当今社会,正面临着“百年未有之大变局”。企业身处其中,不可避免地要应对越来越多的不确定性。对风险的预防、控制与应对,已成为一项相对独立的企业管理职能。将合规管理、内部控制、全面风险管理三者进行一体化管理,已是大势所趋。对于该问题,国企监管部门国资委已有所洞察:
2006年颁发的《中央企业全面风险管理指引》;
2008年颁发的《企业内部控制基本规范》;
2015年12月发布的重磅文件《关于全面推进法治央企建设的意见》中,明确要求央企“探索建立法律、合规、风险、内控一体化管理平台”。
2018年颁发的《中央企业合规管理指引(试行)》
2020年6月发布的《关于对标世界一流管理提升行动的通知》中,提出央企要“构建全面、全员、全过程、全体系的风险防控机制”。
2019年、2020年印发了《关于加强中央企业内部控制体系建设与监督工作的实施意见》和《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》。
2022年为中央企业“合规管理强化年”,10月1日,国务院国资委按照相关工作要求,发布并正式施行《中央企业合规管理办法》。其中《合规管理办法》第四章“运营机制”二十六条,针对“合规、法律、内控、风控”一体化建设进行了专门的规定,需要企业结合自身经营管理的特点,遵循ISO 37301:2021《合规管理体系要求及使用指南》,建立法律管理、内控、风控的三位一体的管理体系。
首先,为推进整体落地,大型全服务航空公司、机场管理集团等这类国有企业,需要从如下几个方面认真理解和周全考虑:
(1)三套“系统”:企业是一个有机的系统。从系统论的角度,企业内存在三套系统。
第一套,是战略选择系统。这套系统,是关于企业定位和商业模式等方面的管理,解决的是企业“在哪打、跟谁打”等宏观问题。具体事项涉及定位、商业模式、企业愿景、企业文化等。
第二套,是绩效管理系统。这套系统,是关于企业产品生产和营销等方面的管理,解决的是企业“如何打、怎样打好”等业务问题。具体事项涉及产品研发、产品生产、销售、人力资源、财务管理、绩效考核等。
第三套,便是风险管理系统。这套系统,是关于企业风险预防、控制与应对的管理,解决的是企业“尽量不出事、出事后如何处理”等相关问题。具体事项涉及企业的风险预警、监察审计、危机应对等。这正是航空公司及机场集团等国有企业需要遵循指导方针,进行风险管理及控制系统化建设和实现落地的领域。
(2)三合一:近年来为进一步提升国有企业防范化解重大风险能力,推动国有企业高质量发展,国务院国资委将建立健全“以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系”作为国企改革一项重要工作来推进,并分别于两份文件均提出并倡导国有企业开展风险管理体系、内部控制体系、合规管理体系的“三合一”工作。
将合规管理体系、内部控制体系、全面风险管理体系进行有效衔接、融合与统筹,即所谓一体化,是大多数企业的必然选择,也是构建一套管理企业经营风险的整体方法。
合规管理所指的“风险评估”,是指“梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析”。
内部控制需要的“风险评估”,是“及时识别、系统分析经营活动中与实现内部控制目标相关的风险”。
全面风险管理所界定的“风险评估”,是“查找各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险”。
(3)合规之“规”:合规是组织行稳致远的基石,也是组织高质量发展的重要保障。通过合规管理预防和控制合规风险是企业必须坚守的底线和不可触碰的红线。这些“规”从内外角度总体上划分为内规和外规,外规又进一步分为国内法规和国际规范,纳入中国立法体系的法规包括宪法、法律、行政法规、地方性法规、自治条例、单行条例和规章。
