摘要

企业如何就法律、合规、风险、内控管理体系进行有效衔接、协调统一；如何进一步整合管理资源，提升管理效能，从而避免职能交叉、工作重复、合力不足、效率不高、效果不显著等一系列问题。京城机电结合自身实际，建立四位一体化的风险管理体系，对法律事务管理、合规管理、风险管理、内部控制有关组织机构、工作目标、工作内容、方法、机制以及工作流程等进行有机整合，将原本独立的法律风险管理体系、合规管理体系、经营风险管理体系及内部控制体系进行融合，建立平台统一、信息共享、流程整合、功能强化、协调运转的风险一体化管理体系，为其他企业整合风险管理资源、融合风险管理职能，提升依法治企能力及风险管理水平，建立真正有效的、适应新形势市场竞争需要的一体化的风险管理模式进行了探索，提供了可以推广、借鉴的风险管理模式。

正文

北京京城机电控股有限责任公司（简称“京城机电”或“公司”）是首都大型装备制造与服务公司，目前拥有14家重要装备制造企业，6家境外公司，1家上市公司，6家科研院所和学校。京城机电的前身是1949年成立的北京市人民政府工业局，1999年6月2日经市政府批准，改制成北京机电工业控股（集团）有限公司，2000年9月26日正式更名为北京京城机电控股有限责任公司。京城机电深耕装备制造领域，完成了众多国家急需的重大技术装备，填补多项国内空白，奠定了在国家装备制造中行业领先的重要地位。

京城机电围绕疏解非首都功能，转型升级，培育“高精尖”，遵循《中国制造2025》及“北京市加快科技创新构建高精尖经济结构”要求，坚持以科技创新为核心，打造国际化机床产业集团，重点发展高端数控机床、天然气/氢燃料气体储运装备、高端液压件及系统集成、智能绿色印刷设备、环保设备等五个具有市场优势的产业，培育发展机器人及智能制造、增材制造两个战略先导产业；打造出“京城”“北一”“北人”“华德”“天海”等众多知名企业和品牌，产品销往美国、法国、德国、意大利、澳大利亚、日本、瑞士、新加坡、印度、越南等70多个国家和地区，在国内外装备制造领域中享有盛誉和影响力。

京城机电在“十三五”“创新、效益、转型、升级、共享”五大发展理念引领下，全力以赴打造高端装备制造与服务、文化创意及功能服务为一体的产业结构，成为国内领先的装备制造产业集团。

01 背景

为促进国有经济持续健康发展，防范企业风险，国务院国资委及北京市国资委对国有企业建立健全法治体系、合规管理体系、全面风险管理体系以及内部控制体系均提出了明确要求。按照市国资委的管理要求，2007年8月起，京城机电制定《法律事务管理制度》，成立法律事务中心，逐步建立法律风险防范体系；2013年，京城机电启动内控体系建设工作，并于2015年完成内控体系建设；2017年9月，京城机电制定《经营风险防控体系建设方案（试行）》以及《风险信息库》，初步建立经营风险防范体系；2018年2月起，北京市国资委陆续开展研讨会、组织宣传培训并下发《市管企业合规管理工作实施方案》，京城机电启动合规管理体系建设。

上述法律、合规、风险、内控管理工作，由于启动时间不同，监督实施主体不同，京城机电按照上级要求逐步推进，四大体系建设先后分别由三个部门负责，法律合规工作由法律事务部门负责，风险管理由运营管理部门负责，内控建设由财务部门负责。相应地，京城机电对所属下级单位的法律、合规、风险、内控管理，也由不同部门分别开展。工作推进过程中，存在职能交叉、工作重复、合力不足、效率不高、效果不显著等一系列问题。如何构建既满足国资监管要求，又符合公司实际、有效运行的风险管理体系，并能够适应市场竞争新形势，深入推进国企改革转型升级，成为京城机电亟需解决的课题。

