英国公司内部控制与管理对我国国有企业治理的启示

关 磊

(中国社会科学院 研究生院，北京 100026)

提要：当前我国国有企业在公司治理及董事会建设方面存在诸多问题，其主要原因是由于缺乏有效的激励和约束机制，从而难以解决现有的代理冲突问题。内部控制理论认为，完善的内部控制制度可以有效降低企业风险，缓解代理冲突问题。传统的内部控制理论经过漫长的发展，也已经从单纯的财务管控发展至今天的与风险管理和公司治理相集成的新高度。然而，国内部分企业对内部控制和风险管理两套治理体系的概念边界存在一定程度的理解模糊，因此在实际工作中存在实践困难。所以，以公司治理的发展历程为主线，对风险管理及内部控制开展概念和边界进行辨析，同时以英国上市企业的风险管理和内部控制监管开展案例分析，总结其成功经验，对于推动我国国有企业打造具有中国特色与国际接轨的公司治理标准、全面风险管理与内部控制体系具有重要意义。

一、引言

2002年，证监会在上交所发布了《上市公司治理准则》，标志着在我国现代公司治理制度的基本建立。尽管公司治理相关要求和准则已经正式实施十余年，但是我国当前许多国有企业董事会尚未形成有效治理机制，代理冲突与信息披露不完整等问题时有发生。2006年，国务院国资委发布了《中央企业全面风险管理指引》，旨在提升中央企业的企业管理水平，为广大国有企业提供改革范本，从而引导中央和地方国有企业推动全面风险管理体系的建设以及改善国有企业的公司治理现状。2008年，财政部等五部委联合发布《企业内部控制基本规范》，要求大中型企业尤其是上市公司建立全面的企业内部控制体系，并对内部控制现状进行评价并披露相关评价报告。近年来，随着《股东大会指导意见》《上市公司独立董事指导意见》以及《上市公司公司治理准则》等法律法规陆续颁布实施，内部控制体系和风险管理监管制度在我国上市企业中开始逐步建立。但是对于部分企业来说，无论是企业风险管理还是内部控制都属于新生事物，并且这两个体系中存在许多含义相近的内容，以及如何处理内部控制与公司治理和风险管理之间的关系，使得许多企业对于如何正确搭建内部控制管理体系而感到棘手，最终造成了一定程度上的管理混乱和资源浪费。因此，如何处理这三套管理体系之间相互重叠的关系，成为提升我国央企改善公司治理情况的重要问题之一。

英国是股份制公司这一生产组织形式最早出现的国家之一，因此英国也是现代公司法律、制度和公司治理结构等方面发展最完善的国家之一。1992年，英国注册会计师协会与和伦敦证券交易所共同组建了特恩布尔委员会，并于1999年发布了《内部控制框架指南》，又称为《特恩布尔报告》(Turnbull Report)，基本确立了以风险控制为导向、将内部控制嵌入公司治理体系，从而形成控制范围更加广泛、控制管理特性鲜明的内部控制框架体系。《特恩布尔报告》被认为是英国最健全的内部控制制度文件，对英国的内部控制体系建设具有深远的意义，它不仅对内部控制的定义、目标、控制范围、要素和责任主体进行了明确，同时还为公司及董事会在实践上提供了许多切实可行的指引。因此，通过借鉴英国内部控制体系发展建设过程中的成功经验，对于推动我国建设与国际接轨的具有中国特色的公司治理标准、全面风险管理与内部控制体系具有重要价值。

当前学界从多个角度对英国公司治理的先进经验开展了研究。谭兴民等[1]通过对英国公司治理的内部控制机制开展实证研究，发现在英国完善的公司治理机制对披露会计信息质量具有显著的正向促进作用，对此提出中国企业应当在股权集中度和审计委员会等内部控制制度上进行完善的建议。胡汝银等[2]通过对英国的公司治理准则的发展历程进行梳理，分析了公司治理机制与亚洲经济增长机制之间的关系，并提出了针对中国公司治理机制改善的建议。李爱华和张鹏对英国的内部控制演化历程进行了分析，认为内部控制与风险管理的结合正在愈发紧密这一趋势日渐显著，据此对我国内部控制制度的发展提出了相应的建议。程永泉和冯义秀[3]通过对企业风险管理框架开展研究，认为建立基于风险导向的企业风险管理框架对于改善公司治理情况具有重要的价值。

