關鍵詞：管理體系標準，風險管理，合規(guī)管理，國家標準，融合管理

DOI編碼：10.3969/j.issn.1002-5944.2024.013.015

0引言

黨的二十大報告指出，世界正處于大變革大調整時期，國際力量對比發(fā)生深刻變化，單邊主義、保護主義抬頭，全球化進程面臨挑戰(zhàn)；我國發(fā)展仍處于重要戰(zhàn)略機遇期，但面臨的風險挑戰(zhàn)也十分嚴峻，國內外環(huán)境的復雜性和不確定性明顯增加。面對波譎云詭的國際形勢、復雜敏感的周邊環(huán)境，面對大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術的涌現(xiàn)，企業(yè)面臨的風險環(huán)境變得更為復雜，建立行之有效風險管控機制顯得尤為重要。本文旨在探討如何管理體系標準，尤其是將GB/T 24353—2022《風險管理指南》和GB/T 35770—2022《合規(guī)管理體系要求及使用指南》國家標準整合到企業(yè)的日常運營中，提出企業(yè)合規(guī)風控融合管理關鍵點的建議。

1 理論背景與文獻回顧

1.1 管理體系標準

管理體系標準是一系列為組織提供建立、實施、維護和改進管理體系的指導原則和規(guī)范要求，通常由國際標準化組織（ISO）或其他標準化機構制定，已成為全球廣泛認可和應用的管理工具，幫助組織提升管理水平，增強競爭力。企業(yè)的標準化程度是一個企業(yè)管理水平和效率的重要衡量標準，是決定企業(yè)能否在激烈的市場競爭中取得優(yōu)勢的砝碼[1]。PDCA（Plan-Do-Check-Act，計劃-執(zhí)行-檢查-處理）循環(huán)是一種持續(xù)改進的模型[2]，成為管理體系標準的一個核心特點，體現(xiàn)了管理體系標準的動態(tài)性和進步性，被廣泛應用于環(huán)境管理、職業(yè)健康安全管理等其他管理體系領域。通過PDCA循環(huán)，組織能夠確保管理體系的持續(xù)適應性和有效性，同時提升組織的整體績效和競爭力。

1.2 風險管理標準理論

中國從古代開始就對風險進行不斷思考，“備豫不虞，為國常道”“福兮禍所伏，禍兮福所倚”等名句，都充滿了對風險理解的智慧；《現(xiàn)代漢語詞典》對風險的定義為“可能發(fā)生的危險”，傳統(tǒng)來說，對風險并沒有準確的定義，也缺乏完整的風險管理體系標準。2009年，國際標準化組織（ISO）發(fā)布了ISO 31000：2009，這是第一個關于風險管理的國際標準，提供了風險管理的基本原則、框架和過程。ISO 31000體現(xiàn)了全球范圍內風險管理最新理論和最佳實踐，指導組織運用先進的風險管理理論來進行風險管理實踐[3]。我國引入國際標準，正式建立風險管理標準，結合國內實際情況，制定了相應的國家標準，GB/T 24353—2009是對應ISO31000：2009的中國國家標準。2018年，ISO對標準進行了修訂，發(fā)布了ISO 31000：2018，新版本在原有基礎上進行了更新和改進，更加注重戰(zhàn)略層面的風險管理，強調了風險管理與組織目標的整合。隨著國際標準的更新，我國也對國家標準進行了相應的修訂。GB/T 24353—2022是對應ISO 31000：2018的中國國家標準，反映了最新的風險管理理論和實踐成果?？傮w來說，GB/T 24353—2022《風險管理指南》的發(fā)展歷程是我國在風險管理領域不斷學習、吸收國際先進經驗，并結合國內實際情況進行創(chuàng)新和完善的過程。這一標準的推廣和實施，對于提高我國組織的風險管理水平，促進經濟社會的穩(wěn)定健康發(fā)展具有重要意義。

