(上述图片来源于unsplash,感谢图片作者McCall Alexander)
第 167 篇 原创
文 | 智识君  朱幸律师


作者:朱 幸 重庆静昇律师事务所 合伙人律师(智识君)
前言
关于国企合规体系建设协同体系,智识君已撰写两篇文章,分别如下:
合规•国资014 | 国企合规体系建设之地基协同——国企改革三年行动
合规•国资015 | 国企合规体系建设之协同体系——法务管理
让我们再回顾一下国企合规体系建设的基本观点:国企合规,不是新兴事务,也不是推倒重来,而是一项长期性、延续性的国企改革深化的标准化动作。国企合规管理体系建设,是在已有治理成果基础上砌筑砖墙,构建大厦的过程,即“协同体系”。
这一期,我们一起再来探讨国企合规体系建设的另一重要协同体系——风险管理。本文主要内容如下:
01 国企风险管理的发展脉络
02 国企风险管理的重点建设内容

  2.1 国企风险管理的组织体系

  2.2 国企风险管理的主要工作
03 与合规管理体系的协同要点

  3.1 全面风险与合规风险管理的协同

  3.2 风险管理与合规管理组织架构的协同

       董事会:最关键的法人治理主体

       专职部门:风险/合规管理的牵头部门

       业务及职能部门:风险/合规管理的第一道防线

  3.3 风险管理与合规管理的治理协同

04 综述与总结
01 国企风险管理的主要脉络
对于国有企业而言,风险管理与法务管理一样,都是重要的企业治理内容。
一般认为,国务院国资委于2006年6月6日发文施行的《中央企业全面风险管理指引》【国资发改革(2006)108号,简称《108号文》】,是国有企业风险管理工作的发端。
2006年前后,有的中央企业的组织架构中开始出现新的部门——风险管理部,行使风险管理职能。有的企业将风险管理的职能并入现有的职能部门中。
2008年,国务院国资委组织开展编报《中央企业全面风险管理报告》试点工作。

2008年10月31日,国务院国资委发布《关于2009年中央企业开展全面风险管理工作有关事项的通知》,提出:
(1)把握形势,加强领导,把全面风险管理工作摆在日常经营管理的重要位置;

(2)抓住重点,健全体系,稳步提高全面风险管理工作水平;

(3)总结经验,加强交流,逐步探索出适合本企业的全面风险管理工作机制;

以及国务院国资委不再开展编报《企业风险管理报告》的试点工作,是中央企业自主选择报送。
之后,国务院国资委先后发布《关于2012年中央企业开展全面风险管理工作有关事项的通知》、《关于2013年中央企业开展全面风险管理工作有关事项的通知》,《关于2014年中央企业开展全面风险管理工作有关事项的通知》,其聚焦于国有企业的风险研判、风险评估常态化、风险管理全过程、风险管理与管理的深度融合、风险管理报告、风险管理文化等。

此后,风险管理成为国有企业的常态化治理要求。

以上国企风险管理的主要脉络体现如下图:
(上述图表系智识君原创,转载请公众号后台联系取得同意并注明详细来源)
其中,COSO在2017年2月更新《企业风险管理框架》,其中很多观点与2006年的《108号文》基本一致,也看出国务院国资委风险管理理论的超前性。
我们总结一下,国企风险管理主要脉络的三个特点:
(1)指引文件先行,具有一定的超前性;

(2)以编报管理报告的监管为主要推动措施;

(3)重视风险研判、评估,以及管理报告、文化培育,及与治理融合等。
02 国企风险管理的重点建设内容
根据《108号文》第四条,国企风险管理是“全面风险管理”,指:
“企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。
前述全面风险管理的法律界定事实上包含以下三个层面的要求:
(1)风险管理的全覆盖性,即企业管理的各个环节和经营过程;

(2)风险管理的管理体系,包括管理策略、理财措施等;

(3)风险管理的基本流程及文化培育并重等。
2.1国企风险管理的组织体系
《108号文》提出的国企风险管理的组织体系,包括:法人治理结构-风险管理职能部门(内部审计部门、法律事务部门)-有关职能部门、业务单位。具体如下:
风险管理组织体系职责要求
法人治理结构



(1)总体要求:股东(大)会、董事会、监事会、经理层依法履职,形成高效运转、有效制衡的监督约束机制
(2)应建立外部董事、独立董事制度(人数应超过董事会半数)
(3)董事会:全面风险管理工作有效性,涉及风险管理批准等职能。具备条件的在董事会下设风险管理委员会,同时下设审计委员会
(5)总经理:全面风险管理日常工作
风险管理专职部门

