在建立及完善企业风险管理体系中 律师循环工作模型初探

来源:兰台律师事务所

文章摘要
摘要 2019年12月31日,国资委下发的《关于2020年中央企业内部控制体系建设与监督工作有关事项的通知》进一步将企业风险管理、内部控制、合规管理进行整理,以加强内控为抓手,以加强企业风险控制为主要
摘要
2019年12月31日,国资委下发的《关于2020年中央企业内部控制体系建设与监督工作有关事项的通知》进一步将企业风险管理、内部控制、合规管理进行整理,以加强内控为抓手,以加强企业风险控制为主要目标,通过信息化和监督体系进一步完善整个体系,明确将风险控制、合规管理及合规管理进行纳入统一体系。笔者通过长期工作实践总结了律师在为企业建立风险管理体系过程中的循环工作模型,即将内控管理循环、法律管理循环、内审管理循环纳入风险管理循环,进而建立完善的企业风险管理体系,实现企业从业务流程复盘,针对业务风险进行定性及定量分析,并进一步补充完善公司内控管理制度,风险法律处置流程,并通过建立企业内部审计,对风险管理体系进行优化和完善,使得风控管理、内控管理、法律处置及内审机制在公司风险管理体系下实现有机的结合,协助企业建立体系完善,应对及时、控制有效、监督优化的完整风险控制体系。
关键词: 风险、风险控制、内部控制、循环
一、风险及风险控制
(一)风险及其特性
什么是风险?通俗地讲,风险就是发生不幸事件的概率。换句话说,风险是指一个事件产生我们所不希望的后果的可能性。某一特定危险情况发生的可能性和后果的组合。
风险具有六大特性:即客观性、普遍性、必然性、可识别性、可控性、损失性、不确定性。
(二)风险控制的概念及风险控制方法
所谓风险控制是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或风险控制者减少风险事件发生时造成的损失。由于风险的特性,任何措施也无法保证完全消灭风险,也不能妄图通过一项或多项措施消灭风险,只能合理控制风险。总会有些事情是不能控制的,风险总是存在的。做为企业管理者会采取各种措施减小风险事件发生的可能性,或者把可能的损失控制在一定的范围内,以避免在风险事件发生时带来的难以承担的损失。
风险控制的基本方法包括“风险响应”和“风险静默”,其中“风险响应”措施包括损失控制、风险转移、风险转换等,属于积极的风险处理方法,而风险规避、风险保留、风险承担等属于消极的风险处理方法,被认为是“风险静默”措施。
二、风险管理体系及其重要性
即便风险控制有诸多方式,但是一般情况下企业管理者通常更倾向于控制风险的做法,就是通过进一步完善企业的规章制度,让员工有法可依、有法必依。从积极方面采取措施,应属于损失控制的方式之一。很多企业对于这样的措施定义为合规制度、内控制度或者风险管理制度等,企业管理人员对上述概念混同理解导致对各类制度重要程度划分不清、定位不明,进而使得企业对风险管理并不完善。下面笔者就通过将合规制度、内控制度以及风险管理制度进行对比说明一下风险管理体系在企业风险控制中的重要作用。
合规制度是企业管理的最低要求,是完善管理的最基础层面,因此合规制度是企业对自身运营及员工工作标准的最低限要求,如反行贿受贿制度、依法编制财务报表及报告制度、保护员工人权及基本用工权益的制度、各种上市公司符合证监会监管的申报要求、企业需要符合环境管理部门的最低环保要求等。可看到,合规制度建立健全对企业作为一个合规的社会主体有着重要的意义,对于企业增强自我约束能力,维护安全稳健的运行,提高员工自我管理能力都起到了重要的作用。合规制度只是机械的要求企业根据法律法规行事,从结果上看能够起到一定程度上控制操作风险的作用,但是企业在风险控制方面显得非常被动且不积极。企业即便没有合规制度,企业的运营及管理也要遵纪守法,因此合规制度如果只是强调守法经营,那么对企业深入的风险管理的作用是有限的。