同时，学界也从理论角度对当前公司治理理论发展中出现的问题进行了研究。杨纪红[4]认为，2004版《企业风险管理框架》与其前身——1992年发布的《内部控制整合框架》在内容上存在大量重合，从而导致企业在构建企业风险管理体系时容易造成风险管理实施范围面向局部、拘于细节、界定模糊等问题，进而使得企业中出现“风险管理就是内部控制”以及“风险管理就是‘大内控’”等一系列看法，这对于上市企业在建设制定相关制度中存在一定的障碍。

从文献中可以看出，英国作为企业管理理论研究的先行者，对公司治理、风险管理以及内部控制的理论及实务发展积累了丰富的研究成果。同时，我国企业对于三者之间的关系和内涵的理解较为模糊这一现象也普遍存在。因此，本文试图通过厘清和辨析三者的含义与关联，梳理英国知名上市企业内部控制及风险管理特点，为我国国有企业公司治理体系的发展和完善提供一些借鉴和参考。

二、公司治理、内部控制和风险管理的内涵

(一)公司治理

对于公司治理的内涵，学界进行了丰富的研究。吴敬琏认为[5]，公司治理是指公司股东、董事会和管理层三者组成的一种组织结构以及三者之间形成的制衡关系。林毅夫[6]认为公司治理是指产权所有者对公司经营管理和绩效进行监督和控制的一整套制度安排。张维迎[7]、李维安[8]认为公司治理概念有狭义和广义之分，狭义的公司治理主要基于产权理论和委托代理理论，认为对代理人实施一定的激励和约束机制，从而实现公司剩余控制权与剩余索取权在公司的各个利益主体之间进行有效配置的一套产权制度安排；而广义上的公司治理还包括外部环境，主要是通过公司外部市场体系(市场、法律、文化和制度性安排等)提供充分的公司经营信息并对公司的经营行为进行客观的评价与约束，通过施加外部影响，对公司经营者进行有效激励和监督，达到协调公司与所有利益相关者(股东、债权人、供应者、雇员、政府、社区)之间的利益关系的目的。

(二)内部控制

内部控制的内涵一直在发展，美国会计师协会(AIA)、美国注册会计师协会(AICPA)、美国虚假财务报告委员会下辖的发起人委员会(COSO)以及我国财政部都曾经为内部控制的内涵进行过界定。其中，COSO在其《内部控制整体框架》报告中提出，“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循3个目标而提供合理保证的过程”；我国财政部在《关于全面推进行政事业单位内部控制建设的指导意见》中提出“内部控制是保障组织权力规范有序、科学高效运行的有效手段，也是组织目标实现的长效保障机制”。王民治和徐良金[9]认为内部控制实质上就是为企业实施的一套用于保护企业资产安全，保证披露信息正确和完整，促进经营管理政策有效实施，提高经营效率，控制经营风险，防止舞弊行为发生的重要管理制度和方法。

(三)风险管理

对于风险管理，COSO在2004年颁布了《企业风险管理框架》(Enterprise Risk Management Framework，ERM)，框架中对企业的风险管理定义为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”这一阐述在2017年版的《企业风险管理框架》中进行了更新，COSO提出“全面风险管理是组织在创造、保存、实现价值的过程中赖以进行风险管理的，与战略制定和实施相结合的文化、能力和实践”。相比原版本，新版本的《企业风险管理框架》不仅将风险管理的定义进行了简化，同时，更加强调风险管理与价值创造及战略的关系。