(1)履行全面风险管理的职责

(2)主要全面风险管理报告、判断标准(机制)、重大决策风险评估报告、重大风险管理解决方案的研究职能,以及全面风险管理有效性评估等职能。
内部审计部门

(1)对审计委员会负责

(2)职责符合《中央企业内部审计管理暂行办法》

(3)主要负责研究提出全面风险管理监督评价体系,制定监督评价相关制度,开展监督与评价,出具监督评价审计报告

职能部门
业务单元
(1)接受风险管理部门和内部审计部门组织、协调、指导和监督
(2)执行风险管理基本流程等职能
在组织架构上,《108号文》第十条同时规定:“具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线”。
(上述图表系智识君原创,转载请公众号后台联系取得同意并注明详细来源)
2.2 国企风险管理的主要工作
《108号文》第五条规定了国企风险管理的基本流程及主要工作,包括收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案;风险管理的监督与改进。具体如下:
风险管理主要工作工作要求
收集风险管理初始信息,并进行必要的筛选、提炼、对比、分类、组合



(1)战略风险:收集国内外企业战略风险失控导致企业蒙受损失的案例,及与本企业相关的战略信息;

(2)财务风险:收集国内外企业财务风险失控导致危机的案例,及与本企业相关的财务信息;

(3)市场风险:收集国内外企业忽视市场风险、缺乏应对措施导致企业蒙受损失的案例,及与本企业相关的市场信息;

(4)运营风险:收集与本企业、本行业运营相关的运营信息;

(5)法律风险:收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,及与本企业相关的法律信息。
风险评估


(1)评估对象:风险管理初始信息、业务管理及其重要业务流程
(2)评估实施主体:职能部门及业务单元(可委托中介实施)

(3)评估步骤:包括风险辨识、风险分析、风险评价三个步骤,即

风险辨识:查找经营活动及流程中有无风险,有哪些风险

风险分析:对辨识出的风险及其特征进行定义描述,分析和描述风险发生的可能性高低、风险发生的条件

风险评价:评估风险对企业实现目标的影响程度、风险的价值等
(4)统一制定各风险的度量单位和风险度量模型、动态管理等
风险管理策略


(1)管理依据:企业自身条件和外部环境,企业发展战略

(2)管理目标:确定风险偏好、风险承受度、风险管理有效性标准
(3)管理工具:风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等

(4)总体安排:资金预算和控制风险的组织体系、人力资源、应对措施等
风险管理解决方案
(1)方案内容:包括风险解决的具体目标,所需的组织领导,所涉及的管理及业务流程,所需的条件、手段等资源,风险事件发生前、中、后所采取的具体应对措施以及风险管理工具

(2)风险管理解决的外包方案和内控方案

(3)制定内控措施,包括内控岗位授权制度、内控报告制度、内控批准制度、内控责任制度、内控审计检查制度、内控考核评价制度、重大风险预警制度等
风险管理监督改进

(1)风险管理有效性检验:压力测试、返回测试、穿行测试以及风险控制自我评估等方法
(2)建立风险管理信息沟通渠道

(3)定期对风险管理工作进行自查和检验

(4)至少一年风险管理工作及其工作效果的监督评价,监督评价报告应直接报送董事会或董事会下设的风险管理委员会和审计委员会
除前述组织架构及主要工作外,国企风险管理还涉及风险管理信息系统、风险管理文化等内容,在此不展开陈述。
03 与合规管理体系的协同要点
我们再一起回顾一下《管理办法》第26条规定,国企协同运作机制的基本要求是“统筹协调、避免交叉重复,提高管理效能”。
智识君建议,国有企业在进行合规体系建设之前,应提前对已有风险管理的治理成果进行梳理,并在合规体系建设过程中注意协同,尤其是避免制度、流程、职能的交叉重复。
结合前述对风险管理的解构,我们总结出风险管理的已有治理成果框架如下:
风险管理项目已有治理结果
风险管理对象

全面风险,包括战略风险、财务风险、市场风险、运营风险、法律风险等
风险管理组织体系
法人治理结构、风险管理专职部门、内部审计部门、职能部门/业务单元
风险管理主要工作收集风险管理初始信息、风险评估、风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进等
从前述风险管理的解构内容来看,涉及以下重点协同举措要点:
3.1 全面风险与合规风险管理的协同
全面风险合规风险
协同要点
指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性
企业及其员工
风险对象

从前述表格可知,对于国有企业而言,全面风险管理的对象是“全面风险”,而合规管理的对象是“合规风险”。二者协同要点包括:

(1)风险管理主体:全面风险管理仅指企业,而合规风险的管理实施主体包括企业及其员工;

