符志民

合规是底线，内部控制是手段，防住风险是目标。系统、充分、正确、有效地深化、优化和整合风险管理体系、内部控制体系、合规管理体系十分必要。当下时机已经成熟，应统筹抓好谋划、指导、协调和实行

当前，伴随逆全球化趋势加强、经济增长乏力、“脱钩断链”侵蚀合作、俄乌战争持续等危机，世界正经历百年未有之大变局。中央企业面临前所未有的挑战和压力，亟须总结过往，剖析问题，正视差距，弥补不足，优化体系，强化风险管理、内部控制、合规管理三大风险管控体系建设，以提升抗风险能力，防住风险，化解危机。

中央企业风险管控体系建设成效显著

2006年6月，国务院国资委印发《中央企业全面风险管理指引》，标志着中央企业全面风险管理征程起航。2008年至2010年，财政部等五部门发布《企业内部控制基本规范》及其配套指引，推动我国国有企业内部控制建设迈出重要步伐。2018年国务院国资委发布的《中央企业合规管理指引（试行）》以及2022年发布的《中央企业合规管理办法》，正在引领中央企业建设合规管理体系。十几年来，围绕着风险管理、内部控制、合规管理三大管理体系，中央企业大致以每5年建设一种新体系的节奏推进；本着“边建设、边应用、边改进、边提升”的原则，中央企业快速运用了风险管理、内部控制、合规管理等方面的新思路、新理念、新理论、新技术、新方法和新工具，取得了显著的成效。

风险管理建设和发展状况。《中央企业全面风险管理指引》印发以来，2006年至2013年，中央企业针对“风险管理框架”集中完成了从无到有的首轮建设任务。主要工作有：设立风险管理组织架构，包括成立风险管理委员会、设立风险管理职能与部门；建立和明确企业风险管理文化、政策、目标、原则、规章制度、技术、方法、工具、流程、程序、规范等基本要素；针对分布在“三道风险防线”上的央企全员，开展风险意识、专业知识以及操作技能等方面的培训；建立组织和业务层面的风险处置方案、数据库以及风险管理信息系统；建设与规范企业针对重大风险的“提示/预警”机制以及危机预案；明确风险报告责任与报告关系；将风险管理实施效果纳入企业绩效考核范畴；形成企业基本的风险管理能力，推进风险管理在定战略、作决策等方面的应用。

内部控制建设和发展状况。21世纪初，一些海外上市的央企（例如中国石化），为加速公司管理与国际接轨，较早在组织中尝试推行《内部控制——整合框架（1992）》標准，并一度在经营风险管控领域取得良好成效。一位央企负责人曾这样描述企业内部控制：内控为企业解决了多年未能解决的控制混乱等老大难问题，保障和促进了企业目标的实现。随着《企业内部控制基本规范》《企业内部控制配套指引》《企业内部控制评价指引》《关于加快构建中央企业内部控制体系有关事项的通知》的陆续发布，2009年至2013年，中央企业针对内部控制框架集中完成了从无到有的首轮建设任务。主要工作包括：围绕企业组织和业务流程，识别关键风险点，建立组织层面/业务层面风险控制解决方案，明确控制责任（覆盖三道风险防线），形成“风险控制矩阵”数据库；建立和完善配套的内部控制规章制度，建立内部控制相关绩效考核制度。与此同时，一些中央企业进一步将内部控制与管理创新、管理升级相结合，助力企业管理提升和整体转型升级。

合规管理体系建设和发展状况。以《合规管理体系指南》（ISO 19600：2014）颁布以及企业典型风险事件发生为背景，国务院国资委先后发布《关于在部分中央企业开展合规管理体系建设试点工作的通知》《中央企业合规管理指引（试行）》和《中央企业合规管理办法》，为中央企业建立合规管理体系明确了要求、设立了框架。中央企业中，中国石油、中国移动等5家企业较早展开合规管理体系建设试点。经过几年的探索和努力，完成的主要工作包括：制定合规管理办法，明确各级管理层及全体员工的合规责任和义务，明确合规组织机构和合规团队；制定合规管理相关制度和流程，推动将合规管理融入“关键业务/关键事项”流程；建立合规管理信息平台；开展合规意识教育及人员培训，培育合规文化。时至今日，随着《中央企业合规管理办法》的发布与实施，合规管理体系强化建设行动已在中央企业全面启动。

