1、法务、合规、内控、风险一体化管理操作指引随着企业对法治管理、重大风险预防、长期主义等的追求或要求不断加深,法务管理、合规管理、内部控制与风险管理(以下简称为“法务、合规、内控、风险”)的协同运作成为企业的必然。协同运作,也被称为“法务、合规、内控、风险一体化管理”(以下简称为“一体化管理”)。本指引旨在为企业法务、合规、内控、风险一体化管理提供一套实用的操作步骤。在基本理念、体例结构等方面,部分参考了中华文化促进会2024年3月20日颁布的团体标准法务、合规、内控、风险一体化管理原则与实施指南(编号:T/CCP0005-2024)以及英国标准协会BSI颁布的标准规范PAS99:2012整合管理
2、体系框架通用管理体系要求的规范。本指引由一法管理创始人暨龙疆合规负责人陶光辉律师作为执笔人,基于一法管理及龙疆合规团队多个法务、合规、内控、风险一体化管理项目经验,采取以业务理解为前提,以风险评估为主线,以差别管控为原则的总体思路,创建了一套“3原则-4阶段-7环节-28事项”的一体化管理实战模型,为广大企业的一体化建设实践提供有益参考。1.一体化管理概述1. 1法务、合规、内控、风险一体化管理是央国企、集团公司、上市公司等在整理和统筹其已有的法务管理工作、合规管理工作、内部控制工作以及风险管理工作的基础上,出于减少交叉重复、提高管理效能等目的,主动开展的整合有关部门职责、规章制度、管控机制以
3、及管控文化等的一种管理过程。L2一体化管理建设指引是基于企业角度,参考国际、国内相关标准、规范或模型,将大型企业法务、合规、内控、风险一体化管理建设过程分为若干个阶段、环节,在深刻理解公司业务与管理需求的基础上,全面了解已有法务管理、合规管理、内部控制管理以及风险管理的工作现状,聚焦如何减少交叉重复,提升管理效率,提高管理效能的方法和技术,以达到助推企业更精准防控风险,更有效应对风险的最终目的。1.3一体化管理建设操作指引所包含的操作步骤,必须依据企业的现状与需求而定。一法管理创始人陶光辉律师基于现有实践,总结团队项目案例经验,整理出一套普遍适用于大型企业的法务、合规、内控、风险一体化管理建设
4、三原则、四阶段、七环节以及三十事项。2. 一体化管理“3原则”2.1 据实原则。一体化管理不是一种全新的管理,而是在已有的法务管理、合规管理、内部控制管理和风险管理等基础上进行的。不同的企业,在已有的这几方面管理工作的成熟度是不同的。一体化管理,首先需要判断和描述这几方面工作的现有情况,其实施开展应建立在该四个方面管理现状的基础之上的。2.2求同原则。一体化管理建设是将已有的法务管理、合规管理、内部控制管理和风险管理工作进行统筹,这几方面工作仍将继续存在,因为其有共同的功能定位一一风险管控。这项本质,不因一体化而消灭或相互沦为其他工作的附属。这几方面的工作,也并非转为前后衔接关系了,而是同时以
5、单项管理体系的形式,继续整体存在。这也是为什么特定情况下称之为“协同运作”更为恰当的原因。进一步说,一体化之后的管理,其实是包含了1+4的状态。“1”是指一体化整合部分的管理内容,具体包括一体化的风险评估、一体化的组织职责、一体化的机制设计以及一体化的新管理职责、管控机制以及管理制度。“4”是指法务管理、合规管理、内部控制、风险管理在经过一体化重整后仍应保留和存在的原管理职责、管控机制以及管理制度。一体化管理的精髓,当然是在“1”这个整合部分。2. 3存异原则。一条化管理本质虽是关于风险的管理,但基于法务管理、合规管理、内部控制管理和风险管理所面临的风险属性或风险特点不同,其具体的风险管控措施
