风险、内控、合规一体化建设方法及要点

  要想推动国有企业高质量发展，开展内部控制、风险管理、合规管理是不可缺少的手段。当前国有企业推进内部控制、风险管理、合规管理是三位一体的模式，也就是建立统一的内部控制、风险管理、合规体系，以企业战略和经营为核心建立统一的科学内控风控合规管理流程和规范，确保三位一体、上下贯通、完整有效。

如何建设风险、内控、合规一体化管理体系?

  风险、内控、合规一体化管理体系是三个体系的有机融合，一体化管理体系的建设要兼顾三个体系自身的特殊要求，将特殊要求和统一架构融合在一起，这样才能构建出完整的合规、内控与风险一体化管理体系。这样构建起来的体系，才是更完善、更符合实际的一体化管理。

  1、制定完整的风险、内控、合规一体化管理实施方案。

  在对企业合规、内控与风险管理现状进行调研之后，应制定完整的风险、内控、合规一体化管理实施方案，通常包括一体化体系建设的核心原则、主要目标、工作阶段、重点工作内容、主要工作成果和工作保障等内容。

  2、设计完整的风险、内控、合规管理体系。

  设计一套完整的风险、内控、合规管理体系可以从以下几方面开展工作：

  (1)在组织架构层面，组织职能进行统一。

  精简企业内部组织架构，设立风险、内控、合规一体化管理的组织架构，明确管理职责，避免职能交叉重复和推诿扯皮的情况发生。

  (2)统一组织对该三类风险进行识别、分析与评价。

  无论是实行独立的管理体系或者一体化的管理体系，风险评估都是风险管理、内部控制与合规管理的必要手段。基于企业业务流程，组织对该三类风险统一进行识别、分析与评价，是一体化管理体系建设的关键举措。

  (3)针对性的制定风险管控措施和策略。

  进行风险评估的目的是为了制定相适宜的风险管控措施。风险、内控、合规一体化管理需要达到同时管理三类风险的目的。由于全面风险、内控、合规所关注的风险性质有所不同，其管控措施也存在差异。在一体化管理体系建设过程中应针对不同性质的风险，采取不同的管控措施。

  (4)建立统一的制度流程管理体系。

  风险、内控、合规一体化管理体系建设本质上是根据风险、内控及合规的相关要求，制定相应的管控标准，并落实到日常业务中。在形式上，将风险、内控及合规管理要求、评价标准及风险应对措施融入到制度管理体系当中，形成统一的管理制度体系。

  3、建立一体化的运行监督机制。

  从管理角度看，风险、内控、合规一体化管理体系可分为两个部分：一个是体系建设，另一个是体系的日常运行监督。

  (1)建立一套运行监督评价体系。结合内部控制自评、风险管理及合规管理检查的相关要求，明确一体化管理体系评价工作的组织形式、评价方式、问题整改及跟踪机制，制定一体化评价的相关检查测试程序，明确一体化缺陷认定标准，编制一体化评价检查清单、评价底稿和评价报告，实现风险检查、内控自评、合规检查工作的整合。

  (2)各监督主体统一工作协调机制。对负责企业监督工作的纪检监察、审计、监事会等监督主体进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将各项监督工作有机结合，建立监督主体之间相互协调、合作联动的业务流程，增强监督工作合力，形成大监督的协同工作机制。

  结合企业实际情况，对风险管理、内部控制、合规管理的工作目标、工作内容、方法、机制以及工作流程等进行有机整合，把原本独立的风险管理体系、内部控制体系、合规管理体系、经营管理体系进行有效融合，建立平台统一、信息共享、流程整合、功能强化、协调运转的风险一体化管理体系，形成真正有效的、适应新形势市场竞争需要的一体化的风险管理模式。

风险、内控、合规一体化建设要点

  风险、内控、合规一体化管理体系建设需建立相关机制，通过实现组织职能统一、工作机制统一、评价机制统一、管理制度统一，以推动风险、内控、合规一体化的有效落地。

  要点1、组织职能统一

  在建立全面风险管理、内部控制或合规管理体系时，企业首先会设立相关管理的组织架构，并明确管理职责。同样的，要实现风险、内控、合规一体化，首先需要在组织职能方面进行统一，精简企业内部组织架构，同时避免职能交叉重复，防范推诿扯皮。

  具体来说，需要实现风险、内控、合规管理职能在治理层、管理层和执行层的职责统一。其中，在治理层，通常可以将相关职能放到同一个董事会专门委员会;在管理层，由同一个领导小组负责风险、内控、合规管理的相关职责。治理层和管理层的职能统一较为容易推行，而在执行层，通常第一道防线和第三道防线的职能都很清晰，并且较为统一，难点主要是在第二道防线的职能统一。

  在实践中，不少企业在风险、内控、合规管理方面的专责部门是分开的，通常由两个或三个部门分别负责不同的管理体系建设及运行。第二道防线的职能合并，一般会涉及人员调动或组织架构调整，在落地推行方面有一定难度，但也是一体化工作开展的重要基础。

  要点2、工作机制统一

  工作机制的统一主要包含两个部分：第二道防线年度的风险、内控、合规工作的铺排，以及第二道防线与其他部门的工作协调机制的统一。

  在组织职能已经统一的前提下，第二道防线年度的风险、内控、合规工作的整合，建立年初布置、年中管控、年末总结的工作机制，但核心的实质在于将风险、内控、合规之间重复的工作进行合并，例如内部控制自评与合规检查，各项工作的年度计划及年度报告的整合等，在一定程度上降低管控成本，不过具体的落地实施则要依赖于管理工具的一体化(即以风险为导向的运行机制，详见该系列后续文章内容)。

