万商天勤律师事务所合伙人张烽律师，于 2024 年 8 月 14 日为杭州地铁集团及相关分子公司风险内控合规等职能人员作《风险、合规、内控、法务四位一体化管理》主题分享，本文是根据其中相应内容整理而成。

企业风险、合规、内控、法务四位一体化管理，首先是国务院国资委对中央企业、地方企业相关监管文件要求，并结合相关标准、规范等，但本质原因是市场竞争环境、法律法规变化、企业发展风险管理要求、内部管理优化等。

一、相关监管文件要求

这是近二十年来国资委发布的有关风险、内控、合规、法务及其一体化管理的相关文件梳理。

《中央企业全面风险管理指引》（国务院国资委，国资发改革[2006]108 号，2006 年 6 月）

《指引》指出，全面风险管理是企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理组织体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

《指引》指出，企业开展全面风险管理要努力实现以下风险管理总体目标：

一是确保将风险控制在与总体目标相适应并可承受的范围内；【实际上这是全面风险管理的战略目标】

二是确保内外部，尤其是企业与股东之间实现真实、可靠的信息沟通，包括编制和提供真实、可靠的财务报告；【这是从风险来源和实际运作角度提出控制策略】

三是确保企业遵守有关法律法规；【这是企业合法合规要求】

四是确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行，保障经营管理的有效性，提高经营活动的效率和效果，降低实现经营目标的不确定性；【这是关于实际运作有关规章和经营目标关系的重申】

五是确保企业建立针对各项重大风险发生后危机处理计划，保护企业不因灾害性风险或人为失误而遭受重大损失。【这是对风险发生后的管理策略】

《指引》除对收集风险管理初始信息、风险评估、风险管理策略、风险管理解决方案、风险管理信息系统等内容作阐述外，还着重对风险管理组织体系作了详细描述。

《指引》指出，企业应建立健全风险管理组织体系，包括规范的公司法人治理结构，风险管理职能部门、内部审计部门和法律事务部门以及其他有关职能部门、业务单位的组织领导机构及其职责【这是对企业提出了构建全面风险管理组织体系的要求】。董事会就全面风险管理工作的有效性对股东（大）会负责。具备条件的企业，董事会下可设风险管理委员会。企业总经理就全面风险管理工作的有效性向董事会负责。企业应设立专职或确定相关职能部门履行全面风险管理职责。《指引》对董事会、风险管理委员会、审计委员会、经理层、风险管理职能部门、内部审计部门等机构在全面风险管理中的职责作了详细的说明。

《指引》强调，企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件( 指重大风险发生后的事实 ) 的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。【这是对企业如何开展具体路径提出要求】具备条件的企业应全面推进，尽快建立全面风险管理体系；其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。通过积累经验，培养人才，逐步建立健全全面风险管理体系。

这是总则内容

这是全面风险管理体系 / 风险管理信息系统 / 风险管理文化

《中央全面风险管理指引》出台背景。

随着经济全球化的发展，企业在市场竞争中面临各种各样的风险，如何辨识、评估、监测和控制风险成为关注热点。在一些发达国家，风险管理的理念、技术、方法和手段已广泛应用于企业战略制定、投融资决策、财务报告管理、内部审计体系建设等方面，形成了系统化、制度化、规范化的全面风险管理体系。而在我国，风险管理当时是企业管理中的相对薄弱环节，风险意识不强、管理工作薄弱是企业发生重大风险事件的重要原因。

该指引的发布，为中央企业开展全面风险管理工作提供了指导，有助于提升企业的风险管理能力和竞争力，使其在复杂多变的市场环境中能够更好地应对各种风险挑战，实现持续、健康、稳定的发展。同时，这也有利于完善国有资产管理体制，确保国有资产的安全和增值。

为加强中央企业风险管理，借鉴发达国家有关企业风险管理的法律法规、国外先进大公司的通行做法以及国内有关内控机制建设方面的规定，国务院国资委出台了《中央企业全面风险管理指引》，旨在推动中央企业建立健全风险管理长效机制，促进企业稳步发展，防止国有资产流失，保护投资者利益。

《企业内部控制应用指引》（ 财政部 证监会 审计署 银监会 保监会，财会[2010]11 号， 2010 年 4 月 15 日发布）

为了有效防范和化解各种舞弊风险，同时也为企业强化内部控制建设提供支撑，财政部等五部委制定了一系列的企业内部控制应用指引。这些指引涵盖了企业经营管理的各个方面，为企业提升经营管理水平和风险防范能力提供了更具体的指导。

