随着合规强化年、国企深化改革行动的开展，持续推动内控管理、风险管理、合规管理乃至法务管理（以下简称“内控、风险、合规、法务”）整合升级是国有企业管理体系建设的发展趋势。但是国有企业普遍存在未能正确认识四体系的关系，加之不同的国有企业经营的实际和所处的行业以及管理现状存在差异，对合规管理建设的需求不尽相同。

本文结合国有企业合规管理体系建设的政策理论研究和大量实务工作案例，提出了体系协同的“道”与“术”，总结并展示了实务工作中的具体项目方案和管理工具样例，以期帮助国有企业探索契合其实际需求的“最优解”。

基于内控、风险、合规、法务的管控目标及运行机制具有共同的目标及高度的同质性，在开展国有企业合规管理体系建设中，笔者经常被企业问到的是“已经做过内控管理、风险管理，为什么还要做合规管理？”“搭建合规管理体系怎么和其他管理体系相融合，能否有一套体系进行全面管理，从而在实现风险防控的同时也能兼顾管理的效率？”

如何构建既满足监管要求，又符合企业实际、有效运行的管理体系，成为近些年被广泛探讨的话题。不少央国企宣称构建了“合规内控风险一体化管理”，一些中介机构推出“合规内控风险三合一手册”等一体化管理产品，也有专家提出一体化模型或体系协同方法论。内控、风险、合规、法务整合升级并没有标准的答案，目前，业界对于合规与内控、风险、法务的关系以及如何整合升级主要存在以下两种看法：

一是认为需要构建一套一体化融合的管控体系[1]。通过顶层设计、路径营建、具体工具来解决“一体化融合”管理体系中谁来管、管什么、怎么管、怎么保障、怎么落地的实际问题，实现“一套管控体系，不同管控视角，多维管控成效”的目标。

另一种则是认为央国企在推进合规管理体系建设过程中，经历了从“一体化融合”到“协同运转”的探索过程。从内控、风险、合规、法务“四位一体”或法务、合规、内控、审计、风险“五位一体”，甚或包括了追责、纪检、巡视巡察等在内的“N位一体”转变为企业合规与内控、风险、法务等“协同”运作。认为不存在某种管理体系的“一统天下”，而是统筹协同，避免交叉重复，提高管理效能[2]。

基于实践观察，我们认为，合规、风险、内控、法务系深化国资国企改革推进高质量发展过程中，基于不同时期国资监管要求、企业发展阶段而推动的重点工作。对于四者的关系和企业改革的管理要求也经历了政策演变过程。

（图1 国资监管体系政策演变路径）

虽然他们有着相同的管理目标——防范风险，且在工作内容、管理要素等方面存在相通之处，但是各体系在侧重点、管理的内容、体现的形式[3]等层面存在较大差异。

对于国有企业而言，合规管理是新鲜事物，在强监管、重合规的大环境下，需要基于合规视角厘清合规管理与其他管理体系的差异。且适逢近两年正在强化推动合规管理工作，可以依托合规管理建设和深化的契机，进而结合企业实际找寻“体系管理最优解”。

对于合规与内控、风险、法务的区别，业界专家和外部中介机构也从不同角度探讨四者关系，多从央企的政策文件制定角度进行文献分析和比较研究，以大监督或者大风险为主导或是从大风险和大内控视角进行解读。

鉴于近年来央国企落实“全面覆盖”的基本原则，推进“大合规”建设，要求嵌入经营管理的各环节、覆盖全过程、涉及全体员工。笔者选择从公司层面出发，基于大合规的视角，简要分析合规与内控、风险、法务的区别。

（一）合规管理

合规管理是以有效防范合规风险为目的。合规风险导致的后果，除了给企业带来经济赔偿、声誉（商誉）损失外，还可能使企业面临行政处罚甚至刑事处罚，这些对企业来说，都是致命的，因此才说合规风险具有根本性、底线性的特点。此外，合规管理是包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动，还关注“四梁八柱”的闭环体系建设。

