国有企业“风险、内控、合规”三位一体管理体系建设路径研究
余曦曦

      【摘要】随着系列监管文件发布，国企针对风险、内控、合规的管理得到了进一步的完善，但是在实际工作中，三项工作之间存在着比较大的重叠，并且在国企朝着国际化发展的大背景下，需要企业建立更为高效的管理体系，提升管理效率。本文针对风险、内控、合规三位一体的企业管理模式展开研究，以风险控制为主线进行了企业管理模式的构建，并对具体管理方法展开研究。
      【关键词】国企；三位一体；管理体系
      金融危机展现了市场增长存在的复杂性和动态性，促使企业开展运营管理期间，更看重风险和收益之间的协调。对国有企业而言，其承担的社会责任使之在应对和处理各类风险方面较民企的压力更大。2015 年 12 月发布的文件《关于全面推进法治央企建设的意见》中，要求央企建立法律、合规、风险、内控一体化管理平台，对风险、内控、合规的三位一体管理提出了初步要求；2020 年 6 月发布的《关于对标世界一流管理提升行动的通知》中，对央企进行全过程风险防控机制，提出了明确的要求。对我国国有企业而言，一方面需要履行自身的社会义务，另一方面也要面向国际化市场竞争，因此需要确保风险、内控、合规管理的协调，构建三合一的管理体系，给企业各项业务的合法运营提供保障，提升企业的抗风险能力，让企业能够更好适应内外部环境的变化和改革需求。
一、风险、内控、合规三位一体管理体系动因分析
      1. 标志性文件的不同要求
      国有企业风险管理标志性文件是 2006 年发布的《中央企业全面风险管理指引》，内控的权威文件是 2008 年发布的《企业内部控制基本规范》，合规管理的标志性文件是 2018 年发布的《中央企业合规管理指引》。上述三份文件出台时间具有很大的跨度，文件出台期间的背景有着较大不同，对企业的工作也提出了不同的要求。导致企业需要分别对风险管理、内控、合规三个方向进行不同方式的投入，会增加在人力、财力方面的消耗，而且很难获得较好的收效，因此企业需要建立三维一体化的管理体系，推动企业管理水平提升，保证企业的管理效率。
      2. 企业组织构架
      企业的风险控制、内控、合规管理分属不同部门负责，国企会根据自身需求调整组织形式。例如部分国企将法务部门和合规部门合并为同一部门，另一部分国企会分别设置三个部门等。在一定程度上，反映出国有企业对风险、内控、合规管理认识方式不同，也反映出需要更科学的资源分配形式，而通过建立统一的部门进行统一调度，则能实现对不同方面的综合管理，也有助于各部门之间的充分配合。
      3. 工作内容重叠
      风险、内控、合规管理中，存在重叠的工作内容。例如合规管理中必然需要开展风险评估，内控管理工作中也会开展合规管理和风险评估工作等。在工作拆解以及进行职能分工之后，三种工作并不完全相同。合规管理的风险评估主要面向日常经营中是否存在违规风险，会对风险发生的可能性、后果、影响程度进行分析；内控管理主要对经营活动进行系统分析，并进行存在风险开展评估和识别；风险评估会对不同经济活动的风险展开评估，判断运营过程中会存在哪些风险。由此可见三项工作都会进行风险评估，工作内容有比较大的重叠，通过建立三位一体的管理体系，可以有效统筹管理。从总体而言，虽然风险、内控、合规管理的关注点、切入点有很大区别，但是在实践中有很多重叠，对企业而言，需要建立较高衔接性、融合性的管理体系实现企业的整体统筹。因此，建立三维一体化的企业管理模式是企业的必然选择。
二、基于风险管理视角的三位一体管理主线机制
      在风险、内控、合规管理工作中都会开展风险管理工作，同时，风险管理也贯穿于企业的经营业务。因此，通过建立以风险管理为主线的运行管理机制，可以推动不同管理工作内容的结合，也有利于全新管理体系能够贯穿于国有企业运营全过程，促进部门之间业务衔接和配合。