2010 年 4 月 26 日，财政部、证监会、审计署、银监会、保监会等五部委联合发布了《企业内部控制配套指引》，其中包括 18 项《企业内部控制应用指引》。该配套指引连同此前发布的《企业内部控制基本规范》，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。

企业内部控制应用指引的实施，有助于提升企业的财务报告质量，降低商业欺诈风险，提高财务信息的可靠性，促进企业对法律法规及准则的遵循。同时，也有助于企业优化治理结构、完善管理体制和运行机制，加强集团管控，完善管理制度，健全监督评价体系，强化内控体系执行，提高重大风险防控能力，加强信息化管控，强化内控体系刚性约束，并通过加大企业监督评价力度，促进内控体系持续优化。

《企业内部控制应用指引》/出台背景

随着经济全球化的发展和企业面临的市场竞争日益激烈，企业在经营管理过程中面临着各种风险和挑战。为了加强企业的风险管理和规范企业的经营行为，提升企业的经营管理水平和风险防范能力，财政部等五部委制定了企业内部控制应用指引。

一方面，资金是企业生存和发展的重要基础，国际金融危机爆发后，大量企业因资金链断裂陷入困境，如何防范资金风险、维护资金安全、提高资金效益成为社会广泛关注的热点问题。例如，《企业内部控制应用指引第 6 号——资金活动》的制定，就是为了给我国企业应对危机、防范和化解资金活动相关风险，全面提升经营管理水平提供科学指导和制度保障。

另一方面，部分企业存在治理结构不完善、内部机构设计不科学、权责分配不合理等问题，可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下等情况，甚至出现串谋舞弊等风险，严重影响企业的发展，如中航油（新加坡）股份公司期权交易巨亏案就是典型案例。

此外，从建立现代企业制度的角度来看，建立和完善组织架构是企业实现发展战略的首要任务。一个科学完善的组织架构是现代企业制度的核心，有利于促进企业建立现代企业制度。同时，它也为强化企业内部控制建设提供了重要支撑，使企业能够自上而下地对风险进行识别和分析，促进信息的有效传递，并提升监督的力度和效能。

《关于加快构建中央企业内部控制体系有关事项的通知》（国务院国资委，国资发评价〔2012〕68 号，2012 年 5 月 7 日发布实施）

就加强企内部控制，提出提高思想认识，切实加强对内部控制工作的组织领导；分类分步推进，全面启动内部控制建设与实施工作；立足企业实际，建立健全内部控制体系；采取得力措施，确保内部控制有效执行；加强评价与审计，促进内部控制持续改进与优化；按时报送评价报告，加强出资人监督检查。要求各中央企业要高度重视内部控制工作，统筹协调，周密部署，抓紧推进内部控制建设与实施工作，采取有力措施保证内部控制有效执行，推动经营管理水平不断提升。

《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国务院国资委，国资发监督规〔2019〕101 号，2019 年 10 月 19 日发布实施）

规定“央企要建立健全以风险管理为导向，合规管理监督为重点，严格，规范，全面，有效的内控体系.....实现“强内控、防风险、促合规”的管控目标”，为建立统一的合规、风控、风险一体化管理体系提出了明确的路径。

《关于加快构建中央企业内部控制体系有关事项的通知》/出台背景

随着经济全球化的发展和市场竞争的加剧，中央企业面临的经营环境日益复杂，经营压力和风险不断增大。为了推动中央企业扎实开展管理提升活动，夯实基础管理工作，促进实现做强做优、培育具有国际竞争力的世界一流企业的发展目标，需要加快构建内部控制体系。

当时部分中央企业已经按照财政部等五部委印发的《企业内部控制基本规范》和配套指引的要求，启动了内部控制建设与实施工作，并取得了一定成效。但仍存在一些问题，例如部分企业对内部控制的重视程度不够，组织领导有待加强；内部控制体系的建设和执行效果参差不齐；一些企业在关键业务流程和特殊业务的内部控制方面存在不足等。

