咨询电话
151 0105 1188
151 0105 1188
一、从中央企业穿透式监管到穿透式风控
1.文件发布的背景。
2025年3月,国务院国资委发布《关于做好2025年中央企业内部控制体系建设与监督工作有关事项的通知》(以下简称《通知》),这一文件的出台具有深刻的政策背景和现实意义。自2003国务院国资委成立以来,中央企业的监管体系经历了从粗放式管理到精细化治理的转型,特别是近年来,随着国内外经济环境的不确定性加剧,企业风险暴露愈发频繁,尤其在下级单位和业务末端,信息不对称和管理失控问题日益凸显。在此背景下,国务院国资委提出穿透式监管的要求,旨在通过更加系统化、全面化的监管手段,提升中央企业的风险防控能力,确保国有资产保值增值。
2025年作为国企改革深化提升行动的收官之年,具有特殊的节点意义。自2023年启动的国企改革三年行动计划以来,中央企业在战略重组、管理优化和风险防控等方面取得了显著成效,但同时也暴露出部分企业在多级架构下的控制力不足、风险隐患未能及时发现等问题。2025年内控文件的穿透式监管的提出,标志着国务院国资委监管思路从“面上覆盖”向“纵深突破”的转变,力求通过全链条、全要素的监管升级,可谓“穿透式监管元年”。
2.穿透式监管的内涵与意义。
穿透式监管是2025年《通知》的核心理念,其内涵体现在“全级次、全链条、全过程、全要素”的穿透要求。具体而言,“全级次”指监管覆盖从集团总部到各级子企业的所有层级,不留死角;“全链条”强调从业务发起到执行的完整流程监管;“全过程”要求从决策到结果的全生命周期监控;“全要素”则涵盖主体、业务、数据和责任的全面穿透。这种监管模式突破了传统以总部或关键环节为主的局限,旨在实现对企业运营的立体化、动态化管理。
穿透式监管的意义首先在于打破信息孤岛,实现从“看得清”到“管得住”。中央企业往往层级众多、业务复杂,信息在层级传递中容易失真或滞后,导致总部对下级单位的实际情况缺乏全面掌握。穿透式监管通过数据穿透和责任穿透,确保风险信息能够及时上达,消除监管盲区。其次,它提升了风险防控的精准性。传统监管多依赖事后检查,而穿透式监管强调事前预警和事中控制,通过对业务和数据的实时监控,及时发现潜在风险,防止小问题演变为大损失。此外,文件要求提升中央企业智能化穿透式管控能力和水平。伴随着智能化技术的应用,监管效率大幅提升。
3.从监管到风控的落地转化。
穿透式监管作为国务院国资委提出的顶层设计,其落地执行需转化为中央企业层面的具体工作,“以督促建”建的就是中央企业包含了风险管理、内控、合规的“穿透式风控”体系。从监管视角看,穿透式监管属于第三道防线(监督层)的职责,旨在通过内外部监督推动企业内部管理的完善。然而,其实际效果依赖于企业第一道防线(业务执行层)和第二道防线(风险管理职能单元)的响应与落实。国务院国资委提出穿透式监管的目的并非单纯加强监督,而是通过监督驱动企业建立更有效的风险防控机制。因此,这一要求必然向前传递到第二道防线,甚至第一道防线,最终在企业层面体现为穿透式风控体系的建设。
具体而言,穿透式监管要求企业从集团总部到基层单位实现风险信息的纵向贯通,这意味着第二道防线,即风险管理、内控和合规职能部门需承担起核心的承接角色。这些部门需整合资源,建立覆盖全级次、全流程的风险识别与应对机制,确保监管要求转化为可操作的风控实践。同时,第一道防线的业务部门也需调整机制,将风险防控要求穿透到各级日常运营,形成“业务与风控并重”的管理模式。这种从监管到风控的转化,不仅是对国资委文件的落实,更是对企业内部治理能力的提升。
穿透式风控体系的建设是对传统风控模式的升级。它要求企业在上一个中央企业融合风控时代横向整合的基础上,进一步实现纵向穿透,压实各层级责任,确保风险管理不停留于自下而上的信息报送层面,而是深入到业务源头和责任主体。这一过程既是对监管要求的响应,也是中央企业主动适应复杂环境、提升核心竞争力的内在需求。通过“以督促建”,穿透式监管最终在企业层面落地为更加系统化、垂直化、智能化的风控体系,为实现高质量发展奠定坚实基础。
二、风险控制的三个阶段
(一)风控1.0时代——多头领导,多线并行
1.时代特征。
风控1.0时代是中央企业风险管理体系的初创阶段,大致涵盖2006年至2018年。这一时期,中央企业的风险管理尚处于探索和起步阶段,其主要特征表现为“多头领导,多线并行”。