中央企业在风险管理、内部控制、合规管理3个领域管理体系的建设与运行，遵循系统工程理念、思想、理论、技术和方法，系统化推进，专业化实施，有力推动中央企业朝着“全面风险管理框架和内部控制框架”整合管控方向迈进，显著加快中央企业管理与国际先进水平接轨的步伐以及国际化发展的进程，强劲支撑中央企业管理转型升级和核心竞争力的提升。

综合认知风险管理体系、内部控制体系、合规管理体系建设的充分性、适宜性、有效性、引领性，主要考虑文化建设、制度/规范建设、机制建设、体系规制一致性、体系要素覆盖性、过程管控力、资源配置、体系运用的模式/模型/技术/方法/工具、体系平台/信息化能力建设、引领性等要素，依据组织风险管理、内部控制、合规管理成熟度评价模型，按照初始级、规范级、可度量级（精确管理）、优化级四个层级进行评价。目前，中央企业风险管理、内部控制、合规管理的成熟度水平不齐、参差不一，尚需提高。在风险管理、内部控制领域，少数企业处于初始级或优化级，大多数企业处于规范级，部分企业处于可度量级；一些企业处于初始级与规范级、规范级与可度量级、可度量级与优化级之间的水平。在合规管理领域，中央企业整体上处于初始级与规范级之间，一些企业位于规范级，少数企业位于规范级与可度量级之间。总之，与世界一流企业相比，中央企业在风险管理、内部控制、合规管理领域所呈现的管控能力与管控水平，存在不少差距，在一些评价要素上还存在明显的不足。

三大体系建设尚存在一些问题

历经17年发展，中央企业分期建设了风险管理、内部控制、合规管理体系，目前尚存在一些问题。

风险管理建设。中央企业普遍未采用《企业风险管理——整合战略与绩效（2017）》新版国际标准，未能与世界一流企业同步建设，规范化不足。某些企业风险管理、治理结构与职能呈现出“提升与改进梯度降低、进步加速度减慢”趋势，风险管理组织领导力不强，风险管理职能授权不充分、作用发挥不足。风险管理框架要素建设不系统、不完整、不充分，风险管理能力建设的完整性、充分性不足。风险管理业务应用、风险管理实践不够深入、广泛。风险管理方法论不充分、不精准。风险管理框架的量化深度、准度不够，评价不足。风险管理文化深化建设不力，推进风险文化落地的方法不充分、不完备。风险管理、内部控制、合规管理三种管理体系整合性、协同性不足，在管理目标、职能定位和资源配置等方面出现重叠、交叉、管理空白、不协同或冲突。

内部控制建设。中央企业普遍未采用《内部控制——整合框架（2013）》新版国际标准，未能及时跟进世界一流企业发展趋势与最优实践。内部控制框架制度不全面，例如“二道风险防线（管理层/职能部门）”需要执行的规章制度不充分，内部控制框架效力不足。内部控制框架评价体系和方法引领性不够、不严谨。内部控制评价机制约束不足，已经发现的问题归零不彻底、不到位，深刻反思不足，彻底整改和根治不力。内部控制独立监督机制普遍缺乏。内部控制考核体系严格度不足，机制设计不力，充分性、匹配性和时效性不足。

合规管理体系建设。中央企业的管理层和员工对合规管理的思想、理念、模式等，重视度不足，认知、认同、信奉不系统、不完整，落实不充分。对各级、各类岗位合规管理的应知、应会、应备掌握不够，有不少差距。对世界一流企业合规管理体系建设的状况、能力、水平和发展态势了解不足。对本企业、本岗位合规管理的现状、能力和水平认知不足；合规管理体系建设谋划、指导、实施不充分；适应风险管理、内部控制、合规管理“三位一体”系统工程建设的战略视野和知识结构不够；对合规管理体系与风险管理体系、内部控制体系的界面、分工、关系设置与处置不完备。

