作者|席加省

要想推动国有企业高质量发展，开展内部控制、风险管理、合规管理必不可少。近些年这也是国资监管的重点工作之一，对于提高国资监管水平，确保国有资产保值增值也极为重要。

当前国有企业推进内部控制、风险管理、合规管理是三位一体的模式，也就是建立统一的内部控制、风险管理、合规体系，以企业战略和经营为核心建立统一的科学内控风控合规管理流程和规范，确保三位一体、上下贯通、完整有效。

但在实际工作中，有些企业往往混淆内部控制、风险管理、合规管理之间的关系，认识有偏差、推进则无所适从。有些则将三者割裂开来，各自为战，职能交叉重叠，制度越做越多但效果越来越差。有些则直接不顾自身的实际情况直接“抄作业”，头痛医头脚痛医脚、支离破碎生搬硬套，弄了一堆用不上的制度。

更有些企业没有从源头上解决问题，领导不重视，各个部门各自为战，公司治理主体的主体责任没有落实、公司治理规则不明晰，漏洞多、违规操作多，导致企业风险从上层累积，对公司造成严重影响。

因此，作为现代公司治理的重要工作，公司必须要高度重视内部控制、风险管理、合规管理工作，先“正名”，然后顶层设计、三位一体融合推进，这样才能真正建立科学高效的内控风险合规三位一体的管控体系，为公司发展保驾护航，推动公司高质量发展，增强核心竞争力和可持续发展能力。

01

内部控制、风险管理、合规管理是什么关系？

在现代公司治理和管理中，内部控制、风险管理、合规管理是完全不同的吗？它们是什么关系？它们各有什么作用？

在说这三个名词的区别之前，我们先说公司治理。无论是内部控制还是风险管理、合规管理，都是公司治理的制度体系的一部分，也是公司治理必然要具备的战略职能。

因此，在公司治理的结构设计、职权界定、规则制定过程中，就必须要将内部控制、风险管理、合规管理的理念和方法纳入进来，一方面确保公司治理能够依法合规、高效运转，另一方面则能够以公司治理体系推动内部控制、风险管理、合规管理体系的层层分解落实。

公司治理要实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的风险防控机制。具体到内部控制、风险管理、合规管理这三者的关系，三位一体是以风险为导向，以风险管理为核心，以内部控制为基础，以合规管理为重点。

第一，风险管理是核心。

任何公司在发展中都会遇到各种风险。根据《中央企业全面风险管理指引》的定义，所谓企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。

因此，企业就要对风险进行管理。也就是围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

风险管理的核心是风险识别、风险点评估和风险的防控。如果风险管理实效，则企业就不能有效识别风险并采取防范措施，那么最终风险发生可能对企业造成不同程度的影响。

显然，公司必须要培育风险管理文化、建立风险管理体系，这其中就包括内部控制和合规管理体系。毕竟，内部控制体系是控制风险，合规管理是管理风险中的合规风险，都是风险管理的一部分。

第二，内部控制是风险防火墙。

内部控制并不等同于风险管理。风险管理包含内部控制，内部控制是风险管理的实施抓手，是风险管理得以全面实施的基础和保障。无论是风险管理还是合规管理，其落地实施都得通过统一强大的内控体系实现。

我国《企业内部控制基本规范》将内部控制定义为“是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。”

《中央企业全面风险管理指引》则指出内部控制系统指围绕风险管理策略目标，针对企业战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、加工制造、销售、物流、质量、安全生产、环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。

内部控制跟财务直接相关。财务管理水平的高低直接影响内部控制的有效性。因此，企业必须要建立“大财务”模式，创新财务管控模式，推进业财一体化，夯实财务报告、资金管控、税务管理等基础保障职能，深化成本管控、投资管理、融资管理、资本运作、存量资产盘活等各项战略职能，确保财务稳健运行。

同时，内部控制要注意规章制度的建设，将风险管理和合规管理要求和内容融合嵌入到内部控制流程和制度中，并将法律法规等外部监管要求转化为企业内部规章制度，明确重要业务、重要领域，持续完善企业内部管理制度体系，并将违规经营责任追究纳入内部控制制度，强化刚性约束。

第三，合规管理是风险防控重点。

合规管理的外延是最小的，但却是风险管理的重点，也是内部控制优化完善的重点。

根据《中央企业合规管理办法》的界定，合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。合规风险，是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。

因此，合规管理是全面风险管理的一部分，管控的是合规风险。显然，合规管理就是企业以有效防控合规风险为目的，以提升依法合规经营管理水平为导向，以企业经营管理行为和员工履职行为为对象，开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。