(四)公司治理、内部控制和风险管理三者关系的辨析

许多文献都支持公司治理与内部控制在发展上存在互相影响、相互制约的平衡关系。白华[10]通过对比研究，认为内部控制的内涵已经从最初的“以会计控制和管理控制为核心内容的一套方法和程序”发展成为“与各构成要素全方位嵌入，旨在共同作用以确保经营效率、财务可靠、相关法规的遵循等目标得以实现的一个过程”，并且这个“过程”是伴随着企业的发展和内部控制理论与实务的发展在不断发展和提高的。由此可以看出，内部控制的内涵是伴随着公司治理的发展而不断变化的，因此内部控制与公司治理高度相关。学界也普遍认同风险管理与内部控制是公司治理的重要组成部分。阎达五和杨有红[11]认为内部控制框架与公司治理机制的关系是系统与制度环境的关系。杨雄胜[12]认为内部控制是实现公司治理能够有效实施的重要基础设施建设。谢志华[13]也赞同这一观点，他认为内部控制是公司治理的基础，而公司治理是内部控制重要的环境因素之一，两者之间存在互相作用的关系。

另一方面，无论是学界还是企业界，都认为风险管理和内部控制在内容上有许多互相嵌套的地方。一方面企业内部控制体系的建设通过识别外部政策、市场环境和内部日常经营活动中的风险而实现，另一方面风险管理又在内部控制的体系中对关键控制点发挥作用。梅艳晓[14]认为2004年版的《企业风险管理框架》实质上就是在2002年《企业内部控制框架》中提出的几大要素之外，额外增加了目标设定、事项识别和风险应对等三要素。白华[10]认为，企业在追求利润的同时必然要承担风险，而风险管理和内部控制本身所控制的对象就是同一风险，只是二者在考虑和设计的过程中的侧重点有所不同，但是其实质是一样的。实际上，风险管理和内部控制二者之间的关系已经得到了官方的认证。英国在2005年发布的修订版的《特恩布尔报告》中就认为内部控制系统是风险管理的必要组成部分，COSO在其2013年更新的《内部控制框架》的文件附录中也进行了说明，认为“企业风险管理是公司治理中的组成部分，而企业内部控制是企业风险管理中的组成部分”。

综上所述，可以看出内部控制是风险管理体系中不可缺少的组成部分，而风险管理框架的范围要比内部控制框架的范围更广泛，是对内部控制框架的扩展。公司治理则为内部控制和风险管理提供了重要的环境因素。三套体系同样以企业经营风险为控制对象，以不同的视角和切入点对控制过程进行设计并发挥协同作用，共同监督公司代理人行为，对于降低股东和管理层之间的信息不对称性，解决公司治理中的代理问题具有重要的积极作用。基于这一分析结果，本文将从公司治理的视角，对英国知名上市公司的内部控制及风险管理的监管要求特点进行研究和总结。

三、英国上市公司对内部控制及风险管理监管实践及特点分析

(一)英国上市公司在内部控制和风险管理上的具体实践

本文挑选了三个不同行业的领军者，分别为传媒行业的英国广播公司(British Broadcasting Corporation，BBC)、通信行业的英国电信(集团)(British Telecom，BT)及能源行业的英国石油公司(British Petroleum，BP)。通过其最新年度的年报披露信息，对各公司在内部控制体系建设、风险管理方向的举措全方位梳理，对我国国有企业的内部控制与风险管理建设大有裨益。

1.英国最大的新闻媒体——英国广播公司(BBC)

英国广播公司(BBC)是英国最大的新闻广播机构，是世界上具有代表性的公营广播机构，也是全球最大的国际广播机构之一。公司旨在公正的为各种年龄用户提供高质量的新闻等信息，同时向全球弘扬英国的文化与价值观。英国广播公司建立已有近百年时间，无论从组织架构设置还是行业规范角度，公司已形成较为成熟的企业管理体系。

