新闻动态
陶光辉律师谈合规|法务、合规、内控、风险的管理要素
要对法务管理、合规管理、内部控制与风险管理进行一体化管理,一个前提性的工作,是了解四者各自的来源和历史发展。另一个前提,是对这四者涉及的管理要素进一步熟悉。管理要素,是法务、合规、内控、风险四项管理体系的基本组成。四者发挥其各自功能,在于由其管理要素所形成的管理结构。这些管理要素必须共同发挥作用,才能促使一项合规管理体系有效。
分析管理体系的要素,本质就是对管理体系进行拆解,它使我们一方面更容易理解管理体系的运行,另一方面可进一步观察管理体系是如何起作用的,为下一步实现“统筹或协同”打基础。
一
法务管理的七要素
法务管理与合规管理、内部控制,甚至与风险管理相比,可以说是“体系性最不强”的。这与法务的工作性质相关。法务的基础工作,例如合同审查、投资并购、法律咨询、诉讼仲裁等,都是相对“被动”的工作。即业务部门或其他职能部门存在特定需求了,法务才会启动其工作。有合同交易了,才有合同审查;有争议纠纷了,才有诉讼仲裁。法务的被动性,决定其工作体系也是相对较“散”的。但尽管如此,实践中有效的法务管理也是需要进行条理化梳理,变“被动”为“主动”,这样才能更好的做好法务工作。法务管理的要素,是总结那些有助于加强法务工作的主动性,提升法务管理的效率效能而得到的“工作诀窍点”。这样的“诀窍点”,有七个。即可以说,法务管理是由七个要素组成。
第一个要素,是法务情境。法务的工作,一定是在一定的环境下进行的。这个环境,宏观上,包括公司的所有制形式、所处的行业、公司在行业中的地位,公司所依赖的商业模式等;中观上,包括公司领导人的风格、公司业务部门与法务部门的关系,管理层对法务部的期望等;微观上,包括法务部负责人的经验和认知、法务骨干成员的技能,法务部内的行政与技术支撑情况等。这些环境因素,连同其他一些未揭示的、隐性的因素,如部门权力冲突、职业潜规则等,合在一起,便构成公司法务面临的情境。
第二个要素,是法律顾问和法务管理者。法务管理,与合规管理、内部控制等工作相比,最大的区别之一可能在于法务管理的“法律专业属性”是最强的。它更加依赖于有丰富法律实战经验的法律顾问。某种程度上,法务管理涉及的工作,其实都可外包给同样具有丰富法律经验的职业律师。但合规、内控等管理工作,显然就无法做同样的处理,因为合规、内控不仅是合规部的合规,内控部的内控,而是整个企业的合规、内控。法务,特别是具体的法务工作,却高度依赖法律顾问的个人及团队能力。因此,法务管理的一个独立要素,是法律顾问和法务管理者。
第三个要素,是法务工作方案。如前述,法务管理的成效,很大程度上取决于法律顾问和法务管理者的个人和团队能力。如何发展和提升法律顾问的能力,将多位法律顾问能力与多样业务需求进行最恰当的匹配,是有效法务部面临的一种挑战。这需要法务管理者主动去规划法务部的工作。因此,制定一份契合法律顾问当前工作特点,且满足法律顾问成长需求的年度法务工作方案,对于提升法务管理的主动性,也是非常有必要的。这样的法务工作方案,能使得法务工作从单纯的事务性工作摆脱出来,从而更好、更长远的提高法务管理的产出。
第四个要素,是法务支撑。法务工作在大多数场合的“被动性”,决定了法务管理的焦点是提高其主动性,但这需要一些特别的支撑。这些支撑,包括对法务在知识、技能、价值理念以及沟通技巧方面的支持。法务支撑是促进法务管理提升的前提,是需要着重作用到法律顾问身上的。它具体包括法务知识管理、技能培训、法务理念转变以及法务沟通技巧的培养等。
第五个要素,是法务运行。法务工作,其实是综合性更强的工作。不同企业的法务管理,其所管理的“工作范围”可能存在较大区别。有的公司法务,可能主要就是审合同、打官司两项工作。有的公司法务,可能还包括知识产权、并购、上市。还有的,慢慢将合规管理、内部控制也纳入法务部的工作范围。但此时,法务部的名称可能改为“法务合规部”、“内控法务部”等。法务部的管理内涵,呈现逐渐增加趋势。这种情况下,对法务部内的多样工作,可能需要运行不同的处理模式。例如,对于传统法务事项,适用效率优先模式,对于新增风险管控事项,适用监督、制衡模式。
