国有企业“法务、合规、风险、内控”一体化协同管理体系建设创新思考与研究

国有企业“法务、合规、风险、内控”一体化协同管理体系建设创新思考与研究

许腾，张建鑫

（山西建投集团装饰有限公司，山西 太原 030000）

（山西华炬律师事务所，山西 太原 030000）

摘要：近年来，为进一步加强国有企业的防范降低重大风险的能力，促进国有企业高质量发展，国务院国有资产委员会建立了严格、规范、全面、有效的内部控制体系，重点是风险管理和依法合规。作为国有企业改革的一项重要任务，国有企业目前正处于逐步建立合规管理体系的阶段。在实际运营过程中，公司分别推进法务、风险、内部控制和合规工作，并分别进行制度建设和体系建设。有些任务重叠，工作内容重复，内部控制风险管理和合规监督体系分散，统一控制的效率低，导致管理资源浪费，影响公司管理的整体效率。

主题词：法务、合规、风控、内控、一体化管理

近年来，随着国家依法治企的推进和加强，《中央企业合规管理指引(试行)》、《企业境外经营合规管理指引》、ISO37301: 2021《合规管理体系 要求及使用指南》、《中央企业合规管理办法》等文件和标准相继发布实施，企业合规管理和风险控制体系建设进入深水区。各类企业加强合规、内控、风险管理和法律管理，推进合规管理，努力防范和化解风险。国有企业的市场环境大多复杂，在经营管理过程中往往伴随着各种风险。针对风险的预防控制和应对一直是中央和国有企业的一项重要任务。中央和国有企业具有多功能管理和充分参与的典型特征。在这种模式下，公司的法律、合规、内部控制和风险管理系统是自主的，风险控制工作与公司的业务是脱节的。也存在重复性工作、出现遗漏的要点以及存在协调不力导致公司风险管理工作效率低下的情况。

一、法务、合规、内控、风险一体化管理的内涵

法务管理的核心是对公司的法律风险进行管理，包括法律风险环境信息的定义、评估和应对法律风险、检查监督、沟通和文件制作。在企业法律风险管理方面，构建和实施企业法律风险体系是可能的。

合规管理是指有组织和有计划的管理活动，如系统开发、风险识别、合规审查、风险应对、责任评估和合规培训。根据公司和员工的经营管理行为，有效预防和控制合规风险。合规管理的重点是建立合规管理体系，从各个方面保护企业业务。

风险管理包括内部风险和外部风险。内部风险包括与人力资源相关的风险。外部风险包括经济条件、当前产业政策、金融环境、市场竞争、所需资源供应、监管要求。

内部控制是指围绕风险管理的战略目标制定和实施的规则规定、程序和措施。公司内部控制贯穿公司管理活动的决策，扩展到实施和监督的各个阶段，包括整个经营活动过程。

法务、合规、内部控制和风险管理是相互关联、互补和协调的，旨在有效预防和控制各类风险。因此，企业必须建立一个与组织、业务目标、业务内容和业务流程相关的全面的法务、合规、内部控制和风险管理体系。

二、法务、合规、内控、风险一体化管理的必要性

（一）法务、合规、内控、风险管理存在的问题

当地的国有企业目前面临着规模较小、缺乏法律和合规专家的问题。大多数公司要么缺乏健全的“法律管理、合规管理、内部控制和风险管理”的运营体系，要么出现多部门管理，存在边界不清、职能重复、协调困难、信息不足、合力不足、效率低下等问题。一些公司缺乏法律服务和职能，而另一些公司缺乏健全的内部控制系统，无法及时建立恰当的支持制度。公司内部控制和违规制裁不严格，无法发挥风险防范作用，以及对于风险管理的意识不强等问题都急需解决。

