T-CCPS 0005-2024 法務、合規(guī)、內(nèi)控、風險一體化管理原則與實施指南

ICS03.080CCSA12T/CCPS2024-3-20發(fā)布2024-3-20實施前言 2規(guī)范性引用文件 3術語和定義 4組織環(huán)境 5領導作用 6策劃 7支持 8運行 9績效評價 參考文獻 I本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件中的某些內(nèi)容可能涉及專利，文件的發(fā)布機構不承擔識別專利的責任。本文件由北京一法企業(yè)管理有限公司提出。本文件由中華文化促進會歸口。本文件起草單位：北京一法企業(yè)管理有限公司、河北建設集團股份有限公司、貴州習酒股份有限公司、北京德和衡律師事務所、華博云（北京）技術有限公司、中油測井技術服務有限責任公司、法獵（北京）科技有限公司、成都產(chǎn)業(yè)投資集團有限公司、深圳市合同管理咨詢有限公司、北京首信聯(lián)合認證有限公司、上海訓大教育科技有限公司、上海英格爾認證有限公司本文件主要起草人：陶光輝、岳建明、張孝昆、李潔、陳秀玲、劉克江、馮玉晗、姜慧、劉為民、雒宏偉、劉磊、吳讓偉、楊剛、鄭崴、張元、張彤暉、孫偉搏、李慶、鄒雨庭、鄭愛玲、代曉沖、陳建、方偉、李曉烜、王紹華、董銳、周政興、于翔、黃濤、陳建明、陶慶輝、張家瑞、申源泉、張鉞、高恩、鄭水強、溫旭偉、李偉、馬曉黎、黎陽、張龍、張曉嬋0.1驅(qū)動背景中大型企業(yè)等組織為有效防控各項各類風險，持續(xù)開展法務、合規(guī)、內(nèi)控、風控等工作，但在實踐中，法務管理、合規(guī)管理、內(nèi)部控制、全面風險管理等各職能經(jīng)常處于分散管理的狀態(tài)，對組織風險管控機制整合與價值促進帶來了諸多困惑。為統(tǒng)籌發(fā)揮風險管控對組織長遠發(fā)展的推動和保障作用，提高管理效能、減少交叉重復，有必要推動構建法務、合規(guī)、內(nèi)控、風險一體化管理體系。0.2體系目的本一體化管理旨在為組織提供一個整合管理框架，幫助組織提高風險管控效率、優(yōu)化管理資源，形成統(tǒng)一的風險評估、應對、評價和監(jiān)督機制，采用系統(tǒng)的方法，實現(xiàn)法務、合規(guī)、內(nèi)控、風險“四位一體”管理。本文件規(guī)定了法務、合規(guī)、內(nèi)控、風險一體化管理基本原則，建立了法務、合規(guī)、內(nèi)控、風險一體化管理的基本模型，提供了一套有序的法務、合規(guī)、內(nèi)控、風險一體化管理操作指南。系統(tǒng)的方法，包括：——協(xié)同的管理目標；——全面的風險評估；——整合的風險管控機制；——匯編的風險管理制度；——管理控制手段的有效嵌入；——PDCA循環(huán)管理。0.3關鍵因素法務、合規(guī)、內(nèi)控、風險一體化管理體系取得成效，關鍵在于組織最高領導者的承諾與實踐。組織間各職能的分工與配合，有效的風險管控意識和文化，對各類風險的充分識別，對管控措施的整合運用等，構成一體化管理體系成功的必要因素。本文件不擬增加或改變對組織的法律法規(guī)要求。0.4文件使用本文件符合ISO對管理體系標準的要求。這些要求包括一個高階結構，相同的核心正文以及通用的術語，方便使用者同步實施多個ISO管理體系標準。本文件包括了評價符合性所需的內(nèi)容，任何有愿望的組織可通過以下方式證實符合本文件：——進行自我評價和自我聲明；——尋求組織的相關方（例如：顧客、咨詢機構），對其符合性進行確認；——尋求外部對其法務、合規(guī)、內(nèi)控、風險一體化（協(xié)同）管理進行體系認證。1法務、合規(guī)、內(nèi)控、風險一體化管理原則與實施指南本文件規(guī)定組織能夠用于提升其法務、合規(guī)、內(nèi)控、風險一體化管理績效的管理原則與實施指南。本文件可幫助組織實現(xiàn)對其法務管理、合規(guī)管理、內(nèi)部控制、風險管理等進行整合，達到1+1+1+1>4的效果。這些整合將為組織自身和利益相關方帶來價值。本文件適用于具有一定規(guī)模，需要提高風險管控效率，集中行使同類職能，加強風險管控賦能的各類集團公司、上市公司、中大型企業(yè)等組織。