为解决上述问题，京城机电成立了专项课题工作组，通过走访调研内外部企业，对公司高管及管理岗位人员进行访谈，组织外部风险管理专家论证，梳理法律、合规、风险、内控的内涵、管理流程、体系、区别与联系等，经过大量工作，专项课题工作组研究发现，四项职能不是对立的，而是协调统一的，可以进行有机融合。只要对法律事务管理、合规管理、风险管理、内部控制有关组织机构、工作目标、工作内容以及工作流程等进行有机整合，建立一体化管理平台，并有效实施，就能构建平台统一、信息共享、流程整合、功能强化、协调运转的法律、合规、风险、内控一体化管理体系（简称“风险一体化管理体系”）。在改革转型、攻坚克难的大背景下，构建与实施风险一体化管理体系显得尤为迫切：

? 风险一体化管理内涵图

（一）管理成本降低、提高效率的需要

京城机电风险管理职能分散，为“多头”管理模式，即法律、合规管理职能在法律事务中心，风险管理职能在战略运营部，而内部控制建设职能在计划财务部，三个部门分别开展管理活动，存在管理“三张皮”现象。另外，合规管理、内控管理、风险管理的流程均包含风险识别、风险评估、风险控制、监督与改进等环节，多个部门各自开展工作，存在重复管理、资源浪费等问题，也给所属下级单位造成了工作负担。所以，为降低管理成本，提高管理效率，必须对四项职能进行融合提升，整合流程，共享信息，构建统一管理平台。

（二）风险管理真正落地、发挥实效的需要

近年来，因外部环境影响，京城机电案件高发、风险较大，亟需采取有效措施防范风险。然而，公司风险管理职能不仅分散，职能也相对边缘化，并且由于风险管理部门和内控建设部门分离，风险管理部门识别风险后也无法直接修订完善流程、落实控制活动，风险管理未能有效落地。为应对以上问题，切实有效发挥风险管理职能作用，必须进行职能融合，确定专门的风险一体化管理归口部门，协调统一地开展工作。

（三）适应新形势下市场竞争、改革转型升级的需要

随着新一轮的经济新常态的到来，京城机电迎来了新的挑战，一方面是外部市场竞争形势日益严峻，另一方面则是内部体制机制、管理模式的制约日益凸显。京城机电风险管理体系建设是公司转型升级、提质增效工作的重要保障。对现有风险管理资源进行整合提升，可以构建良性闭环的公司经营发展管理链条，进而推动国企改革转型升级，所以，京城机电亟需构建起强而高效的风险管理体系，为公司经营发展保驾护航。

调研发现，大量中央企业以及北京市属国有企业与京城机电所处的环境相似，执行的法律文件一样，开展风险管理的时间也大致相同，京城机电风险管理面临的问题并不是个体性问题。京城机电在调研过程中发现，大量中央企业和北京市属国企在风险管理体系构建上面临同样的问题，如何进行职能整合、发挥实际效果是大量国企面临的共同难题。如能实现职能的有机整合，将是我国国有企业风险管理的一次重要尝试，不仅能够减少企业管理成本，也能进一步提高企业管理效率。另外，近年来党中央高度重视风险防范，强调坚持底线思维，提高防控能力，着力防范化解重大风险，中美贸易摩擦形势也复杂多变，美欧日三方联合声明，意图限制我国国有企业发展，内外部环境均对企业风险管理以及合规经营提出了更高的要求，而将法律、合规、风险、内控进行一体化管理的探索将具有非常重要的意义。

02 内涵及做法

（一）法律、合规、风险、内控一体化管理体系的内涵

京城机电法律、合规、风险、内控一体化管理体系是在原独立的法律风险管理体系、合规管理体系、经营风险管理体系及内部控制体系基础上建立的深度融合、协调运转的风险一体化管理体系，是公司经营管理体系的重要组成部分。

