企业风险管理、内部控制、合规管理成熟度评价和治理

建设风险管理体系、内部控制体系、合规管理体系，应依照哪些规则、标准/规范、逻辑和流程？该设定什么样的目标？应完成哪些工作内容？工作可靠性（包括工作数量、工作质量、工作时效性）如何？形成怎样的能力？达到什么水平？对照标准/规范要求、监管要求、国内外企业最佳实践，对标世界一流企业，差距有多少？持续改进/提升的方向、尺度、路径和内容是什么？要回答上述问题，企业应具备清晰的认知及恰当的衡量方法。

风险管理、内部控制、合规管理成熟度评价

构建绩效和管理能力“成熟度评价模型”，需要明确成熟度衡量要素，设定成熟度衡量尺度。数年来，针对风险管理、内部控制、合规管理能力及其成熟度方面的评价逻辑和方法，不少组织、机构及学者、专家开展了研究和评测，发表了评价要素与水平尺度。这些评价在研究、应用上仍在推进，还不能完全表征业界的共识。

业界容易接受并产生共识的评价要素主要有三个来源：一是政府监管机构、组织等发布的规则、框架提出的必备要素，这个来源往往关注要素要求，较少推荐实施方法；二是国际国内广为认可的专业机构、团体等发表的标准/规范/框架，这类框架展示的往往是行业实践；三是世界一流组织、机构、企业等展示的体系建设和运行卓越实践。

考虑体制、行业、国际/国内等因素，基于国际上广为认可的COSO：2017“企业风险管理——整合战略与绩效”、COSO：2013“内部控制整合框架”及ISO37301：2021“合规管理体系要求及使用指南”所阐述的要素/原则关注点，借鉴“企业管理：CERM模型——实现资产保值和增值”模型及世界一流企业的优秀实践，综合考虑组织和企业风险管理体系、内部控制体系、合规管理体系建设的充分性、适宜性、有效性、引领性，主要关注文化建设、制度/规范建设、机制建设、体系规则/规制秉持性、体系要素覆盖性、过程管控力、资源配置和体系运用的模式/模型/技术/方法/工具、体系平台/信息化能力建设和引领性等，本文构建了附表所示的“企业风险管理、内部控制、合规管理成熟度评价模型”。此模型为组织、企业在风险管理、内部控制、合规管理三个领域设定了“初始级、规范级、可度量级（精确管理）、优化级”四个等级的度量层级。

参照“企业风险管理、内部控制、合规管理成熟度评价模型”，基于对工作内容和进展状况的了解，笔者对当今国有企业在风险管理、内部控制、合规管理领域建设成熟度给出如下参考评价意见。

风险管理成熟度评价 国有企业中，极少数或较少数企业处于初始级，大多数企业处于规范级，部分企业处于可度量级，少数企业处于优化级；一些企业处于初始级与规范级、规范级与可度量级、可度量级与优化级之间。当下，多数国有企业可能未践行COSO：2017“企业风险管理——整合战略与绩效”标准，内部控制体系建设存在“第二道风险防线制度建设不充分”等缺陷，合规管理体系仍处于在建或不完善阶段。整体上看，国有企业风险管理成熟度水平与世界一流企业相比存在较大差距，一些评价要素还存在显著的差距和不足。

内部控制成熟度评价 国有企业中，鲜有企业处于初始级，大多数企业处于规范级，部分企业处于可度量级，少数企业处于优化级；一些企业处于初始级与规范级、规范级与可度量级、可度量级与优化级之间。当下，诸多国有企业可能没有执行COSO：2013“内部控制整合框架”评价准则，不少企业存在“第二道风险防线制度建设不充分”等缺陷。整体来看，国有企业内部控制水平与世界一流企业相比，存在较大差距，一些评价要素还存在显著的差距和不足。

合规管理成熟度评价 目前，大多数国有企业正处于合规管理体系强化建设期。国有企业合规管理体系整体上处于初始级与规范级之间，一些企业属于规范级，少数企业处在规范级与可度量级之间。整体来看，国有企业合规管理体系水平与世界一流企业相比还存在显著的差距和不足。

因此，国有企业风险管理体系、内部控制体系及合规管理体系的建设与运行应遵循系统工程理念、思想、理论、技术和方法。系统化推进、专业化实施，推动企业朝着全面风险管理框架和内部控制框架整合管控水平迈进从而显著推进国有企业管理与国际先进接轨及国际化发展进程，强劲支撑企业管理转型升级和核心竞争力提升。

风险管理、内部控制、合规管理治理

治理可定义为“对于管理的管理”，解决的是如何更好地进行管理的问题，为管理提供指导，并对管理进行监督，确保正确的工作被有效执行。风险管理治理、内部控制治理与合规管理治理是指用于指导风险管理、内部控制、合规管理的框架、职能和流程，包含价值体系、政策、职责、流程和程序，表征了组织相关方之间权责利关系的制度安排，主旨是恰当地设置组织内不同责任主体的角色、职责和权限，责任是设定目标、提供管理制度环境、配置资源、界定目标实现方式、监控管理过程、管理绩效等。

