基于風險防控的國有企業內控合規管理問題與對策研究

吳 達

南方海洋科學與工程廣東省實驗室（珠海）

當前，因為政策支持與疫情下經濟穩固發展，大部分地區的國民經濟逐漸恢復，一些地方因為多方面影響，無法快速恢復常態，需要做好高效統籌，促使經濟得到合理運行。要求國有企業繼續實施國企改革三年行動方案，進一步推動國有企業改革向縱深發展，更加有效發揮國有經濟戰略支撐作用，更好助力鞏固經濟回升向好趨勢。當前時期是各類風險易發、高發期，甚至可能是集中釋放期。為貫徹落實黨中央、國務院關于防范化解重大風險和推動高質量發展的決策部署，進一步提升國有企業防范化解重大風險的能力，根據國務院國資委“建立健全以風險管理為導向、合規管理監督為重點，嚴格、規范、全面、有效的內控體系”的工作要求，國有企業迫切需要建立健全企業內部控制體系，增強企業抗風險能力，推動全面風險管理、合規管理與內部控制的有效融合，從風險防控的視角理解和實踐內部控制與合規管理。

一、國有企業風險、內控、合規管理概述

內部控制、風險管理與合規管理三者同屬“依法治企”的重要內容和組成部分。其中，合規管理是風險防控中最基本、最嚴格的部分，傾向于外規內化的落地檢查，主要管理和控制操作風險中最基本的合規風險，構成企業不可逾越的基本底線；內部控制主要從流程合規、防范舞弊角度出發，通過規范企業運行規則、操作程序來實現，抑制企業運行及操作層面的風險；而風險管理突出對企業戰略目標實現的保障，是為了化解重大風險的一種宏觀層面上的風險管控，涵蓋企業可能面臨的戰略風險、財務風險、市場風險、運營風險、法律合規風險等各個方面，通過識別風險，制定規避措施來實現。

基于風險防控的內部控制與合規管理具有如下特點：一是站在企業戰略層面分析、評估和管理風險，能夠在細微之處控制公司發展，做好監督與監管工作，保證公司治理日益完善，除此之外，不僅關注體系建立，更關注體系的運行與評價；二是在執行模式方面，能夠從始至終認真執行，確保模式設計符合公司發展特征，結合反饋意見進行認真整合，做好控制與風險防控的融合，保證公司科學應對風險，合規管理。

二、國有企業風險防控現狀與要求

2021 年5 月，市值700 億的超大型老牌國企上海電氣突發黑天鵝事件，控股子公司應收賬款逾期，預計帶來83 億元風險敞口。之后幾個月內，公司管理層巨震；同年7 月，種種現象已折射出國有企業因其產權制度、法人治理結構的特殊性，不同程度的存在內部環境薄弱、風險評估缺失、控制活動失效等問題。

近年來，為進一步提升國有企業防范化解重大風險能力，推動國有企業高質量發展，國資委將“構建全面、全員、全過程、全體系的風險防控機制”作為國企改革一項重要工作來推進。在最新一份國企改革三年行動方案中，“防風險”已成為國企董事會的三大基本職責之一。國資委改革局、財務監管局和法規局等分別于2006 年、2008 年、2018 年下發了《中央企業全面風險管理指引》《企業內部控制基本規范》《中央企業合規管理指引（試行）》等政策性文件，分別指導國有企業建立風險管理、內部控制和合規管理體系。這三份文件出臺的時間和背景各不相同，給國有企業風險防控帶來了不同的視角，但也同時從不同的角度提出了不同的要求。

基于上述背景，國有企業在開展實際工作中，為符合政府部門和監管機構先后出臺的各項要求，分別建立了風險、內控、合規等多套管理體系，各套體系分頭推進、交叉運行，處于相互割裂的狀態，不能有效發揮統一的管控作用，在一定程度上造成了管理資源浪費和整體管理效率低下。

三、國有企業內控合規管理問題

（一）管理層風險意識不足，缺乏一體化管控理念

很多國有企業管理者存在這樣的思想誤區，認為任何的經營活動都存在風險，與其把時間和精力投入在風險防控上，不如將企業的資源優先投入業務經營中，只追求利潤最大化。

在體系建設方面，大多數國有企業已較早的建立并實施了內部控制，對內控管理體系有著較深刻的認知。近年來，隨著“合規”概念引入，一些企業要么按照上級文件精神制定一個制度或清單，以應付檢查；要么認為內控、風險管理就是合規、法治的一部分，簡單的做些補充性工作，未能形成統一的一體化企業風險管控理念。由于沒有統籌規劃和系統實施，造成管理上的沖突和空白，最終風險防控的效果大打折扣。是否具有與時俱進的管理理念已成為國有企業發展道路上需解決的首要問題。

