标杆案例
DHH合规内控风险管理一体化五环模型(CIRms)
作者:陶光辉
2020年6月8日15:00-18:00,经过3个多小时的充分交流,北京德和衡律师事务所企业合规与风控业务部举办的“DHH法律合规内控风险一体化第二期研讨会”在北京朝阳银泰中心C座11层会议室顺利闭幕,由此产生了DHH合规内控风险管理一体化五环模型(CIRms)。
参加研讨会的有北京德和衡律所企业合规与风控业务部负责人陶光辉律师、北京德和衡律所企业合规与风控业务部骨干律师易燕博士,第一会达风险管理科技有限公司总经理刘冬先生、高级总监张苗女士,某央企子公司投融资风控总监于兴华先生以及微信连线的北京德和衡律师事务所高级顾问樊光中先生等。
DHH合规内控风险管理一体化五环模型(CIRms)尝试围绕大型国有企业的风险、内控、合规管理以及法务等职能的共性与个性,以国资委发布的若干做好央、国企内部控制体系工作的重要文件精神为指导,将国企合规、内控与风险等工作,用一种表格、一套制度、一套流程、一份报告等统筹起来。
研讨会认为,在国内“大法务、大合规”体系建设兴起的背景下,DHH合规内控风险管理一体化五环模型(CIRms)应属国内首个合规内控风险一体化管理建设的前沿方法论。它将目前国企的合规管理体系初始建设、内控体系优化建设、风险管理体系改进建设等视为一种可以深度整合起来的事项。该事项的开展、推进与落地,可通过五个环节来实施。即一体化环境扫描、一体化风险评估、一体化管控应对、一体化风险监控、一体化评价及报告等。这五个环节,作为项目的工作步骤,缺一不可;作为企业内管理事项,则是一个PDCA循环。
对于该模型的五个环节及其适用性,研讨小组逐一进行了讨论、交流和验证,分析了其在国企合规体系建设过程中的各职能落地的“可一体化性”,并指出在一体化的要求下,各环节的落地成果应该是什么?
研讨小组建议目前国企合规、内控与风险一体化或整合建设过程中,可参考该五环模型,以提高工作效率,满足监管要求,达到促进企业合规经营、管控风险的目标。
以下是五环模型的主要内容。
1.“一体化环境扫描”
在该环节,企业内相关部门如法务部、内控部或风控部,可在外部机构的协助下,从三方面进行环境扫描。一是企业各业务条线和职能部门所适用的法律法规梳理,即我们常说的合规义务清单;二是企业组织架构、人员组成与业务流程、IT化现状,企业文化等信息,即我们所说的内控环境;三是企业所在产业、企业业务线所涉的外部宏观环境了解,即我们所说的风险信息收集。在该环节,作为内部专业部门和外部顾问,可向企业提供一体化环境扫描书面报告。
2.“一体化风险评估”
在该环节,通过制定一体化的风险自检表,让企业各业务线、职能线、重点岗位自行填写,由项目组归纳企业面临的合规风险、内控风险及运营操作财务等宏观风险。按照统一的风险评估技术,对照内控缺陷认定标准、风险评估标准和合规评价标准,对风险清单进行分析、评价。采用通用的风险评估可视化方法,形成外部统一、内部区分的风险库。
3.“一体化管控应对”
在该环节,将以一套流程文档替代之前分散的内控流程、合规管理制度、风险管控策略等。该流程文档会嵌入企业对三类风险的统一管控措施,反映出来的是企业的内部管控与外部应对两方面同时布局的风险应对策略。在机制层面,合规风险的应对,主要是建立合规审查、红线清单、违规追责等机制;内控风险的应对,主要是建立控制流程优化、权责分离、内控评价提升等机制;全面风险管理的应对,主要是建立重大决策风险识别、重要业务风险警示、风险指标监控等机制。
4.“一体化风险监控”
在该环节,是对经风险识别、风险应对后果进行定期反馈、监控,通过设置三个方面的风险监控指标,由企业内部法务部门、风控部门进行日常与专项的风险监测、补救等,以促进一体化管理体系持续发挥价值。
5.“一体化评价及报告”
在该环节,通过对一体化风险管理体系工作的年度总结,对其取得的成果和不足之处进行自评和他评,并按企业高层和国资监管部门的要求,制作和提供一套完整的一体化的内控体系报告,从而取代之前的多份报告要求。
每一个环节,均有相关的落地成果。具体有统一的风险清单(风险库)、统一的流程体系文件(含统一的管控节点及说明等)、统一的风险监控指标体系、统一的体系报告文件以及一体化的管理手册等。
陶光辉律师提出,其团队将对该模型不断优化、深化及改良,并运用到目前所服务的国企合规内控体系建设过程当中去。如对国企合规内控风险一体化管理体系建设感兴趣的法务与合规朋友,可加其微信yimanage进行交流,或者参加由一法网主办的拟于7.25-26在上海浦东举办的“法务合规内控风险一体化”高级研修班。
小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。