内控、风险与合规三位一体的管控体系协同研究

王秀男 吴华阳 杨柏豪 刘增启 孙沿东 张亚平

摘要将内部控制、风险管理、合规管理等诸多管控要素整合，形成“N位一体”的综合性管控体系成为多家中央企业的共识。越来越多的单位认识到以管控主线为核心，各部门协同，构建“一体化”风险管控体系的重要性。本文以执行国资委合规管理有关文件精神为基石，在创建阿米检测技术有限公司“大合规”体系过程中，总结和提炼了内控、风险与合规相融合的实践经验，为企业管理者提供建设思路和参考。

关键词 内部控制；风险管理；合规管理

DOI： 10.19840/j.cnki.FA.2022.01.004

近年来，国际社会和各国政府都在致力于建立和维护开放、透明、公平的社会秩序，与此同时，我国全面推进依法治国，国家领导人多次在重要会议中强调“依法治企、合规经营”的理念。国资委2019年颁布《关于加强中央企业内部控制体系建设与监督工作的实施意见》，提出企业应当依法合规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标[1]。

在这样的背景下，“合规”的概念逐步进入国有经济组织的视野，但如何建立有效运行的合规管理体系，如何落地实施，合规管理与其他管控体系之间的关系等问题，困扰着企业管理层，影响企业合规体系建设的有效开展。

一、内控、风险与合规融合的必要性

合规以合规义务遵循为首要，如果违反合规义务会引发合规风险，该风险可能给企业或相关组织带来刑事责任、民事责任、监管处罚及商誉损失，这些风险项下可以具体积累多种风险爆发点（如劳动用工风险、商业伙伴风险、竞争风险、市场交易风险、与行政主体间的风险等），涉外企业可能因违反所在国法律、法规引起舆论关注，并承受巨额处罚。

我国企事业单位高速发展成为带动世界经济的巨大引擎，同时也暴露出法律意识淡薄、办事随意、不讲原则等问题，人情经营较为普遍。为打造国际一流企业，实现高质量发展，各单位急需对标国际先进企业，深化改革体制、规则、制度，而章程、规则和管理制度等管控文件恰恰是合规管理、内部控制的基础。从员工遵循的角度看，执行合规管控下制定的各项制度，成为员工“守规矩”的基础，但是守规矩的前提是要“立规矩”，同时还要“讲规矩”，建立合规管理文化。

我国中央企业自2012年开始陆续建立了内部控制和全面风险管理体系，培育了良好的风险管理文化，增强了各级领导干部内部控制意识，对风险防控发挥了重要作用。但在合规体系建设方面，大多数企业由法律部门牵头，一般停留在制定合规管理规定、合规行为准则等合规基本制度层面，做的较好的企业也仅仅完成了合规义务清单的梳理，尚未真正落实到企业日常经营和行为中，员工普遍认为“合规”仅仅是法律遵循的口号，与自己业务活动关系不大，并与内部控制、风险管理脱节，未能形成管控合力，“大合规”管理文化尚未建立起来。

因此，为促进合规行为的遵守，防止不合规行为发生，实现合规经营的企业治理目标，防范化解企业面临的重大风险，我国企、事业单位建立内控、风险、合规“三位一体”的管理体系刻不容缓。

二、“三位一体”管控融合存在的问题及分析

问题1：实践工作中，合规管理是法律概念还是内控概念，存在不同意见分歧，部分企业合规和内控分别由不同部门管理，容易产生本位主义思想。法律部门多从外部法律法规遵循出发，形成法律风险防范体系，可能导致经营管理领域合规义务研究、分析不够深入，合规与业务流程、风险管理相脱节，缺乏有效、实用的落地运行机制，内部控制、风险管理与合规管理协同性不强，难以真正发挥强管理、促经营、防风险、创价值的作用[2]。

分析：企业对合规概念的理解不同，普遍认为合规是法律概念，合规风险等同于法律风险，强调“外规”的遵循，跨国经营企业更多的考虑国际環境、所在国法律规范和国际惯例、条约等，而将以章程、制度、职责为核心的“内规”未纳入合规的范畴，将其归属于内控和风险管理，使得合规体系与业务相脱节，单纯强调了法律的遵循，难以形成管控合力。

