2018年11月，國務院國資委為進一步提高中央企業(yè)合法合規(guī)經(jīng)營能力，加強風險防范能力，印發(fā)了《中央企業(yè)合規(guī)管理指引（試行）》[1]。合規(guī)指引對中央企業(yè)董事會、監(jiān)事會、經(jīng)理層、以及相關職能機構(gòu)在合規(guī)管理中的職責分別進行了明確，點明了中央企業(yè)需在哪些重點領域、重點環(huán)節(jié)、對哪些重點人員加強合規(guī)管理;對合規(guī)管理的各項活動進行了規(guī)定和要求。

在對新頒布的合規(guī)指引學習之后，我們不難發(fā)現(xiàn)，合規(guī)管理運用了風險管理的理念，采用了內(nèi)部控制分業(yè)務、分環(huán)節(jié)進行管理的方法;尤其是在指引第四條原則中明確了合規(guī)管理工作需與中央企業(yè)的內(nèi)部控制、全面風險管理、紀檢監(jiān)察等相關工作統(tǒng)籌銜接的要求。那么，合規(guī)管理與全面風險管理、內(nèi)部控制的聯(lián)系與區(qū)別到底在哪里，如何做到統(tǒng)籌銜接呢？筆者通過對國資委、財政部等部委印發(fā)的《中央企業(yè)全面風險管理指引》[2]、《企業(yè)內(nèi)部控制基本規(guī)范》[3]和配套指引、《中央企業(yè)合規(guī)管理指引（試行）》三項指引認真學習比較分析，結(jié)合筆者所在中央企業(yè)的實際做法，提出一體化建設思路，供大家思考及討論。

一、風險、內(nèi)控、合規(guī)的區(qū)別與聯(lián)系

1.定義與范圍

《中央企業(yè)全面風險管理指引》按類別，將企業(yè)的風險分為戰(zhàn)略風險、財務風險、法律風險等;按風險帶來的影響，將企業(yè)的風險分為純粹風險和機會風險，純粹風險是負面影響，是風險事件帶來損失的可能性，機會風險則還存在盈利的可能性?！吨醒肫髽I(yè)合規(guī)管理指引（試行）》強調(diào)了違反法律法規(guī)、行業(yè)準則等帶來風險的負面影響。所以，全面風險管理中定義的企業(yè)風險較為全面。

從管理內(nèi)容及范圍上看，《企業(yè)內(nèi)部控制基本規(guī)范》要求內(nèi)部控制應該貫穿業(yè)務活動的決策、實施和監(jiān)督全過程，并且覆蓋企業(yè)的各項業(yè)務和事項;2010年，內(nèi)部控制配套指引中的應用指引進一步對資金、采購、銷售、預算、合同等18項業(yè)務和事項，分別按業(yè)務流程和環(huán)節(jié)點明存在的主要風險，提出控制要求?！吨醒肫髽I(yè)合規(guī)管理指引（試行）》也要求將合規(guī)覆蓋各項業(yè)務、企業(yè)各部門、各分子公司和全體員工，貫徹業(yè)務全流程，與內(nèi)部控制的要求一致?！吨醒肫髽I(yè)全面風險管理指引》則明確了全面風險管理活動包括了內(nèi)部控制系統(tǒng)。

2.工作目標

全面風險管理的目標與內(nèi)部控制的目標基本吻合，均包括了合法合規(guī)、信息真實、提升效率效果等;除此之外，全面風險管理還要求確保建立危機處理預案。而合規(guī)管理，僅以有效防控合規(guī)風險為目的。

從三項工作的目標來看，全面風險管理包括了內(nèi)部控制的五項目標，二者均包括了合規(guī)管理關于遵守法律法規(guī)的要求，但合規(guī)管理對于“規(guī)”的范圍作了延伸，除了法律法規(guī)外，還涵蓋了企業(yè)規(guī)章制度和國際條約。

