2023年，天津市财政局、天津市会计学会开展了优秀会计案例征集活动，共收到案例38个，经评审专家组评定，其中28个案例被评为2023年优秀会计案例，并被纳入我市优秀会计案例库。关于这些案例的系列宣传工作正在进行。读者可通过本会公众号“优秀案例”栏目进行了解。

  后期我们将通过更加多样化的形式开展案例宣传，欢迎感兴趣的案例作者积极与我们联系。

  摘 要国网天津市电力公司是国家电网有限公司的子公司，负责天津电网规划、建设、运营和供电服务，致力于为天津经济社会持续健康发展提供清洁低碳、安全高效的电力能源供应。公司格外的重视风险管理与内部控制建设，坚守合规底线，坚持依法合规经营。

  经过大风控体系和一体化机制的运转，公司现已实现风险、内控、法律合规“一口对外、一同受理、一体管控”，有效提升了风险防控需求响应速率，打破专业壁垒，减少风险信息传递时间，风险管理效率显著提升，风险管理成本降低，风险防控水平显著提升。

  2019年，国资委印发的《关于加强中央企业内部控制体系建设与监督工作的实施建议》（国资发监督规〔2019〕101号）明白准确地提出中央企业要“建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系”，实现“强内控、防风险、促合规”的管控目标。全面风险管理、内部控制管理与法律合规管理存在紧密的内在联系，具备协同基础。2021年，国资委印发的《关于进一步深化法治央企建设的意见》中，明白准确地提出着力健全合规管理体系，探索构建法律、合规、内控、风险管理协同运作机制，加强统筹协调，提高管理效能。加快并不断深化风险、内控、法律、合规之间的协同运作是企业提质增效，实现高水平发展的必要需求与内在要求，是一种必然趋势（图1）。

  构建“四合一”大风控体系，重点在于理清风险、内控、法律、合规的内在关系，利用共性，兼顾差异，立足公司管理现在的状况，避免“叠床架屋”，利用已经建立的全面风险管理、内部控制、法律风险管理、合规管理各项体系的优势，以管理协同为前提，以建立统一风险与内控措施清单为基础，以管理机制协同为主线，以运行效果评价为保障，实现体系合一、机制合一、运行合一。

  深入分析风险、内控、法律、合规四项管理体系的内在关系，利用四者在管理目的、管理对象、管理方法、管理流程和作用发挥等方面的一致性和相似性，通过部门协同、管理协同、岗位协同，构建统一风险库与内控措施清单，优化精简业务流程，形成一体化风控机制，最终形成“四合一”大风控体系。推动大风控体系运转，发挥“一口对外、一同受理、一体管控”作用，实现提高风险管理资源利用效率，消除交叉、重叠、冗余业务流程与环节，凝聚管理合力，提升风险防控整体能力的目的。

  明晰概念、理清关系与边界，是开展风险、内控、法律、合规一体化研究，进而构建“四合一”大风控体系的前提。公司追本溯源，立足内涵外延，从基础概念入手，深入分析风险、内控、法律、合规一体化的可行性与合理性。

  通过绘制关系图的方式，对四项管理体系的内在关系做全面、深入的分析研究（图2）。四者都是以风险防控、实现企业战略为目标，全面风险包含法律风险和合规风险，合法合规是风险管理文化的重要内容，内部控制管理系统与措施是全面风险管理的重要内容与方法；内部控制的目标之一是合理保证企业经营管理合法合规，风险评估与防控是内部控制的核心要素。

  将风险、内控、法律、合规从管理职能、管理部门、管理岗位进行三位一体协同，由公司财务部与法律合规部协同负责，全面风险管理、内部控制管理与合规管理施行一岗负责。通过把风险、内控、法律、合规管理职能统一在一个框架下，有效解决了四项职能在公司治理和职能管理中的定位问题，能够面向业务快速、高效响应，达到缩短信息传递时间，减少部门间沟通成本的效果。

  2.构建统一风险库与内控措施清单，为“四合一”大风控体系运转提供有力工具

  将统一风险库设置为包括风险基础信息区、合规风险信息区和风险控制措施信息区在内的三大要素分区，风险基础信息区包括风险名称、风险描述、风险等级、风险后果（责任）和风险底线清单，合规风险信息区包括合规依据和合规义务，风险控制措施信息区包括风险点对应的内控制度文件和内控措施，以及风险防控责任部门对内控措施效果的评价和完善计划（图3）。

