企业风险内控合规一体化建设

企业风险内控合规一体化建设

许智琼

身份证:45030419900621252X

摘要：将合规、风险、内控管理体系进行有效衔接、协调统一，进一步整合管理资源，提升管理效能，从而避免职能交叉、工作重复、合力不足、效率不高、效果不显著等一系列问题。企业应该结合自身实际，建立三位一体化的风险管理体系，对合规管理、风险管理、内部控制有关组织机构、工作目标、工作内容、方法、机制以及工作流程等进行有机整合，对于企业自身来说，具有着重要的战略性意义。

关键词：内控；风险；合规管理

一、合规管理

合规管理是指为了应对企业及员工经营管理行为不符合法律、监管规定和企业章程、制度和国际惯例，导致法律责任，受到处罚或者声誉损失的风险，制定制度、风险识别、合规审查、风险应对、责任追究等一系列有组织有计划的活动。

合规管理在我国是从金融管理部门的规则和规范性文件开始的，2006年银监会发布了《商业银行合规风险管理指导方针》。2007年保险监督会发布了《保险公司合规管理办法》，2017年证监会发布了《证券公司和证券投资基金管理公司合规管理办法》。

2015年，国务院国资委发布了《关于全面推进法治中央企业建设的意见》，要求中央企业“加强法规合规经营”和“加快提高合规管理能力”。2018年，国家发展改革委发布了《企业海外经营合规管理指导方针》。2018年11月，国务院国资委发布了《中央企业合规管理指导方针(试行)》，提出“中央企业要加快建立健全合规管理体系”，“全面加强合规管理，加快提高依法合规管理水平”。另外，在运营和保障方面，对制定合规制度、应对风险识别、违规责任、合规文化等方面作了详细规定。

二、内部控制管理

2002年，美国的“安然事件”促成了《萨班斯-奥克斯利法案》，推进了COSO框架下内部控制体系的构建。2008年财政部等5个部门发布了《企业内部控制基本规范》和《企业内部控制支持指导方针》，确立了我国企业建立和实施内部控制的基本框架，包括内部环境、风险评估、控制活动、信息和沟通、内部监督5个要素。

内部控制主要包括财务信息的准确性、可靠性、对企业人员、资产、工作流程和经营活动的有效控制、确保法律合规性、降低企业经营风险、促进企业管理目标的实现、提高经营效果和效率、最大限度地发挥企业价值。

经过十多年的改革和发展，国有企业已经形成并建立了内部控制和风险管理体系，对企业财务、人、资产、工作流进行了有效的监督，构筑了内部控制管理的“三条防线”，保证了经营管理活动的正常合法运行。

三、风险管理

风险管理是指一个经济单位在分配有限资源的同时将风险减至最低的管理过程，实现低成本、高效益的同时还可以保障安全的一-种科学方法。1992 年，美国著名反虚假财务报告委员(COSO) 发布了《内部控制——整体框架》 ，提出了风险管理应包含风险识别、控制和规避这几个要素。到了二十一世纪，美国管理协会出版的项目管理知识体系指南又对风险管理理论进行了详细、全面解释，2004的版本进一步丰富了风险管理的内容，风险管理的研究得到深化。2009年国际标准组织(IOS) 发布《IS031000: 2009风险管理原则和指南》，对当前的风险管理模式进行了创新性的改革,为之后进行风险管理工作提供的有效理论支持。

四、风险、内控、合规一体化建设背景

4.1管理成本降低、需要提高效率

内部控制建设只能在计划财务部等三个部门分别针对管理活动进行开展，存在管理三张批的现象，其次，合规管理、内控管理、风险管理的流程均包含风险识别、风险评估、风险控制、监督与改进等等一系列的多个环节，而在这一系列多个环节之中，各部门却又独自开展工作，存在重复，管理，资源，浪费等一系列的现象，给所属的下级单位造成了时间成本，人力成本，精力成本等一系列的成本浪费。因此，为了针对管理成本进行降低，一定程度上提高管理效率，必须对三项职能进行融合，整合流程、共享信息、针对统一的管理平台进行建设。

4.2发挥实效的需要

近年来，由于外部环境的影响，企业事件频发，风险较大，需要采取有效措施防范风险。 但公司风险管理职能不仅分散，而且职能相对边缘化，风险管理部门与内控建设部门分离，导致风险管理部门认识到风险后仍无法直接修订完善流程，执行控制活动，风险管理未能有效落地。应对以上问题，切实有效发挥风险管理职能，必须进行职能融合，确定专门的风险一体化管理归口部门，协调统一开展工作。

4.3改革转型升级的需要

随着新的经济正常化的到来，企业正在迎接新的挑战。一方面，外部市场竞争形势越来越严峻，另一方面，内部体制机制、管理模式的制约越来越明显。企业风险管理体系建设是公司转型升级、提高质量和效率的重要保证。对现有风险管理资源的整合和改善，可以建立良性闭环企业经营发展管理链，促进国企改革的变革和升级，因此，企业迫切需要建立强有力、高效的风险管理系统，为公司经营发展保驾护航。