本文件能夠全部或部分地用于改進法務、合規(guī)、內(nèi)控、風險一體化整合管理，然而，只有當本文件的所有要求都被包含在組織的整合管理體系中且全部得到滿足，組織才能聲明自身管理體系符合本文件。2規(guī)范性引用文件下列文件（包括其更新版）中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。GB/T27914-2023風險管理法律風險管理指南GB/T35770-2022合規(guī)管理體系要求及使用指南GB/T24353-2022風險管理指南GB/T26317-2010公司治理風險管理指南BSIPAS99:2012整合管理體系的框架——通用管理體系要求的規(guī)范COSO2013內(nèi)部控制整合框架3術語和定義下列術語和定義適用于本文件。3.1與領導作用有關的術語3.1.1管理體系managementsystem組織(見3.1.2)用于建立方針、目標(見3.2.6)以及實現(xiàn)這些目標的過程(見3.3.4)的相互關聯(lián)或相互作用的一組要素。注1：一個管理體系可關注一個或多個領域（例如：質(zhì)量、環(huán)境、職業(yè)2注2：管理體系的范圍可能包括整個企業(yè)等組織、其特定的職能、其特定的部門或跨組織的一個或多個職能。3.1.2組織organization為實現(xiàn)目標(見3.2.6)，由職責、權限和相互關系構成自身功能的一個人或一組人。社團，或上述單位中的一部分或結合體，無論其是否具有法3.1.3最高管理者topmanagement在最高層指揮并控制組織(見3.1.2)的一個人或一組人。注2：若管理體系(見3.1.1)的范圍僅覆蓋組織的一部分，則最高管理者是指那些指揮并控制3.1.4相關方interestedparty能夠影響決策或活動、受決策或活動影響，或感覺自身受到?jīng)Q策或活動影響的個人或組織(見3.1.2)。注：相關方可包括顧客、社區(qū)、供方、監(jiān)管部門、非政府企業(yè)3.1.5治理機構governingbody對組織（見3.1.2）的活動、治理、方針負有最終責任和權力的一個人或一組人，最高管理者（見3.1.3）向其報告并對其負責。注2：治理機構可能包括但不限于董事會、董事會委員3.1.6一體化integration將兩個或兩個以上的不相同或不協(xié)調(diào)的事項，采取適當?shù)姆绞?，將其融合為一個整體，形成協(xié)同效應，以實現(xiàn)組織目標的一項措施。3.2與策劃有關的術語3.2.1內(nèi)控internalcontrol組織內(nèi)實現(xiàn)控制目標的過程。3.2.2風險risk不確定性對目標的影響。33.2.3合規(guī)compliance履行組織的全部合規(guī)義務(見3.2.4)3.2.4合規(guī)義務complianceobligations法律法規(guī)和其他要求legalrequirementsandotherrequirements（許用術語）組織(見3.1.2)應遵守的法律法規(guī)要求(見3.2.5)，以及組織應遵守或選擇遵守的其他要求。注2：合規(guī)義務可能來自于強制性要求，例如：適用的法律和法規(guī)，或來自于自愿性承諾，例如：企業(yè)的和行業(yè)的3.2.5要求requirement明示的、通常隱含的或應滿足的需求或期望。注1：“通常隱含的”是指對組織(見3.1.2)和相關方(見3.1.4)而言是慣例或一般做法，所考慮的需求或期望是不3.2.6目標objective要實現(xiàn)的結果。），3.3與支持和運行有關的術語3.3.1能力competence運用知識和技能實現(xiàn)預期結果的本領。3.3.2文件化信息documentedinformation組織(見3.1.2)需要控制并保持的信息，以及承載信息的載體。——為組織管理體系運行而創(chuàng)建的信息（可能被稱為文件）；——實現(xiàn)結果的證據(jù)（可能被稱為記錄）。43.3.3外包outsource安排外部組織(見3.1.2)承擔組織的部分職能或過程(見3.3.4)。注：雖然外包的職能或過程是在組織的管理體系(見3.1.1)覆蓋范圍內(nèi)，但是外部組織3.3.4過程process將輸入轉(zhuǎn)化為輸出的一系列相互關聯(lián)或相互作用的活動。3.4與績效評價和改進有關的術語3.4.1審核audit獲取審核證據(jù)并予以客觀評價．