文/胡曾铮 周密 唐睿 东方集团投资控股有限公司

本文由作者向无讼阅读供稿

内容摘要：

在企业的发展过程中，风险防控是一个绕不过的命题。企业风险防控体系应当分为三道防线，即“职能部门-法务部门-审计部门”，从业务操作、法律服务、审计监督三个方面建立起企业风险控制的三重防火墙。而制度建设正是第一道防线中最基础、最主要的因素，是全员参与风控的切实保障。

企业开展制度建设，需要构建一个关联的、科学的制度体系。通常来说，应包括基本制度—企业的根本大法和总纲，制度制定规范—统一制度体系的准绳，具体制度—经营管理活动的具体操作指引，主管部门--推进和落实制度建设的主导机构。此外，企业在制度建设中还应遵循合理的步骤，具体应包括前期准备、列出清单和时间表、起草和审核、发布和施行、宣讲和培训、奖励和惩罚、更新和完善等，方能建成完整、规范的制度体系，为企业的发展保驾护航。

引言

在企业的发展过程中，风险防控是一个绕不过的命题。企业发展的每个环节，每一项经济活动及经营管理决策，都有可能会涉及到各种各样的风险。从企业的产生、存续和终止全过程看，在设立时存在着申请主体和注册资金来源、出资类型选择及出资方式是否合法，业务范围是否能获得行政审批，设立程序是否合法合规等设立风险；在经营过程中存在着市场、战略、法律等运营风险；在破产、解散、合并、分立时存在着财产分配及责任认定等方面的终止风险。有些风险的发生甚至会给企业带来致命的打击。良好的风险防控有助于企业减少作出错误决策的几率，减少企业的损失。

所谓的风险防控，便是在发生风险的关键节点，设计出有效的控制方式，避免风险的实际发生，或将风险控制在可接受的范围内，以使企业持续、健康、稳定发展。

制度建设工作，在企业风险防控中占据了重要地位。

一、制度建设在企业风险控制体系中的地位

从科学、完备的角度来看，企业风险防控体系应当分为三道防线，即“职能部门-法务部门-审计部门”，从业务操作、法律服务、审计监督三个方面建立起企业风险控制的三重防火墙。

第一道防线—全员参与。风险控制不仅是管理层或某一个部门的事情，而是需全员参与实施的事项，即应让每一个部门、每一个员工均参与到企业的风险控制环节中。具体来说，确保全员参与风险控制的主要方式，包括企业文化的塑造、内部制度建设及业务流程设计。通过企业文化的培育，对每一个员工的思想和日常行为进行渗透和影响；通过内部制度的建立及业务流程的设计，确立各类事项的管理原则、审批及会签程序，明确权责分配，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，正确行使职权。

第二道防线—法务部门专业控制。法务部门作为风险控制的专业部门，其职责范围几乎覆盖企业经营管理的各个方面，从具体的合同审核到纠纷及案件处理，从细小的法律咨询到参与重大投并购项目，从制度审核、招投标项目监督到法律知识培训，等等。法务部门通过参与会议、谈判、审核法律文件等方式，提出法律意见或建议，将法律风险甚或商业风险等信息反馈至企业有关部门及管理层，以此发挥风险控制的第二道防线作用。

第三道防线—审计部门严格监督。审计部门在整个风险控制体系中的角色被定位为制度规范的监督检查者、内控优化建议的提供者、经营风险的揭示者，旨在通过强化审计部门的审计活动，发现企业管理中的漏洞和内控中的风险点，及时反馈到管理层，做股东利益、企业利益和员工利益的“守夜人”。

完备设置三道防线的企业风控体系如下图所示：

在三道防线的风险防控体系中，第一道防线是最重要的，也是风控体系能够切实形成的关键。而前文所述的制度建设，又是第一道防线中最基础、最主要的因素。由于企业全员都需处于风险防控的第一道防线，但普通员工并没有风控的专业知识和能力，因此，需要通过制度及根据制度而设置的流程，为企业的经济活动设置应当遵循的规则，使全体员工掌握机构设置、岗位职责、业务流程等情况，明确划分各部门、各员工的权责，从而使企业各项商业活动的运作有章可循。因此，制度建设是全员参与风控的切实保障。

