浅谈电网企业风险、内控、合规管理体系的统筹建设

●刘海洋

一、引言

目前，电网企业内部各类体系化监督管理活动较多，并且各个体系互相独立。除纪检、监察、巡视巡察等党内专责监督体系外，在经营管理层面还有风险、内控和合规管理三个较为完整和独立的监督评价体系。实际上，风险、内控和合规管理无论是出于上级管理要求还是电网企业经营管理需要，都会强调与企业经营管理活动相融合，突出为企业发展战略提供服务保障。因此，电网企业完全可以统筹建设风险、内控和合规管理体系，从而通过一套管理工具实现企业风险监督工作的落地，降低管理成本，提高监督效率。

二、风险、内控和合规管理的区别点和共同点分析

（一）区别点

1.合规管理是基础。《中央企业合规管理指引（试行）》所称合规，是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。合规管理通过对企业和员工的行为是否合规进行监督和评价，对违规行为进行审查，对合规风险进行有效预防，避免企业违反内外部法律制度规范，从而为企业经营提供一种有序安全的环境。

2.内控管理是支柱。《企业内部控制基本规范》所称内控，是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内控管理的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。内控管理不但要求目标合规，还要求对合规所依据的规则本身是否完善、规则是否执行以及规则执行的过程是否有效。如果说合规更注重结果，那么内控就更重视过程。

3.风险管理是顶层。《中央企业全面风险管理指引》所称风险，指未来的不确定性对企业实现其经营目标的影响，一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。风险管理通过在企业管理的各个环节和经营过程中执行风险管理基本流程，培育良好的风险管理文化，建立健全包括内控管理体系在内的全面风险管理体系，从而为实现风险管理的总体目标提供合理保证。

（二）共同点

从管理方式来看，三个体系在风险管理流程方面基本一致，即遵循“收集风险信息-进行风险评估-制定管理策略-实施解决方案-监督与改进”风险管理流程。从管理目标来看，三个体系均包含了经营管理合法合规、有效防控合规风险的目标。合规致力于让企业一切经营管理和员工行为合乎规范；内控致力于让企业所有工作的开始、过程和结果都按照严格的标准和程序执行；风险则致力于保障企业在战略、财务、市场、运营和法律五个层面以可接受的成本保护和创造价值，三者均致力于为企业保驾护航，保障企业行稳致远。

三、电网企业风险、内控、合规体系统筹建设的必要性和建设路径分析

（一）必要性

1.从国家政策层面看，推动风险、内控及合规管理体系统筹建设是大势所趋。国务院国资委在2018 年《中央企业合规管理指引（试行）》中要求“推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接，确保合规管理体系有效运行”；在2019年《关于加强中央企业内控体系建设与监督工作的实施意见》中，要求建立“以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系”。

2.从电网企业风险管理工作实际运行效能来看，风险、内控、合规三个体系运行效率低下的问题日益突出。一直以来，电网企业风险、内控和合规管理三个体系均分别独立建设，各自由相应的归口部门管理，企业需对这三项工作分别按照不同的格式、内容和程序对上级进行报告及披露。三个体系间缺乏协同、管理活动及内容交叉、管理成本高等问题逐渐显现凸显。三个体系加以统筹建设后，可以全面、系统地进行企业风险管理的顶层框架设计，形成统一高效的基础管理平台，有效避免内容缺失、交叉、重叠和不一致现象。综上所述，从响应国家政策、提升企业运行效能的角度，推动风险、内控及合规体系统筹建设十分必要。

（二）建设路径

三个体系统筹建设的目的是为了提高风险、内控与合规管理工作本身的效率，减少三种风险管控活动之间的重复性工作。国务院国资委在《关于加强中央企业内控体系建设与监督工作的实施意见》中明确提出要“建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系，将风险管理和合规管理要求嵌入业务流程，促使企业依法合规开展各项经营活动，实现强内控、防风险、促合规的管控目标，形成全面、全员、全过程、全体系的风险防控机制”，明确了通过建设具有更广泛内涵和更高效的内控体系，实现风险、内控与合规体系统筹建设的创新思路。

