浅议风险、合规、内控工作的联系与一体化建设

    2018年11月，国务院国资委为进一步提高中央企业合法合规经营能力，加强风险防范能力，印发了《中央企业合规管理指引（试行）》[1]。合规指引对中央企业董事会、监事会、经理层、以及相关职能机构在合规管理中的职责分别进行了明确，点明了中央企业需在哪些重点领域、重点环节、对哪些重点人员加强合规管理;对合规管理的各项活动进行了规定和要求。

    在对新颁布的合规指引学习之后，我们不难发现，合规管理运用了风险管理的理念，采用了内部控制分业务、分环节进行管理的方法;尤其是在指引第四条原则中明确了合规管理工作需与中央企业的内部控制、全面风险管理、纪检监察等相关工作统筹衔接的要求。那么，合规管理与全面风险管理、内部控制的联系与区别到底在哪里，如何做到统筹衔接呢？笔者通过对国资委、财政部等部委印发的《中央企业全面风险管理指引》[2]、《企业内部控制基本规范》[3]和配套指引、《中央企业合规管理指引（试行）》三项指引认真学习比较分析，结合笔者所在中央企业的实际做法，提出一体化建设思路，供大家思考及讨论。

    一、风险、内控、合规的区别与联系

    1.定义与范围

    《中央企业全面风险管理指引》按类别，将企业的风险分为战略风险、财务风险、法律风险等;按风险带来的影响，将企业的风险分为纯粹风险和机会风险，纯粹风险是负面影响，是风险事件带来损失的可能性，机会风险则还存在盈利的可能性。《中央企业合规管理指引（试行）》强调了违反法律法规、行业准则等带来风险的负面影响。所以，全面风险管理中定义的企业风险较为全面。

    从管理内容及范围上看，《企业内部控制基本规范》要求内部控制应该贯穿业务活动的决策、实施和监督全过程，并且覆盖企业的各项业务和事项;2010年，内部控制配套指引中的应用指引进一步对资金、采购、销售、预算、合同等18项业务和事项，分别按业务流程和环节点明存在的主要风险，提出控制要求。《中央企业合规管理指引（试行）》也要求将合规覆盖各项业务、企业各部门、各分子公司和全体员工，贯彻业务全流程，与内部控制的要求一致。《中央企业全面风险管理指引》则明确了全面风险管理活动包括了内部控制系统。

    2.工作目标

    全面风险管理的目标与内部控制的目标基本吻合，均包括了合法合规、信息真实、提升效率效果等;除此之外，全面风险管理还要求确保建立危机处理预案。而合规管理，仅以有效防控合规风险为目的。

    从三项工作的目标来看，全面风险管理包括了内部控制的五项目标，二者均包括了合规管理关于遵守法律法规的要求，但合规管理对于“规”的范围作了延伸，除了法律法规外，还涵盖了企业规章制度和国际条约。

    3.管理方式

    全面风险管理指引着重强调了风险管理的程序和方法，对于“初始信息收集→风险评估→制定策略→提出解决方案→监督改进”风险全流程管理提出了详细具体的要求，同时详细列举了几种常用的风险评估方法。内部控制五要素之中的“风险评估”和“监督评价”，其内容与全面风险管理保持了一致;除此之外，内部控制还强调了企业在治理结构、职责分配、人力资源、企业文化等方面基礎管理要求。合规管理工作除了常规的风险管理活动外，增加了合规审查、责任追究、考核评价、合规培训等其特有的管理活动。

    从管理的方式方法上来看，三方面工作在风险管理流程方面基本一致。

    综上，全面风险、内部控制和合规管理三项工作内容互有交错，但侧重点各有不同。内部控制以业务环节为出发点，通过对高风险环节制定控制措施，合理控制风险，关注的是控制的有效性;全面风险管理侧重从风险管理的技术、方法和手段入手，制定企业风险应对机制，增加竞争优势，减少负面损失;合规管理强调合规风险的负面影响，管理对象不仅包括企业，还涵盖员工的经营管理行为，注重保障主体不因不合规行为而引发处罚、造成经济或声誉损失等。

    据此，笔者认为，全面风险管理无论是从内涵上、目标上均较为全面，可以将内部控制、合规管理纳入全面风险管理，统筹推进三方面工作的一体化建设。企业可以建立以合规风险防范为全面风险管理的重要目标，以风险管理技术、方法为手段，以内部控制为基础的一体化管理体系。

    二、企业管理现状与存在的问题

    近年来，中央企业认真推进全面风险管理和内部控制工作，对夯实基础管理、防范化解重大风险发挥了积极作用。2018年底，合规指引印发后，合规管理工作目前成为了央企工作的重点。但与此同时，不少央企存在着风险、内控、合规三项工作分头推进、分别开展体系建设、制度建设的情况，导致部分工作职责交叉、工作内容重复，企业管理资源未有效利用，在一定程度上形成了浪费，影响了企业整体效率。

