大监督体系下国企投资合规实务——兼谈容错机制的“救赎力”

（一）大监督体系简介

中国共产党第二十届中央委员会第三次全体会议通过了《中共中央关于进一步全面深化改革推进中国式现代化的决定》。该文件的第二部分即“构建高水平社会主义市场经济体制”中，明确提到了深化国资国企改革、完善管理监督体制机制的重要性。强调了增强各有关部门战略协同，推进国有经济布局优化和结构调整，以及推动国有资本和国有企业做大做优，增强核心功能、提升核心竞争力的必要性。标志着强化国资国企监管工作已经被纳入到进一步全面深化改革的战略全局之中。

大监督体系也并非新兴概念，早在2006年国资委及相关国资管理机构便已提出此概念。近年来，大监督体系在多个重要法规和政策文件中被提及，体现了其在风险内控、合规审计、监督追责等方面的综合监督体系建设的重要性。大监督体系是多维度、一体化的监督体系。从外部监督来看，首先是党委的统一领导。其次，纪委的监督也不可或缺，另外，作为出资人的监督同样重要。

（二）《中央企业合规管理办法》与现代风险管理最佳实践

国有企业监督的理念与现代风险管理学契合性非常高，在理念上，全面风险管理（Enterprise Risk Management, ERM）是风险管理学中公认的管理理念，与之相对的为传统风险管理。全面风险管理与传统风险管理的主要区别在于管理方式的不同，全面风险管理关注的是企业自上而下的整体风险评估与管理，而传统风险管理则类似于“头痛医头，脚痛医脚”，是一种点对点的风险管理方式。

全面风险管理的优势在于：

1、能够更准确地体现企业的风险整体情况和风险敞口的整体状况。通过对企业所有风险的全面评估，提供了更为宏观的风险管理视角。

2、有助于不同部门之间的风险整合。例如，投资部门、交易部门以及债券投资、股权投资等，如果各自独立运作，可能会面临诸多风险。但如果将内部部门的风险整合到公司整体层面进行考量，某些风险可以在内部互相抵消或对冲。

3、减少风险管理成本。从公司整体角度出发进行风险管理，有助于更有效地控制风险管理成本，同时也便于采取更为直接和有利的风险管理措施。

在风险管理的基本方式上，国有企业的监督理念与现代风险管理也显示出高度的契合性。央企合规管理办法中提到了对风险进行分类识别、分析和评估管理，这与风险管理学上的最佳实践相一致。

在企业风险管理的主要架构上，两者也基本契合。特别在2021至2022年间，国资委重点强化了董事会的责任，确保董事会职责的落实。除了董事会之外，下属管理层需要设置首席合规官（Chief Compliance Officer, CCO）或首席风险官（Chief Risk Officer, CRO）。

此外，关于三道防线的要求也明确写入制度中。三道防线是现代风险管理中对公司内控或风险防线建设的基本理念。第一道防线为业务及职能部门，即为公司创造主营业务收入的职能部门。第二道防线为独立的合规管理部门或独立的风险管理部门。第三道防线为独立的监督部门，除了内部审计部门外，还包括纪检监督部门，使得第三道防线更加扎实。

从风险管理的角度来看，除了架构上的董事会、首席合规官、首席风险官和三道防线的设置之外，企业的制度建设、流程管理和风险文化的建设也备受关注，也与现代风险管理高度契合。

（三）风险管理的基本方式

（1）风险识别。查找各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险。

（2）风险分析。对识别出的风险及其特征进行明确的定义和描述，分析和描述风险发生可能性的高低，风险发生的条件或原因以及可能造成的损失。

（3）风险评价。结合风险发生的概率、损失幅度以及其他因素，分析风险对公司的影响程度，并确定风险等级。

（4）风险管理。结合业务目标和风险管理的成本，决定针对风险所采取的管理措施，并确保跟踪落实。

（1）风险承担。在识别、分析、计量以及权衡之后，如果认为某个风险是可以承担的，评估后不需要进行任何管理，选择接受并继续推进项目。在投资项目中，经过评估后认为风险可接受，便决定不采取额外的管理措施。

（2）风险规避。经评估分析某些风险是国资所不能接受的，比如由于政策原因、偏离主业的投资，或者影响国企形象、社会责任的红线投资等，选择不接受此类风险，项目因此而终止。

（3）风险转移。在某些操作风险上，通过调查、访谈或企业自身披露可能会了解到投资标的存在历史上的问题。例如，在B轮或C轮投资一家公司时，如果发现公司在劳动人事或房屋租赁方面存在瑕疵，如未按规定为员工缴纳社保等，可以通过谈判要求创始股东或原股东承担这些不合规的全部风险，即如果因这些问题被监管机关追责，由原股东承担赔偿责任，这是风险转移的方式。

