2006年開始，中國先后出臺全面風險管理、內(nèi)部控制、合規(guī)管理等管理體系要求，對國有企業(yè)防范風險、依法合規(guī)經(jīng)營提供了系統(tǒng)的政策指導。隨著一系列制度政策的頒布，中央企業(yè)、國有企業(yè)按照要求逐步推進全面風險管理體系建設、內(nèi)控管理體系建設和合規(guī)管理體系建設。同時，部分國有企業(yè)對各管理體系之間的關系與如何整合存在的困惑。本文通過梳理建立各管理體系的政策依據(jù)，厘清相關關系，繼而提出將各體系整合的思路。

一、政策脈絡

2006 年 6 月，國務院國資委頒布了《中央企業(yè)全面風險管理指引》，為中央企業(yè)做好風險管理工作提供了指南。2008年5月，財政部等五部委頒布《企業(yè)內(nèi)部控制基本規(guī)范》等相關文件成為包括央企在內(nèi)的企業(yè)內(nèi)部控制工作指引。2018 年 11 月，國務院國資委頒布《中央企業(yè)合規(guī)管理指引（試行）》，為中央企業(yè)做好合規(guī)管理提供了政策依據(jù)。2018 年 11 月，國務院國資委頒布《中央企業(yè)合規(guī)管理指引（試行）》，對于中央企業(yè)合規(guī)管理體系建設提出要求和建議。2022年9月，國務院國資委頒布正式發(fā)布《中央企業(yè)合規(guī)管理辦法》，成為中央企業(yè)合規(guī)管理的主要規(guī)則。這些文件的頒布，有效加強了中央企業(yè)的風險管理、內(nèi)部控制與法律合規(guī)意識。中央企業(yè)、國有企業(yè)普遍以此為依據(jù)建立相應的管理組織架構體系以及相應的工作部署與安排。

二、概念厘清

（一）全面風險管理

根據(jù)《中央企業(yè)全面風險管理指引》，全面風險管理是企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

（二）內(nèi)部控制

根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》，內(nèi)部控制是一種管理過程，其目標是合理保證企業(yè)經(jīng)營管理的資金資產(chǎn)安全以及合法合規(guī)。對內(nèi)控管理，董事會、經(jīng)理層等企業(yè)治理主體需將業(yè)務流程上的關鍵控制嵌入制度條文，設計一系列風險防控規(guī)定，努力提高經(jīng)營效率和效果，促進實現(xiàn)發(fā)展戰(zhàn)略。

（三）合規(guī)管理

根據(jù)《中央企業(yè)合規(guī)管理辦法》，合規(guī)管理是指企業(yè)以有效防控合規(guī)風險為目的，以提升依法合規(guī)經(jīng)營管理水平為導向， 以企業(yè)經(jīng)營管理行為和員工履職行為為對象，開展的包括建立合規(guī)制度、完善運行機制、培育合規(guī)文化、強化監(jiān)督問責等有組織、有計劃的管理活動。可見，合規(guī)管理是一種管理活動，其目的是為有效防控合規(guī)風險，企業(yè)需將最新的法律法規(guī)監(jiān)管要求，即企業(yè)的合規(guī)義務轉(zhuǎn)化為規(guī)章制度，實現(xiàn)“外規(guī)內(nèi)化”，解決“哪些必須做”“哪些不能做”，以及過程中行為活動的“紅線”和“底線”是什么，通過明確對應的責任，提升執(zhí)行有效性。

