国有企业三位一体推进内控风控合规建设的问题和分析

李　蕊

作者简介：
李蕊（1985—），女，广西平南人，汉族，本科学历，广西中马钦州产业园区投资控股集团有限公司，审计师，会计师，研究方向：国有企业审计、风险管理

【摘要】内部控制、风险防控、合规管理是公司治理制度体系的一部分，也是公司治理必然要具备的战略职能。为进一步提升国有企业治理水平，建立健全科学规范的治理体系，提高防范化解重大风险的能力，笔者根据自身工作经历，针对国有企业开展内部控制、风险控制、合规管理的情况进行研究，阐述三者在推进过程中遇到的一些问题，剖析问题产生的原因，并提出建议和对策。
【关键词】国有企业；内部控制；风险防控；合规管理

    一、引言
    国务院国资委在《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号）中提出“防风险、强内控、促合规”等有关要求。现代国有企业公司治理，必须高度重视内部控制、风险防控、合规管理工作，三位一体融合推进，形成全面、全员、全过程、全体系的风险防控机制，增强国有企业的核心竞争力和可持续发展能力。

    二、内部控制、风险防控、合规管理的定义和关系
    1.三者的定义
    内部控制，是指企业为保证经营管理活动正常有序和企业资产、财务信息的准确真实，保证对企业员工、工作流程、物流的有效管控而建立的有效监督机制。风险防控，是指企业为实现所定目标，通过风险识别，对可能发生的各种风险进行一系列防范、控制的管理活动。合规管理，是指企业建立一系列的制度流程，以确保所有决策、经营、管理行为符合法律法规的规范，同时不违背基本的社会伦理道德。
    2.三者的关系
    合规管理是企业管理的最基础的层面，内部控制是合规管理的终结版，风险防控是企业整体经营战略的全面管理，是一种高瞻远瞩的战略意识。因此，合规管理、内部控制、风险防控是层层递进、层层深入的关系。