第六个要素,是法务绩效。对法务工作进行绩效考核,是相对困难的。因为法务的工作成果好坏,更多的是取决于法律顾问的经验。有一些工作,是以结果来论的,如对诉讼案件的评价,但这也受很多的外部主、客观因素制约。例如司法资源、本地关系、法官风格等。因此,衡量一位法务工作,应从主、客观两方面同时进行,同时还需要一并关注数量与质量。这一点,与合规管理的绩效考核,要注意区分不同的理念和方式。
第七个要素,是法务改进。通过评价和纠正,然后进行改进,正是PDCA管理循环方法论的体现。任何专业管理工作,都存在改进空间。法务管理,也需要不断改进。它可以体现在通过对案件的总结,上升为对商业模式的调整;也可体现为对合同诉讼的整理,上升为对合同范本条款的调整。对于法务的管理范畴的调整,也属法务改进。它是法务部对于宏观环境、政府监管和企业文化的改变所进行的适应性调整,当然属于法务管理的一部分。
二
合规管理的九要素
合规管理要素的来源,是基于合规管理的国际国内标准以及国务资等主管部门印发的合规管理指引文件。这些文件指出的合规管理框架稍有不同,但大体还是一致的,基于此,我们把合规管理的要素,归纳为九项。
第一个要素,是合规管理环境。环境类要素,其实是所有管理体系都具备的要素。这是管理体系运行的土壤,也是管理体系建设的前提。不管是实施合规管理,还是内部控制、风险管理等,都要先扫描所在的企业管理环境。合规管理环境,主指外部宏观环境、利益相关者的期望和需求以及合规管理要素的现有状况等。外部宏观环境包括但不限于政治与法律、经济、社会、技术(PEST)等环境。利益相关者的期望和需求,包括来自投资人、管理层、雇员、商业伙伴、债权人、社区等对企业合规的期望和具体需求。合规要素的现有状况,指组成合规管理体系的所有要素,包括目标、组织、制度、流程、绩效等的现有实际情况。企业合规建设的第一件事,不是颁发一个合规管理制度或召开一次合规会议,而是先扫描当前企业面临的具体合规管理环境。这个具体的管理环境,是今后合规建设的起跑线。
第二个要素,是合规管理职责。作为一项正式的管理活动,必须设计对应的部门和职责。不落实到具体的人员上,管理在企业内是无法自动实现的,特别是合规管理这种自我约束型的活动。合规管理职责的设计包括两个层面。一是如何分配业务部门与合规部门的各自合规管理职责。这就是合规风险三道防线机制的设计。另外一个层面是,合规是全员合规,企业内各机构、部门、各岗位,都有其合规管理职责。企业合规建设,必须把合规作为每一个人的管理职责。只是具体职责的内容和分工,大家不一样。在国企合规建设实践中,限于时间和资源,一般仅会对重点部门和重点岗位进行合规管理职责设计,最后形成《合规管理职责清单》等成果。
第三个要素,是合规治理方针。治理方针,是规定企业合规建设的总体原则、基本政策和实施流程。合规治理方针,既包括实体上的合规基本态度,又包括程序上的合规实施步骤。它反映宏观环境对企业的要求以及企业利益相关者的博弈,表明了企业治理机构在合规建设上的基本态度。合规治理方针,对于指导企业管理层设计和实施合规管理体系,起着“压舱石”的作用。纵观历史上的重大合规风险事件,其根本原因还是在于企业高层对合规管理的基本态度不清晰、不明确,或者发生动摇。因此,合规治理方针是企业合规建设的一个重要要素。
第四个要素,是合规行为准则。合规行为准则,在一些企业内又被称之为“合规手册”或“诚信合规手册”。实践中的合规手册,一般不仅规定合规行为准则的内容本身,而且还会将为什么要制定行为准则,员工遵守合规行为准则的承诺,以及如违反行为准则的基本处理等作为手册的组成部分。为什么要制定行为准则,往往体现为公司最高管理者亲自签署的诚信与合规“宣誓词”。员工遵守行为准则的承诺,则是员工应分别签字确认的“合规承诺书”。违反行为准则的基本处理,则体现为举报热线与调查基本程序规定等。这几项内容组合起来,形成企业对外公布的合规行为准则。值得一提的是,合规行为准则不能仅仅是一种宣传,还应是一项可执行的企业内部规章制度。即制作和发布合规行为准则,须遵守劳动法上关于规章制度生效与实施的实体和程序方面的规定。
