國資委《關于加強中央企業(yè)內部控制體系建設與監(jiān)督工作的實施意見》提出，要建立健全以風險管理為導向乘盖、合規(guī)管理監(jiān)督為重點的內控體系呐赡，且要將風險管理和合規(guī)管理要求嵌入業(yè)務流程，實現(xiàn)“強內控猜惋、防風險丸氛、促合規(guī)”的管控目標。這不僅為我們實現(xiàn)內部控制與合規(guī)管理的整合提出了迫切要求著摔，而且還提供了創(chuàng)新思路缓窜。

整合的目的是為提高內部控制與合規(guī)管理工作本身的效率，減少兩種風險管控活動之間的重復性工作谍咆，消除目前存在的對兩種活動的一些困惑之處禾锤。整合的策略包括：

（一）管控環(huán)境的整合

內部控制五要素的頂層是“控制環(huán)境”，它是企業(yè)實施有效內部控制的基礎摹察《髦溃控制環(huán)境始于董事會和高管層，他們?yōu)槠髽I(yè)確定“最高層基調”供嚎。企業(yè)高管對外發(fā)布的內部控制聲明黄娘，如企業(yè)行為準則，正是企業(yè)合規(guī)文化要推動的一件大事克滴。合規(guī)從高層做起逼争，由高層推動，是合規(guī)管理能否取得成效的關鍵劝赔。因此誓焦，不管是合規(guī)，還是內控着帽，企業(yè)高層都需要親自介入杂伟，并傳遞出統(tǒng)一的聲音移层，形成有利的控制環(huán)境及合規(guī)環(huán)境。

（二）風險評估活動的整合

風險評估是管理各種風險的決策基礎赫粥，不管是合規(guī)風險观话，還是其他的戰(zhàn)略風險、營運風險傅是、財務風險匪燕、信息風險。內控的風險識別與分析喧笔，包括企業(yè)整體業(yè)務層面的風險帽驯，也包括單個業(yè)務或項目層面的風險，比合規(guī)的風險識別與分析要廣书闸。但是尼变，在風險評估中，管理層所用的評估方法是可以通用的浆劲。每個業(yè)務領域的潛在風險嫌术，以及風險發(fā)生的時間和概率及其影響范圍，是一致的牌借。故內控與合規(guī)在整合過程中度气，可以用同樣的評估方法，及共用一套風險事件庫膨报、風險評估清單磷籍。

（三）風險控制活動的整合

控制活動是內部控制最核心的要素，其貫穿于整個企業(yè)现柠，遍及各個層級院领、業(yè)務單元和流程以及技術環(huán)境」环裕控制活動可分為預防性措施和檢查性措施比然，它包括一系列手工控制和自動化控制，如授權周循、審批强法、驗證、調節(jié)湾笛、業(yè)績評價等饮怯。職責分離是最基本的控制措施∑荆可行性研究與決策審批、決策審批與執(zhí)行课竣、執(zhí)行與監(jiān)督檢查等崗位職責的分離嘉赎。采購置媳、銷售、投資管理公条、資金管理拇囊、工程項目，產(chǎn)權交易等業(yè)務領域的崗位職責權限要相互銜接靶橱、相互制衡寥袭、相互監(jiān)督。在合規(guī)管理的管控措施中关霸，基本上可以用到前述風險控制活動的技巧传黄。

（四）信息系統(tǒng)的整合

對于內部控制和合規(guī)管理而言，信息都是不可或缺的元素队寇。信息應當可靠膘掰、來源多元化。出于成本和效率考慮佳遣，內部控制和合規(guī)管理识埋，應當擁有一體化的信息（系統(tǒng)）。內控與合規(guī)建設部門要與業(yè)務部門零渐、審計部門窒舟、信息化建設部門協(xié)同配合，推動企業(yè)投資和項目管理诵盼、財務和資產(chǎn)惠豺、物資采購、全面風險管理拦耐、人力資源等信息系統(tǒng)的集成應用耕腾，實現(xiàn)內控、合規(guī)體系與業(yè)務信息系統(tǒng)互聯(lián)互通杀糯、有機融合扫俺。信息化基礎較好的企業(yè)可探索利用大數(shù)據(jù)、云計算固翰、人工智能等技術狼纬，實現(xiàn)內控與合規(guī)體系實時監(jiān)測、自動預警骂际、監(jiān)督評價等在線監(jiān)管功能疗琉。

當然，內控與合規(guī)畢竟是兩件獨立存在的兩件事情歉铝，即便經(jīng)過一體化的整合盈简，仍存在諸多不可完全融合之處。如，相關管理組織架構柠贤、管理制度费什，溝通機制與監(jiān)控機制中狂，均因內控與合規(guī)的不同而有所差異圈匆，故仍需用不同的方法和原則予以對待晤斩。但整體來說，以風險管理為導向宴霸，整合內控與合規(guī)的共同要素是可行的囱晴。

摘自——《首席法務》陶光輝