內控、風險與合規三位一體的管控體系協同研究

王秀男 吳華陽 楊柏豪 劉增啟 孫沿東 張亞平

摘要將內部控制、風險管理、合規管理等諸多管控要素整合，形成“N位一體”的綜合性管控體系成為多家中央企業的共識。越來越多的單位認識到以管控主線為核心，各部門協同，構建“一體化”風險管控體系的重要性。本文以執行國資委合規管理有關文件精神為基石，在創建阿米檢測技術有限公司“大合規”體系過程中，總結和提煉了內控、風險與合規相融合的實踐經驗，為企業管理者提供建設思路和參考。

關鍵詞 內部控制；風險管理；合規管理

DOI： 10.19840/j.cnki.FA.2022.01.004

近年來，國際社會和各國政府都在致力于建立和維護開放、透明、公平的社會秩序，與此同時，我國全面推進依法治國，國家領導人多次在重要會議中強調“依法治企、合規經營”的理念。國資委2019年頒布《關于加強中央企業內部控制體系建設與監督工作的實施意見》，提出企業應當依法合規開展各項經營活動，實現“強內控、防風險、促合規”的管控目標[1]。

在這樣的背景下，“合規”的概念逐步進入國有經濟組織的視野，但如何建立有效運行的合規管理體系，如何落地實施，合規管理與其他管控體系之間的關系等問題，困擾著企業管理層，影響企業合規體系建設的有效開展。

一、內控、風險與合規融合的必要性

合規以合規義務遵循為首要，如果違反合規義務會引發合規風險，該風險可能給企業或相關組織帶來刑事責任、民事責任、監管處罰及商譽損失，這些風險項下可以具體積累多種風險爆發點（如勞動用工風險、商業伙伴風險、競爭風險、市場交易風險、與行政主體間的風險等），涉外企業可能因違反所在國法律、法規引起輿論關注，并承受巨額處罰。

我國企事業單位高速發展成為帶動世界經濟的巨大引擎，同時也暴露出法律意識淡薄、辦事隨意、不講原則等問題，人情經營較為普遍。為打造國際一流企業，實現高質量發展，各單位急需對標國際先進企業，深化改革體制、規則、制度，而章程、規則和管理制度等管控文件恰恰是合規管理、內部控制的基礎。從員工遵循的角度看，執行合規管控下制定的各項制度，成為員工“守規矩”的基礎，但是守規矩的前提是要“立規矩”，同時還要“講規矩”，建立合規管理文化。

我國中央企業自2012年開始陸續建立了內部控制和全面風險管理體系，培育了良好的風險管理文化，增強了各級領導干部內部控制意識，對風險防控發揮了重要作用。但在合規體系建設方面，大多數企業由法律部門牽頭，一般停留在制定合規管理規定、合規行為準則等合規基本制度層面，做的較好的企業也僅僅完成了合規義務清單的梳理，尚未真正落實到企業日常經營和行為中，員工普遍認為“合規”僅僅是法律遵循的口號，與自己業務活動關系不大，并與內部控制、風險管理脫節，未能形成管控合力，“大合規”管理文化尚未建立起來。

因此，為促進合規行為的遵守，防止不合規行為發生，實現合規經營的企業治理目標，防范化解企業面臨的重大風險，我國企、事業單位建立內控、風險、合規“三位一體”的管理體系刻不容緩。

二、“三位一體”管控融合存在的問題及分析

問題1：實踐工作中，合規管理是法律概念還是內控概念，存在不同意見分歧，部分企業合規和內控分別由不同部門管理，容易產生本位主義思想。法律部門多從外部法律法規遵循出發，形成法律風險防范體系，可能導致經營管理領域合規義務研究、分析不夠深入，合規與業務流程、風險管理相脫節，缺乏有效、實用的落地運行機制，內部控制、風險管理與合規管理協同性不強，難以真正發揮強管理、促經營、防風險、創價值的作用[2]。

分析：企業對合規概念的理解不同，普遍認為合規是法律概念，合規風險等同于法律風險，強調“外規”的遵循，跨國經營企業更多的考慮國際環境、所在國法律規范和國際慣例、條約等，而將以章程、制度、職責為核心的“內規”未納入合規的范疇，將其歸屬于內控和風險管理，使得合規體系與業務相脫節，單純強調了法律的遵循，難以形成管控合力。