6、还是有所区别的。据此,在实施一体化管理过程中,在强调共同的风险管控功能定位的同时,应强调这几个方面的各自侧重点。即法务管理侧重于如何最大化产生和保护公司合法权益;合规管理侧重于如何确保公司及员工能够以及必须遵守法律法规底线;内部控制侧重于如何通过设置控制节点和措施确保公司内岗位职责及业务行为受到控制目标的制约;风险管理侧重于如何权衡业务发展与风险管控的关系以确保风险在企业当前可控的范围内。3. 一体化管理“4阶段”法务、合规、内控、风险一体化管理是企业主动发起的一次管理变革过程,应当站在一个项目的视角来看。该项目,至少应包括项目目标、项目方案、项目实施、项目总结等内容。这些内容及其不断的PDC
7、A循环,组合起来便形成一体化建设指引的框架。这个框架,从项目管理角度,分为四个阶段。3.1 一体化管理现状与目标界定阶段。启动一体化管理,须做好充分的准备工作。本阶段解决的是对法务管理、合规管理、内部控制、(全面)风险管理等相关工作的现状进行描述,以及确定对这几个方面进行统筹、整合、协同的基本思路和相应实施方案的拟定。3.2 一体化管理风险与问题发现阶段。进行一体化管理,应建立在现实的问题之上。作为对风险的整合管理,一体化的前提是进行综合性质的风险评估与问题收集。这方面需要两方面的深刻理解,即对业务的理解和对什么是风险或问题的准则的理解。3. 3一体化管理风险与问题解决阶段。在建立起相对充分的
8、一体化风险数据库之后,便是风险管控措施的设计与执行。一体化管理,需要对法务、合规、内控、风险等原管控措施进行分类、整合,提炼出新的一体化管控措施,并以新的一体化管理制度文件的形式予以固化、优化。3.4一体化管理项目总结阶段。作为一项需要不断更新、不断完善的管理变革,一体化管理同其他管理变革,也必须对管理有效性进行评价。这种评价不是单一的绩效评价,而是对管理要素的整体评价。评价的方式,包括一体化管理报告和一体化管理成熟度打分等。4. 一体化管理“7环节”不同企业的一体化管理是存在差别的,原因在于各企业的法务管理、合规管理、内部控制、风险管理的现状是很不一样的。要包容这些具有不同成熟度的管理活动,
9、需要形成共通的管理要素。这便是一体化管理的实施环节。每一个“环节”,对应的是一体化管理的每一项操作,分布在四大阶段之内。4.1环节一:管理现状扫描与一体化管理策划。一体化管理是建立在不同成熟度的法务管理、合规管理、内部控制和风险管理基础上的。当前,部分企业的法务管理、风险控制工作相对成熟,部分企业的内部控制基本建立,但多数企业的合规管理才刚兴起,甚至还处于零的状态。这种现状决定了一体化管理的基本思路是“先补充、后对齐、再协同”。不仅如此,对于缺少的或不完善的管理职能,在新建体系的同时,还需要培养新建体系对应的“意识与能力”,否则也会对一体化的策划与实施产生障碍。4.2环节二:业务理解与风险一体
10、化评估。法务、合规、内控、风险等管理,都是以业务为对象的管理,故一体化管理也应当以业务为对象。鉴于一体化管理是包含了多种管理体系在内的管理,更应在深入理解业务的基础上。法务、合规、内控、风险等管理,同时又是以风险为内容的管理,因此一体化管理也须进行风险评估,而且一体化的风险评估应当把之前存在于法务管理中的法律风险评估、合规管理中的合规风险评估、内部控制中的风险评估,以及风险管理中的风险评估都包含进来,本指引起草人陶光辉律师称之为风险一体化评估1.1 3环节三:组织架构优化与风险管控职责整合。在通过风险评估,形成风险清单或风险数据库之后,接下来便是风险应对与预防等措施的设计与执行。企业管理措施的