以判定審核準則滿足程度的系統(tǒng)的、獨立的、形成文件的過程(見3.3.4)。注1：內(nèi)部審核由組織(見3.1.2)自行實施執(zhí)行或由外部注3：審核應由與被審核活動無責任關系、無偏見和無利益沖突的人員進3.4.2符合conformity滿足要求(見3.2.5)。3.4.3不符合nonconformity未滿足要求(見3.2.5)。注：不符合與本文件要求及組織(見3.1.2)自身規(guī)定的附加的合規(guī)管理體系(見3.3.4.4糾正措施correctiveaction為消除不符合(見3.4.3)的原因并預防再次發(fā)生所采取的措施。3.4.5持續(xù)改進continualimprovement不斷提升績效(見3.4.9)的活動。53.4.6有效性effectiveness實現(xiàn)策劃的活動和取得策劃的結果的程度。3.4.7監(jiān)視monitoring確定體系、過程(見3.3.4)或活動的狀態(tài)。3.4.8測量measurement確定數(shù)值的過程(見3.3.4)。3.4.9績效performance可度量的結果。注2：績效可能與活動、過程(見3.3.4)、產(chǎn)品（包括服務）、體系或組織(見3.4組織環(huán)境4.1理解組織及其環(huán)境組織應確定與其宗旨、業(yè)務和管理相關并影響其實現(xiàn)法律合規(guī)管理、內(nèi)控風險管理效果等外部和內(nèi)部因素。這些因素應包括受組織影響的或能夠影響組織的內(nèi)外環(huán)境狀況。組織對這些外部和內(nèi)部因素的相關信息，持續(xù)進行監(jiān)視和評審。注1：考慮來自與國際、國內(nèi)、各地區(qū)的各種法律法規(guī)、技術、市場、文化、社會和經(jīng)濟環(huán)境的因素，有助于理解外部環(huán)境;考慮與組織的價值觀、文化、知識和績效等有關的4.2理解相關方的需求和期望組織應明確：a)與法務管理、合規(guī)管理、內(nèi)部控制、風險管理等及一體化管理有關的相關方；b)相關方的有關需求和期望；c)相關方的職責分工、關系界定及管理要求。4.3確定一體化管理范圍組織應確定法務、合規(guī)、內(nèi)控、風險一體化管理的目標、主線、內(nèi)容與邊界，以確定其建設范圍。6確定范圍時組織應考慮：a)4.1所提及的內(nèi)、外部因素；b)4.2所提及的相關方的需求；c)4.2所提及的法務、合規(guī)、內(nèi)控、風險一體化管理要求。4.4一體化管理體系及其過程為實現(xiàn)預期結果，提升法務、合規(guī)、內(nèi)控、風險一體化管理績效，組織應根據(jù)本文件的要求建立、實施、保持并持續(xù)改進法務、合規(guī)、內(nèi)控、風險一體化管理體系，包括所需的過程及其相互作用。4.4.1組織建立并保持法務、合規(guī)、內(nèi)控、風險一體化管理體系時，宜考慮在4.1和4.2中所獲得的知識，嵌入在4.1和4.2過程中所提出的要求。4.4.2組織應確定法務、合規(guī)、內(nèi)控、風險一體化管理體系所需的過程及其在整個組織的應用，且應：a)確定這些過程所需的輸入和期望的輸出；b)確定這些過程的順序和相互作用；c)確定和應用所需的準則和方法（包括監(jiān)視、測量和相關績效指標），以確保這些過程的有效運行和控制；d)確定這些過程所需的資源并確保其可獲得；e)分配這些過程的職責和權限；f)按照6.1的要求應對風險和機遇；g)評價這些過程，實施所需的變更，以確保實現(xiàn)這些過程的預期結果；h)改進這些過程。5領導作用5.1領導作用與承諾5.1.1治理機構和最高管理者治理機構和最高管理者應通過下述方面證實其在法務、合規(guī)、內(nèi)控、風險一體化管理方面的領導作用和承諾：7a)對法務、合規(guī)、內(nèi)控、風險一體化管理的有效性負責；b)確保建立法務、合規(guī)、內(nèi)控、風險一體化管理方針，明確一體化管理目標，并確保其與組織的戰(zhàn)略方向相一致；c)確保將法務、合規(guī)、內(nèi)控、風險一體化管理要求融入組織的業(yè)務過程；d)確保可獲得法務、合規(guī)、內(nèi)控、風險一體化管理所需的資源；e)確保法務、合規(guī)、內(nèi)控、風險一體化管理溝通有效并得到充分重視；；f)確保法務、合規(guī)、內(nèi)控、風險一體化管理實現(xiàn)其預期結果；g)指導并支持員工對法務、合規(guī)、內(nèi)控、風險一體化管理的有效性做出貢獻；h)促進適用過程方法和基于風險導向的思維；i)促進持續(xù)改進；j)支持其他相關管理人員在其職責范圍內(nèi)證實其領導作用。