陶光辉:论合规内控风险管理中的清单控制
导语:清单是合规内控风险管理建设过程中常见的工具。如,合规体系中的三张清单被认为是必须动作。但是,实践中对于清单的后续使用,却鲜有人提及,特别是当制作的清单花费了大量人力、物力、财力之后,却再次被束之高阁的时候,这不禁引人反思,何为清单,何为清单控制?
清单类成果文件是合规管理、内部控制、风险管理体系建设过程中的必要组成。
例如,当前合规管理体系建设,必提“三张清单”,即合规风险识别清单、岗位合规职责清单、流程管控清单。另外,合规管理体系中,其实还有合规审查清单、合规要求清单、常用法律法规清单等说法。
内部控制体系建设中,需要将实际的业务流程与内控规范对比,梳理内控缺陷,进一步制作风险点描述清单与控制活动清单,两者组合形成风险控制矩阵。
风险管理体系建设中, 首当其冲的自然就是经过风险评估,形成的全面风险清单。在风险应对部分,还可形成风险监测与预警清单、风险排查清单等。
虽然具体叫法可能会有所不同,但“清单”这类体系文件,在这三个管理体系建设中,都是一种比较常见的工具。
本文把企业通过清单的制作与运用,以达到预期的管控风险的效果,称之为“清单控制”。
清单控制,代表了某种管控模式。作为一种管理工具,它是怎样发挥作用的?清单控制又是由哪些部分组成,需要我们对【清单】及【清单控制】进行详解。
01
风险清单——列举及提示风险
清单中最重要的一类,恐怕是风险清单。不管是在合规管理中,还是内控、风险管理中,都有“风险清单”的说法。这是因为三个管理体系的前提之一,都是需要进行风险评估,而风险评估的成果,便是风险清单。
什么是风险清单?个人认为,它是在风险评估工作之后,对风险点描述、风险形成原因,风险分析与排序,也包括风险管控主责部门配置等要素进行汇总所形成的风险集合。
风险清单应当围绕业务事项(经营管理行为)而展开,而且是针对容易出问题(即风险)的经营管理行为,描述其风险,并进一步分析和评价该风险。也就是,风险清单至少由三部分区域组成。一是业务信息区,二是风险识别区,三是风险分析与评价区。当然,有一些风险清单,还包括管控措施区和管控责任区。
风险清单的区域组成,反映了风险清单的作用。它其实主要还是起到一种列举和提示的作用。基于风险清单的控制,其效果取决于风险清单自身的质量,而非风险清单的数量。
实践中,有很多的企业喜欢让外部咨询机构将本企业面临的风险全部列出,越多越好,越细越好,认为这样才能起到更好的效果。但如果风险清单的价值就是一种提示的话,那么信息量越大反而不容易起到提示的效果,因为人们消化不了那么多的信息。
笔者看到过有1万多条的风险数据库(风险清单),试问这种量级的风险清单能起到提示效果吗?真正有效的风险清单,也就2、300条是比较合适的,平均下来每个部门三四十条风险,可以让各部门切实了解和认识本部门的重要合规风险。这里说的重要包括发生概率较大、发生后果较严重,影响波及面较广的风险,也就是应当马上投入资源和精力去管控的。
基于风险的清单及其控制,进一步要注意的是问题有三点。第一点是清单内的风险描述要精准、可信。所列举的风险,应当经过各部门的确认。很多现实情况是,各业务和职能部门对于风险合规部门给出的风险清单并不认可,甚至持反对、轻视意见。这需要通过风险培训、风险研讨会等方式,去促成共识。
第二,是清单内的风险要有定期更新机制。企业环境在变,经营管理行为在变,法律法规在变,导致风险一直也在变,因此风险清单永远都只能是某一个时间段内的风险清单。过了这个时间段,必须主动调整风险清单内容。
第三,风险清单控制,与风险内容培训、风险意识、风险跟踪与提示等密不可分。如果缺少这些工作内容,光有一个风险清单EXCEL表格,是发挥不了风险清单控制效果的。
02
权责清单——明确责任边界
权责清单,包括权力清单和责任清单两种。合规管理中的岗位合规职责清单,便是典型的权责清单。
权力清单,主要是面对公司管理层的。例如,“三重一大”决策事项清单,便属于权力清单的一种。在治理合规、内控权限指引等工作中,会涉及权力清单的编制。权力清单,明确了各主体的权力范围,原则上是清单之外的“不可为”。对于约束相关主体的权力,完善治理,强化制衡,可起一定作用。