11、设计,首先是明确各自的工作职责。职责不是简单的职责说明,而是正确组织架构中的职责。因此,一体化风险管控措施的设计要从一体化的组织架构优化开始,包括但不限于一体化风控委员会的设置、三道防线的分工、总法律顾问兼首席合规官职责的明确等。在调整与优化与风险管控组织架构的同时,进行各相关部门和岗位的风险管控职责的梳理与强调。4.4 环节四:一体化管控机制的设计与实施。增加或调整风险应对与预防措施,首先需要明确新的职责和职责分工,然后是新管控机制的设计。一体化管控机制,即一体化管理活动,是最为体现一体化管理的亮点,最为展现一体化实施的新动作。管控机制更多依据公司管理控制习惯而进行设计,其通用手段包括预警类
12、审查类、检查类、调查类、考核类、问责类等。需要强调的是,我们认为一体化管控机制应先于一体化管理制度进行设计,这与大多数人,包括一些政策文件里,所反映出的“制度先于机制”,正好相反。4.5 环节五:一体化管理制度的制定与完善。一体化管理制度,其实是一体化管控机制的制度化、文件化,为一体化管控机制的实施提供管理职责要求和其他管理依据。一体化管理制度应当规定一体化管理的整体原则、逻辑与流程。同时,在统筹法务、合规、内控、风险四者原有管理制度的同时,对原制度进行分类分级。就一体化管理制度(体系)自身完整性而言,应包括关于一体化风险评估、重点业务的一体化管理指引等。当然,作为管理体系的集大成,一体化管
13、理制度同样也可生成一体化管理手册。4. 6环节六:一体化管理意识与文化强化。一体化管理作为综合、统筹管理,同样需要企业全员的参与。在明确各部门、各岗位的一体化风险管控职责后,需要进一步强化对应的风险管控意识,具体可包括合规意识、风控意识、内控流程意识等,以及提高对应的风险管控能力。通过不断的、针对性的培训,一体化管理文化方可逐渐形成。5. 7环节七:一体化管理报告与有效性评价。一体化管理是典型的PDCA管理,需要不断改进与优化。通过整合原全面风险管理报告、内控评价报告、合规管理报告,形成综合的一体化管理报告,可以是季度简报和年度报告。对于一体化管理的有效性判断,可通过设置相关成熟度等级指标,由
14、企业自身或委托第三方进行评价,以达到增强补漏的效果。6. 一体化管理“28事项”一体化管理是持续、不断重复的管理循环。它同时是一个由外及内、由上至下,由人到物的过程。每一个循环或过程,又都是由多个事项组成。这些事项,组成了一体化管理的环节,体现了一体化管理过程中的具体管理活动。每一项具体管理活动,基本上可对应一项具体成果文件。6.1 一体化管理环境扫描与现状分析。要实施法务、合规、内控、风险一体化管理,当然首先要从当前一体化管理环境判断开始。一体化管理环境与现状,其实是综合的管理环境,包括法务管理的现状、合规管理的现状、内部控制管理的现状,风险管理的现状,以及这四项职能当前整合或协同的情况,甚
15、至存在冲突等情况的现状。对一体化管理现状进行综合分析,是确定一体化管理实施思路的前提。5.2一体化管理建设实施方案制定。一体化管理实施方案是法务、合规、内控、风险一体化管理建设的指导总纲。实施方案要明确一体化管理的建设目标及原则、建设组织职责分工以及建设主要内容、重点工作以及保障措施。作为一体化管理,须聚焦于如何实现法务、合规、内控、风险的一体化管理,而非单个职能工作的开展。就建设原则而言,一般以“合规、风控与效率并进”作为基本理念,强调风险管控与业务发展的平衡管理。5.3业务流程与管理事项分解。一体化管理和法务管理、合规管理、内控管理、风险管理等是一致的,其管理对象是业务流程和管理事项,其管