(4)法务风控体系“新原则”:首先是在完成法律专业方面的支持、其次要为企业提供有效的法律策略、同时强化合规及危机管理等方面的职责。法务风控体系,要升格为以法律运用为主要手段的风险管理系统,必须针对法务风控体系中的不同问题,采用不同的原则。其本质因素是法务法律等所造成的风险,往往是企业、尤其是国有企业最为严重的风险。
(5)合规“四库”:合规管理的本质,其实是一场合规风险识别和应对的过程。在企业内如何设计好以及执行好各种管理措施,以主动识别和应对合规风险,正是合规管理的精髓。合规四库,指合规义务库、合规风险库、合规制度库及合规指引库等。对“合规四库”的整理、归纳,正好可以很好地帮助企业发现合规风险、应对合规风险,其应作为企业合规管理落地的核心。
其次,国家的建议方针,以及针对国有企业在该领域的建设经验,需要构建一体化的管控体系,围绕四个统一、一个闭环管理的中心,形成体系的落地。
其作为国有企业,需要结合自身和行业的实际情况,基于内外部数据及信息的利用,降本提质、永保安全。
需要整合风险、内控及合规管理体系,在满足外部监管要求的同时,整合及优化内部管理资源,降低管控成本,提升管控效率;其中利用外部合规的、安全的数据及信息,提升整体管理的闭环是有效及敏捷落地的关键。
一体化管控体系建设的目标以“强内控、防风险、促合规”为目标,整合优化法律、合规、风险、内控管理相关制度,完善合规评价标准、风险评估标准、内控缺陷认定标准,明确权责和业务流程,建立起“一张网+一堵墙+三道防线”,形成“纵向管到位、横向管到边”的合规、风险、内控一体化管控体系;而其中一张网的基础就是形成专业的风险库,其有赖于各类法律法规的输入,以亟需合规的企业及个人征信信息的配合。
再者,央企及国有企业的风险控制需要创新模式,即“识因素、盘数据、建模型、管处置、抓执行”。构建一个以风险框架流程识别和风险节点因果识别为基础,以人防(人的心态异常警戒线)、事防(业务异常警戒线)、物防(利益流动异常警戒线)和变防(风险累积异常警戒线)为主要内容的较为系统的风险识别预警机制体系。航空公司及机场管理集团等国有企业,亟需引入外部数据和信息:
首先,法律及法规(宪法、法律、行政法规、地方性法规、自治条例、单行条例和规章)的输入,作为机场集团运营及商务活动合规及管控的基础章程;
其次,产业链及生态上下游与其交互的各种实体、甚至个人的财务、征信等的输入,作为机场集团进行商务合作的评判依据、和合作风险衡量的因素。
例如,利用政府及行业公开数据输入,实现基于合规智库的合规筛查。结合合规要求,形成可自定义控制“合规清单”的实时探针式合规风险预警功能;将在航运相关系统等已实现的出口管制和经济制裁的业务控制功能,整合进风险控制系统,形成可自定义控制“合规清单”集中管理控功能。
再例如,机场集团领域,利用司法系统的法规数据输入,实现合规及合同风险实时监控。基于合规、内控及风险集成方法,通过外部大数据的支撑与企业内部数据的打通融合,深入发掘数据价值,指引管理决策和业务支撑。构建风险数据、知识、应用体系。机场集团引入司法系统数据后,构建合同法律智库平台的价值及优势。基于上述合规、内控、风险的集成建设的思路和形成的方法,构建了适合机场集团个性的、特有的、专有的智能合同管理平台。
法律智库:现有企业案件数据与全国案件库融合,利用法务知识生成体系,通过平台自带人工智能、知识图谱、数据可视化等技术框架,对案件进行自动归类和标签化处理,实现同案智推等智能化应用和数据可视化。
风险智库:基于既有业务规则,以及不断挖掘和积累的风险经验,形成风控的规则体系;另外将过往风险事件、风控结论和手段等,进行汇总和结构化存储、关联等处理,形成基于知识图谱和主题知识库的风险和风控体系的经验。围绕法律法规,防范综合物流服务企业最大的风险-法律风险,综合提升风控的全面性。
合规智库:基于内控规则、风险要求等,尤其是基于对外贸易及航运等法规、互联网公开渠道等网站数据,进行基于自然语言处理的解析及聚合,形成结构化的合规规则体系和应用场景的支持,并补充标签化的设计实现,提高使用体验。
