案例分享：大型国企法律、合规、风险、内控一体化管理体系实践

［摘要］

企业如何就法律、合规、风险、内控管理体系进行有效衔接、协调统一；如何进一步整合管理资源，提升管理效能，从而避免职能交叉、工作重复、合力不足、效率不高、效果不显著等一系列问题。京城机电结合自身实际，建立四位一体化的风险管理体系，对法律事务管理、合规管理、风险管理、内部控制有关组织机构、工作目标、工作内容、方法、机制以及工作流程等进行有机整合，将原本独立的法律风险管理体系、合规管理体系、经营风险管理体系及内部控制体系进行融合，建立平台统一、信息共享、流程整合、功能强化、协调运转的风险一体化管理体系，为其他企业整合风险管理资源、融合风险管理职能，提升依法治企能力及风险管理水平，建立真正有效的、适应新形势市场竞争需要的一体化的风险管理模式进行了探索，提供了可以推广、借鉴的风险管理模式。

一、背景

为促进国有经济持续健康发展，防范企业风险，国务院国资委及北京市国资委对国有企业建立健全法治体系、合规管理体系、全面风险管理体系以及内部控制体系均提出了明确要求。按照市国资委的管理要求，2007年8月起，京城机电制定《法律事务管理制度》，成立法律事务中心，逐步建立法律风险防范体系；2013年，京城机电启动内控体系建设工作，并于2015年完成内控体系建设；2017年9月，京城机电制定《经营风险防控体系建设方案（试行）》以及《风险信息库》，初步建立经营风险防范体系；2018年2月起，北京市国资委陆续开展研讨会、组织宣传培训并下发《市管企业合规管理工作实施方案》，京城机电启动合规管理体系建设。

上述法律、合规、风险、内控管理工作，由于启动时间不同，监督实施主体不同，京城机电按照上级要求逐步推进，四大体系建设先后分别由三个部门负责，法律合规工作由法律事务部门负责，风险管理由运营管理部门负责，内控建设由财务部门负责。相应地，京城机电对所属下级单位的法律、合规、风险、内控管理，也由不同部门分别开展。工作推进过程中，存在职能交叉、工作重复、合力不足、效率不高、效果不显著等一系列问题。如何构建既满足国资监管要求，又符合公司实际、有效运行的风险管理体系，并能够适应市场竞争新形势，深入推进国企改革转型升级，成为京城机电亟需解决的课题。

为解决上述问题，京城机电成立了专项课题工作组，通过走访调研内外部企业，对公司高管及管理岗位人员进行访谈，组织外部风险管理专家论证，梳理法律、合规、风险、内控的内涵、管理流程、体系、区别与联系等，经过大量工作，专项课题工作组研究发现，四项职能不是对立的，而是协调统一的，可以进行有机融合。只要对法律事务管理、合规管理、风险管理、内部控制有关组织机构、工作目标、工作内容以及工作流程等进行有机整合，建立一体化管理平台，并有效实施，就能构建平台统一、信息共享、流程整合、功能强化、协调运转的法律、合规、风险、内控一体化管理体系（简称“风险一体化管理体系”）。在改革转型、攻坚克难的大背景下，构建与实施风险一体化管理体系显得尤为迫切：

图1  风险一体化管理内涵图

（一）管理成本降低、提高效率的需要

京城机电风险管理职能分散，为“多头”管理模式，即法律、合规管理职能在法律事务中心，风险管理职能在战略运营部，而内部控制建设职能在计划财务部，三个部门分别开展管理活动，存在管理“三张皮”现象。另外，合规管理、内控管理、风险管理的流程均包含风险识别、风险评估、风险控制、监督与改进等环节，多个部门各自开展工作，存在重复管理、资源浪费等问题，也给所属下级单位造成了工作负担。所以，为降低管理成本，提高管理效率，必须对四项职能进行融合提升，整合流程，共享信息，构建统一管理平台。

（二）风险管理真正落地、发挥实效的需要

近年来，因外部环境影响，京城机电案件高发、风险较大，亟需采取有效措施防范风险。然而，公司风险管理职能不仅分散，职能也相对边缘化，并且由于风险管理部门和内控建设部门分离，风险管理部门识别风险后也无法直接修订完善流程、落实控制活动，风险管理未能有效落地。为应对以上问题，切实有效发挥风险管理职能作用，必须进行职能融合，确定专门的风险一体化管理归口部门，协调统一地开展工作。