内控制度是企业根据自身发展阶段的需要在合法范围内制定的内部管理制度,它的要求往往基于合规制度之上对员工提出了更多更高的要求,完善的内控制度是合规制度的终极版及扩大版,内控制度不但要求合规,还要考察这个“规”是不是完善,“规”有没有配备相应的执行点,执行“规”的过程是不是有效。如果说合规管理更注重结果、只要结果合规就达到效果,那么内控制度就更重视管理的过程,并在此基础上发展出整套完善的工具和方法。内控制度包括员工行为准则、保护商业秘密制度、安全生产制度、OA使用流程及要求等等。因此,内控制度是一个制度与流程相结合的体系,在完善内控制度的过程中,关注每一个部门的作用,同时关注各个部门的衔接和配合,以便使得相应的制度形成一个完整的、可执行、可落地的体系,各个制度及流程的统筹管理及配合,使得公司内控处于日趋完善的水平,达到公司事无大小均找到可以执行和依赖的依据,员工更加有归属感,更有安全感,能更好的执行制度,因此内控体系更加关注风险控制的过程。
风险管理制度是企业对总体风险控制及风险响应的基本制度,该制度明确企业各个运营环节的基本风险判别标准并制定应对风险的管理机构及基本操作方式。全面风险管理制度是风险管控的最高形式。在全面风险管理中,风险一般被分为市场风险、信用风险、操作风险、声誉风险、战略风险。从该分类可以看到,内控体系是管理操作风险的终极手段,但是它对企业其他风险的控制及管理效果并不明显。而风险管理制度就是要将企业全面风险管理纳入制度及相应程序中,通过识别、评估、响应及控制等方式形成企业最终控制风险的效果——即进一步完善内控体系,因此可以说风险管理制度总控并协调企业内控制度的完善,并进一步驱动企业不断识别、管理和控制风险,实现将内控体系从过程管理到结果控制的目的。
上述三种管理制度或体系在企业所处的不同阶段都或多或少的发挥者作用,严格区分上述三种制度的界限和管理范围反而给企业管理者带来很多的迷茫和困惑,建立将三者有机结合在一个大的风险管理体系的呼声也越来越高。
2019年12月31日,国资委下发的《关于2020年中央企业内部控制体系建设与监督工作有关事项的通知》将企业风险管理、内部控制、合规监督等重新划分,未来央企将以《年度内控体系工作报告》替代运行多年的《中央企业内部控制评价报告》和《中央企业年度风险管理报告》,虽然该项通知体现了中央对央企建立大的风险管控体系的趋势,但是由于其最后落实在内部控制这个抓手上,是否能够有效实现企业风险管控还有待进一步的观察和实践。
笔者认为,企业成立初期,更加重视合规的基本要求,随着企业的发展,内控制度对企业有序运营起到了重要的辅助作用。随着企业经营规模的扩大,企业更加需要全面的把握各个方面可能产生的问题,并能够及时快速的予以解决,因此企业成熟阶段,风险管理体系的作用日益显现出来,笔者所称的风险管理体系是一个完整的企业风险管理系统,它通过企业系统管理将风险控制及企业业务运营有机结合的方式,从上而下的将风险发生、识别、定性、组织机构、措施及效果评价等综合在一起,同时将企业各个部门的经营行为、内控管理措施、法律处置措施等入整个风险管理系,并将内审作为整个体系的监督环节,确保风险控制体系有效运行并具有自我优化和完善的能力。
三、打造风险管理体系循环工作模型
为了协助企业建立符合其风险控制水平及内部管理水平的有效完整风险管理体系,笔者通过多年的实践经验总结了律师在该项工作中较为有效的循环工作模型,使得律师在工作中,紧密的与企业业务部门、管理部门、风控部门、内审部门配合,将业务一线风险、企业流程管理、内控制度完善、风险响应及管理进行的疏通及衔接,形成了高效建立企业风险管理制度的有效方法。通过循环工作模型建立的风险管理体系避免了建立的体系脱离实际,僵化教条的状况,确保律师建立的企业风险管理体系能切实落地并有效运行,在自我优化中不断完善,在良性的循环过程中实现企业风险管理。
