企业合规、内控、风险一体化管理体系的构建.docx

企业合规、内控、风险一体化管理体系的构建当今社会，正面临着“百年未有之大变局”企业身处其中，不 可避免地要应对越来越多的不确定性对风险的预防、控制与应对， 已成为一项相对独立的企业管理职能随着一些监管文件的发布和推 行，合规管理、内部控制、全面风险管理（以下简称为“合规、内控、 风险“）等与风险密切相关的概念，逐渐进入企业高层的视野在最 新的一份国企改革三年行动方案中，“防风险”已成为国有企业董事 会的最重要职责之一但是，不管是企业内负责风险防控的专业部门和人员，还是企业 的高层管理者及经理层，对于合规、内控、风险管理三者边界的认知， 仍是不清晰的，甚至存有不少的困惑源自不同背景、不同来源，不 同要求的合规、内控、风险管理等职责，在中大型企业内的并存，已 造成了一定的重复和冲突对于该问题，国企监管部门国资委已有所洞察在2015年 12 月 发布的重磅文件《关于全面推进法治央企建设的意见》中，明确要求 央企“探索建立法律、合规、风险、内控一体化管理平台”这对合 规、内控、风险等进行一体化的管理，提出了初始的要求在 2020 年 6 月发布的《关于对标世界一流管理提升行动的通知》中，提出央 企要“构建全面、全员、全过程、全体系的风险防控机制“。

这为建立合规、内控、风险一体化管理体系，再次提出了新的期望一、合规、内控、风险进行一体化的动因要建立合规、内控、风险一体化管理体系，须先问为什么要进行 合规、内控与风险的一体化管理?对央、国企来说，在合规管理方面， 标志性的指引文件是 2018 年颁发的《中央企业合规管理指引（试行）》; 在内部控制方面，权威文件是 2008 年颁发的《企业内部控制基本规 范》;在风险管理方面，标志性的指引文件是2006 年颁发的《中央企 业全面风险管理指引》这三份文件，出台的时间和背景，各不相同， 给企业风控等工作带来不同的视角但同时，对企业风控等工作从不 同角度也提出了不同的要求企业为符合这些不尽一致的要求，分别 进行了大量的人力和财力资源的投入，但取得的最终效果往往一般 将合规、内控与风险三者进行一体化管理，已是大势所趋首先，在组织架构层面实践中的法务、合规、内控、风控等部 门设置呈现各种式样有一些企业内分设法务部、合规部、风险管理 部、内控部等部门，有一些企业将法务与合规职能放在一个部门，另 有一些企业将内控部作为风险管理部门下属的一个子部门，等等不 同的部门设置，反映了企业对合规、内控、风险等的认识不一致，也 造成了企业执行合规、内控、风险管理工作的资源配置不同。

这无疑 会引起一些困惑和冲突一个有效的解决办法，就是进行统一的部门设置和统一的资源调度其次，合规、内控、风险管理，包括法律管理，有不少的工作内 容和工作程序是重合的如风险评估，在执行合规管理工作时，是一 个必要的程序;在内部控制实施时，同样需要 ;对于全面风险管理工 作，尤其需要但是，在具体进行工作拆解和职责分工时，合规、内 控与风险管理内的风险评估工作又不完全相同合规管理所指的“风 险评估”，是指“梳理经营管理活动中存在的合规风险，对风险发生 的可能性、影响程度、潜在后果等进行系统分析”内部控制需要的 “风险评估”，是“及时识别、系统分析经营活动中与实现内部控制 目标相关的风险”全面风险管理所界定的“风险评估”，是“查找 各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪 些风险”可见，合规、内控、风险三者都需要进行风险评估，但具 体表现和关注点，乃至评估方法，可能有所不同如何减少类似的重 合或重复工作，简化操作流程，是驱动对三者进行统筹考虑的主要因 素再次，从发展路径看，三份文件目前是各成一派，分别发展合 规管理指引文件是由国资委政策法规局主导制定，反映了监管部门对 制止国企违反法律法规底线的考量。