  在公司全面风险框架基础上，结合公司业务实际，融入合规风险与法律风险，形成四级风险体系。围绕公司生产经营活动中可能面临的各种不确定性，按照业务领域和业务流程划分为四级风险，一级风险是指公司主体业务领域所面临的总体性风险；二级风险是指在公司各主体业务领域中的具体经营活动和管理行为所产生的风险，是对一级风险的细分；三级风险是可能会引起二级风险发生的主要风险诱因，是对二级风险的细分；四级风险是按照业务流程中风险有几率发生的具体业务环节，与内控措施相匹配，细化落实到流程步骤的风险，是对三级风险的细分（图4）。

  在对法律风险、合规风险、全面风险进行融合的基础上，以是否有明确的内控制度或规范性文件为标准，对风险点对应的内部控制措施进行梳理，将控制制度（或文件）、控制措施的具体条款及内容纳入风险库，形成内控措施清单（图5）。组织风险防控责任部门对内控措施是否有效进行评价，形成以制修订制度为主要措施的控制措施完善计划，纳入公司年度制度建设规划予以落实，及时堵塞内部控制漏洞，防止内控缺陷问题。

  建立形成覆盖公司整体23个专业，涵盖9个一级风险、26个二级风险、 77个三级风险、479个四级风险、837项风险点描述的统一风险库和包含832项控制措施和12项控制措施完善计划的内控措施清单。

  建立风险库定期更新机制。根据法律和法规和监管规定的变动情况，公司内外部审计、违反法律法规问题排查、风险排查等各类检查情况，专业部门业务调整和风险管理需求，对统一风险库做补充、更新、修订，各专业部门重新评估风险等级、底线风险，并根据制度文件修订情况，同步更新内部控制措施清单（图6）。

  一是年度风险评估。每年统一组织并且开展年度重大风险评估和年度法律合规风险评估，年度重大风险评估经过风险信息收集和调查问卷打分，形成年度重大风险防控计划。在此基础上，结合违规问题排查和法律纠纷案件管理，评估形成年度法律合规风险防控计划。二是每季风险排查。每季度末组织并且开展重大风险跟踪监测和合规风险排查，专业部门依据统一风险库及内控措施清单，对专业风险和内控措施落实情况做排查，风控部门对报送的风险进行跟踪，协助专业防范、解决。三是日常风险监测。将全面风险与内部控制措施执行情况监测纳入日常法律业务，通过合同审核发现并提示交易风险，通过规章制度管理加强内控制度执行监督以及内控制度设计完善，通过诉讼案件管理发现并提示专业管理中的各类风险。

  落实内外部管控要求，结合管理实际，建立以公司章程为核心，包含基本制度、具体制度和基层单位制度的分层分类制度体系框架，将公司规范性文件和合规专项指南纳入制度体系，延伸制度管控界面，明确各类制度效力等级和适用原则，形成系统完备、层次分明、相互衔接、务实管用的内控制度体系。根据外部形势政策、法律和法规和监管规定变化，结合新业务、新变化、新问题，做好制度立改废工作，及时将法律和法规有关要求转化为制度中的内控措施，确保“外规内化”及时性、准确性。

  常态化开展制度质量与执行成效评估，按照PDCA循环（计划、执行、检查、处理），全面梳理现行有效制度，聚焦依法合规、支撑改革、流程清晰、权责明确、务实管用、监督改进、全方面覆盖、执行无冲突等8个方面做全面自查。坚持问题导向，结合审计、巡察和各专项检查发现的制度执行问题，深入剖析、成果复用，及时发现设计缺陷和执行不力等问题，深入查找原因、找准症结、优化提升，强化制度刚性约束，推动制度有效落实。

  创设公司本部和基层单位两级总经理办公会制度宣贯解读机制，接收到上级重要管理制度1个月内在总经理办公会对制度核心管理要求进行宣贯解读，形成分层分级制度宣贯解读机制，紧盯“关键少数”确保制度理解执行到位。明确制度出台后的宣贯、培训及考试的主体与时限要求，鼓励采取“制度简易读本”“周例会讲制度”“动漫说制度”等多种形式推动制度进现场、进一线、进班组，着力打通制度落地“最后一公里”。法律合规部在每年11月份就制度培训、考试情况进行检查并通报，保障制度宣贯要求刚性执行。

