2006年開始，中國先后出臺(tái)全面風(fēng)險(xiǎn)管理、內(nèi)部控制、合規(guī)管理等管理體系要求，對國有企業(yè)防范風(fēng)險(xiǎn)、依法合規(guī)經(jīng)營提供了系統(tǒng)的政策指導(dǎo)。隨著一系列制度政策的頒布，中央企業(yè)、國有企業(yè)按照要求逐步推進(jìn)全面風(fēng)險(xiǎn)管理體系建設(shè)、內(nèi)控管理體系建設(shè)和合規(guī)管理體系建設(shè)。同時(shí)，部分國有企業(yè)對各管理體系之間的關(guān)系與如何整合存在的困惑。本文通過梳理建立各管理體系的政策依據(jù)，厘清相關(guān)關(guān)系，繼而提出將各體系整合的思路。

一、政策脈絡(luò)

2006 年 6 月，國務(wù)院國資委頒布了《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，為中央企業(yè)做好風(fēng)險(xiǎn)管理工作提供了指南。2008年5月，財(cái)政部等五部委頒布《企業(yè)內(nèi)部控制基本規(guī)范》等相關(guān)文件成為包括央企在內(nèi)的企業(yè)內(nèi)部控制工作指引。2018 年 11 月，國務(wù)院國資委頒布《中央企業(yè)合規(guī)管理指引（試行）》，為中央企業(yè)做好合規(guī)管理提供了政策依據(jù)。2018 年 11 月，國務(wù)院國資委頒布《中央企業(yè)合規(guī)管理指引（試行）》，對于中央企業(yè)合規(guī)管理體系建設(shè)提出要求和建議。2022年9月，國務(wù)院國資委頒布正式發(fā)布《中央企業(yè)合規(guī)管理辦法》，成為中央企業(yè)合規(guī)管理的主要規(guī)則。這些文件的頒布，有效加強(qiáng)了中央企業(yè)的風(fēng)險(xiǎn)管理、內(nèi)部控制與法律合規(guī)意識(shí)。中央企業(yè)、國有企業(yè)普遍以此為依據(jù)建立相應(yīng)的管理組織架構(gòu)體系以及相應(yīng)的工作部署與安排。

二、概念厘清

（一）全面風(fēng)險(xiǎn)管理

根據(jù)《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》，全面風(fēng)險(xiǎn)管理是企業(yè)圍繞總體經(jīng)營目標(biāo)，通過在企業(yè)管理的各個(gè)環(huán)節(jié)和經(jīng)營過程中執(zhí)行風(fēng)險(xiǎn)管理的基本流程，培育良好的風(fēng)險(xiǎn)管理文化，建立健全全面風(fēng)險(xiǎn)管理體系，包括風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)理財(cái)措施、風(fēng)險(xiǎn)管理的組織職能體系、風(fēng)險(xiǎn)管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實(shí)現(xiàn)風(fēng)險(xiǎn)管理的總體目標(biāo)提供合理保證的過程和方法。

（二）內(nèi)部控制

根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》，內(nèi)部控制是一種管理過程，其目標(biāo)是合理保證企業(yè)經(jīng)營管理的資金資產(chǎn)安全以及合法合規(guī)。對內(nèi)控管理，董事會(huì)、經(jīng)理層等企業(yè)治理主體需將業(yè)務(wù)流程上的關(guān)鍵控制嵌入制度條文，設(shè)計(jì)一系列風(fēng)險(xiǎn)防控規(guī)定，努力提高經(jīng)營效率和效果，促進(jìn)實(shí)現(xiàn)發(fā)展戰(zhàn)略。

（三）合規(guī)管理

根據(jù)《中央企業(yè)合規(guī)管理辦法》，合規(guī)管理是指企業(yè)以有效防控合規(guī)風(fēng)險(xiǎn)為目的，以提升依法合規(guī)經(jīng)營管理水平為導(dǎo)向， 以企業(yè)經(jīng)營管理行為和員工履職行為為對象，開展的包括建立合規(guī)制度、完善運(yùn)行機(jī)制、培育合規(guī)文化、強(qiáng)化監(jiān)督問責(zé)等有組織、有計(jì)劃的管理活動(dòng)。可見，合規(guī)管理是一種管理活動(dòng)，其目的是為有效防控合規(guī)風(fēng)險(xiǎn)，企業(yè)需將最新的法律法規(guī)監(jiān)管要求，即企業(yè)的合規(guī)義務(wù)轉(zhuǎn)化為規(guī)章制度，實(shí)現(xiàn)“外規(guī)內(nèi)化”，解決“哪些必須做”“哪些不能做”，以及過程中行為活動(dòng)的“紅線”和“底線”是什么，通過明確對應(yīng)的責(zé)任，提升執(zhí)行有效性。