1.3 合規(guī)管理標準理論

我國的合規(guī)管理體系發(fā)展歷程與國家的改革開放、市場經濟建設以及國際化進程緊密相關。隨著改革開放的推進，中國企業(yè)開始與國際市場接觸，合規(guī)管理的需求逐漸顯現(xiàn)。2014年，ISO發(fā)布了ISO 19600：2014《合規(guī)管理體系—指南》，這是世界上首個關于合規(guī)管理的國際標準，該標準提供了合規(guī)管理體系的框架和指導原則，旨在幫助組織在其業(yè)務活動中實現(xiàn)合規(guī)。2017年，我國發(fā)布了GB/T35770—2017《合規(guī)管理體系要求及使用指南》，該標準等效采用了ISO 19600： 2014，為中國組織提供了建立和完善合規(guī)管理體系的指導。2018年美國政府因中興通訊公司違反美國對伊朗和朝鮮的出口管制法規(guī)而對其實施嚴厲制裁，這一事件對中國企業(yè)的合規(guī)管理發(fā)展產生了深遠的影響，促使企業(yè)進一步認識到合規(guī)管理的重要性，認識到合規(guī)是企業(yè)國際化經營的必要條件，開始更加重視遵守國際規(guī)則和法律法規(guī)。ISO于2021年4月發(fā)布ISO 37301： 2021《合規(guī)管理體系要求及使用指南》，修訂并代替ISO19600：2014《合規(guī)管理體系指南》，性質由B型的管理體系指南標準變成A型的要求及使用指南標準，其變化使得該標準可用于認證[4]。2022年，等同采用ISO 37301的國家標準GB/T 35770—2022《合規(guī)管理體系要求及使用指南》正式發(fā)布，該標準采用的PDCA理念完整覆蓋了合規(guī)管理體系建立、運行、保持和改進的全流程，基于合規(guī)治理原則，為組織建立并運行合規(guī)管理體系、傳播積極的合規(guī)文化提供了整套解決方案，為國內企業(yè)聲明符合合規(guī)管理體系提供更好的依據(jù)。

1.4 合規(guī)風控融合管理理論

風險管理、合規(guī)管理標準雖然從不同視角提出管理要求，但最終目標均是為企業(yè)管控風險從而實現(xiàn)戰(zhàn)略目標服務，融合管理是必然要求。國內外學者從不同角度提出融合管理的方法[5-6]。從標準角度看，《風險管理指南》有“5.3 整合”的元素要求，但更多是從風險管理與組織的整合出發(fā)；《合規(guī)管理體系要求及使用指南》在附錄中專門提出了“管理體系一體化融合”章節(jié)，提供融合的概念、范圍、方法與路徑，為合規(guī)風控融合管理提供標準。

2 研究方法

2.1 研究設計

本研究旨在構建一個融合管理模型，該模型將結合GB/T 24353—2022《風險管理指南》和GB/T35770—2022《合規(guī)管理體系要求及使用指南》，以促進企業(yè)合規(guī)風控管理的有效融合。研究設計將遵循以下步驟：

（1）文獻回顧：系統(tǒng)地回顧相關領域的文獻，包括管理體系標準、風險管理、合規(guī)管理以及融合管理的理論基礎和實踐案例，以建立研究的理論框架。

（2）模型構建：基于文獻回顧的結果，設計一個融合管理的理論模型，該模型將明確風險管理和合規(guī)管理的整合點和相互作用。

（3）案例選擇：選擇筆者所在企業(yè)案例進行研究，目前正在持續(xù)實施風險管理和合規(guī)管理的融合工作。

（4）模型驗證：將分析結果與理論模型進行對比，驗證模型的有效性，并根據(jù)分析結果對模型進行調整和完善。

2.2 研究步驟

（1）準備階段：確定研究目標和問題，定義研究范圍和限制。

（2）文獻回顧：檢索相關領域的學術文章、國家標準、行業(yè)報告等，分析和總結現(xiàn)有的理論框架和實踐案例。

（3）模型構建：基于理論和文獻回顧結果，構建初步的融合管理模型。

（4）案例選擇與數(shù)據(jù)收集：選擇多個行業(yè)和規(guī)模的企業(yè)作為案例研究對象，收集相關數(shù)據(jù)。

（5）模型驗證與調整：驗證和調整融合管理模型，確認模型的實際應用價值。

（6）提出模型的局限性和未來研究方向。

通過上述研究方法和步驟，本研究將為企業(yè)合規(guī)風控融合管理提供理論和實踐指導，幫助企業(yè)更有效地應對復雜多變的內外部風險環(huán)境。

3 風險管理與合規(guī)管理的融合模型

3.1 明確風險管理與合規(guī)管理定位與側重點

融合的前提是明確管理要素的側重點。通常來說，風險管理包含了內控，因此需要明確風險、內控、合規(guī)管理之間的關系。合規(guī)關注的是業(yè)務是否符合相關外部的法律法規(guī)、監(jiān)管規(guī)定和行業(yè)準則要求，以及遵循了內部制度的規(guī)定，合規(guī)管理是紅線底線管理，只有做到就合規(guī)、做不到就違規(guī)的情形，合規(guī)管理的要求在風險管理與內控中都要作為重要目標體現(xiàn)。風險管理則強調貼近業(yè)務一線，在業(yè)務中考慮風險，需要綜合考慮未來各種情景對業(yè)務本身帶來的不確定性影響，從而做出最有利安排，因此風險管理側重為決策服務。內部控制關注程序和流程中的關鍵控制點是否被設計全面，并有效執(zhí)行，側重于在決策作出后，通過內控手段將風險降低到可承受的范圍之內。因此，明確三者管理的側重點，風險管理職能是“頭”，負責決策階段的風險管控；內控是“身”，負責實施和運行階段的風險管控；合規(guī)是“血”，必須貫穿身體，作為企業(yè)存活發(fā)展的根據(jù)。