      1. 风险识别
      国有企业应根据自身业务流程，对战略风险、市场风险、财务风险、法律风险等开展识别。企业各级部门应该根据本部门的业务内容、风险特点，依据内部控制流程和合规业务管理模式开展风险应对工作，并通过总结建立风险识别库。
      2. 风险评估
      企业应定期开展风险评估工作，总结近期面临的主要风险，分析风险的特点，以及明确风险的掌控重点，优化对风险的管控机制。内控、合规管理人员应参与到对风险的动态跟踪中，实现对风险的持续性控制。针对不同类型的风险应该开展持续的评估和监控，合规和内控管理人员需要参与对风险的持续性监控，并结合近期的重点业务、主要风险等，开展对风险的评估。
      3. 风险应对
      不同业务部门应进行风险类型的区分，形成风险预警机制和控制策略。根据上级要求、公司偏好等确定对风险的容忍度，内控、合规等管理人员需要参与到对重大风险指标的应急处理当中，并制定应急预案、确定风险管理人员、明确处理程序。通过企业内部各级人员的协同配合，开展包括风险管理、内部控制、合规管理的自查，及时对存在高风险的缺陷进行改进。
三、风险、内控、合规三位一体管理模式设计思路
      1. 组织职能设计
      （1）管理模式顶层设计
      企业需要将风险、内控、合规并列的管理体系改为整体统筹模式，通过设置职能实现业务的融合和衔接，通过完善顶层设计，确保对人员的有效调配，保证管理人员的协调配合，避免职能、工作内容的交叉重叠，实现部门精准化的同时，提升管理工作效率。由于风险管理和国有企业发展具有高度的相关性，为此可以结合风险管理来优化组织设计。应专门设置合规管理委员会、审计和风险管理委员会，而且要确保委员会成员的一致性，从决策层面保证整体效益。
      在企业内部，应针对风险控制建立专门的风险防控管理小组，负责对风险的统筹管理，同时履行内控管理和合规管理等相关职责，促进三项工作的融合，保证工作模式的统筹协调，确保工作内容的衔接。
      （2）全员参与的管理方式
      为了促进三位一体管理制度的建设，企业需要保证自上而下的各级全面参与，国有企业的不同职能人员，都要对风险、内控、合规管理负责，从而实现面向企业运营整个流程的管控。国有企业的各个部门、分支机构都需要对业务开展风险、合规管理，并履行内控工作要求。企业应明确各部门在风险管理、合规管理、内控管理工作中的职责，确定管理工作的具体流程，让责任落实到个人。各部门应定期开展风险识别工作，定期进行风险评估，确定转移、降低、控制风险的策略。企业部门应根据统筹规划要求确定自身的管理目标，组织开展风险排查工作，定期进行违规问题的整改，推动风险、内控、合规管理的持续改进，规范企业的相关经营活动。企业的纪检部门、审计部门等职能管理队伍，应该针对各部门的重大经营项目、财务资金管理状况、物资采购状况等进行重点检查，对产生的损失进行严肃问责，推动部门进行整改。
      2. 建立信息化管理体系
      构建三位一体管理模式意味着信息交流更加频繁，企业内部部门之间需要进行更加高效的信息沟通，确保管理体系作用的发挥。为此，国有企业应该在三位一体管理模式下进行信息化管理体系的建设，提升对周围环境的适应性，加快各部门工作环节的衔接。
      （1）数据共享
      国有企业应针对风险、内控、合规管理建立专门的数据库，为数据共享提供物质基础。企业内部各部门、分支机构都要使用统一的管理系统，定期上传、共享数据，方便企业自动化完成对数据的分析汇总，完成对风险的判断、总结近期内控管理水平，以及检查各项业务是否合规。同时，企业部门也要共享历史数据，对过去的纸质账目都进行数字化储存，方便使用往期数据判断企业、行业的发展趋势。