16、理客体是业务流程和管理事项中产生的各类风险,管理目标是对各类风险的有效预防、控制与应对。因此,一体化管理也是建立在对企业经营管理行为的认识之上的。实施一体化管理操作,应先对经营管理行为进行理解,特别是容易出现风险或问题的经营管理行为进行判断,其具体操作方式便是对企业的业务流程与管理事项进行分解,形成分职能(/分部门)分级的业务流程与管理事项表。5.4 一体化的风险识别。对企业的业务流程进行熟悉后,便要围绕企业的业务活动本质,结合风险准则进行风险识别。一体化的风险识别,是建立在合规风险识别、内部控制与全面风险管理中的风险评估等基础之上的。对已有风险清单进行整合、汇编,统一衡量标准,形成更加精准、
17、更为实用的风险描述列表。实践中,一体化风险识别的难点是对风险划分类型的改变,把原来全面风险管理指引对风险的分类从五分法(即战略风险、市场风险、财务风险、法律风险、运营风险)调整到更加适应一体化管理的风险分类四分法,即基于法律权益保障不力的风险(法务风险)、基于合规要求的风险(合规风险)、基于内控规范的风险(内控风险)以及基于外部环境变化产生的风险(外生风险)。按照四分法,依据对业务流程与管理事项的分解,以及对风险准则的理解,进行四类风险的辨识,最后形成一体化风险清单中的风险描述列表。5.5 一体化风险的分析、评价。在具备各业务流程与管理事项对应的风险点描述后,需要按照统一的维度对风险进行分析、
18、评价。风险分析,一般是从三个层面进行分析,即风险发生概率、风险发生影响程度以及风险形成原因这三方面。风险评价,一般是进行等级评价与等级共识工作。等级共识,是一项非常重要的沟通工作,为风险管控责任部门与风险管控资源配置提供实用场景。风险分析与评价,需要各风险一道防线部门的介入与确认,否则会造成风险牵头部门与风险防控主责部门的认知不一致,引发风险管控与风险库建设工作的脱-H-下o5.6一体化风险管理矩阵。通过一体化的风险识别、风险与评价,所形成的一体化风险清单,综合了原来的合规风险清单、全面风险清单等内容,为风险的应对提供了“靶子”。接下来,结合风险分析中的形成原因分析,配套对应的风险应对与风险预
19、防措施。一般来说,法务属性风险,对应的是法务管理相关手段;合规属性风险,对应的是合规管理相关手段;内控属性的风险,对应的是内部控制活动相关手段;外生属性的风险,对应的是风险管理策略相关手段。在一体化管理中,在一体化风险清单表格后,为不同属性的风险,提供对应属性的管控措施,从而形成一体化管理矩阵。即在定性为法务风险的后面,增加法务管理措施,在定性为合规风险的后面,增加合规管理措施。以此类推。这些管理措施是针对性的具体风险应对措施,应当体现法务管理、合规管理、内部控制、风险管理的不同侧重。5.7 一体化管理委员会组建。一般来说,在进行风险评估,形成风险清单,完成风险管理矩阵的匹配后,接下来是风险管
20、理体系的构建工作。体系构建,首先是风险管理组织建设与职责明确。同样,一体化管理在具备了一体化的风险清单和一体化的风险管理矩阵之后,需要促进一体化管理最高治理机构的产生,即一体化管理委员会的组建。实践中,一体化管理委员会的名称可能呈现多样化的特点,同时,也往往是建立在原有的风险管理委员会、内控审计管理委员会等基础之上。将原有的合规委员会、风险管理委员会等治理机构的职责进行合并,形成统一的法务合规内控风险一体化管理委员会。一体化管理委员会,作为统筹法务、合规、内控、风险管理的最高有权机构,一般作为董事会下设专业委员会,应同时制定一体化管理委员会议事规则。5.8 总法律顾问、首席合规官及首席风险官的