“三位一体”强化、深化和優化体系建设

合规是中央企业推进现代企业制度建设、实现做强做优做大做好做久的前提和关键。几乎无一例外，中央企业业已发生的好多事件，许多失败、失利、不成功，负面风险，不达预期、众多相关方不满意等案例，居多或很大程度上是因为不合规、不按要求做、内控不到位、风险防控不力引致的。

思想、认知与政策

思想重视是风险管理、内部控制、合规管理体系建设的先导。中央企业从股东会、董事会、党委（党组）、经营班子到总部部门、下属单位、一线员工，务必将其置于与企业发展需求相适应，与企业风险管理、内部控制、合规管理的状况及管控能力水平相称的、应有的位置。

中央企业要真正压实各级各类单位、各级领导、各类员工对合规、内部控制、风险防范的主体责任，把所有主体的职责具体化、精细化并确保落实到底到边，做到所有事项、各个环节都有合规、内控、风险防范责任人，系统创建风险管理、内部控制、合规管理文化和责任体系。

提升认知是风险管理、内部控制、合规管理体系建设的基础。中央企业必须正确认识体系建设的内涵和实质，准确把握精髓要义，洞察体系建设的现状、存在的问题和困惑、面临的风险和挑战，知晓世界一流企业体系建设的现状、成熟度、能力水平，勇于对标，提升能力水平，缩小差距，追求卓越。

政策落实是风险管理、内部控制、合规管理体系建设的保证。为推动全员全过程全方位稳妥推进风险管理、内部控制、合规管理体系建设，中央企业应将相关内容列为工作重点，健全正向、负向激励惩罚机制，纳入绩效考核。

风险管理治理、内部控制治理与合规管理治理

治理可定义为“对于管理的管理”，解决的是如何更好地进行管理的问题，治理为管理提供指导，并对管理进行监督，确保正确的工作被有效执行。有效的治理和有力的管理是组织成功的必备条件。风险管理治理、内部控制治理与合规管理治理是指用于指导风险管理、内部控制、合规管理的框架、职能和流程，包含价值体系、政策、职责、流程和程序，表征了组织相关方之间权、责、利关系的制度安排，主旨是恰当地设置组织内不同责任主体的角色、职责和权限，责任是设定目标、提供管理制度环境、配置资源、界定目标实现方式、监控管理过程、管理绩效等。

1.基于整体视角，风险管理治理、内部控制治理与合规管理治理应将风险管理、内部控制、合规管理视为一个整体，实施系统化、一体化建设，实现专业化管理；要构建管理模式，基于适宜的管理模型，确保制度有效实施，并建立多方遵守的契约机制；要以技术创新和管理创新克服管理要素间的约束和限制，形成管理要素间的共生关系；要统筹谋划、多方参与，优化思维模式，提升认知能力，跳出管理抓管理。

2.基于企业视角，风险管理治理、内部控制治理与合规管理治理不仅是企业主要负责人、分管领导、职能部门的事，其体系建设与运行的“三道防线”都要在其位、谋其政、尽其职、负其责。企业不能漠视风险管理、内部控制、合规管理存在的问题，必须强调管理层的责任，强化风险管理、内部控制、合规管理，配置与企业合规内控风控能力与水平相匹配的资源，建好协同机制。企业职能部门应担好管理和服务双重角色，促进企业风险管理、内部控制、合规管理职能之间的深度融合，及与相关管理体系在组织结构、业务建设和实现流程上的真正融合，促进风险管理、内部控制、合规管理成功。企业治理体系、管理体系和企业合规内控风控的职能部门与业务部门应相互协同促进企业价值最大化和风险管理、内部控制、合规管理目标的实现。

当下，推进风险管理治理、内部控制治理、合规管理治理的体系建设与运行，要按其内涵要义专业化设置相应的职能部门，明晰各自的职责、分工界面和相互关系，避免“两张皮”。同时，在确认并强化风险管理、内部控制、合规管理三大职能的系统化管理、专业化分工前提下，厘清职能部门与其他业务部门在综合管理、归口管理，以及风险管理、内部控制、合规管理之间的关系。