问题2：缺乏理论支撑和指导，一体化管控意识不强，归口管理部门不统一，各自为政，专业化程度低，精力分散，浪费资源。

分析：国有企业、上市公司建立并实施内部控制、风险管理比较早，思想相对成熟，对风控管理有一定认知，风控文化逐步形成。随着“合规”、“法治央企”概念引入，一些企业要么按照上级文件精神制定一个制度或清单，以应付检查；要么认为内控、风险管理就是合规、法治的一部分，简单的做些补充性工作，未能形成统一的一体化企业管控理念。

问题3：目前，企业面临内控评价、风险管理、合规检查、监察审计、专项督察、巡视等各类监管，频于应付、顾及不暇，往往一拨人走了，又来一波，很多检查、评价内容相似，只是侧重点和出发点不同。监督、检查周期也重叠，所提供的资料也差不多，导致企业认为形式的东西过多，削弱了监督的效果，使得企业风险管控“精神疲劳”，这种分散式的检查、评价机制，既影响风控管理效果，又影响企业日常工作。

分析：随着市场经济环境的日益复杂，增加了重大风险发生的可能性，为防范可能发生的风险，国资管理等部门出台了各类风险应对的文件、通知等。企业在消化、落实过程中，未能很好的理解文件精神，未能继承、沿用原有良好的控制体系，单纯为了“文件”实施检查、评价，各体系协同不够，导致监督、检查“四面开花”，基层单位濒于应付，应接不暇，影响正常工作开展。

三、内控、风险、合规三位一体的合规管理体系探索

合规管理本质上来说也是风险控制，内部控制流程、风险管理与合规管理的融合，形成一套风险控制管理体系，将成为风控领域发展的必然趋势，即“从不同的角度说风险的事”，一套体系解决相似管理问题，避免劳民伤财。企业放下禁锢的包袱，轻装前进，将逐步成为企、事业单位的共识。

（一）内控、风险、合规之间的区别与联系

内部控制主要以业务流程为核心，通过控制矩阵将业务层面的风险控制在可接受水平；全面风险管理主要是化解和防范重大风险，对风险进行辨别、分析、评价、报告而形成体系化的风险管理；合规管理主要从法律角度切入风险的预防，通过企业外部法律、法规遵循，内部规章制度的遵守等，考量企业合规义务的遵循，防范不合规导致的企业合规风险。

内控、风险、合规均是从不同的侧面或角度对风险进行的管理。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略[3]。内部控制通过对业务层面风险的管理，分析风险动因，控制日常经营行为，从而防止诱发重大风险的因素发酵。因此，内部控制更侧重流程管理，与生产经营结合最为紧密，属于风险管理第一道防线。内部控制体系运行识别出重大风险，往往通过编制重大风险解决方案进行预防。

风险管理体系主要是以国资委全面风险管理指引为引导，建立的包括风险辨识、风险分析和评价的方法论。通过风险评估进行排序，优先管理排名靠前的风险，通过剩余风险的评估，确定企业风险可接受水平，并对重大风险实施责任和目标化管理，定期回顾、总结和报告，纠正控制措施，主要目的是防范和化解重大风险[4]。

合规管理主要以国家法律、法规以及国际条约、惯例、企业内部章程、制度的遵循为出发点，梳理合规义务清单，确定重点领域、重点环节和重点人员，防范企业重要合规风险事项的发生[5]，内控、风险、合规区别与联系如图1所示。

（二）合规管理与内部控制融合

内部控制是以流程为核心的风险管控手段，是指导具体工作的管理文件。企业通过内控流程规范内控机制，合理界定岗位职责及权力运行结构，梳理优化业务及管理流程，科学规范经济活动和业务活动，对业务层面潜在风险进行全面评估，拟定适当控制措施并遵照执行，为业务运营体系起到强有力的支撑保证作用。