第五个要素,是合规风险。风险或者说更广泛意义上的“问题”,理论上是所有的风险管理活动的前提。如果连“风险”、“问题”都不知道在哪,或不愿意知道在哪,那么所开展的合规管理活动将因缺乏针对性而无所成效。在合规管理体系建设和运行过程中,必须进行专门的合规风险评估。合规风险评估过程,一般分为合规风险的识别、分析与评价等三个阶段。合规风险识别,是最为关键的阶段,主要有归纳法和演绎法。归纳法是通过梳理、总结过去曾经发生的合规风险判例、案例、事故等,形成本企业的合规风险清单。演绎法是通过对业务流程的拆解,由专家结合其经验,假设每一项业务流程发生违反法律法规、内部规定等的可能情形,形成本企业的合规风险清单。
第六个要素,是合规管理制度。制定和实施制度,是企业管理的基本手段,也是对风险进行管控的主要方式。合规管理制度,是推动合规(风险)管理措施落地的集中体现。通过用书面化的方式,表达企业对合规的态度、对管控行为的正式安排,对不合规的调查与处罚程序等,企业主动设计和实施一套完整的合规应对策略。合规管理制度的具体表现形态是多样的。合规管理办法、业务合规指引、专项合规管理指南、合规管理手册等,在某种意义上,都是一种形式的合规管理制度。合规管理制度对于后续的合规管控流程也是一个前提和基础。绝大多数的合规管控流程,都需要事先规定一项或若干项制度,否则在企业内将因缺乏实施基础而导致失效。
第七个要素,是合规管控流程。合规管控流程,或称合规管控机制,是实现合规管理目标的关键抓手。如果说合规管理制度是静态的,那么合规管控流程则是动态的。制度和流程,是相辅相成的。合规管控流程,既是合规管理制度实施的体现,也是合规风险预防、控制与应对的具体行动。有时候,流程和制度是分不开的。从介入被管控对象的时机来说,合规管控流程可分为事前型流程、事中型流程、事后型流程。从涉及企业的管理层级看,合规管控流程,还可分为企业层流程、部门层流程以及岗位层流程等。
第八个要素,是合规管理评价。合规管理活动是一个需要不断改进的活动。改进的基础,便在于对已执行、已实施的合规管控行为本身进行评价。实施合规管理评价,要建立一套评价指标。评价指标,应围绕合规管理的要素进行设计。它应当包含全部的合规管理要素。对于每一项合规要素,进行细分,直到可与具体的合规行为匹配,以方便评价计分。进行合规管理评价,其目的是判断当前合规建设的有效性,包括指出其存在的问题。它是合规管理的一项独立要素,实践中要防止用合规评价取代合规管理体系建设的不良做法。
第九个要素,是合规管理文化。合规文化既是合规建设的土壤,也是合规建设所追求的最终目标。当然,这里说的“合规文化”的含义是不同的。前一个“合规文化”,是企业合规建设的当前环境、现有群体的合规意识等的组合。后一个“合规文化”,是指有效的合规文化,理想的合规文化。企业合规建设,要以形成有效合规文化为目标。合规文管理文化的形成,必须依赖具体的措施。如定期的合规培训、主动的合规宣传、对合规案例的推广,对不合规事件的处罚等。同时,合规管理文化的塑造,应当持续进行。
三
内部控制的五要素
《企业内部控制基本规范》和《内部控制——整合框架》都规定了内部控制的五要素。这五个要素分别是:内部环境(控制环境)、风险评估、控制活动、信息与沟通、内部监督(监督活动)。
第一个要素,是内部环境。它是企业实施内部控制的重要基础,包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。治理结构由四部分主体来实施:股东会行使企业经营方针、筹资、投资、利润分配等重大事项的表决权;董事会对股东会负责,行使企业的经营决策权;监事会对股东会负责,行使对董事、经理和其他高级管理人员履行职责的监督权;经营层负责组织实施股东会、董事会决议事项,主持企业的生产经营管理工作。
股东会和董事会为内部控制的重要性(包括期待的行为准则)提供高层定调(the tone at the top)。各个层级的管理活动,则应强化这种认知和期待。内部环境还包括吸引、开发和保留人才的政策,以及严格的绩效考核、激励机制,以保证绩效实现。内控环境也需要培育积极向上的价值观和社会责任感,倡导诚实守信精神,强化风险意识。内部环境会对内部控制的整体体系产生全面影响,董事、监事、经理层及其他高级管理人员应当在内部环境的建立与塑造中发挥主要作用。