5.1.2組織機構一體化治理機構和最高管理者應通過確保以下方面得到實施：a)治理機構協(xié)同化。董事會是法務、合規(guī)、內(nèi)控、風險一體化管理的領導機構，總經(jīng)理和經(jīng)營層是執(zhí)行機構。董事長、黨組織負責人、總經(jīng)理按照各自職責承擔一體化管理的第一責任；b)管理機構一體化。組織設立法務合規(guī)內(nèi)控風險職責統(tǒng)一的職能部門，或者承擔不同職責的部門由同一個組織層面的領導分管，或者建立部門層面的聯(lián)席會議機制；c)崗位職責一體化。組織在同一個部門下設一體化的法務、合規(guī)、內(nèi)控、風險崗位，或者對分處不同部門的法務合規(guī)內(nèi)控風險崗位在職責分工、知識結構、教育背景等方面提出一體化的要求；d)組織應在其內(nèi)部各個層級建立、維護并推廣法務、合規(guī)、內(nèi)控、風險一體化管理文化。5.2一體化管理方針5.2.1治理機構和最高管理者應在界定的一體化管理范圍內(nèi)建立、實施并保持法務、合規(guī)、內(nèi)控、風險一體化管理方針，該方針應：a)適合于組織的宗旨和所處的環(huán)境，包括其活動、產(chǎn)品和服務的性質(zhì)、規(guī)模和環(huán)境影響；b)為制定法務、合規(guī)、內(nèi)控、風險一體化管理方針目標提供指引；c)包括法務、合規(guī)、內(nèi)控、風險一體化管理的承諾；d)包括持續(xù)改進整合管理體系以提升法務、合規(guī)、內(nèi)控、風險一體化績效的承諾。5.2.2溝通一體化管理方針8組織法務、合規(guī)、內(nèi)控、風險一體化管理方針應：a)以文件化信息的形式予以保持；b)在組織內(nèi)得到溝通；c)可為相關方獲取。5.3角色、職責和權限治理機構和最高管理者應確保在組織內(nèi)部分配并溝通一體化管理相關角色的職責和權限。治理機構和最高管理者應對下列事項分配職責和權限：a)確保法務、合規(guī)、內(nèi)控、風險一體化管理符合本文件的要求；b)可獲得組織法務、合規(guī)、內(nèi)控、風險一體化管理的績效報告；c)治理機構應對最高管理者運行法務、合規(guī)、內(nèi)控、風險一體化管理體系進行監(jiān)督；d)最高管理者為建立、制定、實施、評價、維護和改進法務、合規(guī)、內(nèi)控、風險一體化管理體系提供資源，并將其與員工績效考核掛鉤。6策劃6.1應對風險和機遇的策劃6.1.1總則組織應建立、實施并保持滿足6.1.1～6.1.3的要求所需的過程。策劃法務、合規(guī)、內(nèi)控、風險一體化管理時，組織應考慮：a)4.1所提及的因素；b)4.2所提及的要求；c)法務、合規(guī)、內(nèi)控、風險一體化管理范圍；d)6.1.2中包括的義務、規(guī)范、準則以及與4.1和4.2中識別的其他因素和要求等所需要應對的風險和機遇，以：——確保法務、合規(guī)、內(nèi)控、風險一體化管理能夠?qū)崿F(xiàn)其預期結果；——預防或減少不期望的影響，增強有利影響；——實現(xiàn)持續(xù)改進。組織應確定其法務、合規(guī)、內(nèi)控、風險一體化管理范圍內(nèi)的潛在緊急情況，包括那些可能具有影響的潛在緊急情況。組織應保持以下內(nèi)容的文件化信息：9——需要應對的風險和機遇；——6.1.1～6.1.3中所需的過程，其詳盡程度應使人確信這些過程能按策劃得到實施?！M織應通過強化信息化建設和數(shù)字化轉(zhuǎn)型，為法務、合規(guī)、內(nèi)控、風險一體化管理提供保障。6.1.2合規(guī)義務、內(nèi)控規(guī)范與風險準則組織應：a)確定并獲取與其業(yè)務有關的合規(guī)義務、內(nèi)控規(guī)范與風險準則；b)確定如何將這些合規(guī)義務、內(nèi)控規(guī)范與風險準則應用于組織；組織應保持其合規(guī)義務、內(nèi)控規(guī)范與風險準則的文件化信息。