一、合规、内控及风险管理体系融合依据

       国资委2019年在整合《关于加快构建中央企业内部控制体系有关事项的通知》（2024年1月3日失效）《中央企业全面风险管理指引》《中央企业合规管理指引（试行）》相关要求的基础上，下发《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号、以下简称“101号文”），规定建立健全以风险管理为导向、以合规管理监督为重点，严格、规范、全面、有效的内控体系，实现“强内控、防风险、促合规”的管控目标。

       同时，结合国资央企新一轮内控体系建设与监督三年工作进行部署安排，国资委2023年印发《关于做好2023年中央企业内部控制体系建设与监督工作有关事项的通知》（国资厅监督2023[8]号，以下简称“2023年8号文”），规定建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系[1]。

       在“101号文”“2023年8号文”等相关文件基础上，国资委印发《关于做好2024年中央企业内部控制体系建设与监督工作有关事项的通知》（国资厅监督〔2024〕20号）（以下简称“2024年20号文”），进一步要求充分发挥内控机制在依法合规治企、严肃财经纪律、防范化解重大风险等方面的重要作用[2]。

       鉴于国资委上述一系列政策出台，各大企业及服务机构陆续推动合规管理、内控管理及风险管理一体化整合升级，不断探索多位一体的体系融合，基于合规、内控、风控三位一体体系演变发展为三位一体+法务的四位一体体系、四位一体+审计的五位一体体系、亦或者五位一体+纪检、监察形成的多位一体体系，并不断推出“X位一体”一体化管理成果或产品。

二、合规、内控、风控“三位一体”管控现状

       101号文对中央企业提出“强内控、防风险、促合规”的一体化管控思路，将中央企业内控管理工作推进到了2.0时代。结合目前合规、内控、风控“三位一体”融合现状，其操作程序仍沿用单体系搭建的模式，主要体现在以下方面：

第一，环境分析：

       从一体化管理环境判断为起始点，分别对合规管理现状、内部控制管理的现状、风险管理的现状，以及三者职能协同或冲突现状进行扫描与分析，以此确定一体化管理实施思路；

第二，方案制定：

       制定一体化建设方案，基于企业经营管理行为拆解企业的业务流程与管理事项，形成分职分级管控；

第三，风险识别：

       融合合规风险、内部控制风险以及全面风险，基于已有风险清单对识别的风险进行整合、分析及评价；

第四，组织架构：

       搭建组织体系，组建委员会，任命第一责任人等；

第五，制度管理：

       制度体系建设，在融合原有合规管理办法、内部控制管理办法、全面风险管理办法的基础上制定一体化管理办法，形成一体化制度层级。

三、一体化体系管控异同与难点

       合规、内控与风险管理在不同的场景下对应不同的定义及解读，三者亦存在交叉与共性。

（一）合规、内控与风险管理的异同

       1. 以合规管理体系建设为视角，《中央企业合规管理办法》所称合规管理，是指企业以有效防控合规风险为目的，以提升依法合规经营管理水平为导向，以企业经营管理行为和员工履职行为为对象，开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。

合规管理作为底层思维管理，侧重于要求企业经营管理行为和员工履职行为符合“外法内规”。

       2.从内控管理体系建设来看，《企业内部控制基本规范》规定，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。2013年5月新版《内部控制——整合框架》明确内部控制是一套流程，受组织的董事会，管理层和其他员工所影响，被设计并用来为组织提供合理保证，使其实现运营，报告和遵循目标。

内部控制的本质是通过管理实现控制目标，达到权责制衡。

       3.《中央企业全面风险管理指引》所称全面风险管理是指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

风险管理重心在于权衡企业目标与风险防控。

       4.合规、内控与风险管理对环境管理、风险识别、组织架构、制度、管控机制及评价监督等内容均纳入管理范畴，三者在前述方面存在共性与交叉。  

来源	合规管理	内控管理	风险管理
外部标准	GB/T35770-2022《合规管理体系要求及使用指南》	《COSO内部控制整合框架》（2013）	《COSO企业风险管理-整合战略和绩效整合框架》（2017）
法律依据	《中央企业合规管理办法》（国务院国有资产监督管理委员会令第42号）	《企业内部控制基本规范》的通知（财会〔2008〕7号）	《中央企业全面风险管理指引》国资发改委（〔2006〕108号）
交叉内容	管理环境、风险识别与评估、组织架构设计、制度建设、流程管控、评价与监督

（二）合规、内控与风险管理体系融合的难点

       以某国有企业一体化项目为例，合规、内控管理一体化体系建设过程中，涉及风险类别、组织体系以及制度体系融合存在不适配等问题，本文结合案例就前述三方面内容作以下分析：

1.风险类别的划分

       一般而言，避免造成风险牵头部门与风险防控部门的认知不一致，引发风险管控与风险库建设工作的脱节，需针对风险形成原因、发生可能性及影响程度等方面进行分析，与第一道防线各部门沟通确认进一步完成等级评价与等级共识工作。