合规管理：不做错事

重点：四梁八柱、清单体系、闭环管理

（二）风险管理

风险管理负责识别、评估、监控和应对企业面临的各种风险，是从顶层角度关注全面风险的防控，结合企业的战略发展需求明确企业的风险偏好，通常与实现经营目标有关；从内容上通常被分类为：战略风险、市场风险、运营风险、法律风险、财务风险；从风险发生的后果进行分类，也被划分为纯粹风险（只会带来损失，不会带来收益的风险，这个角度而言，合规风险可以被归为全面风险的子集）；机会风险（既可能带来损失，也可能获得收益的风险）。

风险管理：做正确的事

重点：风险识别、风险预警、风险管控应对

风险管理关注“大而全”的风险防控，负责“管总”，合规风险则更聚焦，“管细”；合规管理注重“建体系”，营造合规文化，形成体系闭环。

（三）内控管理

内部控制是实现风险防控目标的载体和手段，防范合规风险本身就是内控的目标之一。内控采用标准化、规范化的方式，用一系列流程、方法、工具、措施、标准建立控制环境，对资金流、实物流、人力流、信息流实行有效监管，保障企业权责设置执行到位和财务报告的准确性且更关注企业内部效率的提升；内控起源于企业的财务管理，更多体现的是财务思维和逻辑。

内控管理：正确做事

重点：授权管理、不相容岗位分离、内控流程和关键节点

合规与内控互为基础，广泛交叉，合规所“合”的广义的“规”也包括“内规”。二者的本质区别在合规侧重防范来自外部的法律规范风险，负责“主外”，内控侧重从内部流程设计的有效性防控风险发生，负责“主内”。

（四）法务管理

法务管理是深化法治建设的抓手也是企业合规管理的补充，保障企业经营过程中能在各级法规框架下开展工作。对于央国企而言，国务院国资委自2005年起开始强化国有企业法制（治）管理，2011年9月，国务院国资委召开了中央企业法治工作会议，明确提出了中央企业法制工作第三个三年目标：中央企业及其重要子企业规章制度、经济合同和重要决策的法律审核率全面实现100%。自此，三个100%法律审核要求沿着国务院国资委－中央企业－中央企业下属子企业及地方国资委－各级地方国企的链条全方位传递到了几乎所有国有企业。

法务管理：补充

重点：法律咨询、法律审查、案件纠纷管理

法务管理更侧重在事中、事后进行处理与补救，相对而言是“被动”的，而合规管理是有组织有计划的“主动”行为，是在事前划红线、提要求。

从监管的要求来看，2023年8月1日正式实施的《中央企业案件纠纷管理办法》进一步彰显了国务院国资委将强法治、防风险作为重点任务，指导中央企业有效防范法律风险，切实加强案件管理，维护国有资产安全。2024年3月27日，国务院国资委印发《关于做好2024年中央企业内部控制体系建设与监督工作有关事项的通知》（国资厅监督〔2024〕20号），这是在“101号文”[4]、“2023年8号文”[2]等相关文件基础上，结合国有企业改革深化提升行动安排，对中央企业内部控制体系建设与监督工作提出细化要求。此外，2023年10月和2024年7月，国资委先后针对两批次企业（每次20家）开展了合规管理有效性评价，后续必将进一步扩大范围。

结合上述区分以及监管的实践，可以得出的结论是：

风险、合规、内控和法务四体系在企业中各自承担不同职责，但又相互关联、相互影响。对于国有企业而言，各体系建设起步时间不一，在企业内落地情况不同，所面临的监管任务和要求也存在差异，且体系评价也有独立的要求和标准。例如：国资厅监督〔2024〕20号文强调要在内控体制机制性根源上查找问题，区分设计缺陷和运行缺陷，划分重大缺陷、重要缺陷和一般缺陷。而对于合规的有效性评价则是从体系的“四梁八柱”、不合规事件发生情况、重要领域专项合规落实情况着眼。

因此，想要消亡原有四个独立的管理体系，创建一个新的“一体化”管理体系并不现实，且由于四个独立的管理体系管理的内容、重点、工具等并不相同，想要做到完全的融合也存在实操的困难。作为国资监管新抓手的合规管理，与企业既有的其他管理体系也必将长期共存，因此，探索符合企业经营管理实际的内控、风险、合规、法务的协同运作机制才是企业统筹协调，避免交叉重复，提高工作效率的必然选项。

