2006年開始，中國先后出臺全面風(fēng)險管理、內(nèi)部控制、合規(guī)管理等管理體系要求，對國有企業(yè)防范風(fēng)險、依法合規(guī)經(jīng)營提供了系統(tǒng)的政策指導(dǎo)。隨著一系列制度政策的頒布，中央企業(yè)、國有企業(yè)按照要求逐步推進全面風(fēng)險管理體系建設(shè)、內(nèi)控管理體系建設(shè)和合規(guī)管理體系建設(shè)。同時，部分國有企業(yè)對各管理體系之間的關(guān)系與如何整合存在的困惑。本文通過梳理建立各管理體系的政策依據(jù)，厘清相關(guān)關(guān)系，繼而提出將各體系整合的思路。

一、政策脈絡(luò)

2006 年 6 月，國務(wù)院國資委頒布了《中央企業(yè)全面風(fēng)險管理指引》，為中央企業(yè)做好風(fēng)險管理工作提供了指南。2008年5月，財政部等五部委頒布《企業(yè)內(nèi)部控制基本規(guī)范》等相關(guān)文件成為包括央企在內(nèi)的企業(yè)內(nèi)部控制工作指引。2018 年 11 月，國務(wù)院國資委頒布《中央企業(yè)合規(guī)管理指引（試行）》，為中央企業(yè)做好合規(guī)管理提供了政策依據(jù)。2018 年 11 月，國務(wù)院國資委頒布《中央企業(yè)合規(guī)管理指引（試行）》，對于中央企業(yè)合規(guī)管理體系建設(shè)提出要求和建議。2022年9月，國務(wù)院國資委頒布正式發(fā)布《中央企業(yè)合規(guī)管理辦法》，成為中央企業(yè)合規(guī)管理的主要規(guī)則。這些文件的頒布，有效加強了中央企業(yè)的風(fēng)險管理、內(nèi)部控制與法律合規(guī)意識。中央企業(yè)、國有企業(yè)普遍以此為依據(jù)建立相應(yīng)的管理組織架構(gòu)體系以及相應(yīng)的工作部署與安排。

二、概念厘清

（一）全面風(fēng)險管理

根據(jù)《中央企業(yè)全面風(fēng)險管理指引》，全面風(fēng)險管理是企業(yè)圍繞總體經(jīng)營目標(biāo)，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風(fēng)險管理的基本流程，培育良好的風(fēng)險管理文化，建立健全全面風(fēng)險管理體系，包括風(fēng)險管理策略、風(fēng)險理財措施、風(fēng)險管理的組織職能體系、風(fēng)險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風(fēng)險管理的總體目標(biāo)提供合理保證的過程和方法。

（二）內(nèi)部控制

根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》，內(nèi)部控制是一種管理過程，其目標(biāo)是合理保證企業(yè)經(jīng)營管理的資金資產(chǎn)安全以及合法合規(guī)。對內(nèi)控管理，董事會、經(jīng)理層等企業(yè)治理主體需將業(yè)務(wù)流程上的關(guān)鍵控制嵌入制度條文，設(shè)計一系列風(fēng)險防控規(guī)定，努力提高經(jīng)營效率和效果，促進實現(xiàn)發(fā)展戰(zhàn)略。

（三）合規(guī)管理

根據(jù)《中央企業(yè)合規(guī)管理辦法》，合規(guī)管理是指企業(yè)以有效防控合規(guī)風(fēng)險為目的，以提升依法合規(guī)經(jīng)營管理水平為導(dǎo)向， 以企業(yè)經(jīng)營管理行為和員工履職行為為對象，開展的包括建立合規(guī)制度、完善運行機制、培育合規(guī)文化、強化監(jiān)督問責(zé)等有組織、有計劃的管理活動?？梢姡弦?guī)管理是一種管理活動，其目的是為有效防控合規(guī)風(fēng)險，企業(yè)需將最新的法律法規(guī)監(jiān)管要求，即企業(yè)的合規(guī)義務(wù)轉(zhuǎn)化為規(guī)章制度，實現(xiàn)“外規(guī)內(nèi)化”，解決“哪些必須做”“哪些不能做”，以及過程中行為活動的“紅線”和“底線”是什么，通過明確對應(yīng)的責(zé)任，提升執(zhí)行有效性。

