陶光辉律师谈合规 |帽子模型:央国企法务、合规、内控与风险管理协同运作机制(下)
本文作者:陶光辉
近年来,随着国家依法治企推进和加强,《中央企业合规管理指引(试行)》《企业境外经营合规管理指引》《企业合规管理体系要求及使用指南》(ISO 37301)等文件和标准的公布与施行,企业合规管理与风控体系建设进入深水区。各类企业着力强化合规、内控、风险、法务管理,促进合规经营,防范化解各类风险。但在实践中,如何将“四者”概念厘清、关系理明,并在此基础上,构建符合企业实际的全面风控合规管理体系,对于进一步促进企业合规经营,防范风险,都将具有重要的现实意义。
在实践中,如何做到“法律、合规、大风控”的统筹?如何构建“法治框架下的法律、合规、风险、内控协同运作机制”?如何处理法务管理、合规管理、内部控制与全面风险管理这四者的关系,保持企业风险管控的“初心”?等等是很多从业者非常关注的问题。
就上述问题,北京德和衡律师事务所高级合伙人陶光辉律师受邀知名法务机构LCOUNCIL进行了一次线上分享。以下根据本次分享整理的文字内容,与企业法务同行们共同交流探讨。因字数较多,分为上、下两部分。
陶光辉律师谈合规 |帽子模型:央国企法务、合规、内控与风险管理协同运作机制(上)<br/>四、关系梳理(一)四者的工作模块
接下来对四者之间做一个关系的梳理,从而为一体化建设打下基础。先看这四个方面各自工作模块,工作模块有两种方式,能够从工作模块的角度把它统筹起来。第一,这四个模块里各自的核心。比如法务模块重点的是合同审查,合规重点的是合规的制度,内控重点是内控的流程,风险管理重点的是对风险准则的速率。以这四个部分各自的核心来发展他们各自的侧重点,这是一种思路。还有一种思路是按照风险的事前事中事后,是在这里面哪些是预防性的,哪些是风险控制性的,哪些是风险最后处理或者应对性的。所有的风险预防性的全部拿出来放到风险的第一道防线里面,这道防线工作是分成两部分,第一个业务部门自身来承担,第二个风控部门或者大风控部门,包含法律合规等等这些部门来做框架的设计,组织架构的设计,相关的机制运行的设计等等,这是预防性的。事中的通过审查、检查、培训等等。事后的通过诉讼、监督,合规评价、内控评价等等。这两条思路能够把这四者系统化。(二)工作模块有交叉
重点按照的是以风险和问题为导向的一种思路,叫做帽子模型。首先这四个模块的交叉点是什么?在培训方面、在审查方面、在制度方面和在检查方面,这四者是有一个交叉的。也是说,这四个方面都有这些工作。比如说法务有普法培训,有各种的法律案例培训。审查有合同的审查,有规章制度的审查。制度类?法务也有相关制度的修改、制度的审查。法务自身也有一系列的制度。至于检查,法务也可以提出一些检查工作内容,比如法务评价,集团公司对子公司法务工作的开展情况,法务部门对业务部的合同检查。文化类的,是各种的意识。
(三)主管部门有区别
1.合规、内控、风险管理、审计,在监管部门(国资委),属于不同的部门归口管理
(四)政策在变迁
四者之间为了协同运作,出现了一些政策方面的变迁。2015年12月份的时候,国资委发布了关于全面推进法治央企的意见。这是初始的节点,探索建立法律合规风险内控一体化管理平台。2019年10月份的时候,提出强内控防风险促合规。2020年的时候,提出构建全面全过程全体系的风险防控机制,2021年5月份的时候,提出法律合规大风控管理体系。2011年10月17号的时候,提出法律合规内控风险协同运作机制。(五)统筹关系尝试一
实务界做了一些关系上的分析,也是统筹他们之间关系的一种尝试,是一家央企提出来的,叫四位一体全面风险管理体系。尝试认为四个方面的核心,一个是法律思维,一个是风险管控,这是他们共同的基础。但是侧重点不同,合规侧重于“建”,是合规要新建合规体系,建合规制度,建合规机制。内控,侧重于控、控制、制衡,通过流程来制衡控制。风险侧重于“划”,既然是外部的不确定性也好,外部环境也好,所引发的风险,要划分。法务则侧重于用。这是一种模式。
(六)统筹关系尝试二
