国有企业“五位一体”合规管理体系的整合思路与构建策略

王 芳

（龙腾照明集团股份有限公司，江苏 扬州 225126）

2018年，国资委下发了《中央企业合规管理指引（试行）》（以下简称“《合规指引》”），其中第四条指出，“中央企业应当加快建立健全合规管理体系”，并提出了由企业的法律或法务部门作为合规管理体系的牵头部门，其他诸如内部审计、内部控制、风险管理、安全生产等相关职能部门，在其职权范围内履行合规管理职责。因此，各省、自治区、直辖市也正在起草适用于本地国企的合规管理指引。

然而，在《合规指引》发文前，相当一部分省属国有企业已经按照“五部委”的要求建立了内部控制体系，并根据国资委的要求建立了全面风险管理体系。基于内控体系、风控体系的建设与维护，企业或是安排内部审计部门履行相应职责，抑或是安排风险管理部门、法务部门履行相应职责。内部审计、内部控制、法务的职责与合规指引部分要求有交叉、重复。因此，《合规指引》出台后，现有的内部控制体系、全面风险管理体系和与合规管理体系之间如何整合；如果成立合规管理部门，是否与企业现有职能设置重复；合规管理职能和内控、风控、审计、法务之间的职责如何划分。本文将针对上述问题展开探讨。

一、合规管理体系与内部控制体系、全面风险管理体系的关系

早在2006年国资委印发《中央企业全面风险管理指引》（以下简称“《全面风险指引》”），旨在指导中央企业开展全面风险管理工作、建立全面风险管理体系，促进国有资产保值增值和企业持续、健康、稳定发展。从内容和要求来看，《全面风险指引》借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管理方面的通行做法，以及国内有关内控机制建设方面的规定，对中央企业开展全面风险管理工作的总体原则、基本流程、组织体系、风险评估、风险管理策略、风险管理解决方案、监督与改进、风险管理文化、风险管理信息系统等方面进行了详细阐述，覆盖了企业管理的各方面、各层次和各过程存在的风险。

2008年，财政部、证监会、审计署、银监会、保监会联合发布《企业内部控制基本规范》（以下简称“《内控规范》”），2010年又联合发布了《企业内部控制应用指引》，旨在规范上市公司的内部控制、提高风险防范能力。相当一部分国有企业及其子公司或是在A股上市、抑或是在港股、美股上市，财政部进而要求企业应当通过内部控制措施合理保证企业经营合法合规、资产安全、财务报告及相关信息真实完整，也要求企业系统收集风险、进行风险评估。从规范的内容和要求可以看出，财政部要求的这个内控体系也是建立在风险管控的基础上，主要针对的是合规风险、资产管理风险，从财务的角度对内部控制和财务报告的真实性和完整性提出了具体要求。这与国资委要求的全面风险管理体系本身很多要求是一致的，体系存在相当一部分重叠。

党的十八届四中全会后，开启了中国法治建设的新时代，全面推进依法治国，坚持和发展中国特色社会主义，实现国家治理体系和治理能力现代化。国有企业是我国经济发展的支柱，对提高经济发展、提高人民生活水平有着重要的意义，其合规经营、合规运作关系国有资产的安全，深刻影响国内外社会各界对国有企业的评价与认识。在国际、国内合规监管日渐趋严，一些企业遭受严厉处罚的大背景下，国资委为提升中央企业的合规管理水平，着力强化企业的合规管理体系建设，这也是国资委带头讲政治、顾大局、做表率的体现。

除了合规管理体系外，很多央企国企已经建立了众多的其他管理体系。例如，质量管理体系、环境管理体系、职业健康安全管理体系、信息安全管理体系等，这些管理体系也都是建立在风险管控的基础上的。风险管控是融入各个管理体系当中是其不可分割的一部分，而各个管理体系在风险管理的基础上又有各自更加具体的要求。风控体系本身关注的一个重点就是合规风险，而内控体系和全面风险管理体系的很多要求是一致的，全面风险管理体系、内控体系和合规管理体系之间存在紧密的联系。为了管理的有效性和效率，我们应将全面风险管理体系、内控体系、合规管理体系与其他管理体系整合。

