合规、法务、内控、风险一体化建设工作的实施路径

合规、法务、内控、风险一体化建设工作的实施路径

  (一)治理协同与组织协同

  治理层面，董事会应作为合规管理、法务管理、内部控制、风险管理的最高决策机构，对其有效性负责。由此，可以得到“法务、合规、内控、风险”协同管理的统一目标:通过建立协同机制，确保企业能有效地遵循法律法规，平衡风险与收益，并实现企业权益最大化。

  组织层面，董事会可下设专门委员会，为董事会决策提供意见和建议，基于合规与法务的强关联性、内控与风险的强关联性，企业可将四者划归综合管理能力强、企业经营核心部门牵头负责，如企业管理部、法律事务部、经营管理部等，以实现四者的计划、部署、实施、检查、考核工作协调运行。

  (二)合规与内控的运作协同

  一方面，内部控制体系设计必须满足合规要求，体现其设计有效性。内部控制作为风险管理重要手段，除需要适应企业现阶段发展水平外，还需遵守《企业内部控制基本规范》的有关规定。

  另一方面，内控是合规管理的重要抓手。如图所示，利用流程图工具，将合规要求嵌入到内控流程中，直观提醒流程执行者关注业务环节的风险点与合规要求。同时，将合规风险控制措施嵌入到内控矩阵中，或增加合规索引，以实现业务层面内控风险与合规风险的双重控制。

  (三)合规、法务、风险的运作协同

  风险防范是合规、法务、内控、风险四个体系的共同目标。风险管理应当遵循系统的方法论。通过识别风险，分析内在成因及变化趋势，采取适当措施加以控制，在防范、化解风险的同时，把握机遇，获得收益。

  合规管理与法务管理同样适合该方法论。法务管理是合规管理、风险管理的依据支撑。当企业进行法律风险管理时，即实现了部分合规风险的防范，同时促进了风险管理的有效性。中央企业应当充分发挥总法律顾问和法务管理机构专业审核把关作用，发挥法务管理机构统筹协调、组织推动、督促落实作用，持续巩固规章制度、经济合同、重要决策法律审核制度，在确保100%审核率的同时，通过跟进采纳情况、完善后评估机制，反向查找工作不足，持续提升审核质量。

  同时，企业通过建立法务工作管理制度、法律纠纷案件管理办法、外聘律师管理办法等规章制度，将有关法律审核要求融入管理制度和业务流程中。

  合规管理是法务管理、风险管理的重要内容。当企业进行合规风险管理时，即推动了法律事务管理工作，也提升了风险管理能力。合规管理可采用“清单化"管理，常见清单有:法律政策清单、合规义务清单、岗位风险清单、岗位合规职责清单、流程管控清单。其中，法律政策清单明确了适用于企业经营的法律法规，包含制度名称、颁布机关、生效时间等，便于企业了解合规依据。

  合规义务清单明确了适用于企业的强制性和禁止性规范组成，包含合规义务、违规行为及其所导致的后果，对规范企业行为起到指引作用。岗位风险清单明确了各岗位合规风险因素，为岗位员工辨识风险源提供基本路径。岗位合规职责清单，将岗位职责赋予具体合规要求，不仅让各岗位员工明确本岗位的合规要求和管理职责，也压实了主体责任，实现管控措施到岗到人。流程控制清单以合规义务清单、岗位风险清单、岗位合规职责为基础，将合规要求嵌入流程，实现合规为既有的管控机制“赋能”。

  (四)合规、法务、内控、风险的协同运行

  由于风险管理具有“普管性”的特征，像雨水一样无差别地落在每颗秧苗上。业务部门通过执行设定好的流程或措施控制风险，一般不主动进行风险防御，风险管理往往搁置在牵头部门。企业应当结合实际，既不增加过多的日常工作量，又能让各部门“动”起来，主动出击，防范和化解各类风险。

  1.实施风险日常动态管理，建立一体化综合评价机制

  按月进行岗位风险、岗位合规职责、流程控制等自评价，填报《部门合规管理月度自评表》，根据工作任务、管理程序和职务变化动态更新岗位风险、岗位合规职责和业务流程，确保合规管理“三清单”和业务流程与管理要求紧密结合。该工作由各部门负责人监督、指导并管理，一体化管理牵头部门不定期抽查、考核。出具评价手册，

