关键词：管理体系标准，风险管理，合规管理，国家标准，融合管理

DOI编码：10.3969/j.issn.1002-5944.2024.013.015

0引言

党的二十大报告指出，世界正处于大变革大调整时期，国际力量对比发生深刻变化，单边主义、保护主义抬头，全球化进程面临挑战；我国发展仍处于重要战略机遇期，但面临的风险挑战也十分严峻，国内外环境的复杂性和不确定性明显增加。面对波谲云诡的国际形势、复杂敏感的周边环境，面对大数据、人工智能、区块链等新技术的涌现，企业面临的风险环境变得更为复杂，建立行之有效风险管控机制显得尤为重要。本文旨在探讨如何管理体系标准，尤其是将GB/T 24353—2022《风险管理指南》和GB/T 35770—2022《合规管理体系要求及使用指南》国家标准整合到企业的日常运营中，提出企业合规风控融合管理关键点的建议。

1 理论背景与文献回顾

1.1 管理体系标准

管理体系标准是一系列为组织提供建立、实施、维护和改进管理体系的指导原则和规范要求，通常由国际标准化组织（ISO）或其他标准化机构制定，已成为全球广泛认可和应用的管理工具，帮助组织提升管理水平，增强竞争力。企业的标准化程度是一个企业管理水平和效率的重要衡量标准，是决定企业能否在激烈的市场竞争中取得优势的砝码[1]。PDCA（Plan-Do-Check-Act，计划-执行-检查-处理）循环是一种持续改进的模型[2]，成为管理体系标准的一个核心特点，体现了管理体系标准的动态性和进步性，被广泛应用于环境管理、职业健康安全管理等其他管理体系领域。通过PDCA循环，组织能够确保管理体系的持续适应性和有效性，同时提升组织的整体绩效和竞争力。

1.2 风险管理标准理论

中国从古代开始就对风险进行不断思考，“备豫不虞，为国常道”“福兮祸所伏，祸兮福所倚”等名句，都充满了对风险理解的智慧；《现代汉语词典》对风险的定义为“可能发生的危险”，传统来说，对风险并没有准确的定义，也缺乏完整的风险管理体系标准。2009年，国际标准化组织（ISO）发布了ISO 31000：2009，这是第一个关于风险管理的国际标准，提供了风险管理的基本原则、框架和过程。ISO 31000体现了全球范围内风险管理最新理论和最佳实践，指导组织运用先进的风险管理理论来进行风险管理实践[3]。我国引入国际标准，正式建立风险管理标准，结合国内实际情况，制定了相应的国家标准，GB/T 24353—2009是对应ISO31000：2009的中国国家标准。2018年，ISO对标准进行了修订，发布了ISO 31000：2018，新版本在原有基础上进行了更新和改进，更加注重战略层面的风险管理，强调了风险管理与组织目标的整合。随着国际标准的更新，我国也对国家标准进行了相应的修订。GB/T 24353—2022是对应ISO 31000：2018的中国国家标准，反映了最新的风险管理理论和实践成果。总体来说，GB/T 24353—2022《风险管理指南》的发展历程是我国在风险管理领域不断学习、吸收国际先进经验，并结合国内实际情况进行创新和完善的过程。这一标准的推广和实施，对于提高我国组织的风险管理水平，促进经济社会的稳定健康发展具有重要意义。