6.1.3措施的策劃組織應策劃：a)采取相應措施管理并定期更新維護其重要合規(guī)義務、內(nèi)控規(guī)范與風險準則，以及6.1.1所識別的風險和機遇。b)如何在其法務、合規(guī)、內(nèi)控、風險一體化管理過程中或其業(yè)務過程中，融入并實施這些措施；c)評價這些措施的有效性（見9.1）。當策劃這些措施時，組織應考慮其可選技術、財務和經(jīng)營要求。6.2一體化管理目標及其實現(xiàn)的策劃6.2.1組織應針對其相關職能，建立法務、合規(guī)、內(nèi)控、風險一體化管理目標。組織法務、合規(guī)、內(nèi)控、風險一體化管理目標應：a)與法務、合規(guī)、內(nèi)控、風險一體化管理方針一致；b)可測量；c)得到監(jiān)視；d)予以溝通；e)適當時予以更新。組織應保持法務、合規(guī)、內(nèi)控、風險一體化管理目標的文件化信息。6.2.2組織應在一體化管理目標的引導下，明確法務、合規(guī)、內(nèi)控、風險一體化管理原則。組織法務、合規(guī)、內(nèi)控、風險一體化管理原則包括：a)以風險為導向；b)遵循業(yè)務規(guī)律；c)效率、合規(guī)與風控并進。6.2.3策劃如何實現(xiàn)法務、合規(guī)、內(nèi)控、風險一體化管理目標時，組織應確定：a)要做什么；b)需要什么資源；c)由誰負責；d)何時完成；e)如何評價結果，包括用于監(jiān)視實現(xiàn)其可測量的法務、合規(guī)、內(nèi)控、風險一體化管理目標的進程所需的參數(shù)（見9.1.1）。組織宜考慮如何能將實現(xiàn)法務、合規(guī)、內(nèi)控、風險一體化管理目標的措施融入其業(yè)務過程。6.3變更的策劃當組織確定需要對法務、合規(guī)、內(nèi)控、風險一體化管理進行變更時，變更應按所策劃的方式實施（見4.4）組織宜考慮：a)變更目的及其潛在后果；b)法務、合規(guī)、內(nèi)控、風險一體化管理體系的完整性；c)資源的可獲得性；d)職責和權限的分配或再分配。7.1資源組織應確定并提供建立、實施、保持和持續(xù)改進法務、合規(guī)、內(nèi)控、風險一體化管理所需的資源。7.2能力組織應：a)確定對法務、合規(guī)、內(nèi)控、風險一體化管理績效的具有影響的人員所需的能力；b)基于適當?shù)慕逃⑴嘤柣蚪?jīng)歷，確保這些人員是能勝任的；c)確定與其重要業(yè)務事項和法務、合規(guī)、內(nèi)控、風險一體化管理相關的培訓需求；d)適用時，采取措施以獲得所必需的能力，并評價所采取措施的有效性。組織應保留適當?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)。7.3意識組織應確保在其控制下工作的人員意識到：a)法務、合規(guī)、內(nèi)控、風險一體化管理方針；b)與他們的工作相關的重要業(yè)務事項和相關的實際或潛在的影響；c)對組織法務、合規(guī)、內(nèi)控、風險一體化管理有效性的貢獻；d)不符合法務、合規(guī)、內(nèi)控、風險一體化管理要求的后果。7.4溝通7.4.1總則組織應建立、實施并保持與法務、合規(guī)、內(nèi)控、風險一體化管理有關的內(nèi)部與外部信息溝通所需的過程，包括：a)信息溝通的內(nèi)容；b)信息溝通的時機；c)信息溝通的對象；d)信息溝通的方式。策劃信息溝通過程時，組織應：——應遵守其法務、合規(guī)、內(nèi)控、風險一體化管理要求；——確保所交流的法務、合規(guī)、內(nèi)控、風險一體化管理形成的信息一致且真實可信；組織應對其法務、合規(guī)、內(nèi)控、風險一體化管理相關的信息溝通做出響應。適當時，組織應保留文件化信息，作為其信息交流的證據(jù)。7.4.2信息溝通組織應：a)針對溝通需求，綜合考慮溝通的多樣性和障礙；b)確保溝通中考慮利益相關方的意見；c)確保人員能在溝通過程中提出疑慮；d)確保其信息交流溝通過程使在其控制下工作的人員能夠為持續(xù)改進做出貢獻；e)在組織各職能就法務、合規(guī)、內(nèi)控、風險一體化管理相關信息的信息溝通，適當時，包括交流法務、合規(guī)、內(nèi)控、風險一體化管理的變更；f)通過其建立的溝通過程，對外溝通包括法務、合規(guī)、內(nèi)控、風險一體化管理文化、目標和要求在內(nèi)的與法務、合規(guī)、內(nèi)控、風險一體化管理相關的信息。