二、制度建设体系

企业及其内部各部门开展制度建设，并非零星分散、各自为政的行为，而需要构建一个关联的、科学的制度体系，制度体系中各部分既各有分工、互不冲突又相互联系、协调配合，共同发挥作用。如同搭建一座坚固、精密的建筑物，缺少任何一部分都会造成结构和功效的缺失。

下文拟以A公司为例，探讨制度建设体系的各个构成部分。

A公司作为集团总部，系整个集团的控股、管理平台，共有11个职能部门，拥有十数家下属企业。A公司在集团核心业务发展上具有决策批准权，下属企业对日常经营活动拥有一定的自主权。A公司成立至今近十年，尚未进行体系化的制度建设工作，虽有部分制度，但并不完善，急需建立科学、合理、完整的制度体系。

通常来说，制度体系中最核心、最不可或缺的构成部分，包括基本制度、制度制定规范、具体制度、主管部门。

（一）基本制度—企业的根本大法和总纲

基本制度调整企业的组织机构和相关基本问题，用于规范企业的治理机制、股东会、董事会、监事会、管理班子的设置、各部门的权责，集团公司与下属企业的管理体系；基本制度的效力在其他制度之上，是企业设立其他制度的基础，也是企业在未来发展过程中进行制度完善的根本依据。可以说，基本制度是整个制度体系的基石，也是企业开展经营管理活动应遵循的基本总纲，企业的基本制度，类似于国家的“根本大法”。

实践中，许多企业都设置了公司章程和各部门具体管理制度，但却缺少基本制度这个根本大法，导致整体制度和流程没有体系和内在联系。因此，在制度建设体系中，首先应当明确基本制度的地位和内容。

以A公司为例，其在开展制度体系建设的过程中，首先即制定了自身的基本制度--《A公司组织权责基本规则》，如同先画出企业制度体系的蓝图，然后再在这份根本制度的基础上，细化完成每份具体制度，将每部分拼图逐一完成。

（二）制度制定规范—统一制度体系的准绳

制度体系完备的企业，应当单独设置制度制定规范，其目的在于明确制定制度的原则、制度体系的划分方式、制定制度的程序以及技术标准等，以使整个制度体系统一。制度制定规范是完成制度建设这一工程必不可少的一把“尺子”，类似于国家的“立法法”。

以A公司为例，由于各部门的各项制度均由各部门自行起草，故制度主管部门先行制定出《A公司制度制定规则》，明确了制度的体系及效力层级、命名方式、起草及审批流程、名称及格式规范等等，发送给各部门学习并安排答疑，以使各部门充分理解后以此为标准起草各部门的具体制度，保障制度体系形式、内容的统一性和规范性。

（三）具体制度—经营管理活动的具体操作指引

在基本制度和制度制定规范之外，即是由企业各部门分别起草制定的具体制度。具体制度用以规范企业具体的经营管理事项，是制度体系中最主要、最繁多的部分，详细规范了企业各项经营管理活动在相应领域内应遵循的具体规则、流程，类似于国家的“部门法”。

具体制度效力低于基本制度，但具体制度之间也存在不同的层级，有跨部门的管理制度，也有部门内部的管理制度，前者的效力高于后者。故企业在制定制度时亦应构建起各项具体制度间的清晰层次。

以A公司为例，A公司将具体制度分情况命名为“总则”、“规则”或“细则”。“总则”是适用于跨部门事项、调整特定职能领域的综合性规范性文本，如《A公司财务管理总则》；“规则”是适用于跨部门事项、调整特定职能领域中某一方面事项的规范性文本，如《A公司财务费用报销管理规则》；而“细则”则是适用于某部门内部、调整特定部门某项管理事项的规范性文本，如《A公司财务人员报销票据粘贴细则》。A公司的具体制度中亦明确规定，下属公司在制定其自身制度时应符合A公司的相应具体制度，不得与A公司的各项具体制度内容相冲突。

