建設(shè)風險管理體系、內(nèi)部控制體系、合規(guī)管理體系，應(yīng)依照哪些規(guī)則、標準/規(guī)范、邏輯和流程？該設(shè)定什么樣的目標？應(yīng)完成哪些工作內(nèi)容？工作可靠性（包括工作數(shù)量、工作質(zhì)量、工作時效性）如何？形成怎樣的能力？達到什么水平？對照標準/規(guī)范要求、監(jiān)管要求、國內(nèi)外企業(yè)最佳實踐，對標世界一流企業(yè)，差距有多少？持續(xù)改進/提升的方向、尺度、路徑和內(nèi)容是什么？要回答上述問題，企業(yè)應(yīng)具備清晰的認知及恰當?shù)暮饬糠椒ā?/p>

風險管理、內(nèi)部控制、合規(guī)管理成熟度評價

構(gòu)建績效和管理能力“成熟度評價模型”，需要明確成熟度衡量要素，設(shè)定成熟度衡量尺度。數(shù)年來，針對風險管理、內(nèi)部控制、合規(guī)管理能力及其成熟度方面的評價邏輯和方法，不少組織、機構(gòu)及學者、專家開展了研究和評測，發(fā)表了評價要素與水平尺度。這些評價在研究、應(yīng)用上仍在推進，還不能完全表征業(yè)界的共識。

業(yè)界容易接受并產(chǎn)生共識的評價要素主要有三個來源：一是政府監(jiān)管機構(gòu)、組織等發(fā)布的規(guī)則、框架提出的必備要素，這個來源往往關(guān)注要素要求，較少推薦實施方法；二是國際國內(nèi)廣為認可的專業(yè)機構(gòu)、團體等發(fā)表的標準/規(guī)范/框架，這類框架展示的往往是行業(yè)實踐；三是世界一流組織、機構(gòu)、企業(yè)等展示的體系建設(shè)和運行卓越實踐。

考慮體制、行業(yè)、國際/國內(nèi)等因素，基于國際上廣為認可的COSO：2017“企業(yè)風險管理——整合戰(zhàn)略與績效”、COSO：2013“內(nèi)部控制整合框架”及ISO37301：2021“合規(guī)管理體系要求及使用指南”所闡述的要素/原則關(guān)注點，借鑒“企業(yè)管理：CERM模型——實現(xiàn)資產(chǎn)保值和增值”模型及世界一流企業(yè)的優(yōu)秀實踐，綜合考慮組織和企業(yè)風險管理體系、內(nèi)部控制體系、合規(guī)管理體系建設(shè)的充分性、適宜性、有效性、引領(lǐng)性，主要關(guān)注文化建設(shè)、制度/規(guī)范建設(shè)、機制建設(shè)、體系規(guī)則/規(guī)制秉持性、體系要素覆蓋性、過程管控力、資源配置和體系運用的模式/模型/技術(shù)/方法/工具、體系平臺/信息化能力建設(shè)和引領(lǐng)性等，本文構(gòu)建了附表所示的“企業(yè)風險管理、內(nèi)部控制、合規(guī)管理成熟度評價模型”。此模型為組織、企業(yè)在風險管理、內(nèi)部控制、合規(guī)管理三個領(lǐng)域設(shè)定了“初始級、規(guī)范級、可度量級（精確管理）、優(yōu)化級”四個等級的度量層級。

參照“企業(yè)風險管理、內(nèi)部控制、合規(guī)管理成熟度評價模型”，基于對工作內(nèi)容和進展狀況的了解，筆者對當今國有企業(yè)在風險管理、內(nèi)部控制、合規(guī)管理領(lǐng)域建設(shè)成熟度給出如下參考評價意見。

風險管理成熟度評價 國有企業(yè)中，極少數(shù)或較少數(shù)企業(yè)處于初始級，大多數(shù)企業(yè)處于規(guī)范級，部分企業(yè)處于可度量級，少數(shù)企業(yè)處于優(yōu)化級；一些企業(yè)處于初始級與規(guī)范級、規(guī)范級與可度量級、可度量級與優(yōu)化級之間。當下，多數(shù)國有企業(yè)可能未踐行COSO：2017“企業(yè)風險管理——整合戰(zhàn)略與績效”標準，內(nèi)部控制體系建設(shè)存在“第二道風險防線制度建設(shè)不充分”等缺陷，合規(guī)管理體系仍處于在建或不完善階段。整體上看，國有企業(yè)風險管理成熟度水平與世界一流企業(yè)相比存在較大差距，一些評價要素還存在顯著的差距和不足。

內(nèi)部控制成熟度評價 國有企業(yè)中，鮮有企業(yè)處于初始級，大多數(shù)企業(yè)處于規(guī)范級，部分企業(yè)處于可度量級，少數(shù)企業(yè)處于優(yōu)化級；一些企業(yè)處于初始級與規(guī)范級、規(guī)范級與可度量級、可度量級與優(yōu)化級之間。當下，諸多國有企業(yè)可能沒有執(zhí)行COSO：2013“內(nèi)部控制整合框架”評價準則，不少企業(yè)存在“第二道風險防線制度建設(shè)不充分”等缺陷。整體來看，國有企業(yè)內(nèi)部控制水平與世界一流企業(yè)相比，存在較大差距，一些評價要素還存在顯著的差距和不足。