三、三大體系的區(qū)別與內(nèi)在聯(lián)系

（一） 三者之間存在邊界，相互之間無法涵蓋或取代

通過對全面風(fēng)險管理、內(nèi)部控制和合規(guī)管理三種管理體系建設(shè)的要求進行總結(jié)，可以歸納出其在建設(shè)目標(biāo)、建設(shè)路徑和管理側(cè)重點上存在諸多不同：

（二）三者之間相互聯(lián)系

根據(jù)對政策要求、概念分析及對工作方法的體會，可以看出三者之間相互關(guān)聯(lián)，不可分割。

1. 內(nèi)控與風(fēng)控：

從《全面風(fēng)險指引》的內(nèi)容和要求來看，其借鑒了發(fā)達(dá)國家有關(guān)企業(yè)風(fēng)險管理的法律法規(guī)、國外先進的大公司在風(fēng)險管理方面的通行做法，以及國內(nèi)有關(guān)內(nèi)控機制建設(shè)方面的規(guī)定，對中央企業(yè)開展全面風(fēng)險管理工作的總體原則、基本流程、組織體系、風(fēng)險評估、風(fēng)險管理策略、風(fēng)險管理解決方案、監(jiān)督與改進、風(fēng)險管理文化、風(fēng)險管理信息系統(tǒng)等方面進行了詳細(xì)闡述，覆蓋了企業(yè)管理的各方面、各層次和各過程存在的風(fēng)險。

從《企業(yè)內(nèi)部控制基本規(guī)范》和《企業(yè)內(nèi)部控制應(yīng)用指引》的內(nèi)容和要求可以看出，財政部要求的這個內(nèi)控體系也是建立在風(fēng)險管控的基礎(chǔ)上，主要針對的是合規(guī)風(fēng)險、資產(chǎn)管理風(fēng)險，從財務(wù)的角度對內(nèi)部控制和財務(wù)報告的真實性和完整性提出了具體要求。這與國資要求的全面風(fēng)險管理體系本身很多要求是一致的，體系存在一部分的重疊。

從全面風(fēng)險管理涵蓋的外延來看，全面風(fēng)險管理涵蓋了內(nèi)部控制，內(nèi)部控制系統(tǒng)是全面風(fēng)險管理的一個子系統(tǒng)。內(nèi)部控制是全面風(fēng)險管理的必要環(huán)節(jié)，對于企業(yè)所面臨的運營風(fēng)險，內(nèi)部控制系統(tǒng)是必要的、高效的和有效的風(fēng)險管理方法。

2.風(fēng)控與合規(guī)管理：

合規(guī)管理是企業(yè)全面風(fēng)險管理的核心內(nèi)容，是風(fēng)險控制的基礎(chǔ)、底線。原保監(jiān)會《保險公司合規(guī)管理辦法》第3條明文規(guī)定，合規(guī)管理是保險公司全面風(fēng)險管理的一項重要內(nèi)容，也是實施有效內(nèi)部控制的一項基礎(chǔ)性工作。原銀監(jiān)會《商業(yè)銀行合規(guī)風(fēng)險管理指引》第4條也規(guī)定，合規(guī)管理是商業(yè)銀行一項核心的風(fēng)險管理活動。商業(yè)銀行應(yīng)綜合考慮合規(guī)風(fēng)險與信用風(fēng)險、市場風(fēng)險、操作風(fēng)險和其他風(fēng)險的關(guān)聯(lián)性，確保各項風(fēng)險管理政策和程序的一致性。同時，全面風(fēng)險管理也為企業(yè)合規(guī)風(fēng)險管理提供風(fēng)險管理的技術(shù)方法、經(jīng)驗和實踐案例。

