法务、合规、内控、风险一体化管理操作指引.docx

法务、合规、内控、风险一体化管理操作指引随着企业对法治管理、重大风险预防、长期主义等的追求或要求不断加深，法务管理、合规管理、内部控制与风险管理（以下简称为“法务、合规、内控、风险”）的协同运作成为企业的必然。协同运作，也被称为“法务、合规、内控、风险一体化管理”（以下简称为“一体化管理”）。本指引旨在为企业法务、合规、内控、风险一体化管理提供一套实用的操作步骤。在基本理念、体例结构等方面，部分参考了中华文化促进会2024年3月20日颁布的团体标准法务、合规、内控、风险一体化管理原则与实施指南（编号：T/CCP0005-2024）以及英国标准协会BSI颁布的标准规范PAS99：2012整合管理体系框架通用管理体系要求的规范。本指引由一法管理创始人暨龙疆合规负责人陶光辉律师作为执笔人，基于一法管理及龙疆合规团队多个法务、合规、内控、风险一体化管理项目经验，采取以业务理解为前提，以风险评估为主线，以差别管控为原则的总体思路，创建了一套“3原则-4阶段-7环节-28事项”的一体化管理实战模型，为广大企业的一体化建设实践提供有益参考。1.一体化管理概述1. 1法务、合规、内控、风险一体化管理是央国企、集团公司、上市公司等在整理和统筹其已有的法务管理工作、合规管理工作、内部控制工作以及风险管理工作的基础上，出于减少交叉重复、提高管理效能等目的，主动开展的整合有关部门职责、规章制度、管控机制以及管控文化等的一种管理过程。L2一体化管理建设指引是基于企业角度，参考国际、国内相关标准、规范或模型，将大型企业法务、合规、内控、风险一体化管理建设过程分为若干个阶段、环节，在深刻理解公司业务与管理需求的基础上，全面了解已有法务管理、合规管理、内部控制管理以及风险管理的工作现状，聚焦如何减少交叉重复，提升管理效率，提高管理效能的方法和技术，以达到助推企业更精准防控风险，更有效应对风险的最终目的。1.3一体化管理建设操作指引所包含的操作步骤，必须依据企业的现状与需求而定。一法管理创始人陶光辉律师基于现有实践，总结团队项目案例经验，整理出一套普遍适用于大型企业的法务、合规、内控、风险一体化管理建设三原则、四阶段、七环节以及三十事项。2. 一体化管理“3原则”2.1 据实原则。一体化管理不是一种全新的管理，而是在已有的法务管理、合规管理、内部控制管理和风险管理等基础上进行的。不同的企业，在已有的这几方面管理工作的成熟度是不同的。一体化管理，首先需要判断和描述这几方面工作的现有情况，其实施开展应建立在该四个方面管理现状的基础之上的。2.2求同原则。一体化管理建设是将已有的法务管理、合规管理、内部控制管理和风险管理工作进行统筹，这几方面工作仍将继续存在,因为其有共同的功能定位一一风险管控。这项本质，不因一体化而消灭或相互沦为其他工作的附属。这几方面的工作，也并非转为前后衔接关系了，而是同时以单项管理体系的形式，继续整体存在。这也是为什么特定情况下称之为“协同运作”更为恰当的原因。进一步说，一体化之后的管理，其实是包含了1+4的状态。“1”是指一体化整合部分的管理内容，具体包括一体化的风险评估、一体化的组织职责、一体化的机制设计以及一体化的新管理职责、管控机制以及管理制度。“4”是指法务管理、合规管理、内部控制、风险管理在经过一体化重整后仍应保留和存在的原管理职责、管控机制以及管理制度。一体化管理的精髓，当然是在“1”这个整合部分。2. 3存异原则。一条化管理本质虽是关于风险的管理，但基于法务管理、合规管理、内部控制管理和风险管理所面临的风险属性或风险特点不同，其具体的风险管控措施还是有所区别的。据此，在实施一体化管理过程中，在强调共同的风险管控功能定位的同时，应强调这几个方面的各自侧重点。