合規(guī)管理成熟度評價 目前，大多數(shù)國有企業(yè)正處于合規(guī)管理體系強化建設(shè)期。國有企業(yè)合規(guī)管理體系整體上處于初始級與規(guī)范級之間，一些企業(yè)屬于規(guī)范級，少數(shù)企業(yè)處在規(guī)范級與可度量級之間。整體來看，國有企業(yè)合規(guī)管理體系水平與世界一流企業(yè)相比還存在顯著的差距和不足。

因此，國有企業(yè)風險管理體系、內(nèi)部控制體系及合規(guī)管理體系的建設(shè)與運行應(yīng)遵循系統(tǒng)工程理念、思想、理論、技術(shù)和方法。系統(tǒng)化推進、專業(yè)化實施，推動企業(yè)朝著全面風險管理框架和內(nèi)部控制框架整合管控水平邁進從而顯著推進國有企業(yè)管理與國際先進接軌及國際化發(fā)展進程，強勁支撐企業(yè)管理轉(zhuǎn)型升級和核心競爭力提升。

風險管理、內(nèi)部控制、合規(guī)管理治理

治理可定義為“對于管理的管理”，解決的是如何更好地進行管理的問題，為管理提供指導(dǎo)，并對管理進行監(jiān)督，確保正確的工作被有效執(zhí)行。風險管理治理、內(nèi)部控制治理與合規(guī)管理治理是指用于指導(dǎo)風險管理、內(nèi)部控制、合規(guī)管理的框架、職能和流程，包含價值體系、政策、職責、流程和程序，表征了組織相關(guān)方之間權(quán)責利關(guān)系的制度安排，主旨是恰當?shù)卦O(shè)置組織內(nèi)不同責任主體的角色、職責和權(quán)限，責任是設(shè)定目標、提供管理制度環(huán)境、配置資源、界定目標實現(xiàn)方式、監(jiān)控管理過程、管理績效等。

風險管理治理、內(nèi)部控制治理與合規(guī)管理治理應(yīng)將風險管理、內(nèi)部控制、合規(guī)管理視為一個整體，實施系統(tǒng)化、一體化建設(shè)，實現(xiàn)專業(yè)化管理；要構(gòu)建管理模式，基于適宜的管理模型，確保制度有效實施，并建立多方遵守的契約機制；要以技術(shù)創(chuàng)新和管理創(chuàng)新克服管理要素間的約束和限制，形成管理要素間的共生關(guān)系；要統(tǒng)籌謀劃、多方參與，優(yōu)化思維模式，提升認知能力，跳出管理抓管理。

風險管理治理、內(nèi)部控制治理與合規(guī)管理治理不僅是企業(yè)主要負責人、分管領(lǐng)導(dǎo)、職能部門的事，其體系建設(shè)與運行的實施者、管理者、監(jiān)管者（三道防線）都要在其位、謀其政、盡其職、負其責。企業(yè)不能漠視風險管理、內(nèi)部控制、合規(guī)管理存在的問題，必須強調(diào)管理層的責任，強化風險管理、內(nèi)部控制、合規(guī)管理，配置與企業(yè)合規(guī)內(nèi)控風控能力及水平相匹配的資源，建好協(xié)同機制。企業(yè)職能部門應(yīng)擔好管理和服務(wù)雙重角色，促進風險管理、內(nèi)部控制、合規(guī)管理職能之間的深度融合及與相關(guān)管理體系在組織結(jié)構(gòu)、業(yè)務(wù)建設(shè)和實現(xiàn)流程上的真正融合。企業(yè)治理體系、管理體系和合規(guī)內(nèi)控風控的職能部門應(yīng)與業(yè)務(wù)部門相互協(xié)同，促進企業(yè)價值最大化和風險管理、內(nèi)部控制、合規(guī)管理目標的實現(xiàn)。

當下，推進風險管理治理、內(nèi)部控制治理、合規(guī)管理治理的體系建設(shè)與運行，要按其內(nèi)涵要義專業(yè)化設(shè)置相應(yīng)的職能部門，明晰各自的職責、分工界面和相互關(guān)系，避免“兩張皮”。同時，在確認并強化風險管理、內(nèi)部控制、合規(guī)管理三大職能的系統(tǒng)化管理、專業(yè)化分工前提下，厘清職能部門及其他業(yè)務(wù)部門與業(yè)務(wù)風險管理、內(nèi)部控制、合規(guī)管理之間的關(guān)系。未來，風險管理、內(nèi)部控制、合規(guī)管理應(yīng)按全部組合、部分組合甚至一體化方向，統(tǒng)籌職能設(shè)置與管理，抑或與相關(guān)管理體系（如質(zhì)量管理體系、綜合管理體系等）全面結(jié)合，實現(xiàn)融合建設(shè)與管理。面向過程和面向結(jié)果都不可或缺。有效的風險管理、內(nèi)部控制、合規(guī)管理及其治理會促進企業(yè)成功，能為顧客提供滿意的產(chǎn)品，能產(chǎn)生更多、更好的過程資產(chǎn)，支撐組織擁有核心技術(shù)、固化產(chǎn)品與產(chǎn)業(yè)載體，形成競爭優(yōu)勢。