  全面深化“放管服”改革，推进简政放权，促进风险防线进一步下沉，一方面针对已知风险，补齐管理短板，确保有效管控；另一方面着力提升风险管控穿透力，强化风险精准管控，防患于未然。针对业务规范空白点、管控薄弱点和流程阻滞点，发布实施改革事项清单，推进改革清单动态管控，有效承接总部下放权责。借鉴天津市“一制三化”经验，实施承诺制改革事项，推出服务承诺“四减”改革，分批减少审批事项，压减审批环节和审批时限。通过“双随机、一公开”抽查计划，加强“放管服”改革事中事后监管，在提升效率的同时有效管控授权风险。

  根据国家电网公司印发的《风险管理、内部控制与合规管理操作指南》，贯彻“管理制度化、制度流程化、流程信息化”的内控理念，编制《岗位履责合规义务清单》和《业务流程管控合规管理清单》。通过整合优化风险管理、内部控制与合规管理相关制度，将风险内控合规职责落实到岗到人，梳理全业务流程，将风险管理、合规要求、关键控制点嵌入业务流程，明确各业务流程的监督评价要点，实现全业务领域风险、内控与合规管控标准化（图7、图8）。

  采用集团监督、实时监督、内控自评价等多种方式对内部控制的设计和运行情况进行持续评价，不断规范监督评价工作程序、标准和方式方法，提升监督评价效能，及时发现内部控制的风险点和薄弱环节，有针对性地完善修补漏洞，推动内控体系的不断完善。

  （1）实时财务稽核监督。强化稽核内控管理，以解决问题为目标，实施两级稽核管理模式，充分应用多维精益管理体系建设成果，以及数据中台、大数据等技术，深化日常在线稽核，全面提升稽核内控效率。持续优化稽核规则，开展统一部署线上稽核规则执行验证，全范围筛查风险疑点，形成线上稽核疑点清单。以自定补充规则形式，优化统一部署不适用稽核规则，确保风险问题稽核全覆盖。有力推进稽核问题整改，建立财务与业务整改“双确认”机制，明确整改要求，提升问题整改质效。

  （2）全面实施企业自评。按照“应评尽评”原则，依据公司全面风险管理与内部控制管理办法中规定的评价程序、评价方法、缺陷认定标准，以规范流程、消除盲区、有效运行为重点，组织公司本部及全部分、子公司对内控体系有效性做全面自评。评价内容覆盖公司经营管理重点业务、重要领域和关键环节，客观、真实、准确揭示经营管理中存在的内控缺陷、风险和合规问题，形成自评报告，经董事会决策批准后按规定报送上级单位。

  （3）协同开展集团监督评价。按照全方面覆盖、突出重点的原则，编制《内控监督评价业务三年计划表》和《内控监督评价拓展评价业务清单》，协同集团聘请的会计师事务所开展集团监督评价。依据集团《内控监督评价手册》，结合被评价单位控制实际执行情况，与会计师事务所共同编制评价工作底稿。按照业务发生频率和《内控监督评价手册》规定的样本数量标准，根据随机抽样、分层抽样、判断抽样等方式要求，提供测试样本，作为监督评价的重要证据。根据内控评价结果，研究制定缺陷整改方案并落实完成相关整改工作。

  风险、内控、法律、合规“四合一”大风控体系是企业应对不确定性时代的新型风控方式，是配合整个环境变化下的企业深刻变革和风险管理的延伸与展现。快速变化的外部环境让企业传统的风控机制在某些特定的程度上阻碍了风险应对，一体化合规风险防控机制在这种背景下应运而生，有助于打破专业壁垒，整合风控职责，缩减业务流程，提升风控效率。

  一体化风险防控机制能够进一步整合公司管理资源，提高风险管控效率。通过一体化运作，使风险管控“一口对外”，第一时间响应业务需求，第一时间传递风险信息，第一时间发挥“第二道防线”的支撑作用。通过风险信息收集、案例归集、历史数据整理分析，做出风险趋势判断，提供法律合规风险防范建议，提高运营效率，系统防范风险。

  一体化风险防控机制能够降低风险管理成本，进一步提升公司管理质效。通过一体化运作，进一步明晰各项职能的逻辑结构和体系界面，将职责分工协同融合，精简掉职责交叉、重叠冗余的工作内容，弥补了单一职能对全面风险防控的不足和遗漏，最大限度地避免工作重复，减少资源占用，节约管理成本，提升专业能力。

  一体化风险防控机制能够逐步加强企业风险全周期管控。通过一体化运作，能够充分统筹业务各阶段风险的“全生命周期”管控，能够统筹风险管理“三道防线”协同发挥作用，对公司补齐短板、夯实基础、更加有效地防控风险具有较高的实用价值和意义。