未来，风险管理、内部控制、合规管理应按全部组合、部分组合甚至一体化方向，统筹职能设置与管理，抑或与相关管理体系（例如质量管理体系、综合管理体系等）全面结合，实现融合建设与管理，面向过程和面向结果都不可或缺。有效的风险管理、内部控制、合规管理及其治理会促进组织成功，能为顾客提供满意的产品，能产生更多、更好的过程资产，支撑组织拥有核心技术、固化产品与产业载体，形成竞争优势。

3.基于系统视角，风险管理治理、内部控制治理、合规管理治理应建立组织相关方协同、合作、共享的价值网络和生态型商业模式，企业应提升专业化能力，发挥集聚效应，弘扬企业特色文化；应致力于设计好与相关方的交易结构，控制并降低治理角色承担的风险，摆脱规模效益和效率递减、经营风险和管理难度递增的困扰，优化商业模式，创新机制；每一相关方都应做好自身风险管理、内部控制、合规管理，都要为并且能够为企业的风险管理、内部控制、合规管理和发展贡献价值。

中央企业对风险管理治理、内部控制治理、合规管理治理的研究、认知与体系建设仍较为有限，距离治理体系与治理能力现代化还有不少差距，建议至少抓好三项治理工作。一是，完善、修订企业全面风险管理办法，以此作为风险管理、内部控制、合规管理及其治理的最高规则，全面覆盖组织治理、发展战略及经营管理，明确并完善优化组织风险管理体系建设的总体目标与原则、治理结构与职能配置、风险偏好与文化（包括风险素养要求）、政策制度体系、流程与方法、资源配置等关键要素，明确内部控制体系、合规管理体系以及各类管理体系担当的角色。二是，健全规范治理层面的“风险管理委员会”的角色定位与职能权责，以统筹管理企业风险导向方面的相关工作，制定基于风险管控，体现量化要求，具备风险针对性、可操作性的“企业风险管理委员会工作指南（规范）”，细化量化工作规则、标识、成效、考评，促使“风险管理委员会”负责任、有作为、起作用，力避不为、怕为、盲为、乱为。三是，提升中央企业治理层面、各级领导班子与技术管理骨干，在风险管理、内部控制、合规管理及其治理方面的专业素养和专业能力，建议国务院国资委在这方面提出明确的“强化”要求和考核标准。

体系、规则、制度、标准与规范

中央企业要结合本企业实际，借鉴、汲取世界一流企业、先进企业风险管理、内部控制、合规管理体系的建设经验、体会和教训，把好的模式、规则、制度、办法等纳入本企业制度体系建设、综合管理体系建设当中去。体系建设须涵盖关键绩效指标（KPI）和关键风险指标（KRI），做到融合、协同，切忌风险管理、内部控制、合规管理制度建设、体系建设与中央企业其他制度建设、体系建设“两张皮”，互不关联。要及时完善、优化风险管理、内部控制、合规管理规章制度，并固化、上升为企业规范与标准，适时构建中央企业在风险管理、内部控制、合规管理及其治理领域的基础、通用及行业性标准与规范，创承、更新、创造、发展组织过程资产，待条件、时机成熟时实行第三方认证，或与其他体系结合同步实行第三方认证，不断提高成熟度。

技术、方法与平台

风险管理、内部控制、合规管理的发展日新月异，中央企业应做到：提高站位、拓宽视野、放开眼界，学习、研究、借鉴世界先进的风险管理、内部控制、合规管理思想、理念、理论和模式，为我所用，提升治理能力；充分运用先进、正确、适用的风险管理、内部控制、合规管理技术、方法、工具等，提高效率、绩效和水平；建立数字化的风险管理、内部控制、合规管理一体化平台与管理信息系统，优化管治流程，创造基于模型的、可流动的、产生价值的风险管理、内部控制、合规管理等优化模型、高效流程、有效模式和最佳实践。