权责清单的使用,主要还是体现在责任清单上。责任清单,往往又被称为“职责清单”。岗位合规职责清单,是合规管理体系建设中越来越重要的一种工具。这是因为合规职责,首先是相对清楚、明确的。然后岗位的合规职责,相当于是基于岗位的合规底线要求。
要发挥岗位的职责清单控制效果,其实应区分两部分的职责。一是该岗位的合规管理履职。这往往是针对管理岗位而言。另一是该岗位的合规要求遵守职责,这是对业务和职能操作岗位而言的。
任何一个岗位,都是有岗位工作事项的。这个工作事项,又必然存在外部的合规要求和内部的合规规定。岗位合规职责清单编制,先应梳理该岗位工作事项对应的外规和内规。当然,因为这样的外规和内规数量肯定不在少数,因此实践中梳理逻辑与合规风险识别的逻辑是一样的。然后,针对哪些容易出问题(容易违规)的事项进行匹配,据此形成该岗位的合规要求遵守职责内容。
对于管理岗位上的合规管理职责,一方面可放到三道防线的设计工作上予以明确,不在岗位合规职责中体现。另一方面,如确实要并入岗位合规职责清单中,则应和合规管控机制结合起来,将该管理岗位作为一道防线应执行的合规管控措施作为其合规管理职责。
在具体实践中,也可将岗位的合规要求遵守职责与合规管理职责同时写到岗位合规职责清单之中。
基于权责的清单及其控制,相比于风险清单控制,是合规内控风险管理建设中更加落地,更有实效的管控工具。
03
管控清单——嵌入管控机制
合规管理中的业务流程管控清单,是指将合规管控机制(主要是合规审查)嵌入业务流程,形成对业务流程节点的自然管控。
业务执行下来,合规管控机制得到了贯彻,合规管理措施也就得以实现。这便是基于基于业务流程的清单控制所能取得的效果。
对于合规管控清单,在实践中的理解,差异还是很大的。有人认为,合规管控清单,与内部控制中针对风险点设置控制点是一个道理。在业务流程中,明确合规风险点,然后设置合规控制点。
还有人所制作的业务流程管控清单,是将基于业务流程内容,将合规管控措施再罗列一遍,便形成所谓业务流程合规管控清单。
个人认为,这些都是对业务流程(合规)管控清单的误解与误用,都是在没有真正理解管控清单本质的情况下产生的。
管控清单,其应当是管控机制的综合运用,不仅仅是审查机制。从风险自查、合规检查、合规考核、合规调查等,这些其实都是某种管控机制。在不同的业务流程之中,可以嵌入不同的管控机制,且应当是综合使用这些机制。
因为基于风险的管控机制,其发挥效果应当是各部门、各岗位通力合作,既有控制、制衡,又有监督、考核,也有激励、赋能,这样才能真正与业务管理相符合,而不仅是一个审查机制。
具体到合规管理体系建设中第三张清单——业务流程管控清单的设计与使用上来,个人认为,严格地讲,这个管控清单更应称之为“业务流程合规风险管控矩阵”。
矩阵是由纵横两向组成的。纵向是业务流程,可在其中标注主要风险点,包括合规风险点。横向则是管控机制,包括合规自查、合规审查、合规检查、合规考核等。因为业务流程是不断循环运行的,因此这些管控机制并不是同时使用,而是在必要的情况下才与风险点进行配置设置。
基于管控机制的清单及其控制,是合规内控风险管理建设实施中不容易理解,也不容易实施的工具。除非有较好的信息化、数字化管理支撑,否则个人认为其在实践中的效果总体是不佳的。
04
审查清单——赋能业务开展
除了常见的三类清单控制模式,还有一些通过赋能的方式来完成对风险的控制。例如,合规管理中的合规自查清单、合规审查清单等。
合规审查清单,是将对于待审查事项(包括制度类、合同类、决策类、项目类等)的合规审查内容事先进行列举,在实际审查时作为参考的一种管理工具。
合规自查或审查清单,很显然只是一种参考。因为首先这个清单无法穷尽所有的待审事项,而且清单所列出的自查或审查内容,也可能是较为宽泛的。
但基于自查或审查清单可为相关部门的自查或审查工作带来便利,这个清单的使用反而是更受欢迎的,特别是在相关部门还不熟悉自查或审查的角度、内容等时候。因此,审查清单作为一种赋能工具,值得各企业去细化和深化。
小结一下:清单可基于风险、基于权力、基于岗责、基于流程,其控制效果即可是一种提示和明确,也可是一种制约,还可是一种赋能。