其总体目标是用两年时间，促使中央企业按照相关要求建立规范、完善的内部控制体系，以提升企业的经营管理水平和风险防范能力，为企业战略有效实施、资源优化配置、企业价值提升提供强有力的支撑。具体安排是：已在全集团范围内建立起内部控制体系的中央企业，需抓好有效执行和持续改进工作；主业资产实现整体上市或所属控股上市公司资产比重超过 60%、尚未在全集团范围内启动内部控制建设工作的中央企业，要统筹规划、协同推进全集团内部控制体系建设；其他中央企业应抓紧启动内部控制体系建设工作。

《关于印发<关于全面推进法治央企建设的意见>的通知》（国务院国资委，国资发法规[2015]166 号，2015 年 12 月 8 日发布实施）

意见提出全面推进央企法治建设指导思想和基本原则的总体要求，明确要求央企“探索建立法律.合规、风险、内控一体化管理平台”，对合规、内控、风险等进行一体化的管理，提出了初始的要求。

《关于进一步深化法治央企建设的意见》（国务院国资委，国资发法规规〔2021〕80 号，2021 年 10 月 17 日公布，2021 年 10 月 17 日施行）

探索构建法律、合规、内控、风险管理协同运作机制，加强统筹协调，提高管理效能。推动合规要求向各级子企业延伸，加大基层单位特别是涉外机构合规管理力度，到 2025 年中央企业基本建立全面覆盖、有效运行的合规管理体系。

《关于全面推进法治央企建设的意见》/出台背景

经济环境的变化：随着我国经济发展进入新常态，央企在国内外市场上面临着更为复杂多变的经济形势和竞争环境。经济结构调整、转型升级的压力增大，需要央企依靠法治思维和方式来应对各类经济风险，保障企业的稳健发展。

深化国企改革的需求：国有企业改革不断深化，央企在公司治理、混合所有制改革、并购重组等方面面临诸多新的法律问题和挑战。推进法治央企建设，有助于规范改革过程中的各类行为，确保改革依法有序进行。

依法治企的重要性日益凸显：在全面依法治国的大背景下，企业作为市场经济的主体，必须依法经营、依法管理。央企作为国民经济的重要支柱，更应在法治建设方面发挥引领示范作用。

企业国际化发展的需要：随着央企“走出去”步伐加快，参与国际竞争与合作的程度不断加深。在国际市场中，需要遵循不同国家和地区的法律法规，应对各种法律风险和合规挑战。通过加强法治建设，提升央企的国际法律风险防范能力。

央企自身发展的内在要求：部分央企在过去的经营管理中存在法治意识淡薄、法律风险防控不足等问题，导致一些企业出现法律纠纷和损失。为了实现可持续发展，央企必须加强法治建设，提升依法治理的能力和水平。

例如，一些央企在海外投资项目中，由于对当地法律法规了解不足，导致项目受阻或遭受重大经济损失。再如，在国内市场中，一些央企因合同管理不善、知识产权保护不力等法律问题，影响了企业的正常经营和市场形象。

综上所述，为了适应经济发展新形势，深化国企改革，落实依法治国战略，保障央企在国内外市场的健康发展，出台《关于全面推进法治央企建设的意见》具有重要的现实意义和紧迫性。

《中央企业合规管理办法》（国务院国有资产监督管理委员会令 42 号，2022 年 10 月 1 日起实施）

第二十六条 中央企业应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制，加强统筹协调，避免交叉重复，提高管理效能。...

《中央企业合规管理指引（试行）》（国务院国资委，国资发[2018]106 号，2018 年 11 月 9 日发布实施）

明确规定合规，是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。并就建立合规的管理体系、管理职责、重点、运行、保障作出了具体规定。

《中央企业合规管理办法》/出台背景

全球化经营的需要：随着中央企业在国际市场上的业务不断拓展，面临着不同国家和地区复杂多样的法律法规和监管要求。例如，一些央企在海外投资和贸易中，由于对当地合规要求不熟悉，遭遇了贸易制裁、反垄断调查等问题，给企业带来了巨大的经济损失和声誉损害。

国内市场环境的变化：我国市场经济体制不断完善，法律法规日益健全，对企业的合规经营提出了更高要求。同时，市场竞争加剧，企业需要通过合规管理来提升自身竞争力，树立良好的企业形象。