即法务管理侧重于如何最大化产生和保护公司合法权益；合规管理侧重于如何确保公司及员工能够以及必须遵守法律法规底线；内部控制侧重于如何通过设置控制节点和措施确保公司内岗位职责及业务行为受到控制目标的制约；风险管理侧重于如何权衡业务发展与风险管控的关系以确保风险在企业当前可控的范围内。3. 一体化管理“4阶段”法务、合规、内控、风险一体化管理是企业主动发起的一次管理变革过程，应当站在一个项目的视角来看。该项目，至少应包括项目目标、项目方案、项目实施、项目总结等内容。这些内容及其不断的PDCA循环，组合起来便形成一体化建设指引的框架。这个框架，从项目管理角度，分为四个阶段。3.1 一体化管理现状与目标界定阶段。启动一体化管理，须做好充分的准备工作。本阶段解决的是对法务管理、合规管理、内部控制、（全面）风险管理等相关工作的现状进行描述，以及确定对这几个方面进行统筹、整合、协同的基本思路和相应实施方案的拟定。3.2 一体化管理风险与问题发现阶段。进行一体化管理，应建立在现实的问题之上。作为对风险的整合管理，一体化的前提是进行综合性质的风险评估与问题收集。这方面需要两方面的深刻理解，即对业务的理解和对什么是风险或问题的准则的理解。3. 3一体化管理风险与问题解决阶段。在建立起相对充分的一体化风险数据库之后，便是风险管控措施的设计与执行。一体化管理,需要对法务、合规、内控、风险等原管控措施进行分类、整合，提炼出新的一体化管控措施，并以新的一体化管理制度文件的形式予以固化、优化。3.4一体化管理项目总结阶段。作为一项需要不断更新、不断完善的管理变革，一体化管理同其他管理变革，也必须对管理有效性进行评价。这种评价不是单一的绩效评价，而是对管理要素的整体评价。评价的方式，包括一体化管理报告和一体化管理成熟度打分等。4. 一体化管理“7环节”不同企业的一体化管理是存在差别的，原因在于各企业的法务管理、合规管理、内部控制、风险管理的现状是很不一样的。要包容这些具有不同成熟度的管理活动，需要形成共通的管理要素。这便是一体化管理的实施环节。每一个“环节”，对应的是一体化管理的每一项操作，分布在四大阶段之内。4.1环节一：管理现状扫描与一体化管理策划。一体化管理是建立在不同成熟度的法务管理、合规管理、内部控制和风险管理基础上的。当前，部分企业的法务管理、风险控制工作相对成熟，部分企业的内部控制基本建立，但多数企业的合规管理才刚兴起，甚至还处于零的状态。这种现状决定了一体化管理的基本思路是“先补充、后对齐、再协同”。不仅如此，对于缺少的或不完善的管理职能，在新建体系的同时，还需要培养新建体系对应的“意识与能力”，否则也会对一体化的策划与实施产生障碍。4.2环节二：业务理解与风险一体化评估。法务、合规、内控、风险等管理，都是以业务为对象的管理，故一体化管理也应当以业务为对象。鉴于一体化管理是包含了多种管理体系在内的管理，更应在深入理解业务的基础上。法务、合规、内控、风险等管理，同时又是以风险为内容的管理，因此一体化管理也须进行风险评估，而且一体化的风险评估应当把之前存在于法务管理中的法律风险评估、合规管理中的合规风险评估、内部控制中的风险评估，以及风险管理中的风险评估都包含进来，本指引起草人陶光辉律师称之为"风险一体化评估1.1 3环节三：组织架构优化与风险管控职责整合。在通过风险评估，形成风险清单或风险数据库之后，接下来便是风险应对与预防等措施的设计与执行。企业管理措施的设计，首先是明确各自的工作职责。职责不是简单的职责说明，而是正确组织架构中的职责。因此,一体化风险管控措施的设计要从一体化的组织架构优化开始，包括但不限于一体化风控委员会的设置、三道防线的分工、总法律顾问兼首席合规官职责的明确等。在调整与优化与风险管控组织架构的同时,进行各相关部门和岗位的风险管控职责的梳理与强调。4.4 环节四：一体化管控机制的设计与实施。增加或调整风险应对与预防措施，首先需要明确新的职责和职责分工，然后是新管控机制的设计。一体化管控机制，即一体化管理活动，是最为体现一体化管理的亮点，最为展现一体化实施的新动作。