随着国务院国有资产监督管理委员会（以下简称“国务院国资委”）《关于加强中央企业内部控制体系建设与监督工作的实施意见》通知的印发，越来越多的企业也在积极探索四者如何融合才能促进企业的可持续发展。本文从“大风控”体系建设的动因、构成要素、可行性做法和启示等方面展开论述。

一、“大风控”体系建设的动因

“大风控”体系是指集风险管理、内部控制、法律和合规为一体的体系，越来越多的企业在积极推进一体化建设，究其原因可分为两个方面。一是外因。国务院国资委在2019年印发的《关于加强中央企业内部控制体系建设与监督工作的实施意见》（以下简称“101号文”）中，明确指出要将风险管理和合规管理要求嵌入业务流程，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的风险防控机制。国务院国资委在2021年10月出台的《关于进一步深化法治央企建设的意见》中提出，中央企业要严控法律合规风险，持续提升风险管控能力，健全法律合规风险防控机制，强化重大事项决策前的重大风险评估，落实重大法律合规风险事件报告机制，及时处置法律合规风险，提高法律合规风险的数字化管理能力，探索构建法律、合规、内部控制、风险管理协同运作机制，加强统筹协调，提高管理效能。二是内因。近年来，由于国内疫情反复，各行业面临的市场竞争压力与日俱增，更需要重新审视日常运营与管理工作的风险防控，进而实现内部组织机构的优化升级，更好地应对各类风险。尤其是对于大型企业而言，其内部存在各种管理体系，这些管理体系有的分别运转、相对独立，使得各管理体系在企业中应有的作用难以得到充分发挥，在一定程度上影响了管理效果，不利于企业战略目标的实现。因此，企业构建全方位、全过程、全覆盖的“大风控”体系，不仅是深化企业改革、建立现代企业制度、加强风险管控的必然选择，而且是严格贯彻落实党中央、国务院决策部署的重要举措。

二、“大风控”体系的构成要素

（一）风险管理

风险指未来的不确定性对企业实现其经营目标的影响。这种不确定性可能带来风险收益，也可能带来风险损失。当未来实际结果比事先预期的结果要好，就可当作风险收益；当未来实际结果比事先预期的结果要差，即可作为风险损失。风险管理就是通过识别风险、评估风险、制定风险管控措施，达到以最少的成本来降低企业各类风险的方法。

“大风控”体系下的风险主要指企业可能面临的损失和威胁。损失分为有形损失和无形损失；威胁指将来有可能发生的物质上的有形损失和无形损失。风险识别工作就是要将所有可能产生损失和威胁的事项全部识别出来，坚持全面、动态地排查隐患，坚持过程化管控，最大限度地减少损失和威胁。“大风控”体系下的风险衡量是指根据风险发生的可能性，以及造成损失的范围与程度，将风险分为特别重大风险、重大风险、较大风险、一般风险和其他风险。对风险的控制主要指根据不同的风险类别采取不同的管控措施。对于特别重大风险和重大风险，这些风险一旦发生，企业将受到经济损失、负面舆情等一系列毁灭性的打击，笔者建议将这两类风险纳入红线管理。对于较大风险，如果对这类风险的管控不到位，就可能滑向红线范围，所以应持续关注、重点管控，纳入重点管理。对于一般风险和其他风险，按照发生的概率、造成的损失大小，采取不同的管控措施，纳入正常管理即可。

（二）内部控制

内部控制是指通过执行风险管理的基本流程，对所从事管理活动的风险通过制定和实施一系列制度、程序和措施进行事前防控、事中控制、事后监督和纠正的机制。

“大风控”体系下的内部控制，突出“大”的概念，要求内部控制一是要全面覆盖各项业务活动和管理活动，二是要全员参与。内部控制不仅仅是风险内部控制部门牵头的事情。区别于传统意义上的“风险内控”概念，“大风控”体系更加强调工作协同、过程管控、资源整合，实现单位内外部、部门之间的信息共享与工作协同。这就对内部控制提出了更高的要求，不仅要求牵头部门做好统筹协调、组织推动、督促落实、监督评价，而且需要全员做好全方位、全过程管控。同时，内部控制除了要覆盖各层级单位、各部门、全体员工，还要涵盖各业务领域、各业务环节的各类控制点，确保企业各项业务活动的内部控制措施能够有效实施。