（二）法务、合规、内控、风险一体化管理的优势

1、降低管理成本，提高管理效率

国有企业现行的法务管理、合规管理、内部控制管理和风险管理程序包括风险识别、风险评估、风险应对、监测和改进，以及多部门设立、重复管理和资源浪费。建立一个全面的内部控制和风险管理系统，可以减少相关子系统之间的管理分歧，简化管理结构，优化管理流程，减少管理联系，在优势方面实现互补，为问题提供全面的解决方案，共享资源，节约资源，提高管理效率。

2、有效防范风险，促进企业安全发展

从中央企业到地方国企，都能对于风险防范进行高度的重视，坚持深入思考，提高风险的防控技能，建立全面的风险管理体系，

有效控制重大纠纷和重大危险事件的发生频率。促进决策，解决重大风险事件，提高企业运营质量和整体水平，支持企业业务发展。

3、强化风险管理理念，塑造企业风险管理文化

在经济市场大背景下，风险管理应运而生并且现如今已成为现代企业管理的重要组成部分，是企业良性稳步可持续运行的基本保障，也是企业加入市场竞争，进行合法经营的重要举措。内部控制和风险的综合管理可以极大地整合人力和物力资源，突出风险管理的有效性，并且深入人心的风险管理理念，有助于建立重视风险和自我管理的企业风险管理文化以及具有商业诚信和合法合规经营的商誉。

4、适应新形势下市场竞争、改革转型升级的需要

随着新经济常态的到来，国有企业面临着新的困境。其一，市场外部的竞争日益激烈，其二，内部管理模式

和内部机制日益受到限制。合法合规建立内部控制和全面的风险管理体系是公司转型升级的重要保障。整合完善现有风险管理资源，构建企业经营发展健康闭环管理链，可以推动国有企业改革转型，提升核心市场竞争力。

三、“四个统一”的管理机制

（一）组织职能统一

在构建全面的法务管理、风险管理、内部控制或合规管理体系时，企业首先需要建立与管理相关的组织结构，以明确管理责任。同样，达到风险，内部控制和合规的一体化建设第一步是整合组织职能，简化公司的内部组织结构，避免职能重叠，避免延误。具体而言，在管理、治理和执行方面，有必要实现全面的法务管理、风险管理、内部控制和合规职能的相统一。

（二）工作机制统一

工作机制的统一主要包括第二道防线的年度风险、内控与合规工作的安排，以及第二道防线与其他部门协调机制的统一两个部分。第二道防线是基于组织职能统一的原则，将年度法务、风险、内部控制和合规工作相结合，建立年初安排、年中控制和年终总结的工作机制。然而实质是要进行整合，如内部控制自我评估与合规性核查、年度计划和年报整合，在一定程度上降低了管理控制的成本，但实际实施取决于管理工具的一体化。

此外，协调第二道防线与其他部门之间的机制，需要监管机构之间的协作机制，主要承担对目标企业监督工作相关机构和相关业务进行整合。例如在法务管理、风险管理、内部控制、合规管理、法律事务管理、文件核查、审计、监察等方面都需要考虑。

（三）管理制度统一

从管理的角度来看，法务、风险、内部控制和合规的整合可以分为两个方面。一个是系统建设，另一个是日常系统运行。系统建设基本上是根据内部控制和合规要求设计控制标准，并在日常运营中实施这些标准。形式方面由于在内部控制、风险防范以及合规层面存在差别，不同的企业开发相关的管理工具比如说包括风险管理手册、内部控制手册、内部监控评估手册、合规管理手册、合规化手册等。按管理工具分类，除第二和第三道防线上的专业部门外，第一道防线的业务部门对这些管理工具的理解和有效使用并不具有实现性和可操行。

（四）评价体系统一

第一道防线的相关部门根据系统制定的控制标准进行日常管理。除了日常流程审计，第二道防线主要包括年度系统评估，第三道防线是系统有效性评估。

第二道防线的年度评估是确保管理体系有效运行的重要任务。因此，建立统一的评估体系也是促进风险、内部控制和合规一体化的重要任务之一。企业应结合内部控制自我评估、合规管理检查和风险管理的相关要求，采用综合管理体系评估的组织形式、评估方法、报告路径，可以明确检查和评估问题的纠正和后续机制，制定与综合评价相关的检验和测试程序，制定基本版本的检验表格和综合评价底稿，明确检验结果和缺陷识别标准，将内控自评、合规检查及风险检查工作相结合，有效降低控制成本，实现评价目标。