三、三大體系的區(qū)別與內(nèi)在聯(lián)系

（一） 三者之間存在邊界，相互之間無法涵蓋或取代

通過對全面風險管理、內(nèi)部控制和合規(guī)管理三種管理體系建設的要求進行總結，可以歸納出其在建設目標、建設路徑和管理側重點上存在諸多不同：

（二）三者之間相互聯(lián)系

根據(jù)對政策要求、概念分析及對工作方法的體會，可以看出三者之間相互關聯(lián)，不可分割。

1. 內(nèi)控與風控：

從《全面風險指引》的內(nèi)容和要求來看，其借鑒了發(fā)達國家有關企業(yè)風險管理的法律法規(guī)、國外先進的大公司在風險管理方面的通行做法，以及國內(nèi)有關內(nèi)控機制建設方面的規(guī)定，對中央企業(yè)開展全面風險管理工作的總體原則、基本流程、組織體系、風險評估、風險管理策略、風險管理解決方案、監(jiān)督與改進、風險管理文化、風險管理信息系統(tǒng)等方面進行了詳細闡述，覆蓋了企業(yè)管理的各方面、各層次和各過程存在的風險。

從《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制應用指引》的內(nèi)容和要求可以看出，財政部要求的這個內(nèi)控體系也是建立在風險管控的基礎上，主要針對的是合規(guī)風險、資產(chǎn)管理風險，從財務的角度對內(nèi)部控制和財務報告的真實性和完整性提出了具體要求。這與國資要求的全面風險管理體系本身很多要求是一致的，體系存在一部分的重疊。

從全面風險管理涵蓋的外延來看，全面風險管理涵蓋了內(nèi)部控制，內(nèi)部控制系統(tǒng)是全面風險管理的一個子系統(tǒng)。內(nèi)部控制是全面風險管理的必要環(huán)節(jié)，對于企業(yè)所面臨的運營風險，內(nèi)部控制系統(tǒng)是必要的、高效的和有效的風險管理方法。

2.風控與合規(guī)管理：

合規(guī)管理是企業(yè)全面風險管理的核心內(nèi)容，是風險控制的基礎、底線。原保監(jiān)會《保險公司合規(guī)管理辦法》第3條明文規(guī)定，合規(guī)管理是保險公司全面風險管理的一項重要內(nèi)容，也是實施有效內(nèi)部控制的一項基礎性工作。原銀監(jiān)會《商業(yè)銀行合規(guī)風險管理指引》第4條也規(guī)定，合規(guī)管理是商業(yè)銀行一項核心的風險管理活動。商業(yè)銀行應綜合考慮合規(guī)風險與信用風險、市場風險、操作風險和其他風險的關聯(lián)性，確保各項風險管理政策和程序的一致性。同時，全面風險管理也為企業(yè)合規(guī)風險管理提供風險管理的技術方法、經(jīng)驗和實踐案例。

3. 內(nèi)控與合規(guī)管理：

企業(yè)內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關信息真實完整。保證企業(yè)經(jīng)營管理合法合規(guī)是內(nèi)部控制的首要目標。企業(yè)合規(guī)管理通過建立健全合規(guī)管理體系，助力企業(yè)內(nèi)控落地，完善內(nèi)控架構，推動實現(xiàn)企業(yè)內(nèi)控的首要目標，保障企業(yè)經(jīng)營管理的合法合規(guī)性。

合規(guī)管理幫助梳理和審查企業(yè)內(nèi)部規(guī)章制度，對其存在的問題進行修改、補充，使之合法合規(guī)，并根據(jù)需要制定新的規(guī)章制度，明確各部門管理邊界與協(xié)調(diào)合作機制，消除職責重疊、交叉和推諉，填補管理真空，形成管理合力。

通過對三者之間關系的解析可以看出——合規(guī)管理是基礎，是企業(yè)經(jīng)營發(fā)展的底線，體現(xiàn)了外部的強制性要求，如法律法規(guī)要求、政府監(jiān)管政策等。內(nèi)部控制是手段，內(nèi)部控制不但要求合規(guī)，還要求各環(huán)節(jié)、各流程的合規(guī)是完善的、有效的，更傾向于過程的實施和控制。風險管理是導向，風險管理范圍最廣最全面，通過執(zhí)行風險管理的基本流程，對企業(yè)面臨的戰(zhàn)略風險、財務風險、市場風險、運營風險和法律風險等五類風險進行管控，但還是要以合規(guī)風險管理為基礎，內(nèi)部控制為抓手，將控制目標、控制措施等內(nèi)容融入風險管理策略和風險應對措施，最終實現(xiàn)風險管理的總目標。三項管理體系在構建過程中缺一不可，是結構化的和不可分割的，是“三位一體”的關系。