  此外，第二道防线与其他部门的工作协调机制的统一，需要构建风险管理、内部控制、合规管理、法务管理、纪检监察、审计、监事会等监督主体之间的协同工作机制。对负责企业监督工作的有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将各项监督工作有机结合，建立监督主体之间相互协调、合作联动的业务流程，增强监督工作合力。从优秀企业的实践来看，核心在于打通企业内部的监督机制，通过联席会议机制，将合规考核、审计结构运用、纪检问责、违规经营责任追究等事项，从考核问责标准、相关程序及流程方面进行统一。

  要点3、管理制度统一

  风险、内控、合规一体化工作，从管理角度看，主要可分为两个部分，一个是体系建设，另一个是体系的日常运行。体系建设本质上是根据风险、内控及合规的相关要求，设计管控标准，并落实到日常业务中。形式上，基于风险、内控及合规的差异，企业会制定配套的管理工具，包括风险管理手册、内控手册、内控评价手册、合规管理手册、合规指引等。不同的管理工具，除第二、三道防线的专业部门外，对于第一道防线的业务部门，看懂并有效应用上述管理工具，从实践来看并不具有可操作性。对于国有企业来说，大多数的业务部门日常更依赖规章制度来执行相关管理流程。

  因此从一体化体系建设的角度，需要实现管理制度的统一，即将风险、内控及合规管理要求、评价标准及风险应对措施融入到制度当中，切实做到企业日常的业务流程及管理符合风险、内控及合规的要求。而如何设计相关管控措施，以及管理工具的一体化，则需要依靠一体化的风险管理机制。

  要点4、评价体系统一

  一体化管理体系的日常运行工作，可从执行层各道防线的角度进行拆分，第一道防线相关部门根据体系所建立的管控标准执行日常管理工作，第二道防线部门除日常流程性的审核工作外，较为主要的就是每年的体系评价，第三道防线则是对体系的有效性进行评估。

  第二道防线的年度评价工作，是有效保障各个管理体系是否有效运行的重要工作，因此在推动风险、内控及合规一体化工作过程中，进行评价体系统一也是重要工作之一。企业可以结合内部控制自评、风险管理及合规管理检查的相关要求，明确一体化管理体系评价工作的组织形式、评价方式、报告路径、检查评价问题整改及跟踪机制，制定一体化评价的相关检查测试程序，编制一体化评价检查清单及评价底稿，明确一体化检查结果及缺陷认定标准，实现内控自评、合规检查及风险检查工作的整合，在实现评价目标的同时，有效降低管控成本。

法律、合规、风险、内控一体化管理体系建设路径

  1、企业合规管理是一项以灵活、明晰、有序、顺畅、高效为目标的工作，在实际发展中，要进一步结合企业市场发展中的形势，合理建构有效的合规管理体系，进而强化企业合规管理意识，应对企业发展中遇到的风险及问题。构建“法律、合规、风险、内控”一体化管理体系，最重要的是部门与部门之间、防线与防线之间、机制与机制之间以及体系与体系之间，以保障企业合规管理效率与质量为目标，融会贯通，从而推动企业可持续发展。同时，也需要企业领导高度重视、合理分工、良好协作，树立全局意识。

  2、搭建合规一体化管理组织体系。从法律、合规、风险、内控单独规划转变为统筹一体规划，将原来独立的四个部门整合到同一部门统筹岗位设置，提出业务定位、战略目标、规章制度、阶段性目标与全年工作任务，为四者融合发展提供基础。组织体系是一体化管理体系有效运行的纽带，企业可以从决策层、管理层、执行层、监督层四个层面搭建合规一体化管理组织架构，将一体化管理要求有效嵌入到企业决策、经营、管理各个环节，形成各司其职、各负其责、紧密配合、协调联动的合规一体化管理组织体系。

  3、建立合规一体化管理运行体系。将原来各自独立存在的四套流程进行整合，相互协同，运用数据共享，形成贯穿年度风控常态化工作的管理流程和管理表单，明确流程节点上的责任部门和输入输出。业务流程与风险管理相结合是合规一体化管理体系建设工作的核心内容之一，企业可以以风险管理为导向，设计业务流程风险控制矩阵，以潜在合规风险点为控制节点，全面梳理各项业务流程(含管理流程)。同时，企业应梳理每一控制节点下对应的外部合规义务，把确定的合规义务具体要求转化为内部制度。

  4、健全合规一体化管理保障体系。完善的保障机制是合规一体化管理体系得以落地的重要保障。企业可以通过考核评价机制、信息化手段、人才培养、文化培育、计划报告等方式完善保障体系，达到“一个成果多用”效果。强化对管控数据的不断积累和提炼，搭建风险库、内控库、法律法规库、供应商库、案件库、律师律所库、合同范本库等各类管理知识库，不断挖掘分析数据知识库之间的关联关系并揭示风险，指导业务。持续推进风险一体化管理工作，加大重点业务领域、重点业务流程管控力度，提升信息化水平，运用大数据、人工智能等新型技术手段助力业务创新发展，推动信息系统集成应用，不断完善风险一体化管理体系，切实提高企业抗风险能力，保证依法合规经营，努力实现企业安全、可持续运营。

  以上就是关于风险、内控、合规一体化建设的相关介绍，供大家参考。咨询集团风险、内控、合规一体化建设，欢迎致电中略咨询。