國有企業“法務、合規、風險、內控”一體化協同管理體系建設創新思考與研究

許騰　張建鑫

摘要：近年來，為加快國有企業高質量發展，提高國有企業應對重大風險的防范和化解能力，國務院國有資產監督管理委員會建立了嚴格、規范、全面、有效的內部控制體系，重點是風險管理和依法合規。作為國有企業改革的一項重要任務，國有企業目前正處于逐步建立合規管理體系的階段。在實際運營過程中，公司分別推進法務、風險、內部控制和合規工作，并分別進行制度建設和體系建設。有些任務重疊，工作內容重復，內部控制風險管理和合規監督體系分散，統一控制的效率低，導致管理資源浪費，影響公司管理的整體效率。

關鍵詞：法務；合規；風控；內控；一體化管理

近年來，隨著國家依法治企的推進和加強，《中央企業合規管理指引（試行）》《企業境外經營合規管理指引》ISO37301： 2021《合規管理體系要求及使用指南》《中央企業合規管理辦法》等文件和標準相繼發布實施，企業合規管理和風險控制體系建設進入深水區。各類企業加強合規、內控、風險管理和法律管理，推進合規管理，努力防范和化解風險。國有企業的市場環境大多復雜，在經營管理過程中往往伴隨著各種風險。針對風險的預防控制和應對一直是中央和國有企業的一項重要任務。中央和國有企業具有多功能管理和充分參與的典型特征。在這種模式下，公司的法律、合規、內部控制和風險管理系統是自主的，風險控制工作與公司的業務是脫節的，也存在重復性工作、存在遺漏要點以及存在協調不力導致公司風險管理工作效率低下的情況。

一、法務、合規、內控、風險一體化管理的內涵

法務管理的核心是對公司的法律風險進行管理，包括法律風險環境信息的定義、評估和應對，法律風險、檢查監督、溝通和文件制作。在企業法律風險管理方面，構建和實施企業法律風險體系是可能的。

合規管理是指有組織和有計劃的管理活動，如系統開發、風險識別、合規審查、風險應對、責任評估和合規培訓。根據公司和員工的經營管理行為，有效預防和控制合規風險。合規管理的重點是建立合規管理體系，從各個方面保護企業業務。

風險管理包括內部風險和外部風險。內部風險包括與人力資源相關的風險。外部風險包括經濟條件、當前產業政策、金融環境、市場競爭、所需資源供應和監管要求。

內部控制是指圍繞風險管理的戰略目標，制定和實施的規則規定、程序和措施。公司內部控制貫穿公司管理活動的決策，擴展到實施和監督的各個階段，包括整個經營活動過程。

法務、合規、內部控制和風險管理是相互關聯、互補和協調的，旨在有效預防和控制各類風險。因此，企業必須建立一個與組織、業務目標、業務內容和業務流程相關的全面的法務、合規、內部控制和風險管理體系。

二、法務、合規、內控、風險一體化管理的必要性

（一）法務、合規、內控、風險管理存在的問題

地方國有企業目前面臨著規模較小、缺乏法律和合規專家的問題。大多數公司要么缺乏健全的“法律管理、合規管理、內部控制和風險管理”的運營體系，要么出現多部門管理，存在邊界不清、職能重復、協調困難、信息不足、合力不足、效率低下等問題。一些公司缺乏法律服務和職能，而另一些公司缺乏健全的內部控制系統，無法及時建立恰當的支持制度。公司內部控制和違規制裁不嚴格，無法發揮風險防范作用，以及對于風險管理的意識不強等問題都急需解決。

（二）法務、合規、內控、風險一體化管理的優勢

1. 降低管理成本，提高管理效率

國有企業現行的法務管理、合規管理、內部控制管理和風險管理程序包括風險識別、風險評估、風險應對、監測和改進等環節，設立多部門進行重復性管理，會造成資源浪費的情況。建立全面融合協調的內部控制和風險管理系統，優化管理結構，升級管理流程，在優勢方面實現互補，為問題提供全方位的解決措施，能夠降低相關分系統之間在管理方面存在的分歧，達到降低管理成本、節約資源、提高效率的目的。