随着合规管理走进深水区，越来越多的国央企也开始进行体系协同的探索，这需要充分考虑企业发展和管理的实际，均衡协调并有效整合四大管理体系。对从业人员的跨专业、跨领域处理问题的归纳能力和实践融合能力，都提出了挑战。

结合实践，我们总结了体系协同的总体思路以及“四阶段-八模块-十二步”体系协同运作的实施路径，并且探索依托关键的“三个一”管理工具，实现统筹协调，提升工作效率。

（一）总体思路

体系协同运作机制的基本原则和总体思路是“以风险管理为核心，以内部控制为抓手，以合规管理为底线，以法务管理为补充”，进而形成良性循环态势，助推企业的高质量发展。

（图2 体系协同总体思路）

以风险管理为核心。明确风险管理的总体目标，整合建立风险清单，在开展全面风险识别分析时，一并开展相关业务内控操作风险和合规风险的识别分析。重大合规风险事件、违法违规问题、法律咨询、诉讼案件管理情况和内控缺陷等，一并纳入风险事件统筹管理，开展处置整改、报告和问责等工作，跟踪整改落实效果，健全长效管理机制，并将其作为风险评估打分的重要依据。

以内部控制为抓手。落实合规要求，在开展内控监督评价时，将风险评估结果、风险预警指标运行情况、合规风险事件等信息，作为确定监督评价范围的重要依据，重点关注风险事件、违法违规问题等易发高发领域。在开展合规问题和风险事件管控过程中，推动权限指引清单、岗位职责清单的持续完善。

以合规管理为底线。以法律法规、监管政策、行业准则等外部要求和企业规章制度、规范性文件等内部要求作为内控的基础性依据，全面识别合规义务，建立岗位合规审查要点，动态更新内控标准，筑牢内控防线，开展合规风险排查治理，及时处置化解合规风险隐患。对于风险管理、内控评价发现的合规问题，及时改进。

以法务管理为补充。将合同、规章制度及重大决策的合法性审查，拓展至合规性审查，完善审查标准、流程、重点，并新增审查后评估机制；将纠纷管理从法律纠纷基础上，新增重大行政处罚、刑事案件，重大合规风险事件，补充重大合规风险事件的报告机制，化被动为主动，并且依托党委（党组）法治专题学习、普法培训等补强合规文化建设，强化员工风险意识。

（二）实施路径：“四阶段-八模块-十二步”

深入理解管理体系的差异和侧重点，结合四体系的运行逻辑，可以将体系协同的建设/优化工作划分为四个工作阶段、八个主要模块，十二项具体工作步骤。

（图3 体系协同实施路径）

阶段一是项目启动阶段，需要组建项目组，明确工作推进责任人、参与人，召开项目启动会，明确协同运行的总体思路和工作要求。

阶段二是尽调与评估阶段，这个阶段需要完成模块一现状评估/评价工作。项目组应当深入公司调研公司现有内控、风险、合规、法务体系建设现状情况。对于已开展过风险、内控、合规、法务管理工作的央企或大型集团企业，则需要对已开展过的管理体系进行评价，从而了解体系建设和运行的现状，进而制定符合公司发展实际的体系协同方案。

阶段三是体系协同建设阶段。在整个协同管理体系建设实施过程中会形成相应的体系文件及推动体系落地的多项管理工具。而阶段三是推进体系协同最重要的阶段，涉及六个模块的重点工作，也会基于本阶段多模块的工作形成最为关键的“三个一”管理工具。随着合规模式主动融入企业新发展格局，按照产业发展和协同落地的趋势，形成合规嵌入，风控集成，内控增效，法务护航是推动企业塑造核心竞争力，赋能企业价值创造的必然选择。

（图4 体系协同运作工具）

基于我们服务企业进行合规管理体系建设实施的经验，我们了解到，很多企业原有的法务管理、合规管理、内部控制、风险管理等均各自有其相关制度，如《合规管理办法》《风险管理办法》等，也将相关的管理职责落到了不同的组织或部门。实行协同管理，需要完成模块二的顶层设计，制定专门的《法律、合规、风险、内控协同管理办法》，整合公司原有法治建设工作委员会、内部控制与全面风险管理委员会、合规委员会等职责，建立协同管理的委员会，加强相关工作的组织领导和统筹协调。将原来分散的内控、合规、风险、法务管理职能模块，统一整合，突出重点，构建筑牢风险防控的“三道防线”。同时借助企业整体规章制度建设优化的时机，将原有分散的风险管控类制度进行优化、汇编，完成模块七体系手册编制工作。

