風險、合規(guī)、內(nèi)控“三位一體”管理體系建設將成為國有企業(yè)新形勢下改革轉(zhuǎn)型升級、提質(zhì)增效工作的重要保障，為企業(yè)高質(zhì)量發(fā)展保駕護航。

上期【國企改革觀象臺】專欄文章以政策文件為理論基礎，結(jié)合企業(yè)實踐經(jīng)驗，總結(jié)了“三位一體”管理體系融合的原則與方法、踐行路徑和價值成效。本期文章將在充分總結(jié)企業(yè)實踐經(jīng)驗的基礎之上，分享“三位一體”體系實現(xiàn)有機融合的實踐方式及可操作的方法。

企業(yè)需要通過構建一套頂層設計、一條“三位一體”管理體系營建路徑、一套具體工具，來解決“三位一體”管理體系誰來管、管什么、怎么管、怎么保障、怎么落地的實際問題，形成全面覆蓋、精準防控、落地可行、切合實際的企業(yè)管理工具，實現(xiàn)“一套管控體系，不同管控視角，多維管控成效”的目標。

一、聚焦重點——厘清“三位一體”管控對象

以公司發(fā)展戰(zhàn)略、經(jīng)營目標為出發(fā)點，結(jié)合公司組織架構及職能分工，了解并梳理企業(yè)為實現(xiàn)戰(zhàn)略及經(jīng)營目標所開展的核心經(jīng)營活動及重點業(yè)務領域，作為推進“三位一體”管理的對象及抓手，也是“三位一體”體系建設的基礎工作。

重點業(yè)務領域的梳理可以結(jié)合《中央企業(yè)合規(guī)管理指引》和《中央企業(yè)合規(guī)管理辦法》中涉及的重點領域及合規(guī)風險較高的業(yè)務，以及《企業(yè)內(nèi)部控制基本規(guī)范》和18項應用指引的建議，并結(jié)合公司的具體經(jīng)營實際，做到目標為導向、業(yè)務全覆蓋、領域有重點。

二、靶向發(fā)力——收集內(nèi)外部合規(guī)信息

厘清了公司的重點業(yè)務領域及關鍵環(huán)節(jié)后，最終目的是為了發(fā)現(xiàn)企業(yè)潛在的風險（包含合規(guī)風險）。因此，企業(yè)還需要收集并熟悉重點業(yè)務領域及關鍵環(huán)節(jié)所應遵守的內(nèi)外部監(jiān)管規(guī)定及其變化，為公司未來內(nèi)外部合規(guī)義務辨識、風險識別、風險應對提供參考依據(jù)。如下是企業(yè)應定期收集并持續(xù)關注變化的內(nèi)外部合規(guī)信息類別：

建議企業(yè)各部門由專人負責定期收集及更新相關領域的外部法律法規(guī)信息，并記錄該合規(guī)信息涉及的業(yè)務領域、效力級別、法規(guī)標題、發(fā)文機關、實施和發(fā)布時間、獲取網(wǎng)址等，定期匯總形成全公司的《合規(guī)數(shù)據(jù)庫》，以便于后續(xù)公司對外部法律法規(guī)信息的查閱、使用、管理及更新。

三、踐行規(guī)范——明確內(nèi)外部合規(guī)義務

基于公司的經(jīng)營業(yè)務活動，從各經(jīng)營業(yè)務及職能領域的重點經(jīng)營活動及關鍵事項出發(fā)，根據(jù)收集到的各類內(nèi)外部合規(guī)信息，系統(tǒng)性地從內(nèi)外部監(jiān)管規(guī)定及企業(yè)內(nèi)部規(guī)章制度中識別并分析其對具體業(yè)務活動開展過程中每個行為的合規(guī)義務及合規(guī)要求、屬于的合規(guī)義務類型、合規(guī)義務摘要、約束對象、違反合規(guī)義務條款責任所產(chǎn)生的違規(guī)后果、違規(guī)責任類型、該合規(guī)義務在公司內(nèi)部的主要負責部門及崗位等，形成《合規(guī)義務清單》。

四、全面洞悉——識別合規(guī)及經(jīng)營風險

企業(yè)基于已識別到的合規(guī)義務，結(jié)合企業(yè)自身業(yè)務特點與運營特色，識別風險各類驅(qū)動因素，例如經(jīng)營理念、經(jīng)濟環(huán)境、行業(yè)政策、產(chǎn)業(yè)鏈趨勢等。通過收集各類內(nèi)外部風險事件的相關數(shù)據(jù)，從各驅(qū)動因素的層面分析誘發(fā)風險的重要成因與對企業(yè)自身的影響程度，從而做到對企業(yè)經(jīng)營過程中各類切實風險的識別，識別涵蓋外部監(jiān)管合規(guī)義務、內(nèi)部控制運營的薄弱環(huán)節(jié)、各關鍵業(yè)務領域的風險及風險事件等，形成《三位一體風險庫》，包含專項業(yè)務領域、分級（通?？蓜澐譃橐?、二、三級）風險名稱、各級風險描述、各風險的關鍵風險指標、風險主責部門等要素內(nèi)容。

