陶光輝:論合規(guī)內控風險管理中的清單控制
導語:清單是合規(guī)內控風險管理建設過程中常見的工具。如,合規(guī)體系中的三張清單被認為是必須動作。但是,實踐中對于清單的后續(xù)使用,卻鮮有人提及,特別是當制作的清單花費了大量人力、物力、財力之后,卻再次被束之高閣的時候,這不禁引人反思,何為清單,何為清單控制?
清單類成果文件是合規(guī)管理、內部控制、風險管理體系建設過程中的必要組成。
例如,當前合規(guī)管理體系建設,必提“三張清單”,即合規(guī)風險識別清單、崗位合規(guī)職責清單、流程管控清單。另外,合規(guī)管理體系中,其實還有合規(guī)審查清單、合規(guī)要求清單、常用法律法規(guī)清單等說法。
內部控制體系建設中,需要將實際的業(yè)務流程與內控規(guī)范對比,梳理內控缺陷,進一步制作風險點描述清單與控制活動清單,兩者組合形成風險控制矩陣。
風險管理體系建設中, 首當其沖的自然就是經(jīng)過風險評估,形成的全面風險清單。在風險應對部分,還可形成風險監(jiān)測與預警清單、風險排查清單等。
雖然具體叫法可能會有所不同,但“清單”這類體系文件,在這三個管理體系建設中,都是一種比較常見的工具。
本文把企業(yè)通過清單的制作與運用,以達到預期的管控風險的效果,稱之為“清單控制”。
清單控制,代表了某種管控模式。作為一種管理工具,它是怎樣發(fā)揮作用的?清單控制又是由哪些部分組成,需要我們對【清單】及【清單控制】進行詳解。
01
風險清單——列舉及提示風險
清單中最重要的一類,恐怕是風險清單。不管是在合規(guī)管理中,還是內控、風險管理中,都有“風險清單”的說法。這是因為三個管理體系的前提之一,都是需要進行風險評估,而風險評估的成果,便是風險清單。
什么是風險清單?個人認為,它是在風險評估工作之后,對風險點描述、風險形成原因,風險分析與排序,也包括風險管控主責部門配置等要素進行匯總所形成的風險集合。
風險清單應當圍繞業(yè)務事項(經(jīng)營管理行為)而展開,而且是針對容易出問題(即風險)的經(jīng)營管理行為,描述其風險,并進一步分析和評價該風險。也就是,風險清單至少由三部分區(qū)域組成。一是業(yè)務信息區(qū),二是風險識別區(qū),三是風險分析與評價區(qū)。當然,有一些風險清單,還包括管控措施區(qū)和管控責任區(qū)。
風險清單的區(qū)域組成,反映了風險清單的作用。它其實主要還是起到一種列舉和提示的作用。基于風險清單的控制,其效果取決于風險清單自身的質量,而非風險清單的數(shù)量。
實踐中,有很多的企業(yè)喜歡讓外部咨詢機構將本企業(yè)面臨的風險全部列出,越多越好,越細越好,認為這樣才能起到更好的效果。但如果風險清單的價值就是一種提示的話,那么信息量越大反而不容易起到提示的效果,因為人們消化不了那么多的信息。
筆者看到過有1萬多條的風險數(shù)據(jù)庫(風險清單),試問這種量級的風險清單能起到提示效果嗎?真正有效的風險清單,也就2、300條是比較合適的,平均下來每個部門三四十條風險,可以讓各部門切實了解和認識本部門的重要合規(guī)風險。這里說的重要包括發(fā)生概率較大、發(fā)生后果較嚴重,影響波及面較廣的風險,也就是應當馬上投入資源和精力去管控的。
基于風險的清單及其控制,進一步要注意的是問題有三點。第一點是清單內的風險描述要精準、可信。所列舉的風險,應當經(jīng)過各部門的確認。很多現(xiàn)實情況是,各業(yè)務和職能部門對于風險合規(guī)部門給出的風險清單并不認可,甚至持反對、輕視意見。這需要通過風險培訓、風險研討會等方式,去促成共識。
第二,是清單內的風險要有定期更新機制。企業(yè)環(huán)境在變,經(jīng)營管理行為在變,法律法規(guī)在變,導致風險一直也在變,因此風險清單永遠都只能是某一個時間段內的風險清單。過了這個時間段,必須主動調整風險清單內容。
第三,風險清單控制,與風險內容培訓、風險意識、風險跟蹤與提示等密不可分。如果缺少這些工作內容,光有一個風險清單EXCEL表格,是發(fā)揮不了風險清單控制效果的。
02
權責清單——明確責任邊界
權責清單,包括權力清單和責任清單兩種。合規(guī)管理中的崗位合規(guī)職責清單,便是典型的權責清單。
權力清單,主要是面對公司管理層的。例如,“三重一大”決策事項清單,便屬于權力清單的一種。在治理合規(guī)、內控權限指引等工作中,會涉及權力清單的編制。權力清單,明確了各主體的權力范圍,原則上是清單之外的“不可為”。對于約束相關主體的權力,完善治理,強化制衡,可起一定作用。
權責清單的使用,主要還是體現(xiàn)在責任清單上。責任清單,往往又被稱為“職責清單”。崗位合規(guī)職責清單,是合規(guī)管理體系建設中越來越重要的一種工具。這是因為合規(guī)職責,首先是相對清楚、明確的。然后崗位的合規(guī)職責,相當于是基于崗位的合規(guī)底線要求。