1.3 合规管理标准理论

我国的合规管理体系发展历程与国家的改革开放、市场经济建设以及国际化进程紧密相关。随着改革开放的推进，中国企业开始与国际市场接触，合规管理的需求逐渐显现。2014年，ISO发布了ISO 19600：2014《合规管理体系—指南》，这是世界上首个关于合规管理的国际标准，该标准提供了合规管理体系的框架和指导原则，旨在帮助组织在其业务活动中实现合规。2017年，我国发布了GB/T35770—2017《合规管理体系要求及使用指南》，该标准等效采用了ISO 19600： 2014，为中国组织提供了建立和完善合规管理体系的指导。2018年美国政府因中兴通讯公司违反美国对伊朗和朝鲜的出口管制法规而对其实施严厉制裁，这一事件对中国企业的合规管理发展产生了深远的影响，促使企业进一步认识到合规管理的重要性，认识到合规是企业国际化经营的必要条件，开始更加重视遵守国际规则和法律法规。ISO于2021年4月发布ISO 37301： 2021《合规管理体系要求及使用指南》，修订并代替ISO19600：2014《合规管理体系指南》，性质由B型的管理体系指南标准变成A型的要求及使用指南标准，其变化使得该标准可用于认证[4]。2022年，等同采用ISO 37301的国家标准GB/T 35770—2022《合规管理体系要求及使用指南》正式发布，该标准采用的PDCA理念完整覆盖了合规管理体系建立、运行、保持和改进的全流程，基于合规治理原则，为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案，为国内企业声明符合合规管理体系提供更好的依据。

1.4 合规风控融合管理理论

风险管理、合规管理标准虽然从不同视角提出管理要求，但最终目标均是为企业管控风险从而实现战略目标服务，融合管理是必然要求。国内外学者从不同角度提出融合管理的方法[5-6]。从标准角度看，《风险管理指南》有“5.3 整合”的元素要求，但更多是从风险管理与组织的整合出发；《合规管理体系要求及使用指南》在附录中专门提出了“管理体系一体化融合”章节，提供融合的概念、范围、方法与路径，为合规风控融合管理提供标准。

2 研究方法

2.1 研究设计

本研究旨在构建一个融合管理模型，该模型将结合GB/T 24353—2022《风险管理指南》和GB/T35770—2022《合规管理体系要求及使用指南》，以促进企业合规风控管理的有效融合。研究设计将遵循以下步骤：

（1）文献回顾：系统地回顾相关领域的文献，包括管理体系标准、风险管理、合规管理以及融合管理的理论基础和实践案例，以建立研究的理论框架。

（2）模型构建：基于文献回顾的结果，设计一个融合管理的理论模型，该模型将明确风险管理和合规管理的整合点和相互作用。

（3）案例选择：选择笔者所在企业案例进行研究，目前正在持续实施风险管理和合规管理的融合工作。

（4）模型验证：将分析结果与理论模型进行对比，验证模型的有效性，并根据分析结果对模型进行调整和完善。

2.2 研究步骤

（1）准备阶段：确定研究目标和问题，定义研究范围和限制。

（2）文献回顾：检索相关领域的学术文章、国家标准、行业报告等，分析和总结现有的理论框架和实践案例。

（3）模型构建：基于理论和文献回顾结果，构建初步的融合管理模型。

（4）案例选择与数据收集：选择多个行业和规模的企业作为案例研究对象，收集相关数据。

（5）模型验证与调整：验证和调整融合管理模型，确认模型的实际应用价值。

（6）提出模型的局限性和未来研究方向。

通过上述研究方法和步骤，本研究将为企业合规风控融合管理提供理论和实践指导，帮助企业更有效地应对复杂多变的内外部风险环境。

3 风险管理与合规管理的融合模型

3.1 明确风险管理与合规管理定位与侧重点

融合的前提是明确管理要素的侧重点。通常来说，风险管理包含了内控，因此需要明确风险、内控、合规管理之间的关系。合规关注的是业务是否符合相关外部的法律法规、监管规定和行业准则要求，以及遵循了内部制度的规定，合规管理是红线底线管理，只有做到就合规、做不到就违规的情形，合规管理的要求在风险管理与内控中都要作为重要目标体现。风险管理则强调贴近业务一线，在业务中考虑风险，需要综合考虑未来各种情景对业务本身带来的不确定性影响，从而做出最有利安排，因此风险管理侧重为决策服务。内部控制关注程序和流程中的关键控制点是否被设计全面，并有效执行，侧重于在决策作出后，通过内控手段将风险降低到可承受的范围之内。因此，明确三者管理的侧重点，风险管理职能是“头”，负责决策阶段的风险管控；内控是“身”，负责实施和运行阶段的风险管控；合规是“血”，必须贯穿身体，作为企业存活发展的根据。