原有内部控制体系中的流程图主要通过逻辑关系对作业程序进行描述，关键节点审核、审批作为重点控制，与企业规章制度基本保持一致，合规性管控要求体现不强。内控流程强调经营风险，合规管理强调合规风险，两者均以风险预防为核心。现阶段，大多数企业的合规风险是通过合规义务清单进行控制，而合规义务清单一般是由法务工作者或律师按照外部法律梳理，具有法律条文的全面性、广泛性的特点，形成的合规义务清单是一份大而全的数据库，与业务活动衔接不是很紧密，将合规管理的要求和业务活动紧密结合，更具实际执行意义。

1.与管控流程的融合

在内控流程中嵌入合规要求，将业务风险和合规风险进行融合，体现在业务流程图中，可以清晰的提醒流程执行者业务环节的风险点与合规要求。例如：基本制度制定流程，融入合规要求后的流程为[6]：（1）相关部门擬定规章制度；（2）部门负责人审核；（3）法律部门合规审查；（4）制度归口部门审核；（5）分管领导审核：（6）是否涉及职工切身利益；（7）是则执行工会或职工代表大会审议；（8）否则执行总经理办公会审议；（10）董事会决议。其中第（3）（7）（10）节点为合规管理要求，在流程图中用醒目符号标注合规风险点，合规与内控流程融合流程如图2所示，在一张业务流程图中，实现了内控与合规的控制整合。

2.与控制矩阵融合

内部控制的流程（风险）控制措施主要是以控制矩阵形式体现，一般包括风险类别、控制目标、风险点描述、控制点编号、控制点描述、执行部门、执行岗位、控制频率、控制证据、控制依据等要素，主要反映业务层面风险的控制，一般为流程执行者日常工作中的风险防范。

合规要求与控制矩阵融合的基本做法是：首先通过流程图识别法，辨别哪个环节存在合规风险，其次对构成风险的主要因素进行分析，然后准确进行合规风险描述，最后拟定控制措施。

表现形式上对原控制矩阵进行修改，增加风险类别，将内控和合规进行区分，融合的作用就是让流程执行者关注业务风险的同时，提高对合规风险的警觉，潜移默化的将合规文化渗透到日常经营管理当中，合规与控制矩阵融合见表1。

3.与内部控制评价融合

内部控制评价是企业对内部控制设计和运行有效性进行的客观评价，其目的在于准确地揭示经营管理的风险状况，优化内部控制体系，促进内部控制系统有效运行。

合规管理评估是通过对合规管理体系的有效性进行分析，对重大或反复出现的合规风险和违规问题，深入查找根源，完善相关制度，堵塞管理漏洞，强化过程管控，持续改进提升。

内部控制评价完全可以与合规管理评估或评价融合，将合规评价指标细化后，对员工合规职责履行情况进行评价。根据内部控制评价点控制要求，对内部控制体系设计和运行进行评价，并设置不同的权重，形成综合考核评价结论，并将结果作为员工考核、干部任用、评先选优等工作的重要依据。

（三）合规管理与风险管理融合

风险，就是未来不确定性对企业的影响[7]。在企业经济运行过程中，风险无处不在、无时不有。风险管理时，既要避免麻痹心理、侥幸心理，盲目乐观，忽视风险的存在；同时也不要过于悲观，杞人忧天，裹足不前，丧失发展良机。两种极端的风险管控态度均不合理，要识别风险，分析内在成因及变化趋势，采取适当措施加以控制，在防范、化解风险的同时，把握机遇，获得收益。无论是内部控制、合规管理、法制建设，其主要目标是风险控制，只是从不同的角度和出发点阐述和论证，并通过不同的控制措施对风险点进行预防。因此，企业风险管理完全可以和内部控制、合规体系融合，成为一套完整的“泛合规”管控体系，其中包含经济风险的日常管控措施，也涵盖重点领域廉洁风险的防控，同时将梳理出来的合规风险矩阵化管理，形成一套全面的“泛”风险管理体系，避免企业管理体系过多，各自为政或因体系衔接不当造成执行掣肘，增加企业风险管理运营负担。体系过多还可能会给管理层、职工造成负面影响，不利于培育良好的风险管理文化。因此，融合风险管理与合规体系非常必要。

（四）合规重点的确定与落实

我国法律规范、监管规定、行业准则、企业规章以及国际条约等有关合规要求浩如烟海，全部纳入企业合规体系显然不现实，也不经济。企业“泛合规”体系建设，应当在全面性的基础上，确定重点合规内容。