7.5文件化信息7.5.1總則組織法務、合規(guī)、內(nèi)控、風險一體化管理應包括：a)本文件要求的文件化信息；b)組織確定的實現(xiàn)法務、合規(guī)、內(nèi)控、風險一體化管理有效性所必需的文件化信息。注：不同組織的法務、合規(guī)、內(nèi)控、風險一體化管理文件化信息的復雜程度7.5.2創(chuàng)建和更新創(chuàng)建和更新文件化信息時，組織應確保適當?shù)模篴)標識和說明（例如：標題、日期、作者或參考文件編號）；b)形式（例如：語言文字、軟件版本、圖表）和載體（例如：紙質(zhì)的、電子的）；c)評審和批準，以確保適宜性和充分性。7.5.3文件化信息的控制組織法務、合規(guī)、內(nèi)控、風險一體化管理及本文件要求的文件化信息應予以控制，以確保其：a)在需要的時間和場所均可獲得并適用；b)得到充分的保護（例如：防止失密、不當使用或完整性受損）。為了控制文件化信息，組織應進行以下適用的活動：——分發(fā)、訪問、檢索和使用；——存儲和保護，包括保持易讀性；——變更的控制（例如：版本控制）；——保留和處置。組織應識別其確定的法務、合規(guī)、內(nèi)控、風險一體化管理策劃和運行所需的來自外部的文件化信息，適當時，應對其予以控制。8運行8.1運行策劃和控制法務、合規(guī)、內(nèi)控、風險一體化管理是在界定四者關系的基礎上，以業(yè)務事項為對象，以對各類風險的預防、控制與應對為主線，進行多層級多方面的協(xié)同管理，包括：組織職責、管理制度、管控措施及評價機制等多方面的一體化。8.1.1組織應明確法務管理、合規(guī)管理、內(nèi)部控制、風險管理之間的關系，發(fā)揮四者各自的獨特價值。用法律作為一種手段，最大化組織合法權益通過制度與流程控制，提高組織管理效率與效益保證組織對法律法規(guī)、監(jiān)管政將風險控制在與目標相適應并可承受的范圍內(nèi)圖1法務管理、合規(guī)管理、內(nèi)部控制、風險管理的關系圖8.1.2一體化組織職責組織對其法務管理、合規(guī)管理、內(nèi)部控制、風險管理等組織或部門進行梳理，在頂層結構上形成合規(guī)內(nèi)控風險委員會，對分散的職責進行統(tǒng)籌，有效整合相關職責工作，并配備相應能力的人員。這些整合的職責包括但不限于：a)法律合規(guī)咨詢；b)法律合規(guī)審查；c)項目法律合規(guī)支持；d)合規(guī)管理制度；e)合規(guī)管控機制；f)部門權責清單；g)內(nèi)部控制流程；h)風險管理策略；i)訴訟仲裁案件；j)風險管控措施。8.1.3一體化管理制度組織應對其法務管理、合規(guī)管理、內(nèi)部控制、風險管理的規(guī)章制度進行整合。制度可以匯編成冊，也可單獨成冊，但應統(tǒng)一梳理、避免沖突和重復。8.1.3.1規(guī)章制度自身應是合法合規(guī)合理的。8.1.3.2對于已有法務、合規(guī)、內(nèi)控、風險相關的規(guī)章制度，宜制定關于這四類制度如何一體化的制度，或者用制度的使用說明來統(tǒng)籌各項分散的制度。8.1.4一體化管控措施組織在整合法務管理、合規(guī)管理、內(nèi)部控制、風險管理等管控機制時，可用的機制包括但不限于一體化的風險評估、組織層和業(yè)務層及項目層的風險應對，以及崗位層的風險應對。8.1.4.1風險評估宜對多項風險同時進行評估，包括法務風險、合規(guī)風險、內(nèi)控風險以及外部風險等，且應以組織的經(jīng)營管理行為或過程為對象。風險評估之后，宜形成全面風險數(shù)據(jù)庫具體的經(jīng)營管理行為過程，包括但不限于：a)投資過程；b)銷售過程；c)采購過程；d)研發(fā)過程；e)運營過程；f)戰(zhàn)略管理過程；g)資產(chǎn)管理過程；h)工程建設過程；i)合同管理過程；j)人力資源管理過程；k)行政管理過程；l)財務管理過程；m)信息管理過程。8.1.4.2組織級風險應對主要體現(xiàn)在對風險管控的意識、理念與文化宣傳之上。a)理念應是全面風險管控的理念，對各類風險均應建立起相關的意識，并持續(xù)宣傳。b)文化應是強調(diào)風險對組織的生存和發(fā)展的持續(xù)影響，主要是消極層面的。