系統(tǒng)上，風險管理治理、內(nèi)部控制治理、合規(guī)管理治理應(yīng)建立組織相關(guān)方協(xié)同、合作、共享的價值網(wǎng)絡(luò)和生態(tài)型商業(yè)模式。企業(yè)應(yīng)提升專業(yè)化能力，發(fā)揮集聚效應(yīng)，弘揚企業(yè)特色文化；應(yīng)致力于設(shè)計好與企業(yè)利益相關(guān)方的交易結(jié)構(gòu)，使利益相關(guān)方有完成交易的動力，實現(xiàn)交易結(jié)構(gòu)最簡、交易結(jié)構(gòu)動態(tài)更新優(yōu)化，控制并降低治理角色承擔的風險，擺脫規(guī)模效益和效率遞減、經(jīng)營風險和管理難度遞增的困擾，優(yōu)化商業(yè)模式，創(chuàng)新機制。每一個利益相關(guān)方都應(yīng)做好自身風險管理、內(nèi)部控制、合規(guī)管理，都要為并且能夠為企業(yè)的風險管理、內(nèi)部控制、合規(guī)管理的目標實現(xiàn)和企業(yè)的發(fā)展貢獻價值。

合規(guī)是企業(yè)推進現(xiàn)代企業(yè)制度建設(shè)、實現(xiàn)做強做優(yōu)做大做好做久的前提和關(guān)鍵。尚沒有企業(yè)，能夠做到完全合規(guī)。幾乎無一例外，企業(yè)業(yè)已發(fā)生、出現(xiàn)的許多失敗、不達預(yù)期、相關(guān)方不滿意，很大程度上是因為不合規(guī)、不按要求做、內(nèi)控不到位、風險防控不力。國有企業(yè)對風險管理治理、內(nèi)部控制治理、合規(guī)管理治理的研究、認知與體系建設(shè)仍較為有限，治理和管理混淆不分，治理體系不健全，治理能力欠缺，治理方法不足。要實現(xiàn)治理體系與治理能力現(xiàn)代化，至少要抓好三項治理工作。

第一，完善、修定、優(yōu)化企業(yè)全面風險管理辦法，以此作為風險管理、內(nèi)部控制、合規(guī)管理及其治理的最高規(guī)則，全面、系統(tǒng)、充分覆蓋組織治理、發(fā)展戰(zhàn)略和經(jīng)營管理等全過程，明確并完善優(yōu)化組織風險管理體系建設(shè)的總體目標與原則、治理結(jié)構(gòu)與職能配置、風險偏好與文化（包括風險素養(yǎng)要求）、政策制度體系、流程與方法、資源配置等關(guān)鍵要素，明確內(nèi)部控制體系、合規(guī)管理體系及各類管理體系的角色。

第二，健全規(guī)范治理層面的“風險管理委員會”的角色定位與職能權(quán)責，以統(tǒng)籌企業(yè)風險管理方面的相關(guān)工作。制定基于風險管控，體現(xiàn)量化要求，具備風險針對性、可操作性的“企業(yè)風險管理委員會工作指南（規(guī)范）”，細化量化工作規(guī)則、標識、成效、考評，促使“風險管理委員會”負責任、有作為、起作用，力避不為、怕為、盲為、亂為。

第三，提升各級領(lǐng)導(dǎo)班子、技術(shù)/管理骨干和全員在風險管理、內(nèi)部控制、合規(guī)管理及治理方面的專業(yè)素養(yǎng)和專業(yè)能力。思想上要充分重視，要真正落實各級各類各層次黨委、領(lǐng)導(dǎo)、全員的主體責任，提升認知，落實政策。國有企業(yè)管理頂層和各級治理主體要在合規(guī)管理、內(nèi)部控制、風險管理上提出明確的“強化”要求和考評要求，建立各級各類人員掌握崗位工作必備的“風險管理、內(nèi)部控制、合規(guī)管理”應(yīng)知（法律、法規(guī)、規(guī)章制度、標準、規(guī)范、知識等）、應(yīng)會（理論、模式、技術(shù)、方法、工具等）、應(yīng)備（技能、能力、素養(yǎng)等），納入全員績效考核。建立健全風險管理、內(nèi)部控制、合規(guī)管理教育培訓機制、責任落實機制、投入機制、協(xié)同機制、評價機制、激勵機制、報告機制、防范機制、審核機制、問責機制、整改機制等一體化落實機制。

合規(guī)管理是底線，內(nèi)部控制是手段，防住風險是目標。缺乏良好的治理，即使有很好的管理體系也無法實現(xiàn)企業(yè)價值；沒有管理體系支撐，單純的治理也難以有效地創(chuàng)造價值。治理是管理良好實施的驅(qū)動因素，有效的治理和有力的管理是企業(yè)高質(zhì)量發(fā)展、企業(yè)成功的必備條件。