本文发表于《冶金管理》杂志,作者裴桂华,全文12541字,分上、下两篇转载。
近年来,依法治国、合规治企已成为企业发展必须恪守的根本理念。随着国家各层面出台与企业治理体系建设相关的政策、规范性文件,以及国务院国资委自2022年开展的“企业合规管理强化年”活动,各中央企业陆续开始本企业合规治理之旅。合规之旅的方向很清晰,而当下企业如何结合自身管理实际,构建起既具有本企业特色又便于实践落地执行的企业管理机制,才是摆在我们面前亟待面对和权衡的问题。
2015年国资委印发《关于全面推进法治央企建设的意见》,提出“探索建立法律、合规、风险、内控一体化管理平台”的意见。2021年11月,国资委印发《关于进一步深化法治央企建设的意见》,将此前的一体化管理平台调整为“探索构建法律、合规、内控、风险管理协同运作机制”。该两种提法,调换了内控和风险管理的先后顺序,将一体化管理平台调整为协同运作机制,其中深意究竟为何?笔者以为,该文字表述上的调整传递的信息是当前监管部门对于中央企业应如何整合各条线管理机制尚无定论,还在不断探索的过程中。
企业作为市场主体,如何治理的话题由来已久,在公司治理项下,根据需要产生若干治理机制或体系,包括但不限于内控体系、风险管理体系、合规管理体系等。国资委作为履行国资监管职责的行政机关,其内设机构23个,各机构均按条线监管和对接中央企业的对应职能部门。比如法规局负责国资监管体制和制度建议,党内法规制度建设,国企改革法律问题,国企法治建设和法律顾问工作;综合监督局负责国资监督,包括制度体系、内控体系、全面风险管理以及开展合规管理监督、指导内审等。各机构立足本部门职能发挥,从有效履职角度会不断细化监管要求、强化监管力度,因此关乎企业管理机制建设的相关政策文件,近年来日益繁多,交叉重叠。具体包括:
国务院办公厅发布《关于进一步完善国有企业法人治理结构的指导意见》,中办、国办共同发布《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》,国资委先后发布《关于全面推进法治央企建设的意见》《关于进一步深化法治央企建设的意见》。文件从不同层面要求各国有企业需健全包括领导责任体系、依法治理体系等在内的各种体系建设,提升法治工作的支撑和保障能力。
1992年COSO发布指导内部控制实践的纲领性文件《内部控制——整合框架》,1997年中国人民银行发布《中国人民银行加强金融机构内部控制的指导原则》,至2002年7月美国通过《萨班斯—奥克斯利法案》,国内于2008年5月由财政部、证监会、审计署、银监会、保监会等五部委联合发布《企业内部控制基本规范》,两年后又发布18项《企业内部控制应用指引》以及《 企业内部控制评价指引》和《 企业内部控制审计指引》,针对企业内部控制的体系建设给出具体方案。2019年10月国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》后,各中央企业持续强化内控体系建设。
2006年6月国资委发布《中央企业全面风险管理指引》,要求企业围绕总体经营目标,开展全面风险管理工作,并建立风险管理流程和组织体系。自国资委下发《关于2014年中央企业开展全面风险管理工作有关事项的通知》之后,各中央企业要在全面风险评估的基础上,向国资委报送全面风险管理年度报告。
其发展经历了探索试点、体系发展、强化发展、从央国企到中小企业合规、推进涉案企业合规机制建设等诸多阶段。国内企业合规始于银行业合规,2006年原银保监会发布《商业银行合规风险管理指引》,2007年发布《保险公司合规管理指引》,2018年国家标准化管理委员会发布《合规管理体系指南》,2018年国资委颁布《中央企业合规管理指引(试行)》,国家发改委等七部委联合发布《企业境外经营合规管理指引》,至2022年国资委发布《中央企业合规管理办法》,企业合规的话题度持续走高。
除以上企业管理机制之外,中央企业当前所不能忽略的内部治理还包括以大监督格局为目标的内部审计、纪律检查、巡视巡察等处于第三道防线的监督机制。依据《中华人民共和国审计法》《审计署关于内部审计工作的规定(2018)》《党政主要领导干部和国有企业领导人员经济责任审计规定实施细则》等法律法规,中央企业的内部审计除了涵盖业务、资产、负债、项目预决算等,还需就各类管理机制进行有效性审计评价。根据国有企业要坚持党的领导和公司治理有机统一,坚持党委(党组)“把方向、管大局、保落实”与董事会“战略管理、科学决策、防控风险”有机统一,以及坚持党管干部原则与市场化选人用人有机统一的要求,党的领导和党的纪律检查必将对公司治理机制建设产生根本性影响。