治理体系建设方面，2016—2017年，公司董事会下设审计委员会(Audit Committee)，负责监督BBC的财务报告、内部控制和风险管理系统。2017—2018年公司董事会新成立了审计和风险委员会(Audit and Risk Committee，ARC)，主要对委员会责任、成员、成员责任等工作内容进行明确，并突出风险管理的职能，定义与公司目标相关的风险范畴，建立风险评估工具。2018—2019年，审计和风险委员会(ARC)新增对子公司审查的责任，定期召开会议，对控制措施的有效性和管理进行监督；风险识别预警体系建设方面，公司于2018—2019年建立起贯穿企业的战略与运营风险识别流程，形成了一套战略与运营风险衡量体系，通过使用指标与最新的数据对风险变化进行观测，帮助公司深入了解风险管理方式，并继续提供风险预警与风险决策支持；内部控制与风险管理系统有效性评估方面，2018—2019年审计和风险委员会审议了BBC重大风险的流程。委员会对风险状况变化进行定期审查、并对风险管理过程的有效性进行评估。委员会监督BBC全面风险管理的改进情况，在风险报告内披露了更详细的内容，确保风控措施符合公司主要战略与运营目标的要求。

2.英国混合所有制企业典范——英国电信公司(BT)

英国电信(集团)是全球传统固网运营商典型代表，是欧洲领先的电信业务提供商之一。英国电信原先为英国国有企业，由英国邮政总局管理，19世纪80年代通过向市场出售部分股权后成为混合所有制企业。英国电信的主要业务包括英国本土长途业务以及国际电信服务、互联网服务。近年来随着5G时代的到来，通讯产业中异质替代和同质竞争不断加剧，因而如何面对机遇成为英国电信面临的重大挑战。

机构建设方面，2018—2019年，董事会下属设置委员会设置精简，保留执行委员会(Executive Committee)、审计和风险委员会(Audit & Risk Committee)，取消原管理委员会(Governance Committee)和投资委员会(Investment Committee)；风险管理框架建设方面，2018—2019年公司启动一个新的One BT Integrity and Compliance的计划，将风险管理、合规管理、内部审计和其他第二条线风险管理的职能进行整合，建立更全面的、更简化的风险管理。在新的风险管理框架中，董事会、执行委员会、风险管理小组、业务和技术部门分别有相应的责任和义务，遵循公司风险管理体系框架要求，负责识别、应对、监控业务条线中的风险。

3.英国能源行业巨头——英国石油公司(BP)

英国石油公司(BP)，由前英国石油、阿莫科、阿科和嘉实多等公司联合构成，是世界上最大的石油和石化集团公司之一，公司总部设在英国伦敦，目前的资产市值约为2 000亿美元，在百余个国家拥有生产和经营活动。英国是欧盟中能源资源最丰富的国家，主要有煤、石油、天然气、核能和水力等。能源产业在英国经济中占有重要地位，而英国石油公司(BP)，正是作为英国传统能源产业的经典代表。根据2019年《财富》公布的消息，英国石油公司的市值排名全球第七。

英国石油公司的商业模式主要分为上游和下游两种业务模式，其中上游业务集中在石油和天然气勘探、油田开发和生产方面等领域，主要通过5个全球技术和运营功能中心来实现；下游业务包括全球营销和制造业务，它是英国石油公司的产品和服务主导部门，由汽油、柴油、航空燃料、润滑剂、石油化工产品组成。

治理体系建设方面，公司成立董事会及其辖下委员会，包括审计委员会、安全、道德和环境保障委员会、地缘政治委员会。公司成立各专业执行委员会对主要风险监督和治理，执行委员会包括执行团队会议、运营风险委员会、财务风险委员会、披露委员会、道德与合规委员会、投资委员会等；风险管理体系建设方面，公司由管理体系、组织结构、流程、标准、行为准则和行为共同构成了一个风险和内部控制体系，该体系控制着公司如何开展BP业务和管理相关风险(包括了解风险环境，识别具体风险，评估潜在风险、控制已识别风险、定期向管理层和董事会报告重大风险的管理、监控、保证和改进情况)。

(二)英国上市公司在内部控制和风险管理上的特点总结

可以看出，3家企业对体系的具体定义或要求、具体流程、评估工具等不尽相同，如BT启动了新的One BT Integrity and Compliance计划，将风险管理、合规管理、内部审计职能进行整合，建立更全面的、更简化的风险管理等。此外，由于3家所处行业不同，对风险的关注点也有不同侧重，如身处传媒行业的BBC更关注市场竞争压力，BT更关注科技革命带来的冲击和挑战，而BP更关注在上游业务石油和天然气勘探、油田开发等工程中的安全风险。然而3家企业均依照英国在2014年发布的《风险管理，内部控制与相关财务和商业报告指南》要求，按照自身企业的经营特点，建立了相适应的内部控制与风险管理体系，从这个过程中可以总结出这3家企业在内部控制体系建设方面的一些共性特征。