（三）法律与合规

法律事务是指公司授权管理、合同管理、法律纠纷管理、监督检查、对外法律事务联络等一切与公司法律主体、法律行为、法律责任相关的事务。合规是指不仅要遵守法律、法规的规定，还要严格遵守企业内部的规章制度。

“大风控”体系下的法律与合规，要求加快建设法治监督体系、提升法治能力，推动法律管理与经营管理相结合，将法律合规审核作为决策会议的必要前置程序，同时要着重关注重大案件，全力降控法律纠纷案件，坚决遏制法律纠纷高发频发势头。合规是企业经营的基本前提，也是企业经营的底线目标。企业要想达到合规目标，可以通过实施企业风险管理和内部控制体系来实现。而风险管理和内部控制是工具和手段，本身并不构成目标。风险管理和内部控制都要服务于企业目标，合理保证这些目标的实现。

综上可知，“大风控”体系中构建的四个部分是不可分割的。把风险管理看作“头”，职能主要是负责识别战略决策阶段的风险；把内部控制看作“身”，职能主要是负责执行阶段的风险，并贯穿于整个业务流程；法律与合规是“胳膊”和“腿”，都要求在依法合规的前提下综合考虑企业实际情况，维护企业利益。风险管理、内部控制、法律与合规四者的分工不同，侧重点不同，但是有共同的目标，即有机协同保证“身体健康”。风险管理重在意识和引领，从而促进企业战略目标的实现。企业风险管理如果不到位，即使经营指标再惊艳，业绩再优秀，可能也会前功尽弃，而内部控制是实现风险管理的手段。在法务工作中，不仅要做好涉诉应诉工作，更要为企业提供法律支持、创造良好的生存发展环境。合规是企业生存发展的底线，不能将其作为企业追求的目标，而要将其作为一种社会责任。如果风险管理、内部控制、法律、合规不能与具体业务相结合，就容易出现“两张皮”的现象，因此，企业管理必须基于业务进行。只有将风险管理作为风向标，坚守法律合规底线，以内部控制为抓手，深入推进风险管理、内部控制、法律、合规的不断融合，才能实现企业的高质量发展。

三、“大风控”体系建设的可行性做法

（一）风险管控机制建设方面

1.成立风险管理委员会。委员会主要职责包括：贯彻落实党和国家防范化解重大风险决策部署和外部监管及上级部门关于风险管理工作要求，建立完善“大风控”工作机制；加强企业内各单位（部门）的信息沟通与传递，相关单位（部门）重大风险管控和重大风险事件情况汇报，研究解决重大风险、系统性风险问题；对于影响面广且重大复杂的风险事项，围绕重点人、重点事和重点环节制定应对措施；推动各类监督有机贯通，充分研讨分析企业内部审计、纪检、巡视等部门提交的问题、缺陷、案例等，形成监督合力，提升管控效果，从组织机构上保障“大风控”体系与企业现有治理结构的融合；逐步建立健全主要领导亲自负责、董事会统筹领导、经理层组织实施、风险内部控制牵头部门主责推动、业务职能部门协调配合的工作机制，充分发挥风险管理委员会的协同中枢作用。

2.构建风险管理的“四道防火墙”和“三道防线”。基层单位、三级单位、二级单位与公司总部构成风险管理的“四道防火墙”。各层级要不断完善风险管控职责，压实各层级领导责任，明确各层级领导主要负责或主要参与事项的直接责任。企业可根据部门职责分工，划分风险管理“三道防线”，强化重大风险管控要求，全方位做好风险防控工作。第一道防线是“前线”，由企业的所有部门构成，是风险管理的“前线与战线”，应做到守土有责、守土尽责，增强所有部门员工的责任感和自觉性，确保各自职责范围内的风险管控工作做深、做细、做实，不能把防风险的责任推给上面或留给后面，确保绝大多数风险在各自部门发生时就能得到有效控制。第二道防线是“监督保障线”，由风险内部控制、法律合规、合同管理、人事、财务、内部审计、纪检、巡视等部门构成，履行支持调查、评价、审计、检查和督导等职责，做好服务支持、监督指导、信息共享、管理赋能等工作。第三道防线是“问责追责线”，由纪律检查委员会、违规经营投资责任追究工作管理委员会和安全生产委员会等机构组成，履行严肃问责追责，进而促进管理提升。