(2)风险管理范围:全面风险管理包括战略、财务、市场、运营等,而合规风险侧重于违规行为引发的法律责任、经济或声誉损失及负面影响,二者有交叉。

3.2 风险管理与合规管理组织架构的协同
董事会:最关键的法人治理主体
风险管理合规管理
协同要点
全面风险管理年度工作报告的审议及报告权
合规年度报告的审议及批准权
报告审议批准
企业风险管理总体目标、风险偏好、风险承受度,以及风险管理策略和重大风险管理解决方案的确定及批准权
合规基本制度、体系建设方案的审议及批准权
体系审议批准
重大决策、重大风险、重大事件和重要业务流程,、重大决策风险评估报告、内部审计风险管理监督评价审计报告等批准权
合规管理重大事项的研究及决定权
重大决策/事项的研究决定
了解和掌握企业面临的各项重大风险及其风险管理现状,做出有效控制风险的决策
合规管理体系完善及有效性评价的推动及完善职责
体系推动
风险管理组织机构设置及其职责方案的批准权合规管理部门设置及职责的决定权
专职机构及职责决定批准
从前述表格可知,对于国有企业而言,无论是全面风险管理,还是合规管理,董事会在组织体系中都是重要的治理主体。其协同要点在于:

(1)其职责中均会涉及报告审议批准-体系审议批准-重大决策/事项的研究决定-体系推动-专职机构及职责决定批准五个方面;

(2)董事会职能主要通过审议批准形式展开,可有效整合风险管理与合规管理的年度管理报告、体系文件及重大决策/事项,利于审议批准的统筹实施;

(3)董事会实施体系推动及专职机构及职责决定时,有必要统筹风险管理与合规管理,避免职能交叉重复,提高管理效能。
专职部门:风险/合规管理的牵头部门
风险管理部门合规牵头部门
协同要点
研究及提出:全面风险管理工作报告、重大决策风险评估报告、风险管理策略
合规管理基本制度、具体制度、年度计划和工作报告等组织起草权报告研究起草
/
规章制度、经济合同、重大决策的合规审查权
新增合规审查
研究并提出:跨职能部门的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制、跨职能部门的重大风险管理解决方案
合规风险识别、预警及应对处置的组织
管理措施研究组织
全面风险管理有效性评估合规管理体系有效性评价有效性评价
风险日常监控
违规举报受理、违规行为调查
拓展至违规监管
组织建立风险管理信息系统等合规培训、合规咨询及合规管理信息化建设
管理建设
从前述表格可知,对于国有企业而言,专职部门在组织体系中都是主要的治理牵头主体。其协同要点在于:

(1)其职责中均会涉及报告研究起草、管理措施研究组织、有效性评价、监管及管理建设批准五个方面;

(2)合规管理中新增合规审查职能,可与风险管理中的风险判断相衔接;

(3)风险管理中的风险判断标准或判断机制等,可助于合规风险识别衔接;

(4)风险管理与合规管理均重视后期有效性评价的基本要求;

(5)风险管理中强调日常监控,合规管理中专职部门要受理违规举报,展开违规调查,其职能更加深
入且有拘束力;

(6)风险管理与合规管理涉及的信息系统,可进一步统筹实施。

业务及职能部门:风险/合规管理的第一道防线
风险管理职责合规管理职责
协同要点
执行风险管理基本流程;

建立健全本职能部门或业务单位的风险管理内部控制子系统
建立健全本部门业务合规管理制度和流程
制度流程优化

研究提出本职能部门或业务单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制;研究提出本职能部门或业务单位的重大决策风险评估报告;做好本职能部门或业务单位建立风险管理信息系统的工作;

开展合规风险识别评估,编制风险清单和应对预案;定期梳理重点岗位合规风险,将合规要求纳入岗位职责;报告合规风险,组织或者配合开展应对处置;
管理措施完善


/

经营管理行为的合规审查

新增合规审查
/组织或者配合开展违规问题调查和整改
新增违规调查及整改

从前述表格可知,对于国有企业而言,业务及职能部门在组织体系中都是重要的第一道防线。其协同要点在于:

(1)制度流程优化,和管理措施完善,是风险管理和合规管理的规定动作;

(2)
风险管理中的风险判断标准或判断机制等,可助于合规风险识别衔接;
(3)
合规管理中新增合规审查及违规调查及整改职能。
3.3 风险管理与合规管理的治理协同
从前述风险界定以及组织架构的协同可看出,国有企业风险管理与合规管理是强相关的治理手段。其治理的协同重点在于风险方面,主要如下表:
全面风险管理措施合规风险管理措施
协同要点
收集风险管理初始信息,并进行必要的筛选、提炼、对比、分类、组合
合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库