“多头领导”体现在多个监管部门分别牵头制定政策,如国务院国资委负责全面风险管理,财政部推动内部控制规范,形成了各自为政的局面。“多线并行”则表现为风险管理、内控建设与合规管理三条主线独立推进,缺乏统一协调。2006 年国务院国资委发布的《中央企业全面风险管理指引》开始推行全面风险管理体系建设,2012年国务院国资委联合财政部推动的中央企业层面内控体系建设强调了制度建设和流程控制,而 2018年的《中央企业合规管理指引》则侧重法律与合规风险。这种分头治理的模式虽然在特定领域取得了一定成效,但也导致企业内部职能分散、管理资源重复配置,整体风控体系呈现碎片化特征。此外,这一阶段的风险管理工作多以总部层面推动为主,下级单位仅仅从满足上级“合规”要求进行了一些探索,难以应对日益复杂的多层级管理需求。因此,风控1.0时代的特征既反映了风险管理从无到有的起步,也暴露了协同性不足的先天缺陷,为后续阶段的整合奠定了基础。
2.主要政策内容。
风控1.0时代的主要政策由国资委和财政部等部门陆续发布,形成了风险管理的初步框架。2006年,国资委出台《中央企业全面风险管理指引》,这是中央企业风险管理的标志性文件。该指引明确提出对五大风险,即战略风险、市场风险、运营风险、财务风险和法律风险,进行全面管控,要求企业建立风险管理组织架构、识别关键风险并制定应对措施。这是中央企业首次从顶层设计层面系统化推进风险管理。
2012年,财政部推动《企业内部控制基本规范》及其配套的18个应用指引在中央企业中实施,国资委联合财政部发文要求企业建立覆盖全集团的内控体系。这一政策将风险防控的重心从识别转向制度流程的完善,强调通过制度设计和流程控制防范风险。然而,由于内控体系与风险管理目标未完全对齐,二者在企业内部常被视为两套独立体系,增加了管理负担。2018年,国资委发布《中央企业合规管理指引》,进一步聚焦重点领域和重点环节的合规风险,要求建立合规管理体系。这一政策是对国际化经营中合规风险频发问题的回应,但合规管理仍独立于风险管理和内控之外。
3.面临的主要问题。
这些政策共同构成了风控1.0时代的框架,为中央风控体系建设奠定了基础,推动了各条线从无序到有序的初步转变。然而,由于各自目标不同、推进节奏不一,导致企业疲于应对多部门要求,难以形成合力。
(1)协同性差。风险管理、内控体系和合规管理由不同部门推动,目标和方法存在差异。例如,风险管理强调事前预警,内控注重流程规范,合规聚焦法律底线,三者未形成统一的风险防控逻辑,导致企业内部职能部门各自为战,甚至出现职责重叠或空白。
(2)资源分散与效率低下。由于多线并行,企业需分别投入资源应对不同政策要求。如企业可能同时设有风险管理职能、内控职能和合规职能,缺乏信息共享与协作,导致管理资源浪费。此外,风控1.0时代的工作多集中于集团总部,对下级单位的覆盖不足。随着中央企业层级增多、业务链条延长,下级单位的风险隐患难以被总部及时感知,缺乏对风险的整体画像。
(3)缺乏系统性。风险管理、内控和合规虽各自形成体系,但彼此割裂,难以应对复杂风险的叠加效应。分头治理的模式无法实现跨领域联动。这种碎片化特征限制了风控效能,也为后续风控2.0时代的融合需求埋下伏笔。
尽管存在诸多问题,风控1.0时代仍通过政策引导和实践积累,为中央企业风险管理提供了宝贵经验,促使监管部门和企业反思并探索更高效的模式。
(二)风控2.0时代——多线融合,横向拉通
1.时代特征。
风控2.0时代大致覆盖 2019年至2024年,是中央企业风险管理体系从分散走向整合的关键阶段。这一时期的核心特征是“多线融合,横向拉通”,旨在解决风控1.0时代多头领导、多线并行的协同性不足问题。随着国企改革的深入推进和外部环境的复杂化,中央企业面临的风险呈现出交叉性和系统性特征,单一的风险管理、内控或合规手段已难以应对全局性挑战。在此背景下,国务院国资委开始推动风险管理、内控体系和合规管理的融合,试图通过横向整合提升风控效能。