（三）适应新形势下市场竞争、改革转型升级的需要

随着新一轮的经济新常态的到来，京城机电迎来了新的挑战，一方面是外部市场竞争形势日益严峻，另一方面则是内部体制机制、管理模式的制约日益凸显。京城机电风险管理体系建设是公司转型升级、提质增效工作的重要保障。对现有风险管理资源进行整合提升，可以构建良性闭环的公司经营发展管理链条，进而推动国企改革转型升级，所以，京城机电亟需构建起强而高效的风险管理体系，为公司经营发展保驾护航。

调研发现，大量中央企业以及北京市属国有企业与京城机电所处的环境相似，执行的法律文件一样，开展风险管理的时间也大致相同，京城机电风险管理面临的问题并不是个体性问题。京城机电在调研过程中发现，大量中央企业和北京市属国企在风险管理体系构建上面临同样的问题，如何进行职能整合、发挥实际效果是大量国企面临的共同难题。如能实现职能的有机整合，将是我国国有企业风险管理的一次重要尝试，不仅能够减少企业管理成本，也能进一步提高企业管理效率。另外，近年来党中央高度重视风险防范，强调坚持底线思维，提高防控能力，着力防范化解重大风险，中美贸易摩擦形势也复杂多变，美欧日三方联合声明，意图限制我国国有企业发展，内外部环境均对企业风险管理以及合规经营提出了更高的要求，而将法律、合规、风险、内控进行一体化管理的探索将具有非常重要的意义。

二、内涵及做法

（一）法律、合规、风险、内控一体化管理体系的内涵

京城机电法律、合规、风险、内控一体化管理体系是在原独立的法律风险管理体系、合规管理体系、经营风险管理体系及内部控制体系基础上建立的深度融合、协调运转的风险一体化管理体系，是公司经营管理体系的重要组成部分。

风险一体化管理，指公司从实际出发，为避免职能交叉、资源浪费，提高风险防范能力，对法律事务管理、合规管理、风险管理、内部控制有关组织机构、工作目标、工作内容、方法、机制以及工作流程等进行有机整合，成立风险一体化管理平台、组建归口管理部门，命名为法律风控中心，进行统一归口管理。在风险管理框架下，以风险管理为导向，内部控制和合规管理纳入风险管理基本流程，法律事务管理提供专业支持和保障，构建平台统一、信息共享、流程整合、功能强化、协调运转的风险一体化管理体系。

（二）法律、合规、风险、内控一体化管理体系的组织架构

图2  “两级管控、三道防线”体系图

1.建立“两级管控，三道防线”管控机制

京城机电风险一体化管理实行“两级管控，三道防线”管控机制，公司总部统一领导，指导所属企业开展法律、合规、风险、内控工作，公司总部和所属企业分别负责本企业的工作。

“两级管控”，指公司总部与所属企业两级管控。公司总部，建立并实施风险一体化管理；所属企业，贯彻落实公司对所属企业法律、合规、风险、内控管理工作的各项要求及规章制度规定，结合实际，建立健全本企业法律、合规、风险、内控管理体系，接受公司对本企业的指导、管理和监督。

“三道防线”，指公司总部和所属企业均应建立风险管理三道防线，各业务部门为风险管理第一道防线；风险管理归口部门为风险管理第二道防线；内审部门、纪检监察部门为风险管理的第三道防线。上级单位风险管理三道防线分别对下级单位风险管理三道防线具有业务指导和监督职责。

2.强化组织领导，各司其职

图3  总部风险一体化管理组织机构图

京城机电建立由董事会（包含董事会下设的专门委员会）、监事会、经营管理层、风险一体化管理归口部门、风险管理具体责任部门、风险管理监督部门及所属企业组成的风险一体化管理组织架构。