第二种模式是一些做四位一体的管理信息系统的机构所提出的一种尝试。提出:以法治为根本,风险为导向,合规为底线,内控为手段。听上去是正确的,但是并没有明确的提示或者揭示这几者到底是什么关系,所以我认为有些不太恰当。比如说内控为手段,从控制目标来讲,内控的是包含着合规的。内控有三个目标,合规一个目标,而且合规的目标也是内控的目标,所以内控的外源是更广的,它不可能会成为一个手段。
(七)统筹关系尝试三
这是团队给出的1.0版本。关系比较绝对化和粗放,认为合规是内控的一部分,内控是风险管理的一部分,风险管理是公司治理的一部分,而法务和审计是处于一个交叉的关系。这是1.0版本,现在已经不这么认为了,已经进入到2.0版本。
(八)统筹关系尝试四:帽子模型
2.0版本是帽子模型。帽子模型是从内而外来看,首先要看的是合规。
合规是方形的,相对应的是边界清晰且弹性不大。但合规本身的“规”是很广的,从相关的管理方式,企业关于风险相关的文化,它实际上是方形的,是必须要遵守的,严格来讲是底线,所以它是一个深红色的方形。
按照1.0版本,内控是包含着合规的。但是后来发现,合规里的合乎企业所在的政治经济环境下的道德规范,是内控涵盖不了的。不管做流程上的控制也好,权限的界定和锁定也好,都无法保证它是不是有可能违反道德方面的东西。所以道德规范的这种要求和遵守是内控涵盖不了的。除此以外认为,内控中提出的三个目标里面的第一项,法律法规遵守性,把大部分的合规已经包含进去了。而且内控也是边界相对清晰且比较严厉的,所以它是一个红色的圆形。但是有一些内控的框架也好,内控的思想也好,它对内控跟管理高度的融合又分不太清楚,到底什么情况下是内控什么情况下是管理。事实上两者在目标上很多时候界定并不太清晰,或者说是在什么情况下是业务行为什么情况下是管控行为,比较模糊,所以它是一个椭圆形或者圆形。圆形变化会比较大,方形没有圆滑和有弹性,所以内控、风险管理和法务都是圆形的,合规是方形的,颜色也能看出他们的一些不同。
风险管理包含着内部控制。对于企业应用相关资源也好,人员也好,在承担一定风险的情况下,最大化企业的业务,是风险控制加风险运用。在对风险的态度上,它包含了内控的态度,所以他比内控要广。法务在这三个方面都有交叉,是把法律当手段,所以它可正可负可圆可方,是一个椭圆形的形状。这是帽子模型的解释。
五、法务、合规、内控与风险管理的协同运作(一)协同的基本思路
最后一部分是它们的协同运作,会举一两个简单的案例。
首先,要把这四个协同,基本思路是以问题为导向,并落实到问题是什么样的。在协同以后,从理论上要解决四大类问题,是四大类风险。第一,企业在合同并购、在各种交易、境外投资等等中,法律权利的保障方面是不是有缺失?要解决的是发现这些问题。比如条款不完善,制定的违约金不够——如果发生违约了,不够弥补成本,这是要全力保障的问题。同时它是合同上的不规范,合同的质量不高,这是一个问题。
第二类是触犯法律和监管的底线问题的解决。对企业而言,这些问题都是可能发生的。所有是先要主动的,去界定问题,把问题跟后面的风险评估工作联系起来。
内部控制主要是内控流程缺失的问题,包括流程的缺陷和流程本身的失衡失控,外生风险防范不力。很多外部环境变化以后,公司的业务、管理都没有跟上,其实是协同的基础问题。为了解决这些问题,要做两件事情。
第一是主动地评估风险。当然评估风险评估的是法律层面,法律风险是存在着法律权利保障缺失的可能性,合规风险是凡是有可能触犯法律和监管底线的。比如在数据方面、在安全生产方面、在广告宣传方面、在竞争方面、特别是反垄断竞争,还有很多其他的比如商业秘密泄露等等,这些都是有可能违反一些专项上的法律的。风险评估是要评估这种可能性的发生,当然是基于业务流程的,这正是风险管理的基础工作,也是一个前提性工作。内控和外生风险都是如此,这是第一类。