任何企业都是以为顾客创造价值为宗旨和存在理由的,而所谓商业模式则是指企业为顾客创造价值以及获取收益的逻辑和方式。企业生存的根基在于业务,即企业是否能为顾客提供所需的产品和服务。企业之所以需要建立和完善管理机制,其初衷仍是立足于业务,服务和支撑业务发展的。企业之间的竞争,从某种意义上来说,是企业管理的竞争。
以上政策文件中提到的“法律、合规、风险、内控”均属于企业管理的不同机制或体系,其与我们通常所说的公司治理并不在同一层级。企业是一系列契约的集合。狭义的公司治理是指公司的所有者,主要是股东,对经营者的一种监督与制衡机制,即通过一种制度安排来合理地配置所有者与经营者之间的权力和责任关系;广义的公司治理指企业中关于各利益相关主体的权、责、利关系的制度安排。公司治理的根本目的是提升治理效率,可以分为治理结构和管理机制,其中治理结构既包括股权结构,亦含有公司董事会、监事会、经理层之间的权责设置。而在管理机制层面,则涵盖公司的决策机制、监督机制、激励机制和外部治理等方面,各机制运行即为企业管理,重在落地执行。除此之外,公司治理还有内外之别,内部治理关注公司的治理结构和管理机制,而外部治理主要关注公司治理的法律和政治环境、资本市场和公司控制权市场、产品和要素市场、外部代理人市场等。可以说,公司管理机制是公司治理的组成部分,属于公司治理的下位概念。
如上所述
,无论是企业法治建设、内部控制、风险管理、合规管理,还是内部审计以及纪检监督、巡视巡察,均属于公司治理下一层级的不同管理机制,企业作为拟制人是一个有机体,虽然不同管理机制之间各自关注重点不同,但在各管理机制相互之间存在内容交叉、重叠,或各自运行机制嵌入工作流程时分先后、有叠加。企业管理人员应立足管理视角,从体系搭建、运行机制、协同配合等不同层面进行选择和统筹安排,以实现企业各管理机制的功能协同一体。对于企业来说,发展是硬道理,而技术创新是企业生命树的新能源、是企业潜在的第二曲线,所以在当前企业管理机制多重的情况下,如何推进各机制融合建设,如何实现不同管理机制在提升企业管理水平、达成企业管理效益方面的殊途同归,将始终是企业管理中需要直面的现实问题。
在坚持依法治企的基础上,法务人员已经是企业不可或缺的管理团队核心成员。传统法务的主要职责包括三方面,一是合同审核,二是案件管理,三是企业内部与法律相关的日常咨询。如果将企业不同职能部门比作市场中的不同主体,企业法务则属于企业内部提供法律专业服务的供给方,法务需向其服务客户包括横向职能部门、具体业务部门、公司管理层、下属企业等提供精准高效的专业法律支持。
在当前全面开展企业合规工作的大背景下,无论是国资监管部门,还是企业管理层,均从理念上提升了对企业法务重要性的认识。法律合规部不仅负责提供传统法律专业服务,还需作为合规工作的牵头部门,总体负责企业合规管理体系建设、运行、评价相关工作,执行合规第二道防线任务,而且总法律顾问兼任首席合规官,更是从组织架构上确定了法务职责扩充至合规领域。
在法务职能迅速扩张、法务角色职责增容的客观情形下,企业法务人员不仅要成为日常合同审核、案件管理、法律咨询的运营法务,还需融入业务团队、深入具体交易项目,参与项目谈判、管控项目风险,成为某一业务领域的项目法务,而目前更重要的是法务人员的业务领域已经扩充至企业合规管理,法务作为牵头部门需确保企业合规经营。因此,在人员数量基本不变的情况下,法务人员如何实现传统法律服务与合规履职的有效落地和执行,如何实现职责整合的软着陆,则是法务团队需要思考的现实问题。
各项管理机制对于企业来说都是必不可少的,要实现同一企业有机体中不同管理机制之间的有效融合、协同,必须先行精准界定和理解各管理机制的异同。
所谓依法治企,是指企业在经营管理过程中,需强化法治建设,健全法治工作体系,包括领导责任体系、依法治理体系、规章制度体系、合规管理体系、工作组织体系等五个方面,提升依法治企能力,包括提升法治工作引领支撑能力、风险管控能力、涉外保障能力、主动维权能力和数字化管理能力。企业作为市场主体,必须具备市场化、法治化、国际化的能力,从各方面控制法律风险,同时还包括企业法治建设第一责任人的责任落实。
所谓企业合规,是指企业行为符合法律法规及其内部规章制度和商业道德的要求。“规”的外延不断发展,既包括国家制定的法律法规,也包括商业惯例、伦理规范,企业内部规章制度、合同,外国法律法规、国际条约或国际惯例,行业准则、相关标准、监管规定等。有效的合规管理体系,存在四个核心要素,即合规义务、合规承诺、风险分析和合规组织。中央企业的合规新趋势,强调合规管理与业务深度融合、与风险管理、内部控制一体融合,要强化合规管理的有效性并给予评价。
