构建大风控体系——如何看待风险管理、内部控制、合规管理和法务工作

构建大风控体系——如何看待风险管理、内部控制、合规管理
和法务工作
风险管理、内部控制、合规管理和法务工作一个共同特点都是强调企业高管尤其是主要领导人员的责任。

企业治理层、管理层不可能对这些工作都精通并亲力亲为，但必须对最终结果承担责任。

这就要求企业治理层、管理层在工作推动过程中必须提起足够重视，不能光批示，做甩手掌柜，要起主导作用，关注实际效果。

负责牵头的部门应提升认识、提高站位，从企业层面而不是部门业务层面进行规划设计和组织落实。

注意将规范的要求、先进管理理念和方法与企业实际和业务活动有机结合，为治理层、管理层当好决策参谋，为业务部门提供专业支持、为所属单位和员工做好指导和服务。

大风控区别于以往风控工作的一个重要特征就是提升工作高度、强化领导责任，将风险管理、内部控制、合规管理和法务工作从理论研究和体系框架中跳出来，活学活用、为我所用。

以企业总体目标为引领，立足于战略、环境和业务，基于全面性、突出重要性，围绕总体目标，落实发展战略，运用不同战术，不再刻意区分彼此理论差异和管理侧重，强调管理共性和相通性，灵活采取工作策略，既要有所为，更要有所不为，将各项工作的具体目标最终统一到企业的总体目标上来。

工作实践中，在掌握风险管理、内部控制、合规管理和法务工作的基本定义和要求时，建议从以下方面做好把握，以利于实际工作开展。

一、风险管理风险管理应突出目标导向，起点是目标和战略，管理的对象是影响目标实现的“不确定性”，通过采取必要措施，将“不确定性”可能导致的后果，控制在可接受范围内的活动。

对“不确定性”的管理，需要根据可能导致后果严重性和发生概率进行管控分级，并合理分配资源。

这就要求企业客观分析内外部形势，依托重要业务流程和关键控制点确定风险管控重点，进而持续开展过程管控，并通过内外部信息不断收集和分析及时调整风险管控重点，通过开展检查、评价和应急处置、总结持续提升风险管控水平，通过强化问责追责保障风险管控策略和方案有效落实。

需要强调的是，问责追责是风险管控的重要手段之一，必须科学认定责任主体，进行责任划分，尤其是要准确认定直接责任。

比如，企业战略实施、两金压控、全面预算等工作，战略管理部门、财务部门、预算管理部门等更多承担的是组织、推动、督促等责任，但并未承担或很少承担风险管控的直接责任。

如果将诸如以上工作的落实责任，认定在这些部门，就是一种责任的错位，打错了板子。

风险管理涉及面广，横向跨多个部门，纵向含多个层级，尤其是
重大风险。

这就要求企业的风险管理工作加强协同协调，搭建统一管理平台，强调风险的业务属性，明确归口责任。

对于重大风险的管控，要一体多翼，在各司其职同时，更要强调协同合作。

二、内部控制
内部控制是风险管控的重要手段，企业通过建立和完善内部控制，为风险管理提供有效保障和支撑。

内部控制的重点在于对已知的、普遍性、共性的，通过流程可控的风险进行管理，是以“确定性”的手段应对未来可能的“不确定性”。

内部控制设计需要适当超前，但更多基于现有业务和管理要求。

通过过程管控和事后评价不断规范和完善业务活动，促进战略目标的实现。

工作中注意综合运用完善规章制度、优化业务流程等方式方法，保障风险管控措施的有效落实。

对于未来不可知风险和企业运营管理过程中的新增风险，需强化风险信息收集和识别评估要求，做好风险预警预判，尽可能根据面临的新场景、新状况，及时调配资源，进行应急处置，开展总结分析，完善和加强内部控制。

