#合规内控风险一体化管理66要点# 之@一体化管理体系的核心要素包括哪些?
合规内控风险一体化管理是一个关于多种风险的协同管控,核心很显然就是两方面,一是风险,二是管控。
一体化是由这两部分所包含的要素组成:风险方面的要素+管控方面的要素。
1、风险,作为前提,基础及对象,由风险源,风险标准,风险行为,风险评价、风险后果、风险偏好等要素组成。
风险源是风险形成的初始原因或隐藏原因。风险源可以是多个、多种。
风险标准,是判断之所以成为风险的应然规定与规则,即告诉主体什么是正确的,什么是应该的,什么是合理的,具体包括合规要求,内控规范,风险准则等。风险标准,是风险众多要素中的关键。
风险行为,就是那些违反或偏离风险标准的行为。风险行为,也被称为风险事件,一般来说,都是多个风险事件促成一个值得风险主体关注的事件。
2、管控,作为落地、结果及目的,由职责管控、流程管控、制度管控、文化管控、信息化管控等要素组成。管控围绕企业内权力设计与行使而展开。
职责管控是关键的管控措施,通过三道防线,职责设置与履职,授权与控权等;流程管控是权力分配的最佳体现,通过审核、检查、联席会议、考核、监督、追责等方式;制度管控是把管控措施书面化、规范化,并统筹职责、流程及实施过程;文化管控,是相对更加长远的管控手段。
管控手段的本质是围绕企业内权力进行设计。企业内权力,可分为决策权、执行权、建议权、审核权、知情权、监督权等。对这些权力的设计与行使,是管控措施的由来。
一体化管理体系,就是由这两部分组成的,不管是合规管理体系,还是内部控制体系,或者全面风险管理体系,我们其实都能看到这些要素。一体化的设计过程,就是把要素进行整合的过程,期间消除冗余,合并同类项 等,就是我们一体化管理体系的建设内容。
#合规内控风险一体化管理66要点# 之@合规内控风险一体化管理中的三道防线如何发挥作用?
一体化管理作为一种全面的风险管控,同样需要三道防线的设置。业务及职能部门作为一道防线,在风险管控中如何定位?牵头部门作为二道防线,该如何定位,如何划分职责,如何发挥作用?
首先,要理解风险防控工作的行为性质,它是一项以约束和监督为主的管理。设置三道防线,是为更好的约束与监督。
在新三道防线理论中,一道防线的设置,已把业务达成分为业务操作和业务风险自行防控。业务执行已自带风险管控,在业务执行中,必须增加对风险的考量。业务和职能部门有责任先行防控风险。
其次,二道防线,坚持其牵头和组织及协助的定位。对于第二道防线,在基本定位之上,该如何发挥用,特别是在具体业务场景下。个人认为,对合规、内控、风险各自管理体系中的二道防线设置进行归纳及提炼,一体化管理中的二道防线应包括赋能、审查、监控等三项。
二道防线以审查审核为主,以赋能、监控【监督】为辅。审查审核包括合规审查、内控缺陷发现,风控意见等;赋能包括提供合规咨询、提供合规指引手册,提供审查清单等;监控包括合规检查、内控评价、举报与调查、合规考核、责任追究等。监控包括三方面,一是对于审查审核结果的确认;二是对于管控措施及整改措施落实情况的确认;三是对违规及风险事件的追责问责。
最后,三道防线,偏事后独立监督,包括审计、监察、纪检等。这里的监督,与二道防线的监控,要有所区别。监控是为更好的审查、赋能,以及帮助企业自行防控风险。从工作手段来看,与三道防线的独立监督,可能有一定重合,但不影响其各自发挥作用。
一体化管理,必须同时发挥三道防线的价值。法律合规部门作为一条化管理的牵头部门,重点是发挥二道防线的价值;同时作为三道防线的设计者和推动实施者,则必须同时关注三道防线中分别的监督监控职责发挥。
运用以上三道防线关于职责与职权的设置说明,对于合规项目中流程管控清单等制作原理,将非常清晰。
#合规内控风险一体化管理66要点# 之@ 如何进行全面风险库的建设、更新与使用?