二、合规管理体系与全面风险管理体系、内控体系及其他管理体系的整合

合规管理体系与全面风险管理体系、内控体系以及其他管理体系整合，不是表面上的文件合并，应当是相互渗透、融为一体。促进各体系之间的融合。首先，从制定战略目标的角度出发，识别企业内外部环境和相关方的要求、识别外部机会和威胁以及自身优势劣势；其次，开展风险识别，各管理体系可以分别进行风险识别、分析，然后统一进行评价，找出企业需要控制的重大风险，识别风险等级，并制定应对风险的措施；最后，将各管理体系的要求和风险应对措施整合进入各业务过程，并将各岗位涉及的管理体系要求整合进入企业统一的岗位职责，并根据职责确定新的能力要求。同时，将各管理体系制定的目标整合进入企业的绩效考核，并根据目标的重要程度，确定不同的权重。

三、合规管理职能和内控、风控、内审、法务之间的职责划分

内审、内控、风控、法务是央企国企经营过程中的“顾问”“防火墙”。内审、内控、风控、法务的着眼点应当与企业的战略目标、远景规划相一致，因此，从战略目标、远景规划的角度来看，四者的目标导向是一致的。但是四者侧重点有所不同，内审着重于经营活动的事后独立监督和评价；内控着重于主要业务领域风险及其对财务报表的影响；风险管理着重于经营风险预判、评估、处置、化解、转移；法务着重于企业经营全过程的合法合规。

《合规指引》已经明确，企业的法务或法律职能部门为合规管理主责部门，牵头合规管理工作，组织开展合规风险识别和预警，对制度和流程进行合规性评价，督促违规整改和持续改进。当然，其他相关职能部门也可以作为牵头部门，例如风控部门。

《全面风险指引》只是提出风险管理职能部门的职责，未明确独立或是具有牵头部门，要求承担风险管理职能的部门定期对企业各部门、各业务风险管理实施情况进行检查，评估各部门制定的风险管理策略，提出调整或改进建议。《内控规范》明确内部审计机构应当履行企业内部控制的有效性进行监督职责，结合内部审计发现内部控制缺陷。法务部门通常为企业的经营、管理决策提供法律上的可行性、合法性分析和法律风险分析；参与企业重大经济活动的谈判工作，提出减少或避免法律风险的措施和法律意见；审查、修改、会签经济合同、协议，协助和督促企业对重大经济合同、协议的履行；解决已发生的法律问题等。

从上述指引和规范对合规管理、风险管控、内部审计的职责的要求以及企业通常赋予法务部门的职责来看，这些职能之间存在一些交叉。包括风控部门在内的各职能部门应参与到企业内外部环境的分析和企业战略目标的制定，而风控部门可以作为牵头部门。风控部门负责组织风险评价工作，制定统一的评价的方法和准则，由其他各职能部门完成对企业相关职能管理方面存在的风险的识别和分析，其中，合规部门负责所有合规风险的识别和分析，而法务部负责合规风险当中法律法规方面的风险的识别和分析，所有的风险由风控部门汇总进行统一评价，形成企业整体的重大风险清单，然后由各职能部门组织制定分管范围内重大风险的应对措施，由风控部门将措施汇总组织讨论评审后，提交领导层批准；接着由风控部门组织各相关部门落实，并围绕重大风险和风险控制措施实施的有效性制定相关层级、部门和岗位的目标。

从上面的分析可以看出，总体而言，风控部门是风险综合管理部门；合规部门是合规风险的管理部门；法务部负责合规风险中法律法规风险的管控和一些法律实务工作；审计部负责重大风险管控措施、重要法律法规和内部管理制度落实的监督检查工作。

四、国有企业“五位一体”合规管理体系的构建思路与策略

2019年，国务院国资委印发了《关于加强中央企业内部控制体系建设与监督工作的实施意见》，明确提出内控、合规、风险管理体系的整合要求，要以“强内控、防风险、促合规”为融合的目标，以风险管理为导向、内部控制体系为基础、以合规管理为重点，将全面风险管理及合规管理的内容融入内部控制体系中。

（一）明确“五位一体”合规管理体系的内涵

基于以“强内控、防风险、促合规”为融合的目标，以法律思维为底线，构建“五位一体”的合规管理体系，是实现依法治企的积极尝试，公司的审计部、法务部具体负责，融合合规、内审、内控、风险、法务五项管理职能的一体化综合管理体系。