显然，合规是企业发展的底线。企业必须要确保各项经营管理活动能够符合外部法律法规和内部规章制度的要求。如果不合规则会引发严重的问题。在当前形势下，合规风险剧增，合规管理就成为风险管理的重点，也成为内部控制的重点。

显然，合规管理能够有效发现问题，减少合规风险对公司发展的影响。但是，合规管理并不能解决问题。如果要从根本上解决合规风险，这就需要内部控制体系的流程和制度支持和风险管理的机制支持。

02

内部控制、风险管理、合规管理如何三位一体推进？

对企业发展来说，三位一体推进内部控制、风险管理、合规管理体系建设，形成统一的内控风险合规体系，这是应对复杂的发展环境，确保企业持续发展和提高竞争力的根本要求。

那么，到底该如何推进呢？在实践中需要把握“1 3”的推进策略：

所谓“1”是指一个主体。也就是明确公司治理体系是主体。

在公司治理体系中，各个治理主体要承担风险管理的最终责任，以风险管理为核心，三位一体融合推动内部控制、风险管理、合规管理体系建设和监督运行。在国有企业三位一体推进工作中，党委（党组）要发挥把方向、管大局、促落实的作用，董事会要发挥防风险的主体作用，监事会则要强监督、查风险、纠偏差，充分发挥独立监督作用，经理层则要具体抓落实，确保三位一体的实施。

所谓“3”是指三个体系，也就是执行体系、监督评估体系、战略组织体系。

第一，执行体系。

所谓执行体系是指内部控制、风险管理、合规管理清单化。基于企业战略和发展要求，建立科学规范的规章制度，并将内部控制、风险管理、合规管理的工作项目清单化，形成控制点、风险点、审查点的控制矩阵清单，并纳入到岗位职责中。

一是内部控制点。建立内部控制点，明确集团内部控制点和各级子公司内部控制点，以此推动内部控制流程和制度建设，聚焦企业的重点业务、重点领域的控制，实现管理流程化、标准化。同时加快外法内化，将外部的法律法规及时转化为公司内部的规章制度或根据外部法律法规修订内部规章制度。

二是风险管理点。要坚持风险的底线思维，结合集团和各级子公司的发展环境和管理状况，识别战略、运营等各方面的重要风险点，形成风险库，并评估风险点的成因、影响程度等，并对照风险库排查风险、实现风险可防可控。

三是合规审查点。要坚持合规管理的红线思维，全面梳理国内、国际相关法律法规和集团的规章制度，确定合规管理的审查点，确保合规审查融入到公司生产经营活动中，推动企业依法合规经营。

第二，监督评估体系。

所谓监督评估体系是指通过实施监控、评估、问责三项机制，推动企业及各级子公司内控风险合规责任到位、管理到位、追责到位，确保公司高质量发展。

一是建立监控体系。坚持先防后控的原则，建立风险监控预警指标。明确指标的类别、预警方式、监控频率以及指标的程度、趋势、异常三类预警阈值，实施科学的监控，建立月度、季度、年度的常态化监控体系和重大风险的专项监控体系，为公司决策提供科学依据和有力支撑。

二是建立评估体系。坚持过程管理的原则，从内部控制、风险管理、合规管理的制度、执行、监督等几个方面建立评估体系，评估内控风险合规体系的完善性和执行的有效性，通过自评和“上评下”、审计等方式全面排查短板弱项，推动三位一体体系的持续优化提升。

三是建立问责体系。坚持刚性约束的原则，将责任落实到岗，纳入岗位职责和岗位考核指标中，并落实国资监管机构要求，建立企业违规责任追究体系，明确问责的范围与具体问责情形，强化风险管理与违规责任追究的结合，强化企业及各级子公司的内控风险合规责任，确保国有资产保值增值，防止国有资产流失。

第三，战略组织体系。

所谓战略组织体系是指通过经营计划分解与考核、组织优化完善等方式，从上而下提高公司治理能力，推动公司建立科学的内控风险合规体系。

一是业务管理体系。企业要基于战略建立业务管理体系，明确主营业务，并通过经营目标设置和经营计划制定和分解明确公司的重点业务领域和重要环节，明确要求，从而确定内部控制、风险管理和合规管理的重点。

二是组织管理体系。优化公司治理体系，明确职权、规则和议事清单，减少治理合规风险。同时，各个治理主体在内控风险合规上要各负其责、分工协作。董事会尤其要承担起防风险的责任，设立风险管理委员会、审计委员会、合规管理委员会、首席合规官等，内控风险合规管理部门必须要与业务部门独立，确保上下贯通、有效运转。

三是外部监督体系。要明确外部董事（独立董事）、外部监事的定位、权责和履职方式，发挥其在内控风险合规中的作用。同时，要与出资人监督、外部审计、纪检监察等形成合力，加强外部监督，提升企业的内控风险合规管理水平。