阶段四是体系宣贯及运行。制度的生命在于执行，协同管理体系的运行要达到“落地有效”的程度，不仅仅需要体系设计精良，也需要意识传导、体系理解、流程嵌入，只有提升风险控制的意识，明白体系运转的逻辑，掌握体系管理的方法，并且通过信息化等数字化手段嵌入员工日常工作中，才能真正保障体系的运行，避免陷入“纸面”管理中。这就离不开第四阶段第八模块体系保障工作的实施。只有通过信息化手段进行行为记录、科学预测、风险防范，依托专项培训、文化活动等提升人员能力和意识，才能真正保证协同运作体系发挥实效。

（三）“三个一”管理工具

基于企业经营的实际和所处的行业以及业务形态不同，在确定了总体思路后，应当根据其特点确定指导思想和具体策略，并在协同体系建设和提升中会制作大量管理工具，我们将介绍并展示直接影响体系协同运行质效的三项工具样例。

（1）一次性风险识别——风险矩阵清单

合规管理、风险管理、内控管理的体系文件中都少不了“风险识别清单”或“风险矩阵”并配套相应的识别评估标准文件。笔者遇到过，企业不同部门每年都分别组织的不同类型的风险识别，比如廉政风险、合规风险、全面风险、内控风险、安全环保风险源辨识等，且识别的口径、标准不一。部分员工搞不清其中的区别，容易发生识别不精准的情况，也有为应付了事直接进行“表格搬运”。

对于企业而言，风险作为一种客观存在的可能性，往往不是单一的而是综合的。如果缺乏协同管理机制，风险评估是分别进行的，仅评估各自领域的风险。作为协同管理的一个关键点，便是要统一规划，对风险进行全面评估。尤其是金融类企业，由于行业监管和业务发展的特征，风险管理的重要性非常突出，风险防控是长期处于核心地位的，并且已经形成了业务全覆盖的精细化管理体系，在协同建设中，其他体系需要围绕风险体系的基础和建设要求展开。

由于总体思路是以风险防控为核心的，一次性进行所有类型的风险识别分析评估，也即在既有的全面风险库中增加、细化合规风险、内控风险等内容，不仅可以进行集约式管理，而且对形成企业员工的全面风控及合规意识大有裨益。同时，对问题与风险的发现，应当结合案件纠纷管理和日常法律咨询、合规咨询等情况，输出风险场景，将各类风险置于同一维度，同步进行辨识、分析与评价，聚焦风险高发情形，进而形成整合的升级版的风险管控矩阵清单（见样例），帮助企业精准识别，有效管控。

（图5 风险管控矩阵清单样例）

（2）一站式审查——合法合规性审查

合规审查是对国有企业经营管理行为和员工履职行为是否合规进行审查及检验的机制。其根本目的是保证审查事项符合内外部合规义务和要求，降低违规处罚风险，提高决策科学性。开展合规审查，应充分尊重合法审查的现状，不应在合法性审查之外，另行设计合规审查流程，而是将合法审查与合规审查融合为“合法合规性审查”，在尊重既有审查流程的基础上，着力丰富审查范围和内容，采用多节点审查的模式，充分落实第一道防线管业务必须管合规也必须管风险的管理职责。

此外，也建议通过制定合规审查指引、列示合规审查清单、加强合规审查培训和合规管理培训的方式帮助业务部门“提供工具、提升能力、提高质效”。如果业务及职能部门在合规审查时，需要企业法务、合规部门支持协助的，法务合规部门也会积极提供所需支持协助，进而形成“合规咨询”与“合规审查”“合法审查”“风险防控”机制衔接协同。