管控机制更多依据公司管理控制习惯而进行设计,其通用手段包括预警类、审查类、检查类、调查类、考核类、问责类等。需要强调的是，我们认为一体化管控机制应先于一体化管理制度进行设计，这与大多数人，包括一些政策文件里，所反映出的“制度先于机制”，正好相反。4.5 环节五：一体化管理制度的制定与完善。一体化管理制度,其实是一体化管控机制的制度化、文件化，为一体化管控机制的实施提供管理职责要求和其他管理依据。一体化管理制度应当规定一体化管理的整体原则、逻辑与流程。同时，在统筹法务、合规、内控、风险四者原有管理制度的同时，对原制度进行分类分级。就一体化管理制度（体系）自身完整性而言，应包括关于一体化风险评估、重点业务的一体化管理指引等。当然，作为管理体系的集大成，一体化管理制度同样也可生成一体化管理手册。4. 6环节六：一体化管理意识与文化强化。一体化管理作为综合、统筹管理，同样需要企业全员的参与。在明确各部门、各岗位的一体化风险管控职责后，需要进一步强化对应的风险管控意识，具体可包括合规意识、风控意识、内控流程意识等，以及提高对应的风险管控能力。通过不断的、针对性的培训，一体化管理文化方可逐渐形成。5. 7环节七：一体化管理报告与有效性评价。一体化管理是典型的PDCA管理，需要不断改进与优化。通过整合原全面风险管理报告、内控评价报告、合规管理报告，形成综合的一体化管理报告，可以是季度简报和年度报告。对于一体化管理的有效性判断，可通过设置相关成熟度等级指标，由企业自身或委托第三方进行评价，以达到增强补漏的效果。6. 一体化管理“28事项”一体化管理是持续、不断重复的管理循环。它同时是一个由外及内、由上至下，由人到物的过程。每一个循环或过程，又都是由多个事项组成。这些事项，组成了一体化管理的环节，体现了一体化管理过程中的具体管理活动。每一项具体管理活动，基本上可对应一项具体成果文件。6.1 一体化管理环境扫描与现状分析。要实施法务、合规、内控、风险一体化管理，当然首先要从当前一体化管理环境判断开始。一体化管理环境与现状，其实是综合的管理环境，包括法务管理的现状、合规管理的现状、内部控制管理的现状，风险管理的现状，以及这四项职能当前整合或协同的情况，甚至存在冲突等情况的现状。对一体化管理现状进行综合分析，是确定一体化管理实施思路的前提。5.2一体化管理建设实施方案制定。一体化管理实施方案是法务、合规、内控、风险一体化管理建设的指导总纲。实施方案要明确一体化管理的建设目标及原则、建设组织职责分工以及建设主要内容、重点工作以及保障措施。作为一体化管理，须聚焦于如何实现法务、合规、内控、风险的一体化管理，而非单个职能工作的开展。就建设原则而言，一般以“合规、风控与效率并进”作为基本理念，强调风险管控与业务发展的平衡管理。5.3业务流程与管理事项分解。一体化管理和法务管理、合规管理、内控管理、风险管理等是一致的，其管理对象是业务流程和管理事项，其管理客体是业务流程和管理事项中产生的各类风险，管理目标是对各类风险的有效预防、控制与应对。因此，一体化管理也是建立在对企业经营管理行为的认识之上的。实施一体化管理操作，应先对经营管理行为进行理解，特别是容易出现风险或问题的经营管理行为进行判断，其具体操作方式便是对企业的业务流程与管理事项进行分解，形成分职能（/分部门）分级的业务流程与管理事项表。5.4 一体化的风险识别。对企业的业务流程进行熟悉后，便要围绕企业的业务活动本质，结合风险准则进行风险识别。一体化的风险识别，是建立在合规风险识别、内部控制与全面风险管理中的风险评估等基础之上的。对已有风险清单进行整合、汇编，统一衡量标准，形成更加精准、更为实用的风险描述列表。实践中，一体化风险识别的难点是对风险划分类型的改变，把原来全面风险管理指引对风险的分类从五分法（即战略风险、市场风险、财务风险、法律风险、运营风险）调整到更加适应一体化管理的风险分类四分法，即基于法律权益保障不力的风险（法务风险）