（四）制度主管部门—推进和落实制度建设的主导机构

制度建设应当有明确、专门的主管部门。主管部门并不需负责每项制度的具体起草和执行，亦不取代制度批准机构、制度起草机构的具体职能，但应负责整个制度工作的统筹、主导和推进，否则，制度建设工作将缺乏计划和协调，并难以落到实处。

实践中，各企业有的将行政部、办公室作为制度主管部门，有的将法务部、风控部等作为制度主管部门。以A公司为例，其在制度建设之初，即把法务部门明确为制度主管部门。

将法务部门作为制定制度的统筹部门，有其正当性和必要性。首先，法务部门作为处理企业日常问题、解决企业法律风险的主要部门，应对企业的各项经营管理活动进行全程管理，包括企业制度的制定，以从根本上减少风险的发生。其次，法务部门大多是由具有法律素养的法学专业人员组成，在制定制度中具备独特的优势。最后，由法务部门作为制定制度的统筹部门，有利于法务人员在制定过程中直接对制度进行合规性审核，既提高了制度制定的效率，也提高了制度制定的准确性和稳定性。

三、制度建设的步骤及方式

制度建设，并非简单的写制度、改制度、发布制度即可，过程也并非一蹴而就；而应设置科学合理的步骤，具体应包括前期准备、列出清单和时间表、起草和审核、发布和施行、宣讲和培训、奖励和惩罚、更新和完善等，是一个长期的过程。

以A公司为例，制度建设工作从发起到初步完成，耗时近半年，其后还需定期维护和更新。过程节点如下图所示：

下文仍将以A公司为例，探讨制度建设的各个步骤及方式。

（一）前期准备

制度建设是牵一发而动全身的工程。就像制作一件衣服需要先“量体裁衣”，制度的建设也需要先充分了解企业的实际情况。制度建设是为企业的管控目标和管控模式而服务的。不同的企业，即使都建立了较为完备的制度体系，但重点制度或具体条款也会存在差异，即大同而小异。只有在充分调研后，明确制度建设的方向和原则，才能制定出真正适合企业、行之有效的制度。并且，在制度建设正式启动之前，协调各方的利益，使制度建设成为各方的共识，也利于减少制度建设过程中的阻碍，避免制度发布后存在执行困难的问题。

以A公司为例，法务部门在前期准备阶段，即进行了大量的准备工作，包括：

深入了解企业情况：详细了解企业的日常事务，现有制度执行及流程运转情况，下属业务板块与集团公司的互动状况，等等。

与各领导、各部门轮流沟通：轮流与相关领导、各职能部门及下属业务板块主要负责人进行沟通、访谈，了解其对主要经营方向、业务情况、管控模式的想法，进行深入讨论。

搜集相关企业经验：走访相关外部企业，搜集大型企业集团的制度体系、同类业务公司的制度体系，了解其管控经验与制度建设经验，作为后续制度制定的参考。

在此阶段，最重要的一项工作是梳理权限和流程。各个企业虽不见得都有成形的制度，但一定都会有实践中运行的管理权限和流程（即使尚未书面化、体系化）。而流程可以被看作是制度的图表化、可视化和简化，制度可以看作是流程的细化和充实。故梳理相应的权限和流程，即能厘清制度需要规范的核心内容。

经过充分的口头沟通及书面梳理工作，A公司法务部门结合各部门的意见形成了A公司各部门工作权限表，分为概览的简表及各部门的详细子表格，共涉及11个部门，60余项权限，数百个流程。权限和流程的梳理使A公司的经营管理活动类型、主要节点一目了然。简表如下图所示：

（二）列出清单和时间表

在制度制定过程中列出企业制度的总体清单，便于在制度审核时考虑整个制度体系的协调统一，避免制度之间存在重复、冲突或遗漏。列出拟制定、修订的制度清单，前提是对制度现状进行充分的梳理。

制度梳理一般分为三个层次。第一，排查并废止企业现存的不合规或已不适用的制度。这些制度的存在将给企业带来合规风险，或者已不适应企业的管理需要，是首先要进行废止的；第二，从企业实际情况出发，完善目前缺失的必备制度。依据企业不断拓展的新业务模式以及所处行业的新变化，需匹配业务发展、补充制度规范，以确保企业业务发展有据可依。第三，解决各项制度间存在的冲突，避免制度之间存在矛盾。