2. 有效防范風險，促進企業安全發展

從中央企業到地方國企，都能對于風險防范進行高度的重視，堅持深入思考，提高風險的防控技能，建立全面的風險管理體系，有效控制重大糾紛和重大危險事件的發生頻率。促進決策，解決重大風險事件，提高企業運營質量和整體水平，支持企業業務發展。

3. 強化風險管理理念，塑造企業風險管理文化

在市場經濟大背景下，風險管理應運而生，并成為企業進行現代化管理的重要組成部分，是企業良性穩步高質量運行的基本保障，也是企業在競爭激烈的時代，進行合法可持續經營的重要保障。內部控制和風險的綜合管理可以極大地整合人力和物力資源，突出風險管理的有效性，并且深入人心的風險管理理念，有助于建立重視風險和自我管理的企業風險管理文化以及具有商業誠信和合法合規經營的商譽。

4. 適應新形勢下市場競爭、改革轉型升級的需要

隨著新經濟常態的到來，國有企業面臨著新的困境。其一，市場外部的競爭日益激烈，其二，內部管理模式和內部機制日益受到限制。建立內部控制和全面的風險管理體系是公司適應新形勢下的市場要求，進行轉型升級的有力舉措。針對風險管理資源進行梳理完善，形成企業良性經營發展，能夠促進國有企業改革轉型，提升國有企業核心市場競爭力。

三、“四個統一”的管理機制

（一）組織職能統一

在構建全面的法務管理、風險管理、內控或合規管理體系時，企業首先需要簡化公司的內部組織結構，整合組織職能，優化組織架構。同時明晰各組織機構的具體職能，避免出現職能重疊導致的出現問題后無人解決，推諉扯皮的現象發生。具體而言，在管理、治理和執行方面，有必要實現全面的法務管理、風險管理、內部控制和合規職能的相統一。

（二）工作機制統一

工作機制統一涉及第二道防線的年度風險、內控與合規工作的安排，以及第二道防線與其他部門協調機制的統一兩個部分。第二道防線是基于組織職能統一的原則，將年度法務、風險、內部控制和合規工作相結合，建立年初安排、年中控制和年終總結的工作機制。然而實質是要進行整合，如內部控制自我評估與合規性核查、年度計劃和年報整合，在一定程度上降低了管理控制的成本，但實際實施取決于管理工具的一體化。

此外，協調第二道防線與其他部門之間的機制，需要監管機構之間的協作機制，主要承擔對目標企業監督工作相關機構和相關業務進行整合。例如在法務管理、風險管理、內部控制、合規管理、法律事務管理、文件核查、審計、監察等方面都需要考慮。

（三）管理制度統一

從管理的角度來看，法務、風險、內部控制和合規的整合可以分為兩個方面。一個是系統建設，另一個是日常系統運行。系統建設基本上是根據內部控制和合規要求設計控制標準，并在日常運營中實施這些標準。形式方面由于在內部控制、風險防范以及合規層面存在差別，不同的企業開發相關的管理工具比如說：包括風險管理手冊、內部控制手冊、內部監控評估手冊、合規管理手冊、合規化手冊等。按管理工具分類，除第二和第三道防線上的專業部門外，第一道防線的業務部門對這些管理工具的理解和有效使用并不具有實質性和可操性。