21、职责统筹。一体化管理委员会是一体化管理的最高治理机构,同时需要专业层面的最高管理者职责统筹。这便是总法律顾问、首席合规官、首席风险官等岗位职责进行统一。要么,这几个岗位职责由一人兼任;要么,建立特别规则,将这几个岗位的职责进行明确,理清各自边界,并统筹在一体化管理的职责体系内。5.9 一体化管理相关牵头部门的职责统筹。一体化管理,会涉及两个或多个牵头部门的职责协同。实践中,往往是法律合规部门与内控部门及风险管理部门的协同。如同专业最高管理者的职责统筹方式,要么这几个部门“合而为一”,要么这几个部门建立专门的“职责协同说明”,厘清部门职责,按一体化管理的原则以及各自管理侧重点的不同,统筹在一体化
22、管理的职责体系内。5.10业务部门作为一道防线的职责明确。各业务和职能部门,在一体化管理中仍然承担一道防线的职责。“管业务必须管合规”、“管业务必须管风险”等说法仍有必要强调,但是必须进一步调整为“管业务必须同时管风险内控合规”。一道防线的职责,在一体化管理体系中,变为同时强调其在合规管理、内部控制、风险管理等方面的主体责任。5.11审计和监察部门作为三道防线的职责明确。审计部门、纪检监察部门,在一体化管理中继续承担三道防线的职责。即对一道防线的主体责任、二道防线的牵头责任进行监督、检查,发现有违反各自职责之处,通过审计、监察工作报告指出。5.12业务部门合规内控风险管理员设置。为更好履行一道
23、防线职责,以及更好的与牵头部门进行对接,传递风险合规信息,在各业务部门和职能部门应设置专职或兼职的合规内控风险管理员。合规内控风险管理员,是在原合规管理员、内控专员、风险管理员的基础上进行升级、合并,统一履行合规内控风险管理的沟通、联络等职责。5.13岗位合规内控风险职责清单制定。为协助业务部门履行一道防线责任,将风险防控的职责真正落到岗位,有必要制定基于岗位的风险防控责任清单。在一体化管理中,将原岗位合规职责清单进行升级、优化,制定岗位合规内控风险职责清单是一大创新。该职责清单,可以针对业务部门的重点岗位,一次性明确其应遵守的合规要求、内控规范以及风险防控措施,并作为检查和考核岗位履职的依据
24、5.14一体化风险监测与预警机制设计与实施。对组织架构进行优化,对组织职责进行明确是风险管理体系构建的重要一环,接下来便是管控机制的设计与实施。在一体化管理实践中,需要对原有的各种风险管控机制进行整合、优化。风险管控应当形成闭环。闭环本身不存在起点和终点问题,但从逻辑上,基于风险的界定、辨识、应对与预防这样一个顺序,一般将风险监测与预警作为在先的管控机制。故一体化管理机制设计,首先可设计一体化风险监测与预警机制。这是依据一体化风险清单中各项风险(四大属性)的风险源,风险形成原因、风险管控措施等设置相应的监测场景,配置对应的预警阈值,制定相关风险监测和预警方案。该方案须反映针对不同的风险所设计
25、的风险监测点、风险预警指标、不同风险预警级别对应的风险应对预案等内容。5.15一体化风险管控自查机制设计与实施。作为一项风险管控机制,同时也是风险防控一道防线职责的落实,风险自查是容易被忽略,但其实是非常重要的。一体化管理建设过程中,有必要对风险自查进行优化、升级,转为对业务部门在移送相关重大事项至风险牵头部门进行审查之前,有必要就该事项的合法合规性、内控合理性、风险可控性出具自查意见。这便是一体化风险管控自查机制的设计目的o该机制的实施有赖于业务部门风险自查意愿和能力。意愿,应当依靠制度规定来强化,但能力,则必须靠风险管控牵头部门的协助、赋能及监督。5.16一体化风险内控合规审查机制设计与实
26、施。对业务事项的专业审查,一直是风险管控牵头部门的重要抓手。一体化管理,同样如此。对原有的法律审查、合规审查、风控把关等审查类工作进行统筹,形成整合的审查机制,即一体化风险内控合规综合审查。这种新审查机制,将原分散的审查程序、审查要点进行汇总,对风险的管控效果也将随着综合审查变得更加全面,效率也将得到提升。当然,正如自查对业务部门能力提出了新要求,综合审查同样对牵头部门的能力提出了更高要求。5.17一体化风险管控检查机制设计与实施。风险管控工作,必须时刻保持在线。区别于传统的法律工作的被动状态,合规管理增加了主动的监督色彩。一体化管理,吸收了合规监督的特点,将合规检查、风险排查等工作综合起来,