三、三大體系的區(qū)別與內(nèi)在聯(lián)系

（一） 三者之間存在邊界，相互之間無法涵蓋或取代

通過對全面風(fēng)險(xiǎn)管理、內(nèi)部控制和合規(guī)管理三種管理體系建設(shè)的要求進(jìn)行總結(jié)，可以歸納出其在建設(shè)目標(biāo)、建設(shè)路徑和管理側(cè)重點(diǎn)上存在諸多不同：

（二）三者之間相互聯(lián)系

根據(jù)對政策要求、概念分析及對工作方法的體會(huì)，可以看出三者之間相互關(guān)聯(lián)，不可分割。

1. 內(nèi)控與風(fēng)控：

從《全面風(fēng)險(xiǎn)指引》的內(nèi)容和要求來看，其借鑒了發(fā)達(dá)國家有關(guān)企業(yè)風(fēng)險(xiǎn)管理的法律法規(guī)、國外先進(jìn)的大公司在風(fēng)險(xiǎn)管理方面的通行做法，以及國內(nèi)有關(guān)內(nèi)控機(jī)制建設(shè)方面的規(guī)定，對中央企業(yè)開展全面風(fēng)險(xiǎn)管理工作的總體原則、基本流程、組織體系、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)管理策略、風(fēng)險(xiǎn)管理解決方案、監(jiān)督與改進(jìn)、風(fēng)險(xiǎn)管理文化、風(fēng)險(xiǎn)管理信息系統(tǒng)等方面進(jìn)行了詳細(xì)闡述，覆蓋了企業(yè)管理的各方面、各層次和各過程存在的風(fēng)險(xiǎn)。

從《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制應(yīng)用指引》的內(nèi)容和要求可以看出，財(cái)政部要求的這個(gè)內(nèi)控體系也是建立在風(fēng)險(xiǎn)管控的基礎(chǔ)上，主要針對的是合規(guī)風(fēng)險(xiǎn)、資產(chǎn)管理風(fēng)險(xiǎn)，從財(cái)務(wù)的角度對內(nèi)部控制和財(cái)務(wù)報(bào)告的真實(shí)性和完整性提出了具體要求。這與國資要求的全面風(fēng)險(xiǎn)管理體系本身很多要求是一致的，體系存在一部分的重疊。

從全面風(fēng)險(xiǎn)管理涵蓋的外延來看，全面風(fēng)險(xiǎn)管理涵蓋了內(nèi)部控制，內(nèi)部控制系統(tǒng)是全面風(fēng)險(xiǎn)管理的一個(gè)子系統(tǒng)。內(nèi)部控制是全面風(fēng)險(xiǎn)管理的必要環(huán)節(jié)，對于企業(yè)所面臨的運(yùn)營風(fēng)險(xiǎn)，內(nèi)部控制系統(tǒng)是必要的、高效的和有效的風(fēng)險(xiǎn)管理方法。

2.風(fēng)控與合規(guī)管理：

合規(guī)管理是企業(yè)全面風(fēng)險(xiǎn)管理的核心內(nèi)容，是風(fēng)險(xiǎn)控制的基礎(chǔ)、底線。原保監(jiān)會(huì)《保險(xiǎn)公司合規(guī)管理辦法》第3條明文規(guī)定，合規(guī)管理是保險(xiǎn)公司全面風(fēng)險(xiǎn)管理的一項(xiàng)重要內(nèi)容，也是實(shí)施有效內(nèi)部控制的一項(xiàng)基礎(chǔ)性工作。原銀監(jiān)會(huì)《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》第4條也規(guī)定，合規(guī)管理是商業(yè)銀行一項(xiàng)核心的風(fēng)險(xiǎn)管理活動(dòng)。商業(yè)銀行應(yīng)綜合考慮合規(guī)風(fēng)險(xiǎn)與信用風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)和其他風(fēng)險(xiǎn)的關(guān)聯(lián)性，確保各項(xiàng)風(fēng)險(xiǎn)管理政策和程序的一致性。同時(shí)，全面風(fēng)險(xiǎn)管理也為企業(yè)合規(guī)風(fēng)險(xiǎn)管理提供風(fēng)險(xiǎn)管理的技術(shù)方法、經(jīng)驗(yàn)和實(shí)踐案例。