3.2 创建及实施融合模型步骤

3.2.1 梳理业务，评估已有内部标准的风险保障程度

企业生存发展的基础元素就是贯穿其生产经营管理全方位、全过程的各项业务，企业合规风控管理之根本在于合理、有效地管控这些业务所面临的风险。企业应首先梳理自身的业务，了解从原材料输入到产品输出的全过程，辨识应该管控的业务，再将风险和合规要求嵌入相关业务及流程中。在清晰梳理业务的基础上，从保证合规和风险可控的角度对各业务流程的风险保障程度进行客观评价，识别各风险点的控制程序是否已经在多个管理体系中得以合理的设计，这些控制程序是否已经有效执行，从而为企业查看是否已经满足国家标准的风险保障程度提供依据。

3.2.2“打补丁”式建立“大标准”

采用“相同要素合并，相近要素融合，特定要素保留”的业务整合方法，对照风险管理与合规管理国家标准，运用“打补丁”方法查缺补漏、建立一套“大标准”，对内部管理标准进行补充修改和完善，使其满足国家标准要求，避免新建难以执行的制度，以避免“两张皮”，杜绝“纸面管理”，提升融合管理体系的适用性、有效性和可操作性。同时，由于两项管理标准关注领域和要求不一致，在进行简化和合并成“大标准”的同时，要充分考虑合并后“大制度”的可操作性，以及不同层级的管理人员和操作人员对具体工作要求、标准的熟悉和工作调整的需求。进行融合的工具表见表1。

从企业员工视角，无需了解具体国家标准的规定，只需要执行“大标准”，就能满足国家标准的要求及公司内部管理要求，真正做到制度融合。

3.2.3 强化“大标准”执行力

标准的生命在于执行，通过三种方式提升执行力。一是“信息化”强迫执行，利用先进的信息化管理平台，将“大标准”规定的措施固化在各业务系统中，提升风险防控措施的刚性执行，使得员工必须执行、无路可绕。二是“帮助化”解惑执行，加强对“大标准”执行的培训和宣讲，同时在信息系统中提供“大标准”各项风险防控管理措施的操作说明，帮助员工正确执行。三是“考核化”引导执行，加强对“大标准”规定是否有效执行的考核和监督，用绩效挂钩的方式，引导员工主动执行制度，提升风险防控能力。

3.2.4 持续监控和复审优化融合管理的效果

两项国家标准均按照PDCA循环的思路建设，持续监控和复审是必要的措施。通过开展日常监督检查与专项监督检查相关活动，负责对标准要求落实情况进行监督。需要强调的是，GB/T 35770—2022《合规管理体系要求及使用指南》是可以用于认证的标准，可通过贯标认证工作，由认证机构开展认证审查及年度复审，以外部专家视角为融合管理的持续优化提供更有效的帮助。

4 结语

本文提出了企业对标风险管理、合规管理国家标准进行融合管理的优势，并提出具体的融合模型及措施。融合管理是一项复杂的工程，需要管理层的决心、资源的投入、组织体系的保障、专业人员的能力等共同配合。广东省能源集团有限公司在这方面做出了初步的成功实践，成功获得ISO 37301：2021及GB/T 35770—2022国际国内“双认证”，依法合规经营能力、风险防控能力得到显著提升。企业应积极采用国家标准作为指导，建立和完善融合管理体系。对于未来研究，建议深入探讨不同行业和规模的企业在融合管理中的特定需求和挑战，以及面对人工智能等新技术的挑战。

作者简介

吕镇庭，硕士研究生，经济师，工程师，研究方向为企业合规管理、风险管理。

（责任编辑：袁文静）