本文将主要通过分析研究风险、内控和合规管理存在的一致性和差异性，探索构建风险、内控、合规管理协同运作的机制与路径，以期能够解决现实中存在的困扰与问题。

一、“强内控、防风险、促合规”的目标与要求

2019年10月，国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号），提出建立以内控为统领，风险、合规全面融合的“强内控、防风险、促合规”内控体系建设目标。并依次发布《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》（国资厅监督〔2019〕44 号）、《关于做好2021年中央企业内部控制体系建设与监督工作有关事项的通知》（国资厅监督〔2020〕307号）、《关于做好2022年中央企业内部控制体系建设与监督工作有关事项的通知》（国资厅监督〔2021〕299号），突出“强内控、防风险、促合规”目标的实现，将内部控制作为提升防范化解重大风险能力，实现高质量发展的重要基础，要求整合优化内控、风险、合规管理相关制度，完善内控缺陷认定标准、风险评估标准、合规评价标准，构建相互融合、协同高效的内控监督制度体系。

二、风险、内控、合规管理工作的相通与不同

（一）相通之处

1. 在工作目标上的一致性

从目标上来看，风险、内控、合规管理均是以防控风险为目的，为实现经营目标提供支撑和保障。风险管理的过程是要对包括合规风险在内的不确定性的风险进行有效控制。内部控制主要是针对识别的风险，通过制度、流程设计等管理措施、手段和方法，以防控识别的风险，提高经营管理的质效，保障业务活动的依法合规。合规管理则是有效防控合规风险为目的，开展有组织、有计划的内部控制管理活动。

2.在工作内容上的高度重合

首先，从内容和要求来看，风险管理的内容涵盖了合规风险的防控和内部控制的建设，内部控制是风险管理、合规管理的一种手段。风险管理过程要求健全以风险管理为导向的内部控制，通过强化制度建设，规范业务流程，确保内部控制的有效性。合规管理是以有效防控合规风险为目的而开展的各项管理活动，其中包含了风险管理的过程，以及为应对合规风险而采取的内部控制活动。其次，风险、内控、合规有着共同的风险管理流程，即风险管理初始信息收集、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案等。

3.管理要素的一致性

从管理体系建设要素来看，风险、内控、合规管理工作具备基本一致的管理要素，均涉及对组织环境、领导作用、组织机构建设、风险管理流程、信息与沟通、监督评价与改进、资源支持等管理要素要求。

4.运行机制的一致性

除以上所述风险管理机制的一致性之外，风险、内控、合规管理工作在具体运行方面，也体现出高度的一致性，例如三项工作均注重管理评价与考核制度、责任追究和问责机制、重大风险报告和预警机制等内容。在风险管理的信息化建设中，也注重风险管理与合规管理、内部控制、内部审计、纪检监察一体化信息平台的探索建立。而以上关于风险管理、合规管理的机制建设、信息化建设等，本就是内部控制设计的主要内容。

5.风险管理对象和方法的一致性

三项工作均是以风险为管理对象，均是针对风险的管理活动。因此，三者在风险管理的技术方法、控制手段、管理流程等方面具有一致性。

另外，风险、内控、合规的内容都体现在企业管理的各个环节和经营过程，都要求与企业经营管理的各个环节流程的紧密结合，强调在经营管理流程中防控风险。

风险、内控、合规管理工作均强调规章制度的制定、执行和落实。包括合规风险防控在内的风险管理的过程及内部控制措施，需要以规章制度制定和执行予以落实。同时，合规管理亦注重将合规要求，融入业务流程，融入内部控制等管理活动。

（二）不同之处

1.管理体系有不同的侧重

三者的管理体系在内容上不同的是，风险管理体系建设的主要内容体现在针对不确定风险的识别、评估上，更多的是识别出企业面临的风险，并评估出风险的重要性和等级，以采取不同的应对策略、资源配置和应对措施予以控制。而内部控制体系的建设主要内容体现在针对识别的风险，根据不同的风险策略、资源配置等，通过制度、流程，以及风险控制的措施、方法、手段的设计，落实风险的防控。从功能发挥的这个层面上来说，风险管理与内部控制有一定的相互衔接与互补关系存在。而合规管理体系主要是落实法律法规、监管规定等合规义务，保障合规的作用与功能，在具体内容和方法上，则体现在风险管理和内部控制活动中。