（1）公司董事会是公司风险一体化管理的最高决策机构。

（2）公司董事会下设法治与风险委员会、审计委员会，对董事会负责，并根据《公司章程》《公司董事会专门委员会工作规则》履行风险一体化管理有关职责。

（3）公司监事会是公司风险一体化管理的监督机构，负责监督董事会、经理层建立与实施风险一体化管理。

（4）公司总经理办公会负责组织领导公司风险一体化管理的建设和日常运行。

（5）公司总法律顾问是公司风险管理的负责人，负责领导公司风险一体化管理归口部门开展日常工作，协调指导跨领域、跨部门的风险一体化管理相关事项，组织落实董事会、总经理办公会关于风险一体化管理的议决事项以及指导、协调、推进风险一体化管理其他有关工作。

（6）公司法律风控中心是公司风险一体化管理归口部门，在公司总法律顾问领导下，具体负责风险一体化管理体系的建设和整体运转，负责风险一体化管理工作的组织协调，并指导所属企业开展风险管理工作。

（7）公司业务部门是风险管理具体责任部门，各部门负责人是部门风险管理工作负责人。公司建立风险联络员机制，各部门负责人指定一人为部门风险管理联络员。

（8）公司审计部负责公司风险管理工作的评价审计监督，公司纪检监察部负责执纪问责。

（9）所属企业参照公司制度，结合企业实际，建立企业风险管理体系。所属企业可以将法律、合规、风险、内控四项职能进行一体化管理或分别设置，分别设置的应明确牵头部门。所属企业应在企业管理层中明确风险管理负责人，并可在其下设置风险管理部门。所属企业风险管理负责人，由总法律顾问或主管法律工作的领导担任。

（三）法律、合规、风险、内控一体化管理体系的制度建设

图4  风险一体化管理制度体系

京城机电建立风险一体化管理“1 N”制度体系，为工作推进提供坚实的制度基础。“1”指《法律、合规、风险、内控一体化管理制度》，是公司风险一体化管理纲领性文件，对职能融合、体系融合、组织机构及职责、基本管理模式、基本管理流程等予以明确。“N”指在基本制度框架之下，通过合同管理办法、法律纠纷管理办法、内控合规手册、内控合规评价手册等对具体事项进行细化规定，从而构建风险一体化管理制度体系。

（四）法律、合规、风险、内控一体化管理体系的基本管理流程

京城机电重点从风险评估、风险控制、报告与监控、宣传培训、监督与改进、考核与责任追究六个方面，对风险一体化管理工作进行闭环管理，不断优化风险一体化管理体系。

图5  风险一体化管理流程

1.风险评估

京城机电每年收集与公司风险管理相关的内部、外部初始信息，对收集的风险管理初始信息和各项业务管理流程进行风险辨识、分析和评价，并根据内部条件和外部环境，围绕公司经营目标，确定风险偏好、风险承受度等，选择风险承担、风险规避、风险转移、风险控制等适合的风险管理策略，针对各类风险制定风险管理解决方案。

风险评估工作定期开展，实施动态管理，对新的风险和原有风险的变化及时进行重新评估，并及时总结和分析已制定的风险管理策略及解决方案的有效性和合理性，结合实际情况不断修订和完善。

2.风险控制

风险评估后，公司将风险应对策略、风险应对措施、法律合规要求等嵌入到各业务流程、各业务活动中，融入各项规章制度，循序渐进的优化内部控制，使公司在正常运营过程中自发的防止错误、提高运行效率。同时，公司落实合同、制度、重大决策三项法律审核，开展合规审查，有效防范风险。

2020年3月，公司开展总部制度全面梳理工作。通过制度“立、改、废”，清理现有制度，实现规章制度“瘦身”，并将外部监管、法律合规、风险管理要求全面嵌入规章制度、工作标准及业务流程，从而完善公司内部管理制度体系。

公司部分所属企业内控体系建设主要依赖中介机构，存在业务流程与企业实际脱节、部分业务流程缺少有效控制等情形。为解决前述问题，提高风险防控能力，健全风险管控体系，2020年6月，公司启动重要业务领域关键业务流程标准制定工作。结合公司总部及所属企业经营实际，公司聚焦销售业务、采购业务、资产管理、资金活动、产品研发、合同管理、生产管理等重要业务领域，梳理查找流程缺陷，根据关键环节的控制要求和风险应对措施，研究制定关键业务流程标准“N”条，并要求企业结合企业实际根据“N”条流程标准完善本企业业务流程、制度及风险管控体系，并确保有效执行。

