风险管理,内部控制,合规管理三位一体整合的研究

风险管理,内部控制,合规管理三位一体整合的研究

罗燕茹

筠连川煤芙蓉新维煤业公司，四川省宜宾市，645255

摘要：文章针对近几年国有企业开展的全面风险管理、内部控制、合规管理等三项制度体系建设工作，结合多年管理与咨询的实践经验，在深入总结分析风险管理、内部控制、合规分线条管理弊端的基础上，提出了从三个维度及运用相应方式进行三位一体整合的实现路径。

关键词：风险管理；内部控制；合规管理；大风险；三位一体整合框架

前言：当今世界进入了一个乌卡时代，人们正处在一个易变性、不确定性、复杂性、模糊性共存的世界里。企业的生存与发展面临着无数的不确定性，事件引发的全面风险管理、内部控制、合规管理先后引入企业管理，成为我国企业治理的重要组成部分，并日益受到各方面的重视。同时，由于企业外部管理部门不同的管理角度和监管要求，以风险管控为导向的三类管理体系逐步导入企业后，使企业内部三项管理工作出现了多部门管理、多体系并存、多轨道运行的风险管理格局，造成了体系重复建设、人员重叠配置、职能重合交叉、管理多重并行等问题，既浪费了企业资源，又加重了业务负担，还减低了管理效率，严重影响了风险管理、内部控制、合规管理的实践效果，为此，本文拟结合多年管理与咨询的实践经验，在深入总结分析风险管理、内部控制、合规管理分线条管理弊端的基础上，探究了将三者整合构建的必要性和可行性，提出构建风险管理、内部控制、合规管理三位一体的总体框架和基本思路。

一、风险管理、内部控制、合规管理的异同及弊端的分析

（一）风险管理、内部控制、合规管理的异同

全面风险管理和内部控制与合规管理均为企业治理框下的管理活动，属于同质化管理活动，根据5W2H管理分析法的基本要点，风险管理与内部控制和合规管理的相同之处包括：管控目的、管控对象、管控主体、管控方、管控目标、管控基础。而不同之处在于风险管理、内部控制与合规管理源于不同的背景，管理的视角、维度、侧重点和作用领域各有不同，主要表现为管控功能不同，全面风险管理既可以帮助企业保持价值，也可以帮助企业创造价值；内部控制重在保持和维护企业价值；合规管理主要是防止企业遭受处罚和损失。管控重心不同，全面风险管理侧重战略层面且来自企业外部的有利机会利用和不利风险管控；内部控制侧重内部业务运营层面的风险预防与控制；合规管理侧重企业和员工的对外强制性承诺义务和自愿性承诺义务的责任管控。管控层级不同，全面风险管理目标多为利益相关者的期望目标；内部控制目标一般为公司正常运行的保障目标；合规管理目标主要为保障公司健康运行的底线目标。管控范围不同，全面风险管理的风险包括外部风险和内部风险；内部控制风险主要指内部风险；合规风险既包括外归内化风险，也包括内部自觉性承诺风险。

（二）风险管理、内部控制、合规管理分线条并存的弊端

近年来，出于国家监控部门的强烈要求，企业自身管理的内生性需要，以及企业竞争与发展的外在影响，各企业纷纷导入并建立了全面风险管理、内部控制和合规管理的制度与流程体系，员工的风险意识明显增强，企业抵抗风险能力不断提高，重大风险事件有所遏制。与此同时，在企业内部也出现了全面风险管理、内部控制、合规管理重复建设，多轨并行的状况，不可避免地产生了制度体系冲突，流程繁琐复杂，造成企业管理负担加重、管理效率降低等问题，主要表现在：不同部门依据不同的政策和要求，建立各自的管理体系、管理制度与流程，造成多部门、多政策、多系统风险管理，使得风险管理政出多门，风控职能重复交叉，风控要求目标多元，业务管理疲于响应。而且这种条线分割还会形成部门墙，导致企业内部信息割裂，体系运行各自为政，削弱了内部协同效应。也会使业务管理与风险管理相互脱节，三项风险管理体系相互分离或交叉重复，从而导致管理冲突或管理真空，降低了治理效率与效果，分散风险管理目标，增加业务负担，淡化风险绩效管理地位，出现评价标准的差别与分歧等。