3.2 創(chuàng)建及實施融合模型步驟

3.2.1 梳理業(yè)務，評估已有內部標準的風險保障程度

企業(yè)生存發(fā)展的基礎元素就是貫穿其生產經營管理全方位、全過程的各項業(yè)務，企業(yè)合規(guī)風控管理之根本在于合理、有效地管控這些業(yè)務所面臨的風險。企業(yè)應首先梳理自身的業(yè)務，了解從原材料輸入到產品輸出的全過程，辨識應該管控的業(yè)務，再將風險和合規(guī)要求嵌入相關業(yè)務及流程中。在清晰梳理業(yè)務的基礎上，從保證合規(guī)和風險可控的角度對各業(yè)務流程的風險保障程度進行客觀評價，識別各風險點的控制程序是否已經在多個管理體系中得以合理的設計，這些控制程序是否已經有效執(zhí)行，從而為企業(yè)查看是否已經滿足國家標準的風險保障程度提供依據(jù)。

3.2.2“打補丁”式建立“大標準”

采用“相同要素合并，相近要素融合，特定要素保留”的業(yè)務整合方法，對照風險管理與合規(guī)管理國家標準，運用“打補丁”方法查缺補漏、建立一套“大標準”，對內部管理標準進行補充修改和完善，使其滿足國家標準要求，避免新建難以執(zhí)行的制度，以避免“兩張皮”，杜絕“紙面管理”，提升融合管理體系的適用性、有效性和可操作性。同時，由于兩項管理標準關注領域和要求不一致，在進行簡化和合并成“大標準”的同時，要充分考慮合并后“大制度”的可操作性，以及不同層級的管理人員和操作人員對具體工作要求、標準的熟悉和工作調整的需求。進行融合的工具表見表1。

從企業(yè)員工視角，無需了解具體國家標準的規(guī)定，只需要執(zhí)行“大標準”，就能滿足國家標準的要求及公司內部管理要求，真正做到制度融合。

3.2.3 強化“大標準”執(zhí)行力

標準的生命在于執(zhí)行，通過三種方式提升執(zhí)行力。一是“信息化”強迫執(zhí)行，利用先進的信息化管理平臺，將“大標準”規(guī)定的措施固化在各業(yè)務系統(tǒng)中，提升風險防控措施的剛性執(zhí)行，使得員工必須執(zhí)行、無路可繞。二是“幫助化”解惑執(zhí)行，加強對“大標準”執(zhí)行的培訓和宣講，同時在信息系統(tǒng)中提供“大標準”各項風險防控管理措施的操作說明，幫助員工正確執(zhí)行。三是“考核化”引導執(zhí)行，加強對“大標準”規(guī)定是否有效執(zhí)行的考核和監(jiān)督，用績效掛鉤的方式，引導員工主動執(zhí)行制度，提升風險防控能力。

3.2.4 持續(xù)監(jiān)控和復審優(yōu)化融合管理的效果

兩項國家標準均按照PDCA循環(huán)的思路建設，持續(xù)監(jiān)控和復審是必要的措施。通過開展日常監(jiān)督檢查與專項監(jiān)督檢查相關活動，負責對標準要求落實情況進行監(jiān)督。需要強調的是，GB/T 35770—2022《合規(guī)管理體系要求及使用指南》是可以用于認證的標準，可通過貫標認證工作，由認證機構開展認證審查及年度復審，以外部專家視角為融合管理的持續(xù)優(yōu)化提供更有效的幫助。

4 結語

本文提出了企業(yè)對標風險管理、合規(guī)管理國家標準進行融合管理的優(yōu)勢，并提出具體的融合模型及措施。融合管理是一項復雜的工程，需要管理層的決心、資源的投入、組織體系的保障、專業(yè)人員的能力等共同配合。廣東省能源集團有限公司在這方面做出了初步的成功實踐，成功獲得ISO 37301：2021及GB/T 35770—2022國際國內“雙認證”，依法合規(guī)經營能力、風險防控能力得到顯著提升。企業(yè)應積極采用國家標準作為指導，建立和完善融合管理體系。對于未來研究，建議深入探討不同行業(yè)和規(guī)模的企業(yè)在融合管理中的特定需求和挑戰(zhàn)，以及面對人工智能等新技術的挑戰(zhàn)。

作者簡介

呂鎮(zhèn)庭，碩士研究生，經濟師，工程師，研究方向為企業(yè)合規(guī)管理、風險管理。

（責任編輯：袁文靜）