风险一体化管理，指公司从实际出发，为避免职能交叉、资源浪费，提高风险防范能力，对法律事务管理、合规管理、风险管理、内部控制有关组织机构、工作目标、工作内容、方法、机制以及工作流程等进行有机整合，成立风险一体化管理平台、组建归口管理部门，命名为法律风控中心，进行统一归口管理。在风险管理框架下，以风险管理为导向，内部控制和合规管理纳入风险管理基本流程，法律事务管理提供专业支持和保障，构建平台统一、信息共享、流程整合、功能强化、协调运转的风险一体化管理体系。

（二）法律、合规、风险、内控一体化管理体系的组织架构

? “两级管控、三道防线”体系图

1.建立“两级管控，三道防线”管控机制

京城机电风险一体化管理实行“两级管控，三道防线”管控机制，公司总部统一领导，指导所属企业开展法律、合规、风险、内控工作，公司总部和所属企业分别负责本企业的工作。

 “两级管控”，指公司总部与所属企业两级管控。公司总部，建立并实施风险一体化管理；所属企业，贯彻落实公司对所属企业法律、合规、风险、内控管理工作的各项要求及规章制度规定，结合实际，建立健全本企业法律、合规、风险、内控管理体系，接受公司对本企业的指导、管理和监督。

 “三道防线”，指公司总部和所属企业均应建立风险管理三道防线，各业务部门为风险管理第一道防线；风险管理归口部门为风险管理第二道防线；内审部门、纪检监察部门为风险管理的第三道防线。上级单位风险管理三道防线分别对下级单位风险管理三道防线具有业务指导和监督职责。

2.强化组织领导，各司其职

总部风险一体化管理组织机构图

京城机电建立由董事会（包含董事会下设的专门委员会）、监事会、经营管理层、风险一体化管理归口部门、风险管理具体责任部门、风险管理监督部门及所属企业组成的风险一体化管理组织架构。

（1）公司董事会是公司风险一体化管理的最高决策机构。

（2）公司董事会下设法治与风险委员会、审计委员会，对董事会负责，并根据《公司章程》《公司董事会专门委员会工作规则》履行风险一体化管理有关职责。

（3）公司监事会是公司风险一体化管理的监督机构，负责监督董事会、经理层建立与实施风险一体化管理。

（4）公司总经理办公会负责组织领导公司风险一体化管理的建设和日常运行。

（5）公司总法律顾问是公司风险管理的负责人，负责领导公司风险一体化管理归口部门开展日常工作，协调指导跨领域、跨部门的风险一体化管理相关事项，组织落实董事会、总经理办公会关于风险一体化管理的议决事项以及指导、协调、推进风险一体化管理其他有关工作。

（6）公司法律风控中心是公司风险一体化管理归口部门，在公司总法律顾问领导下，具体负责风险一体化管理体系的建设和整体运转，负责风险一体化管理工作的组织协调，并指导所属企业开展风险管理工作。

（7）公司业务部门是风险管理具体责任部门，各部门负责人是部门风险管理工作负责人。公司建立风险联络员机制，各部门负责人指定一人为部门风险管理联络员。

（8）公司审计部负责公司风险管理工作的评价审计监督，公司纪检监察部负责执纪问责。

（9）所属企业参照公司制度，结合企业实际，建立企业风险管理体系。所属企业可以将法律、合规、风险、内控四项职能进行一体化管理或分别设置，分别设置的应明确牵头部门。所属企业应在企业管理层中明确风险管理负责人，并可在其下设置风险管理部门。所属企业风险管理负责人，由总法律顾问或主管法律工作的领导担任。

（三）法律、合规、风险、内控一体化管理体系的制度建设

风险一体化管理制度体系

京城机电建立风险一体化管理“1+N”制度体系，为工作推进提供坚实的制度基础。“1”指《法律、合规、风险、内控一体化管理制度》，是公司风险一体化管理纲领性文件，对职能融合、体系融合、组织机构及职责、基本管理模式、基本管理流程等予以明确。“N”指在基本制度框架之下，通过合同管理办法、法律纠纷管理办法、内控合规手册、内控合规评价手册等对具体事项进行细化规定，从而构建风险一体化管理制度体系。