27、转为一体化风险管控检查,由牵头部门发起,对业务部门或子公司风险内控合规职责履行情况、风险库更新情况、风险应对措施执行情况等进行一站式检查。5.18一体化风险管控绩效考核。绩效考核是任何工作的有力抓手,风险管控工作更加如此。在原可能存在的合规考核、风控考核的基础上,综合业务部门的风险管控绩效表现,进行一体化风险管控绩效考核,即对业务部门在预防、控制与应对法务、合规、内控、外生等属性风险的综合表现,根据事先设计好的一体化风险管控考核指标进行打分,一次性评估各部门在这四个方面的管控效果。5.19一体化风险管控追责与问责。在发生法律纠纷、不合规事件、内控缺陷、风险事故等情形时,根据公司制度规定或接受举
28、报线索,有必要展开事件或事故原因调查。经过调查,公司展开追责与问责。之前可能存在单个的合规调查与追责问责,一体化管理建设中,可将单个的或分别的调查、追责、问责程序与机制进行整合,统一为一体化风险追责与问责流程。5.20一体化管理基本制度制定。对于上述设计的多项一体化风险管控机制,都应嵌入在规范的规章制度之内。也就是,任何管控机制,必须先有其管理依据。一体化管理基本制度,实践中基本上称之为一体化管理办法。该办法应在一体化风险管控机制设计后形成,而非先制定管理办法,再推出一体化管控机制。这个顺序,很多企业和服务机构都搞反了,导致所制定出来的制度,其实施性较差,便是这个道理。一体化管理办法的制定,一
29、个特别重要的地方在于如何处理与原法务、合规、内控、风险管理基本办法的关系。一般来说,有两种处理方式。一是一体化管理办法与原法务管理办法、合规管理办法、内部控制管理办法、全面风险管理办法并存,后者变为前者的二级制度。这需要对后者进行统一修改。二是原法务管理办法、合规管理办法、内部控制管理办法、全面风险管理办法被废除,全部纳入一体化管理办法及其管理细则当中。这种调整的幅度是相当大的,是一体化管理已达到非常成熟的地步方可使用。目前大多数开展一体化管理的企业,采用的是第一种处理方式。5.21一体化风险清单维护与更新细则制定。作为一体化管理的制度体系建设环节,在形成基本的一体化管理办法之后,有必要进行细
30、化,以制度细则的方式,将一体化管理所涉及的职责、风险清单、管控机制均予以规定。前述岗位合规内控风险职责清单,可以说是明确一道防线具体的合规内控风险职责的规定。对于风险清单的维护与更新,则有必要制定一体化风险清单维护与更新细则。风险清单或风险库,是风险管控的前提和基础。鉴于企业风险易改变、判断标准主客观结合等特点,有必要即时补充和修正风险清单。这项工作自然交给了业务部门和牵头部门,需要两类部门的密切配合才能完成,也即要求制定相关管理制度,对风险库维护与更新的职责分工、操作流程、工作内容、管理责任等进行详细规定。这项细则规定,在之前的全面风险管理、合规管理工作中可能较为少见,但对于一体化管理效果发
31、挥来说,可以说也是非常重要的。5.22一体化管理运行细则制定。除了对风险清单需要不断有人进行更新与维护,合规管控机制的实施,同样需要详细的工作步骤和工作职责规定作为支撑。这便是一体化管理运行细则。部分企业之前可能存在风险管理细则、合规管理细则,在实施一体化管理后,应将这些细则统筹起来,并以一体化管控机制为内核,制定各项一体化管控机制如何开展的制度,包括规定一体化风险监测与预警,一体化风险管控自查、一体化风险内控合规审查等的职责分工、操作步骤、管理要求等。本细则为一体化管控机制的具体实施提供管理依据,使得相关管控机制能够真正开展起来。5.23一体化管理考核与评价细则制定。如前述,风险管控工作离不