合规内控风险一体化建设过程中,必然要通过风险评估,建立风险数据库。
风险数据库的作用在于一是提示企业存在哪些风险,二是落实管控风险的主责部门【风险一线部门】,三是对风险进行排序,筛选出企业高风险;四是概要分析风险的形成原因;五是概要提出风险应对的基本措施等。
更全面的风险数据库,还包括列出风险行为事项(或场景),风险属性(类型)等。
乍一看,风险数据库的作用,基本上攘括了风险管理的全部要素。的确如此,全面风险数据库不仅列举风险,还分析风险,并给出风险应对措施。这里的全面,有两层含义,一是全部的风险属性/类型,二是全部的风险管控要素。
风险管控相关的职责、制度、流程,以及主体和机制,都可包含在全面风险数据库里,关键是如何建设与更新,以及如何使用起来。
1、初始风险数据库的建设。每一个行业、每一个企业,都应该有自己的初始风险数据库,且必须有专人对此进行维护。初始风险数据库,来源于外部专家、内部业务部门、内部风险管理人员的努力。一旦建立,即应定期维护。
2、风险数据库的更新。行业和企业都在边,外部环境在变,风险也在变,因此风险数据库必须随时更新,持续更新。一旦落后于现实,本身即形成风险。更新的责任主体,由风险产生部门或流程主体自我更新,由风险牵头部门汇总、汇编。
3、风险数据库的使用。风险数据库的使用过程,就是发挥风险数据库作用的过程,由牵头部门对风险产生部门进行风险提示,检查风险产生部门风险管控措施的执行情况,评估剩余风险,对照要求进行整改和反馈。
#合规内控风险一体化管理66要点# 之@合规内控风险一体化管理的基本方法有哪些?
合规内控风险一体化管理,即合规管理、内部控制、风险管理的同步同时开展,可运用合规、内控、风险各自管理中的方法和工具,也可形成新的综合方法及工具。个人认为,有以下8种实用基本方法(或手段):
1、组织架构优化设计法。组织架构的合理设计,是从公司层面解决风险内控合规管理的基本分工,典型的就是公司治理、三道防线这两个方面的设计。公司治理,是代表股东利益的股东会,代表日常决策的董事会,代表日常执行的经理层等之间的权力分配和制约;三道防线,是基于风险产生的特点与来源、风险管控的多重监督而进行责任的合理配置。
2、部门权限设定管控法。对部门及特定岗位进行权限设定,制衡一权独大,是防范廉洁风险、决策风险的必要举措。
3、岗位合规内控职责分配法。管控必须落实到具体工作,职责必须落实到具体岗位,这是风险管控类措施有效的基本原则。
4、决策风险因素分析法。在决策制定管理环节,加上专门的风险点分析,考虑合规要求,是对决策的最好风险提示方式。
5、风险库建设与维护管控法。通过构建一个实际的,不断更新的风险库,有助于各部门理解企业的各类风险,提示其管控行为的执行。
6、重大风险隐患跟踪法。对于风险库中的重大风险除了针对性措施,还必须纳入日常隐患跟踪,配套相应的职责。
7、失险问责追责法。对于风险转为风险事件的,分析形成原因,追究事件导致人的责任,以此警示他人。
8、道德风险强化培训法。通过高频多层次多形式的商业道德、企业伦理、价值观的强调与培训,提高防控个别员工道德风险能力。
运用以上8种方法,可以转化为实践中的各种机制、制度和流程,以及清单、指引、指南、手册、报告等。
相关阅读:
陶光辉律师谈一体化┃有全面风险管理,为何还要合规内控风险一体化管理?
更多精彩实务内容,见由陶光辉律师主理的【法务合规圈内圈】知识星球之“合规内控风险一体化管理66要点”专栏。
010-57804780