————辦公司 找會計 找一帆————
公司存在的目的:生存、發展、獲利。公司要實現其目的,內審、內控、風控可以說是公司的“防火牆”、“保健醫生”。內審、內控、風控的落腳點要導向組織的戰略目標、遠景、規劃,從近處說,要服務組織某階段的發展目標(短期目標),從這個角度分析,三者目標導向是一致的。
1法 務
現代企業立足市場,會面對來自方方面面的風險,諸如合同行為的風險、資本運作的風險、知識產權的風險、人力資源的風險、環境保護的風險、稅務籌劃的風險以及公共關係的風險和訴訟仲裁的風險等等。如何防範這些風險以達到保障企業安全運營的目的,從根本上預防潛在的風險變成現實的災難,防患於未然,這就需要建立企業法律風險管理服務機構,健全企業法律風險管理體系。大型企業往往會在內部設立法律法規室或法律事務部,以處理企業的日常法律事務。
鑑於公司的設立往往是以盈利為目的,在企業內部設立法務部門也是基於降低風險、減少損失、維護公司合法利益為出發點,因此企業法務以一切服務於公司業務、服務於生產經營為根本宗旨,以擴大服務範圍、提高服務水平作為根本任務,也是就通常所說的服務於業務部門工作。
2合 規
國際標準化組織(ISO)在2014年12月15 日發佈了國際標準ISO19600《合規管理體系-指南》對“規”有定義:組織宜以適合其規模、複雜性、結構和運營的方式制定“合規義務”文件。合規義務信息應包括合規要求,可包括合規承諾。前者包括監管機構制定發佈具有強制性的法律法規、監管條例規定等,後者包括組織與社區、公共權力機構、客戶簽訂的協議、組織要求、政策、程序、自願原則、規程、環境的承諾等。
廣義的“合規”,有三層含義,第一層是企業要在生產經營過程中要遵守法律法規,即企業要遵守公司總部所在國和經營所在國的法律規定及監管規定;第二層是企業經營要遵循企業內部規章制度,包括企業商業行為準則的規章;第三層是企業員工要遵守良好的職業操守和道德規範等。狹義的合規是指企業遵守反對商業賄賂方面的規定。
結合以上,合規的“規”應該按照三層涵義來正確理解:第一層是具有強制性的法律法規,即企業總部所在國和經營所在國的具有強制性的法律規定及監管規定;第二層是企業在生產經營活動中寫入企業規制的對相關方(客戶、股東、監管方、企業內部員工等)的自願性承諾;第三層是企業要遵守良好的職業操守和道德規範、公序良俗等,這些不是強制性的,但在社會活動中普遍為大眾所認同。
合規風險即企業組織集體行為和代表企業組織的個人行為是否遵守合規的“規”的不確定性。
從合規的“規”三層含義看,第一層合規風險和第三層合規風險就全面包含了企業內部控制風險內容。
3風 控
業風控即企業全面風險控制。2004年COSO繼續提出了企業風險管理整體框架,定義企業風險管理:“企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控制及其在戰略和整個公司的應用,旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。”這個對企業風險管理的定義依然有內部控制的太多痕跡。實際中,企業風險包括市場宏觀政策風險、客戶偏好風險、合規風險、技術風險、質量風險、履約能力風險等。
4內 審
內部審計是一種獨立、客觀的保證和諮詢活動。其目的在於為組織增加 價值和提高組織的運作效率。它通過系統化和規範化的方法,評價和改進風險管理、控制和治理程序的效果,幫助組織實現其目標。
從概念上分析,內部控制也有監督評價的內容;內部審計是對內部控制、風險管理與治理進行評價,確保組織正常運營,保證不偏離公司目標。
5內控、風控、內審的關係
在集團內部管理而言,三者關係有一定的關係與作用。內部控制是風險管控和內部審計的基礎,是風控和內審的根源根本,處在整個控制系統的前端。而風險管理則處在中端,它能為內部審計作業提供邏輯和方向,為內部審計確定問題(即是評估後的風險),確定審計方向(目標)提供精準定位。
內部審計是通過確認和諮詢的方式,對企業運營、內部控制、風險管理和公司治理進行評估與評價,以保證企業各項業務工作按照既定目標和標準,不偏不倚地完成公司目標。