人才和队伍

风险管理、内部控制、合规管理是基础性、综合性、专业性的复合型工作，极其重要，极具价值。其任务重、难度大、要求高，从业者如不深入过程并有效胜任角色，难以做好，不易显见成果。中央企业在这方面的领军型人才匮乏，骨干创新人才不足，人才队伍建设中，选拔、培养、使用、评价、激励机制不健全。

中央企业要有“天下人才为我所有的战略视野、天下人才为我所用的伟大胸怀、天下人才乐为我用的博大文化”。建立健全基于提高人岗匹配的人才选配和引进机制，科学高效的人才开发体系，基于鼓励岗位价值创造的综合绩效考核评价体系和薪酬分配体系，造就一支与可持续发展和跨越式发展相适应的高素质人才队伍。风险管理、内部控制、合规管理机构和队伍应配全、配齐、配精，对职能人员要在素养、知识、履历、能力上有明确的要求和确认，尤其对职能人员的通用知识、专业知识、专业能力要有专业化的要求和确认。在“首席风险官”“首席合规官”等核心、关键岗位配置上，可參考借鉴中国银行引进“首席风险官”、建设银行引进“首席风险官助理”等做法，给中央企业风险管理队伍“注入催化剂，拓展战略视野，带来先进做法”，以提升队伍整体素养，助推企业风险管控能力提高。

机制建设

文化（组织生命的遗传基因）决定组织生命，制度规范行为，机制保证活力。风险管理、内部控制、合规管理落实到位，必须有运行有效的机制保证。中央企业应健全、落实：

1.教育培训机制。中央企业应建立从顶层到一线工作人员、覆盖全员岗位的风险管理、内部控制、合规管理教育培训体系，要求各级各类人员掌握岗位工作所需的相关应知（法律法规、规章制度、标准规范、知识等）、应会（理论、模式、技术、方法、工具、平台等）、应备（技能、能力、素养等），编制岗位培训教材，制定考评方式、评价标准，纳入全员绩效考核。

2.责任落实机制。中央企业应建立风险管理、内部控制、合规管理工作责任制，层层分解落实责任，实施述职，量化考核。

3.投入机制。中央企业要提供与企业生存和发展、完成任务、建成一流等相适应的各种风险管理、内部控制、合规管理所需资源投入和保障，包括符合性费用（预防费用、鉴定费用）、非符合性费用（内部损失费用、外部损失费用）投入，确保基础能力建设、项目/产品任务完成等需求得到满足。

4.协同机制。中央企业要“横向到边纵向到底”建立风险管理、内部控制、合规管理的大协同（合作、融合、促进）机制，做到文化协同、模式协同、组织协同、责任协同、制度协同、规则协同、流程协同、管控协同、应对协同、机制协同、平台协同，实现责任明确、分工合作、资源共享、能力提升、互惠共赢。

5.评价机制。中央企业要对风险管理、内部控制、合规管理工作，建立健全面向董事会（股东会）、党委（党组）、经营管理班子成员、总部（本部），面向所属单位、项目/产品、个人的评价准则、评价指标体系、评价程序、评价方法，以掌控现状、发现问题、知悉差距、指出工作目标和努力方向。

6.激励机制。中央企业须按照风险管理、内部控制、合规管理的规定和要求，及时监督、检查、评价，根据评价结果严肃考核，严格兑现绩效激励。同时，还应建立健全风险管理、内部控制、合规管理的报告机制、防范机制、审核机制、问责机制、整改机制等一体化落实机制。

强化并抓好风险管理、内部控制、合规管理，对中央企业战略目标实现、尽早建成具有全球竞争力的世界一流企业至关重要。合规是底线，内部控制是手段，防住风险是目标。系统、充分、正确、有效地深化、优化和整合风险管理体系、内部控制体系、合规管理体系十分必要。当下时机已经成熟，应统筹抓好谋划、指导、协调和实行。

作者系研究员，教授，博士生导师，俄罗斯工程院院士，国际宇航科学院院士。现任中央企业（中国兵器工业、中国商飞、新兴际华集团）专职外部董事