五、风险、内控、合规

一体化建议

风险、内控、合规一体化是指公司从实际出发，将职能交叉、防止资源浪费、提高风险防范能力、法律事务管理、合规管理、风险管理、内部控制相关组织、工作目标、工作内容、方法、机制和工作流程有机结合起来，构建风险集成管理平台，建立中央管理部门。在风险管理框架下，建立以风险管理为导向、内部控制和合规管理风险管理基本流程、法律事务管理专业支持和保障、平台集成、信息共享、流程集成、功能强化、运营协调等风险集成管理体系。

5.1整合治理架构

第一，同时负责相关部门的风险管理、内部控制和合规管理，并与风险管理部门、法律法规遵从部门、审计部门联系。指导和监督分公司相应业务的风险管理和内部控制、合规管理工作。

第二，就是针对操作的风险、内控以及合规的条件管理进行突出。但随着时间的推移业务部门设立的独立风险管控与内控、合理管理岗位，能够在一定程度上逐步针对公司各部门以及各级分支机构人员在操作风险与内控、合规管理上的只能进行逐步的加强。具体的去讲：风险管理部门与法律合规部门分别针对全公司的风险管理与合规管理工作进行统筹进行，其他部门针对本条线各级分支机构的相关人员的风险管理与内控合规管理工作进行一定的把控。分支机构的风险管理与内控、合规管理除了向风险管理部门、法律与合规部门汇报之外，还需要针对性地向主管部门的汇报，也在一定程度上针对分支机构的相关管理工作更切合实际进行保障，这样操作能更有针对性的突出风险，内控、合规一体化的工作业务。

5.2整合工具建设

必须建立统一的工具体系，以减少重复工作、减少工作量、降低管理成本、丰富管理工作和提高结果一致性。该工具系统包括:

应用流程划分和风险控制评估标准，通过统一的业务和管理流程将操作风险、内部控制和合规性管理整合在一起，使结果更加完整一致，从而组织全面支持操作风险、内部控制和合规性管理的内部控制体系文档。

在此基础上进行了工艺梳理。流程列表有助于梳理运营风险流程，是合规、内部控制管理的重要指标，在内部控制合规实践中也发挥着重要作用。它是连接内部控制、法规遵从性和运营风险“三合一”的重要桥梁。

目前，法律法规遵从部门没有明确的流程列表、风险管理矩阵和流程图，整个流程分类和风险点识别尚未进行。在“三合一管理”模式下，内部控制、合规性和运营风险链接的流程列表及其流程图应该是一个集成的整体系统。形成完整的多阶段流程体系，明确各子流程所属部门的全行流程梳理是三合一建设项目的重要工作之一。一旦确定了流程列表，它本身就可以用作内部控制评估和流程评估列表，您可以为风险和控制自我评估选择与运营风险相关的流程。

5.3整合信息系统

信息系统是运营风险管理、内部控制和合规管理不可缺少的重要组成部分，为各管理流程的全行推进、数据积累、信息汇总和报告提供了有效的技术平台。在操作风险管理、内部控制和合规管理体系中，需要构建起直接管理、集中管理、监督和评价作用的三道防线。 每种不同类型的系统支持三道防线的工作，与运营风险管理、内控、合规管理信息系统分工协作，为运营风险管理、内控、合规管理提供系统支持。

六、结语

风险一体化管理，可以有效的针对国资委、财政部等对法律、合规、风险、内控制定的各项管理规定进行实际性的落实，同时还能够落实国资委针对一体化建设的要求。就目前而言，大部分的企业仍旧是法律合规、风险内控进行不同的分类管理，随着合规体系建设工作的全面展开，企业普遍面临的困惑是法律、合规、风险、内部控制管理系统如何有效联系、统一、进一步整合管理资源、进一步提高管理效率的途径，风险一体化管理是应对这一挑战的有效思路。企业结合自身实际，实施三位一体化风险管理体系，其价值不仅在于解决自身风险管理体系建设问题，更重要的意义是建立其他企业综合风险管理资源、融合风险管理功能、法治企业能力及风险管理水平，真正有效、适应新形势市场竞争需要的一体化风险管理模式。

参考文献

[1]陈羽.央企内控、风控与内审之间关系处理存在的问题及对策探讨[J].企业改革与管理,2021(24):10-11.DOI:10.13768/j.cnki.cn11-3793/f.2021.2497.

[2]李林,刘丽芹.内控、合规、案防和操作风险一体化管理与数字化转型探讨[J].农银学刊,2021(06):55-60.DOI:10.16678/j.cnki.42-1864/f.2021.06.012.

[3]崔罡,胡志成,张庆亮,王搏,孙丹.国家电网风险内控合规一体化运行体系的探索与实践[J].财务与会计,2021(23):31-34.

[4]郑花祯.提高内控合规管理一体化、数字化水平的路径和方法[J].中国银行业,2021(09):26-29.