（四）法律、合规、风险、内控一体化管理体系的基本管理流程

京城机电重点从风险评估、风险控制、报告与监控、宣传培训、监督与改进、考核与责任追究六个方面，对风险一体化管理工作进行闭环管理，不断优化风险一体化管理体系。

风险一体化管理流程

1.风险评估

京城机电每年收集与公司风险管理相关的内部、外部初始信息，对收集的风险管理初始信息和各项业务管理流程进行风险辨识、分析和评价，并根据内部条件和外部环境，围绕公司经营目标，确定风险偏好、风险承受度等，选择风险承担、风险规避、风险转移、风险控制等适合的风险管理策略，针对各类风险制定风险管理解决方案。

评估工作定期开展，实施动态管理，对新的风险和原有风险的变化及时进行重新评估，并及时总结和分析已制定的风险管理策略及解决方案的有效性和合理性，结合实际情况不断修订和完善。

2.风险控制

风险评估后，公司将风险应对策略、风险应对措施、法律合规要求等嵌入到各业务流程、各业务活动中，融入各项规章制度，循序渐进的优化内部控制，使公司在正常运营过程中自发的防止错误、提高运行效率。同时，公司落实合同、制度、重大决策三项法律审核，开展合规审查，有效防范风险。

2020年3月，公司开展总部制度全面梳理工作。通过制度“立、改、废”，清理现有制度，实现规章制度“瘦身”，并将外部监管、法律合规、风险管理要求全面嵌入规章制度、工作标准及业务流程，从而完善公司内部管理制度体系。

公司部分所属企业内控体系建设主要依赖中介机构，存在业务流程与企业实际脱节、部分业务流程缺少有效控制等情形。为解决前述问题，提高风险防控能力，健全风险管控体系，2020年6月，公司启动重要业务领域关键业务流程标准制定工作。结合公司总部及所属企业经营实际，公司聚焦销售业务、采购业务、资产管理、资金活动、产品研发、合同管理、生产管理等重要业务领域，梳理查找流程缺陷，根据关键环节的控制要求和风险应对措施，研究制定关键业务流程标准“N”条，并要求企业结合企业实际根据“N”条流程标准完善本企业业务流程、制度及风险管控体系，并确保有效执行。

3.报告与监控

公司建立风险报告与监控预警机制。公司总部各部门对职责范围内的风险，所属企业对本企业的风险进行日常监控预警和重点监控。总部各部门及所属企业在发现重大风险或风险隐患时，按照管理权限、管理层级及时上报，并由风险一体化管理归口部门向公司总经理办公会报告。

4.宣传培训

公司注重推进风险管理文化建设，每年针对领导干部、业务部门人员、风险管理有关人员等不同受众设计不同主题，通过多种途径和形式，有针对性的开展法律、合规、风险、内控宣传培训工作，促进提升风险一体化管理水平，提高全员风险意识，保障风险一体化管理目标的实现。

5.监督与改进

公司及时跟踪、监督风险一体化管理状况，根据监督结果对风险一体化管理工作进行改进与提升，确保风险一体化管理工作的效果。总部各部门及所属企业每年对风险管理有关工作进行自查，及时发现缺陷并改进。公司风险一体化管理归口部门每年对总部各部门和所属企业风险管理体系建设及运转状况进行检查，提出调整或改进建议。公司审计部每年对风险管理有效性进行评价，法律、合规、风险管理制度建设及实施情况纳入审计部原内控体系监督评价范畴。

6.考核与责任追究

公司强化风险管理考核与责任追究，将风险管理纳入企业经营绩效考核，并按照法律法规及公司规章制度进行责任追究。