1.内部控制与公司治理准则的结合日益紧密

内部控制与公司治理准则的结合日益紧密是英国内部控制发展的一大特征。英国的内部控制规范体系要求上市企业必须满足《公司法》《上市股票登记规则》《公司治理联合准则》以及《特恩布尔报告》，因此英国的内部控制规范其实是“多头管理”型[15]，每一部规则都对企业的内部控制的要求予以不同层面的侧重，企业有义务按照各方面的要求对企业内部控制体系进行建设。首先，英国法律认为董事长应当为企业的资产负有主要责任，《公司法》要求企业管理者必须建立健全企业的内部财务控制体系，并要求董事长要负责披露信息的真实性，并接受外部审计；其次，英国《公司法》认为，董事会是建立健全内部控制体系的责任主体，并且董事会应当负责审查内部控制的有效性，同时有责任监督内部控制系统。董事应当审查管理层的内部控制报告，并对报告进行年度评估，同时在年报中发布内部控制评估声明。再次，《公司治理联合准则》不仅要求公司董事会负责牵头建立健全一套完整的企业内部控制制度，以及要求董事会负责每年的内部控制的有效性的检查、评估和报告，同时着重要求企业内部控制的检查范围应涵盖所有控制部门，包括财务、运营、合规、风险等方面，并且要求没有设立内审职能的企业应随时对公司各方面的内部审计工作的需求进行评估。最后，《上市股票登记规则》在延续上述要求的同时，又对内部控制的披露情况做出了规定，要求上市公司在年报中充分披露内部控制制度执行的情况，对于没有建立健全内部控制系体系的情况要予以充分的说明。

上述法律以立法的形式，通过对公司治理的制度进行要求，能够促使公司董事会从公司治理的高度来认识和重视公司内部控制系统的建设和维护，同时法律将建立、维护和披露内部控制体系和信息方面的责任赋予上市企业身上，强化了公司董事会作为责任主体去落实相应责任的意思，从而主动地去保护投资者的投资和公司的资产，实现良好的管理效果。从所选择的3家企业来看，均成立了相关委员会专门负责内部控制与风险管理，包括进行审查与监督内部控制与风险管理的有效性、与外部审计师的沟通、评估与应对风险等公司治理活动，可以说对于公司信息的充分披露起到了良好的推动效果。

2.打造以风险管理为导向的广义内部控制管理新体系

《特恩布尔报告》强调，内部控制是由董事会和管理层共同实施，董事会有必要采用风险基础法来建立健全可靠的内部控制系统并复核其有效性，从而对影响经营目标实现有重大影响的风险发生的概率和程度降低到可接受水平；可靠的内部控制系统的控制范围包括经营管理、合规、风险控制、人力资源等，财务控制仅仅是其中一个部分，而内部控制系统的有效性依托于对公司在经营过程中对暴露出来风险的性质和范围维持深入和定期评估；内部控制的目的是帮助适当地管理和控制风险，其涵盖的范围包括公司的政策制定、过程执行、行为控制以及其他方面；内部控制的更新是为了适应管理公司所面临风险的变化等。由此可见，公司内部控制系统的建立、维护和构成要素等，与风险管理结合密切[16]。案例所选3家企业建立健全了全方位的内部控制与风险管理体系，包括但不限于组织架构、管理流程、控制标准、有效性审查流程等，可以说整个内部控制体系都是围绕着风险控制管理为核心进行打造，符合《特恩布尔报告》的精神。