循环工作模型概括为风控管理循环、内控管理循环、法律管理循环及内审管理循环。具体如图一所示。

图一
(一)风控管理循环
风控管理归根结底是为了业务良性发展服务的,而不是给业务发展设置阻碍的,不了解业务的风控管理无异于形同虚设。有效的风险管理第一步应始于业务流程的复盘——即通过律师与业务部门的互动式沟通明确业务风险点,以便在后续行动中采取合理控制措施。具体复盘步骤如下:
第一步 业务流程复盘
• 一线业务部门通过对业务流程的自我梳理,发现其中存在的问题。
• 律师可以通过风险问题交流会议、尽职调查清单等方式协助一线业务人员进行问题汇总和整理。
第二步 风险及问题汇总分析
• 业务管理部门汇总一线人员的问题,进行初步分析。
• 律师将各个部门的问题梳理提炼后,汇至公司层面风险地图中。
所谓风险地图是在公司组织架构图基础上,将各个部门的风险问题数量进行标识,以此反映公司层面风险分布情况。
第三步 风险认定及评估
• 律师制定风险问题认定或评估标准。
• 业务管理部门对风险问题逐一进行认定和评估,明确重大风险、中级风险及一般风险。
此步骤中风险认定要回答几个问题“是不是风险?”“是何种等级风险?”、“谁来负责处理这个风险?”
风险评估要从多个维度对风险问题进行评价,如风险“重要度”、“紧迫程度”“损害程度”“发生概率”等等,不同风险评估维度不同。
第四步 风险处理原则确定
• 律师制定风险问题处理的原则、制度、通用做法、验收标准。
• 业务管理部门针对认定评估后的风险逐一提报解决方案、汇报对象及结果跟踪。
律师依据重要度、紧迫度、解决难度、经验判断等因素,综合判断,形成“公司风险问题清单”,供各个业务部门备查。
找到了风险问题之后,接下来的主体部分是对问题进行处理。风险问题的处理分两大类:风险响应、风险静默。
如果对风险问题的处理方式选择了“风险响应”,即对风险问题程度和性质不同采取“内部控制”“法律处理”等主动措施,下文将详细阐释。
如果对风险问题的处理方式选择了“风险静默”,即对风险问题暂时采取“风险接受、风险规避、风险转移”等被动措施,企业及其律师要对此类风险给予定期的关注,进行“风险监控”。在大多数情况下,风险静默占比较少,一旦发现风险静默处置不当,重新将此类问题进行业务流程复盘,由律师和业务部门进行风险问题分析,重新完成业务复盘的四个步骤,并将该风险列入风险清单。
一般这个工作每年年初进行一次常规复盘,并根据业务需要随时对特别事项进行复盘。
(二)内控管理循环
通过业务流程的复盘,企业已经发现了业务部门主要风险点,下一步需要通过完善内部控制制度以规避和控制该些风险,可以说业务流程的复盘是为了加强内部控制服务的,最终实现企业风控管理的最终目的。
对于完善内控建设的步骤如下:
第一步 内控建设
业务管理部门对风险问题进行制度建设、流程完善等方面的建章建制工。律师对业务管理部门提供管理咨询类型的内控建议,协助业务管理部门做好内控建设工作。
同时公司律师也要通过各种培训活动,进一步提高企业员工关于本部门重大风险的识别能力,达到及时发现潜在风险的能力。
第二步 内控检查
“内控检查”,这种检查分为业务管理部门的“业务自查”、风控管理部门的“风控检查”。业务自查依赖于业务管理部门的自觉性,风控管理部门也可以在律师协助下对业务管理部门提出“自查计划建议”。风控检查是指公司风控人员对一线业务人员执行“内控建设”的效果进行检查,收集新的内控建设实施后的效果、仍存在的问题、引发的新问题等。
第三步 内控优化