（二）法人治理結構不健全，合規職能定位模糊

目前，部分國有企業仍存在治理層和管理層邊界模糊的問題。雖然國有企業近年來持續推進公司制改革并取得了一定成果，但法人治理結構仍需進一步完善。盡管企業已經設立了董事會、監事會，聘請了高層管理人員，而董事會、監事會均為股東大會選舉產生，由于國有股份一股獨大，公司內部的決策與執行統一進行，這種局面導致治理層無法對管理層進行有效監督，導致權力制約能力較弱，容易出現管理環節失策且無法被制裁的情況。企業管理層集管理、決策、監督權于一身，形成了事實上的“內部人控制”，缺乏有效的權利制衡機制。

由于我國企業合規建設起步相對較晚，合規管理理念相對滯后，管理合規風險的能力不足，國內70%左右的企業尚未建立合規管理體系。

（三）制度建設存在短板，管控程序缺乏協同

為實現風險防控的目標，國有企業須具備健全的內控合規制度體系，為工作實踐提供依據和約束。而實際情況往往是很多企業在制度建設上缺乏統一規劃和時效性，存在一系列短板問題。一是只關注內控與合規的具體目標，而忽視制度體系設計應為企業發展的整體戰略目標服務；二是當企業戰略目標調整、業務模式改變后，管控程序未能跟上企業變革的步伐，對新業態、新模式、新業務缺乏制度剛性約束；三是制度建設側重于過程控制，對諸如財務報告和管理信息的真實、可靠、完整等結果控制關注較少，企業高管甚至授意指使財務造假，縱容虛構業績、隱瞞利潤或偷逃稅款而放棄內控的種種行為。

也有部分國有企業雖然已經建立并運行了內控體系、合規體系，但各體系獨立開展，工作計劃與執行程序僅以風險為導向，存在管理內容重疊但不共享、資源效率投入但不高效、考核工作交叉但不并行等問題，不符合《中央企業合規管理辦法》第二十六條有關協同運作機制的要求，管控程序缺乏整體的統籌協調，管控效能有待提升。

（四）內部監督效力不足，評價機制未全流程覆蓋

當前國有企業普遍存在內部監督和評價機制不完善的情況。內部監督有助于規范企業各級員工的工作行為，內部評價側重于及時發現企業內控合規管理中存在的問題。目前，國企內部監督大多以事后監督為主，對事前、事中的監督較為薄弱，沒有充分發揮風險管控“三道防線”的作用。在對人的監督方面，往往只開展基層員工的日常監督，而忽略了管理層及關鍵崗位人員的專項監督。而管理層及關鍵崗位人員才是管理風險高發人群，更應作為企業內部監督的重點對象。

（五）組織結構不科學，培訓與文化建設缺位

國有企業的組織結構決定權責分配關系，權責分配關系決定工作流程關系。內部各管理機構的主要職責以及分工結構未能順應當前市場經濟環境做出及時調整，存在不同部門的分工不明確，關于權力與責任的安排不合理，權力與義務無法平等，這種問題都導致企業無法進行順暢溝通，指令的執行流程受阻，部門之間的責任劃分不明確，無法起到有效作用，導致公司的生產效益不高。在企業面臨重要社會事件或重大經濟危機時，由于各部門之間的工作協調性不完全同步，對內部管理機構正常運行的管理效率產生極大影響，對企業的風險防控環境的構建非常不利。

（六）信息化建設相對落后，信息傳遞效率低下

國有企業的內控合規信息化建設不是簡單地將流程介質從紙質轉變為電子形式，而是需要將內控合規信息化工作納入企業信息化建設總體規劃中。信息披露和傳遞不及時也是國有企業目前普遍存在的問題，使得部門間的工作開展受到了消極影響。如財務工作審核、傳遞及結果等有關信息沒有第一時間反映給業務部門，導致業務部門相關業務工作開展受限，不能有效配置資源，成本控制缺乏依據；部門與部門之間的信息披露和傳遞渠道不通暢，無法實現各部門信息的共享與統一，造成各部門信息獲取不對稱，在風險防控上失去了信息的時效性，進而無法及時響應風險防控的要求。