    笔者所在的央企集团同样存在上述问题，风险、内控、合规三方面体系建设未完全统筹衔接，三项工作分别由集团法律部、财务部和纪检监察部三个部门牵头，分别开展工作。

    究其原因，一是国家监管体制机制因素。目前内部控制、全面风险和合规管理三方面工作分别由国务院国资委财务监管局、企业改革局和政策法规局监管，由于主管司局不同，故笔者所在央企集团按条线，三方面的日常工作由财务部、法律部和纪检监察部分别与相关司局对口联系，在相关司局的指导下分头开展工作。

    二是三套指引时间发布不同。《全面风险管理指引》于2006年颁布，《企业内部控制基本规范》和配套指引分别与2008年和2010年颁布，《中央企业合规管理指引》于2018年底颁布，并且都明确要建立相应的管理体系。该因素直接导致企业三项工作启动时点不同，笔者所在央企全面风险和内部控制工作已健全体制机制且已形成常态化管控机制，但合规管理工作则刚刚起步。

    三是工作要求不同。内部控制基本规范及其配套指引虽是五部委联合发文，但主要是由财政部组织制定，从控制措施和管理要求上，更着重于财务方面的管控;要求每年5月底前向国资委报送企业内部控制评价报告。全面风险管理指引和合规管理指引虽都由国资委印发，但由不同司局编制，合规管理指引要求由法律事务机构或其他机构为合规管理的牵头部门，要求每年年底向国资委报送合规管理工作总结报告;而全面风险管理工作要求每半年向国资委报送全面风险管理报告。三项工作均需向国资委报送报告，但报告编写要求、报送时间点、报送频率均不同。

    鉴于前面三方面因素，故笔者所在央企集团明确由财务部负责建立内部控制体系;法律部在之前的法律风险防控体系的基础上建立全面风险管理体系;结合本集团合规管理与纪检监察工作结合的特点，由纪检监察部建立合规管理体系。

    三、应对措施及建议

    考慮到风险、内控、合规三项工作分头开展造成的职责交叉、工作重复、资源浪费的现象，笔者所在央企集团初步尝试开展了风险与内控、风险与合规的融合。

    一是风险分类框架的融合。笔者所在央企集团内部控制体系包括的28项内部控制指引均列有风险库，其中的关键风险点部分已列为公司全面风险管理信息库的二级、三级风险;同时，通过开展年度风险评估，集团将新增的风险作为内部控制关键风险点，组织制定完善相关控制措施，形成闭环管理。

    二是风险控制措施的融合。内部控制与全面风险管理工作均要求针对风险制定控制措施，集团在开展两方面工作过程中，本着节约资源、信息共享的原则，将内部控制措施融入公司风险应对措施之中，在一定程度上达到有效衔接。

    三是风险岗位责任的融合。笔者所在集团的全面风险管理工作正在推进具体业务岗位法律风险的识别和梳理工作，结合合规管理工作要求建立“全员合规责任制”的要求，集团目前由纪检部门牵头，法律部门配合，两项工作结合起来开展。要求业务部门以业务流程为基础，针对重要业务环节梳理合规风险点，进一步明确国家法律法规、行业准则的要求，以及集团自我制度体系的要求，形成面向全体员工的合规培训材料，减少了重复性的工作，减轻了业务部门的压力。

    一是从机构设置上，建议国家部委监管司局统一，避免多头管理;中央企业在国家部委的领导下，开展组织机构的融合，为三方面工作的融合推进奠定基础。笔者建议由企业的全面风险管理部门牵头统一开展三项工作。

    二是从管理要求上，建议国家部委进一步统一要求。例如，推进建立统一的风险评估标准体系和风险评估指标库，组织完善风险评估技术等，要求央企定期开展全面评估工作，形成评估报告，建立长效的从风险评估到整改完善的闭环管理机制。

    三是从工作要求上，建议国家部委从为企业减负角度出发，统一报告内容、时点和频率;中央企业也应从自身实际出发，在工作流程、工具方法等方面进一步探索，实现程序统一、信息共享，达到提升效率、事半功倍的效果。

    【参考文献】

    [1] 《中央企业合规管理指引（试行）》（国资发法规〔2018〕106号）;

    [2] 《中央企业全面风险管理指引》（国资发改革〔2006〕108号）;

    [3] 《企业内部控制基本规范》（财会〔2008〕7号）。

    作者简介：陈宁，女（1974.11），汉族，上海市人，上海大学经济学学士，现任财务部综合内控处处长，研究方向为企业内控管理。