要發(fā)揮崗位的職責清單控制效果,其實應區(qū)分兩部分的職責。一是該崗位的合規(guī)管理履職。這往往是針對管理崗位而言。另一是該崗位的合規(guī)要求遵守職責,這是對業(yè)務和職能操作崗位而言的。
任何一個崗位,都是有崗位工作事項的。這個工作事項,又必然存在外部的合規(guī)要求和內部的合規(guī)規(guī)定。崗位合規(guī)職責清單編制,先應梳理該崗位工作事項對應的外規(guī)和內規(guī)。當然,因為這樣的外規(guī)和內規(guī)數(shù)量肯定不在少數(shù),因此實踐中梳理邏輯與合規(guī)風險識別的邏輯是一樣的。然后,針對哪些容易出問題(容易違規(guī))的事項進行匹配,據(jù)此形成該崗位的合規(guī)要求遵守職責內容。
對于管理崗位上的合規(guī)管理職責,一方面可放到三道防線的設計工作上予以明確,不在崗位合規(guī)職責中體現(xiàn)。另一方面,如確實要并入崗位合規(guī)職責清單中,則應和合規(guī)管控機制結合起來,將該管理崗位作為一道防線應執(zhí)行的合規(guī)管控措施作為其合規(guī)管理職責。
在具體實踐中,也可將崗位的合規(guī)要求遵守職責與合規(guī)管理職責同時寫到崗位合規(guī)職責清單之中。
基于權責的清單及其控制,相比于風險清單控制,是合規(guī)內控風險管理建設中更加落地,更有實效的管控工具。
03
管控清單——嵌入管控機制
合規(guī)管理中的業(yè)務流程管控清單,是指將合規(guī)管控機制(主要是合規(guī)審查)嵌入業(yè)務流程,形成對業(yè)務流程節(jié)點的自然管控。
業(yè)務執(zhí)行下來,合規(guī)管控機制得到了貫徹,合規(guī)管理措施也就得以實現(xiàn)。這便是基于基于業(yè)務流程的清單控制所能取得的效果。
對于合規(guī)管控清單,在實踐中的理解,差異還是很大的。有人認為,合規(guī)管控清單,與內部控制中針對風險點設置控制點是一個道理。在業(yè)務流程中,明確合規(guī)風險點,然后設置合規(guī)控制點。
還有人所制作的業(yè)務流程管控清單,是將基于業(yè)務流程內容,將合規(guī)管控措施再羅列一遍,便形成所謂業(yè)務流程合規(guī)管控清單。
個人認為,這些都是對業(yè)務流程(合規(guī))管控清單的誤解與誤用,都是在沒有真正理解管控清單本質的情況下產(chǎn)生的。
管控清單,其應當是管控機制的綜合運用,不僅僅是審查機制。從風險自查、合規(guī)檢查、合規(guī)考核、合規(guī)調查等,這些其實都是某種管控機制。在不同的業(yè)務流程之中,可以嵌入不同的管控機制,且應當是綜合使用這些機制。
因為基于風險的管控機制,其發(fā)揮效果應當是各部門、各崗位通力合作,既有控制、制衡,又有監(jiān)督、考核,也有激勵、賦能,這樣才能真正與業(yè)務管理相符合,而不僅是一個審查機制。
具體到合規(guī)管理體系建設中第三張清單——業(yè)務流程管控清單的設計與使用上來,個人認為,嚴格地講,這個管控清單更應稱之為“業(yè)務流程合規(guī)風險管控矩陣”。
矩陣是由縱橫兩向組成的。縱向是業(yè)務流程,可在其中標注主要風險點,包括合規(guī)風險點。橫向則是管控機制,包括合規(guī)自查、合規(guī)審查、合規(guī)檢查、合規(guī)考核等。因為業(yè)務流程是不斷循環(huán)運行的,因此這些管控機制并不是同時使用,而是在必要的情況下才與風險點進行配置設置。
基于管控機制的清單及其控制,是合規(guī)內控風險管理建設實施中不容易理解,也不容易實施的工具。除非有較好的信息化、數(shù)字化管理支撐,否則個人認為其在實踐中的效果總體是不佳的。
04
審查清單——賦能業(yè)務開展
除了常見的三類清單控制模式,還有一些通過賦能的方式來完成對風險的控制。例如,合規(guī)管理中的合規(guī)自查清單、合規(guī)審查清單等。
合規(guī)審查清單,是將對于待審查事項(包括制度類、合同類、決策類、項目類等)的合規(guī)審查內容事先進行列舉,在實際審查時作為參考的一種管理工具。
合規(guī)自查或審查清單,很顯然只是一種參考。因為首先這個清單無法窮盡所有的待審事項,而且清單所列出的自查或審查內容,也可能是較為寬泛的。
但基于自查或審查清單可為相關部門的自查或審查工作帶來便利,這個清單的使用反而是更受歡迎的,特別是在相關部門還不熟悉自查或審查的角度、內容等時候。因此,審查清單作為一種賦能工具,值得各企業(yè)去細化和深化。
小結一下:清單可基于風險、基于權力、基于崗責、基于流程,其控制效果即可是一種提示和明確,也可是一種制約,還可是一種賦能。