四、“四个统一”主要思路

（一）融合管理体系

将分散在风险、法律、内控、合规四大管理体系中的风险因素有机整合，叠加管理要求，形成全面的风险防控体系。在开始覆盖流程之前，设计覆盖框架。根据合规、风险和内部控制以及法务的现有体系选择因素。

国有企业一般将四大风险管理体系的风险控制要素定义为培训定义、劳动标准、风险管理、事件审查、违规管理、信息与沟通、宣传与培训、规划与报告、文化建设等。在确定重叠框架后，法务、合规、风险和内部控制等现有管理要求将整合到一个统一框架中。在这个过程中有几点需要注意:

1、全面风险清单的构建

所有库存项目将根据公司在法律、合规、风险和内部控制系统领域创建的基本库存进行分类和汇总。风险清单分类标准的选择主要是为了判断现有四大体系的成熟度和合理性，植根于内部控制体系的“十八项指引”或风险体系中的五大风险类型可以作为总结综合风险清单的依据。具体制定的过程中，要注意编目时应采用编号规则和命名约定；应建立统一的标准和规范，以形成危险发生概率和程度的定量或分级指标。

2、全面风险事件库的构建

在四个体系中，风险管理类最突出的优势是对外部因素的关注。因此，四位一体体系中的事件库应从风险的角度出发，搜集同一行业、同一类别、同一分类的企业，可供参考的风险事件，结合国企本身的历史风险事件，形成风险事件库进行参考。风险事件的统计范围包括:风险描述、风险时间、风险原因和解决方案，从而统一风险识别思路。

（二）精简流程融合

1、风险清单及风险事件库

以“加法”完成的风险清单和风险事件数据库为基础，每一事项可以在法律、合规、风险、内控四类风险中进行标注，可以锁定风险应对的管理流程，可以索引相关的现有系统。

2、流程标识

在全面风险防控体系运行过程中，通过不同的控制方法在相应的流程中识别风险点，与风险清单中的控制手段相对应，从而增强风险控制。

3、以“1+N”的制度体系作为“四位一体”

“1”指《四位一体全面风险防控管理控制手册》，是公司整合风险管理的纲领性文件，明确了融合职能、融合制度、组织和职责的整合，基本管理模式和基本管理流程。

“N”是指在具体运用《四位一体全面风险防控管理控制手册》过程中，对于具体事项的细化规定可以通过借鉴合同管理办法来进行进一步的规定，除此之外还有风险评估手册、法律纠纷管理办法、国际标准手册、内控合规手册、风险应对手册等。

（三）提升管理水平

“四位一体”风险防控体系的构建过程也赋能了企业的整体管理职能。综合管理体系运行机制的合理创新，将有效提高管理效率，优化风险防控工作和各项管理职能，事半功倍，体现倍增效应。

1、治理与组织层面

在组织架构设计上，从治理层、管理层、执行层的定位出发，统一组织职能，精简组织架构，对风险防范相关职责进行明确，避免职能交叉。

治理层的设计重点是符合当下相关政策法规，如设立首席合规官和总法律顾问；管理层需要关注权限的划分；执行层面是加强部门的职能分工和协调机制。组织架构设计的核心目标是将一体化风险防控的要求嵌入企业管理的各个环节，促进决策、运营和管理的紧密配合。

2、管理制度与流程层面

通过梳理风险清单相关制度，一方面将进一步明确风险事件的权责归属，归属范围将扩展至企业所有职能和业务条线；另一方面，流程中风险关注点的标记将涉及到从业务流程到管理流程的衔接，并将为相关系统补充风险识别、应对、评估和信息反馈等工作项。