（3）一套管控措施——体系协同管理手册

在对问题和风险进行辨识、描述、分析之后，需要针对性地提出解决措施。前文介绍了不同体系的管理的重点，例如在内部控制部分，体现为授权体系的设计、不相容职责的分离、关键控制节点的设置和业务控制流程的优化等。在合规管理部分，体现为合规审查、合规检查、举报与合规调查等。在风险管理部分，体现为风险预警指标的设计、风险管理策略等。风险管控是多维度的，管控的措施可以是单一也可以是复合的，这些机制原来是分头、独立运行的，但从提升效率，降低管理成本的角度出发，实行四者的协同管理，需要在一次性识别风险后，统筹考虑明确管控措施的安排，可以从设立或调整与风险相关的机构、人员，补充经费或风险准备金等资源配置角度着手；也可以从建立或完善规章制度或针对特定领域风险，编写标准、规范等文件，优化或重构业务流程；亦或是明确各相关部门、岗位或个体在风险管理中的具体职责与角色，强化监督执行、强化惩戒、严格追责。

（图6 体系协同流程框架）

简而言之，当发生某种风险时，企业不能这里一套措施，那里一种方案，而是合并“同类项”，突出“特殊项”，从资源配置、制度流程、标准规范、信息预警提示、监督追责等方面综合确定管控手段，进而保证行动统一，措施有效，形成统筹的法务效率流程、合规监督流程、内控制衡流程、风险应对流程等管控流程和措施，进而将相关措施通过内部规章制度、岗位职责要求及内控管理流程嵌入经营管理和员工履职过程中。

当下，合规是国资监管的重要抓手，随着合规管理体系建设步入深水区，企业在处理合规与内控、风险、法务的关系时，可以根据我们总结的“一思路-四阶段-八模块-十二步-三工具”探索体系协同运作的“道”。但是由于企业经营的实际和所处的行业以及业务形态不同，在建设或深化合规管理体系过程中，也应当根据其特点确定具体策略。结合实务工作中的案例和客户需求，从公司管理基础和现实情况，我们也总结了理解和处理四者关系的“术”，形成针对性的方案。

（一）对于已经完成各体系独立建设的企业

根据国资监管的要求，大部分国央企已开展过风险、内控管理工作，自2019年以来，在国资委的要求下，央国企开始开展合规管理体系建设。截至目前，自央企到地方省属、市属一级企业基本已经完成了合规管理体系建设工作。

以A公司为例，A公司是央企集团下属二级公司，是大型施工企业，主要从事能源建设和城市建设。多年来，A公司按照集团各项工作要求，已经开展了内控管理、风险管理工作，并根据中央企业合规管理强化年等工作要求，成立了“法律合规风险与内部控制”四位一体工作领导小组，领导内控、风险、合规、法务管理的相关工作。但公司仍存在合规体系运行实效性有待提升以及相关体系之间运行规则和运行程序衔接不畅等问题。

我们经过调研分析，认为出现上述问题的主要根源在于A公司在推进合规管理体系建设时，并不能清晰地划分出风险管理、内控管理、法务管理、合规管理的区别，虽然A公司的四体系工作内容及职能经过整合已经集中在一个部门，但通过访谈和调研，我们发现，公司领导层以及牵头部门存在认识误区，认为各体系相通甚至相同，存在用内控替代风险、合规管理；将合规部与法务部直接合二为一，以法务工作替代合规管理。基于此，由于A公司已经启动了体系的初步的整合。我们以合规管理为切入点，考虑到A公司业务发展的特征，认为风险管理的重要性非常突出，并且已经形成了较为精细化管理体系，在协同建设中，其他体系需要围绕风险体系的基础和建设要求展开。因此，侧重对A公司风险识别、风险评估、风险应对、风险检测和预警、信息沟通等工作模块进行流程优化；对公司经营管理的全过程、各环节进行系统的梳理，解决制度体系不够完善、内控合规风险法务管理与业务融合不足、宣传教育不够立体深入等问题，真正实现从独立的合规管理体系建设向探索构建法律、合规、内控、风险管理协同动作转变，帮助公司实现资源共享，优化管理环节，节约管理成本，发挥整体管理效能。

