过公司治理机制及渠道,拓展法务风控部门的相关“领地”。

二、业务部门

 

按价值链原理,业务部门是企业内创造价值的部门,包括研发、采购、生产、销售、交付、投资等部门。当然,这些部门被称为业务部门,也只是相对来说的。每一家企业的业务部门,可能表现不大一样。一般来说,业务部门是企业与外界发生直接联系的部门。随企业流程优化和再造的普及,业务部门与职能部门的区别可能逐渐模糊。

从法务部角度关注业务部门,主要看三件事。第一,法务部人员如何理解业务部门的行为以及目标,从而更好地提供支持服务。第二,在理解业务部门的需求和特点之后,如何“说服”业务部门听取法务部的意见或建议。第三,在辨别出业务部门的业务风险和人员风险之后,如何站在公司角度监督或调整业务人员的行为。第一件事的服务,与第三件事的监督,似乎有一些冲突。的确如此,这也正是作者所提出的现今法务部可分为“法务1”和“法务2”的根源。

业务部门,可以说是法务部的最重要的客户。“认识你的客户”,同样适用于法务部。这里所说的“认识”,包括知晓业务部门的流程、模式与人员。简单地说,法务部必须知道公司的收入是怎么来的?支出是怎样进行的?在收入与支出的过程中,什么人都分别起到什么作用?最后是法务部可以对这些过程形成怎样的帮助或可能会有哪些阻碍?这对法务部提出了独特的要求,这种要求不同于对律师的要求。很明显,一个是综合的、深入业务;一个是细分的、深入法律。

关于对业务部门的了解,法务部还有一个必须再进一步深入知晓的领域。那就是了解公司的主要供应商。对业务部门的支持,不能仅是他们自身,还需要了解“客户的客户”。这样才足以清楚业务部门的难处、业务部门的动机以及可能的漏洞。法务部提供支持的一个主要目标是防范风险,风险的来源是多方面的。客户的客户,当然是风险的一个来源。因此,对于公司外部供应商的了解,也是法务部处理与业务部的关系时所必须注意的。

业务是企业利润的来源,也是风险的来源。业务部门在创造收入的同时,自身应当同时防范风险。即是说,业务部门的职责,有一部分就是防范风险。这也是我们所说的企业风险管理的第一道防线。把对风险的防范布局,放到风险产生的最早接触处,是理所当然的。

 

三、职能部门

 

如前述,法务部归属于职能部门。其他的职能部门包括战略规划部、人力资源部、财务管理部、信息部、行政部等。从价值链角度,职能部门是为企业的业务部门提供服务的。这些服务的核心目标有两个。一是致力如何提高企业业务的效率和效果。二是如何防控业务开展过程的风险。

这与法务部对业务部门提供的服务是类似的,均是提高效率与防控风险,只是各自的专业不同。财务部是基于财务、会计、预算,筹资等专业,提高企业的资产和资金的利用效率,同时防控资金使用风险。其工作职责包括会计核算、报表制作、资金管理、资产管理、预算管理、税务筹划、利润分配、投融资决策等。

人力资源部是基于人力资源、劳动、绩效等专业,提高企业的员工的效率和效果,同时防控企业人员带来的风险。工作职责包括人力资源规划、人员招聘、员工培训与开发、绩效管理、薪酬福利管理、劳动关系管理等。

信息部门负责的事项包括:企业PC端或移动端的网站、平台建设等;企业内部管理的信息化系统建设,包括办公自动化系统OA、决策支持系统DSS、企业资源计划管理ERP等;企业某业务环节信息化系统建设,如客户关系管理CRM、供应链管理SCM、生产制造管理系统(计算机辅助设计CAD、计算机辅助制造CAM)等。信息部一方面是计算机、网络、通讯、软件等方面的技术专业人才,另一方面因为涉及对业务架构与流程的深刻理解而成为掌握企业信息整体知识的企业设计专业人才。这些人员同样是致力于提高企业的业务运行效率,同时基于通过固化为流程的信息技术来防控企业预设的种种风险。

按单纯的部门划分,在不同的企业内,与法务部同属职能部门的可能还有内控部、风险管理部,甚至合规部。这些部门,与法务部是并列的职能部门。但这只是部门划分,系企业根据自身业务和管理需要进行的设置。属不同的部门,不表示各部门不可以同履行相同的职责。在企业扁平化、大部制管理成为趋势,把相同职责归集为同一个部门,也正符合职能部门设置的本义,即提高效率,同时防控风险。

值得一提的是,虽然职能部门的各部门都承担着为企业的业务部门提高效率和防控风险的作用,但这里的防控风险的职责和做法,与企业职能部门内的法务部门(或风险管理部)所承担的防控风险的职责和做法是不同的。法务部门是专业的风险防控部门,其采取的风险管理措施是系统的、专业的,是遍及全企业的。其他职能部门所采取的风险防控做法,是在其提供财务、人力、信息等专业支持服务过程中,同时进行的辅助性的风险防控措施。可以说,是“顺带的”。

不仅如此,职能部门和业务部门一样,其自身也会发生风险。这类风险,除了像业务部门一样,需要职能部门“自查”,同时也需要履行统一风险管理职责的法务部门来参与和指导其风险防控。基于这个角度,职能部门也是企业风险管理的第一道防线。

 

四、审计部门

 

按企业价值链分布,审计部门也是职能部门之一。审计部门包括内部审计和外部审计。人们普遍认为,审计部门与财务部门是一体的,但其实这已是一种错误的观念。审计部门与财务部门有对接关系,但其主要职责却是事后监督。