按该指引，央企合规管理牵头部 门应当于每年年底总结合规管理工作情况，起草年度报告，经董事会 审议通过后报送国资委内部控制规范是由财政部等五部委联合制定 的，反映了监管部门对企业提升资源配置效率和防范经营风险能力的 关注按 2012 年颁布的《关于加快构建中央企业内部控制体系有关 事项的通知》规定，央企必须每年 5 月 31 日前向国资委报送内部控 制评价报告，同时抄送派驻本企业监事会全面风险管理指引文件是 国资委企业改革局主导制定的，反映了监管部门对企业建立全面风险 管理体系，实现风险管理总体目标的要求2008 年起，国资委开启 中央企业报送年度全面风险管理报告的试点工作，自 2009 年开始， 中央企业每年均向国资委报送年度《企业风险管理报告》值得一提的是，在国资委最新印发的《关于做好 2020 年中央企 业内部控制体系建设与监督工作有关事项的通知》中，国资委提出要 进一步整合优化内控、风险管理和合规管理监督工作，按一体化要求 编制 2019 年度内控体系工作报告，不再分别报送《中央企业内部控 制评价报告》和《中央企业年度风险管理报告》，且报告的接收部门 统一为国资委综合监督局由此可以看出，合规、内控与风险管理三 者需向监管部门提供的工作报告，不管是出于效率提升，还是出于整 合优化，未来合而为一，也将是一种趋势。

最后，合规、内控与风险管理三者均与企业风险管控密切相关， 只是关注点和切入点不一样各种管理体系，大多数是人为设计和实 施的，都是某种角度的实践理性产物企业经营管理，其实越简单越 好对企业风险管理来说，本质上并不需要多个管理体系但管理企 业经营风险的单一方法，至今并没有出现因此，将合规管理体系、 内部控制体系、全面风险管理体系进行有效衔接、融合与统筹，即所 谓一体化，是大多数企业的必然选择，也是构建一套管理企业经营风 险的整体方法二、合规、内控、风险进行一体化的基础建立合规、内控、风险一体化管理体系，第二个要回答的问题， 就是合规、内控与风险管理为什么能一体化?它们进行一体化管理的 基础是什么?这需要从企业的目标说起很明显，企业的目标不应该是“风险管理”风险管理，只是企 业在实现目标的过程中不得不处理的一个环节企业的目标，根本上 还是企业的经营业务企业必须通过对战略的选择、对业务的执行来 完成其经营所有的管理体系，都应当是为企业经营服务的与风险 相关的管理体系，也不例外因此，合规管理、内部控制和全面风险 管理，虽然有不同的起源和要求，但根本上，都必须围绕企业的业务 基础的业务行为或称业务流程，是合规、内控与风险管理工作的共同 对象。

正是在企业的业务执行过程中，才产生了对合规管理、内部控 制与风险管理等工作的需求合规、内控与风险管理工作，虽然是基于业务流程，但正常的业 务行为并不必然会带来合规管理、内部控制或风险管理等工作的启 动正常的或称为顺利的业务行为，只会产生下一个业务行为只有 那些不正常的业务行为（包括经营和管理行为），如违法的行为、不当 的行为、错误的行为等，才会促使合规、内控或风险管理等工作的产 生这些不正常、不顺利的业务行为，在企业看来，即是风险行为合规管理是针对那些违反外部法律法规以及道德规范导致企业受损的业务行为;内部控制是针对那些企业内因缺少控制措施导致企 业受损的业务行为;全面风险管理是针对那些没有辨识内外环境发生 变化导致企业受损的业务行为总之，合规、内控与风险管理针对的 都是非正常的企业行为这些非正常的行为是相对的，是企业正常业务流程过程中出现的 意外、疏忽或故意等与企业目标不一致的行为从这个意义上说，合 规、内控与风险管理面临的情境是一致的，也即我们通常所说的风险 这正是三者可以进行一体化管理的共同基础它与监管部门一再强调 的体系建设须“以风险管理为导向”也是吻合的出现了风险行为，企业自然需要施加管控。