企业应当按照国资委合规管理规定，结合行业实际，梳理本单位的合规重点领域、重点环节和重点人员。共性的部分可采取国资委推荐的领域，特有的部分应当从发展战略、价值链、风险等角度进行考量，综合内外部环境和内部因素确定重点领域和重点环节，并对确定的合规重点进行深入研究，重点管理，形成广而博的全面覆盖，合规重点精进深入的“丁”字型结构。

重点人员管理是合规管理体系的一个难点，其难在“易识别、难落实”，即重点人员比较容易确定，一般可采用内部控制的方法，将高风险环节、关键岗位人员设定为重点人员等。在体系设计时，重点人员采取何种方式实现合规性约束，促进其主动履行合规义务较为困难，有关合规法规文件也没有给出明确的指引。笔者认为，可通过如下方法初步实现：一是细化关键岗位职责，将合规义务和要求融入岗位说明书，构成日常岗位授权的一部分；二是将重点人员融入内控流程中，明确其参与的环节或履行的管理职责，在年度内控评价时，重点人员管理设定为“必评”项，不但要评价内控的有效性，还要对重点人员合规履职情况进行评定；三是以各类重点人员合规基本义务为核心内容，参照合规义务清单，按照“统一管理、逐级签订”的原则统一签署《合规义务遵守承诺书》，年度终了检查、考核，并与绩效、问责挂钩，促进重点人员切实履行合规义务。

（五）“三位一体”融合的解决之道

企业内部控制与风险管理部门经过多年的实践，拥有较为丰富的内部控制、风险管理经验，工作程序和思路比较清晰，风险识别方法科学、规范，可以有效指导合规管理体系建设。因此，建议将合规、内控、风险管理融合，形成一体化的管控体系，由内控部门牵头成立企业全面风险工作机构，吸收法律、经营、人事、财务、技术等专业人才参与合规义务清单梳理，从整合风险管理的角度构建与经营管理紧密结合的、操作性强的合规、风险、内控三位一体的大合规管理体系。

四、结束语

合规意味着组织遵守了适用的法律法规及监管规定，也遵守了相关标准、合同、有效治理原则或道德准则。若不合规，组织可能遭受法律制裁、监管处罚、重大财产损失和声誉损失。

在风险管理领域，不同的机构、部门从各自的管控要求和目的制定监管要求，其核心都是相关风险防范，管控目标是一致的，整合风险管理体系，有助于企业提高风险管理效率，形成管控合力，节约人力资源和运营成本，易于培育统一的风险管理文化。AFA

参考文献

[1]国资委.关于加强中央企业内部控制体系建设与监督工作的实施意见（国资发监督规〔2019〕101号）[EB/OL].[2019-11-22].http：//gn.mofcom.gov.cn/ article/ddfg/201911/20191102916039.s html.

[2]国资委.关于印发《关于进一步深化法治央企建设的意见》的通知[EB/OL].[2021-10-17]. http：//w ww.sasac.gov.cn/n2588035/c21487848/ content.html.

[3]财政部等五部委.企业内部控制基本规范（财会〔2008〕7号）[EB/OL].[2008-07-10]. http：//www. csrc. gov. cn/pub/shenzhen/xxfw/tzzsyd/ssgs/sszl/ ssgsxx/201403/t20140317_245540.htm.

[4]国资委.关于印发《中央企业全面風险管理指引》的通知[EB/OL].[2006-06-20]. http：//www. sasac. gov. cn/n2588035/n2588320/n2588335/c425 8529/content.html.

[5]国资委.关于印发《中央企业合规管理指引（试行）》的通知[EB＼OL].[2018-11-09]. http：//www. sasac.gov.cn/n2588035/c9804413/content.html.

[6]阿米检测技术有限公司.2021年度大合规管理体系文件及交流资料[R].无锡：2021.

[7]中国国家质检总局、国家标准委. ISO 37301：2021《合规管理体系要求及使用指南》[EB/ OL].[2021-4-15]. www. zgzgtest. com/news/ hangye/221.html.

（审稿：刘春奇编辑：冯金玉）