第二个要素,是风险评估。这是企业内部控制实施的重要依据。每个企业都面临着来自内外部的各类风险。风险是潜在事件发生并对企业实现其目标产生负面影响的可能性。风险评估的前提是确定相应的风险承受度,风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。内部控制的风险评估就是找到(识别)那些与内控目标相关联,风险承受度之外的风险。它是一个通过持续地收集相关信息,关注企业内、外部风险因素,根据企业要实现的内控目标,动态和反复识别的过程。
识别风险之后,进而采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险,即风险分析。最后根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。典型的风险应对策略包括风险规避、风险降低、风险分担和风险承受等。需要强调的是风险降低策略,即企业在权衡成本效益之后,采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。可以看出,内部控制的大部分控制措施,其实都是风险降低策略的体现。
第三个要素,是控制活动。这是企业内部控制实施的重要手段。控制活动是结合风险评估的结果,通过手工控制与自动控制、预防性控制与发现性控制结合的方法,运用相应的控制措施,将风险控制在可承受度之内。这里的控制措施,主要是风险降低策略的措施。包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。这些措施,具有比较独特的内控特色,与合规管理的风险控制措施相比,存在一定的区别。主要在于合规风险与内控风险的性质是不一样的,但均作为风险控制手段,还是有相通性的。这也为一体化进行合规、内控活动创造了条件。
不相容职务分离控制是最具特色的内部控制活动。它需要梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。不相容职务是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职务。例如授权、审批、执行、记录等职责,如果集中于一人身上,那么容易发生舞弊的情况。不相容职务分离的核心是“内部牵制”,它要求每项业务都要经过两个或两个以上的部门或人员的处理,使得单个人或部门的工作必须与其他人或部门的工作相一致或相联系,并受其监督和制约。
第四个要素,是信息与沟通。这是企业内部控制实施的重要条件。信息对于企业而言,对推进内控、促进其目标实现是非常必要的。管理层需要获得有效的内部或外部信息来支持内部控制其他要素的正常运转。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息;通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。重要信息应当及时传递给董事会、监事会和经理层。
沟通是一个持续和不断重复的提供、分享和获得必要的信息的过程。沟通是一个手段, 使得信息能够在整个组织向上、向下和横向扩散,能够帮助员工接受来自高层的清晰的信息。沟通过程中发现的问题,应当及时报告并加以解决。
第五个要素,是内部监督。这是企业内部控制实施的重要保证。内部监督由内部审计机构或经授权的其他监督机构来履行职责。内部监督分日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率根据风险评估结果以及日常监督的有效性等予以确定。
在内部监督过程中,如发现与事先设置好的内部控制缺陷认定标准相符的内控缺陷,应分析缺陷的性质和产生原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,通过评价来确认内部控制的五个要素以及每个要素下的基本原则与举措是否存在并发挥作用,最后并出具内部控制自我评价报告。
四
风险管理的五要素