四、國有企業內控合規管理問題的應對策略

（一）樹立一體化管理理念，強化風險防控意識

為了落實好內控合規及風險防控工作，首先要先從國企管理層意識層面著手。具體來說，首先，樹立一體化管理理念。不僅要重視企業的效益，還要注重內控合規管理的價值，加大風險防控力度。這就要求企業管理層將風控管理與戰略和經營目標掛鉤，選取核心業務，融入管理層偏好和容忍度因素，積極支持和推動企業風險與內控合規一體化建設，確保企業日常經營行為與戰略目標的高度統一，加強風險與價值之間的關聯管理。其次，強化風險防控意識。

（二）優化法人治理結構，明確合規管理定位職責

要實現風險、內控、合規一體化，企業應健全企業內部法人治理結構，完善權責劃分，治理層和管理層適當分離，避免出現內部人控制局面。具體來說，需要實現風險、內控、合規管理職能在治理層、管理層的職責統一。其中，在治理層，企業通?？梢詫⑾嚓P職能放到同一個董事會專門委員會；在管理層，由同一個領導小組負責風險、內控、合規管理的相關職責。

現階段大部分國有企業暫未設置專門的合規管理部門，或是將合規職能與法務職能單獨合署，或是將合規職能與其他多項監督職能共同合署。建議企業在決定采用哪種架構時應立足于經營管理實際，結合發展階段、人員編制、信息共享程度等要素，在管理成本可控的前提下最大化合規管理收益。為維護第三道防線的獨立性和權威性，審計與合規職能應當分離。

（三）動態優化管理體系，構建協同工作機制

建立風險、內控、合規一體化管理體系運行的動態調整機制，通過定期的風險識別及評估機制，持續收集企業內外部風險管理、內部控制、合規管理的各類信息，包括外部法律法規及監管要求變化，調整各項風險應對及管控措施，監控風險的應對情況。作為第二道防線的企業核心業務部門與其他部門協同工作機制的統一，需要構建風險管理、內部控制、合規管理、法務管理、紀檢監察、審計、監事會等監督主體之間的協同工作機制。將各項監督工作有機結合，建立監督主體之間相互協調、合作聯動的業務流程，增強監督工作合力。

（四）打通內部監督機制，開展持續評價與改進

國有企業應提升對內部監督工作的重視程度，除了監督企業經營管理活動是否與國家相關法律法規一致之外，還要監督內部控制制度的執行狀況和進度，確保相關部門能夠依據內控要求落實工作，促進企業的健康發展。從優秀企業的實踐來看，其核心在于打通企業內部的監督機制，將合規考核、審計結果運用、紀檢問責、違規經營責任追究等事項從考核問責標準、程序及流程方面進行統一。

內部評價是規范一體化管理體系運行和完善的機制保障。盡管內控風險評價報告是上市公司信息披露所需，企業也需要進行內控分析，明確自身評價，從而更好的了解內部存在風險，及時有效防控。通過針對性的措施，能夠切實降低風險，并明確待解決的問題。公司需要定期進行評價，從而周期性的整治保證平穩發展。

（五）精簡內部組織結構，營造法治誠信氛圍

在建立風險管理、內部控制或合規管理體系時，企業首先會設立相關管理的組織架構，并明確管理職責。同樣，要實現風險、內控、合規一體化，首先需要在組織職能方面進行統一，精簡企業內部組織架構，根據業務規模、合規風險水平等因素，對負責企業監督工作的有關機構和業務進行整合，避免職能交叉重復，打造的專業的內控合規管理團隊。

（六）推動數字化轉型升級，提升內控信息化水平

數字經濟下，為提升信息溝通傳遞的時效性，企業應借助先進的信息技術，運用現代化信息系統，為信息管理及使用提供便利。國有企業應結合自身實際，將內控合規信息化工作納入企業信息化建設總體規劃中，逐步開展內控合規管理信息化建設，有效提升風險管控和業務運行的效率和水平。

加大數字化技術應用是國有企業升級內控體系的突破。一方面，通過升級現有信息系統功能或開發RPA 等工具，將手工控制轉化為系統應用控制，整體提升內控自動化水平；另一方面，充分應用移動互聯、人工智能等技術，將風險信息轉變為數字信號，凸顯風險管控數字化特征，實現智能化轉型。對于現階段數字化水平較高的企業，還可進一步運用大數據、云計算等技術工具，加強對經營管理行為依法合規情況的實時監控和風險分析。

結語

2022 年是全面實施“十四五”戰略規劃的關鍵年，落實國企改革三年行動方案的收尾年。國有企業應堅持把穩增長、防風險擺在更加突出位置，積極加強企業在后疫情時代中的風險、內控及合規一體化管理，堅持依法合規經營，有效防范化解各類風險挑戰，發揮在經濟建設中的先導作用，沉穩應對變局中的不確定因素，更好的服務經濟社會發展大局。