如何建立风险、内控与合规三位一体的管控体系?

为指导企业开展风险管理工作，进一步提高管理水平，增强竞争力，促进稳步发展，自2006年开始，我国国资委、财政部等相关部委借鉴COSO理论及国际上影响较大的风险管理和内部控制标准，结合国内的实际情况，分别从风险管理、内部控制、合规管理三个角度，制定了《企业内部控制基本规范》《中央企业全面风险管理指引》《中央企业合规管理指引(试行)》等文件，指导中央企业内部控制体系建设及运行管理，推进风险防控相关工作，建立健全全面风险管理体系。

1

风险管理、内部控制、合规管理的关系

内部控制通过将政策、规则、程序嵌入业务流程，融入企业的日常运营中，将风险控制在可接受的范围之内，使企业按照既定的目标前进。内部控制、风险管理和合规管理三者既有联系，又有区别，共同点是三者都是为了实现风险防控，区别是管理的切入点不同。

合规管理是所有风险控制里面最为基本、最严格的部分，主要从法律角度切入风险的预防，通过企业外部法律、法规遵循，内部规章制度的遵守等，考量企业合规义务的遵循，防范不合规导致的企业合规风险。

内部控制则更加集中于流程控制，以业务流程为核心，通过控制矩阵将业务层面的风险控制在可接受水平。

风险管理主要是化解和防范重大风险，对风险进行辨别、分析、评价、报告而形成体系化的风险管理，但必须以内部控制和合规管理为基本管控的落脚点。

风险应对机制对比

2

三位一体管控体系的必要性

通过上述分析可见，风险管理、内部控制和合规管理虽然有区别，但它们之间存在联系，互相支持，应该共同助力企业的发展。但在我国，政府和监管机构相继提出了多项要求，导致许多中央企业需要建立和运行多套管理体系，结果是这些企业的内部控制、风险管理和合规管理实际上没有良好的协调，对企业造成了不利影响。

首先，增加了管理组织机构和职能部门，使有限的管理资源更加分散，导致业务部门和监管部门之间出现了不必要的重复劳动，部门之间的协调工作增加，效率下降，同时也增加了管理成本，加重了中央企业的负担。

其次，尽管各个管理体系都有各自的重点和限制，要求和标准也不一致，工作的路径和方法也各不相同。如果各个管理体系独立运行，没有统筹规划和系统实施，就会导致管理上的冲突和遗漏，降低管理效果。

因此，我们需要整合和优化内控、风险和合规管理的相关制度，构建一个以风险管理为导向、以合规管理为重点的一体化内部控制体系，以实现“强内控、防风险、促合规”的管理目标。

3

三位一体管控体系-内部评价建设

一体化管理是一个复杂的、系统的、长期的工程，本次我们就内控评价系统的建设步骤展开介绍。

一是内控评价准备工作：

首先，我们需要整理和完善内控评价标准，确保标准符合企业监管要求。然后，在内控评价工作开展前，需要成立工作小组、制定内控评价工作方案，基于方案实施后续内控评价工作。

内控评价标准

内控评价方案

二是内控评价实施：

准备工作完成后，基于方案进行评价任务下发，评价任务下发至各个业务部门。业务部门首先进行自我评价，然后内控检查小组对业务部门的自评结果进行检查测试，并反馈测试结果，业务部门根据测试结果输出改进计划提交内控小组审核并完成内控评价实施工作。

内控评价实施流程

三是内控报告：

基于内控评价实施结果，输出内控缺陷问题汇总并确认。然后对整个评价工作进行梳理、复盘、整合后输出内控评价报告进行上报，并在内部共享使用。

内控评价报告

四是内控评价整改跟踪：

内控评价工作完成后，基于发现的缺陷以及提出的改进计划，展开后续缺陷整改工作，并对整改结果进行持续跟进和评价，确保缺陷修复。并基于发现的问题，反推相关内控制度和评价标准的完善，形成良性闭环。

内控整改跟踪

4

海睿思助力企业实现三位一体全面管控

在三位一体体系中，风险管理是核心，企业必须识别、评估和应对各类风险，以确保企业的可持续发展。内部控制则是支撑，它包括制定和执行内部控制制度，确保业务活动的合规性和有效性。合规管理则是重点，企业需要确保自身遵守相关法规、规章和行业准则，以防止违反法律法规而引发的潜在风险和损失。

OceanMind海睿思 提供内控评价管理系统，在线协同开展内控评价工作，规范评价作业流程，帮助内控部门进行内部控制流程与管理机制的优化，并通过将内部控制和风险管理、合规管理相结合，有效助力企业实现风险防控和全面管理，规范内部流程，并确保遵守合规要求，为企业经营管理战略稳定推进保驾护航！

欢迎关注微信公众号“OceanMind海睿思”或搜索“OceanMind海睿思”进入官网了解相关产品。