企业风险管理的需求：合规风险已成为企业面临的重要风险之一。加强合规管理有助于预防和控制风险，保障企业的稳定发展。

政策推动：国家高度重视企业合规管理，出台了一系列相关政策，鼓励和引导企业加强合规建设。

央企自身发展的需要：部分中央企业在经营过程中存在一些不合规行为，如违规招投标、内部管理混乱等，影响了企业的健康发展和国有资产的保值增值。例如，某央企在国内的工程项目中，因违反招投标规定，被相关部门处罚，不仅影响了项目进度，还损害了企业声誉。

综上所述，为了适应国内外市场环境的变化，加强中央企业的风险管理，规范企业经营行为，提升企业竞争力，保障国有资产安全，《中央企业合规管理指引》应运而生。

《关于开展对标世界一流企业价值创造行动的通知》（国务院国资委，国资发改革〔2022〕79 号，2023 年 4 月 27 日发布实施）

提出央企要“构建全面、全员全过程，全体系的风险防控机制“。这为建立合规，内控，风险一体化管理体系，提出了新的期望。2021 国资委举办的“法治央企建设媒体通气会”上，国资委副主任翁杰明表示，中央企业已全部成立合规委员会，出台管理制度，完善工作机制，其中不少企业还探索构建法治框架下的法律，合规风险，内控协同运作机制，着力打造“法律合规大风控管理体系”。

落实党的二十大精神和中央经济工作会议部署要求：党的二十大提出了重要战略部署，加快建设世界一流企业。该通知的出台是为了深入贯彻习近平总书记关于加快建设世界一流企业的重要指示，将相关精神和部署要求落到实处，以更好地履行国有企业的经济责任、政治责任和社会责任。

面对当前复杂严峻的外部形势和挑战，国有企业必须通过开展对标世界一流企业价值创造行动，推动自身完善价值创造体系，增强国有经济竞争力、创新力、控制力、影响力和抗风险能力。

《关于开展对标世界一流企业价值创造行动的通知》/出台背景

近年来，国有企业规模实力不断增强，为建设世界一流企业打下了坚实基础。但同时，价值创造能力不强、质量效益不高等问题依然存在，制约了企业更高质量更可持续的发展，需要最大限度地提升价值创造能力，以提高产品服务质量和企业效益效率。

国际形势的变化：全球经济一体化进程加快，国际竞争愈发激烈，各国对企业的要求日益严格。部分国际大型企业因合规问题遭受巨额罚款甚至陷入经营困境，这对我国央企提出了警示，必须提升自身的竞争力和抗风险能力。

政策的延续与深化：自 2013 年首次提出建设世界一流企业的目标以来，相关政策不断推进。价值创造一直是国有企业高质量发展的关键因素，且其政策内涵和管理要求逐渐多元、丰富，从经济指标拓展到社会价值，从注重短期绩效转向注重长期绩效。之前的对标世界一流管理提升行动等取得了一定成果，需要在此基础上进一步深化，推动国有企业完善价值创造体系，提升价值创造能力。

地方企业相关监管文件（举例）

《广州市市属企业合规管理指引（试行）》的通知（广州市国资委，穗国资法 (2020)9 号 2020 年 12 月 01 日发布，2020 年 12 月 01 日实施）

合规管理的年度报告根据企业实际，可以与企业的风险管理、内部控制、法务等其他工作报告合并编写及上报，年度报告应当提交企业董事会审议。

《上海市国资委监管企业合规管理办法》（上海市国资委，沪国资委规〔2022〕2 号，2022 年 12 月 16 日 发布，2023 年 01 月 01 日实施）

第三十条 企业应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制，加强统筹协调，避免交叉重复，提高管理效能。企业合规管理应当加强与审计监督、财会监督、司法监督等机制的协调联动，...

《关于加强省属企业全面风险管理与内部控制工作的实施意见》（广东省国资委，粤国资函〔2021〕380 号，2021 年 08 月 03 日发布，2021 年 08 月 03 日实施）

提出：（一）厘清风险管理与内部控制之间关系。各省属企业要正确认识全面风险管理（以下简称风险管理）与内部控制（以下简称内控）之间的关系，深刻理解风险管理与内控是协调统一的整体，二者目标一致，均是为了促进企业实现发展战略。风险管理涵盖了内控，内控是风险管理的基础和必要环节。内控充分吸收了风险管理的理念和方法，要求将风险控制在可承受范围之内，促进企业实现发展战略。