对于企业风险管理的要素,可供参考的国际国内标准主要有2006年6月国务院国资委印发的《中央企业全面风险管理指引》和2004年9月COSO发布的《企业风险管理——整合框架》及COSO在2017年6月新发布的《企业风险管理——与战略和绩效的整合》等。下文主要以COSO《企业风险管理——与战略和绩效的整合》为例,阐述风险管理的要素。
第一个要素,是治理和文化。风险管理的前提是加强主体责任,关键的主体当然是公司董事会。因此,风险管理强调先从公司治理层面切入,即加强董事会对风险的监督责任。如果风险管理建立在一个错误的框架下,那么其必然无法起到预期效果。为支持风险治理框架,企业需建立一个专门的与风险相关的运营结构。这个运营结构不是独立另起炉灶,而是在追求战略和运营目标的过程中建立的。实践中,可认为风险三道线构成这个运营结构的核心。
文化,是将战略和人联系起来的桥梁。在该企业风险管理框架中,包括“定义期望的文化”、“展现对核心价值的承诺”、“吸引、发展和留住优秀的员工”等内容。企业通过定义其所期望的风险文化,来将对风险的态度具体化。对核心价值的一贯追求,能体现企业对风险本质的认识。优秀个体的吸收和培养,同样是文化建设必不可少的因素。
第二个因素,是战略和目标制定。企业风险管理、战略制定和业务目标制定三者应共同发挥作用。首先,企业建立的风险偏好要与战略相协调;然后,业务目标应将战略付诸于实践;最后,业务应作为识别、评估和应对风险的基础。
实施本要素,具体工作原则包括:分析业务环境,企业应考虑环境对风险选择的影响;定义风险偏好,企业应了解不同的风险偏好所代表的取舍,风险偏好应与价值创造、实现相适应;评估备选的战略,企业应明白不同战略所包含的风险及其背后的意义;制定业务目标时考虑风险,企业在制定不同层级的业务目标以支持战略的同时,应考虑对应的风险。
第三个要素,是执行。该要素是风险管理落地的核心。执行是一个具体的风险识别、分析、评价与应对及事后再评估的过程。具体来说,即是指,企业需要识别和评估可能会影响战略和业务目标实现的风险,并根据严重程度和风险偏好来确定风险的优先级。然后,企业选择风险应对方案,并以风险组合的角度预测风险总量。这一过程的结果应向主要利益相关者报告。
首先是识别风险,方法包括专题研讨会、访谈、流程分析、关键风险指标和数据追踪等。这一点,与其他框架下的风险识别,无异。然后,从风险发生可能性和影响程度两个方面以及从固有风险、目标剩余风险和实际剩余风险三个层级对“风险”进行分析。根据分析结果,结合风险偏好,对风险进行排序,形成风险热力图。最后,是执行风险应对方案,包括采取承受、回避、追逐、降低、分担等方式,由管理层根据业务环境、法律法规、风险优先级、风险严重程度和风险偏好来选择风险响应措施。在本框架下,特别强调风险组合观,即需要从企业整体角度考虑风险,将风险情况视为一个整体,去和实现业绩目标所需要承受的风险进行对比,而不是将其视为一个个单独的、分散的风险。
第四个要素,是检查和修正。通过对风险管理执行情况的定期检查,企业应考虑企业风险管理的各要素在一段时间的运行情况,特别是出现重大变化时的运行情况,并及时发现哪些部分需要进行调整。这个要素的实现,需要评估企业的重大变化,这些变化可能是来自外部原因,也可能是来自内部原因。该要素还要求对整个风险管理体系的改进进行跟踪。
第五个要素,是信息、沟通和报告。企业风险管理应建立流程,以便从内、外部渠道持续获取和分享信息,这些信息必须能够在整个企业得到全方位的沟通和传达。企业应在各个层级对风险、文化和绩效做出报告。报告的内容包括:风险整体判断、风险图谱、风险成因分析、敏感度分析、对风险变化的分析、KRI(关键风险指标)、趋势分析等。
本文作者:陶光辉
taoguanghui@deheheng.com
北京德和衡律师事务所高级合伙人
在企业合规领域,拥有如下资格或证书:
中国管理科学学会高级企业合规师
中国船级社ISO 37301 合规管理体系内部审核员
中国五矿化工进出口商会合规委员会专家委员
北京德和衡律师事务所合规与企业法治业务中心总监
北京一法合规培训中心首席讲师
上海企业合规研究中心法律顾问
西藏自治区涉案企业合规第三方监督评估机制专业人员名录库入选人员