企业合规内控风险一体化管理体系的构建必威体育精装版版.pdf

企业合规、内控、风险一体化管理体系的构建

当今社会，正面临着“百年未有之大变局”。企业身处其中，不

可避免地要应对越来越多的不确定性。对风险的预防、控制与应对，

已成为一项相对独立的企业管理职能。随着一些监管文件的发布和推

行，合规管理、内部控制、全面风险管理（以下简称为“合规、内控、

风险“）等与风险密切相关的概念，逐渐进入企业高层的视野。在最

新的一份国企改革三年行动方案中，“防风险”已成为国有企业董事

会的最重要职责之一。

但是，不管是企业内负责风险防控的专业部门和人员，还是企业

的高层管理者及经理层，对于合规、内控、风险管理三者边界的认知，

仍是不清晰的，甚至存有不少的困惑。源自不同背景、不同来源，不

同要求的合规、内控、风险管理等职责，在中大型企业内的并存，已

造成了一定的重复和冲突。

对于该问题，国企监管部门国资委已有所洞察。在2015年12月

发布的重磅文件《关于全面推进法治央企建设的意见》中，明确要求

央企“探索建立法律、合规、风险、内控一体化管理平台”。这对合

规、内控、风险等进行一体化的管理，提出了初始的要求。在2020年

6月发布的《关于对标世界一流管理提升行动的通知》中，提出央企要

“构建全面、全员、全过程、全体系的风险防控机制“。这为建

立合规、内控、风险一体化管理体系，再次提出了新的期望。

一、合规、内控、风险进行一体化的动因

要建立合规、内控、风险一体化管理体系，须先问为什么要进行

合规、内控与风险的一体化管理?对央、国企来说，在合规管理方面，

标志性的指引文件是2018年颁发的《中央企业合规管理指引（试行）》;

在内部控制方面，权威文件是2008年颁发的《企业内部控制基本规范》;

在风险管理方面，标志性的指引文件是2006年颁发的《中央企业全面

风险管理指引》。这三份文件，出台的时间和背景，各不相同，给企

业风控等工作带来不同的视角。但同时，对企业风控等工作从不同角

度也提出了不同的要求。企业为符合这些不尽一致的要求，分别进行

了大量的人力和财力资源的投入，但取得的最终效果往往一般。将合

规、内控与风险三者进行一体化管理，已是大势所趋。

首先，在组织架构层面。实践中的法务、合规、内控、风控等部

门设置呈现各种式样。有一些企业内分设法务部、合规部、风险管理

部、内控部等部门，有一些企业将法务与合规职能放在一个部门，另

有一些企业将内控部作为风险管理部门下属的一个子部门，等等。不

同的部门设置，反映了企业对合规、内控、风险等的认识不一致，也

造成了企业执行合规、内控、风险管理工作的资源配置不同。这无疑

会引起一些困惑和冲突。一个有效的解决办法，就是进行统一的部门

设置和统一的资源调度。

其次，合规、内控、风险管理，包括法律管理，有不少的工作内

容和工作程序是重合的。如风险评估，在执行合规管理工作时，是一

个必要的程序;在内部控制实施时，同样需要;对于全面风险管理工作，

尤其需要。但是，在具体进行工作拆解和职责分工时，合规、内控与

风险管理内的风险评估工作又不完全相同。合规管理所指的“风险评

估”，是指“梳理经营管理活动中存在的合规风险，对风险发生的可

能性、影响程度、潜在后果等进行系统分析”。内部控制需要的“风

险评估”，是“及时识别、系统分析经营活动中与实现内部控制目标

相关的风险”。全面风险管理所界定的“风险评估”，是“查找各业

务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风

险”。可见，合规、内控、风险三者都需要进行风险评估，但具体表

现和关注点，乃至评估方法，可能有所不同。如何减少类似的重合或

重复工作，简化操作流程，是驱动对三者进行统筹考虑的主要因素。

再次，从发展路径看，三份文件目前是各成一派，分别发展。合

规管理指引文件是由国资委政策法规局主导制定，反映了监管部门对

制止国企违反法律法规底线的考量。按该指引，央企合规管理牵头部

门应当于每年年底总结合规管理工作情况，起草年度报告，经董事会

审议通过后报送国资委。内部控制规范是由财政部等五部委联合制定

的，反映了监管部门对企业提升资源配置效率和防范经营风险能力的

关注。按2012年颁布的《关于加快构建中央企业内部控制体系有关

事项的通知》规定，央企必须每年5月31日前向国资委报送内部控制

评价报告，同时抄送派驻本企业监事会。全面风险管理指引文件是国

资委企业改革局主导制定的，反映了监管部门对企业建立全面风险管

理体系，实现风险管理总体目标的要求。2008年起，国资委开启中央

企业报送年度全面风