    三、推进内部控制、风险防控、合规管理存在的问题
    1.内部控制方面
    （1）未能形成清晰的制度体系
    个别国企的内控制度没有层次感，不成体系，已制定的制度多、乱、重复，未能按照体系进行梳理。哪些制度适用于集团本部，哪些制度管控到子公司，哪些制度需要子公司结合实际自行制定具体操作制度，未能明确。
    （2）制度衔接性不强
    个别国企同一类别的制度之间、上级制度与下级制度之间没有衔接，部分内控制度存在有制度没有相关流程配套、无法执行现象，制度流程跟经营有关事项的划分没有对应。例如部分国企在集团本部出台了“三重一大”制度流程，但对“三重一大”决策事项涉及的制度流程没有作相应修订。
    （3）对制度的统一管理比较薄弱
    个别国企对制度的制定和发布流程不够完善，没有形成统一的制度制定和发布流程。集团内各职能部门、子公司均可以制定制度并自行征求意见，部分内控制度征求意见时间短，没有经过充分的酝酿就上会讨论，导致制度不全面、执行效果差。
    2.风险防控方面
    （1）缺乏专业的指导
    风险防控是一个新兴的管理概念，需要使用系统和专业的方式方法来开展一系列的程序。目前部分国企并未设立专门的风险防控部门和岗位，许多工作都是摸着石头过河，缺乏有经验的人员来组织开展相关的工作，导致整体的推进工作比较慢。
    （2）全员参与的意识不足
    具体体现在个别国企对风险防控的宣传和培训不够，内部许多职能部门、子公司的意识还停留在风险防控只是风险管理部门的事情，没有结合本岗位、本单位的要求主动参与风险控制的过程，全员参与风险防控的意识还比较弱，对构建全面风险防控体系缺乏有效的措施和办法。
    （3）可依赖的信息化资源少
    及时地发现风险并进行识别，单靠人工的查阅资料，已不能适应信息时代的要求，需要通过实时获取业务系统的数据来进行分析和评估。当前个别国企的信息化建设还处于起步阶段，除了财务系统比较成熟之外，其余的业务系统均处于开发过程中，重要的业务基本没有使用系统进行管理，难以及时获取有效的数据来进行分析。
    （4）未能形成全面风险管理体系
    目前个别国企的职能部门、子公司根据各自负责的业务范围和特点建立相关的内部控制制度，并开展相应的风险控制。对于一定金额以上的招标采购、投融资项目、贷款和担保业务，在履行上会论证程序都会进行相应的风险分析，但这些都只是从部门层面和业务层面进行的风险控制，属于比较碎片化的管理，还没能形成全面风险管理体系。
    3.合规管理方面
    （1）开展合规管理的工作面较狭窄
    当前个别国企没有设置专门的合规管理部门和岗位，相关的职能工作由法务来承担，合规管理主要体现在法律层面的合法合规性检查，集中在合同审核方面，并对投资并购、融资担保、制度流程发布、章程修订等进行合法合规性进行检查和提供意见建议，开展的合规管理工作面涉及还比较狭窄。
    （2）还没形成合规管理体系
    由于从事合规管理的人员较少，个别国企开展合规管理较为被动，针对具体业务的开展进行合规管理，未能结合企业的战略管理目标来梳理需要进行哪些方面的合规管理，因此并未形成符合实际的合规管理清单和合规管理体系。
    4.统筹推进内部控制、风险防控、合规管理的问题
大部分国企在内部控制、风险控制、合规管理方面开展了一些工作，获得了较大进展。但个别国企由于统筹推进的力度不够，出现系统性不足、工作内容重复的问题。
    （1）系统性不足
    对内部控制、风险控制、合规管理都是局限在各自的定义范围开展工作，工作比较零散，没有相互进行融合，从公司治理层面进行系统规划，系统性不足。
    （2）工作内容重复
    个别国企实际工作中存在着内控、风控、合规三项工作分头推进、工作内容重复的现象。例如，风险评估是开展全面风险管理工作中的必要环节，在开展内部控制监督和实施合规管理工作时也是一个必要的程序。个别国企内部内控、风控、合规管理工作各行其是、各说各话、不能有效发挥统一管控作用，在一定程度上造成了管理资源浪费，影响了企业整体的管理效率。

    四、原因分析
    1.从治理角度进行分析
    个别国企成立的时间不长，主业发展的优势不明显，“造血”能力不足，经济实力还不强。而经济决定上层建筑，由于没能摸清发展方向，整个企业战略发展规划处于不断的调整过程中，企业的组织构架并不能满足管理的需要，对部门职能的界定划分也不够清晰。例如，某国企的法律审计部同时兼顾法律、审计、合规、风控的职能，没有形成递进和互补的监督关系。
    2.从管理角度进行分析
    部分国企作为服务地方建设的国有开发投资平台，以前都是按行政体制管理，根据决策机构下达的任务开展建设和经营，有财政拨款或银行融资来保证，所以管理风格重经营轻管理，只要完成绩效考核目标即可，没有过多地去考虑降本增效、提高管理效率、防范风险。
    3.从人力资源角度进行分析部分国企处于离市区较远的工业园区，难以吸引高水平的专业人才，人才流动性大，而内控、风控、合规又是新兴的事物，需要引进先进的理念和成熟的经验才能开展。加上参加的专业培训时间紧、内容多，难以短时间消化吸收，导致想实际操作时总是感觉困难重重。