实践中，很多企业存在A公司的类似问题，鉴于国务院国资委、央国企对合规管理也是在摸索中前进，一开始出现这种理不清也是情有可原的。对于这种已经完成了各独立管理体系建设，需要进一步进行体系优化升级的企业，我们建议摸清症结点，从顶层设计出发，整合资源，形成协同管理的组织架构，并对于不同体系下的管理工具进行优化整合，通过文化传导、技能培训，不断提升效率，防范风险，提高管理水平。

（二）对于尚未开展合规管理体系建设的企业

随着合规管理要求的波浪式传导，目前大量央企的子企业、地方第二梯队国有企业（省属市属子企业或非省会的部分地市国有企业）正着手开展合规管理体系建设工作。这类企业，此前基本已经开展过风险、内控、法务管理工作，但尚未完成合规管理体系建设工作。

以B公司为例，B公司是地方国资委重点监管企业，公司资产过千亿，员工上万人，属于交通运输行业。鉴于公司兼具公共服务职能，具有一定公益属性，在安全保障、设备检修、管理运营等方面有严格的法律法规以及相关的行业管理部门的细化要求作为合规义务。B公司从通用性管理到具体的技术层面都建立了非常全面和系统的制度或标准。但在企业层面，风险、内控、合规、法务职能分散在不同的部门，缺少跨功能的顶层设计，各体系独立运转，工作一定程度上存在交叉重复，且流程较为繁琐，极大影响了工作效率和效能。

在为B公司提供合规管理体系建设服务中，我们充分考虑已经建设并运转的其他体系，以避免大动干戈，另起炉灶。在合规管理体系建设方案设计时既保证按照监管要求建立合规管理体系，同时也基于现有完善的风险管理、内控管理及法务管理，将合规管理尽可能嵌入其他管理体系中，形成体系协同，编制风险合规内控管理矩阵清单，注重外规内化加强跨部门组织建设、公司级别的制度建设，并在风险管控的基础上建议尽量优化精简流程，提升公司效率。

也即，对于这类尚未开展合规管理体系建设的企业，要始终秉持合规嵌入现有体系，避免大的改动。例如：制定合规管理风险识别清单时，不要忽略风险管理、内控管理中编制的风险库，在制定流程管控清单时，也不应抛开内控流程，而应在已经成熟的、企业已经非常适应的内控流程基础上，梳理风险点并确定管控措施。

（三）对于并未系统开展过相关管理体系建设的企业

有些企业（部分地市、区属国有企业）此前并未系统地开展过风险管理、内控管理工作，或者虽然开展过相关工作，但是鉴于种种原因，体系落地的效果并不好，各体系浮于纸面，难以发挥实效。

例如，C公司是地方国有投资平台公司，是在原某国企投资公司的基础上改革重组而成的集团公司，按照现代企业制度要求设立了董事会、监事会、经理层，但尚未系统地开展过风险管理、内控管理及合规管理建设工作，且我们介入时，公司正在进行组织机构调整，此外，结合公司的部门设置、人员配备等情况来看，公司一定程度上还面临合规官（合规总监）培养和合规队伍建设、合规意识提升等问题。

结合C公司的实际，我们认为公司首要任务是做好内控和合规管理。作为改制而成的集团公司，需要进一步理清公司管理职能界面，完善分级分类的权责设置；结合业务场景，对于C公司而言，识别合规风险，明确岗位合规职责，优化管理制度之间的衔接及运行，注重清单、流程层面的搭建逻辑的设计更显重要。此外，考虑到公司员工的构成情况，充分发挥本所在合规培训、合规理念传导、合规技能提升的显著优势，协助公司做好合规管理队伍的培养方案。

对于这类企业，一定要明白“合规不是一蹴而就”，依托合规管理体系建设的契机做一次系统的梳理，找准体系建设和运行的痛点。此外，对于涉及国际业务的企业，更加需要通过合规管理梳理不同国别、社区的政策、法律要求。我们建议通过全面梳理和检视公司管理工作现状，查找体系缺陷或差距，并结合公司发展需求制定阶段性的规划及具体的实施方案，逐步完成“消差调整”。

随着企业对法治建设、重大风险防控、建设现代化企业等的追求或要求不断加深，体系协同运作将成为企业的必然，从更高的一层着眼，需要“查已病”，进行缺陷治理和完善控制；也要“治未病”，着眼于未来，助推企业稳健发展。