從控制方式上分析:內控、風控、內審三者是"基礎一分析一評估"遞進關係、因果關係。從控制方式方面總結,內部控制是事前控制,因為制度與流程是為管理而生,為防止企業管理出現問題和錯漏而制訂。所以,它是事前預防和控制範圍;
風險管理,主要在事中進行分析評價,當然事前也可以,風險評價的基本和內容也是內部控制和制度流程,作業過程的風險就屬於事中控制;就算事後分析風險也是為了事中的管控。所以,個人認為風控是事中控制的範疇。
內部審計,從三者關係而言:內審工作已經在前兩者之後,是根據風險提示或結果,對內控相對應節點(關鍵控制點)進行確認,確認風險是否存在,是否產生損失,是否可化解或轉移,按照這個過程,內審就是事後的確認與評估,屬事後控制範疇。
PS:內控是點,風控是線,內審是用線把點串起來組成面。
6合規、內控、風控的關係
一、風險管控的層級:合規-內控-風控
(1)合規是“打基礎”
合規的核心:“確保公司各項生產經營活動遵循內外部的法律、制度、條例、規範、指引等”
合規的產出:合規可以起到最基本的抑制操作風險的作用
合規的短板:只能發現問題而不能解決問題
(2)內控是合規的“最高等級”
內控的核心:不但要求合規,還要考察“規”的狀態(是否完善、是否有配套指引、執行過程是否完善)
內控的重點:與合規相比,合規注重結果,內控重視過程。並在此基礎上發展較完善的工具和方法(COSO框架)
內控的優點:內控是抑制操作層面風險的最佳手段
內控的缺點:內控對需要站在一定管理高度的風險(如戰略風險等)無能為力。(例如內控無法衡量資本市場波動會給公司帶來多大風險)
(3)風控管理是風險管控的“最高形式”
風控管理的核心:“兩個必須”
必須把風險管理的職能提升到高級管理層
必須設立獨立於業務部門的風險管理部門
公司內各類風險相對分散、獨立,設立統一的部門,站在管理層的高度來對風險進行檢視,才能避免“頭痛醫頭腳痛醫腳”。
二、風控與內控的異同
(1)相同點
風控與內控本質上都是通過評估、防範、控制企業風險,從而促進企業經營目標的實現。
(2)不同點
第一兩者審視風險的角度不同
風控主要圍繞企業戰略經營目標,“自上而下”地辨識、評估、分析風險,並提出風險預警防範和應急管理的策略和措施。
內控主要從流程合規、反舞弊角度出發,“自下而上”地診斷招標採購、銷售、資金等具體運營流程中的內部控制缺陷,並進行整改。
風控好比企業的“保健醫生”,主要職責是“治未病”。內控好比企業的“急診醫生”,主要職責是“治已病”。
第二兩者處置風險的工具不同
風控主要採用風險地圖、流程數據分析、調查問卷、控制分析、專家評分等工具。隨著企業信息化程度的逐漸提高,以數據分析為核心的量化風險分析、風險評估指標體系(如REI指數)等越來越受到重視。
內控主要採用例行審計、專項審計、合規檢查等形式,主要使用穿行測試、控制測試等工具,診斷重點業務、重要流程的內部控制設計及運行缺陷。
目標導向一致:戰略目標導向
內審、內控、風控都是基於治理、監管等因素下的“產品”,繼續追溯產生的動因。
從內部角度分析,兩權分立(所有權與經營權)是重要的因素之一,從外部角度分析,組織運營要滿足法律法規遵循性的要求。
內審、內控和風控對公司的運營就是一種制衡,對人的制衡,對事的制衡,對利益的制衡,制衡之外是對組織健康發展的一種促進。
延伸閱讀:法務人員必須掌握的四項管理技能
管理是一項具體的工作,對於法務來說,更是一種與法律融合的新技能。雖然對於一個專業的管理者來說,都不一定能掌握全部技能,但是每一個管理者都必須瞭解這些技能是什麼、它們可以用來做什麼以及對自己提出什麼要求。中高級法務人員也需要學習此類管理知識,處理公司法律事務時,要有意識地加以運用,並形成屬於自己的、獨特的、有效的管理技巧。
1有效決策
有效決策的第一步:界定問題。相比較西方人而言,日本人擅長去把注意力集中在探求決策的本質上,理解決策到底是關於什麼的,而不是關心應該做出什麼樣的決策。對於日本人來說,決策的重要因素在於界定問題,在正確界定問題的基礎上,使大家取得共同的意見。最終,日本人根本無須花費時間去推銷一項決策,每個人也都會知道並且認可這一決策。所以,日本人在談判階段動作很慢,無窮的拖延,對一些問題不斷地反覆討論,但是緊接著就是快速行動,使對手措手不及。