风险识别、评估
通过
风险辨识、风险分析、风险评价三个步骤展开风险评估,对辨识出的风险及其特征进行定义描述,分析和描述风险发生的可能性高低、风险发生的条件;统一制定各风险的度量单位和风险度量模型、动态管理等
确定风险管理策略,包括风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等

及时采取应对措施,并按照规定进行报告
风险应对、管理

确定风险管理解决方案,包括目标、组织领导、业务流程、条件手段、以及具体应对措施及风险管理工具
根据前述表格,我们可以看出,《42号令》所涉及的合规管理要求,以有效防控合规风险为目的,其对合规风险识别评估预警及应对措施等提出原则性要求,但具体的风险管理的方法论及技术在《108号文》中规定更为详细。
同时,《108号文》在附录中提出风险管理常用技术方法,包括:风险坐标图、蒙特卡罗方法、关键风险指标管理、压力测试等有方法介绍,是指导国有企业落地实践的有效方法论。
04 综述与总结
国企风险管理的主要脉络体现出三大特点:指引文件先行,具有一定的超前性;以编报管理报告的监管为主要推动措施;重视风险研判、评估,以及管理报告、文化培育,及与治理融合等。
国企风险管理有全覆盖性、管理体系及流程文化并重三个层面的要求,同时有组织体系、主要工作等基本要求。其中:

组织体系涉及
法人治理结构-风险管理职能部门(内部审计部门、法律事务部门)-有关职能部门、业务单位。
主要工作涉及收集风险管理初始信息;进行风险评估;制定风险管理策略;提出和实施风险管理解决方案。
国企风险管理与合规管理体系的协同要点包括:
(1)全面风险与合规风险管理的协同;
(2)风险管理与合规管理组织架构的协同:其中董事会是最关键的法人治理主体、风险/合规管理部门是牵头部门、业务及职能部门是风险/合规管理的第一道防线。
(3)风险管理与合规管理的治理协同:主要涉及风险方面。
综合前述分析,我们可以看到,法务管理与合规体系建设关系密切且高度重合,是国企合规体系建设协同体系中的重之之重。
福克纳说:不要伤脑筋去超越你的同辈或是前任,努力超越你自己。
2023年3月19日
特别声明:以上所刊登的文章仅代表作者本人观点,不代表律师事务所或其律师出具的任何形式之法律意见或建议。如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“智识律匠 I 大道至简”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等信息。如您有意就相关议题进一步交流或探讨,欢迎关注联系。
END
「往期文章推荐 」
合规•国资015 | 国企合规体系建设之协同体系——法务管理
合规•国资014 | 国企合规体系建设之地基协同——国企改革三年行动
合规•国资013 | 国企合规管理体系建设专题之“组织架构与职责定位”详解(下)
合规•国资012 | 国企合规管理体系建设专题之“组织架构与职责定位”详解(中)
合规•国资011 | 国企合规管理体系建设专题之“组织架构与职责定位”详解(上)
合规•国资010 | 国企合规管理体系的认知误区-目标职责-建设全景
合规•国资009 | 三重一大—国企最重要的决策机制,也是重要的合规治理内容
合规•国资008 | 国企合规的主要治理内容——决议(易忽略的决策机制重要载体)
合规•国资007 | 中央企业合规管理办法正式发布,国企应关注的新规重点及合规框架要点(附三联对比表格)
合规•国资006 | 国企合规的主要治理内容——章程(不能束之高阁的企业“宪法”)
合规•国资005 | 国企合规的主要治理内容——制度建设(合规要点、监管趋势及有效性评估要点及落地路径)
合规•国资004 | “环境-监管-治理-风控”——国企合规的功能性四象限
合规•国资003 | 三道防线—国企合规的核心理念如何理解,如何落地?(附“三步走”合规路径)
合规•国资002 | 合规三大概念——合规、合规风险和合规管理
合规001 | 关于《中央企业合规管理办法(公开征求意见稿)》的修订完善建议
PPT I 国有企业合规体系建设治理框架与落地路径 (附合规应用演练代理委托、工程变更)(P73)
PPT I 国有企业合规治理思路与实务应对 (P69)
PPT I 企业合规管理体系概述-解构-路径(P75)
PPT I 国有企业合规治理体系构建基础通讲(以重庆为例)(P68)
PPT I 合规管理强化年,重点企业合规讲座(P54)
PPT I 国企合规体系建设中的律师角色(P82)
继续阅读
阅读原文