文化控制應作為組織文化的一部分。c)宣傳應是加強對全體員工的培訓和宣貫，應全面且針對具體問題而制定，宜與風險評估的結果關聯(lián)起來。8.1.4.3業(yè)務級和項目級風險應對主要體現(xiàn)為業(yè)務部門或組織項目策劃針對性風險管控措施，包括具體的制度、流程和機制。通常是通過在經(jīng)營管理的某個環(huán)節(jié)置入控制節(jié)點，以達到對業(yè)務層和項目層風險的統(tǒng)一控制。風險管控手段包括但不限于：a)事前審查；b)強制咨詢；c)聯(lián)席會議；d)檢查或抽查；e)風險主題例會；f)績效考評；g)標準化指引文件。8.1.4.4崗位級風險應對主要體現(xiàn)為對崗位的風險管控職責予以明確并與崗位績效關聯(lián)的管控措施。包括但不限于：a)崗位合規(guī)內(nèi)控職責信息卡；b)崗位權責表；c)崗位風險跟蹤；d)基于崗位的風險培訓。8.1.5一體化評價機制組織應對法務、合規(guī)、內(nèi)控、風險一體化管理的設計與執(zhí)行有效性進行統(tǒng)一評價。評價結果宜與組織績效考核掛鉤。評價的指標，可以是合一的，也可以是分別設計的，但應在同一標準上進行設置。8.1.5.1評價指標的設計，可采用累計制，也可采取扣分制。8.1.5.2對于法務、合規(guī)、內(nèi)控、風險進行一體化管理的實施成熟度，宜納入評價指標。8.2現(xiàn)狀評估組織在建立法務、合規(guī)、內(nèi)控、風險一體化管理體系之前，宜對其法務管理、合規(guī)管理、內(nèi)部控制、風險管理以及一體化管理的現(xiàn)狀等進行評估。8.2.1評估內(nèi)容8.2.1.1組織應對外部環(huán)境進行掃描。組織宜通過對所在政治經(jīng)濟環(huán)境、所在行業(yè)、商業(yè)模式、合作伙伴、所在社區(qū)等情況進行掃描，完成對外部環(huán)境的歸納。8.2.1.2組織內(nèi)部管理環(huán)境的剖析。組織宜對公司的組織結構、授權體系、治理模式、管控模式、業(yè)務流程、組織文化等情況進行剖析，完成對內(nèi)部環(huán)境的剖析。8.2.2評估方法a)訪談法；b)問卷法；c)研討會法；d)資料閱讀法；e)網(wǎng)絡調(diào)研法；8.2.3評估報告組織應保留對法務、合規(guī)、內(nèi)控、風險一體化管理的現(xiàn)狀評估報告，作為下一步工作的基礎。8.2.3.1對于一體化管理現(xiàn)狀的評估報告中提及的問題，應制定程序，以保證其在后續(xù)一體化管理中得到適宜的解決。8.2.3.2一體化管理現(xiàn)狀評估報告宜定期、持續(xù)更新。8.3建立管理模型8.3.1考慮因素一體化管理體系的實施方案應分析相關因素包括：a)一體化的管理職能；b)一體化的管理制度；c)一體化的管理工作機制；d)一體化的管控文化。8.3.2管理模型組織可根據(jù)8.1和8.2所述，進一步搭建適宜的法務、合規(guī)、內(nèi)控、風險一體化管理模型。一體化管理目標一體化管理目標：效率、合規(guī)與風控并進風險內(nèi)控部門合規(guī)內(nèi)控風險管理委員會風險內(nèi)控部門合規(guī)內(nèi)控風險管理委員會法務合規(guī)部門法務合規(guī)部門以業(yè)務事項為對象以業(yè)務事項為對象一體化風險評估合規(guī)監(jiān)督合規(guī)監(jiān)督風險權衡法務賦能各有側重各有側重制衡一體化管控機制一體化管控機制一體化管理辦法一體化管理辦法圖2法務、合規(guī)、內(nèi)控、風險一體化管理模型圖a)管理模型可以是有形的，也可以是無形的。b)管理模型體現(xiàn)組織對法務、合規(guī)、內(nèi)控、風險一體化管理的實施指導。c)管理模型應包括法務管理、合規(guī)管理、內(nèi)部控制和風險管理的共通內(nèi)核，并區(qū)分其各自側重點。8.4一體化管理運行組織對法務管理、合規(guī)管理、內(nèi)部控制、風險管理進行統(tǒng)籌及整合（一體化管理應根據(jù)組織的業(yè)務、管理與風險三方面特點，突出法務、合規(guī)、內(nèi)控、風險四個子項各自價值，完成職責、制度、機制、評價的協(xié)同運行，發(fā)揮1+1+1+1>4的價值。