      针对各类数据，应开展统一规划，搭建风险库、内控库、法律法规库等不同类型数据库；完成数据的横向汇总后，需要分析不同数据的关联性、差异性，确定数据之间的内在关系。系统应生成可视化图表表现对当下、未来发展趋势的分析结果，指出存在的异常数据、异常趋势完成对问题、隐患的揭示，确定风险损失问题，开展不合规事件的问责。
      （2）统一信息沟通口径
      由于多数国有企业的风险、内控、合规部门分别设置，导致部门内部可能形成了特有的信息沟通口径，在建立三位一体管理模式后，原本不同部门的人员会由于信息沟通口径不同影响交流，还会增加工作中的出错概率。为了保证信息的高效流通，企业需要建立统一的信息沟通口径，包括风险评估内容、内控测试方法、合规检查项目等，强化企业高层和企业其他部门、分支机构的对话，按照要求上报数据，掌控风险评估、内控测试的结果，针对问题制定管理措施，提升管理效率。
      3. 具体管理流程设计
      （1）风险、合规管理融入内控管理体系
      传统内控管理体系会进行各个业务层面的风险控制，会进行企业风险点的描述、明确执行部门、确定风险控制频率、剖析风险出现原因等，可以给日常工作中的风险防范提供指引。在风险、内控、合规管理融合的要求下，需要进一步完善内控管理体系，例如针对合规管理，应明确双方需要履行的义务，并采取有关措施进行风险控制，例如主管部门需要全面跟踪管理，对不满足合同的行为及时进行纠正。
      （2）管理标准设计
      企业应建立通用性的制度，面向不同业务提出的风险、内控、合规管理提出统一管理要求，实现横向、纵向的协调统一，也能减少规章数量，为三位一体管理模式推进提供基础。例如明确业务的操作流程和步骤，分析不同业务的内部控制要求，进行管理原则、操作流程的梳理，覆盖专业领域，形成标准化的内部控制模式，推进企业完成规范性管理。为确保对风险的控制，企业内部应使用统一的风险语言、分类框架，确定不同类型风险的描述方式，以及总结各类风险的成因、特征、影响，建立风险信息库。
      4. 监督机制协同
      有效的监督机制可以确保企业及时发现和纠正运营期间存在的问题和错误，保证管理体系、运行模式的有效性，推进对风险的控制、优化内控模式、确保企业各项业务合规，并且可以降低企业的运营成本。为了消除管理盲区、实现运营目标，企业内部需要定期开展自我评价，结合风险控制、合规管理要求，针对企业资金管理、物资采购等方向定期评价，对频发问题的业务、岗位，应委托专业的审计机构完成评价工作。评价结果需要纳入内控工作体系报告中，并根据结果持续开展优化工作。企业日常工作中可能会存在一定的隐藏问题，必须充分利用审计、检查、内部控制监督评价等确定隐藏问题类型，并强化制度的规范执行，推动风险控制、内控管理、合规管理的持续性升级。
四、结语
      为实现三位一体的风险管理，应积极推进风险、内控、合规管理部门的融合，并在企业内部建立统一的管理模式，推动企业的横向、纵向协同，实现对企业运营期间问题的综合控制。企业应建立以风险控制为主线的管理模式和控制模式，构建信息化的管理体系，强化部门之间的协同配合，持续性优化工作，为国企的长期发展创造条件。
参考文献
[1] 胡允银，肖文荣 . 企业知识产权合规管理“三位一体”模式研究 [J]. 红河学院学报，2024,22(1):86-91.
[2] 梁新波，张艳宇，高丹，等 . 合规、法务、内控、风险四位一体协同运作研究 [J]. 上海国资，2023(4):41-44.
[3] 杜建吉 . 合规、内控、风控、法律管理“四位一体”风险防控体系的探索与实践 [J]. 化工管理，2023(3):8-11.1