（四）評價體系統一

第一道防線的相關部門根據系統制定的控制標準進行日常管理。除了日常流程審計，第二道防線主要包括年度系統評估，第三道防線是系統有效性評估。

第二道防線的年度評估是確保管理體系有效運行的重要任務。因此，建立統一的評估體系也是促進風險控制、內部控制和合規一體化的重要任務之一。企業應明確風險管理、內部控制自我評估、合規管理檢查的具體要求，運用綜合管理體系的評估形式、評估方法以及評估匯報路徑，明確檢查和評估問題的糾正和后續機制，制定與綜合評價相關的檢驗和測試程序，制定基本版本的檢驗表格和綜合評價底稿，明確檢驗結果和缺陷識別標準，將內部控制自我評估、合規管理檢查及風險檢查工作有機統一，降低控制成本，實現評價目標。

四、“四個統一”主要思路

（一）融合管理體系

將分散在風險、法律、內控、合規四大管理體系中的風險因素有機整合，疊加管理要求，形成全面的風險防控體系。在開始覆蓋流程之前，設計覆蓋框架。根據合規、風險和內部控制以及法務的現有體系選擇因素。

國有企業一般將四大風險管理體系的風險控制要素定義為培訓、勞動標準、風險管理、事件審查、違規管理、信息與溝通、宣傳與培訓、規劃與報告、文化建設等。在確定重疊框架后，法務、合規、風險和內部控制等現有管理要求將整合到一個統一框架中。在這個過程中有幾點需要注意：

1. 全面風險清單的構建

所有庫存項目將根據公司在法律、合規、風險和內部控制系統領域創建的基本庫存進行分類和匯總。風險清單分類標準的選擇主要是為了判斷現有四大體系的成熟度和合理性，植根于內部控制體系的“十八項指引”或風險體系中的五大風險類型可以作為總結綜合風險清單的依據。具體制定的過程中，要注意編目時應采用編號規則和命名約定；應建立統一的標準和規范，以形成危險發生概率和程度的定量或分級指標。

2. 全面風險事件庫的構建

在四個體系中，風險管理類最突出的優勢是對外部因素的關注。因此，四位一體體系中的事件庫應從風險的角度出發，搜集同一行業、同一類別、同一分類的企業，可供參考的風險事件，結合國企本身的歷史風險事件，形成風險事件庫進行參考。風險事件的統計范圍包括：風險描述、風險時間、風險原因和解決方案，從而統一風險識別思路。

（二）精簡流程融合

1. 風險清單及風險事件庫

以“加法”完成的風險清單和風險事件數據庫為基礎，每一事項可以在法律、合規、風險、內控四類風險中進行標注，可以鎖定風險應對的管理流程，可以索引相關的現有系統。

2. 流程標識

在全面風險防控體系運行過程中，通過不同的控制方法在相應的流程中識別風險點，與風險清單中的控制手段相對應，從而增強風險控制。

3. 以“1+N”的制度體系作為“四位一體”

“1”指《四位一體全面風險防控管理控制手冊》，是公司整合風險管理的綜合性文件，在手冊中針對職能融合、制度融合、組織融合以及基本管理模式和基本管理流程都進行了規定。

“N”是指在具體運用《四位一體全面風險防控管理控制手冊》過程中，對于具體事項的細化規定可以通過借鑒合同管理辦法來進行進一步的規定，除此之外還有風險評估手冊、法律糾紛管理辦法、國際標準手冊、內控合規手冊、風險應對手冊等。

（三）提升管理水平

“四位一體”風險防控體系的構建過程也賦能了企業的整體管理職能。綜合管理體系運行機制的合理創新，將有效提高管理效率，優化風險防控工作和各項管理職能，事半功倍，體現倍增效應。

1. 治理與組織層面

在組織架構設計上，從治理層、管理層、執行層的定位出發，統一組織職能，精簡組織架構，對風險防范相關職責進行明確，避免職能交叉。

治理層的設計重點是符合當下相關政策法規，如設立首席合規官和總法律顧問；管理層需要關注權限的劃分；執行層面是注重加強部門的職能分工和協調機制。針對治理層、管理層、執行層的組織架構設計，其想達到的目標是將風險防控的要求貫徹融入企業的各個部門和環節，實現治理、管理和執行的默契配合。