（4）风险转换。某些风险事项在最初可能被认为是关键的前提条件，但随着时间的推移或情况的变化，这些风险不再那么关键，或者可以在后期给企业时间来完善。可以将这些风险从交易前提条件转换为交易后的期后事项，并要求企业在后期处理。

（5）风险补偿。在交易实践中存在业绩承诺和对赌协议时，期望投资的企业能够实现其商业计划书中所承诺的年度营业利润，然而企业可能无法达到预期目标。因此，在投资时会设定业绩补偿条款，调整交易对价和估值。如果企业未来未能实现预期业绩，再调整交易的对价和估值。

（6）风险控制。对于生产型企业或经营性商场，面临安全生产或不可抗力等各类风险时，可以要求企业购买相关保险，并将投资人列为受益人，以增加额外的保障。在风险控制要求更严格或谈判地位更高的项目中，还可以要求企业对投资协议下可能承担的责任提供一定程度的担保。

（一）从审计巡察结果反思国企投资业务的合规

习总书记提出“三个区分开来”的指导意见，具体来说要求我们区分以下三种情况：

（1）要把干部在推进改革中因缺乏经验、先行先试出现的失误和错误，同明知故犯的违纪违法行为区分开来；

（2）把上级尚无明确限制的探索性试验中的失误和错误，同上级明令禁止后依然我行我素的违纪违法行为区分开来；

（3）把为推动发展的无意过失，同为谋取私利的违纪违法行为区分开来。

当国企进行投资决策时，常会面临一个问题：投资决策应如何制定？投资业务对项目的判断是综合的、复杂的、多维的，商业决策本身也具有一定的灵活性。

例如，如何决定在某个估值下是否投资一家公司？估值的合理性如何尽量客观化？

另外，国企在进行投资时也面临着一些特殊性。由于国有资产受到各种流程监管，并且有保值增值的要求，但投资的本质上是通过承担风险来获得收益的行为。最后的投资结果可能是正面的，比如IPO上市或估值大幅提升；但也有可能企业破产清算，投资的两面性是作为投资者无法完全避免的。在第二种情况下，如何对国有资产的保值增值有所交代，是投资业务中的特殊性之一。

再者，国企在进行一项投资时，并不是简单地决定投或不投。在每一个风险被识别或出现之后，都需要进行一系列的小决策。因此，决策的事项繁多，层次多样，类别广泛。这不仅仅是按照国有企业的“三重一大”或国资内部制度要求，通过党委会或办公会来进行决策，实际上每个业务人员都在进行决策，只是决策的事项有大有小、有细节也有决定性的决策。

（二）容错机制的探索现状

从文件的效力来看，地方性法规居多，规则体系具有完备性，一些地方已经对容错情形、容错条件和容错程序有了明确规定。大多数容错机制或政策是由地方自行探索，呈现出个性化和弹性的特点。

（三）国企项目投资合规体系建设基本要求

（1）强有力的风控体系，使得业务流程中沟通成本减少，业务及风控质量和效率提高，切实减小风险敞口。

（2）强有力的风控体系可实现风控理念统一化，风控成果可视化，有助于量化业务决策中的风险承担量，提高公司决策效率。

（3）强有力的风控体系规范了公司人员为实现公司目标的应为和应不为，长远来看能促进经营目标的实现。

（4）强有力的风控体系能打造公司在负面外部环境下的承压能力、提升核心竞争力，为经营管理有效性进行赋能。

（1）第一道防线——公司投资业务部门

投资业务部门需要对业务流程进行全面梳理，识别关键节点，并结合实际运行情况，确定风险防范的重点，并设定风险防范的预警线。另外，针对识别出的风险，制定具体的风险防控措施和方法。深刻理解每个业务环节可能遇到的风险，并从审计和巡查的角度出发，明确识别哪些环节存在风险，并制定相应的风险处理和预警预案。此外，业务部门应建立日常风险信息收集渠道，对主管业务范围内的风险信息进行存储、分析和报告。“管业务必须管风险，抓业务必须抓合规。”投资业务部门不仅要在具体项目上承担风险管理的主体责任，还应在日常工作中持续关注风险问题。

（2）第二道防线——风险职能管理部门

风控合规管理部门风险管理的牵头部门，它作为专业的、独立的部门，对风险管理进行牵头，开展公司层面的风险识别、分析、管理，研究提出风险管理策略和跨职能部门的风险解决方案，组织风险评估自查，对风险管理的第一道防线的运行情况进行监督。风险管理是一个自上而下又自下而上，三道防线共同参与、制度机制共同起作用、全员参与的过程。