在具體實施過程中，片面地注重單一管理體系會加大企業(yè)的風險管理成本，降低企業(yè)的決策效率，導致企業(yè)管理邊界不清、職責混亂，從而造成企業(yè)管理資源的浪費。為了提升企業(yè)經(jīng)營效率和市場競爭能力，需要加快推進三項管理體系的整合工作。

四、三項管理體系整合

（一）整合的政策依據(jù)

2015 年，國家出臺了《關于全面推進法治央企建設的意見》，2019年，國務院國資委印發(fā)了《關于加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》，明確提出內(nèi)控、合規(guī)、風險管理體系的整合要求，要以“強內(nèi)控、防風險、促合規(guī)”為融合的目標，以風險管理為導向、內(nèi)部控制體系為基礎、以合規(guī)管理為重點，將全面風險管理及合規(guī)管理的內(nèi)容融入內(nèi)部控制體系中。

后續(xù)出臺的包括《關于加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》《關于進一步深化法治央企建設的意見》《關于做好 2021 年中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作有關事項的通知》《關于開展中央企業(yè)“合規(guī)管理強化年”工作的通知》《中央企業(yè)合規(guī)管理辦法》等多項政策，都在指導并鼓勵國有企業(yè)探索四項管理職能一體化平臺，構建合規(guī)、內(nèi)控、風險、法律管理協(xié)同運作機制，加強統(tǒng)籌協(xié)調(diào)，提高管理效能。因此，建設內(nèi)控、風控和合規(guī)“三位一體”的企業(yè)管理體系已成為時代的課題。

（二）整合思路

1. 組織機構的整合

組織機構是一項管理體系的頂層設計，做好組織機構的架設，整合優(yōu)化內(nèi)控、風險、合規(guī)監(jiān)管職責，構建“橫向到邊、縱向到底”的一體化組織架構。企業(yè)應修訂章程、調(diào)整三項工作管理人員的職責，將三項管理工作分別納入董事會層面的專業(yè)委員會進行管理，由一人分管，并統(tǒng)領牽頭部門。這樣才能實現(xiàn)三項管理工作的指令統(tǒng)一、職責清晰、上下貫通、分層負責，達到一體化運行的效果。

2.制度的整合

制度是企業(yè)運行的基礎和依據(jù)。對制度整合的程度很大程度決定了三項管理體系相互融合的程度。制度整合工作應首先識別現(xiàn)有制度，既對現(xiàn)有制度及其對應的流程、表單進行全面甄別、梳理，其次，根據(jù)業(yè)務歸類和管理流程，整合數(shù)量繁多、內(nèi)容重復的制度，廢止不適用的制度，統(tǒng)一規(guī)范文件要素、編碼管理、編寫體例、格式和名稱。同時，要把內(nèi)控的要求嵌入業(yè)務制度，在業(yè)務制度中落實合規(guī)管理及風險控制管理的要求，把實施情況納入內(nèi)控體系監(jiān)督評價范疇，制定定性與定量相結合的內(nèi)控缺陷認定標準、風險評估標準和合規(guī)評價標準，并對標準的評價程序、評價方式不斷完善，最終形成統(tǒng)一的制度體系，切實全面提升制度的有效性、協(xié)同性、可行性。

3.風險評估的整合

不論是對企業(yè)全面風險而言，還是對某一單項業(yè)務風險而言，風險評估都是管理各種風險的決策基礎。內(nèi)控和風控的風險識別與分析，既包括企業(yè)整體業(yè)務層面的風險，也包括單個業(yè)務或項目層面的風險，比合規(guī)的風險識別與分析要廣。但是，在風險評估中，管理層所用的評估方法是可以通用的。每個業(yè)務領域的潛在風險，以及風險發(fā)生的時間和概率及其影響范圍，是一致的。在整合過程中，可以用同樣的評估方法，共用一套風險事件庫和風險評估清單。