問題2：缺乏理論支撐和指導，一體化管控意識不強，歸口管理部門不統一，各自為政，專業化程度低，精力分散，浪費資源。

分析：國有企業、上市公司建立并實施內部控制、風險管理比較早，思想相對成熟，對風控管理有一定認知，風控文化逐步形成。隨著“合規”、“法治央企”概念引入，一些企業要么按照上級文件精神制定一個制度或清單，以應付檢查；要么認為內控、風險管理就是合規、法治的一部分，簡單的做些補充性工作，未能形成統一的一體化企業管控理念。

問題3：目前，企業面臨內控評價、風險管理、合規檢查、監察審計、專項督察、巡視等各類監管，頻于應付、顧及不暇，往往一撥人走了，又來一波，很多檢查、評價內容相似，只是側重點和出發點不同。監督、檢查周期也重疊，所提供的資料也差不多，導致企業認為形式的東西過多，削弱了監督的效果，使得企業風險管控“精神疲勞”，這種分散式的檢查、評價機制，既影響風控管理效果，又影響企業日常工作。

分析：隨著市場經濟環境的日益復雜，增加了重大風險發生的可能性，為防范可能發生的風險，國資管理等部門出臺了各類風險應對的文件、通知等。企業在消化、落實過程中，未能很好的理解文件精神，未能繼承、沿用原有良好的控制體系，單純為了“文件”實施檢查、評價，各體系協同不夠，導致監督、檢查“四面開花”，基層單位瀕于應付，應接不暇，影響正常工作開展。

三、內控、風險、合規三位一體的合規管理體系探索

合規管理本質上來說也是風險控制，內部控制流程、風險管理與合規管理的融合，形成一套風險控制管理體系，將成為風控領域發展的必然趨勢，即“從不同的角度說風險的事”，一套體系解決相似管理問題，避免勞民傷財。企業放下禁錮的包袱，輕裝前進，將逐步成為企、事業單位的共識。

（一）內控、風險、合規之間的區別與聯系

內部控制主要以業務流程為核心，通過控制矩陣將業務層面的風險控制在可接受水平；全面風險管理主要是化解和防范重大風險，對風險進行辨別、分析、評價、報告而形成體系化的風險管理；合規管理主要從法律角度切入風險的預防，通過企業外部法律、法規遵循，內部規章制度的遵守等，考量企業合規義務的遵循，防范不合規導致的企業合規風險。

內控、風險、合規均是從不同的側面或角度對風險進行的管理。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略[3]。內部控制通過對業務層面風險的管理，分析風險動因，控制日常經營行為，從而防止誘發重大風險的因素發酵。因此，內部控制更側重流程管理，與生產經營結合最為緊密，屬于風險管理第一道防線。內部控制體系運行識別出重大風險，往往通過編制重大風險解決方案進行預防。

風險管理體系主要是以國資委全面風險管理指引為引導，建立的包括風險辨識、風險分析和評價的方法論。通過風險評估進行排序，優先管理排名靠前的風險，通過剩余風險的評估，確定企業風險可接受水平，并對重大風險實施責任和目標化管理，定期回顧、總結和報告，糾正控制措施，主要目的是防范和化解重大風險[4]。

合規管理主要以國家法律、法規以及國際條約、慣例、企業內部章程、制度的遵循為出發點，梳理合規義務清單，確定重點領域、重點環節和重點人員，防范企業重要合規風險事項的發生[5]，內控、風險、合規區別與聯系如圖1所示。

（二）合規管理與內部控制融合

內部控制是以流程為核心的風險管控手段，是指導具體工作的管理文件。企業通過內控流程規范內控機制，合理界定崗位職責及權力運行結構，梳理優化業務及管理流程，科學規范經濟活動和業務活動，對業務層面潛在風險進行全面評估，擬定適當控制措施并遵照執行，為業務運營體系起到強有力的支撐保證作用。