3.管理方式

全面風險管理指引著重強調(diào)了風險管理的程序和方法，對于“初始信息收集→風險評估→制定策略→提出解決方案→監(jiān)督改進”風險全流程管理提出了詳細具體的要求，同時詳細列舉了幾種常用的風險評估方法。內(nèi)部控制五要素之中的“風險評估”和“監(jiān)督評價”，其內(nèi)容與全面風險管理保持了一致;除此之外，內(nèi)部控制還強調(diào)了企業(yè)在治理結(jié)構(gòu)、職責分配、人力資源、企業(yè)文化等方面基礎管理要求。合規(guī)管理工作除了常規(guī)的風險管理活動外，增加了合規(guī)審查、責任追究、考核評價、合規(guī)培訓等其特有的管理活動。

從管理的方式方法上來看，三方面工作在風險管理流程方面基本一致。

綜上，全面風險、內(nèi)部控制和合規(guī)管理三項工作內(nèi)容互有交錯，但側(cè)重點各有不同。內(nèi)部控制以業(yè)務環(huán)節(jié)為出發(fā)點，通過對高風險環(huán)節(jié)制定控制措施，合理控制風險，關注的是控制的有效性;全面風險管理側(cè)重從風險管理的技術、方法和手段入手，制定企業(yè)風險應對機制，增加競爭優(yōu)勢，減少負面損失;合規(guī)管理強調(diào)合規(guī)風險的負面影響，管理對象不僅包括企業(yè)，還涵蓋員工的經(jīng)營管理行為，注重保障主體不因不合規(guī)行為而引發(fā)處罰、造成經(jīng)濟或聲譽損失等。

據(jù)此，筆者認為，全面風險管理無論是從內(nèi)涵上、目標上均較為全面，可以將內(nèi)部控制、合規(guī)管理納入全面風險管理，統(tǒng)籌推進三方面工作的一體化建設。企業(yè)可以建立以合規(guī)風險防范為全面風險管理的重要目標，以風險管理技術、方法為手段，以內(nèi)部控制為基礎的一體化管理體系。

二、企業(yè)管理現(xiàn)狀與存在的問題

近年來，中央企業(yè)認真推進全面風險管理和內(nèi)部控制工作，對夯實基礎管理、防范化解重大風險發(fā)揮了積極作用。2018年底，合規(guī)指引印發(fā)后，合規(guī)管理工作目前成為了央企工作的重點。但與此同時，不少央企存在著風險、內(nèi)控、合規(guī)三項工作分頭推進、分別開展體系建設、制度建設的情況，導致部分工作職責交叉、工作內(nèi)容重復，企業(yè)管理資源未有效利用，在一定程度上形成了浪費，影響了企業(yè)整體效率。

筆者所在的央企集團同樣存在上述問題，風險、內(nèi)控、合規(guī)三方面體系建設未完全統(tǒng)籌銜接，三項工作分別由集團法律部、財務部和紀檢監(jiān)察部三個部門牽頭，分別開展工作。

究其原因，一是國家監(jiān)管體制機制因素。目前內(nèi)部控制、全面風險和合規(guī)管理三方面工作分別由國務院國資委財務監(jiān)管局、企業(yè)改革局和政策法規(guī)局監(jiān)管，由于主管司局不同，故筆者所在央企集團按條線，三方面的日常工作由財務部、法律部和紀檢監(jiān)察部分別與相關司局對口聯(lián)系，在相關司局的指導下分頭開展工作。

二是三套指引時間發(fā)布不同。《全面風險管理指引》于2006年頒布，《企業(yè)內(nèi)部控制基本規(guī)范》和配套指引分別與2008年和2010年頒布，《中央企業(yè)合規(guī)管理指引》于2018年底頒布，并且都明確要建立相應的管理體系。該因素直接導致企業(yè)三項工作啟動時點不同，筆者所在央企全面風險和內(nèi)部控制工作已健全體制機制且已形成常態(tài)化管控機制，但合規(guī)管理工作則剛剛起步。