因此，对违反法律法 规或道德规范的行为的预防与管控，促使了合规管理工作的产生对 企业内缺少控制措施的行为的预防与管控，促使了内部控制工作的产 生对企业缺乏识别变化的行为的预防与管控，促使了风险管理工作 的产生这是合规、内控与风险管理三者在逻辑上的形成过程，与三 者在不同历史时期出现并分别得以强调和运用，可相互印证、毫不违 和综上，业务流程是合规、内控与风险管理工作的底层对象对业 务流程中出现的各类风险行为进行管控，是合规、内控与风险可以一 体化管理的共同基础也就是说，基于业务流程，既是所有风险管理 体系，包括合规管理体系、内部控制体系、风险管理体系等建设过程 中均须依赖的前提，也是合规、内控与风险一体化管理体系建设过程 中必须依赖的前提这一点，可从国资委2019年10 月印发的《关于 加强中央企业内部控制体系建设与监督工作的实施意见》中“将风险 管理和合规管理要求嵌入业务流程，促使企业依法合规开展各项经营 活动”的规定，再次得到验证三、合规、内控、风险管理的各自架构及其渊源建立合规、内控、风险一体化管理体系，在搞清楚为什么要一体 化之后，接下来的问题自然就是怎样进行一体化?合规、内控与风险， 同属企业风险管理工作的某一个部分，有不同的来源、不同的要求、 不同的指向。

要促进三者一体化，除了发现其共同的对象与基础以外， 还需归纳和总结其运行架构管理架构是有意识的系列管理活动的要 素及其相互之间的关系它是管理体系的内核唯有统一了架构，才足以表明和保障三者一体化管理体系的落地要归纳三者的统一架构，先要深刻认识三者各自的架构作为风 险管理工作，合规、内控与风险管理，均遵循过程方法和 PDCA(PLAN-DO-CHECK-ACTION)循环法三者在方法论上，有共通之处 共同的方法论，决定了三者的架构存在一致性但三者最后呈现的架 构，却仍是不完全相同的合规管理的架构，根据《中央企业合规管理指引(试行)》的规定， 由合规管理原则、职责、重点、运行与保障等部分组成其中运行机 制包括合规管理制度、合规风险识别预警机制、合规风险应对机制、 合规审查、违规问责、合规有效性评估等，保障机制包括合规考核评 价、合规管理信息化建设、合规管理队伍建设、合规培训、合规文化 培育、合规报告制度等该运行架构，与 2017 年颁布的国家标准 GB35770-2017《合规管理体系 指南》相比，更符合央企的实际情况 但不可否认的是，企业在实际运行合规管理架构时，不可避免地会参 考国家标准《合规管理体系 指南》。

可以说，正是这个等同采用了 ISO 国际标准的国内标准，为合规管理纳入一体化管理体系搭建了一 道桥梁内部控制的架构，根据《企业内部控制基本规范》的规定，由基 本原则、内部环境、风险评估、控制活动、信息与沟通、内部监督等 部分组成监管部门随后公布的 18 项配套《企业内部控制应用指引》 为内部控制在企业中的实际运行提供了具体参考该现行的内部控制 架构，很明显是参照了知名的美国反虚假财务报告委员会下属的发起 人委员会COSO内部控制整合框架（1992年正式版，1994年增补，2013 年更新版）COSO在内部控制框架的基础上，又发展和进化出企业风 险管理整合框架（COSO-ERM，2004年正式版，2017年更新版）由此 可以看出，内部控制的架构与风险管理的架构本身有相通之处风险管理的架构，根据《中央企业全面风险管理指引》的规定， 由总体目标、基本原则、信息收集、风险评估、风险管理策略、风险 管理解决方案、监督与改进、组织体系、信息系统、风险管理文化等 部分组成该指引是在贯彻落实《企业国有资产监督管理暂行条例》 关于“国有及国有控股企业应当加强内部监督和风险控制”的要求， 参考COSO内部控制整合框架、COSO-ERM、美国萨班斯法案等背景下 而出台的。

由此，风险管理的架构，与内部控制的架构也存在着天然 的内在契合之处合规、内控与风险管理，作为分别发展的管理体系，有着各自的 运行架构这既是需要对三者进行一体化管理的起因，也是搭建一体。