3.报告与监控

公司建立风险报告与监控预警机制。公司总部各部门对职责范围内的风险，所属企业对本企业的风险进行日常监控预警和重点监控。总部各部门及所属企业在发现重大风险或风险隐患时，按照管理权限、管理层级及时上报，并由风险一体化管理归口部门向公司总经理办公会报告。

4.宣传培训

公司注重推进风险管理文化建设，每年针对领导干部、业务部门人员、风险管理有关人员等不同受众设计不同主题，通过多种途径和形式，有针对性的开展法律、合规、风险、内控宣传培训工作，促进提升风险一体化管理水平，提高全员风险意识，保障风险一体化管理目标的实现。

5.监督与改进

公司及时跟踪、监督风险一体化管理状况，根据监督结果对风险一体化管理工作进行改进与提升，确保风险一体化管理工作的效果。总部各部门及所属企业每年对风险管理有关工作进行自查，及时发现缺陷并改进。公司风险一体化管理归口部门每年对总部各部门和所属企业风险管理体系建设及运转状况进行检查，提出调整或改进建议。公司审计部每年对风险管理有效性进行评价，法律、合规、风险管理制度建设及实施情况纳入审计部原内控体系监督评价范畴。

6.考核与责任追究

公司强化风险管理考核与责任追究，将风险管理纳入企业经营绩效考核，并按照法律法规及公司规章制度进行责任追究。

三、效果

（一）管理效益

1.体系整合、降本增效

京城机电将法律、合规、风险、内控进行一体化管理，避免职能交叉、多头管理，建立统一的归口管理部门，设置法律风控中心；将合规管理、内部控制嵌入风险管理基本流程，以法律事务管理为专业支持和保障，形成一体化的管理流程，避免重复劳动；共享信息和资源，法律纠纷案件、审计等反映的问题能够及时纳入风险信息库，风险识别及控制不仅有利于外规内化、确保合规经营、防范风险，也有利于法律事务的事前管控，四项职能有机融合，相辅相成，有效降低管理成本，提高效率。

2.各项职能充分发挥作用

（1）法律

在风险一体化管理体系下，全面推进公司法治建设，加强案件及合同管控。公司建立系统500万元以上重大案件向公司总经理办公会报告机制及重大案件台账、包案机制，有效促进重大案件解决。公司推进落实合同100%法律审核，建立重大合同评审机制，规范合同签订，防范法律风险，遏制新发重大案件。

（2）合规

结合京城机电实际，按风险管理基本流程，加强重点领域、重点环节、重点人员合规管理，聚焦商业活动合规审查、上市公司合规管理、境外企业合规管理、采购销售合规管理、商业道德合规管理等领域。

（3）风险

侧重建立健全风险管理体系，执行风险管理基本流程，以重大风险的管理和重要流程的内部控制为重点，将风险管理各项要求切实融入公司管理和业务流程中，确保风险管理工作有效落地。

（4）内控

内部控制作为公司风险一体化管理的重要抓手之一，公司在风险一体化管理体系下，有效发挥内部控制作用，以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，关注高风险领域高风险业务流程，建立符合公司实际的内部控制。

3. 建立专业风险管理人才队伍

公司通过内部培养及市场化选聘，打造了一支全部通过国家司法考试或注册会计师考试，取得法律职业资格或注册会计师资格的专业人才队伍。并且，京城机电加强风险管理人才培养储备，通过“分级 派驻”的管理模式，将风险管理人才输送到所属企业担任总法律顾问兼风险管理负责人，以派驻人员为抓手，使所属企业风险管理工作有效开展并真正落地。目前，京城机电已经形成良好的风险管理人才选、用、育、留机制，建立起一支专业的风险管理队伍。

（二）经济效益

1.保障企业健康持续发展

经过两年来的工作推进，公司已建立风险一体化管理组织体系，制定了风险一体化管理制度，风险管理流程有效进行，风险一体化管理体系落地。北一机床、京城股份、京城环保、京城置地等重点子企业，已结合企业实际，建立企业风险管理体系，重点管控工程项目、资金活动、资产管理、合同管理、销售、采购及业务外包等领域，为企业生产经营、改革发展提供保障。