原有內部控制體系中的流程圖主要通過邏輯關系對作業程序進行描述，關鍵節點審核、審批作為重點控制，與企業規章制度基本保持一致，合規性管控要求體現不強。內控流程強調經營風險，合規管理強調合規風險，兩者均以風險預防為核心。現階段，大多數企業的合規風險是通過合規義務清單進行控制，而合規義務清單一般是由法務工作者或律師按照外部法律梳理，具有法律條文的全面性、廣泛性的特點，形成的合規義務清單是一份大而全的數據庫，與業務活動銜接不是很緊密，將合規管理的要求和業務活動緊密結合，更具實際執行意義。

1.與管控流程的融合

在內控流程中嵌入合規要求，將業務風險和合規風險進行融合，體現在業務流程圖中，可以清晰的提醒流程執行者業務環節的風險點與合規要求。例如：基本制度制定流程，融入合規要求后的流程為[6]：（1）相關部門擬定規章制度；（2）部門負責人審核；（3）法律部門合規審查；（4）制度歸口部門審核；（5）分管領導審核：（6）是否涉及職工切身利益；（7）是則執行工會或職工代表大會審議；（8）否則執行總經理辦公會審議；（10）董事會決議。其中第（3）（7）（10）節點為合規管理要求，在流程圖中用醒目符號標注合規風險點，合規與內控流程融合流程如圖2所示，在一張業務流程圖中，實現了內控與合規的控制整合。

2.與控制矩陣融合

內部控制的流程（風險）控制措施主要是以控制矩陣形式體現，一般包括風險類別、控制目標、風險點描述、控制點編號、控制點描述、執行部門、執行崗位、控制頻率、控制證據、控制依據等要素，主要反映業務層面風險的控制，一般為流程執行者日常工作中的風險防范。

合規要求與控制矩陣融合的基本做法是：首先通過流程圖識別法，辨別哪個環節存在合規風險，其次對構成風險的主要因素進行分析，然后準確進行合規風險描述，最后擬定控制措施。

表現形式上對原控制矩陣進行修改，增加風險類別，將內控和合規進行區分，融合的作用就是讓流程執行者關注業務風險的同時，提高對合規風險的警覺，潛移默化的將合規文化滲透到日常經營管理當中，合規與控制矩陣融合見表1。

3.與內部控制評價融合

內部控制評價是企業對內部控制設計和運行有效性進行的客觀評價，其目的在于準確地揭示經營管理的風險狀況，優化內部控制體系，促進內部控制系統有效運行。

合規管理評估是通過對合規管理體系的有效性進行分析，對重大或反復出現的合規風險和違規問題，深入查找根源，完善相關制度，堵塞管理漏洞，強化過程管控，持續改進提升。

內部控制評價完全可以與合規管理評估或評價融合，將合規評價指標細化后，對員工合規職責履行情況進行評價。根據內部控制評價點控制要求，對內部控制體系設計和運行進行評價，并設置不同的權重，形成綜合考核評價結論，并將結果作為員工考核、干部任用、評先選優等工作的重要依據。

（三）合規管理與風險管理融合

風險，就是未來不確定性對企業的影響[7]。在企業經濟運行過程中，風險無處不在、無時不有。風險管理時，既要避免麻痹心理、僥幸心理，盲目樂觀，忽視風險的存在；同時也不要過于悲觀，杞人憂天，裹足不前，喪失發展良機。兩種極端的風險管控態度均不合理，要識別風險，分析內在成因及變化趨勢，采取適當措施加以控制，在防范、化解風險的同時，把握機遇，獲得收益。無論是內部控制、合規管理、法制建設，其主要目標是風險控制，只是從不同的角度和出發點闡述和論證，并通過不同的控制措施對風險點進行預防。因此，企業風險管理完全可以和內部控制、合規體系融合，成為一套完整的“泛合規”管控體系，其中包含經濟風險的日常管控措施，也涵蓋重點領域廉潔風險的防控，同時將梳理出來的合規風險矩陣化管理，形成一套全面的“泛”風險管理體系，避免企業管理體系過多，各自為政或因體系銜接不當造成執行掣肘，增加企業風險管理運營負擔。體系過多還可能會給管理層、職工造成負面影響，不利于培育良好的風險管理文化。因此，融合風險管理與合規體系非常必要。

（四）合規重點的確定與落實

我國法律規范、監管規定、行業準則、企業規章以及國際條約等有關合規要求浩如煙海，全部納入企業合規體系顯然不現實，也不經濟。企業“泛合規”體系建設，應當在全面性的基礎上，確定重點合規內容。