（二）运行机制建设方面

1.有效开展全面风险评估工作。企业可依据国务院国资委企业风险分类示例图，结合自身实际，按类别制定风险清单，基于岗位职能，在企业各层级、各岗位开展全面风险评估工作，对生产、经营、管理以及生活过程中所面临的隐含或潜在的威胁及可能造成的影响进行充分识别、列示，评估风险发生的概率及可能带来的损失或威胁，并提出尽最大可能降低或避免风险的措施。对于发生概率高、发生概率小但损失极大的风险，要分岗位确定重大、重要和一般等级，同时找出本层级关键岗位，锚定重点人、重点事和重点环节，相应制定管控措施。

2.加强对重大风险及重大风险事件的管控。对于识别出来的重大风险，有针对性地开展风险防控，设置重大风险的风险预警量化指标，明确可能或者已经造成的损失和影响，对风险态势进行研判，制定切实可行的管控措施，逐步建立重大风险的早识别、早预警、早处置的长效机制。不断健全重大风险事件报告机制，进一步规范重大风险事件报送的范围和流程，明确风险事件的主体责任，加强对风险事件进程的督导，对重大风险事件做到精准管控、稳妥处置。

3.自我评价与监督评价相结合。自我评价是指对企业风险内部控制体系设计与运行的有效性进行评价，对经营管理过程中存在的内部控制缺陷、合规、风险管理等问题进行客观、真实的披露，并提出整改优化措施，以评促建，充分发挥内部控制考核的激励约束作用，全面提升风险管控能力，助力“大风控”体系的构建。监督评价属于专项评价范畴，与自我评价的关键性区别在于，监督评价要突出风险导向，主要关注重点业务、关键环节、不相容岗位、年度重大风险、年度重点工作、缺陷高发领域等方面。监督评价可由上级单位对下级单位开展，也可委托外部会计师事务所开展。无论哪种评价方式，对于评价工作中发现的问题和缺陷，应建立问题台账，制定内部控制缺陷整改方案，明确整改内容、措施、期限、责任人员等方面，并动态跟踪问题整改情况，做到“完成一项销一项”。

4.实施全面风险管理考核。依据企业的治理架构、风险管理、内部控制体系、合规机制、法律事务、信息化管控、全面风险管理文化建设、各业务活动经验情况、资产质量跟踪情况等方面，同时结合内部审计缺陷认定的情况，开展全面风险管理考核，并将考核结果纳入企业负责人绩效考核管理办法。

四、“大风控”体系建设的启示

（一）明确责任，不断增强风险防控意识

风险管理是一项系统工程，包括风险识别、风险评估、风险控制和监督检查四个环节。每个环节中的每个人、每个事项、每个流程都关乎风险能否得到有效防控，这就要求企业所有部门、所有人员、各个业务领域和环节都必须做到有效衔接与配合，转变固有的“风险管理只是牵头部门的职责”的观念，明确企业所有部门均作为风险管理的责任主体，强化提前想到、提前发现和提前管控等意识。

（二）加强协同，形成监督合力

风险管理过程中要逐步建立对内外部审计、纪委监察、巡视巡察等发现的问题的信息共享机制，充分利用巡视监督、审计监督等监督成果，形成内部控制监督合力，使内部控制监督真正实现“长牙”“带电”。同时，建立的问题台账应与企业内部控制自我评价认定的缺陷相结合，建立监督整改机制，确保在预定期限内完成整改，杜绝“打折扣、不落实”的情况发生。

（三）科技赋能，提升风险管理的信息化水平

风险管理工作中的识别、评估、分析、管控等最终都要通过信息化手段来不断完善，企业要借助大数据、云计算等技术手段，逐步探索风险管理系统与财务系统、机构管理系统、人力资源管理系统的有机结合路径，实现互联互通，充分发挥大数据的研判功能，进而提高风险管理的效率和质量。

（四）建设队伍，强化复合型人才培养

“大风控”体系建设和运行的专业性很强，需要懂法律、晓管理、精合规、熟业务的专业型人才。企业应大力培养“一专多能”的风险管控人员，通过在岗人员培训、内部人员轮岗、引进专业人员等途径和方式，打造业务精通、作风务实的专业化团队。