五、整合聯(lián)動——建立協(xié)同聯(lián)動管控措施

結(jié)合外部合規(guī)義務及風險管理要求，通過“外規(guī)內(nèi)化”完善企業(yè)內(nèi)部規(guī)章制度及管控措施，在防控各類風險、滿足外規(guī)監(jiān)管要求的前提下，明確各個領域、各項工作、各個環(huán)節(jié)的業(yè)務流程、管理要點、崗位職責等具體管控措施，形成《風險合規(guī)內(nèi)控管理手冊》（以下簡稱《手冊》），保障業(yè)務的有效開展。

《手冊》涵蓋各業(yè)務流程的控制目標、風險描述、適用范圍、相關制度和政策、流程說明、業(yè)務流程圖、風險控制矩陣及權責矩陣，為企業(yè)各項業(yè)務的開展提供直觀、清晰的實踐指引，是企業(yè)從經(jīng)驗化管理到系統(tǒng)化、標準化管理轉(zhuǎn)型的重要成果?！妒謨浴分懈黜椓鞒堂鞔_涉及到的合規(guī)要點、風險事項，將合規(guī)義務融入業(yè)務流程，將風險要素嵌入管理措施，在使用《手冊》執(zhí)行業(yè)務流程的過程中，實現(xiàn)將風險意識與合規(guī)意識潛移默化地轉(zhuǎn)移至員工的思維中，有效提升工作效能。

《手冊》中流程圖可采用特定且不同的圖形符號，更加形象直觀的展示應對外部法律法規(guī)和監(jiān)管合規(guī)要求的內(nèi)部控制措施、應對企業(yè)面臨的關鍵經(jīng)營風險的內(nèi)部控制措施，實現(xiàn)將合規(guī)及風險管控要求有機的融合于內(nèi)部控制管理之中，降低流程執(zhí)行過程不合規(guī)及可能面臨的風險。

六、落實責任——明晰職能授權

全面厘清企業(yè)各部門、各崗位的職能職責及授權范圍，通過運用不同標識，梳理和優(yōu)化各關鍵業(yè)務事項誰提交、誰審核、誰審批、誰配合、誰備案，實現(xiàn)各環(huán)節(jié)責任精準落實到崗，壓實“三位一體”管理職責到人，保障管理體系有依托、可落地、可操作、可執(zhí)行。

七、數(shù)字賦能——管控方式信息化

加強信息化頂層謀劃，通過運用信息化手段，將風險及合規(guī)關注點融合嵌入信息系統(tǒng)權責設置、關節(jié)流程節(jié)點中，健全風險、合規(guī)、內(nèi)控“三位一體”信息化管理功能，實現(xiàn)三體系控制活動信息化。通過系統(tǒng)固化及剛性約束，有效推動“三位一體”管理體系的落地運行。

八、行穩(wěn)致遠——搭建運行保障機制

建立風險、合規(guī)、內(nèi)控“三位一體”管理體系的運行保障機制，通過定期的風險識別及評估機制，持續(xù)收集公司內(nèi)外部風險管理、合規(guī)管理、內(nèi)控管理的各類信息（包括外部法律法規(guī)及監(jiān)管要求變化），調(diào)整各項風險應對及管控措施，監(jiān)控風險的應對情況。對已經(jīng)不再適用的風險或風險管控措施進行調(diào)整，同時結(jié)合風險檢查中發(fā)現(xiàn)的設計有效性問題，持續(xù)優(yōu)化“三位一體”管理體系的管理工具及公司規(guī)章制度，增進一體化管控成效，確保“三位一體”管理體系持續(xù)健康發(fā)展。

九、閉環(huán)管理——動態(tài)監(jiān)督評價及完善

建立“三位一體”管理體系考核機制及事項報告機制，結(jié)合開展“三位一體”管理體系有效性評價，通過以評促建的方式，識別并整改“三位一體”管理體系的問題或漏洞，不斷健全管理制度，優(yōu)化管理流程，規(guī)范經(jīng)營行為，完善體系建設，培育具有企業(yè)特色的風險、合規(guī)及內(nèi)控管理文化，推動公司整體管理水平提升，實現(xiàn)風險、合規(guī)、內(nèi)控“三位一體”管理體系的動態(tài)閉環(huán)管理。

通過建立及運行風險、合規(guī)、內(nèi)控“三位一體”管理體系，實現(xiàn)動態(tài)收集各類風險信息及法律法規(guī)監(jiān)管要求，識別及評估企業(yè)面臨的各類風險及合規(guī)要求的變化，不斷完善風險及合規(guī)要求應對措施，彌補管理薄弱點，真正的將風險管理和合規(guī)管理要求與業(yè)務流程的管控充分融合，促使企業(yè)依法合規(guī)開展各項經(jīng)營活動，推動企業(yè)實現(xiàn)“一套管控體系，不同管控視角，多維管控成效”的目標。