有效決策的第二步:瞭解不同的方案和意見。在沒有不同意見之前,不要輕易做出決策。如果是大家一致鼓掌通過的,未必是一項好的決策。只有經過各種相互衝突意見的交鋒、對各種不同觀點的爭辯、對各種不同判斷的抉擇,才能全面考慮各種風險,做出一項好決策。
有效決策的第三步:掌握真實反饋。決策之中必須包括反饋制度。任何事物都是在不斷髮展變化,隨著時間推移,即便是當時選擇的自認為最完美的決策,也可能會碰到波折和意料之外的障礙,未必一直適合,能夠達到預期效果。反饋,首先應當重視報告,但是絕不能只依靠報告。報告可以被修飾,信息傳遞可能會出現錯誤,但是親自了解、檢查決策執行情況,一般獲得的才是最真實的反饋。二者有機結合,必能使一個有效決策發揮出最大效能。
因此,從決策我們就能看出,管理不是一種智慧、一個人就能完成的事情,還需要發揮組織的想象力和智力,動員團隊的各種力量和各種資源,以便獲得最佳管理。
2有效溝通
溝通的也是法務人員必備的一項基本管理技能。法務部門與其他業務部門、公司管理者、客戶就業務問題和法律問題之間的溝通,是法務人員完成基本工作的前提。
法務人員的工作與文字息息相關,出具法律意見、合同審核報告、擬定合同、法律諮詢等,都是通過語言文字來傳達。作家中流傳一句老話:“語句晦澀意味著思想混亂。需要整理的不是文字,而是文句所要表達的思想。”無論採用什麼媒介方式,我們在溝通時都要問一下自己:“這項信息在接收者的感知範圍內嗎?他能夠理解嗎?”運用恰當的語言使他人感知才能為溝通出預想效果打下基礎。
溝通需要附帶要求。在發出溝通訊號時,必須想清楚你要求信息接收者變成什麼樣的人、做某件事或者相信某件事。最有力的溝通是能起到“改造作用”的,會改變對方的觀念、要求甚至動機。
溝通還需要重視在內部和外部進行溝通。公司處於瞬息萬變的商業環境中,並不是單獨割裂的個體。在內部,法務人員需要同公司高層管理者、各部門管理者、業務人員、團隊內部之間進行溝通。外部還需要同律師、行政部門、司法部門進行協調,以維護公司利益。
3運用核查和控制
核查是為了達到目標的一種手段和分析方法,而控制是目標,是結果。
為了使管理人員能夠進行控制,核查必須符合以下七項規範:符合經濟性;有意義的;適合被衡量的現象;同被衡量的事件相稱;必須及時;簡單;具有可操作性。其次,我們必須知道,核查結果。可能不是客觀的,因為我們面對的是一個複雜的感知情景,它依賴於人的意識判斷。另外,核查還應當具體問題具體分析。面對公司有意義的重大項目,應當指派專業人員經查核查,防止情況突發。而面對一些常規性的,無較大風險的項目,只需要普通核查行為,予以紀錄並注意即可。
可能你認為組織的最終控制應當是依賴於電子計算機、運籌學和模擬等所組成的最完善的“儀表盤”,其實不然。企業由人組成,計算機器也依靠人來控制,所以無論一個機構具有怎樣的權威和競爭力,它都必須滿足對其成員的抱負和需要,而這些是通過機構的獎懲制度、激勵制度、價值觀念和制裁來實現的,這才應當是組織的最終控制和任務。
4有效管理人員
說到管理人員,一般人會認為這是一件極其嚴肅的事情。其實要達到有效管理人員的效果,首先要學會的是與其他部門的人或者法務部門的同事和諧相處。有效的管理不但要懂得去調動下級的積極性,而且要懂得去調動同級和上級的積極性,讓他們為你所用。如果自己不能與這些人共處,等於不能有效利用這些人為你產出,為你貢獻。
其次,管理者有效的管理人員,要練就駕馭時間和駕馭他人的本領。不能採取來了什麼就幹什麼的態度;如果這樣的話,遲早都會讓自己陷於事務中不可自撥。因此,管理者要學會讓下屬安排工作,不要佔用自己過多的時間,使自已可以把精力投入到更重要的工作中去,在讓自己的工作變得有效性的同時,也使被管理者的時間得到合理使用。
另外,還要運用適當的獎懲機制去鼓勵他人的發展。企業要想獲得成功,管理者必須千方百計地發展員工的才能和技術,要從戰略的目標來培養高學歷高素質人才,當然也包括管理者本身。尋求自我發展不僅僅是個人的要求,更是組織發展的基礎。這也就可以解釋為什麼一些大企業會定期組織對內部的法務人員進行培訓了。
共贏需攜手 風雨有一帆
如您有任何疑問及業務需求隨時聯繫我們
服務熱線:400-888-2048
一帆財稅,您身邊的財稅顧問!