8.4.1職能協(xié)同a)組織應在既有職能上，統(tǒng)籌安排法務管理、合規(guī)管理、內(nèi)部控制、風險管理的崗位職責；b)組織應將四者的職能安排到一個管理部門之內(nèi)或者在四者專項職能之上，考慮安排一個統(tǒng)一的管理高層，并在董事會層面有所體現(xiàn)。8.4.2制度協(xié)同a)組織應梳理法務、合規(guī)、內(nèi)控、風險相關制度，將有關制度進行整合，或考慮制定專門的法務、合規(guī)、內(nèi)控、風險一體化管理制度。b)組織應建立制度協(xié)同的定期檢查過程，包括對制度的監(jiān)督實施。8.4.3機制協(xié)同a)組織既有法人治理和集團管控模式應支持一體化管理機制；b)組織應根據(jù)法務管理、合規(guī)管理、內(nèi)部控制、風險管理的不同側重點，建立四者同時統(tǒng)籌運行機制；c)統(tǒng)籌運行機制應同時考慮法務支持效率最大化、合規(guī)底線監(jiān)督、內(nèi)控有效制衡和風險適當權衡；具體機制包括但不限于：1）一體化的審查；2）一體化的檢查；3）一體化的調(diào)查；4）全面風險監(jiān)測與預警；5）統(tǒng)一清單管理。8.4.4評價協(xié)同a)組織宜根據(jù)法務、合規(guī)、內(nèi)控、風險各自側重點，評價一體化管理體系運行的有效性：1）法務評價，側重于支持效率；2）合規(guī)評價，側重于底線堅守；3）內(nèi)控評價，側重于流程控制；4）風險評價，側重于權衡判斷。b）評價協(xié)同，宜同時考慮四者價值觀的平衡，且納入統(tǒng)一評價過程。8.5控制程序組織宜建立統(tǒng)一的控制程序運行法務、合規(guī)、內(nèi)控、風險的一體化管理體系，包括：a)職責協(xié)同效果；b)風險清單更新；c)風險應對措施；d)體系成熟度評價等子過程。8.6一體化管理體系文件8.6.1組織可建立一體化的管理體系文件，將法務管理手冊、合規(guī)管理手冊、內(nèi)部控制手冊、風險管理手冊作為其組成部分，并對統(tǒng)一的管理體系文件進行宣傳和推廣。8.6.2一體化管理體系文件內(nèi)容包括：a)一體化管理基本原則；b)一體化管理組織架構；c)風險評估形成的全面風險數(shù)據(jù)庫；d)法務管理策略；e)合規(guī)管理制度；f)內(nèi)控管理流程與權限；g)風險管理策略；h)一體化管理成熟度評價；i)一體化管理培訓；j)一體化管理文化。8.7一體化管理保障8.7.1信息化手段的運用組織應通過信息化建設，為一體化管理提供技術保障。8.7.2必要保障組織應在機構、人員、經(jīng)費、技術等方面為一體化管理工作提供必要條件，保障相關工作有序開展。8.7.3文化保障組織應通過高層帶頭落實、風險綜合管控承諾、宣傳培訓、績效考核、違規(guī)處置等，建立和運行一體化的風險管控理念，培植一體化價值觀，形成一體化運行的良好氛圍。8.8一體化與獨立性保持8.8.1發(fā)揮法務、合規(guī)、內(nèi)控、風險的各自獨立價值組織在一體化管理框架下，鼓勵發(fā)揮法務、合規(guī)、內(nèi)控、風險各自的獨立價值。8.8.2一體化與獨立性的統(tǒng)籌組織法務、合規(guī)、內(nèi)控、風險一體化運行，是對原有體系的統(tǒng)籌和提升，不宜為追求形式上一致而忽視其原有價值。9績效評價9.1監(jiān)視、測量、分析和評價9.1.1總則組織應確定：a)需要監(jiān)視和測量的內(nèi)容；b)適用時的監(jiān)視、測量、分析與評價的方法，以確保有效的結果；c)何時實施監(jiān)視和測量；d)何時分析和評價監(jiān)視和測量的結果。組織應評價其法務、合規(guī)、內(nèi)控、風險一體化管理績效。組織應就有關法務、合規(guī)、內(nèi)控、風險一體化管理績效的信息進行內(nèi)部和外部信息交流。組織應保留適當?shù)奈募畔?，作為監(jiān)視、測量、分析和評價結果的證據(jù)。9.1.2有效性評價組織應建立、實施并保持評價其一體化管理狀況所需的過程。組織應：a)確定實施一體化管理有效性評價的頻次；b)評價合法合規(guī)合理性，需要時采取措施；組織應保留文件化信息，作為有效性評價結果的證據(jù)。9.2內(nèi)部審核9.2.1總則組織應按計劃的時間間隔實施內(nèi)部審核，以提供關于法務、合規(guī)、內(nèi)控、風險一體化管理體系的信a)是否符合