2.重大风险、重大诉讼案件得到有效管控

风险一体化管理体系建立后，公司按照制度规定，开展风险管理工作，执行风险管理流程，严控风险。公司法律风控中心参与公司重大收购4项、重大重组清算2项、混合所有制改革2项，涉及金额近20亿元，为公司经营决策全过程防范重大风险；对公司销售领域、建设工程项目开展合规内控检查，发布合规经营指导意见，防范重点领域重大风险；对企业2016年以来签订的合同及有关事项开展全面风险排查；开展风险评估，吸收采纳法律纠纷案件、审计、巡视等发现的问题，定期更新风险信息库；公司总部开展制度全面清理工作，并结合企业生产经营情况开展重要业务领域和关键环节控制流程标准梳理及制定；同时，有效防范风险，公司系统案件总量和总金额连续多年上升趋势得到遏制，2019年，案件总量同比下降20.24%，涉案总金额同比下降13.13%，预计2020年案件总量和涉案总金额将持续下降。

面对新形势下市场竞争新常态，建立风险一体化管理体系能够有效遏制公司重大诉讼案件、重大风险事件突出、频发的态势，能够推动重大诉讼案件解决，化解重大风险事件，提升了公司整体运营质量和水平，为公司经营发展保驾护航。

（三）社会效益

对法律、合规、风险、内控四项职能进行有机整合，建立风险一体化管理体系会产生较大的社会“辐射”效应，具体如下：

1.使风险管理理念深入人心，形成风险管理文化

为适应市场化、现代化、国际化发展需要，风险管理已经成为现代企业管理必不可少的环节，是企业健康可持续发展的根本保障，也是市场经济下企业参与市场竞争、确保合法合规经营的重要举措。进行风险一体化管理，能够极大整合人员力量，凸显风险管理效果，风险管理真正落地，使风险管理理念深入人心，建立起廉洁自律、重视风险、诚信经营、依法合规的企业风险管理文化。

2.为其他企业提供可推广、借鉴的风险管理模式

北京市国资委在《关于全面推进市属国企法治建设的意见》中明确提出：“建立由总法律顾问领导，法律事务机构牵头，相关部门共同参与、齐抓共管的合规管理工作体系，研究制定统一有效、全面覆盖、内容明确的合规制度准则，加强合规教育培训，努力形成全员合规的良性机制。探索建立法律、合规、风险、内控一体化管理平台。”风险一体化管理，不仅能够有效落实国资委、财政部等对法律、合规、风险、内控制定的各项管理规定，也落实了国资委关于一体化管理平台的建设要求。现阶段，大多国有企业乃至民营企业仍旧是法律合规、风险内控分属不同的管理条线，随着合规体系建设工作的全面开展，企业普遍面临的困惑就是法律、合规、风险、内控管理体系如何有效衔接，协调统一，如何进一步整合管理资源，进一步提升管理效能，而风险一体化管理是解决这一课题的有效思路。京城机电结合自身实际，实行四位一体化的风险管理体系，其价值不仅在于解决自身风险管理体系建设的问题，更重要的意义在于为其他企业整合风险管理资源、融合风险管理职能，提升依法治企能力及风险管理水平，建立真正有效的、适应新形势市场竞争需要的一体化的风险管理模式进行了探索，提供了可以推广、借鉴的风险管理模式。

四、展望与思考

京城机电结合公司实际，融合职能体系，建立法律、合规、风险、内控一体化管理体系。风险一体化管理体系构建及实施过程中，公司主要负责人高度重视，把风险一体化管理工作纳入公司全局工作统筹谋划，为公司推进风险一体化管理工作奠定了基础。目前，公司风险一体化管理体系已实现公司系统全面覆盖，并有效运转。下一步，公司将结合“十四五”战略规划及公司经营实际，持续推进风险一体化管理工作，加大重点业务领域、重点业务流程管控力度，提升信息化水平，推动信息系统的集成应用，不断完善风险一体化管理体系，切实提高公司抗风险能力，确保依法合规经营，努力实现高质量发展。

来源：北京京城机电控股有限责任公司

内控管理师（ICMP）、职业经理人资格认证等事宜也可以私聊小编

本位摘自网络，如有侵权请尽快与小编取得联系，感谢大家关注点赞