内部控制是指企业围绕风险管理策略目标,针对各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。内控要素主要包括内部环境、风险评估、控制活动、信息与沟通、内部监督。而内控目标则区分为控制型目标、协助型目标、参与型目标,其中控制型目标是内控初衷,即通过控制企业的经营管理行为(也即董事会、监事会、经理层和全体员工的行为),达到合法合规、资产安全、报告真实完整的状态;而协助提高企业经营效率和效果的协助型目标,以及促进企业实现发展战略的参与型目标,则是内控希望达成的更高追求。
所谓企业风险,是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。而企业实施的全面风险管理,则是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
为了解决企业生存和发展过程中不断出现的管理问题,企业管理者有意识创设并演化了各种管理机制,各机制针对的问题起点、牵涉范围不同,其关注的重点以及给出解决方案的策略自然不同。由于问题起点存在关联性、重叠性和持续性,各管理机制在设计、运行、效果等方面亦不可避免地存在交叉和重叠,甚至冲突。对于风险管理、内部控制、合规管理以及依法治企等企业管理机制之间的关系,笔者做如下梳理:
一是,风险管理、内部控制和合规管理存在交叉重叠,是不同监管机构基于不同目的实施的管理要求,实质都属于管理风险,仅是关注的风险层次和管理手段存在差异,管理形式和内容各有侧重。
二是,内部控制是操作和实现合规管理的重要手段,合规是内部控制的目标之一,合规管理更注重结果,而内部控制则更重视管理的过程,并发展出内部控制完整的工具和方法。
三是,合规管理强调对规则(法律、规章制度、商业伦理)的遵守,内部控制强调对行为(企业各层级、业务各环节)的限制,而全面风险管理则强调对风险纳入管理(战略制定与执行)的运用。
四是,从合规、内部控制、风险管理的内涵来看,合规管理小于内部控制,内部控制小于全面风险管理。
五是,风险管理更关注战略层面,而战略层面的风险,更多是机会风险,与企业战略方向、市场策略、业务模式相关;而内部控制更关注日常运营层面,而日常运营层面的风险,多为工作流程中的经营合规、财务真实、质量保证、安全生产等。
六是,依法治企兼具企业治理中的“术”和“道”,“术”是指企业法务人员运用法律专业知识实现或保障企业合法权益的技术层面,相比于合规、内控、风险管理,法律解决的是更具体的事;而“道”则是企业作为市场主体需依法而生、依法而行的基本理念,在该层面法律与合规类似,追求的是规则之治,强调企业经营依法合规是底线、是原则。
七是,合规是做人,风控是做事;内部控制是正确的做事,风险管理是做正确的事。
基于以上理解,结合具体场景予以分析:比如某集团公司要进行投资,新建一处化工厂。其中,满足规划和环保要求,比如规划选址、环境评价等,需要符合规划和环境方面的外部监管规则,属于合规管理;企业内部对于新建项目的可行性论证、投资决策程序、建设过程管理等行为,属于内部控制;评估项目建设的各方面风险及管控措施,最终做出何种决策,属于风险管理。当工厂建成后运营过程中涉及外部采购时,对于供应商的选择和维护,可能出现贪污舞弊、采购成本虚高,可能出现的买到不合格原材料的风险等情况,在运营过程中采取的供应商库建设,采购过程实施的中合同审批、执行、验收和付款等职责分开,内部建立有明确的质检标准及抽样、复检程序等,则是对上述风险的各种内控措施。如大宗贸易涉及出口管制时,需要落实合规审查,则是合规风险;当因为疫情导致供应中断、原料市场价格剧烈波动等,则属于风险管理需要考虑的内容。
除以上企业管理机制之外,还有通常我们所说的企业风险三道防线:业务部门是第一道防线,风险、内控、合规是第二道防线,审计和纪检是第三道防线。法律合规部门并非风险防控的前沿阵地,要让真正的风险防范责任主体即业务部门冲在最前面。内控、合规作为第二道防线,要及时提醒、牵头协调并跟进督促。而审计、纪检巡视等第三道防线,既要监督第二道防线各体制机制对风险防控的执行效果,还需对第二道防线体系设计的有效性开展评价,确保能及时修正。
[1]施炜.管理架构师:如何构建企业管理体系[M].北京:中国人民大学出版 社,2019.
[2]胡晓明、许婷、刘晓峰.公司治理与内部控制[M](第2版).北京:人民邮电出 版社,2018.
未完待续!
下期详解:
「企业合规管理“1+N”模式的必要性和实践」
敬请关注!