同时，在这一阶段，主管部门需根据梳理完成的制度情况与各部门协商，由各部门列出其准备制定的制度明细，进行汇总并合理调整，据此确定制度制定时间表，将制度制定的过程量化为日程规划，以明确制度起草、审核的完成时间。

A公司法务部门经过统一梳理，发现A公司制度体系中存在以下问题：

部分职能缺乏管理制度，如缺失投资、信息相关职能的管理制度；

部分职能虽已制定了制度，但现行制度并不完备，设置得较为简单、粗糙。如审计、法务，均只有一份概要的制度，尚难以满足多样化的业务管理需要；

部分制度之间存在冲突。如财务部门、行政部门均制定了出差管理的相关制度，且部分内容重复或矛盾；

部分制度与下属企业混同，需废止或调整。如部分经营制度，同时适用于A公司和旗下的某经营公司。而A公司作为控股平台，与下属公司在管理上关注的侧重点并不完全一样，且制度混同也不符合公司的独立性要求。

基于梳理的结果，法务部门汇总并调整后形成A公司制度清单，详见下表：

A公司制度清单（共51份）

（三）起草和审核

确定制度清单和时间表后，即可开展制度起草和制度审核工作。

制度的起草由各部门通力协助、共同完成。A公司在此阶段，对于基本制度等公司级制度及法务管理制度，由法务部门牵头起草；其他职能部门管理权限内的制度，由法务部门将搜集的外部制度予以整合，提供给各部门参考后，各职能部门自行起草，法务部门提供支持意见。

制度起草部门在起草过程中应当做好调查研究工作，征求相关部门的意见；相关部门意见不一致时，应当进行充分协商。A公司法务部门在此阶段，共协调各相关部门进行沟通、讨论，开会十余次。

制度完成起草后，则由法务部门进行审核。法务部门的审核主要包括以下几方面：

合法合规性审核。制度是否有不符合现行法律法规、监管要求的内容。

管理适当性审核。确认是否体现了本公司的管理原则，是否符合现有的流程，是否符合效力更高的其他制度要求。如“细则”不应违反“规则”，下级公司的制度，不应违反上级公司的相应制度规定。

冲突性审核。检验本制度与其他制度之间是否有冲突和矛盾。

技术标准审核。格式与称谓是否一致，是否符合制度制定规范中的技术要求等等。

A公司法务部门从以上角度对上述51份制度进行了审核，由于部分制度内容需反复沟通、确认待定事项、讨论消除分歧，审核累计达上百次。通过法务部门的专业审核，确保了制度体系的合法合规性、管理适当性、规范性与一致性。

（四）发布与施行

制度审核并讨论定稿后，应当提请制度批准机构审议通过，并及时在企业内部局域网上发布，也可以经企业内部刊物、企业公告栏等途径进行发布和公示。

A公司的基本制度提请董事会审议通过，具体制度提请总裁批准，随后通过OA公布、邮件发送、内网公示等方式进行发布，以多种渠道确保全公司人员知晓并了解。A公司法务部门亦安排全员进行了制度的传签，由各员工本人签字确认“签收并阅读、知晓XX制度”，避免日后在劳动争议案件中存在制度公示程序的瑕疵。

制度一般在发布后即施行。需要注意的是，施行时可能还需根据制度对企业原适用的流程及表单进行适当调整。A公司法务部门即在制度发布后，会同信息部调整了线上审批流程、线下审批表单的节点和格式，以与制度中包涵的管理要求相一致。

（五）宣讲和培训

制度的具体执行部门、执行人员对制度的理解是制度正确执行的基础。只有正确理解制度的精神，了解制度中的管理要求，才能真正发挥制度的最大效用。当一个企业建立了完备的制度后，如何推动员工了解并遵守，除了依靠检查、考核等方式外，针对制度进行定期的培训宣传是推动制度执行的重要方式。

