以风险管理为导向之内控与合规的整合

国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》提出，要建立健全以风险管理为导向、合规管理监督为重点的内控体系，且要将风险管理和合规管理要求嵌入业务流程，实现“强内控、防风险、促合规”的管控目标。这不仅为我们实现内部控制与合规管理的整合提出了迫切要求，而且还提供了创新思路。

整合的目的是为提高内部控制与合规管理工作本身的效率，减少两种风险管控活动之间的重复性工作，消除目前存在的对两种活动的一些困惑之处。整合的策略包括：

（一）管控环境的整合

内部控制五要素的顶层是“控制环境”，它是企业实施有效内部控制的基础。控制环境始于董事会和高管层，他们为企业确定“最高层基调”。企业高管对外发布的内部控制声明，如企业行为准则，正是企业合规文化要推动的一件大事。合规从高层做起，由高层推动，是合规管理能否取得成效的关键。因此，不管是合规，还是内控，企业高层都需要亲自介入，并传递出统一的声音，形成有利的控制环境及合规环境。

（二）风险评估活动的整合

风险评估是管理各种风险的决策基础，不管是合规风险，还是其他的战略风险、营运风险、财务风险、信息风险。内控的风险识别与分析，包括企业整体业务层面的风险，也包括单个业务或项目层面的风险，比合规的风险识别与分析要广。但是，在风险评估中，管理层所用的评估方法是可以通用的。每个业务领域的潜在风险，以及风险发生的时间和概率及其影响范围，是一致的。故内控与合规在整合过程中，可以用同样的评估方法，及共用一套风险事件库、风险评估清单。

（三）风险控制活动的整合

控制活动是内部控制最核心的要素，其贯穿于整个企业，遍及各个层级、业务单元和流程以及技术环境。控制活动可分为预防性措施和检查性措施，它包括一系列手工控制和自动化控制，如授权、审批、验证、调节、业绩评价等。职责分离是最基本的控制措施。可行性研究与决策审批、决策审批与执行、执行与监督检查等岗位职责的分离。采购、销售、投资管理、资金管理、工程项目，产权交易等业务领域的岗位职责权限要相互衔接、相互制衡、相互监督。在合规管理的管控措施中，基本上可以用到前述风险控制活动的技巧。

（四）信息系统的整合

对于内部控制和合规管理而言，信息都是不可或缺的元素。信息应当可靠、来源多元化。出于成本和效率考虑，内部控制和合规管理，应当拥有一体化的信息（系统）。内控与合规建设部门要与业务部门、审计部门、信息化建设部门协同配合，推动企业投资和项目管理、财务和资产、物资采购、全面风险管理、人力资源等信息系统的集成应用，实现内控、合规体系与业务信息系统互联互通、有机融合。信息化基础较好的企业可探索利用大数据、云计算、人工智能等技术，实现内控与合规体系实时监测、自动预警、监督评价等在线监管功能。

当然，内控与合规毕竟是两件独立存在的两件事情，即便经过一体化的整合，仍存在诸多不可完全融合之处。如，相关管理组织架构、管理制度，沟通机制与监控机制，均因内控与合规的不同而有所差异，故仍需用不同的方法和原则予以对待。但整体来说，以风险管理为导向，整合内控与合规的共同要素是可行的。

摘自——《首席法务》陶光辉