第二是风险管控。风险评估是基础,风险管控是落地。在这里我把所有的工作,凡是风险评估以外的,都叫做相对应的管控措施。有的说培训不是,但培训其实也是一种管控措施,跟培训的内容、培训的频率、培训主题的选择都密切相关。通过一次培训可能解决——不一定是解决具体的风险问题——可能解决了风险的意识问题,加强了风险的意识和对风险的敬畏之心,这其实也是管控的一种措施。
按照,所有的管控措施实际上是四种。一种是从人的角度,从风险组织的架构设计,比如三道防线,比如各种委员如合规委员会和风控委员会,比如风险联络员、兼职、专职风险信息收集员等等,这些都是人以各自岗位及部门的职责来强化风险的管控。第二种,是风险意识,比如培训、文化宣传等等,这是第二类型的落地措施。第三类和第四类是最重要的,也是现在比较缺乏的,是关于风险控制的标准化。比如在合规部分,有合规管理制度,出台的合规管理指引,比如劳动用工合规指引,投资合规操作指引,竞争合规审查指引或者广告宣传合规指引等等。这些事实上是一种以标准化的方式来提升业务部门的风险管控能力,所以也是一种风险管控措施。风险机制是的审查机制,检查机制,合规里面和内控里面的举报机制,调查机制,考核机制等等。这也是管控落地的表现方式。(二)以问题为导向
这是问题为导向。在一开始去推动这种协同运作的时候要收集的问题,包括风控的环境问题:有没有内控的职责,谁来负责?合规有没有,谁来负责?风险人员问题:就是现有人员的组成以及人员知识技能的结构,还有人力资源的匹配问题。风险现状是风险评估:有没有一些现成的风险库,风险清单?风险评估工作有没有定期开展?这都是现状问题。类似的措施,文化都是如此。
(三)以风险评估为基础
风险评估有几种思路,一种思路是按照央企的风险指引的分类方式。最近央企的风险分成了四十个一级,以前是分成五级的,大概每个级别下来有个十五六个,加起来五六十、七八十个。这是一种分类方式。还有一种,把所有二级风险全部提上来变成一级风险,变成这四十类的一级风险。这是风险评估的一种参考。
分析内控风险,按照内控应用指引是十八类所在的领域,大概每一个领域,有三到四项风险,这样加起来有五十个内控方面的风险合规。现在国资委的合规是九项,它在市场交易里面会包含招投标,包含竞争、垄断,还有反不正当竞争等。按照我们团队的归纳和整理,合规的一级风险有十五个,其中包含着刑事合规风险,有一些机构也会把企业常发的合规风险做一些调研,像四大会所。
这个图是公司治理、信息数据、反垄断反不正当竞争、知识产权、跨境交易反洗钱各自的比例。
(四)以风险管控为落地
这是风险评估,有三种可参考的数量。当然具体操作当中会有一些风险评估清单表,按照这个表,也并不一定是完全按照刚才讲的指引文件里面所讲的四十类也好,五十一类也好,十五个也好,还是要基于业务部门下的业务工作模块以及业务任务为主线来识别出风险。
管控落地,首先管控本身这种落地体现是相对结构化的,套路基本上是一样的。比如第一层级,可能更多的是叫手册,第二层级叫制度,第三层级叫规范,也可以叫指引。这是一种看得见,摸得着的落地。另外上面提及到了,还有更机制的落地,各种能力、标准化的落地。还有各种文档、记录、报告,这些方面都算是落地的具体工作内容。
(五)高级别协同:四位一体建设流程
为了把风险评估和风险管控进行融合,在一个企业要开始开展四位一体建设的时候,这里给出一个相对比较全面的,也是我们团队在用的14个步骤。
因为协同运作的高阶高级别叫四位一体。四位一体有一个流程——当然它有它的假设前提,假设了已经具备构建四位一体的认知和能力的基础,是按照此来展开的。如果认识不清楚,甚至没有相关的有效的经验,可能的流程就不一定是按照这个流程,所以得先有基础。第一,不管后面的风险是什么,行业是什么,业务是什么,先要给出一个——在没有经过风险评估这些工作之前就要给出一个——企业全面风险管控体系构建方案。方案既可以是总结,也可以是一个前期的指导工作。如果是前期的指导性文件,不具备相关的经验和能力的话,可能方案就写不了,所以说这是一个假设前提。第二个假设前提是,这些工作的展开需要三方面的人员,一个是法律专家,一个是业务或者行业专家,第三个是关于管理方面的专家也就是管理控制专家。在控制职能方面有相关的经验的,跟企业的实际运作能够匹配上的专家。需要这三方面三种人来参与,这是第二个假设。基于此我们把它分成四个部分,大家可以简单看一下。