A公司法务部门通过制定不同层级的培训方案，对制度进行不同程度的宣讲和培训。A公司法务部门联合人力资源部门，开展各部门的制度相互培训，对与集团员工息息相关的重要制度，开展针对性的统一宣贯，由各制度起草部门在集中时段内统一讲解，受众覆盖A公司本部及下属公司相关人员；对于资金、财务、人力、法务、审计、品牌等集团实行条线垂直管理的职能部门制度，则对条线管理干部和人员开展专场培训，或利用工作检查、条线交流的机会开展巡讲，亦通过邮件解读、制度答疑等更灵活的方式开展宣传。同时，要求下属企业针对其自行制定的下属企业制度，在其本企业范围内进行各种形式的宣讲和培训。

（六）奖励与惩罚

制度成文、发布实施、培训宣讲都不能算作制度“制定”工作的完成。纸面上的制度只有真正落实到企业运作的各个环节，才是真正发挥了制度的效用，才能切实起到风险控制的作用，达到制度建设的根本目的。实践中，部分企业在制度制定后不宣讲，也不落实奖惩机制，故根本谈不上制度的严格履行，致使制度形同虚设。

行之有效的奖惩机制，是制度得以真正长久执行的有效保证，可以看作是制度执行的“试金石”。明确奖惩机制并不仅仅是指在制度中明确规定奖惩条款，毕竟，大多数制度条文中均有奖励规定和罚则的表述，而是，还需在实践中进一步落实制度中的奖惩措施，以使各部门、各人员对遵守制度报有充分的动力，对违反制度的行为产生畏惧之心。

A公司将各项制度中的奖惩条款予以单独摘录、汇总，形成员工奖惩条款手册，并建立机制，安排审计部门定期进行制度执行情况的审计，对未及时按照制度采取奖惩措施的分管领导进行问责。

（七）更新和完善

制度建设工作并非一劳永逸，而需要定期更新和完善。随着国家新的法律法规、监管要求的发布，原有制度可能与国家、地方、行业规定产生冲突，或需要补充制定相关制度内容；随着企业业务的发展，也需要新建、修订或废止部分制度，以适应企业现行的经营管理活动。实践中，部分企业在制度制订后未予定期更新和完善，导致制度内容严重滞后、存在合法合规问题、逐渐失去活力，变成白纸一张，最终束之高阁。

制度主管部门应当跟踪和收集相关制度的实施情况，对制度的有效性、可行性进行评估，作为制度更新完善的依据。制度实施情况的搜集可自上而下开展，由企业管理层或制度主管部门定期安排对制度进行统一梳理，再与各部门、各下属企业沟通；也可自下而上进行，由各执行部门、下属企业向管理层或制度主管部门定期、不定期反馈制度的执行情况。此外，制度的统一梳理虽有利于制度体系的整体完善，但对于具体某一个制度来说，其合法合规性是否存在问题、制度细节设计是否合理、是否能满足管理和内控需要，还有赖于对该制度的专项检查。

A公司法务部门拟建立每年定期梳理制度的机制，即每年均给制度体系进行一次规模性的“体检”；同时，亦已将制度的检查纳入法务部门每年的风险检查内容。此外，A公司法务部门还将内部控制的穿行测试方式引入到重点制度的检查中，该方式对制度和流程的控制和改善具备较好的实用价值。

四、结语

制度建设不是简单的一项工作，而是企业治理和风险控制的核心。企业领导要对制度建设工作高度重视，企业需设立专门的主管部门，各部门要积极配合。制度的建设不但需要构建科学的体系，也需要遵循合理的步骤安排，方能使企业制度也像国家法律一样，做到“有法可依、有法必依、执法必严、违法必究”。

完整、规范的制度体系是企业平稳高效、经营有序的前提，是员工行动的指南，也是合规管理的基础和依据。完善的企业制度将为企业的发展降低风险，保驾护航。如果说在企业发展过程中，风险是潜伏在海上的“暗礁”，那么完善的制度体系就像是“探测仪”，帮助企业航行得更为顺利和长远。可以说，制度建设是企业风险防控的基础。

编排/吴瑜

责编/孙亚超  微信号：elesun724