3. 內(nèi)控與合規(guī)管理：

企業(yè)內(nèi)部控制的目標(biāo)是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務(wù)報告及相關(guān)信息真實完整。保證企業(yè)經(jīng)營管理合法合規(guī)是內(nèi)部控制的首要目標(biāo)。企業(yè)合規(guī)管理通過建立健全合規(guī)管理體系，助力企業(yè)內(nèi)控落地，完善內(nèi)控架構(gòu)，推動實現(xiàn)企業(yè)內(nèi)控的首要目標(biāo)，保障企業(yè)經(jīng)營管理的合法合規(guī)性。

合規(guī)管理幫助梳理和審查企業(yè)內(nèi)部規(guī)章制度，對其存在的問題進行修改、補充，使之合法合規(guī)，并根據(jù)需要制定新的規(guī)章制度，明確各部門管理邊界與協(xié)調(diào)合作機制，消除職責(zé)重疊、交叉和推諉，填補管理真空，形成管理合力。

通過對三者之間關(guān)系的解析可以看出——合規(guī)管理是基礎(chǔ)，是企業(yè)經(jīng)營發(fā)展的底線，體現(xiàn)了外部的強制性要求，如法律法規(guī)要求、政府監(jiān)管政策等。內(nèi)部控制是手段，內(nèi)部控制不但要求合規(guī)，還要求各環(huán)節(jié)、各流程的合規(guī)是完善的、有效的，更傾向于過程的實施和控制。風(fēng)險管理是導(dǎo)向，風(fēng)險管理范圍最廣最全面，通過執(zhí)行風(fēng)險管理的基本流程，對企業(yè)面臨的戰(zhàn)略風(fēng)險、財務(wù)風(fēng)險、市場風(fēng)險、運營風(fēng)險和法律風(fēng)險等五類風(fēng)險進行管控，但還是要以合規(guī)風(fēng)險管理為基礎(chǔ)，內(nèi)部控制為抓手，將控制目標(biāo)、控制措施等內(nèi)容融入風(fēng)險管理策略和風(fēng)險應(yīng)對措施，最終實現(xiàn)風(fēng)險管理的總目標(biāo)。三項管理體系在構(gòu)建過程中缺一不可，是結(jié)構(gòu)化的和不可分割的，是“三位一體”的關(guān)系。

在具體實施過程中，片面地注重單一管理體系會加大企業(yè)的風(fēng)險管理成本，降低企業(yè)的決策效率，導(dǎo)致企業(yè)管理邊界不清、職責(zé)混亂，從而造成企業(yè)管理資源的浪費。為了提升企業(yè)經(jīng)營效率和市場競爭能力，需要加快推進三項管理體系的整合工作。

四、三項管理體系整合

（一）整合的政策依據(jù)

2015 年，國家出臺了《關(guān)于全面推進法治央企建設(shè)的意見》，2019年，國務(wù)院國資委印發(fā)了《關(guān)于加強中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實施意見》，明確提出內(nèi)控、合規(guī)、風(fēng)險管理體系的整合要求，要以“強內(nèi)控、防風(fēng)險、促合規(guī)”為融合的目標(biāo)，以風(fēng)險管理為導(dǎo)向、內(nèi)部控制體系為基礎(chǔ)、以合規(guī)管理為重點，將全面風(fēng)險管理及合規(guī)管理的內(nèi)容融入內(nèi)部控制體系中。

