国有企业如何构建风险、内控、合规一体化管理体系?(二)
发布日期:2022-05-19

在《国有企业如何构建风险、内控、合规一体化管理体系?(一)——“四个统一”的管理机制》一文中,我们提出国有企业构建“风险、内控、合规一体化管理体系”应建立“四个统一”的管理机制和“一个核心”的运行机制,以实现体系融合,并在该篇文章中详细介绍了建立“四个统一”的管理机制的方法和实践经验。本篇文章将继续分享关于风险、内控、合规一体化工作中建立“一个核心”的运行机制的方法和实践经验。

一个核心”运行机制

在一体化体系建设中,除了“四个统一”的管理机制外,从管理体系最终落地实施的角度来说,还需要建立以风险管理为核心的运行机制。全面风险管理、内部控制及合规管理在运行机制上均强调了风险管理,也是三体系整合的基础。一般来说,以风险管理为核心的运行机制包括风险识别、风险评估、风险应对、风险监控、风险检查及持续优化。

风险识别

基于风险管理的运行机制的基础是识别风险,建立涵盖内控、合规及其他运营风险的风险库。一体化的风险识别所运用的方法和工具,与传统的风险识别并无太大区别。但要整合形成统一的风险库,需要注意以下两个方面的问题。

首先,需要结合企业实际,建立适用的风险管理框架,该框架需要考虑风险分类、内部控制流程及合规业务领域之间的对应关系。从目前的实践来看,并不会采用单一的风险分类标准,而是根据企业实际情况,运用统一的风险框架,能够涵盖所有风险分类,并能够对应到内部控制流程及合规业务领域所关联的风险。

其次,需要统一风险库的风险级别(或风险描述的颗粒度)。统一的风险库需要对相关风险进行描述,但内控、合规及其他运营风险在风险级别上存在差异。特别地,合规风险一般需要关联对应的外部法律法规,相关风险描述的颗粒度是最细的,企业可通过采用“总表”+“分表”的方式来区分不同类型风险的级别。

风险评估

从风险评估标准来看,针对内控、合规及其他运营风险,均可采用同样的风险评估标准。按照风险发生的概率以及影响程度,结合定量数据和定性分析进行风险评估,然后根据风险评估结果归类各种具体风险,最终形成风险管理清单。一般而言,风险评估可将风险分为重大风险、重要风险、一般风险和低风险等四个等级。

从风险评估的结果运用来看,根据风险评估结果,可进一步确定后续风险管理的重点,并对相关风险进行分析,基于不同类型风险确定后续的管控策略及管控措施,例如,重大风险含有合规风险的,应作为合规重点领域;对动态类型的运营风险,则需要作为重大风险进行专项的定期跟踪及应对。

风险应对

根据风险管理理论,企业应根据自身业务特点确定风险偏好和风险承受度,明确风险的最低限度和不能超过的最高限度,并据此确定风险预警线及相应采取的对策。风险应对包括风险规避、风险转移、风险降低、风险接受等四种方式。企业应采用一种或多种应对方式相结合,以有效管理和应对风险。针对低风险,一般可通过现有制度与流程加以有效控制,不增加额外控制。针对一般风险,公司应对现有制度与流程进行评估,查找差距与不足,补充完善控制措施。针对重要风险和重大风险,应在公司整体层面上加以应对。从实践经验来看,大部分的风险应对,主要以风险降低的应对方式为主。

针对一体化的风险应对,从风险应对的具体实践来看,需要依据风险类型及管控措施类型做一定区分。

对于绝大部分的内控相关风险及部分流程类合规风险(即相关合规风险主要来源于相关业务程序会违反相关法律法规,例如投资及工程建设相关合规风险),主要设计固定的风险控制措施,通过日常的业务流程管控,包括但不限于事前合规审查及审核审批、事中监控、事后检查等管控方式。对于此类型风险,企业可编制一体化手册(以一体化风险管理矩阵为主),作为第二道防线的管理工具。

对于部分场景类的风险(主要以合规风险为主,即企业在多个业务场景中存在可能违反同一项法律法规),相关的风险管控措施需要依据不同类型的场景进行风险应对。对于此类风险,企业可编制相关合规指引或专项管理制度,对相关风险进行防控。

对于动态类的运营风险(相关风险会随外部环境变化或相关风险依赖于短期业务事项,例如某个具体投资事项的投资风险),企业需要针对此类风险进行专项的动态风险应对,编制应对方案,对相关风险进行定期跟踪、监督及报告。

企业除编制一体化的管理工具外,应根据管理制度统一的原则,将相关管控措施落实到具体规章制度中,实现风险应对及管控融入到企业日常业务流程中,实现风险管控的落地实施。

风险监控

风险监控主要针对重大风险及部分专项风险(量化的风险预警指标并不适用于所有风险),企业应建立重大风险指标监控预警机制和突发事件应急处理机制,依据监管要求、风险偏好、风险容忍度等标准设置风险阈值,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。通过信息化手段推进重大风险监控预警体系建设,对重大风险进行动态跟踪、自动预警、监督评价。

风险检查

风险检查则是进一步落实评价体系统一,在风险应对的基础上,基于各项风险应对所关联的过程文件及证明材料,拟定风险管理的检查测试程序,编制风险检查清单,以便第二道防线开展对风险管控措施的执行有效性检查。定期以重大风险、重点领域和重大决策、重要管理及业务流程为重点,对风险管理、内部控制、合规管理的实施情况进行自我评估和检查,对变化情况和检查发现的缺陷及时加以改进,形成一体化运行的闭环管理。

持续优化

建立一体化管理体系运行的动态调整机制,通过定期的风险识别及评估机制,持续收集企业内外部风险管理、内部控制、合规管理的各类信息(包括外部法律法规及监管要求变化),调整各项风险应对及管控措施,监控风险的应对情况。对已经不再适用的风险或风险管控措施进行调整,同时结合风险检查中发现的设计有效性问题,持续优化一体化体系的管理工具及公司规章制度,使得一体化管理体系能够持续更新及优化。

小结

风险、内控、合规一体化管理体系建设是国有企业未来的发展趋势,国有企业应结合企业自身的实际情况,通过一体化管理体系的建设,有效整合风险、内控及合规管理体系,在满足外部监管要求的同时,整合及优化内部管理资源,降低管控成本,提升管控效率。国有企业可通过建立“四个统一”的管理机制以及“一个核心”运行机制,来推动风险、内控、合规一体化管理体系建设,提升企业经营管理水平,为企业发展保驾护航。

本文是为提供一般信息的用途所撰写,并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

来源:安永EY

延伸阅读:国有企业如何构建风险、内控、合规一体化管理体系?(一)

免责声明及版权等信息,请查看此处

电话咨询

在线咨询

留言咨询