3.强调职责分明的原则

《特恩布尔报告》提出，内部控制的目标包括发现和控制企业风险，保障企业资产免于侵害，明确和落实责任，提高会计信息质量，遵循法律要求，防止财务欺诈等。在2005年后修订颁布的《内部控制联合指引》中更是提出将资产的安全性列为内部控制追求的首要控制目标，并通过资产安全、经营效率及效果、财务报告可靠性和合规等控制目标的实现进行强化。可以看出，所选的3家企业在建立内部控制与风险管理体系的过程中，充分体现了职责分明的原则，董事会、管理层、员工团队等不同角色所相应承担的风险责任和治理的关注点也进行了清楚明确的划分。尤其是英国石油公司，由于其主要资产普遍处于复杂的地缘环境的情况下，因此在传统的董事会机构之外，还设立了环境保障委员会和地缘政治委员会，帮助董事会保持对环境保护和负责地缘政治的风险进行识别，很好地体现了职责分明的内部控制体系设立原则。

4.风险管理侧重业务实质而非规则形式

无论是《公司治理联合准则》还是《特恩布尔报告》，在风险管理方面均充分强调以原则为导向而不是以具体规则要求为导向。《公司治理联合准则》和《特恩布尔报告》并不要求企业要对哪些类型的风险进行控制，而是从公司面临风险的性质和程度、公司可承受风险的程度和类型、风险发生的可能性、减少事故发生的能力以及对已发生风险对经营的影响5个维度给予董事会建立内部控制体系时应当充分考量的因素。对于董事会在年报中的内部控制生命，《公司治理联合准则》和《特恩布尔报告》也仅仅对应当包含哪些方面的内容进行了要求。这种模式给予了公司董事会和管理层充分的空间，可以根据各自的特定情况和特点去建立相适应的内部控制体系，同时也受到了英国企业界和股东们的高度评价，并受到了其他专业机构组织的认可。从案例中年报披露的信息可以看出，3家企业在风险的分类标准上有所区别，BBC将风险分为战略风险和运营风险两种类别；BT将风险分为战略风险、财务风险、合规风险和运营风险4种类别；BP则将风险分为战略及商业风险、安全运营风险、合规控制风险3种类别。尽管3家企业来自不同行业领域，但均从战略与运营角度积极识别与评估风险，并针对风险不断改善应对措施，并且在风险控制对象的选择上均包括了对全球网络科技革新挑战的考量以及对雇员或客户进行关怀的关注，充分体现其对数字化发展和以人为本理念的关注。

5.强调定期复核和报告内部控制的有效性

《公司治理联合准则》和《内部控制指引》要求董事会对内部控制系统有效性进行复核和报告。内部控制体系通过日常复核和年度评估相结合的方式进行检查，其中日常复核是针对管理层或审计委员会提交的内部控制报告进行复核；而年度评估是在复核报告的基础上对所有必要的信息进行补充，并确保年报中公开披露内部控制的所有重大事项、重大金额交易等方面信息的真实有效性。案例中的3家企业均依据指南要求，分别以不同形式在年报内披露了内部控制与风险管理体系框架、企业重大风险与缓解措施，并且由董事会在年报以声明形式对内部控制与风险管理体系有效性、可持续经营假设合理性进行了确认。

四、对国有企业体系建设的管理启示

(一)发挥独立董事在公司治理中的监管能效，提高企业经营效率

当前我国央企董事会存在治理能力不强，董事会对风险管理、内部控制和关联交易等方面的管控效果欠佳的情况[17]。其主要原因是我国国有企业背后的股权单一化问题，大多数企业都是国有独资企业或国有绝对控股企业。单一化的股权结构意味着作为出资人代表的国有资产监管机构通常也集管理和监督职能于一身，从而造成管理职能重叠、职责权限模糊等现象。在这样的情况之下，一方面央企虽然建立了董事会、监事会、股东大会等“三会制度”，但是仍然容易受到内部人的操控，从而导致股东会、董事会、监事会等机构依法履责更是流于形式，难以发挥应有的决策功能和监督作用；另一方面，国内企业中多数独立董事是通过执行董事推荐，或者是其他公司的执行董事，存在潜在的利益冲突，因此难以发挥独立性的作用。对此，上交所早在2001年发布的《关于上市公司建立独立董事制度的指导意见》中，要求上市公司董事会中应包含不少于1/3的独立董事；而在任命独立董事方面，英国建立了完整的独立董事的遴选和任命制度，《卡德伯利报告》(Cadbury Report)提出企业应当成立任命独立董事的专职委员会的要求，《希格斯报告》(Higgs Report)对独立董事的独立性进行了明确的定义，并要求整个任选过程保持透明化，以求通过公开公正的方法，引入合格的独立董事。但是目前我国央企董事会成员中独立董事占比仍然较低，成立了任命独立董事的任命委员会的企业更是少之又少。因此加强董事会建设，建立公正透明的任选机制，积极引入和增加独立非执行董事的席位和比例，减少央企中的代理冲突，才能提高企业经营效率。