后續(xù)出臺的包括《關(guān)于加強中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實施意見》《關(guān)于進一步深化法治央企建設(shè)的意見》《關(guān)于做好 2021 年中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作有關(guān)事項的通知》《關(guān)于開展中央企業(yè)“合規(guī)管理強化年”工作的通知》《中央企業(yè)合規(guī)管理辦法》等多項政策，都在指導(dǎo)并鼓勵國有企業(yè)探索四項管理職能一體化平臺，構(gòu)建合規(guī)、內(nèi)控、風(fēng)險、法律管理協(xié)同運作機制，加強統(tǒng)籌協(xié)調(diào)，提高管理效能。因此，建設(shè)內(nèi)控、風(fēng)控和合規(guī)“三位一體”的企業(yè)管理體系已成為時代的課題。

（二）整合思路

1. 組織機構(gòu)的整合

組織機構(gòu)是一項管理體系的頂層設(shè)計，做好組織機構(gòu)的架設(shè)，整合優(yōu)化內(nèi)控、風(fēng)險、合規(guī)監(jiān)管職責(zé)，構(gòu)建“橫向到邊、縱向到底”的一體化組織架構(gòu)。企業(yè)應(yīng)修訂章程、調(diào)整三項工作管理人員的職責(zé)，將三項管理工作分別納入董事會層面的專業(yè)委員會進行管理，由一人分管，并統(tǒng)領(lǐng)牽頭部門。這樣才能實現(xiàn)三項管理工作的指令統(tǒng)一、職責(zé)清晰、上下貫通、分層負(fù)責(zé)，達(dá)到一體化運行的效果。

2.制度的整合

制度是企業(yè)運行的基礎(chǔ)和依據(jù)。對制度整合的程度很大程度決定了三項管理體系相互融合的程度。制度整合工作應(yīng)首先識別現(xiàn)有制度，既對現(xiàn)有制度及其對應(yīng)的流程、表單進行全面甄別、梳理，其次，根據(jù)業(yè)務(wù)歸類和管理流程，整合數(shù)量繁多、內(nèi)容重復(fù)的制度，廢止不適用的制度，統(tǒng)一規(guī)范文件要素、編碼管理、編寫體例、格式和名稱。同時，要把內(nèi)控的要求嵌入業(yè)務(wù)制度，在業(yè)務(wù)制度中落實合規(guī)管理及風(fēng)險控制管理的要求，把實施情況納入內(nèi)控體系監(jiān)督評價范疇，制定定性與定量相結(jié)合的內(nèi)控缺陷認(rèn)定標(biāo)準(zhǔn)、風(fēng)險評估標(biāo)準(zhǔn)和合規(guī)評價標(biāo)準(zhǔn)，并對標(biāo)準(zhǔn)的評價程序、評價方式不斷完善，最終形成統(tǒng)一的制度體系，切實全面提升制度的有效性、協(xié)同性、可行性。

3.風(fēng)險評估的整合

不論是對企業(yè)全面風(fēng)險而言，還是對某一單項業(yè)務(wù)風(fēng)險而言，風(fēng)險評估都是管理各種風(fēng)險的決策基礎(chǔ)。內(nèi)控和風(fēng)控的風(fēng)險識別與分析，既包括企業(yè)整體業(yè)務(wù)層面的風(fēng)險，也包括單個業(yè)務(wù)或項目層面的風(fēng)險，比合規(guī)的風(fēng)險識別與分析要廣。但是，在風(fēng)險評估中，管理層所用的評估方法是可以通用的。每個業(yè)務(wù)領(lǐng)域的潛在風(fēng)險，以及風(fēng)險發(fā)生的時間和概率及其影響范圍，是一致的。在整合過程中，可以用同樣的評估方法，共用一套風(fēng)險事件庫和風(fēng)險評估清單。