2. 管理制度與流程層面

通過梳理風險清單相關制度，一方面將進一步明確風險事件的權責歸屬，歸屬范圍將擴展至企業所有職能和業務條線；另一方面，流程中風險關注點的標記將涉及到從業務流程到管理流程的銜接，并將為相關系統補充風險識別、應對、評估和信息反饋等工作項。

（四）優化資源配置

1. 管理資源的分配

為了更好地實施法務、合規、風險和內控一體化管理體系，企業需要不斷加強風險管理人才隊伍建設，培養一批真正掌握風險管理技術和方法的專業人才團隊。同時，要進一步完善人才聘用選拔管理機制，拓寬職工的發展渠道，充分將各類人才的積極性和主動性調動起來，真正做好法務、合規、內控、風險綜合管理的人才支撐建立工作。

2. 數字化資源的分配

企業需要構建一體化的風險管理信息平臺，如涵蓋法務數據庫、風險數據庫、內控數據庫、供應商數據庫、案例數據庫等內部數據庫，加強風險案例數據、風險清單等風險管控類數據的積累。此外，企業需要打通各種管理信息系統的數據庫，將風險控制點嵌入業務管理流程，按照業務管理中的角色和崗位實現風險預警和風險審查。

五、構建法務、合規、內控、風險一體化管理體系相關建議

（一）法務、合規、內控、風險一體化管理體系建設原則

1. 堅持領導主抓和全員參與相結合。明確企業主要負責人是加強風險控制的第一責任人；建立全員責任制，將合法合規、內部控制和風險防控要求深入崗位職責，在崗位工作全過程中進行落實。

2. 堅持綜合治理和突出重點相結合。法務、合規、內控、風險一體化管理應覆蓋整個業務領域、整個業務流程、整個組織層面和全體員工，貫穿決策、執行、監督的全過程，突出重要領域、關鍵環節、關鍵人員和關鍵單位的管理。

3. 堅持成本與效益、控制與效率的統一。風險控制要充分考慮成本和收益、控制和效率，以適中的成本和效率實現有效的防控。

（二）法務、合規、內控、風險一體化管理體系建設思路

1. 以明確組織架構為前提。

首先，在治理層面，由全體董事組成的業務執行機關是企業風險綜合管理的最高決策機構。企業中還有審計委員會以及法治與風險委員會，這兩者都對董事會負責。監事會在企業綜合風險管理中的地位屬于監督機關，主要負責監督董事會和經理層建立和實施風險管理的舉措。

其次，在管理層面，總經理主要負責公司的日常運營和組織建設，領導公司的全面風險管理。法律總顧問或主管領導主要負責法律事務、合規、內部控制和風險管理等職責。

最后，在執行層面，法務部發揮統籌協調作用，設立兼職合規管理人員，將特定合規要求納入工作職責和業務流程，做好特殊領域的合規管理，及時有效地防范和處理合規風險。

2. 以強化制度建設為基礎

一是建立法律管理、合規、內部控制和統一風險管理的體系，明確職能、制度、組織和責任的統一、基本管理模式和基本管理流程。

二是在綱領性制度要求的基礎上，制定配套的管理工具，包括風險管理手冊、內部控制手冊、內部控制評價手冊、合規管理手冊等細化制度。

三是將風險、內控和合規管理要求、評價標準和風險應對措施整合到體系中，確保企業日常業務流程和管理符合風險、內控和合規要求。

四是將業務流程嵌入企業規章制度，將財務管理制度、用工管理制度、合同管理制度、審計監督管理制度融入公司運營的具體流程，進一步加強對制度執行現狀的檢查和監督，強化制度的剛性約束。