制度、流程不等于内部控制，但却是内部控制重要载体和表现形式。

制度更多体现管理要求，流程更加注重业务承接。

制度提供的是方法，流程打通的是路径。

企业中经常提及的“执行力差”，很重要的一个原因是制度内容更多体现的是原则性要求，缺乏必要的执行程序和控制规范，没有保障落实的有效路径和措施。

企业的管理重点和目标，需要体现在制度中。

制度的制定需要考虑定性+定量，也就是说不仅要有要求，还要有必要的可量化、可衡量的指标。

这就要求制度要文字、图表相结合，一些统一的、规范的内容，应通过附件形式加以固化。

企业的重要业务和关键控制点，需要通过流程来表现。

实践中注意不要用审批流程替代业务流程。

流程设计要突出风险导向，围绕重要业务流程进行。

要准确识别关键控制点，围绕关键控制点，明确风险管理要求、控制责任、工作标准、管理依据并注意与法律法规和内部制度对接，并根据管理现状做好风险提示。

流程应尽可能以量化、可衡量指标体现，切忌将制度内容简单“翻译”成流程。

内部控制应突出问题导向，平衡成本与效益的关系，考虑投入产出比，不能为控制而控制。

在满足合规要求前提下，衡量内部控制科学性、可
行性的重要标准之一是能否提升管理效率和效果。

内部控制执行应做到原则性与灵活性相结合。

原则性是内部控制设计的遵循，灵活性是内部控制体现的效果。

相同的管理要求，放入不同的管理场景，管理效果可能差异很大。

不同层级、不同规模、不同业务、不同发展阶段的企业，面对相同的内部控制要求，应在充分领会并满足合规要求基础上，通过必要的灵活方式落实。

当前新冠疫情防控中各地出现的一些广为诟病的现象，就与个别地方不能充分理解国家防疫政策，僵化套用、甚至为防控而防控，层层加码有着直接关系。

这也说明，治理能力和治理体系现代化的道路还很漫长。

三、合规管理合规是企业生存发展的底线，对于外部合规要求，没有商量和折扣余地，不合规、即违规。

衡量合规与否的标准不在于工作过程和管理要求，而是最终造成的事实和结果。

合规管理不是要求企业方方面面都合规，重点应是对违规风险进行管理，并尽力减少违规可能带来的损失和负面影响。

应围绕合规目标和不合规风险，确定合规管理重点领域并开展合规工作，而不是追求全面合规。

全面排查梳理合规管理清单既投入大量人力、物力、财力，又与是否合规没有必然联系。

建议合规管理应强化风险导向，结合企业和业务实际，识别可能存在的不合规行为、评估不合规行为可能带来的后果，确定合规管理重点，按照对应合规管理要求，制定合规管理标准并严格落实。

企业合规管理的对象主要是外规，责任主体应该是各部门、单位和员工。

开展合规管理，务必分清责任主体，分层、分类、有针对性进行。

不同合规风险要采取不同管控策略，合理分配管理资源。

尤其要强化对重大合规风险的管理，划出管理红线，保证管理资源，确保企业不出现重大合规问题，不踩红线。

各责任主体要全面、及时收集、学习、分析与本职相关的各种外规，做好风险评估，结合业务活动和企业管理要求，把外规的整体要求和具体条款融入相应规章制度，合规关键风险点和高风险领域应以合规风险清单形式单独体现，实现外规内化，通过外规内化，最终形成企业需遵循的各项合规管理要求。

合规义务虽然包括合规承诺和合规要求，但合规管理总体上属于被动性和强制性的。

倡导自觉合规必要，更重要的是有配套措施和手段。

合规审核、监督和罚则，是保证
合规管理能够落实的重要条件。

企业应重视合规管理保障机制的建立和有效运行，以此支撑合规管理工作的落实落地。

衡量企业合规管理成效，需要考虑外部合规管理要求的落实情况、合规管理体系建设、合规牵头部门工作、合规清单等，但更重要的是看各责任主体合规风险清单的科学性和更新及时性、日常合规审核监督机制的有效性、发生违规事件的性质和数量、处置违规事件的机制和效果、受到外部监管处置处罚情况等。

如果外部环境、政策法规、业务领域等没有发生大的变化和调整，企业的合规管理可以作为一种常态化、重复性工作进行管理，关键是要保证有效落实，避免流于形式。

但各责任主体必须及时根据外部环境、政策法规等变化，做好新的合规风险识别，并调整相应管控策略；当业务领域调整、管理要求变化或进入新领域时，要做好充分的合规风险评估；对于海外业务，更要针对国别和地区开展专项合规风险评估，一国（地）一策，谨慎客观做好合规风险管理，尽量减少各类违规风险事件，杜绝重大违规风险事件发生。

四、法务工作企业法务工作与律所法律工作的重要区别在于目标不同。

企业的法务工作应为企业可持续发展提供专业法律支持和服务，即要围绕企业的各项业务活动进行，如果脱离具体业务活动仅谈法律，企业的法务工作就与律所工作没有实质性的区别。

法务部门的定位应该是企业依法合规行为底线的守护者，是企业高管层决策的重要依据和参考，是业务部门的专业参谋和合作伙伴，是企业涉诉行为的重要防火墙。

企业法务人员应具备的素质是“法律+业务”，既要精通专业，也要熟悉业务，可以说，要比专业律师更懂业务，比业务人员更懂法律。

是否满足业务需要，能够有效管控法律风险，是衡量企业法务工作的重要标准。

企业法务部门要做好定位，理解支持业务部门工作，为业务工作开展保驾护航。

切忌越俎代庖，除违背法律法规的事项，应坚持原则予以否决外，法务部门的意见不论是肯定、保留还是反对，都只能是最终决策的参考，而不能代替最终决策的结果。

法务人员不能把自己定位为企业里的律师角色，应是运用法律知识为企业经营管理提供专业支持的员工。

在专业知识之外，需要了解企业所处行业情况、熟悉主营业务情况及发展战略、管理模式、企业文化等，关注并参与
企业发生的重大事件等。

企业法务人员的引进不是拿来主义，有着一个引入和培养的过程。

专业精通的法律人员在律所可能是个好律师，但不一定成为企业需要的合格法务人员。