三、风险管理、内部控制、合规管理三位一体整合的基本思路

（一）情境一体化

企业的生存与发展不仅有赖于内部的基础环境，更需要与外部环境进行交互作用，外部因素既会给企业发展带来机遇，也会增加企业目标实现的不确定性，同时还存在着一些企业生存与发展的规则高压线。因此，企业风险管理体系的建立不能无视这些内外部因素的存在与影响，反而需要遵循系统论的环境适应性原则，分析、改造和利用环境，将与公司相关的环境因素转化为公司有效的生产资源或要素，成为风险管理系统的重要组成要件。一是将全面风险管理关注的外部政治、经济、社会、技术、市场等因素与合规管理关注的外部法律法规因素转化为企业内部的资源、要素、规章等，与内部控制赖以存在的企业内部环境因素融为一体，作为“大风险”管理系统的建立基础与影响因子，成为系统建设与更新的首要组件；二是将环境分析作为企业战略与目标制定的必要环节和基本决策因子，以保证有的放矢，依据充分，决策正确；三是将环境变化监测作为各责任主体风险观察和报告的重要职责，纳入风险预警和内部报告体系，形成制度化、常态化的风险动态监测与评估机制。

（二）目标一体化

为实现企业目标，提供合理保证是风险、内控与合规管理的共同目标，构建一体化整合管理体系，必须以统一目标为先导进行系统整合。按照“企业使命—愿景—战略目标—业务目标”的一致性原则，逐级分解确立风险内控合规三位一体“大风险”管理系统的统一目标体系。首先应解码企业使命，转换为企业具体的战略目标，然后利用平衡计分卡或OKR等战略分解工具分解确定具体业务目标，再通过目标细分解析，识别出影响目标实现的关键成功要素和重要风险因素，在此基础上，结合企业管理层的风险偏好、风险容忍度，统一确定“大风险”管理系统的战略、运营、报告、合规四类目标，并依据职能职责进行时空二维分解落实，以保证将风险降低到企业可承受的风险容忍度之内且能最大限度地促进企业战略目标的实现。

（三）风险一体化

整合构建统一的“大风险”评估体系，内容包括：组建成立由分管领导牵头，风险管理归口部门、业务部门、职能部门、经营单元共同参加组成的风险评估委员会，负责企业风险评估管理工作。建立风险信息收集、报告管理体系。明确业务部门、经营单元、行政职能部门为一线风险信息收集报告主体；风险职能管理部门、风险归口管理部门为二线风险信息收集、报告主体和一线风险信息审核主体；风险评估委员会为风险评估决策管理部门。制定统一的风险评估管理制度。明确风险评估的范围、职责、程序、时间、方法，风险分类标准等。整合构建统一的风险数据库。将已识别的风险按照风险发生的可能性和严重性等分为需关注的风险和需管理的风险，将需关注的风险存入风险数据库提示相关部门予以关注，将需管理的风险进一步划分为重大风险、重要风险和一般风险，明确风险环节、关键控制点和责任主体，跟踪风险变动与控制状态。

结语

全面风险管理、内部控制、合规管理一体化整合构建既符合简约管理的发展方向，也合乎治理整合规范的基本要件，同时具有同质化管理资源整合利用的效率空间，是三大风险管理体系发展和提升的必然趋势。当然，风险管理、内部控制、合规管理各有其自身的形成背景和运行机理，一体化整合是一项全局性、系统性、长期性工程，需要结合企业的内部风险管理环境，统一规划、兼容并蓄、整体安排、分步实施，形成风险内控合规管控一体化的动态管理系统。

参考文献：

[2]肖尧,许敏锐.略谈中央企业全面风险管理合规管理与内部控制[J].国有资产管理,2021(07):11-14.

[3]贾晓春.新时代背景下内部控制、风险管理、合规管理工作整合研究[J].中国总会计师,2020(05):40-42.

[4]李娟.我国商业银行内部控制与操作风险、合规风险管理的关系研究[J].金融纵横,2014(04):54-60.