五是定期進行系統整頓，編制新立、修改、廢止計劃，對重點改革任務配套體系進行完善，修訂重點領域管理標準，提高效率和相關性。

3. 以構建閉環管理系統為重點

一是風險識別，收集與公司風險管理相關的內外部初始信息，對手機原始信息以及在具體操作中的業務管理流程進行風險的識別和風險。

二是風險評估。依據企業經營目標，定期舉辦風險偏好以及風險承受能力的評估，制定相應的風險應對策略，實施動態管理。

三是風險應對。優化公司的規章制度，細化到具體應對風險的具體措施以及主營業務所涉及的法律合規要求，將其規章制度能夠切實實施在業務流程和項目中，以此逐步實現優化內部控制的效果，公司在日常運營中要自覺對照規章制度，提高應對風險的能力，提升企業經營效率。

四是風險監管和改進。法務風險控制部門及時對綜合風險管理進行跟蹤和監督，并根據監督結果改進和推進綜合風險管理，確保綜合風險管理的效果。

五是考核問責。加強法務、合規、內控、風險整合等方面的管理考核和責任追究，在企業績效考核中將風險管理情況這一考量因素納入，若考核存在問題，將依據我國的法律法規和企業的相關規章制度來進行責任追究。

4. 以協同工作機制為保障

一是法律事務、合規、內部控制和風險管理之間的重復工作將被合并，如內部控制自我評估和合規檢查，以及各項工作的年度計劃和年度報告的整合。

二是要構建多個監管主體的協同監管機制，將法務管理、合規管理、內部控制、風險管理、紀檢監察、審計、監事會等主體進行有機結合。在具體工作的方方面面，諸如：工作計劃、工作方式、工作內容、工作要求等，建立在監管主體的組織下，相互協調配合的業務流程，提升監管工作的合力和效果。

5. 以數字化建設為手段

一是搭建法務、合規、內控、風險一體化管理系統平臺，建立法務數據庫、風險數據庫、內控數據庫、供應商數據庫、案例數據庫等企業內部數據庫，加強風險清單、風險事件、合同文稿、案例數據、控制措施等風險控制數據的持續積累。

二是利用信息技術打通各業務信息系統的數據庫，將風險審查要點嵌入重要業務流程，形成基于崗位職責的法律、合規、內控和風險審查機制，實現業務信息系統在流程處理過程中，可以根據崗位對業務經理、業務負責人、法律審核員等不同審查角色進行提示和審查。

三是建立企業風險識別預警機制，利用大數據和人工智能技術識別各類風險，設立風險預警管理系統，實時監控業務流程各個環節可能存在的風險。

6. 以人才隊伍建設為支撐

為適應綜合管理的需要，應繼續加強人才隊伍建設，打造懂專業、懂管理、懂業務、懂財務、會管理的復合型人才。同時，要對專業發展渠道進行擴展，對于復合型特殊人才，要在市場化選拔、管理和獎勵方面進行制度的完善，采取有效的激勵措施，將其積極性和主動性調動起來。

將企業法務、合規、內控、風險一體化管理納入企業整體規劃，實現公司系統全覆蓋，對企業重點業務板塊以及關鍵業務流程進行一體化管控，推進信息系統集成應用，促進建立四大風險一體化協同管理體系，有效提升企業整體抗風險能力，為企業高質量發展保駕護航。

參考文獻：

[1]田昕清，劉丁源.“十四五”時期我國企業“走出去”合規風險研究[J].中國經貿導刊，2020（09）：18-21.

[2]陶光云.X集團公司全面風險管理體系框架建設研究[D].昆明：昆明理工大學，2015.

[3]潘尤迪，喬驕.論我國國有企業構建完善法律合規體系的必要性——簡評《中央企業合規管理指引（試行）》[J].法制與社會，2019（32）：163-164.

[4]王軍，王新文，黃碧波，等.大型國企法律、合規、風險、內控一體化管理體系[J].國企管理，2021（16）：32-39.

[5]張鶴.國有企業規章制度體系建設完善策略[J].現代企業，2023（02）：24-26.

（作者單位：許騰，山西建投集團裝飾有限公司；張建鑫，山西華炬律師事務所）