这一阶段的“多线融合”体现在监管政策从分头推进转向统筹规划,强调将三者纳入统一框架,形成“强内控、防风险、促合规”的整体目标。“横向拉通”则聚焦于第二道防线(风险管理职能单元)的职能整合,通过共享信息、统一标准,打破部门壁垒。然而,风控2.0时代的融合仍以横向为主,纵向穿透不足,下级单位的风险控制仍是薄弱环节,这一阶段为后续风控3.0时代的纵向整合奠定了组织和机制基础。
2.主要政策内容。
风控2.0时代的政策以2019年国务院国资委发布的《关于加强中央企业内部控制体系建设与监督工作的实施意见》(简称“101号文”)为起点。该文件首次明确提出“强内控、防风险、促合规”的三位一体目标,要求企业将内部控制、风险管理和合规管理纳入同一视野,推动多线融合。文件强调通过内控体系建设防范风险,同时以合规为底线,确保经营活动合法合规。这一政策标志着风控工作从分散治理转向系统整合。
随后,从2020年至2024年,国务院国资委每年发布的内控文件进一步细化和落实这一融合机制。例如,2020年文件提出构建协同高效的“一体化”风控模式。2021年、2022年,国资委进一步要求企业完善风险信息共享机制,推动利用信息化手段进一步实现整合与协同。到2024年,提出推动风险防控由“单兵作战”向“协同共治”转变。这些政策的核心是通过职能拉通和资源整合,提升风控工作的效率和效果,这种政策导向推动了风控2.0时代的融合实践。
3.本阶段的成果。
风控2.0时代的最大成果在于实现了第二道防线的横向整合,提升了风险防控的协同性和效率。通过多线融合,企业逐步打破了风险管理、内控和合规之间的壁垒,形成了较为统一的治理框架。例如,许多中央企业在集团层面设立了某一个风控职能负责统筹三大职能,实现了组织上的整合,开始探索“多位一体”风控融合体系,这种整合显著提高了风险信息的共享效率。此外,横向拉通降低了沟通和管理成本。在风控1.0时代,企业需分别向不同部门提交报告,而2.0时代通过统一报告机制简化了流程。将内控评价、风险评估和合规审查整合为一份综合报告,既减轻了基层负担,又提升了管理效率。
2022年,笔者联合十家央国企出版了《国有企业风控融合体系实践与案例》,探索和分享这个阶段风控融合、多位一体的一些好的做法和真实案例。
4. 面临的主要问题。
尽管风控2.0时代在横向整合上取得了显著进展,但仍存在明显局限。
(1)融合主要集中于集团或主要二级企业的第二道防线,纵向穿透不足。由于中央企业层级多、链条长,集团总部的风控政策在下级单位落实时往往打折扣,导致基层风险难以有效控制。例如,一些子公司的基层单位、海外项目中因缺乏有效的风险管控而发生重大损失,暴露出“上强下弱” 的问题。
(2)多位一体模式在实践中仍面临协同难题。尽管政策倡导融合,但在具体执行中,风险管理、内控和合规团队的职责边界尚未完全理清,导致部分企业仅实现了形式上的整合,而非实质性协同。此外,技术应用的深度和广度不足。虽然部分企业引入了智能化工具,但多数仍停留在基础阶段,未能充分发挥数据穿透的潜力。
(3)风控2.0时代对第一道防线(业务执行层)的带动作用有限。风险防控仍以职能部门为主,业务部门的风险意识和能力未得到充分提升,导致风险源头的防控效果不佳。这些局限表明,风控2.0时代的横向拉通虽提升了效率,但难以彻底解决系统性风险问题,为风控3.0时代的纵向穿透需求埋下了伏笔。
(三)风控3.0时代——深度整合,纵向穿透
1.时代特征。
风控3.0时代以2025年为起点,标志着中央企业风险管理体系进入“深度整合,纵向穿透”的新阶段。这一阶段的核心特征是对风控2.0时代横向整合的升级,聚焦于从集团总部到基层单位的全级次穿透,旨在实现风险管理的全面覆盖和责任的层层压实。随着中央企业规模扩张和业务复杂化,传统风控模式难以应对层级递减带来的控制力弱化问题,尤其在下级单位,风险隐患往往因信息不透明而被掩盖,最终演变为重大损失。风控3.0时代的到来,正是对这一挑战的直接回应。
“深度整合”体现在风险管理、内控和合规职能以及其它管控职能的进一步融合,不仅在横向上协同,更在纵向上贯通,形成覆盖全链条的立体风控体系。“纵向穿透”则强调从决策层到执行层、从总部到末端的全流程监控,确保风险信息无障碍传递、责任无盲区落实。这一阶段的推动力源于国资委穿透式监管的要求,标志着风控体系从被动响应向主动构建转变。与此同时,数字化技术的广泛应用为纵向穿透提供了技术支撑,如大数据和人工智能技术的引入,使企业能够实时掌握多层级风险动态。风控3.0时代的特征不仅是技术与机制的升级,更是基于当下环境提出的对企业监管理念的新探索,旨在构建适应新时代挑战的现代化风控体系。
