近年来,国有企业在深化改革的道路上稳步前行,不断加强风险防控和内控管理。然而,由于内部控制、风险管理、合规管理三者概念、功能的相近性以及企业对三者概念和适用的理解和界定不明,在具体进行体系建设时,可能出现职责不明、交叉重复、运行乏力等协同不一的局面。本文将以我国现行的相关规范性文件为理论依据,对以上概念进行梳理,以明确它们之间的关系,为企业依法治理的工作实践提供更为清晰的线索。

一、政策脉络

2006年6月,国务院国资委颁布了《中央企业全面风险管理指引》,为中央企业做好风险管理工作提供了指南。2008年5月,财政部等五部委颁布《企业内部控制基本规范》等相关文件成为包括央企在内的企业内部控制工作指引。2018 年 11 月,国务院国资委颁布《中央企业合规管理指引(试行)》,为中央企业做好合规管理提供了政策依据。2022年9月,国务院国资委颁布正式发布《中央企业合规管理办法》,成为中央企业合规管理的主要规则。这些文件的颁布有效加强了中央企业的风险管理、内部控制与法律合规意识。

二、概念厘清

(一)全面风险管理

根据《中央企业全面风险管理指引》,全面风险管理是企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。

(二)内部控制

根据《企业内部控制基本规范》,内部控制是一种管理过程,其目标是合理保证企业经营管理的资金资产安全以及合法合规。对内控管理,董事会、经理层等企业治理主体需将业务流程上的关键控制嵌入制度条文,设计一系列风险防控规定,努力提高经营效率和效果,促进实现发展。

(三)合规管理

根据《中央企业合规管理办法》,合规管理是指企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。可见,合规管理是一种管理活动,其目的是为有效防控合规风险,企业需将最新的法律法规监管要求,即企业的合规义务转化为规章制度,实现“外规内化”,解决“哪些必须做”“哪些不能做”,以及过程中行为活动的“红线”和“底线”是什么,通过明确对应的责任,提升执行有效性。

三、区别与联系

(一)三者之间存在边界,相互之间无法涵盖或取代

通过对全面风险管理、内部控制和合规管理三种管理体系建设的要求进行总结,可以归纳出其在定义、管理侧重点、风险后果上存在诸多不同:

CEUBg0OoNuScmG1JyehKnb6sLDaRIwkV.png

(二)三者之间相互联系

尽管风控、内控、合规有一定区别,但三者在企业管理中仍紧密相关。合规管理是基础,是企业经营发展的底线,体现了外部的强制性要求,如法律法规要求、政府监管政策等。内部控制是手段,内部控制不但要求合规,还要求各环节、各流程的合规是完善的、有效的,更倾向于过程的实施和控制。风险管理是导向,风险管理范围最广最全面,通过执行风险管理的基本流程,对企业面临的战略风险、财务风险、市场风险、运营风险和法律风险等五类风险进行管控。当然还是要以合规风险管理为基础,内部控制为抓手,将控制目标、控制措施等内容融入风险管理策略和风险应对措施,最终实现风险管理的总目标。