3. 內(nèi)控與合規(guī)管理：

企業(yè)內(nèi)部控制的目標(biāo)是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)完整。保證企業(yè)經(jīng)營管理合法合規(guī)是內(nèi)部控制的首要目標(biāo)。企業(yè)合規(guī)管理通過建立健全合規(guī)管理體系，助力企業(yè)內(nèi)控落地，完善內(nèi)控架構(gòu)，推動(dòng)實(shí)現(xiàn)企業(yè)內(nèi)控的首要目標(biāo)，保障企業(yè)經(jīng)營管理的合法合規(guī)性。

合規(guī)管理幫助梳理和審查企業(yè)內(nèi)部規(guī)章制度，對其存在的問題進(jìn)行修改、補(bǔ)充，使之合法合規(guī)，并根據(jù)需要制定新的規(guī)章制度，明確各部門管理邊界與協(xié)調(diào)合作機(jī)制，消除職責(zé)重疊、交叉和推諉，填補(bǔ)管理真空，形成管理合力。

通過對三者之間關(guān)系的解析可以看出——合規(guī)管理是基礎(chǔ)，是企業(yè)經(jīng)營發(fā)展的底線，體現(xiàn)了外部的強(qiáng)制性要求，如法律法規(guī)要求、政府監(jiān)管政策等。內(nèi)部控制是手段，內(nèi)部控制不但要求合規(guī)，還要求各環(huán)節(jié)、各流程的合規(guī)是完善的、有效的，更傾向于過程的實(shí)施和控制。風(fēng)險(xiǎn)管理是導(dǎo)向，風(fēng)險(xiǎn)管理范圍最廣最全面，通過執(zhí)行風(fēng)險(xiǎn)管理的基本流程，對企業(yè)面臨的戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)等五類風(fēng)險(xiǎn)進(jìn)行管控，但還是要以合規(guī)風(fēng)險(xiǎn)管理為基礎(chǔ)，內(nèi)部控制為抓手，將控制目標(biāo)、控制措施等內(nèi)容融入風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)應(yīng)對措施，最終實(shí)現(xiàn)風(fēng)險(xiǎn)管理的總目標(biāo)。三項(xiàng)管理體系在構(gòu)建過程中缺一不可，是結(jié)構(gòu)化的和不可分割的，是“三位一體”的關(guān)系。

在具體實(shí)施過程中，片面地注重單一管理體系會(huì)加大企業(yè)的風(fēng)險(xiǎn)管理成本，降低企業(yè)的決策效率，導(dǎo)致企業(yè)管理邊界不清、職責(zé)混亂，從而造成企業(yè)管理資源的浪費(fèi)。為了提升企業(yè)經(jīng)營效率和市場競爭能力，需要加快推進(jìn)三項(xiàng)管理體系的整合工作。

四、三項(xiàng)管理體系整合

（一）整合的政策依據(jù)

2015 年，國家出臺(tái)了《關(guān)于全面推進(jìn)法治央企建設(shè)的意見》，2019年，國務(wù)院國資委印發(fā)了《關(guān)于加強(qiáng)中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實(shí)施意見》，明確提出內(nèi)控、合規(guī)、風(fēng)險(xiǎn)管理體系的整合要求，要以“強(qiáng)內(nèi)控、防風(fēng)險(xiǎn)、促合規(guī)”為融合的目標(biāo)，以風(fēng)險(xiǎn)管理為導(dǎo)向、內(nèi)部控制體系為基礎(chǔ)、以合規(guī)管理為重點(diǎn)，將全面風(fēng)險(xiǎn)管理及合規(guī)管理的內(nèi)容融入內(nèi)部控制體系中。

后續(xù)出臺(tái)的包括《關(guān)于加強(qiáng)中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實(shí)施意見》《關(guān)于進(jìn)一步深化法治央企建設(shè)的意見》《關(guān)于做好 2021 年中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作有關(guān)事項(xiàng)的通知》《關(guān)于開展中央企業(yè)“合規(guī)管理強(qiáng)化年”工作的通知》《中央企業(yè)合規(guī)管理辦法》等多項(xiàng)政策，都在指導(dǎo)并鼓勵(lì)國有企業(yè)探索四項(xiàng)管理職能一體化平臺(tái)，構(gòu)建合規(guī)、內(nèi)控、風(fēng)險(xiǎn)、法律管理協(xié)同運(yùn)作機(jī)制，加強(qiáng)統(tǒng)籌協(xié)調(diào)，提高管理效能。因此，建設(shè)內(nèi)控、風(fēng)控和合規(guī)“三位一體”的企業(yè)管理體系已成為時(shí)代的課題。

