2004 年 COSO 发布了《企业风险管理——整合框架》 中把企业风险管理要素分为内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监督等八个相互关联的要素,各个要素贯穿于企业风险管理的整个过程之中。 企业风险管理并非一个严格的序列过程。在序列编排中,某一要素仅影响其后面接下来的那一要素,但企业风险管理是一个多向的、相互作用的过程,几乎其中任一要素均能并且确实会影响另一要素。因此现在根据COSO风险管理框架模型来对比分析《中央企业合规管理办法(征求意见稿)》(以下简称《办法》)的合规风险管理体系。 (1) 风险管理环境。 企业的风险管理环境是进行所有风险管理活动的基础。企业的内部环境包括企业的公司治理结构、战略目标、风险管理理念、风险容量、企业文化中董事会的监督和企业核心人员的人格品性以及全体员工的风险意识。在企业合规风险管理中,倡议建立公司控制体系并强调董事会和高级管理层在风险管理中的责任,从“高层”强调并培养企业的风险文化,并通过激励机制使每个阶层管理者与员工理解自己所做的工作与风险责任之间的关系。《办法》第二章组织和职责构建了合规风险管理的硬环境,第六章合规文化建设构建了合规风险管理的软环境。 (2) 建立目标。 目标设定是有效的事项识别、风险评估和风险应对的前提。企业首先制定高层次的目标的战略目标,董事会和管理层要对各个战略目标与其所承受的风险之间的衡量。根据COSO 框架要求确定了四项总目标:战略目标、经营目标、报告目标、合规目标等。《办法》第三条明确了企业合规的整体目标,要求有效防控合规风险,提高依法合规经营水平。并提出了在央企合规体系建设过程中的四项基本原则做到全面、公正、有效、精准。 (3) 事项识别。 COSO 框架中强调对负面事项的识别和管理,风险管理活动是减少企业活动负面事项的不确定性,企业风险管理的重要职能就是降低负面事项对企业的影响。管理者根据风险事项的不同影响因素将事项归入不同的类别,并识别事项彼此之间的相互关系,通过对风险事项进行归类分级和危害性排序,以确定它们在企业风险管理活动中的重要性和相应的应对方法。《办法》第二十二条明确中央企业应当建立合规风险识别预警机制。对于合规顾问而言对于风险事项的识别需要相应的专业能力,能否准备识别企业面临的风险事项是对企业合规尽调的核心工作。 (4)风险评估。 风险评估使管理者了解潜在事项对企业目标实现的影响,对风险的评估从风险发生的可能性和给企业带来的影响程度两个方面进行。《办法》第二十二条的规定在风险评估时,需要在对企业经营管理中存在的合规风险进行全面梳理,并根据风险发生的可能性、影响程度、潜在后果建立合规风险库,并对企业经营过程中面临的典型的、普遍的、后果严重的风险发布预警。对于合规顾问而言帮助企业建立自己的合规风险库对于合规体系建设具有重大作用。 (5)风险应对。 COSO框架中提出风险应对方法包括风险回避、降低风险、共担风险和接受风险单独管理方法,要求合规风险的管理从整个组织范围或组合的角度去考虑风险,并强调管理层拥有建立在企业整体层面上的组合风险管理观。《办法》第二十三条提出了合规风险应对实行预案制,对于上述已识别并经分析的合规风险,需要制定合规风险应对预案并要求完善应急预案的同时加强日常演练。另外还明确了在应对合规风险过程中的管理权限以及组织保障。 (6)控制活动。 控制活动是帮助确保企业的风险应对方案得以实施的政策和程序。控制活动贯穿于整个组织,涉及到企业的各个管理层次和各个职能机构。控制活动通常包括两个要素:确定要做什么样的政策和与该政策相关的相应程序。《办法》第二十四、二十五、二十六、二十七条,通过设置了事前的合规审查以及事后合规整改、合规举报、合规报告等的控制活动或程序确保企业合规建设实时精准专业有效。《办法》在第二十八条中为结合企业实际,并能提高企业效能的内部控制以及风险管理机制留下了制度空间。 (7)信息与沟通。 充分、及时、准确、有效的信息沟通是进行有效风险管理的基础 。 企业风险管理框架扩大了企业信息和沟通的构成内容,使得信息沟通贯穿于风险管理的每个流程,而且风险管理不仅是一个内部管理过程,它也应当用来改善对主要权益方的透明度,在信息沟通中应加入与外部客户、供应商、相关债权人、行政管理部门和股东的沟通等等, 相关权益方可以为企业提供关键的风险信息。 《办法》第七章明确了对于中央企业的信息互联互通提出了较高的要求,不仅要求打通合规信息的全流程信息互通,还要求将合规控制节点嵌入各个业务流程,并实现中央企业和国资监管部门之间的信息共通共享,使得监管部门可以利用大数据或云计算等技术手段对于企业合规风险进行实时精准的预警监控。 (8)监督。 对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段时期的执行质量的过程。 企业可以通过两种方式对风险管理进行监控:持续监控和个别评估。持续监控和个别评估都是用来保证企业的风险管理在企业内各管理层面和各部门以及相关责任人持续得到执行。 通过监督评价,合规管理的缺陷被报告给负责所涉及的职能或活动人员以及上级人员,以确保采取适当的追责措施。《办法》第五章引进了合规考核机制,对达成合规管理目标程度与业绩评价标准成正相关关系,从而强化合规体系建设的领导责任。另外《办法》第三十三条提到了违规追责,但这里需要明确的是由于合规风险的本质特性,风险的不确定性可以尽量降低但不能完全消除,因此在这种情况下,合规风险的追责应当基于“勤勉尽责”和“应尽关注”的监督评价标准,所以《办法》中也确立了尽职合规的免责范围以及未尽注意义务和故意行为的追责评价标准。 综上所述,在企业管理领域内COSO风险管理框架模型已经被广泛接受并运用到企业风险管理的实践中,并且风险管理框架的八大要素均在本次《办法》的征求意见稿中得到充分体现,因此将COSO风险管理框架模型引入企业合规法律服务领域作为一项基础理论,有助于在今后建构合规管理体系以及制定相应的具体操作指引提供理论支撑。 作者简介 冯松 上海中因律师事务所律师 擅长领域: 财税 破产清算 公司商事