合同智库:现有企业合同数据与合同范本智能关联和归类,并与案件法条进行串联,梳理形成民生标准合同模板和样本库,结合人工智能技术实现合同自动审核和合同自动生成,实现合同全生命周期管理和实时在线管控。聚焦最严重的风险来源-合同,形成针对性的风控场景落地、及领域应用。
最后,有法必循、有据可依、迭代落地的构建风险控制实现的应用方案。智能化风控,搭建以上报、预警、处置、监控为核心,风险、内控、合规一体化管理平台;通过智能化技术让风险主动预警、风险事件按权责自动流转,实现全面风险管理、合规管理和内部控制体系在系统中的落地。智能化风控,搭建以上报、预警、处置、监控为核心,风险、内控、合规一体化管理平台;通过智能化技术让风险主动预警、风险事件按权责自动流转,实现全面风险管理、合规管理和内部控制体系在系统中的落地。
“全面化”:扩大了风险管控覆盖面,减少了违规漏洞,实现范围“全面化”:从数据库中直接提取经营管理数据和业务操作记录,管控的范围可以扩大到下级集团、企业、分支机构、代表处。也可以对所有业务进行监控分析,真正实现全方位、多角度的管控。
“标准化”:业务处理流程清晰规范,实现风险管控流程“标准化”:在系统中预置一套操作工作流程并且采集分散到各个业务系统的工作流程信息,融合业务流程。从风险、内控、合规、审计等各方位对整个风险管控流程等进行规范化管理。
“动态化”:对经济事项的在线监控,实现风险管控“动态化”:通过计算机技术、数据库技术、网络通信技术以及风险识别模型分析,使风险管理人员与业务人员在同一计算机网络数据库中同步开展工作,业务过程的违规行业就能被及时发现。实现风险管控职能前移,起到事前预警、事中控制的作用。
“节约化”:通过数据提取、模型计算与分析,实现风险管控资源“节约化”:通过数据提取、模型计算和疑点分析,减少手工调查、分析、取证工作。节约人力、物力、财力,提高风险管控效率与质量。节约风险管控资源,以便风险管理人员更多的精力放在风险方法和手段的探索中。
“低门槛化”:信息资源全面共享,实现风险管控“低门槛化”:通过数据提取并以强大的识别模型库为向导,进行风险分析、评估、控制、处理、监控等实现“一站式”操作,有助于风险管理人员快速准确的发现疑点,使风险管控工作简单化、智能化。
之后,通过一体化的平台能力建设,形成集约化的数字化和智能化能力,能够实现围绕业务的端到端工具能力和良好的用户体验。
风险管理门户:解决集团业务平台分散,信息采集不全面,藏在信息海洋中的风险可被及时发现;通过风险管理门户,将风险相关事务和数据全面聚合,包括风险体系、事件上报等一系列快捷操作。
风险体系上报:一方面年度风险体系的识别、评估、上报及持续改进工作,另一方面是对日常的一系列风险,主要是合同、供应商、人员异动及关键指标等进行风险识别与监控。
风险识别:针对日常发生的风险事件,比如招标采购中的合规风险,通过风险事件上报流程,实现上报到后续分析、处置、应对全过程管理。还有一部分专项的风险,比如合同的风险、供应商的风险等等,系统中存在相关的数据,通过风险识别规则的配置,能够实现对这类风险的智能化识别。
建立风险库:将人为上报或系统识别的风险事件整合到风险库中进行统一管理,实现多类型风险事件从识别、预警、处置、整改的全周期管理。
风控文件与业务流程协同:构建内控矩阵库,通过树形的方式展现并能快速检索相关业务流程。此外,实现业务流程与内控文件的协同,这个流程相关的管理制度、操作手册等等一系列内控文件都可以进行聚合,对内控文件有严密的管控。
合规管理:通过合规事件上报、事件库、法律法规库等数据统一展现;各类型合规事件上报处置情况一览;各类别法律法规库;组织合规管理报告及关键数据、报表等,按类别划分,便捷查阅。通过合规事件上报流程快速获取事件信息,通过选择不同合规事件类别,流程会根据权责进行自动流转。
自动预警提示和预警信息推送:业务人员设计好预警模型及计算规则,由开发人员将相关监控指标、预警规则、通知模型,及通知渠道、模板及处置规则配置在平台应用上。可通过可视化的界面进行指标的监控、规则计算、模型逻辑实现等,并可以配置相关通知及处置规则。
来源:民航资源网,作者:黎朝辉