（二）明确“强内控、防风险、促合规”管控目标。各省属企业要提高对风险管理和内控工作的重视，进一步树立和强化管理制度化、制度流程化、流程信息化的内控理念，通过“强监管、严问责”和加强信息化管理，严格落实各项规章制度，将风险管理和内控要求嵌入业务流程，促使企业依法依规开展各项经营活动，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的风险防控机制，切实全面提升内控体系有效性，加快实现高质量发展。

相关标准和规范（列举）

英国标准协会（BSI）推出一个整合管理体系规范 BSI PAS 99：2012，其基本思想是“使用一套政策和程序来满足所有的标准要求”，尝试整合 ISO 9001&ISO 14001&ISO 45001 等体系。

开放合规和职业道德团体（OCEG）是一个推广 GRC（Governance Risk & Compliance , 治理风险与合规）理论和实务框架的组织，开发了一个框架即 GRC 能力模型，对企业管理中“合规、内控、风控、追责、审计及治理等” 提供一个良好的底层认知。

中华文化促进会《法务、合规、内控、风险一体化管理原则与实施指南》团体标准，国内首个关于法务管理、合规管理、内部控制与风险管理如何进行一体化的团体标准。

二、企业运营发展环境变化

内在因素。风险管理需求。在数字化时代，企业面临着更多的风险和挑战，包括战略风险、市场风险、信用风险、操作风险、法律风险等，如果得不到有效控制，将对企业造成严重的损失。法务合规、内控与风险一体化管理能够帮助企业建立全面的风险管理体系，通过风险识别、评估、监控和应对等手段，有效控制各类风险，确保企业稳健运营。如《中央企业全面风险管理指引》等。

数字化转型推动。数字化转型已成为企业发展必然趋势。通过引入先进的信息技术和数字化工具，企业可以优化和重塑业务流程、组织结构、决策方式等方面，提高运营效率和管理水平。法务、合规、内控与风险一体化管理也需要借助数字化手段，实现管理流程的自动化、智能化和标准化，提高管理效率和准确性。

内部管理优化。传统的法务、合规、内控和风险管理往往各自为政，缺乏有效的协同和联动。这种分割的管理方式不仅效率低下，而且容易产生管理漏洞和风险隐患。法务合规、内控与风险一体化管理能够将这些管理活动整合在一起，形成统一的管理体系，实现资源的优化配置和管理的协同增效。如《关于加快构建中央企业内部控制体系有关事项的通知》《企业内部控制应用指引第 6 号——资金活动》等。

外部因素。市场竞争加剧。随着市场竞争的日益激烈，企业面临着更多的挑战和不确定性。为了在这种环境中保持竞争力，企业需要不断优化内部管理，提高运营效率，降低运营成本，并有效应对各种风险。法务、合规、内控与风险一体化管理能够帮助企业实现这一目标，通过系统化的管理手段，确保企业运营的合法合规性，同时降低潜在的法律风险和经营风险。

法律法规要求严格化。随着市场经济的不断发展，法律法规体系日益完善，对企业的合规要求也越来越高。企业需要密切关注法律法规的变化，及时调整内部管理制度，确保企业运营的合法合规性。法务、合规、内控与风险一体化管理能够帮助企业建立全面的合规管理体系，通过实时监控和评估，确保企业始终符合法律法规的要求。如《关于全面推进法治央企建设的意见》等。

企业高质量发展的要求。在数字化时代，企业要实现高质量发展，必须注重内部管理的优化和提升。法务合规、内控与风险一体化管理能够为企业提供全面的管理支持，帮助企业建立科学、规范、高效的管理体系，提高管理水平和运营效率，为企业的高质量发展提供有力保障。

三、企业运营发展环境变化/四位一体管理趋势

数字化时代下法务、合规、内控与风险一体化管理的内在驱动主要源于市场竞争的加剧、法律法规的严格化、数字化转型的推动、风险防范的需求、内部管理的优化以及企业高质量发展的要求。这些驱动因素共同推动了企业管理的变革和创新，为企业的发展注入了新的动力和活力。

注：作者张烽，万商天勤律师事务所合伙人，上海市突出贡献专家协会知识产权专业委员会副秘书长，上海区块链技术协会智库专家和科技评价专家，中国移动通信联合会元宇宙产业工作委员会常务委员，中国人工智能产业联盟安全治理委员会委员，国版链数据要素合规专家。