32、开考核。如何对部门和岗位进行考核,考核参考的标准是什么,又如何对管理工作整体进行评价,这些在管理上都需要相关制度规定。因此,作为一体化管理中一次管理循环的终点,便是制定和实施一体化管理考核与评价。该考核与评价将之前的法务绩效考核、合规考核、内控评价、风险管控评价等统筹起来,统一设置考核指标,平衡各考核要素的权重,为持续推动真正一体化提供“弹药”。5.24重点业务领域一体化管理指引编制。在一体化管理的制度体系建立与完善中,突出的一项工作是基于业务编制专项的操作指弓I。在原法务管理、合规管理等工作中,可能称之为合同管理工作手册、重点领域专项合规指引等。实施一体化管理,可基于某业务领域的“一体化要求
33、包括合规要求、内控规范、风险准则等,列明该领域可能的一体化风险,然后从职责完善、管控机制、制度条款等方面出具管控措施,以此组合形成该领域的一体化管理操作指引。一体化管理指引,是某一具体业务领域进行法务、合规、内控、风险一体化管理的汇编式管理文件,对于业务部门理解一体化管理以及牵头部门实施一体化管理协调和监督等可以起很好的指导作用。5.25法务合规内控风险一体化管理手册汇编。一体化管理同样是一项管理过程,只不过这个过程综合了之前的若干分别进行的过程。一体化管理,相比于其他管理,例如营销管理、投资管理,又是更加标准化、程序化的管理。因此,与之前合规管理、内部控制等管理过程类似,作为体现这种标准
34、化、程序化管理的最佳指导文件一一管理手册,一体化管理也可编制管理手册。法务合规内控风险一体化管理手册,是综合体现一体化管理的汇编文件。一般来说,可由五部分册组成。一是类似一体化管理总纲的文件,规定一体化管理的目标、基本原则、职责分工、管控机制、各业务领域具体一体化管理措施。从二到五便分别是法务管理分册、合规管理分册、内部控制管理分册以及风险管理分册。将原来的管理手册内容进行统筹、重述,转为一体化管理的分册之一。5.26一体化管理意识强化与文化培育。一体化管理既是新的一种有关风险的管理,也是一项常规的约束型管理。这两方面特点,都要求一体化管理的主责部门和牵头部门在企业内推动一体化管理意识的形成与
35、强化。只有形成适合本企业的一体化管理意识和氛围,才能真正推动一体化管控机制的实施,否则极容易造成一体化管理停留在纸面制度上。一体化管理文化塑造同样重要,它要求企业员工对法律法规遵从、内部管理规范遵守、外部风险警示同样重视,形成更全面、更高维度的风险合规价值观。这方面需要一个长期的过程,需要企业员工自身持续的努力。5.27一体化管理季度简报与年度报告。作为一体化管理的在后环节,在实施一体化管理过程中以及一定时间段之后,有必要定期总结一体化管理的成效,可以季度简报和年度报告体现。季度简报主要是对一体化管理的推进情况进行总结,围绕一体化管理职责落实、机制运行、制度完善等进行汇总,向一体化管理委员会进行报告,提请进行相关决策。年度报告则是对之前的风险管理报告、内部控制评价报告、合规管理报告等进行汇编,形成统一的年度一体化风险报告。5.28一体化管理有效性与成熟度评价。如前述,本指引认为,一体化管理贯彻PDCA管理原则,需要不断改进与完善。改进的基础,便在于定期对一体化管理效果和成熟度等进行评价。评价的主体可以是企业自身,也可以是外部机构。评价的内容,包含了之前的合规有效性评价、内控成熟度评价等内容。以评价促进建设,以评价提升能力,正是PDCA管理的本义,也是本操作指引发挥价值的关键。
免费区 