（四）优化资源配置

1、管理资源的分配

为了更好地实施法务、合规、风险和内控一体化管理体系，企业需要不断加强风险管理人才队伍建设，培养一批真正掌握风险管理技术和方法的专业人才团队。同时，要进一步完善人才聘用选拔管理机制，拓宽职工的发展渠道，充分将各类人才的积极性和主动性调动起来，真正做好法务、合规、内控、风险综合管理的人才支撑建立工作。

2、数字化资源的分配

企业需要构建一体化的风险管理信息平台，如涵盖法务数据库、风险数据库、内控数据库、供应商数据库、案例数据库等内部数据库，加强风险案例数据、风险清单等风险管控类数据的积累。此外，企业需要打通各种管理信息系统的数据库，将风险控制点嵌入业务管理流程，按照业务管理中的角色和岗位实现风险预警和风险审查。

五、构建法务、合规、内控、风险一体化管理体系相关建议

（一）法务、合规、内控、风险一体化管理体系建设原则

1、坚持领导主抓和全员参与相结合。明确企业主要负责人是加强风险控制的第一责任人；建立全员责任制，将合法合规、内部控制和风险防控要求深入岗位职责，在岗位工作全过程中进行落实。

2、坚持综合治理和突出重点相结合。法务、合规、内控、风险一体化管理应覆盖整个业务领域、整个业务流程、整个组织层面和全体员工，贯穿决策、执行、监督的全过程，突出重要领域、关键环节、关键人员和关键单位的管理。

3、坚持成本与效益、控制与效率的统一。风险控制要充分考虑成本和收益、控制和效率，以适中的成本和效率实现有效的防控。

（二）法务、合规、内控、风险一体化管理体系建设思路

1、以明确组织架构为前提。

首先，在治理层面，由全体董事组成的业务执行机关是企业风险综合管理的最高决策机构。企业中还有审计委员会以及法治与风险委员会，这两者都对董事会负责。监事会是企业综合风险管理的监督机关，监督董事会和经理层内综合风险管理的建立和实施。

其次，在管理方面，总经理将负责公司的日常运营和组织建设，领导公司的全面风险管理。总法律顾问或主管领导主要负责法律事务、合规、内部控制和风险管理等职责。

最后是在执行层面，法务部发挥统筹协调作用，设立兼职合规管理人员，将特定合规要求纳入工作职责和业务流程，做好特殊领域的合规管理，及时有效地防范和处理合规风险。

2、以强化制度建设为基础

一是建立法律管理、合规、内部控制和统一风险管理的体系，明确职能、制度、组织和责任的统一、基本管理模式和基本管理流程。

二是在纲领性制度要求的基础上，制定配套的管理工具，包括风险管理手册、内部控制手册、内部控制评价手册、合规管理手册等细化制度。

三是将风险、内控和合规管理要求、评价标准和风险应对措施整合到体系中，确保企业日常业务流程和管理符合风险、内控和合规要求。

四是将业务流程嵌入企业规章制度，将财务管理制度、用工管理制度、合同管理制度、审计监督管理制度融入公司运营的具体流程，进一步加强对制度执行现状的检查和监督，强化制度的刚性约束。

五是定期进行系统整顿，编制新立、修改、废止计划，对重点改革任务配套体系进行完善，修订重点领域管理标准，提高效率和相关性。

3、以构建闭环管理系统为重点

一是风险识别，收集与公司风险管理相关的内外部初始信息，对手机原始信息以及在具体操作中的业务管理流程进行风险的识别和风险。

二是风险评估。依据企业经营目标，定期举办风险偏好以及风险承受能力的评估，制定相应的风险应对策略，实施动态管理。

三是风险应对。将风险应对策略、风险应对措施和法律合规要求融入到所涉及的业务流程和项目中，组合规章制度，对于内部控制达到逐步优化的效果，使公司在日常运营中自觉防止失误，提高经营效率。