  编制内容涵盖合规、法务、内控、风险四个方面管控要求的评价工作底稿，作为各部门自评、牵

  头部门或审计部门年度评价和专项评价的工具。

  2.风险统一评估

  如果缺乏协同管理机制，风险评估是分别进行的，仅评估各自领域的风险。但是，对于风险的分类，其实是人为的。作为一种客观存在的可能性，风险其实是综合的。

  因此，作为协同管理的一个关键点，便是要统一规划，对风险进行全面评估。一次性进行所有风险的评估，不仅节省了成本，而且对形成企业员工的全面风控及合规意识，大有裨益。同时，对问题与风险的发现，应当置于同一维度，同步进行辨识、分析与评价，形成整合的风险内控与合规控制矩阵。

  3.流程协同设计

  在对问题和风险进行辨识、描述、分析之后，需要针对性地提出解决措施。在法务管理部分，解决措施体现为审查意见、诉讼代理思路、并购法律意见等。

  在合规管理部分，体现为合规审查、合规检查、举报与合规调查等。在内部控制部分，体现为授权体系的设计、关键控制节点的设置、业务控制流程的优化等。

  在风险管理部分，体现为风险预警指标的设计、风险管理策略等。这些机制原来是分头进行的。如果实行四者的协同管理，应当合并“同类项”，突出“特殊项”，形成统筹的法务效率流程、合规监督流程、内控制衡流程、风险应对流程等四大类管控流程。

  4.制度有机合并

  与管控流程类似，原有的法务管理、合规管理、内部控制、风险管理等均各自有其相关制度，如《合同管理办法》《合规管理办法》《风险管理办法》等。

  实行协同管理，可在管控流程统筹的基础上，制定专门的《法律、合规、风险、内控协同管理办法》。同时借助企业整体规章制度建设优化的时机，将原有分散的风险管控类制度进行合并汇编，形成整合的风险管控与合规管理制度手册。

  5.结合重大风险防控和审计发现问题，突出重点

  有针对性地制定年度专项整治方案，如“合同管理专项整治工作方案”，对年度合同签订、合同履行、合同变更等环节存在的问题全面整改，以点带面，引导各部门重视合规，关注风险，遵守法律规范。

  重大风险管理方面，企业可根据实际情况，由主责部门按月或季填报《重大风险管理及监控表》，跟踪重大风险变化情况，及时调整风险应对策略，评估剩余风险，牵头部门监督、检查、指导、考核。重大决策方面，按照“议题未经合法合规审查不上会”的原则，会前各项议题应当由相关部门进行合规审查。

  公司重大决策事项的合规审查意见由合规负责人签字，对决策事项的合规性提出明确意见。决策事项合法合规审查应当明确责任，并在会议纪要上明示。

  6.建立一体化的运行监督机制

  首先，建立一套运行监督评价体系。《中央企业合规管理办法》第三十五条也强调，中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通，实现数据共用共享。结合内部控制自评、风险管理及合规管理检查的相关要求，明确一体化管理体系评价工作的组织形式、评价方式、问题整改及跟踪机制，制定一体化评价的相关检查测试程序，明确一体化缺陷认定标准，编制一体化评价检查清单、评价底稿和评价报告，实现风险检查、内控自评、合规检查工作的整合。

  其次，各监督主体统一工作协调机制。对负责企业监督工作的纪检监察、审计、监事会等监督主体进行进一步有机衔接，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将各项监督工作有机结合，建立监督主体之间相互协调、合作联动的业务流程，增强监督工作合力，形成大监督的协同工作机制。

  结合企业自身实际，对风险管理、内部控制、合规管理的工作目标、工作内容、方法、机制以及工作流程等进行有机整合，将原本独立的风险管理体系、内部控制体系、合规管理体系、经营管理体系进行有效融合，通过信息化建设，建立平台统一、信息共享、流程整合、功能强化、协调运转的风险一体化管理体系，形成真正有效的、适应新形势市场竞争需要的一体化的风险管理模式。