4.風(fēng)險控制的整合

控制活動是三項管理工作整合過程中最核心的要素。整合的思路是，首先，要把職責(zé)分離的控制措施貫穿于企業(yè)的各個層級和業(yè)務(wù)單元；其次，把三項管理工作根據(jù)業(yè)務(wù)要素分別對業(yè)務(wù)流程以及技術(shù)環(huán)節(jié)進行重新梳理、優(yōu)化、整合；再次，將全面風(fēng)險管理和合規(guī)管理的措施嵌入內(nèi)控全流程；最后，要把三項管理工作的預(yù)防性控制措施和檢查性措施分別合并、優(yōu)化、同步開展。風(fēng)險控制活動整合的重點和難點是，要以內(nèi)部控制為主線，突出全面風(fēng)險管理的風(fēng)險控制措施和合規(guī)管理體系運行的機制和特色，尤其是涉及到某一具體業(yè)務(wù)流程，要把三項管理活動的風(fēng)險控制方式結(jié)合、統(tǒng)一，讓三者既有銜接又相互補充，最大限度發(fā)揮三項管理工作的職能作用，從而實現(xiàn)企業(yè)運營風(fēng)險最小化。

5.信息系統(tǒng)建設(shè)工作的整合

對于企業(yè)管理而言，信息是不可或缺的元素，企業(yè)內(nèi)部控制、風(fēng)險管理、合規(guī)管理都需要從內(nèi)外部獲取大量信息。建立三位一體管理體系，應(yīng)當(dāng)建設(shè)一體化信息系統(tǒng)。在信息收集、填報流程上，應(yīng)根據(jù)業(yè)務(wù)要素和管控要素的要求，統(tǒng)一表單；對于三項管理體系流程上相重疊的部分，設(shè)置“三合一表單”，優(yōu)化交叉和關(guān)聯(lián)流程的信息化系統(tǒng)建設(shè)。對于各自獨立、無法合并的流程，則應(yīng)進行梳理、優(yōu)化、整合，嵌入具體的業(yè)務(wù)流程。行有余力的企業(yè)，應(yīng)當(dāng)探索利用大數(shù)據(jù)、人工智能和云計算等信息化技術(shù)，實現(xiàn)風(fēng)控、內(nèi)控和合規(guī)風(fēng)險的實時監(jiān)測、預(yù)警等自動化運行目標(biāo)。

結(jié)語

由于風(fēng)控、內(nèi)控和合規(guī)管理是各自獨立的管理體系，“三合一”的整合過程必然會存在許多困難和待探討、摸索之處。即便經(jīng)過整合，也將會存在無法融合的地方。例如組織架構(gòu)、管理制度、溝通機制和監(jiān)控機制，由于三大體系存在差異，在運行中勢必需要采取不同的方法和處理原則進行區(qū)別。但是，從節(jié)約管理成本、提升管理效率的角度來說，將三大體系進行整合是勢在必行的，而且，從組織機構(gòu)、制度、風(fēng)險評估、風(fēng)險控制、信息化建設(shè)這幾個要素著手對風(fēng)控、內(nèi)控和合規(guī)管理進行整合的路徑是可行的。

文 | 華炬合規(guī)業(yè)務(wù)中心 郭宏

.

團隊簡介｜Team Profile

華炬律師事務(wù)所合規(guī)業(yè)務(wù)中心，是在山西華炬律師事務(wù)所公司法律事務(wù)部、稅務(wù)法律事務(wù)部、國資國企法律事務(wù)部、刑事法律事務(wù)部、爭議解決法律事務(wù)部等部門中，選拔精通企業(yè)內(nèi)控、企業(yè)合規(guī)、企業(yè)經(jīng)營法律風(fēng)險防范的精英律師組成，現(xiàn)團隊核心成員十余名，律師及律師助理若干，擅長處理公司領(lǐng)域各類疑難復(fù)雜案件和項目。

合規(guī)業(yè)務(wù)中心核心業(yè)務(wù)：企業(yè)合規(guī)體系建設(shè)、合規(guī)有效性評價、企業(yè)單項或多項業(yè)務(wù)單元合規(guī)義務(wù)梳理和風(fēng)險排查、刑事涉案企業(yè)合規(guī)第三方監(jiān)督評估、企業(yè)內(nèi)部控制體系建設(shè)、企業(yè)風(fēng)險管理體系建設(shè)等。