（3）第三道防线——内审和纪检监督部门

内审和纪检形成联动，全面参与配合，大监督体系的工作形成优势互补、全面覆盖。

（1）制度规范性及可行性

从审计巡查角度看，首先审查国有企业是否有相关的管理制度，评估制度是否全面覆盖了所有必要的管理领域；对于二三级或更低级别的投资公司，需要核查其公司制度是否与上位制度（如二级公司对标集团制度，三级公司对标二级集团制度）保持一致或有无冲突；审查是否符合法律法规和行业标准，是否合理可行；制度是否有及时更新以适应新的政策和自律规则、当上位制度发生改变时，下位制度是否也及时进行了相应的更新。

国有企业投资公司在遵守制度完备性、一致性、合规性、合法性和及时性的同时，还需满足大监督的要求以及符合市场化运作的要求，确保制度设计既符合监管规定，又能适应市场变化。

（2）流程确定及合理性

流程设计要有明确性，通过明确的流程设计，确保每一步操作都有清晰的指导原则和执行标准。流程设计需要根据业务发展的情况定期去评估，并根据实际执行情况对流程进行调整和优化，以应对不断变化的业务需求和环境。

（3）决策的规范性

在国有企业内部，决策的规范性至关重要，尤其是在避免因违规投资经营管理制度而受到追责的情况下。

首先，需要明确决策流程中的“三重一大”事项，即重大事项、重要人事任免、重大项目安排和大额资金运作。我们需要判断当前的投资是否属于“三重一大”的范围内。大多数情况下，国有企业的投资决策需要经过党委的前置审批。

其次，需要确认集团内部是否对下级公司有投资授权。如果没有投资授权，需要确认具体的审批流程；如果有投资授权，则应在授权范围内进行审批和决策。

其三，在投资决策中，进行充分的风险揭示。若决策方式为集体决策，需要进行充分地留痕。

其四，需要重点关注投资范围是否围绕企业主业，投资目的是否合理、规范，以及是否与企业发展战略相一致。

其五，审查决策依据的文件内容是否充分，是否具有客观性和可比性。

（四）国企项目投资合规体系建设的进阶实务建议

（1）普适性、特异性原则

风险管理需要适应国企投资公司的管理需要，并同时体现公司特有的风控标准。例如，国企内部可自行或并行第三方对重点的业务类型梳理出一套适用于自身的风控手册，或就某些方面需要标记企业出具承诺函，以明确责任和义务；要求外部律师出具针对特定问题的专门法律意见书，以确保合规性和风险控制。公司内部的风控标准主要取决于行业或者是集团公司内生性的规定，或者是取决于公司的决策风格、业务团队的风格、行业地位。

（2）标准化、精细化原则

持续推进风控流程指引建设工作，提升工作流程标准化程度和精细化程度，从看结果深入到看过程，深入到投资和风控工作的重要细节。

（3）可归责、可追溯原则

进一步明确风险控制的责任划分，实现公司内部风险承担的可归属性；风险问题在公司防线中的运化过程向可记录、可追溯方向发展。

制度标准化的目的是为了确保公司制度的统一性和一致性，为员工提供明确的工作准则，通过流程图等形式，使工作流程清晰、易于理解和执行。提供标准化的操作指引，可以帮助员工在执行任务时遵循既定的标准和程序。

此外，在审计和巡查过程中，标准化的制度和流程也为评估公司是否履职尽责提供了客观标准，避免了主观臆断；按照标准化指引进行的工作将留下明确的履职痕迹，为公司在面对审计、巡查监督或各种检查时提供有力支持。同时，标准化建设也使公司在应对各种审计和检查时能够做到心中有数，提高应对效率和效果。

从审计巡查的角度出发，更应当重视并关注风险管理与责任追究的问题，在可检查、可追溯的过程中关注过程留痕和追溯机制的建立。

首先，考核机制应包含合规性指标。尽管合规性指标可能难以直接量化，但可以通过设定具体的合规目标和标准，使其成为可衡量的考核内容。

其次，考核过程中也需关注区别对待。国资委在2020年发布的《深化中央企业内部审计监督工作的实施意见》中提到，推动审计人员绩效考核结果与薪酬兑现、职业晋升、任职交流等挂钩，并探索与其他业务部门差异化的内部审计考核机制。考核结果不仅影响薪酬，还应与员工的职业发展和晋升机会相挂钩，以增强考核的激励作用。可以根据不同业务部门的特点和需求，探索实施差异化的内部审计考核机制，更好地适应各自的业务特性和风险管理需求。

对于投资人员而言，在制度没有明确规定的情况下，决策的依据往往取决于企业文化。企业文化和风控文化能够为员工提供决策时的倾向和指导。

风控文化的建设需要从管理层，尤其是董事会开始。董事会作为对风险管理承担最终责任的主体，必须从顶层传递合规和风险控制的理念，制定风险偏好，并将其传达给所有员工。通过案例分析与培训实践，让员工将风控文化内化为自觉意识，并通过制度规范和奖惩机制激励员工，规范其行为，建立与风控文化相匹配的激励和奖惩机制，鼓励员工遵守风控原则，规范行为。