合规侧重于“制度建设”，而企业制度也是内部审计的重要依据之一。首先，制度仍然是有力的抓手，法务部牵头各业务部门及时将法律法规等外部监管要求转化为企业内部规章制度；其次，企业在具体业务制度的制定、审核和修订中，应当嵌入内部控制体系的管控要求；最后，将违规经营投资责任追究内容纳入企业内部管理制度中。同时，借着合规体系建设的契机，企业应当对制度进行升级，跳出“一个体系一套制度”的围墙，梳理现行的内部控制手册/矩阵、风险应对措施、合规经营及风险管理制度，与各级管理制度的匹配与勾稽，分层分级分任务落实要求的嵌入，并建立长效的制度维护程序。

内控侧重于“业务控制”，从宏观而言是企业运营目标的全过程控制。制度作为体系融合的重要载体，将重要业务领域关键控制点嵌入业务流程、业务制度。企业应当聚焦重点领域日常管控及重要岗位授权管理和权力制衡，定期梳理分析内控执行情况进行改进，并整合内部监督资源，将风险、合规管理制度建立与实施情况也纳入内控体系监督评价范畴。

风控侧重于“风险量化”，关注关键性风险，高度警惕各类“黑天鹅”“灰犀牛”事件。企业应明确风险管理策略，建立全面风险管理制度，执行风险管理流程，制定风险管理方案，预判和警惕风险趋势和事项，及时发现风险苗头，对出现的重大风险或风险事件，妥善化解，依法处置。企业坚持以防范和化解重大风险作为业务开展的基础，规范执行“三重一大”决策制度，强化决策相应程序的执行和监督，确保重大决策事先做到调研、论证、讨论。对业务开展可能产生的风险进行评估，并针对风险评估中提示的风险制定相应的预案，有效防范重大风险。

法务侧重于“具体应用”，统筹合规管理、内控管理、风险管理。企业开展纠纷案件管理、律师律所管理和合同管理等具体业务的事务管理，应当积极运用法治思维和法律手段，培养企业全员依法办事的法治理念和行为习惯。具体业务出现的问题，根据其实际情况分别归纳到合规管理、内控管理、风控管理中处置和解决，使“五位一体”合规管理体系有效运转起来。

内审侧重于“监督评价”，肩负第三道防线职能。审计部门主要负责对体系的运行状况实施监督和事后评价，对体系的健全和有效提出整改建议。因此，业务执行部门与效果监督评价部门相分离，即运动员和裁判员分离，是一种科学的安排。企业的审计部门在促进整改与闭环、实施监督与评价中继续发挥重要作用，加大监督评价力度，推行“强监管、严问责”。

（二）明晰各“体系”间的边界

“五位一体”的合规管理体系，侧重于事前预防、事中控制和事后依法处置，合规管理、内部控制、风险管理、法务管理、内部审计不是一个部门能承揽的事。法务部门在体系建设和运行中，要处理好与战略、财务、人力资源、审计等业务部门关系，涉及依法治企事项，既需要法务部门有较强的统筹能力，又需要业务部门的重视和配合。以合规为例，法务部门要熟悉业务领域各项法规政策，并及时完成外规内化，业务部门要不断总结管理经验，并形成各种制度和规章，仅依靠法务部门或仅靠业务部门均不能很好地实现外规内化、整章建制的目标。

（三）基于合同风险运用“五位一体”合规管理体系

合同风险指未来发生合同履约纠纷并造成严重后果的可能性。为防止发生重大合同风险，“五位一体”运行示例如下：首先，法务部门开展全员培训，使企业员工树立规避合同风险的意识，根据法律、法规及监管规定，建立合同管理的内控制度，保证业务执行有章可循、有据可依；其次，风控部门协调各业务经办部门将合同管理列为企业的重点合规管理领域，根据内控制度，设置关键、有效的控制点，并采取有效措施，督促合同经办部门及经办人员依规执行；再次，一旦发现风险隐患，风控部门及业务经办部门按照既定的风险处置预案和方法，化解风险、减轻后果，如经过合规、内控和风险预判和化解三个环节，仍有合同履约纠纷，涉及法律责任的承担，法务部门就要运用法律手段妥善处置；最后，审计部门通过事中或事后审计分析、监督评价，总结经验、吸取教训，跟踪问题整改，使合规、内控、风控、法务、内审形成封闭、自洽的有效循环。