通过内控检查,不断地为企业内部管理提供优化建议,这个步骤叫做“内控优化”,优化的成果就是内控建设越来越完善、越来越简洁、越来越利于执行。
第四步 内控评价
在一定周期内,完成内控建设、内控检查、内控优化这样的循环,在周期末进行“内控评价”,对本公司周期内的风险管理水平做一个客观公正的评价。内控评价也分为两个层面:业务管理部门的自评、风控管理部门的综合评价。
(三)法律管理循环
通过业务流程的复盘,发现一些问题需要及时采取法律措施进行风险控制。需要企业及时与律师沟通,确定处理风险的方法,一般可以通过非诉和诉讼两种方式解决,非诉的方式包括谈判和和解的方式降低企业风险,诉讼的方式包括诉讼和仲裁以维护企业利益避免损失发生。
同时,在企业面临被诉风险时,律师一方面要协助企业确定应诉策略,同时更重要的是找到风险产生的根本问题,通过业务的复盘进一步加强内部控制制度建设,避免企业再次出现同类风险,从而实现有效降低企业风险的效果。
(四)内审管理循环
企业内审往往被企业忽略,或者认为不应属于风险控制的范围。但是通过实践证明,内审管理循环对于企业自查自纠有着非常重要的意义。
一方面,在企业发现问题并确定采用风险静默的方式处理后,企业风险监督应纳入内审年度审核范围,对于有可能发展的风险及时纳入企业内控管理措施,积极控制该类风险。
另一方面,内审管理通过年度风险问题的总体复盘,积极调整企业风险地图,促使风控制度进行优化和完善。
四、循环工作模型的优势
在建立和完善企业风险管理他中,律师的循环工作模型以动态的关注代替了僵化的文件审核和问题处理,通过第一个风控管理循环,协助企业建立符合业务需要的风险识别、分析、控制的管理体系,使得内部控制体系有目标和努力的方向,为业务部门明确了风险类型及关注等级;通过第二个内控管理循环,协助业务部门针对第一个循环确定的风险进一步完善部门内部控制体系,并协助企业风控部门监督内控制度的落实及进一步完善;通过第三个法律管理循环,积极处理已经产生的问题并将问题重新纳入第一、第二个管理循环体系,确保不再产生雷同风险和问题;通过第四个内审管理循环,进一步协助企业对前三个循环体系进行优化和完善。律师通过上述相辅相成,有机结合的循环工作过程,协助企业建立了更为符合业务运营实质的风险管理体系,该体系包含了从发现风险、识别风险、响应风险及处置风险一系列的活动,并将内控管理、法律措施、内部审计统一到该风险管理体系中,从业务风险为起点,完成企业管理内功的强化。
企业通过与律师有效完成上述工作循环模型,可以逐步实现如下目标:
第一,企业将风险控制与管理工作主体从“风控部门独立负责”逐步调整为“全员参与及风控部门重点事项跟踪”。
第二,企业对风险控制的工作重心从“事后补救”逐步调整为“事前预防”和“事后跟踪”。
第三,企业将合规、内控、风控、内审的“各自管理”逐步调整为“互为依存,互为促进”的关系。
第四,企业风险宣传重点从“干好本职工作”调整为“提高业务部门风险意识”与“干好本职工作”并重。
律师通过循环工作模型,使得企业管理以风险控制为导向,以内部控制为手段,逐步提高企业全员的风险意识,实现从事后管理到事前管理的合理过渡,对建立健全风险管理长效机制,推动企业风险管理工作具有非常重要的意义。
注释:
[1]http://www.zhihu.com/question/26532559/answer/40181214
[2]孙健,赵涛.民营企业做大做强必备的管理制度与规范[M]立信会计出版社,2014:106-109
[3]唐立颖 中小微企业风险控制实务[M]中国铁道出版社,2016:1-10
[4]池国华、朱荣 内部控制与风险管理 [M]中国人民大学出版社,2015:48-67
[5]许国才、徐健 企业内部控制流程手册(第3版) [M]人民邮电出版社,2017:1-16
技术驱动法律,专业成就未来