为促进国有经济持续健康发展，防范企业风险，相关监管部门先后提出了建立全面风险管理体系、内部控制体系、合规管理体系等要求。全面风险管理、内部控制、合规管理 (以下简称为“风险、内控、合规“)等与风险密切相关，对于风险、内控、合规管理三者的边界存有不少的困惑，很多企业和工作人员不清晰的；而企业为符合这些监管的要求，分别投入进行了大量的人力和财力，但取得的最终效果往往一般。

一

背景

2006年6月6日，国务院国有资产监督管理委员会以通知的形式，印发《中央企业全面风险管理指引》，要求中央企业根据自身实际情况贯彻执行本指引；2008年5月22日财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，适用于中华人民共和国境内设立的大中型企业，随后又发布了18项应用指引；2022年8月23日国务院国有资产监督管理委员会公布《中央企业合规管理办法》，适用于中央企业，同时要求地方国有资产监督管理机构参照本办法，指导所出资企业加强合规管理工作。这三份文件，出台的时间和背景，各不相同，给企业风控等工作带来不同的视角。但同时对企业风控等工作从不同角度也提出了不同的要求。企业已有风险管理、内部控制与合规管理等三套管理体系。如何看待这三者之间的关系，成为所有企业风险管控领导者及从业者的⼀⼤难题。

风险管理、内部控制、合规管理三项工作具有较大的类同性、相似性甚至交叉重叠，企业如何就风险、内控、合规管理进行有效衔接、协调统一？如何进一步整合管理资源，提升管理效能，从而避免职能交叉、工作重复、合力不足、效率不高、效果不显著等一系列问题呢。

二

为什么要进行风险、

内控、合规一体化管理

1、风险管理、内部控制、合规管理有不少的工作内容和工作程序是重合的，在一定程度上形成了管理资源浪费，影响了企业整体的管理效率。

自2006年国资委颁发《中央企业全面风险管理指引》，2008年五部委颁发《企业内部控制基本规范》，国有企业陆续建立了风险管理及内部控制管理体系，随着2018年，国资委颁发《中央企业合规管理指引（试行）》，国有企业正在逐步建立合规管理体系。企业在实际工作开展过程中存在着风险、内控、合规三项工作分头推进、分别开展体系建设、制度建设的情况，部分工作职责交叉、工作内容重复，如风险评估，在内部控制实施时，需要风险评估;在执行合规管理工作时，是一个必要的程序;对于全面风险管理工作，风险评估尤其需要，导致风险管理、内控、合规管理监督制度各行其是、各说各话、不能有效发挥统一管控作用，在一定程度上形成了管理资源浪费，影响了企业整体的管理效率。

如何减少类似的重合或重复工作，简化操作流程，是驱动对三者进行统筹考虑的主要因素。

2、风险管理、内部控制、合规管理的共同基础是对业务流程中出现的各类风险行为进行管控，管控的表现形式均是通过管理制度体系体现出来的。

合规、内控与风险管理均是基于业务流程开展工作的，特别在合规、内控等相关管理文件中均强调了管控工作要““融入业务领域”、“嵌入业务流程”等。业务流程是风险管理体系、内部控制体系、合规管理体系等所有风险管理体系建设依赖的基础，而制度体系是风险管理体系、内部控制体系、合规管理体系等所有风险管理体系的表现形式。

3、监管部门对企业风险管理、内部控制、合规管理的要求逐渐转向一体化管理。

2015年12月8日国务院国有资产监督管理委员会在《关于全面推进法治央企建设的意见》中，提出“探索建立法律、合规、风险、内控一体化管理平台”。

2019年10月19日国资委在《关于加强中央企业内部控制体系建设与监督工作的实施意见》要求，“建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系。进一步树立和强化管理制度化、制度流程化、流程信息化的内控理念，通过“强监管、严问责”和加强信息化管理，严格落实各项规章制度，将风险管理和合规管理要求嵌入业务流程，促使企业依法合规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的风险防控机制，切实全面提升内控体系有效性，加快实现高质量发展。”

2019年12月26日，国资委在《关于做好 2020 年中央企业内部控制体系建设与监督工作有关事项的通知》中提出，“各中央企业要以“强内控、防风险、促合规”为目标，进一步整合优化内控、风险管理和合规管理监督工作，按一体化要求编制2019年度内控体系工作报告，不再分别报送《中央企业内部控制评价报告》和《中央企业年度风险管理报告》。”