三是工作要求不同。內(nèi)部控制基本規(guī)范及其配套指引雖是五部委聯(lián)合發(fā)文，但主要是由財政部組織制定，從控制措施和管理要求上，更著重于財務方面的管控;要求每年5月底前向國資委報送企業(yè)內(nèi)部控制評價報告。全面風險管理指引和合規(guī)管理指引雖都由國資委印發(fā)，但由不同司局編制，合規(guī)管理指引要求由法律事務機構(gòu)或其他機構(gòu)為合規(guī)管理的牽頭部門，要求每年年底向國資委報送合規(guī)管理工作總結(jié)報告;而全面風險管理工作要求每半年向國資委報送全面風險管理報告。三項工作均需向國資委報送報告，但報告編寫要求、報送時間點、報送頻率均不同。

鑒于前面三方面因素，故筆者所在央企集團明確由財務部負責建立內(nèi)部控制體系;法律部在之前的法律風險防控體系的基礎上建立全面風險管理體系;結(jié)合本集團合規(guī)管理與紀檢監(jiān)察工作結(jié)合的特點，由紀檢監(jiān)察部建立合規(guī)管理體系。

三、應對措施及建議

考慮到風險、內(nèi)控、合規(guī)三項工作分頭開展造成的職責交叉、工作重復、資源浪費的現(xiàn)象，筆者所在央企集團初步嘗試開展了風險與內(nèi)控、風險與合規(guī)的融合。

一是風險分類框架的融合。筆者所在央企集團內(nèi)部控制體系包括的28項內(nèi)部控制指引均列有風險庫，其中的關鍵風險點部分已列為公司全面風險管理信息庫的二級、三級風險;同時，通過開展年度風險評估，集團將新增的風險作為內(nèi)部控制關鍵風險點，組織制定完善相關控制措施，形成閉環(huán)管理。

二是風險控制措施的融合。內(nèi)部控制與全面風險管理工作均要求針對風險制定控制措施，集團在開展兩方面工作過程中，本著節(jié)約資源、信息共享的原則，將內(nèi)部控制措施融入公司風險應對措施之中，在一定程度上達到有效銜接。

三是風險崗位責任的融合。筆者所在集團的全面風險管理工作正在推進具體業(yè)務崗位法律風險的識別和梳理工作，結(jié)合合規(guī)管理工作要求建立“全員合規(guī)責任制”的要求，集團目前由紀檢部門牽頭，法律部門配合，兩項工作結(jié)合起來開展。要求業(yè)務部門以業(yè)務流程為基礎，針對重要業(yè)務環(huán)節(jié)梳理合規(guī)風險點，進一步明確國家法律法規(guī)、行業(yè)準則的要求，以及集團自我制度體系的要求，形成面向全體員工的合規(guī)培訓材料，減少了重復性的工作，減輕了業(yè)務部門的壓力。

一是從機構(gòu)設置上，建議國家部委監(jiān)管司局統(tǒng)一，避免多頭管理;中央企業(yè)在國家部委的領導下，開展組織機構(gòu)的融合，為三方面工作的融合推進奠定基礎。筆者建議由企業(yè)的全面風險管理部門牽頭統(tǒng)一開展三項工作。

二是從管理要求上，建議國家部委進一步統(tǒng)一要求。例如，推進建立統(tǒng)一的風險評估標準體系和風險評估指標庫，組織完善風險評估技術等，要求央企定期開展全面評估工作，形成評估報告，建立長效的從風險評估到整改完善的閉環(huán)管理機制。

三是從工作要求上，建議國家部委從為企業(yè)減負角度出發(fā)，統(tǒng)一報告內(nèi)容、時點和頻率;中央企業(yè)也應從自身實際出發(fā)，在工作流程、工具方法等方面進一步探索，實現(xiàn)程序統(tǒng)一、信息共享，達到提升效率、事半功倍的效果。

【參考文獻】

[1] 《中央企業(yè)合規(guī)管理指引（試行）》（國資發(fā)法規(guī)〔2018〕106號）;

[2] 《中央企業(yè)全面風險管理指引》（國資發(fā)改革〔2006〕108號）;

[3] 《企業(yè)內(nèi)部控制基本規(guī)范》（財會〔2008〕7號）。

作者簡介：陳寧，女（1974.11），漢族，上海市人，上海大學經(jīng)濟學學士，現(xiàn)任財務部綜合內(nèi)控處處長，研究方向為企業(yè)內(nèi)控管理。