(二)加强内部控制与风险管理的联动效应，协助董事会监督职能的高效发挥

传统理论从实务的角度出发，要求企业将风险管理的要求融入日常工作中并构建起三道防线。这三道防线分别是职能和业务部门(第一道防线)、风险管理部门及董事会风险管理委员会(第二道防线)以及内部审计部门以及董事会内部审计委员会(第三道防线)。然而在设立三道防线的思想下，往往不同防线之间存在沟通障碍，跨部门之间的工作也往往存在协调困难，尤其是当重要的风险问题被提出时，高效率的信息分享和协调作业可以迅速地组织起恰当的应对措施。因此，突破三道防线传统形式的禁锢，提升三道防线中的二道和三道的沟通效率，打造“大监督”体系，打造涵盖审计、内部控制、合规、风险等所属企业监事管理等多项职能，建立监督部门间的联动机制，实现计划互通、工作互动、平台互联、信息互享，尤其有利于改善央企这类庞大企业联合体之间风险监督和控制的效率。

(三)加快引进相关信息技术，不断提升公司信息化内部控制及风险管理水平

提升企业信息化水平是当前经济和社会发展的大趋势，信息化水平已成为衡量国家或地区现代化水平的重要标志。大数据时代云计算、物联网等新技术与生产经营深度融合，促进企业风险格局发生快速的变化。信息安全威胁、隐私保护机制随着科技水平的发展进而成为公司关注的重要目标。建立符合公司需求的网络风险标准框架，利用RPA、AI等新技术手段应对信息安全风险、数据隐私风险等新风险，能够实现数据抓取，打通信息孤岛，发挥串联效能，还能最大限度地平衡效率与成本。因此对于企业来说，加强内部控制的信息化建设水平，依托信息处理技术发掘系统中的新变化以进行自动匹配和自动链接，从而减少信息搜索的时间，提高数据库的运行效率，不仅有利于提高内部控制效率和降低内部控制成本，还能为企业的经营决策提供参考依据。

(四)打造融入风险管理指标的绩效考核体系，有助于提高全员对风险管理的敏感度

绩效管理为风险管理提供了管理平台，风险管理同时也丰富了绩效管理的层次和内容。国有企业在绩效体系设计时应充分考虑将风险管理及内部控制工作融入绩效考核机制，调动从管理层到全体员工参与风险管理的积极性，引导员工从被动执行到主动参与的转变，使风险管理真正作为管理工具，以实现企业远景为目标，串联业务与绩效的提高。同时完善问责机制，确保各个层级在风险管理方面的职责明确，并确保其自身在提供准则和指导方面的职责明确。管理层向董事会负责，员工向管理层负责。

(五)塑造良好的企业内部控制与风险管理文化

我国国有企业由于往往处于行业中领先地位，在发展业务的过程中时常需要面临新的风险，这就要求企业要把风险管理能力纳入部门能力建设中。作为内部控制和风险管理的第一道防线，职能和业务部门的基层员工不仅要求具备一定的承担和应对已知风险的能力，并且要求具有识别和评估潜在风险的能力。因此，将风险管理文化建设融入公司文化，树立风险管理能力的新标准，提高员工的风险识别能力，注重在企业内部的风险管控与和谐氛围的培养，帮助员工树立起良好的事业道德，对于构建企业风险防范的长效机制起具有重要的意义。