首先有一个比较完整的,能贯穿前后的一个构建方案。第二是现状评估,现状评估当然主要还是指按照风险的这些要素。合规有七个要素,内部控制是五个要素,风险管理有人认为是十个要素,也有人认为是七个要素——不管几个要素,总之要把这些方面都给以评价和现状的摸底。比如人员、风险环境、风险评估自身的开展情况、风险现有的措施、现有制度、现有机制情况等等。这三步是把风险放到战略层面去看,是风险管控的定位,风险管控跟业务之间关系的定位等等。第四步第五步是我们团队实践中的建设流程,不再细说。
(六)高级别协同:四位一体建设成果
根据这个建设流程,最后能够给出一个建设成果。这几个方面的工作、产出的一些名称,或者是对应的具体的产出,为什么有这个?它解决的问题是什么?这事实上也是需要进一步去细化的一个话题,这里只是一个展现。
1.例:某集团全面风险管控体系建设——实务中的变形
上述只是一个通用,实践当中更多的是变形,对集团风险管控体系四位一体协同运作的变形。关于实务中的变形有三套,这里给了其中一种。这种变形叫做关键抓手,不管是在环境方面、在合规方面、在内控方面、还是在风险评估方面,风险管控措施方面,抓住这些里面核心的一些具体工作作为一个模块,这是一种。还有一种是把这四者分成四个值体系,这是第二种变形。第三种变形是以风险为主线从上而下的搭建,比如风险委员会,它要做哪些事情,有哪些职责,定位是什么?业务层面,每一个业务条线经过风险评估得到的风险案例,采取的主要措施,风险方面的考核方式,一些风险数据、风险案例,底线风险清单等等,这些作为基础自上而下构建了一个四位一体的风险管控体系。全面风险管控体系是基于这三种变形来搭建的。
答疑集锦
问题一:
目前有很多国企存在法务部门、合规部门、内控审计等等合署办公的情况,想请教一下这种情况如何进行协调?
【专家答疑】我觉得这是一个趋势,也是一个好的现象。是想问一下合署办公是不是一个部门,?比如一个部门,现在叫法律合规部或者叫全面风险管控部,部门下面有法务组、有合规组、还有内控组和审计组,如果是这种情况下,其实它已经处于协同当中了。既然是一个部门内部,肯定是协同,只是每个组所做的工作在很多方面应该是合并同类项。比如在风险评估方面,如果是由大风控部门去推动体系建设,那在跟业务部门、跟公司管理层去说风险评估的时候,应该把这所有的风险,刚才讲的合规层面的、内控层面的、外部风险层面的、包括法律合同等等这些层面的全部做风险评估,评估出来以后根据风险发生的原因,再落到不同的组别当中。落到法务主管的管控措施,它可能跟合规的管控措施不一样,所以那个方面是没法合并的。风险评估可以叫同步开展,风险管控措施叫分别展开,但是可以同步启动或者同阶段启动,同一个大部门推动,这是可以同的地方。不同的地方是分别展开。这就叫协同。
问题二:
非常感谢陶律的分享,收获很多!还想问一下您:如果出现了权责划分时未涉及到的问题,职能有交叉的部门都有权可以来解决问题的时候,应该怎么做才能避免部门间推诿或者是沟通不及时导致窝工的问题?
【专家答疑】如果权限划分未涉及,授权不清楚,这是一种情况;授权有交叉,也是一种情况。这种情况其实是内控的问题,如果有内控优化,不应该存在着权限不清楚、权限冲突,这就是内控要解决的事情。如果没解决,说明内控的梳理没做到位。所以它不是一个避免部门推诿的问题。那是用内控的方式,我把流程梳理出来了,就等于是解决了问题。沟通不及时其实也是属于权限划分不明确。比如说一个下游部门,需要上游部门在一天之内给一个反馈,会怎么做?要么是凭个人关系去催,要么通过制定一个流程,制度。制度当中规定流程,规定按照什么样的情况,分情况应该给什么反馈,不给反馈的话,从公司层面有什么责任。这样的话,通过制度和流程,把沟通的信息规定到位,同时通过后面的考核来付诸实施。
问题三:
划分出法务、合规、风控、风险管理这几个部门,协同工作时候怎么保障沟通和决策可以高效进行?