2.具体的风险管理内容不同

按照《中央企业全面风险管理指引》中的风险分类，风险可分为：战略风险、市场风险、运营风险、财务风险、法律风险五大类。合规管理主要是针对因违反合规要求而引发的合规风险，其与法律法规、监管政策、行业规范以及规章制度中的合规义务要求联系比较紧密，并以此作为风险内容的依据。而内控活动重点是针对上述不同类型风险的管控活动，包括制度、流程等管理措施、方法、手段的设计等。

3.体现的形式不同

内部控制活动主要体现在企业的制度、流程的设计中，比较显性化，操作性也比较强。而风险管理更多的是针对不确定性的风险，尤其是战略风险、市场风险的应对。合规管理的内容主要在合规要求的落实，体现在规章制度、业务流程等内部控制的活动，同时，也体现在合规文化、合规意识的培养上。

三、风险、内控、合规管理工作有效协同的方法路径

（一）总体思路与实施路径

要实现风险、内控、合规管理工作融合和有效协同，主要还是要解决管理过程中存在的职能交叉、工作重复、效率不高等问题，同时又要满足风险、内控、合规管理体系建设的不同标准和要求，实现风险防控的目的。在三者的整合思路上，则需要准确理解和把握不同管理体系的核心要求、方法与标准，兼顾三者之间的不同侧重和目的、要求，优化风险、内控、合规管理的管理职能与机制流程，以解决交叉重复的问题，实现提升管理质效，有效防控风险的目的。

1. 在整合的范围上，可涉及风险、内控、合规管理的治理原则、组织结构与职责、风险识别方法、制度与流程、运行与保障、评价、监督、持续改善和信息化等。

2. 在整合的方法上，采取制度对标，即识别所需融合的各个管理体系标准与规则，以融合后的要求为基准对组织开展评价、对标梳理，形成统一的治理要求和体系文件并确保其嵌入组织管理职责、制度及内部业务过程。

3.在实施的路径上

（1）管理目标与原则的整合

结合自身管理实践，针对融合或协同的需求，收集、整理、汇总各项标准与规则，制定统一的管理原则、目标。

（2）组织机构整合

结合企业现有的组织机构与职能，融合的各个管理体系标准与规则，明确统一的治理结构职责及权限，统一领导风险、内控、合规管理工作。整合不同管理体系的管理职能，明确风险、内控、合规管理工作的职责分工，实现职能与工作上的有效协同。

（3）制度体系整合

融合的各个管理体系标准与规则，整合梳理风险、内控、合规制度要求，对不同管理体系标准中相同的要求进行合并，相近的要求进行融合，同时兼顾差异化管理要求，协调相关制度规定与工作流程，形成统一的治理要求和体系文件，并确保其嵌入组织管理职责、制度及内部业务过程。

例如，制度体系文件一般包括三个层次，包括纲领性文件（如管理手册）、规章制度（如各层级管理制度、办法）、操作规范（如作业指导书）等。企业可根据自身的经营管理实际，整合风险、内控、合规的标准要求，制定统一的风险、内控与合规的管理手册，满足不同管理体系的标准要求。针对各重点业务制度和流程，分别嵌入风险、内控、合规管理的要求，编制具体业务的规章制度、操作规范。通过对制度流程中管理标准和要求的整合，实现在同步的管理流程中，实现风险、内控与合规管理的目标，避免交叉重叠、重复劳动的问题。

（4）运行机制整合

企业可结合自身经营管理实际，结合风险、内控、合规管理的风控目标及管理标准和要求，在风险管理的计划、实施、检查、整改、信息共享、独立报告、能力培训、考核评价等方面实现同计划、同部署、同实施、同检查、同考核。

（二）典型实践案例

实践1：某企业基于法治框架的“四个协同”

      实践2：某企业基于内控体系框架的整合管理

 实践3：某企业以风险管理引领的“四合一”整合管理