审计部门理论上不直接参与企业的任何经营业务,负责对业务部门、以及含法务部门在内的其他职能部门的工作进行事后稽核、审计和监察,包括对企业内控制度进行查漏补缺,对企业主要业务流程的合规性、合理性和风险可控性进行审计,对管理者进行经济责任审计,对企业信息系统有效性进行审计,对企业财务报表进行审计等。

审计部门的两个特点,一个是独立性,一个是事后性。审计部门必须有足够的独立性,才可正确发挥其价值。通过检查风险疏漏和控制缺陷,帮助业务部门修补漏洞;通过查处人员舞弊,形成威慑,保障企业正常经营管理。审计部门的介入时间,也不宜过早,否则将丧失独立性。审计部门发挥作用的大小,实际上基本上取决于董事会的决心。没有最高层的坚定支持,审计部门的工作开展是相当难的。即便存在,缺少最高层支持,也往往会流于形式。这一点,非常类似于合规管理。

审计部门是公司的价值监督部门。企业作为一个“契约集”,通过层层代理和授权所形成的治理结构,是需要有监督机制的。监事会对于企业重要事项进行监督,但毕竟监事会不是常设机构,人员也配备不足,于是需要一个专门的对企业自上而下进行的监督部门。可以说,审计部门的工作是企业内对风险进行管控的最后保障。这也是审计部门作为风险管理的第三道防线的由来。

法务部与审计部门的关系,可以从几个方面来看。一是,法务部的自身工作,也要接受审计部门的审计。法务人员是否尽职,法务部对法律风险的预防、控制与应对是否符合企业的要求,法务人员本身是否存在舞弊、侵占等情形,都处于审计部门的“管辖”范围。二是,审计部门在履行监督职责时,可以要求法务部提供相关支持,包括文件方面的、专业解释方面的等。三是,不管多么强调审计部门的独立性、事后性,但审计工作的本质也是“风险”而展开的。审计部门作为风险管理的最后一道防线,其与法务部在目标上是可以保持一致的。

当然,审计部门、法务部门以及其他的一些叫法,如内控部门、合规部门、风险管理部门等,各自边界其实并没有那么清晰、明确。根据企业需要、风险管理实施主体偏好以及企业的发展阶段,这些词语所表达的含义各有不同。

 

五、三道防线

 

企业的风险无处不在。企业对风险的管控,也成为企业管理体系的核心组成。实践表明,将对风险的管控动作分为三个层面及三个阶段,是最有利于实现企业的风险管控目标的。

首先是对风险的自查。业务部门、职能部门对自身行为所可能发生的风险进行“自查自纠”,将解决90%的风险。这就是企业风险管控的第一道防线。各部门一线员工是企业的窗口,也是最先与风险源接触的群体,在日常业务中负有及时识别、上报与初步管理风险的职责,是事前防控风险的关键。

其次,是对风险防范的专项策划、组织、协调。法务部(包含了合规、内控与风险管理职能)是承担该工作的主要部门。这是企业风险管控的第二道防线。它承担重大风险的核心管理与组织职责,同时对第一道防线的风控工作进行指导和监控,是事中防控风险的关键。第二道防线,应帮助第一道防线建立起和企业风险管控相适宜的业务流程安排,通过对第一道防线的风险控制进行赋能,使业务运作过程中的主要风险能够在第一道防线上就能得到适当的控制。

最后,是风险管控运行情况本身的监督。审计部门是承担该工作的主要部门。这是企业风险管控的第三道防线。审计部门是从事后角度进行防控风险的。在国企中,还包含了纪检、监察等部门。该类部门与审计部门的工作的内核是一致的。区别可能在于审计是对事的,纪检监察是对人的。

三道防线,在企业内部是相对而言的。第一道防线做好了,可能第二道防线的工作就轻松了,第三道防线甚至就成为一个仅具有威慑力的空闲部门。第一道防线漏洞颇多,第二道防线就会忙于救火,第三道防线就可能防不胜防了。因此,三道防线必须统一在董事会和高层管理者的推动和监督下。三道防线的有效运行,有赖于高层管理者对风险管控的支持和监督,有赖于高层管理者对重大风险的敏锐把控。来自高层的统一、明确、坚定的风险管控原则、政策与方针,将有利于三道防线最大化地发挥协同效应。

 

企业风险管控三道防线

防线

履职部门

风险管控特点

整体防控

董事会(风险管理委员会)

统筹管控

第一道防线

业务部门、职能部门(不含法务、合规等)

风险自查

第二道防线

法务部门(合规部、内控部、风控部)

专业的风险管理

第三道防线

审计部门(纪检部、监察部)

风险管控事后监督


 

作者简介:

陶光辉,德衡律师集团副总裁,北京德和衡律师事务所总所联席执行主任。法学硕士,高级经济师,曾任500强法务总监,获ALB2016中国最佳总法律顾问称号,目前担任“北大全球高端法商人才计划”(PKUGLBE)未来领袖授课专家,大连大学法学院客座教授,中国人民大学企业法治研究所研究员,青岛仲裁委互联网仲裁院副院长等社会职务,出版《公司法务部》、《法务之道》等书籍。陶光辉律师专研企业法务与合规管理领域,已为多家大型央企、国企提供合规管理体系方面的培训与讲座,并发表了多篇关于企业合规的文章。

微信号:yimanage

小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。

小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。