由此可以看出，监管部门对国有企业开展风险管理体系、内部控制体系、合规管理体系的三项工作要求已经融合成为了一项要求。

4、从国有企业自身的需求出发，构建风险、内控、合规一体化管理体系，也符合企业发展的需求。

风险管理、内控、合规三者均与企业风险管控密切相关， 只是关注点和切入点不一样。企业经营管理，其实越简单越好。对企业风险管理来说，本质上并不需要多个管理体系。因此，将合规管理体系、内部控制体系、全面风险管理体系进行有效衔接、融合与统筹，即所谓一体化，是大多数企业的必然选择，也是构建一套管理企业经营风险的整体方法。

从企业管理的需求来看，国有企业风险、内控、合规一体化管理体系建设是未来的发展趋势。企业通过一体化管理体系的建设，有效整合风险、内控及合规管理体系，在满足外部监管要求的同时，整合及优化内部管理资源，降低管控成本，提升管控效率和全面风险管理水平，为企业发展保驾护航。

三

如何建立风险、

内控、合规一体化管理体系

风险、内控、合规一体化管理体系是三个体系的有机融合，一体化管理体系的建设，需要兼顾三个体系各自的特殊要求，将特殊要求与统一架构融合在一起，才构成完整的合规、内控与风险一体化管理体系。这样构建起来的体系，才是更完善、更符合实际的一体化管理。

1、策划一套完整的风险、内控、合规一体化管理实施方案。

在对企业合规、内控与风险管理现状进行调研之后，策划一套完整的风险、内控、合规一体化管理实施方案。一般包括一体化体系建设的核心原则、主要目标、工作阶段、重点工作内容、主要工作成果和工作保障等内容。

2、设计一套完整的风险、内控、合规管理体系。

设计一套完整的风险、内控、合规管理体系，主要从以下几个方面开展工作：

第一，在组织架构层面，组织职能进行统一。

精简企业内部组织架构，设立风险、内控、合规一体化管理的组织架构，并明确管理职责，避免职能交叉重复，防范推诿扯皮。

第二、统一组织对该三类风险进行识别、分析与评价。

不管是实行独立的管理体系，还是一体化的管理体系，风险评估都是风险管理、内部控制、合规管理的必经阶段。基于企业业务流程，组织对该三类风险统一进行识别、分析与评价，是一体化管理体系建设的关键动作。

第三、针对性的制定风险管控措施与策略。

风险评估的目的是为了制定相适宜的风险管控措施。风险、内控、合规一体化管理，需要达到同时管理三类风险的目的。因全面风险、内控、合规所关注的风险性质各不相同，其管控措施也不尽相同。在一体化管理体系建设过程中，需要针对不同性质的风险，采取不同的管控措施。

第四、建立统一的制度流程管理体系。

风险、内控、合规一体化管理体系建设本质上是根据风险、内控及合规的相关要求，设计相应的管控标准，并落实到日常业务中。形式上，将风险、内控及合规管理要求、评价标准及风险应对措施融入到制度管理体系当中，形成统一的管理制度体系。

3、建立一体化的运行监督机制。

从管理角度看，风险、内控、合规一体化管理体系主要可分为两个部分，一个是体系建设，另一个是体系的日常运行监督。

首先，建立一套运行监督评价体系。结合内部控制自评、风险管理及合规管理检查的相关要求，明确一体化管理体系评价工作的组织形式、评价方式、问题整改及跟踪机制，制定一体化评价的相关检查测试程序，明确一体化缺陷认定标准，编制一体化评价检查清单、评价底稿和评价报告，实现风险检查、内控自评、合规检查工作的整合。

其次，各监督主体统一工作协调机制。对负责企业监督工作的纪检监察、审计、监事会等监督主体进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将各项监督工作有机结合，建立监督主体之间相互协调、合作联动的业务流程，增强监督工作合力，形成大监督的协同工作机制。

结合企业自身实际，对风险管理、内部控制、合规管理的工作目标、工作内容、方法、机制以及工作流程等进行有机整合，将原本独立的风险管理体系、内部控制体系、合规管理体系、经营管理体系进行有效融合，建立平台统一、信息共享、流程整合、功能强化、协调运转的风险一体化管理体系，形成真正有效的、适应新形势市场竞争需要的一体化的风险管理模式。

作者：袁志敏，北大纵横高级合伙人