4.風險控制的整合

控制活動是三項管理工作整合過程中最核心的要素。整合的思路是，首先，要把職責分離的控制措施貫穿于企業(yè)的各個層級和業(yè)務單元；其次，把三項管理工作根據(jù)業(yè)務要素分別對業(yè)務流程以及技術環(huán)節(jié)進行重新梳理、優(yōu)化、整合；再次，將全面風險管理和合規(guī)管理的措施嵌入內(nèi)控全流程；最后，要把三項管理工作的預防性控制措施和檢查性措施分別合并、優(yōu)化、同步開展。風險控制活動整合的重點和難點是，要以內(nèi)部控制為主線，突出全面風險管理的風險控制措施和合規(guī)管理體系運行的機制和特色，尤其是涉及到某一具體業(yè)務流程，要把三項管理活動的風險控制方式結合、統(tǒng)一，讓三者既有銜接又相互補充，最大限度發(fā)揮三項管理工作的職能作用，從而實現(xiàn)企業(yè)運營風險最小化。

5.信息系統(tǒng)建設工作的整合

對于企業(yè)管理而言，信息是不可或缺的元素，企業(yè)內(nèi)部控制、風險管理、合規(guī)管理都需要從內(nèi)外部獲取大量信息。建立三位一體管理體系，應當建設一體化信息系統(tǒng)。在信息收集、填報流程上，應根據(jù)業(yè)務要素和管控要素的要求，統(tǒng)一表單；對于三項管理體系流程上相重疊的部分，設置“三合一表單”，優(yōu)化交叉和關聯(lián)流程的信息化系統(tǒng)建設。對于各自獨立、無法合并的流程，則應進行梳理、優(yōu)化、整合，嵌入具體的業(yè)務流程。行有余力的企業(yè)，應當探索利用大數(shù)據(jù)、人工智能和云計算等信息化技術，實現(xiàn)風控、內(nèi)控和合規(guī)風險的實時監(jiān)測、預警等自動化運行目標。

結語

由于風控、內(nèi)控和合規(guī)管理是各自獨立的管理體系，“三合一”的整合過程必然會存在許多困難和待探討、摸索之處。即便經(jīng)過整合，也將會存在無法融合的地方。例如組織架構、管理制度、溝通機制和監(jiān)控機制，由于三大體系存在差異，在運行中勢必需要采取不同的方法和處理原則進行區(qū)別。但是，從節(jié)約管理成本、提升管理效率的角度來說，將三大體系進行整合是勢在必行的，而且，從組織機構、制度、風險評估、風險控制、信息化建設這幾個要素著手對風控、內(nèi)控和合規(guī)管理進行整合的路徑是可行的。

文 | 華炬合規(guī)業(yè)務中心 郭宏

.

團隊簡介｜Team Profile

華炬律師事務所合規(guī)業(yè)務中心，是在山西華炬律師事務所公司法律事務部、稅務法律事務部、國資國企法律事務部、刑事法律事務部、爭議解決法律事務部等部門中，選拔精通企業(yè)內(nèi)控、企業(yè)合規(guī)、企業(yè)經(jīng)營法律風險防范的精英律師組成，現(xiàn)團隊核心成員十余名，律師及律師助理若干，擅長處理公司領域各類疑難復雜案件和項目。

合規(guī)業(yè)務中心核心業(yè)務：企業(yè)合規(guī)體系建設、合規(guī)有效性評價、企業(yè)單項或多項業(yè)務單元合規(guī)義務梳理和風險排查、刑事涉案企業(yè)合規(guī)第三方監(jiān)督評估、企業(yè)內(nèi)部控制體系建設、企業(yè)風險管理體系建設等。