       如前文所述，合规管理要求遵守“外法内规”，内控管理旨在制衡控制权责。实务中，合规管理与内控管理的各自牵头部门在识别与分析风险过程中，对于风险落入何种类别（级别）的划分存在争议，合规风险侧重于合规义务范畴下的企业全面风险，包括公司治理风险，内部控制涉及的风险侧重按照《中央企业全面风险管理指引》进行分类，一般分为战略风险、财务风险、市场风险、运营风险、法律风险等。

       在推进一体化风险融合过程中，内控牵头部门既主张不扩大风险类别又主张不得缩减风险分类。基于案例经验，内部牵头部门执行风险监测工作严格遵循国资委对国有企业内控风险监管的要求，甚至存在直接按照国资委下发监测表单进行补充完善的情形。从实务反馈可以看出，国有企业内控牵头部门仅针对国资委划分的战略风险、市场风险、财务风险、法律风险、运营风险五类风险进行监测，对于企业除上述五类风险类别之外的风险是否进行监测没有定论，反观，合规管理范畴下的风险识别范围更广更全面。

       鉴于此，一体化风险识别的难点之一在于对风险类别分类的改变，中央国企能否突破国资委要求将内控基于《中央企业全面风险管理指引》划分的五类风险扩大甚至合并以适应合规管理风险类别之需，在实务操作中存在难度；其次，如何将内控关注的五类风险融入合规要求的风险，在实操中亦存在调整障碍。

2.一体化组织架构的设计

       一体化管理的组织架构之设计难点在于如何实现统一部署、分工协调。101号文规定中央企业主要领导人员是内控体系监管工作第一责任人；《中央企业合规管理办法》规定，中央企业应当设立合规委员会、结合实际设立首席合规官（由总法律顾问兼任）以及合规管理员。

       实务中，内控管理一般由专门的内控部门或者审计部门牵头管理，其对央国企分管领导负责；合规管理一般由法务部门或者合规部门专管，首席合规官作为领导合规管理部门组织开展相关工作与指导所属单位加强合规管理的负责人，对央国企领导班子负责。具体到案例，分管合规与内控分属不同牵头管理部门，二者对应的分工不同，在实操中各部门/机构存在职能壁垒。

       一体化体系融合需实现治理层、管理层及执行层的职责统一[3]，本案中，总法律顾问作为管理层看似一人同时负责合规与内控，但从实际的业务管控流程可以清晰看出其分管二者的职位角色不同。法律明文要求央企设置合规委员会与首席合规官，意味着在现有法律框架下，合规委员会、首席合规官应该存在于央国企不被取消或吸收，那么合规管理范畴下设立的合规委员会能否兼管企业内控，以及央国企总法律顾问以首席合规官角色/职位能否分管内控对于一体化体系组织架构融合提出现实考验。

       一体化组织职能融合必然会涉及执行层中第二道防线的职能统一，如人员调动与组织架构调整。实务中，央国企是否能实际调整第二道防线部门及职责存在疑问。

（三）制度的可操作性

       根据《中央企业合规管理办法》规定，中央企业应当制定合规管理基本制度，明确总体目标、机构职责、运行机制、考核评价、监督问责等内容；《中央企业全面风险管理指引》规定，企业制定内控措施一般包括内控管理、内控报告、内控审批以及内控评价与监督等制度。制度的建立关乎内控管理体系、合规管理体系机制与保障措施的运行。

       实务中，内控部门与合规管理部门为了执行体系会分别制定《内部控制管理办法》《合规管理办法》等制度，作为执行内控、合规管理的纲领性文件，根据法律规定，二者在制度中均明确机构、机制、考评及监督等内容。虽然制度的构成要素存在共通或交叉，二者在一体化体系融合中如何构建顶层文件？如何分布基本制度？涉及内控、合规管理相关的各类指引、手册如何保障运行？均对一体化制度体系融合构成影响。

四、结语

       101号文及相关规定提出“强内控、防风险、促合规”一体化大监督思路为企业充分发挥内部控制体系的强基固本作用指明了方向，笔者认为该文件的宗旨侧重于对内控管理的加码，而非“内控－风险－合规”三者基于同等地位进行简单融合。

      目前实务中存在的“X位一体”体系融合建设虽存在借鉴意义，但是否实际符合央国企发展存在诸多现实困境。如何科学调整不同维度下的监管要求实现一体化体系有效融合是当下央国企面临的难题，亦需推动监管部门基于顶层设计出台赋能企业发展的一体化体系协同建设路径或方案。

注释

[1] 《关于做好2023年中央企业内部控制体系建设与监督工作有关事项的通知》（国资厅监督〔2023〕8号）

[2]  《关于做好2024年中央企业内部控制体系建设与监督工作有关事项的通知》（国资厅监督〔2024〕20号）

[3]  安永：国资智汇｜国有企业如何构建风险、内控、合规一体化管理体系？