风险管理治理、内部控制治理与合规管理治理应将风险管理、内部控制、合规管理视为一个整体，实施系统化、一体化建设，实现专业化管理；要构建管理模式，基于适宜的管理模型，确保制度有效实施，并建立多方遵守的契约机制；要以技术创新和管理创新克服管理要素间的约束和限制，形成管理要素间的共生关系；要统筹谋划、多方参与，优化思维模式，提升认知能力，跳出管理抓管理。

风险管理治理、内部控制治理与合规管理治理不仅是企业主要负责人、分管领导、职能部门的事，其体系建设与运行的实施者、管理者、监管者（三道防线）都要在其位、谋其政、尽其职、负其责。企业不能漠视风险管理、内部控制、合规管理存在的问题，必须强调管理层的责任，强化风险管理、内部控制、合规管理，配置与企业合规内控风控能力及水平相匹配的资源，建好协同机制。企业职能部门应担好管理和服务双重角色，促进风险管理、内部控制、合规管理职能之间的深度融合及与相关管理体系在组织结构、业务建设和实现流程上的真正融合。企业治理体系、管理体系和合规内控风控的职能部门应与业务部门相互协同，促进企业价值最大化和风险管理、内部控制、合规管理目标的实现。

当下，推进风险管理治理、内部控制治理、合规管理治理的体系建设与运行，要按其内涵要义专业化设置相应的职能部门，明晰各自的职责、分工界面和相互关系，避免“两张皮”。同时，在确认并强化风险管理、内部控制、合规管理三大职能的系统化管理、专业化分工前提下，厘清职能部门及其他业务部门与业务风险管理、内部控制、合规管理之间的关系。未来，风险管理、内部控制、合规管理应按全部组合、部分组合甚至一体化方向，统筹职能设置与管理，抑或与相关管理体系（如质量管理体系、综合管理体系等）全面结合，实现融合建设与管理。面向过程和面向结果都不可或缺。有效的风险管理、内部控制、合规管理及其治理会促进企业成功，能为顾客提供满意的产品，能产生更多、更好的过程资产，支撑组织拥有核心技术、固化产品与产业载体，形成竞争优势。

系统上，风险管理治理、内部控制治理、合规管理治理应建立组织相关方协同、合作、共享的价值网络和生态型商业模式。企业应提升专业化能力，发挥集聚效应，弘扬企业特色文化；应致力于设计好与企业利益相关方的交易结构，使利益相关方有完成交易的动力，实现交易结构最简、交易结构动态更新优化，控制并降低治理角色承担的风险，摆脱规模效益和效率递减、经营风险和管理难度递增的困扰，优化商业模式，创新机制。每一个利益相关方都应做好自身风险管理、内部控制、合规管理，都要为并且能够为企业的风险管理、内部控制、合规管理的目标实现和企业的发展贡献价值。

合规是企业推进现代企业制度建设、实现做强做优做大做好做久的前提和关键。尚没有企业，能够做到完全合规。几乎无一例外，企业业已发生、出现的许多失败、不达预期、相关方不满意，很大程度上是因为不合规、不按要求做、内控不到位、风险防控不力。国有企业对风险管理治理、内部控制治理、合规管理治理的研究、认知与体系建设仍较为有限，治理和管理混淆不分，治理体系不健全，治理能力欠缺，治理方法不足。要实现治理体系与治理能力现代化，至少要抓好三项治理工作。

第一，完善、修定、优化企业全面风险管理办法，以此作为风险管理、内部控制、合规管理及其治理的最高规则，全面、系统、充分覆盖组织治理、发展战略和经营管理等全过程，明确并完善优化组织风险管理体系建设的总体目标与原则、治理结构与职能配置、风险偏好与文化（包括风险素养要求）、政策制度体系、流程与方法、资源配置等关键要素，明确内部控制体系、合规管理体系及各类管理体系的角色。

第二，健全规范治理层面的“风险管理委员会”的角色定位与职能权责，以统筹企业风险管理方面的相关工作。制定基于风险管控，体现量化要求，具备风险针对性、可操作性的“企业风险管理委员会工作指南（规范）”，细化量化工作规则、标识、成效、考评，促使“风险管理委员会”负责任、有作为、起作用，力避不为、怕为、盲为、乱为。

第三，提升各级领导班子、技术/管理骨干和全员在风险管理、内部控制、合规管理及治理方面的专业素养和专业能力。思想上要充分重视，要真正落实各级各类各层次党委、领导、全员的主体责任，提升认知，落实政策。国有企业管理顶层和各级治理主体要在合规管理、内部控制、风险管理上提出明确的“强化”要求和考评要求，建立各级各类人员掌握岗位工作必备的“风险管理、内部控制、合规管理”应知（法律、法规、规章制度、标准、规范、知识等）、应会（理论、模式、技术、方法、工具等）、应备（技能、能力、素养等），纳入全员绩效考核。建立健全风险管理、内部控制、合规管理教育培训机制、责任落实机制、投入机制、协同机制、评价机制、激励机制、报告机制、防范机制、审核机制、问责机制、整改机制等一体化落实机制。

合规管理是底线，内部控制是手段，防住风险是目标。缺乏良好的治理，即使有很好的管理体系也无法实现企业价值；没有管理体系支撑，单纯的治理也难以有效地创造价值。治理是管理良好实施的驱动因素，有效的治理和有力的管理是企业高质量发展、企业成功的必备条件。