通过前述对于三个体系异同点的分析，从三者内涵来看，合规管理小于内控，内控小于风险管理；从三者落地运行的工具方法来看，合规与内控都可以按照清单（手册）+制度+流程+信息化系统的模式运作，内控同时还具有注重风险管理过程和结果的优势。鉴于其核心意义上的从属关系，企业可以将合规管理制度纳入到内部控制制度体系中去，作为内部控制制度一个重要部分来进行详细的规定，其在管理和评价的基本原则上应该和内部控制的基本原则保持一致 。风险管理更注重对风险的预判但缺少有效的管控工具，如果将风险管理与内控体系建设工作对接，通过内控管理特有的流程控制措施落实风险管控，不失为一种有效的方式。因此，从可行性层面来说，以内控体系建设为抓手统筹三个体系的建设是最具有操作意义的。

落实以内控体系建设为总抓手的三个体系统筹建设工作，可以通过对管控环境、评估活动、控制活动以及信息系统建设等几个方面着手，突出实用性和可操作性，确保风险一体化管理在实际工作中落地。

1.风险管控环境的统筹建设。风险管控环境位于内控管理的顶层，它是企业实施有效内控的基础。风险控制环境首先源于企业权力机构和管理层。因此，不管是风险、内控还是合规，企业权力机构如董事会、监事会等，企业高层如董事长、总经理等，都需要主动介入，并传递出统一的声音，形成有利的控制环境。风险管控环境需要在企业决策和执行两个层面展开统筹建设，在决策层面，企业可以在董事会专业委员会层面设立内控管理委员会，由企业“一把手”担任主要负责人，负责组织领导企业内控工作；在执行层面，企业可以将风险、内控、合规工作职能统一划归一个部门，比如法规部门，负责统筹开展相关工作。应该说，管控环境层面的统筹建设是做到减少管理重复、实现风险管控最直接有效的方式。

2.风险评估活动的统筹建设。风险评估是管理各种风险（合规风险、战略风险、营运风险、财务风险、信息风险）的决策基础。内控的风险识别与分析，比合规的风险识别与分析要广，包括企业整体业务层面的风险，也包括单个业务或项目层面的风险。但是，在风险评估中，管理层所用的评估方法是可以通用的，每个业务领域的潜在风险，以及风险发生的时间和概率及其影响范围，是一致的，故风险、内控与合规在统筹建设过程中，可以用同样的评估方法，共用一套风险信息库和风险评估表。实践中，应以风险为导向，合规为基础，确定工作流程中的重要控制点，细化风险控制手段，明确职责分离和分级授权等要求，在沿用现有管理手册的基础上，根据需要对所涉风险、操作流程等维度进行补充和细化，实现“一套管理体系，不同管控视角，多维管控成效” 。

3.风险控制活动的统筹建设。风险控制活动是三个体系最核心的要素，其贯穿于整个企业经营管理全过程。内控管理的控制活动可分为预防性措施和检查性措施，包括一系列手工控制和自动化控制，如授权、审批、绩效评价等，职责分离是其中最基本的控制措施。采购、销售、投资管理、资金管理、工程项目及产权交易等业务领域的岗位职责权限要相互衔接、相互制衡和相互监督。其中，风险、合规管理均可以以内控管理为抓手，将风险辨识结果进行分类，通过相应的流程和控制加以落实，同时，还可以将风险管理策略和解决方案与企业有关内设部门职责范围、工作事项合理对应，利用内控工具实现风险、合规管理的落地。

4.信息系统的统筹建设。对于风险、内控和合规管理而言，信息系统都是不可或缺的元素，企业业务流程的信息化应用以及管理方式的创新也是企业提升风险、内控和合规管理的重要途径。内控管理部门与业务部门以及信息化部门协同配合，将风险、内控和合规管理要求融入企业各类业务信息系统，突出信息系统对业务管理和内控管理的双重执行。一方面，企业可以提升各类业务流程的信息化和互联互通程度，实现业务数据的线上化和信息有效共享；另一方面，企业可以利用大数据、云计算和人工智能等技术，实现内控在信息系统中的实时监测、自动预警和监督评价等在线监管功能，使信息系统能够为业务管理和内控管理提供双重服务，提高内控制度和管理的执行力，最终实现风险、内控和合规体系与业务信息系统的互联互通、有机融合。

五、结语

电网企业作为关系国计民生的重要国有骨干企业，有必要统筹建设以内控为抓手的风险、内控和合规一体化管理平台，稳步提高企业竞争力和抗风险能力，有效应对外部环境不确定性，为企业长期可持续发展奠定坚实的基础。