企業應當按照國資委合規管理規定，結合行業實際，梳理本單位的合規重點領域、重點環節和重點人員。共性的部分可采取國資委推薦的領域，特有的部分應當從發展戰略、價值鏈、風險等角度進行考量，綜合內外部環境和內部因素確定重點領域和重點環節，并對確定的合規重點進行深入研究，重點管理，形成廣而博的全面覆蓋，合規重點精進深入的“丁”字型結構。

重點人員管理是合規管理體系的一個難點，其難在“易識別、難落實”，即重點人員比較容易確定，一般可采用內部控制的方法，將高風險環節、關鍵崗位人員設定為重點人員等。在體系設計時，重點人員采取何種方式實現合規性約束，促進其主動履行合規義務較為困難，有關合規法規文件也沒有給出明確的指引。筆者認為，可通過如下方法初步實現：一是細化關鍵崗位職責，將合規義務和要求融入崗位說明書，構成日常崗位授權的一部分；二是將重點人員融入內控流程中，明確其參與的環節或履行的管理職責，在年度內控評價時，重點人員管理設定為“必評”項，不但要評價內控的有效性，還要對重點人員合規履職情況進行評定；三是以各類重點人員合規基本義務為核心內容，參照合規義務清單，按照“統一管理、逐級簽訂”的原則統一簽署《合規義務遵守承諾書》，年度終了檢查、考核，并與績效、問責掛鉤，促進重點人員切實履行合規義務。

（五）“三位一體”融合的解決之道

企業內部控制與風險管理部門經過多年的實踐，擁有較為豐富的內部控制、風險管理經驗，工作程序和思路比較清晰，風險識別方法科學、規范，可以有效指導合規管理體系建設。因此，建議將合規、內控、風險管理融合，形成一體化的管控體系，由內控部門牽頭成立企業全面風險工作機構，吸收法律、經營、人事、財務、技術等專業人才參與合規義務清單梳理，從整合風險管理的角度構建與經營管理緊密結合的、操作性強的合規、風險、內控三位一體的大合規管理體系。

四、結束語

合規意味著組織遵守了適用的法律法規及監管規定，也遵守了相關標準、合同、有效治理原則或道德準則。若不合規，組織可能遭受法律制裁、監管處罰、重大財產損失和聲譽損失。

在風險管理領域，不同的機構、部門從各自的管控要求和目的制定監管要求，其核心都是相關風險防范，管控目標是一致的，整合風險管理體系，有助于企業提高風險管理效率，形成管控合力，節約人力資源和運營成本，易于培育統一的風險管理文化。AFA

參考文獻

[1]國資委.關于加強中央企業內部控制體系建設與監督工作的實施意見（國資發監督規〔2019〕101號）[EB/OL].[2019-11-22].http：//gn.mofcom.gov.cn/ article/ddfg/201911/20191102916039.s html.

[2]國資委.關于印發《關于進一步深化法治央企建設的意見》的通知[EB/OL].[2021-10-17]. http：//w ww.sasac.gov.cn/n2588035/c21487848/ content.html.

[3]財政部等五部委.企業內部控制基本規范（財會〔2008〕7號）[EB/OL].[2008-07-10]. http：//www. csrc. gov. cn/pub/shenzhen/xxfw/tzzsyd/ssgs/sszl/ ssgsxx/201403/t20140317_245540.htm.

[4]國資委.關于印發《中央企業全面風險管理指引》的通知[EB/OL].[2006-06-20]. http：//www. sasac. gov. cn/n2588035/n2588320/n2588335/c425 8529/content.html.

[5]國資委.關于印發《中央企業合規管理指引（試行）》的通知[EB＼OL].[2018-11-09]. http：//www. sasac.gov.cn/n2588035/c9804413/content.html.

[6]阿米檢測技術有限公司.2021年度大合規管理體系文件及交流資料[R].無錫：2021.

[7]中國國家質檢總局、國家標準委. ISO 37301：2021《合規管理體系要求及使用指南》[EB/ OL].[2021-4-15]. www. zgzgtest. com/news/ hangye/221.html.

（審稿：劉春奇編輯：馮金玉）