（二）整合思路

1. 組織機(jī)構(gòu)的整合

組織機(jī)構(gòu)是一項(xiàng)管理體系的頂層設(shè)計(jì)，做好組織機(jī)構(gòu)的架設(shè)，整合優(yōu)化內(nèi)控、風(fēng)險(xiǎn)、合規(guī)監(jiān)管職責(zé)，構(gòu)建“橫向到邊、縱向到底”的一體化組織架構(gòu)。企業(yè)應(yīng)修訂章程、調(diào)整三項(xiàng)工作管理人員的職責(zé)，將三項(xiàng)管理工作分別納入董事會(huì)層面的專業(yè)委員會(huì)進(jìn)行管理，由一人分管，并統(tǒng)領(lǐng)牽頭部門。這樣才能實(shí)現(xiàn)三項(xiàng)管理工作的指令統(tǒng)一、職責(zé)清晰、上下貫通、分層負(fù)責(zé)，達(dá)到一體化運(yùn)行的效果。

2.制度的整合

制度是企業(yè)運(yùn)行的基礎(chǔ)和依據(jù)。對制度整合的程度很大程度決定了三項(xiàng)管理體系相互融合的程度。制度整合工作應(yīng)首先識(shí)別現(xiàn)有制度，既對現(xiàn)有制度及其對應(yīng)的流程、表單進(jìn)行全面甄別、梳理，其次，根據(jù)業(yè)務(wù)歸類和管理流程，整合數(shù)量繁多、內(nèi)容重復(fù)的制度，廢止不適用的制度，統(tǒng)一規(guī)范文件要素、編碼管理、編寫體例、格式和名稱。同時(shí)，要把內(nèi)控的要求嵌入業(yè)務(wù)制度，在業(yè)務(wù)制度中落實(shí)合規(guī)管理及風(fēng)險(xiǎn)控制管理的要求，把實(shí)施情況納入內(nèi)控體系監(jiān)督評價(jià)范疇，制定定性與定量相結(jié)合的內(nèi)控缺陷認(rèn)定標(biāo)準(zhǔn)、風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)和合規(guī)評價(jià)標(biāo)準(zhǔn)，并對標(biāo)準(zhǔn)的評價(jià)程序、評價(jià)方式不斷完善，最終形成統(tǒng)一的制度體系，切實(shí)全面提升制度的有效性、協(xié)同性、可行性。

3.風(fēng)險(xiǎn)評估的整合

不論是對企業(yè)全面風(fēng)險(xiǎn)而言，還是對某一單項(xiàng)業(yè)務(wù)風(fēng)險(xiǎn)而言，風(fēng)險(xiǎn)評估都是管理各種風(fēng)險(xiǎn)的決策基礎(chǔ)。內(nèi)控和風(fēng)控的風(fēng)險(xiǎn)識(shí)別與分析，既包括企業(yè)整體業(yè)務(wù)層面的風(fēng)險(xiǎn)，也包括單個(gè)業(yè)務(wù)或項(xiàng)目層面的風(fēng)險(xiǎn)，比合規(guī)的風(fēng)險(xiǎn)識(shí)別與分析要廣。但是，在風(fēng)險(xiǎn)評估中，管理層所用的評估方法是可以通用的。每個(gè)業(yè)務(wù)領(lǐng)域的潛在風(fēng)險(xiǎn)，以及風(fēng)險(xiǎn)發(fā)生的時(shí)間和概率及其影響范圍，是一致的。在整合過程中，可以用同樣的評估方法，共用一套風(fēng)險(xiǎn)事件庫和風(fēng)險(xiǎn)評估清單。