【专家答疑】我理解的问题是,如果是一个部门分成这么几个小组,这小组的目标肯定是协同。但是协同过程当中肯定会存在着沟通、信息传递的问题。这也是内控,协同本身就是内控要解决的问题,只是正好这个协同是法务合规内控自身的一个协同问题。内控要解决信息沟通问题,所以内控的五要素,第四个要素是信息沟通,这跟刚才的问题是一样的,是一个同义词。内控失败,意味着沟通在很多程度上是有问题的。内部的问题,信息沟通出来应该是能够同意的,因为内控其中有一个要素就是信息沟通。需要在内控方面进行流程的梳理,业务流、信息流,都是属于内控工作提升的部分。
问题四:
COSO框架应该如何搭建,重点在哪里?需要哪几个部门协同运作?
【专家答疑】如果是COSO的内部控制框架,它作为财政部的基本规范,它的重点,如何搭,就是按照这五个要素同步展开。我不知道大家有没有看过很多企业的内控手册,内控手册基本上把内控框架,所谓的内控全记录上去了。它就是按照这五个部分,在内部环境部分或者控制环境部分,比如说法人治理、商会的权利、还有议事规则、甚至企业文化等等这方面都做了哪些事情,这些事情是不是一个正确的事情,都会记载在上面。所以它的框架是这么一个框架,内控手册所体现的框架,把这五个方面都付诸实践,这是框架搭建。重点在控制活动,监督很重要,信息沟通也很重要,但是核心一定是控制活动。控制活动里面有两个,一个叫做不相容的相分离,一个叫做职责权限划分,这两个是重点。需要哪几个部门,当然是需要所有部门,按照三道防线,需要所有部门的协同。
问题五:
陶律师,想请教企业应该如何有效得开展员工舞弊调查,为后期的潜在诉讼增大赢面?如何从公司内部的根源和文化上进行防范?如何对员工进行有效的威慑,send the right message?能请您从国企的角度来解答一下两个问题吗?
【专家答疑】舞弊调查在国企里面跟外企明显不一样。因为国企里面有个强大的纪检监察,特别是纪检部门,基本上面对这种人员的、党员的、或者非党员的、面向一定职务的人员的这种调查,是相对比较深入也比较规范。也没有过多的所谓的固定的套路,固定的相关的机制。纪检调查的话,按照纪检的一些常用的工作方式,自然能解决这些问题。如果说跟诉讼,比如说员工涉嫌侵占、行贿等等,再追究责任,我觉得在调查的时候,可能有很大的空间已经引进了公安、引进了侦查、已经立案了,不可能全部调查完了再去,没有必要。如果涉嫌比较重要的舞弊,外部的司法力量已经介入了,后期诉讼不诉讼的都取决于这方面,它不在于所谓固定的证据能增加诉讼的赢面,可能会涉及到一些劳动的赔偿,竞业限制赔偿这方面,这我就不太清楚了。
问题六:
说是企业合规自查,但是总觉得没有一个抓手,应该从哪里开始,也做过相关的合规方案,但是感觉落地有困难,请问老师应该怎么办?
【专家答疑】我觉得合规自查,是讲是外部跟企业的之间的互动,还是说合规部门和业务部门的自查互动,这两者是不一样的。如果是业务部门和合规部门,合规部门要求业务部门去做合规自查,从他的业务上的问题和风险点。如果是外部的这些机构要求内部企业内部人员去做这种合规自查,是不是放到刑事合规里面,还是说普通的一些行政合规调查里面。不知道这个角度是什么。
问题七:
大合规往下细化的时候具体的深度应该怎么把握?风险控制到什么层级是可以的了?是管的越细越好么?
【专家答疑】首先,后面的问题当然不是。风险控制,刚才讲的,要分是合规内控风险还是外部环境变化产生风险。如果分了以后,会发现合规是一条干线,没有层级问题,到岗位级别的都没问题。但是基于业务基于外部的,那这个风险控制就不能细了,有可能对企业的业务,对业务部门正常的业务开展,包括内控等等都是要平衡的,不是越细越好。合规是没问题,我觉得岗位只要有这种风险,不管是什么级别,因为级别也是人来界定的。
大合规往下细化,我认为可能细化到我所讲的比如15个领域,如果是企业内部自己做,当然是细到要把这些风险都得做一个梳理,每一个风险都有一个管控的部门,每一个风险要有一个承担管控职责的部门和主要岗位,我觉得要细到这个深度。领域可能是15个领域,大合规。如果是专项合规就不一样。细节落到风险管控的具体部门和岗位级别。
LCOUNCIL特邀专家:
