吴 达

南方海洋科学与工程广东省实验室（珠海）

当前，因为政策支持与疫情下经济稳固发展，大部分地区的国民经济逐渐恢复，一些地方因为多方面影响，无法快速恢复常态，需要做好高效统筹，促使经济得到合理运行。要求国有企业继续实施国企改革三年行动方案，进一步推动国有企业改革向纵深发展，更加有效发挥国有经济战略支撑作用，更好助力巩固经济回升向好趋势。当前时期是各类风险易发、高发期，甚至可能是集中释放期。为贯彻落实党中央、国务院关于防范化解重大风险和推动高质量发展的决策部署，进一步提升国有企业防范化解重大风险的能力，根据国务院国资委“建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系”的工作要求，国有企业迫切需要建立健全企业内部控制体系，增强企业抗风险能力，推动全面风险管理、合规管理与内部控制的有效融合，从风险防控的视角理解和实践内部控制与合规管理。

一、国有企业风险、内控、合规管理概述

内部控制、风险管理与合规管理三者同属“依法治企”的重要内容和组成部分。其中，合规管理是风险防控中最基本、最严格的部分，倾向于外规内化的落地检查，主要管理和控制操作风险中最基本的合规风险，构成企业不可逾越的基本底线；内部控制主要从流程合规、防范舞弊角度出发，通过规范企业运行规则、操作程序来实现，抑制企业运行及操作层面的风险；而风险管理突出对企业战略目标实现的保障，是为了化解重大风险的一种宏观层面上的风险管控，涵盖企业可能面临的战略风险、财务风险、市场风险、运营风险、法律合规风险等各个方面，通过识别风险，制定规避措施来实现。

基于风险防控的内部控制与合规管理具有如下特点：一是站在企业战略层面分析、评估和管理风险，能够在细微之处控制公司发展，做好监督与监管工作，保证公司治理日益完善，除此之外，不仅关注体系建立，更关注体系的运行与评价；二是在执行模式方面，能够从始至终认真执行，确保模式设计符合公司发展特征，结合反馈意见进行认真整合，做好控制与风险防控的融合，保证公司科学应对风险，合规管理。

二、国有企业风险防控现状与要求

2021 年5 月，市值700 亿的超大型老牌国企上海电气突发黑天鹅事件，控股子公司应收账款逾期，预计带来83 亿元风险敞口。之后几个月内，公司管理层巨震；同年7 月，种种现象已折射出国有企业因其产权制度、法人治理结构的特殊性，不同程度的存在内部环境薄弱、风险评估缺失、控制活动失效等问题。

近年来，为进一步提升国有企业防范化解重大风险能力，推动国有企业高质量发展，国资委将“构建全面、全员、全过程、全体系的风险防控机制”作为国企改革一项重要工作来推进。在最新一份国企改革三年行动方案中，“防风险”已成为国企董事会的三大基本职责之一。国资委改革局、财务监管局和法规局等分别于2006 年、2008 年、2018 年下发了《中央企业全面风险管理指引》《企业内部控制基本规范》《中央企业合规管理指引（试行）》等政策性文件，分别指导国有企业建立风险管理、内部控制和合规管理体系。这三份文件出台的时间和背景各不相同，给国有企业风险防控带来了不同的视角，但也同时从不同的角度提出了不同的要求。

基于上述背景，国有企业在开展实际工作中，为符合政府部门和监管机构先后出台的各项要求，分别建立了风险、内控、合规等多套管理体系，各套体系分头推进、交叉运行，处于相互割裂的状态，不能有效发挥统一的管控作用，在一定程度上造成了管理资源浪费和整体管理效率低下。

三、国有企业内控合规管理问题

（一）管理层风险意识不足，缺乏一体化管控理念

很多国有企业管理者存在这样的思想误区，认为任何的经营活动都存在风险，与其把时间和精力投入在风险防控上，不如将企业的资源优先投入业务经营中，只追求利润最大化。

在体系建设方面，大多数国有企业已较早的建立并实施了内部控制，对内控管理体系有着较深刻的认知。近年来，随着“合规”概念引入，一些企业要么按照上级文件精神制定一个制度或清单，以应付检查；要么认为内控、风险管理就是合规、法治的一部分，简单的做些补充性工作，未能形成统一的一体化企业风险管控理念。由于没有统筹规划和系统实施，造成管理上的冲突和空白，最终风险防控的效果大打折扣。是否具有与时俱进的管理理念已成为国有企业发展道路上需解决的首要问题。

（二）法人治理结构不健全，合规职能定位模糊

目前，部分国有企业仍存在治理层和管理层边界模糊的问题。虽然国有企业近年来持续推进公司制改革并取得了一定成果，但法人治理结构仍需进一步完善。尽管企业已经设立了董事会、监事会，聘请了高层管理人员，而董事会、监事会均为股东大会选举产生，由于国有股份一股独大，公司内部的决策与执行统一进行，这种局面导致治理层无法对管理层进行有效监督，导致权力制约能力较弱，容易出现管理环节失策且无法被制裁的情况。企业管理层集管理、决策、监督权于一身，形成了事实上的“内部人控制”，缺乏有效的权利制衡机制。

由于我国企业合规建设起步相对较晚，合规管理理念相对滞后，管理合规风险的能力不足，国内70%左右的企业尚未建立合规管理体系。

（三）制度建设存在短板，管控程序缺乏协同

为实现风险防控的目标，国有企业须具备健全的内控合规制度体系，为工作实践提供依据和约束。而实际情况往往是很多企业在制度建设上缺乏统一规划和时效性，存在一系列短板问题。一是只关注内控与合规的具体目标，而忽视制度体系设计应为企业发展的整体战略目标服务；二是当企业战略目标调整、业务模式改变后，管控程序未能跟上企业变革的步伐，对新业态、新模式、新业务缺乏制度刚性约束；三是制度建设侧重于过程控制，对诸如财务报告和管理信息的真实、可靠、完整等结果控制关注较少，企业高管甚至授意指使财务造假，纵容虚构业绩、隐瞒利润或偷逃税款而放弃内控的种种行为。

也有部分国有企业虽然已经建立并运行了内控体系、合规体系，但各体系独立开展，工作计划与执行程序仅以风险为导向，存在管理内容重叠但不共享、资源效率投入但不高效、考核工作交叉但不并行等问题，不符合《中央企业合规管理办法》第二十六条有关协同运作机制的要求，管控程序缺乏整体的统筹协调，管控效能有待提升。

（四）内部监督效力不足，评价机制未全流程覆盖

当前国有企业普遍存在内部监督和评价机制不完善的情况。内部监督有助于规范企业各级员工的工作行为，内部评价侧重于及时发现企业内控合规管理中存在的问题。目前，国企内部监督大多以事后监督为主，对事前、事中的监督较为薄弱，没有充分发挥风险管控“三道防线”的作用。在对人的监督方面，往往只开展基层员工的日常监督，而忽略了管理层及关键岗位人员的专项监督。而管理层及关键岗位人员才是管理风险高发人群，更应作为企业内部监督的重点对象。

（五）组织结构不科学，培训与文化建设缺位

国有企业的组织结构决定权责分配关系，权责分配关系决定工作流程关系。内部各管理机构的主要职责以及分工结构未能顺应当前市场经济环境做出及时调整，存在不同部门的分工不明确，关于权力与责任的安排不合理，权力与义务无法平等，这种问题都导致企业无法进行顺畅沟通，指令的执行流程受阻，部门之间的责任划分不明确，无法起到有效作用，导致公司的生产效益不高。在企业面临重要社会事件或重大经济危机时，由于各部门之间的工作协调性不完全同步，对内部管理机构正常运行的管理效率产生极大影响，对企业的风险防控环境的构建非常不利。

（六）信息化建设相对落后，信息传递效率低下

国有企业的内控合规信息化建设不是简单地将流程介质从纸质转变为电子形式，而是需要将内控合规信息化工作纳入企业信息化建设总体规划中。信息披露和传递不及时也是国有企业目前普遍存在的问题，使得部门间的工作开展受到了消极影响。如财务工作审核、传递及结果等有关信息没有第一时间反映给业务部门，导致业务部门相关业务工作开展受限，不能有效配置资源，成本控制缺乏依据；部门与部门之间的信息披露和传递渠道不通畅，无法实现各部门信息的共享与统一，造成各部门信息获取不对称，在风险防控上失去了信息的时效性，进而无法及时响应风险防控的要求。

四、国有企业内控合规管理问题的应对策略

（一）树立一体化管理理念，强化风险防控意识

为了落实好内控合规及风险防控工作，首先要先从国企管理层意识层面着手。具体来说，首先，树立一体化管理理念。不仅要重视企业的效益，还要注重内控合规管理的价值，加大风险防控力度。这就要求企业管理层将风控管理与战略和经营目标挂钩，选取核心业务，融入管理层偏好和容忍度因素，积极支持和推动企业风险与内控合规一体化建设，确保企业日常经营行为与战略目标的高度统一，加强风险与价值之间的关联管理。其次，强化风险防控意识。

（二）优化法人治理结构，明确合规管理定位职责

要实现风险、内控、合规一体化，企业应健全企业内部法人治理结构，完善权责划分，治理层和管理层适当分离，避免出现内部人控制局面。具体来说，需要实现风险、内控、合规管理职能在治理层、管理层的职责统一。其中，在治理层，企业通常可以将相关职能放到同一个董事会专门委员会；在管理层，由同一个领导小组负责风险、内控、合规管理的相关职责。

现阶段大部分国有企业暂未设置专门的合规管理部门，或是将合规职能与法务职能单独合署，或是将合规职能与其他多项监督职能共同合署。建议企业在决定采用哪种架构时应立足于经营管理实际，结合发展阶段、人员编制、信息共享程度等要素，在管理成本可控的前提下最大化合规管理收益。为维护第三道防线的独立性和权威性，审计与合规职能应当分离。

（三）动态优化管理体系，构建协同工作机制

建立风险、内控、合规一体化管理体系运行的动态调整机制，通过定期的风险识别及评估机制，持续收集企业内外部风险管理、内部控制、合规管理的各类信息，包括外部法律法规及监管要求变化，调整各项风险应对及管控措施，监控风险的应对情况。作为第二道防线的企业核心业务部门与其他部门协同工作机制的统一，需要构建风险管理、内部控制、合规管理、法务管理、纪检监察、审计、监事会等监督主体之间的协同工作机制。将各项监督工作有机结合，建立监督主体之间相互协调、合作联动的业务流程，增强监督工作合力。

（四）打通内部监督机制，开展持续评价与改进

国有企业应提升对内部监督工作的重视程度，除了监督企业经营管理活动是否与国家相关法律法规一致之外，还要监督内部控制制度的执行状况和进度，确保相关部门能够依据内控要求落实工作，促进企业的健康发展。从优秀企业的实践来看，其核心在于打通企业内部的监督机制，将合规考核、审计结果运用、纪检问责、违规经营责任追究等事项从考核问责标准、程序及流程方面进行统一。

内部评价是规范一体化管理体系运行和完善的机制保障。尽管内控风险评价报告是上市公司信息披露所需，企业也需要进行内控分析，明确自身评价，从而更好的了解内部存在风险，及时有效防控。通过针对性的措施，能够切实降低风险，并明确待解决的问题。公司需要定期进行评价，从而周期性的整治保证平稳发展。

（五）精简内部组织结构，营造法治诚信氛围

在建立风险管理、内部控制或合规管理体系时，企业首先会设立相关管理的组织架构，并明确管理职责。同样，要实现风险、内控、合规一体化，首先需要在组织职能方面进行统一，精简企业内部组织架构，根据业务规模、合规风险水平等因素，对负责企业监督工作的有关机构和业务进行整合，避免职能交叉重复，打造的专业的内控合规管理团队。

（六）推动数字化转型升级，提升内控信息化水平

数字经济下，为提升信息沟通传递的时效性，企业应借助先进的信息技术，运用现代化信息系统，为信息管理及使用提供便利。国有企业应结合自身实际，将内控合规信息化工作纳入企业信息化建设总体规划中，逐步开展内控合规管理信息化建设，有效提升风险管控和业务运行的效率和水平。

加大数字化技术应用是国有企业升级内控体系的突破。一方面，通过升级现有信息系统功能或开发RPA 等工具，将手工控制转化为系统应用控制，整体提升内控自动化水平；另一方面，充分应用移动互联、人工智能等技术，将风险信息转变为数字信号，凸显风险管控数字化特征，实现智能化转型。对于现阶段数字化水平较高的企业，还可进一步运用大数据、云计算等技术工具，加强对经营管理行为依法合规情况的实时监控和风险分析。

结语

2022 年是全面实施“十四五”战略规划的关键年，落实国企改革三年行动方案的收尾年。国有企业应坚持把稳增长、防风险摆在更加突出位置，积极加强企业在后疫情时代中的风险、内控及合规一体化管理，坚持依法合规经营，有效防范化解各类风险挑战，发挥在经济建设中的先导作用，沉稳应对变局中的不确定因素，更好的服务经济社会发展大局。