4.風(fēng)險(xiǎn)控制的整合

控制活動(dòng)是三項(xiàng)管理工作整合過程中最核心的要素。整合的思路是，首先，要把職責(zé)分離的控制措施貫穿于企業(yè)的各個(gè)層級和業(yè)務(wù)單元；其次，把三項(xiàng)管理工作根據(jù)業(yè)務(wù)要素分別對業(yè)務(wù)流程以及技術(shù)環(huán)節(jié)進(jìn)行重新梳理、優(yōu)化、整合；再次，將全面風(fēng)險(xiǎn)管理和合規(guī)管理的措施嵌入內(nèi)控全流程；最后，要把三項(xiàng)管理工作的預(yù)防性控制措施和檢查性措施分別合并、優(yōu)化、同步開展。風(fēng)險(xiǎn)控制活動(dòng)整合的重點(diǎn)和難點(diǎn)是，要以內(nèi)部控制為主線，突出全面風(fēng)險(xiǎn)管理的風(fēng)險(xiǎn)控制措施和合規(guī)管理體系運(yùn)行的機(jī)制和特色，尤其是涉及到某一具體業(yè)務(wù)流程，要把三項(xiàng)管理活動(dòng)的風(fēng)險(xiǎn)控制方式結(jié)合、統(tǒng)一，讓三者既有銜接又相互補(bǔ)充，最大限度發(fā)揮三項(xiàng)管理工作的職能作用，從而實(shí)現(xiàn)企業(yè)運(yùn)營風(fēng)險(xiǎn)最小化。

5.信息系統(tǒng)建設(shè)工作的整合

對于企業(yè)管理而言，信息是不可或缺的元素，企業(yè)內(nèi)部控制、風(fēng)險(xiǎn)管理、合規(guī)管理都需要從內(nèi)外部獲取大量信息。建立三位一體管理體系，應(yīng)當(dāng)建設(shè)一體化信息系統(tǒng)。在信息收集、填報(bào)流程上，應(yīng)根據(jù)業(yè)務(wù)要素和管控要素的要求，統(tǒng)一表單；對于三項(xiàng)管理體系流程上相重疊的部分，設(shè)置“三合一表單”，優(yōu)化交叉和關(guān)聯(lián)流程的信息化系統(tǒng)建設(shè)。對于各自獨(dú)立、無法合并的流程，則應(yīng)進(jìn)行梳理、優(yōu)化、整合，嵌入具體的業(yè)務(wù)流程。行有余力的企業(yè)，應(yīng)當(dāng)探索利用大數(shù)據(jù)、人工智能和云計(jì)算等信息化技術(shù)，實(shí)現(xiàn)風(fēng)控、內(nèi)控和合規(guī)風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)測、預(yù)警等自動(dòng)化運(yùn)行目標(biāo)。

結(jié)語

由于風(fēng)控、內(nèi)控和合規(guī)管理是各自獨(dú)立的管理體系，“三合一”的整合過程必然會(huì)存在許多困難和待探討、摸索之處。即便經(jīng)過整合，也將會(huì)存在無法融合的地方。例如組織架構(gòu)、管理制度、溝通機(jī)制和監(jiān)控機(jī)制，由于三大體系存在差異，在運(yùn)行中勢必需要采取不同的方法和處理原則進(jìn)行區(qū)別。但是，從節(jié)約管理成本、提升管理效率的角度來說，將三大體系進(jìn)行整合是勢在必行的，而且，從組織機(jī)構(gòu)、制度、風(fēng)險(xiǎn)評估、風(fēng)險(xiǎn)控制、信息化建設(shè)這幾個(gè)要素著手對風(fēng)控、內(nèi)控和合規(guī)管理進(jìn)行整合的路徑是可行的。

文 | 華炬合規(guī)業(yè)務(wù)中心 郭宏

.

團(tuán)隊(duì)簡介｜Team Profile

華炬律師事務(wù)所合規(guī)業(yè)務(wù)中心，是在山西華炬律師事務(wù)所公司法律事務(wù)部、稅務(wù)法律事務(wù)部、國資國企法律事務(wù)部、刑事法律事務(wù)部、爭議解決法律事務(wù)部等部門中，選拔精通企業(yè)內(nèi)控、企業(yè)合規(guī)、企業(yè)經(jīng)營法律風(fēng)險(xiǎn)防范的精英律師組成，現(xiàn)團(tuán)隊(duì)核心成員十余名，律師及律師助理若干，擅長處理公司領(lǐng)域各類疑難復(fù)雜案件和項(xiàng)目。

合規(guī)業(yè)務(wù)中心核心業(yè)務(wù)：企業(yè)合規(guī)體系建設(shè)、合規(guī)有效性評價(jià)、企業(yè)單項(xiàng)或多項(xiàng)業(yè)務(wù)單元合規(guī)義務(wù)梳理和風(fēng)險(xiǎn)排查、刑事涉案企業(yè)合規(guī)第三方監(jiān)督評估、企業(yè)內(nèi)部控制體系建設(shè)、企業(yè)風(fēng)險(xiǎn)管理體系建設(shè)等。