在2020年5月22日国务院总理李克强作的政府工作报告上，继党的十九大将“防控化解重大风险”列为全面建成小康社会决胜期三大攻坚战之后，将“加强重大风险防控，坚决守住不发生系统性风险底线”作为下一阶段工作总体部署内容。结合2019年国资监管系列最新政策要求，国有企业风险内控管理长抓不懈，持续推动整合升级成为广泛共识。

2019年12月，国务院国资委下发《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》（国资厅发监督〔2019〕44号）。“通知”明确提出风险、内控、合规管理体系的整合要求：各中央企业要以“强内控、防风险、促合规”为目标，进一步整合优化内控、风险和合规管理相关制度，完善内控缺陷认定标准、风险评估标准和合规评价标准，构建相互融合、协同高效的内控监管制度体系。根据该要求，从2020年起，中央企业不再分别报送《中央企业内部控制评价报告》和《中央企业年度风险管理报告》，取而代之按一体化要求编制《2019年度内控体系工作报告》。

“通知”在2019年11月国务院国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号）的基础上，将体系整合要求落到了具体的工作层面。在随后2020年第一季度，多地国资委下发配套通知，体系整合要求得到快速响应，从中央到地方，2020年成为风险、内控、合规管理体系的整合之年。

一、为什么要开展体系整合——问题倒逼管理工具升级

风险、内控、合规管理三套体系在国有企业的应用推广，源于中国监管机构相关政策，包括2006年的《中央企业全面风险管理指引》、2012年的《关于加快构建中央企业内部控制体系有关事项的通知》、2018年的《中央企业合规管理指引（试行）》的强大牵引。在过去的十几年里，先后出台的三套体系指引对国有企业防控化解重大风险、维护合法合规经营提供了系统的理论参照，也为夯实企业基础管理，实现高质量发展提供了普遍的控制对标。但在具体的企业实践过程中，也出现了一系列亟需国资国企共同关注和研究解决的现实问题，包括：风险、内控、合规概念、内涵、边界不清；三套体系各行其道、壁垒森严；体系成果浮于表面；管理效率低，投入产出不成正比等。

国有企业一边面对外部监管趋严的合规压力，一边又面对风控管理手段“过剩”带来的烦恼，迫切需要根据国资最新监管要求，对风险、内控、合规管理体系的关系作出厘清和调整，促进管理手段和工具升级。

二、整合后的体系是什么——企业的“免疫系统”

风险、内控、合规管理三体合一，整合后的体系是什么，监管政策并没有作出直接的回答。鉴于《中央企业合规管理指引（试行）》将合规的“规”定义为涵盖法律法规、监管规定、行业准则、企业章程及规章制度、国际条约、规则等要求的外法内规，显然这是一个广义的“规”，而合规的管理动作相应也外延至涵盖企业防范控制风险、遵循法律法规、落实规章制度等一系列管理行为，所以我们更加倾向于将整合后的体系称之为“大合规体系”。

受到本次新冠疫情的启发，人体内“免疫系统”弱的个体更容易受到病毒感染，而对于一个企业，同样的风控能力弱的企业必然比能力强的更容易蒙受损失甚至被击倒摧毁，我们认为整合后的大合规体系，应该是企业的“免疫系统”，具有以下显著特征：

独立性及不可或缺性

一套独立系统，是维护企业平稳运行不可或缺的一部分

全覆盖性及内嵌性

全面覆盖各层级和各职能，内嵌于企业流程，与其他管理系统互相协调发挥作用

稳定性及平衡性

保持系统自身内部以及与其他系统间的平衡，确保企业整体稳定运行

多样性及功能性

构成要素及工具方法多样，且不同职能有特定功能及分工（如三道防线）

适应性及自调节性

适应内外部环境，进行自我学习和完善，不断更新迭代

谨慎性及应急性

平常不瞎指挥，但关键时候能够经谨慎评估后提出意见，对风险和问题亮剑

三、如何构建大合规体系——形神兼备，分步实施

风险、内控、合规管理体系整合可包括两个层面：

一是做到“形”似。借助整合提效，实现工作效率上的1+1+1<3。整合的过程是基于3个职能，整合5个方面，最终形成“6个一”。

3个职能是指风险管理、内部控制、合规管理。5个方面是指组织架构整合、工作流程整合、工具方法整合、成果报告整合和保障体系整合。整合的方法是求同存异、合并同类项、厘清体系工作要素之间的相互关系，将原并行开展的三项工作，在一条流程上合理衔接并配套相应工作成果和工具表单，最终形成一个目标、一个组织、一条流程、一份报告、一套工具、一套系统的“6个一”的一体化管理体系。

二是实现从“形”似到“神”似，达到形神兼备。所谓“神”似，就是通过落实体系中的各项管理要素，放大风险、内控、合规体系各自优势，促进产生“化学反应”，实现工作价值上的1+1+1>3。参照相关政策文件，大合规体系可包括以下管理机制：

• 在发挥合规约束价值方面，企业应坚持底线思维，根据法律法规划定企业应该遵守的红线底线，通过提示、否决、考核、追责等手段确保红线底线不被逾越，主要包括建立合规审查、合规评级、违规追责等三项主要机制。
• 在发挥风险纠偏价值方面，企业应自动监测经营管理偏差事项，及时触发纠偏动作，确保企业管理在风险可承受区间有序运行，主要包括建立重大决策风险评估、业务及风险提示、风险指标与监控等三项主要机制。
• 在发挥内控制衡价值方面，企业应借助权责和职能设计，形成必要的内部牵制，确保决策过程合规，决策和操作结果科学可靠，主要包括建立控制流程再造、权责分离、内控评价提升等三项主要机制。

在体系整合过程中，建议需首先做好顶层设计和计划铺排，根据企业实际情况分步分阶段实施。第一步首先实现“形似”目标，提升效率，满足监管要求。第二步逐步探索完善风险、内控、合规管理机制，用1-2年时间实现对经营管理的风控赋能，进一步发挥大合规体系的价值。第三步建立大合规体系整合信息系统，逐步实现体系的信息化、指标化、数字化、智能化。

四、成果如何落地——一图六表两报告

传统的风险、内控、合规工作将《风险管理手册》、《内部控制应用手册》、《内部控制评价手册》、《合规管理手册》、《全面风险管理报告》、《内部控制评价报告》作为体系落地成果，其中手册内容又以风险管理清单/数据库、内部控制矩阵、内部控制流程框架和流程图、决策事项授权审批表、合规义务清单等详细成果尤具代表性。企业实施大合规体系的整合，落地成果设计非常重要。“一图六表”的《大合规手册》及两份报告说明如下：

来源：普华永道

免责声明：本微信文章中的信息仅供一般参考之用，不可视为详尽说明，亦不构成普华永道的法律、税务或其他专业建议或服务。普华永道各成员机构不对任何主体因使用本文内容而导致的任何损失承担责任。

您可以全文转载，但不得修改，且须附注以上全部声明。如转载本文时修改任何内容，您须在发布前取得普华永道中国的书面同意。

小编微信：Crocso 如欲就法务与合规管理进行交流、培训、咨询等，可与我联系，将为您推荐大咖老师、资深专家和律师。