    五、三位一体推进内部控制、风险防控、合规管理的建议和对策
    1.优化组织管理体系，明晰职能授权
    优化公司治理体系，明确职权、规则和议事清单，减少治理合规风险。各个治理主体在内控风控合规上要各负其责、分工协作。董事会尤其要承担起防控风险的责任，充分发挥董事会领导下的审计委员会、风险管控委员会等专门委员会的作用；另外，内控风控合规管理部门必须要与业务部门独立，确保上下贯通、有效运转。
    全面厘清企业各单位、各岗位的职能职责及授权范围，通过运用不同标识，梳理和优化各关键业务事项谁提交、谁审核、谁审批、谁配合、谁备案，实现各环节责任精准落实到岗，压实“三位一体”管理职责到人，保障管理体系有依托、可落地、可操作、可执行。
    2.强内控——强化对内部控制的管理
    一是对规章制度进行体系化管理。构建规章制度管理框架，对规章制度进行分类分级管理；结合企业各单位的职能，梳理现有的规章制度，对不符合体系结构的制度要进行立改废。
    二是提高制度的管理水平。统一制度的制定和发布流程,明确实施主体、征求意见时间、征求方式、回复意见收集、上会流程、审核备案、套红发布等具体环节；建立制度管理系统，利用信息化手段完善制度的查询、发布功能。
    三是建立与制度相配套的流程。提高制度的执行性，完善与制度相配套的流程。流程用来管事，制度用来管人。流程需要制度的约束才能保证审批的有效性，制度需要明确流程才能方便执行。梳理流程的过程，也就是公司授权的过程，每件事情要经历多少审批节点，最终审批节点是谁，每个节点责任是什么，均需要明确，流程节点不宜过长或过短。
    3.防风险——防范化解重大风险的发生
    应加大对重大风险的识别和评估，及时把发现风险的关口前移，分析风险产生的重要原因与对企业的影响程度，提出风险防控措施，形成内部控制风险防控清单。
    应定期开展培训和全面风险评估。加大风险防控的培训，提高员工在工作中自觉开展风险防控的意识。定期组织子公司开展风险自评，完善风险评估的内容和方法，指导子公司做好对风控措施的制定，及时更新风险清单。
    4.促合规——促进合规审核体系的构建
    应定期收集各类合规信息，从各经营业务及职能领域的重点经营活动及关键事项出发，系统性地从外部监管规定及企业内部规章制度中识别并分析其对具体业务活动开展过程中每个行为的合规义务及合规要求。
    应加强对新设制度流程、投资并购、筹资担保等事项的合法合规性前置审查，使其符合国家相关法律法规的有关要求。及时总结合规风险点，形成合规审查清单。
    5.加强对内控风控合规工作的管理协调
    梳理内控风控合规制度，明确各自的重点内容与工作流程，对重复和相悖的内容进行修改，使不同制度之间的操作能够相互衔接，表述没有冲突。
    要取得治理层的重视和支持。要定期向治理层汇报推进工作的成效和困难，请求协调解决推进过程遇到的困难，打通三者结合的堵点。推行将内控风控合规管理的结果互相共享利用，提高工作效率。
    6.推进管控方式信息化建设。
    健全内控风控合规管理“三位一体”信息化管理功能，加强信息化顶层谋划，将风险及合规关注点融合嵌入信息系统权责设置、关键流程节点审核中，通过系统固化及刚性约束，实现三体系控制活动信息化。

    六、结语
    三位一体推进内部控制、风险防控、合规管理，有利于完善国有企业的治理结构，助推企业高质量发展。但内控风控合规管理的推进不是一蹴而就的，需要结合企业的实际发展阶段，采取有效的措施和方法来进行；不仅需要各治理主体的支持，更需要各部门、各子公司、各业务岗位的理解和参与，也需要统筹协调，平衡发展，使其发挥相得益彰的作用。

参考文献
[1]李满威，张俊杰 .风险管理、内部控制、合规管理三位一体整合的研究 [J].商业观察，2022(28):69-72.
[2]雷永利 .健全企业内控合规与风险管理体系 [J].中国金融， 2023(02):91-92.
[3]颜明，徐永刚 .内控合规风险一体化提升企业免疫力 [J].企业管理，2022(12):26-28.