四是风险监管和改进。法务风险控制部及时对综合风险管理进行跟踪和监督，并根据监督结果改进和推进综合风险管理，确保综合风险管理的效果。

五是考核问责。加强法务、合规、内控、风险整合等方面的管理考核和责任追究，在企业绩效考核中将风险管理情况这一考量因素纳入，若考核存在问题，将依据我国的法律法规和企业的相关规章制度来进行责任追究。

4、以协同工作机制为保障

一是法律事务、合规、内部控制和风险管理之间的重复工作将被合并，如内部控制自我评估和合规检查，以及各项工作的年度计划和年度报告的整合。

二是要构建法务管理、合规管理、内部控制、风险管理、纪检监察、审计、监事会等监管主体之间的协同工作机制。从具体工作实施的工作内容、目标、要求、方法、程序等方面，将各项监管工作有机结合起来，建立监管主体之间相互协调配合的业务流程，增强监管工作的合力。

5、以数字化建设为手段

一是搭建法务、合规、内控、风险一体化管理系统平台，建立法务数据库、风险数据库、内控数据库、供应商数据库、案例数据库等企业内部数据库，加强风险清单、风险事件、合同文稿、案例数据、控制措施等风险控制数据的持续积累。

二是利用信息技术打通各业务信息系统的数据库，将风险审查要点嵌入重要业务流程，形成基于岗位职责的法律、合规、内控和风险审查机制，实现业务信息系统在流程处理过程中，可以根据岗位对业务经理、业务负责人、法律审核员等不同审查角色进行提示和审查。

三是建立企业风险识别预警机制，利用大数据和人工智能技术识别各类风险，设立风险预警管理系统，实时监控业务流程各个环节可能存在的风险。

6、以人才队伍建设为支撑

为适应综合管理的需要，应继续加强人才队伍建设，打造懂专业、懂管理、懂业务、懂财务、会管理的复合型人才。同时，要把专业发展渠道进行扩展，对于复合型这种特殊人才，要在市场化选拔、管理和奖励方面进行制度的完善，采取有效的激励措施，将其积极性和主动性调动起来。

将企业法务、合规、内控、风险一体化管理纳入企业整体规划，实现公司系统全覆盖，加强重点业务领域和关键业务流程管控，推进信息系统集成应用，加快建立四大风险一体化管理体系，有效提升企业整体抗风险能力，为企业高质量发展保驾护航。

参考文献

[1]田昕清,刘丁源.“十四五”时期我国企业“走出去”合规风险研究[J].中国经贸导刊,2020(09):18-21.

[2]陶光云. X集团公司全面风险管理体系框架建设研究[D].昆明理工大学,2015.

[3]潘尤迪,乔骄.论我国国有企业构建完善法律合规体系的必要性——简评《中央企业合规管理指引（试行）》[J].法制与社会,2019(32):163-164.DOI:10.19387/j.cnki.1009-0592.2019.11.199.

[4]王军,王新文,黄碧波等.大型国企法律、合规、风险、内控一体化管理体系[J].国企管理,2021(16):32-39.

[5]张鹤.国有企业规章制度体系建设完善策略[J].现代企业,2023(02):24-26.

许腾，男，(1983.12.01)，汉族，山东枣庄人，山西建投集团装饰有限公司总法律顾问，硕士研究生学历，法律硕士学位。兼任社会职务有太原市迎泽区人民法院特邀调解员，第七届山西省青年法律工作者协会副会长，太原市万柏林区人民法院人民陪审员，山西省建筑产业现代化联合会常务理事，中国建筑装饰协会专家（企业管理类），太原市小店区青年联合会第一届委员会委员，太原市青年联合会第十一届委员会委员，中国职业经理人协会评定高级职业经理人。研究方向：国有企业合规管理、法律事务、风险防控等相关工作。

张建鑫，男，（1985.01.18），汉族，山西交城人，山西华炬律师事务所合伙人，本科学历，学士学位。农工党山西省委会省直法制支部副主委，企业高级合规管理师。研究方向：公司治理与并购、商事诉讼。