勘察设计企业在进行内部标准化体系建设时,无论是出于上级要求、企业自身内部管理要求或者外部监管要求,除了三体系建设,内控体系、风险管理体系、合规管理体系也频繁出现在企业促进管理效能提升的举措之中。然而,由于内部控制、风险管理、合规管理三者概念、功能的相近性以及企业对三者概念和适用的理解和界定不明,在具体进行体系建设时,可能出现职责不明、交叉重复、运行乏力等协同不一的局面,反而降低了管理效能。下文从各自的政策文件依据入手,谈一谈三者的含义、区别和联系。
下表列示了内部控制、风险管理、合规管理相关政策文件和标准规范。
风险管理概念最先于2006年提出,2008年《企业内部控制基本规范》提出内部控制概念,合规管理概念的政策文件提出相对较晚。
表1:内部控制、风险管理、合规管理相关文件依据
根据我国国资委2006年颁布的《中央企业全面风险管理指引》,全面风险管理指“企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。
企业开展全面风险管理要努力实现以下风险管理总体目标:
确保将风险控制在与总体目标相适应并可承受的范围内;
确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通,包括编制和提供真实、可靠的财务报告;
确保遵守有关法律法规;
确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性,提高经营活动的效率和效果,降低实现经营目标的不确定性;
确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
指引中也对企业风险进行了界定,企业风险一般可分为战略风险、财务风险、市场风险、运营风险和法律风险。
(二)内部控制
根据我国2008年出台的《企业内部控制基本规范》及配套指引,内部控制指“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”,内部控制的目标是“合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实施发展战略。”
我国《企业内部控制基本规范》及配套指引是企业内部控制的重要依据。2008年6月,我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,2010年4月,又发布了《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》等配套指引,《企业内部控制基本规范》及配套指引确立了我国企业建立和实施内部控制的基础框架,构建了中国企业内部控制规范体系。文件中明确了内部控制的含义和目标,且借鉴COSO的框架,搭建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的五要素内部控制框架。另外,《企业内部控制应用指引》从组织架构、发展战略等18个具体事项方面进一步明确了内部控制要求。
表2:内部控制应用指引分类
(三)合规管理
2022年8月,我国国资委新制定颁布了《中央企业合规管理办法》,文件对合规、合规风险、合规管理的定义体现了对遵守公司内外规章制度的要求。
表3:合规相关概念
(四)“强内控、防风险、促合规”全面融合的内部控制体系
国资委于2021年发布的《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》中指出“深化制度整合优化, 针对内控、风险管理、合规管理监督制度各行其是、各说各话、不能有效发挥统一管控作用等问题,以“强内控、防风险、促合规"为目标,建立以内控体系建设与监督制度为统领,各项具体操作规范为支撑的“1+N”内控制度体系。”
2022年1月,国资委出台《关于开展中央企业“合规管理强化年”工作的通知》,其中提到要求中央企业积极探索法治框架下法律、合规、内控、风险管理协同运作的有效路径。
从最新政策文件的表述来看,探索内控、风险、合规协同融合,实现“强内控、防风险、促合规”全面融合的内部控制体系管控目标是推进方向。
1、内部控制、风险管理、合规管理均具有监督管控性,体现了公司自身对内部各业务/管理活动的控制,进而保障公司战略目标的实现。
2、三者的目标均以防范风险、实现企业经营目标为最终导向。内部控制、风险管理、合规管理的管理目标均体现了保障经营战略目标的实现、符合法律法规、保证财务报告的真实可靠。
3、三者相辅相成,不是完全独立的。三者都是基于企业各项管理事项和流程进行梳理建设,具有一定的重叠性。内部控制可以作为底层的运行机制和路径,通过建立各层各类控制措施,将风险管理和合规管理要求纳入到内部控制体系建设中。
1、三者侧重点不同。
内部控制从内部约束角度强调企业内部各类管理活动有所制约、保障企业正常运转,在一定程度侧重以财务审计的内部控制为切入点和关键控制活动。
风险管理从风险角度侧重对管理活动中可能存在的未来风险进行控制,强调识别各类风险、应对风险,确保经营目标的实现。
合规管理从依法治企的角度强调企业管理活动的合法合规性,包括公司内部、外部国内国际的各类规章制度的遵守。
2、三者管理过程各成体系,实现手段不同。
有效的内部控制体系包括内部环境、风险评估、控制活动、信息与沟通,内部监督5大要素。内部控制的实现主要通过内部控制评价,结合公司的内部控制制度,发现内控设计缺陷和运行缺陷,进而弥补管理漏洞。
风险管理过程按照PDCA循环,包括明确环境信息、风险评估、风险应对、监督和检查、沟通和记录5个环节,风险管理过程的实现主要通过构建风险管理体系,制定风险管理策略和风险管理解决方案,从而对风险进行控制。
合规管理主要通过建设合规制度、完善运行机制、培育合规文化、强化监督问责等规范约束企业和员工行为。
3、对企业的组织设置要求不同。
按照政策文件,风险管理的组织职能体系作为全面风险管理体系的重要要素,具备条件的企业可成立风险管理职能部门。合规管理实现过程中,公司也可决定合规管理部门的设置和职责,并结合实际设立首席合规官、合规管理员。
4、第三方认证评价的方式不同。
合规管理、风险管理和三体系类似,都是有相应标准规范并可以通过认证机构进行管理体系认证的。而内部控制没有单独的体系认证,但企业可以委托中介机构实施内部控制评价并出具内部控制评价报告,尤其对于上市企业来说,上市前需要由注册会计师出具无保留意见的内部控制鉴证报告,上市后满足条件的企业还需强制披露年度内部控制评价报告。
来源:工程行业洞察