2.主要政策与要求。
风控3.0时代以 2025 年国务院国资委发布的《关于做好2025年中央企业内部控制体系建设与监督工作有关事项的通知》为载体。该文件首次全面提出“全级次、全链条、全过程、全要素”的穿透式监管要求,明确要求企业打破信息孤岛、消除监管盲区。这一政策不仅是对监管的强化,更是对企业风控体系建设的明确指引。文件强调,穿透式监管需覆盖从集团到子公司的所有层级,贯穿业务发起到结束的全链条,监控决策到执行的全过程,并确保主体、业务、数据和责任等要素的全面穿透。
具体要求包括:
(1)建立纵向风险管理机制,企业需完善从总部到基层的风险识别、评估和应对机制,确保风险信息逐级上报、防控措施逐级落实;
(2)压实各层级责任,明确各级管理者和业务单元在风控中的职责,形成“人人有责”“穿透溯源”的治理格局;
(3)推动技术赋能,要求企业引入智能化工具,实现数据的实时穿透和风险的动态监控。
3.本阶段目标与挑战。
风控3.0时代的目标是通过纵向穿透实现风险防控的全面性和精准性。具体而言:
(1)全面覆盖风险源头,通过全级次穿透,确保下级单位的风险隐患能够被及时发现和化解,避免“小问题酿成大事故”;
(2)提升防控精准性,利用数据穿透和责任穿透,精准定位风险点并落实整改措施;
(3)增强系统韧性,通过深度整合构建适应内外部变化的动态风控体系,提升企业在危机中的应对能力。这一目标的实现不仅是对国资委穿透式监管的响应,也是中央企业高质量发展的内在需求。
然而,风控3.0时代面临多重挑战。
(1)组织架构的复杂性。中央企业层级多、业务广,纵向穿透需打破既有的管理惯性和利益格局,涉及组织调整和流程再造,实施难度较大。
(2)技术应用的深度不足。虽然智能化工具被广泛提及,但许多企业仍缺乏成熟的数据治理能力,难以实现实时穿透和精准分析。
(3)基层执行力的薄弱。下级单位往往资源有限、人员素质参差不齐,难以有效落实集团的风控要求。
(4)思想意识问题不容忽视。纵向穿透要求从上到下形成风险防控共识,但部分企业仍存在“重业务、轻风控”的思维惯性。
这些挑战意味着风控3.0时代的推进需在机制、技术和文化层面同步发力,才能真正实现深度整合与纵向穿透的目标。
三、风控整合时代,如何实现纵向穿透
风控3.0时代的到来标志着中央企业进入风险管理的整合新时代,纵向穿透成为实现穿透式风控的核心路径。本文从风险管理、内控体系和合规管理三个维度,探讨实现纵向穿透的具体方式和实操建议,以确保风险防控从集团总部深入到基层单位,全面覆盖并有效落实。
1.风险管理的纵向穿透。
风险管理的纵向穿透旨在确保重大风险在不同层级的识别、评估、监测、响应和处理无缝衔接,形成闭环管理体系。首先,企业应建立重大风险的分级穿透评估机制。集团层面需梳理战略性、全局性风险(如市场波动、政策变化),并将其分解为下级单位的具体风险点,通过风险清单逐级传递。其次,构建多层级监测体系。借助智能风控平台,企业可实现风险数据的实时采集与穿透分析,确保基层单位的风险动态及时上报。例如,通过设置关键风险预警指标(KRI),总部可动态掌握下级单位的运营状况。在响应与处理环节,企业需制定分级响应预案,确保风险事件发生时,各层级能够迅速联动。例如,对于海外投资风险,集团可指导子公司制定应急措施,并通过模拟演练验证预案可行性。同时,建立风险处理的反馈机制,要求下级单位定期报告处理结果,集团层面进行复盘分析,确保经验教训在全体系内共享。这种纵向穿透的实操方式,能够有效提升风险管理的敏捷性和精准性,防止风险在基层积聚。
2.内控体系的纵向穿透。
内控体系的纵向穿透需将流程控制和关键控制点向下延伸,确保下级单位的内控执行力与集团要求一致。首先,企业应推动内控流程的向下穿透。集团需基于业务特点,梳理关键流程(如采购、投资),并制定统一的标准操作规程(SOP),要求下级单位据此细化本地化流程。例如,在资金管理中,集团可设定审批权限和资金拨付的关键控制点,子公司则需补充具体执行细则。对于内控缺陷频发的下级单位,企业应建立重点跟踪机制,通过专项检查或内控评价,深入分析缺陷成因。例如,若某子公司多次出现合同管理漏洞,集团可要求其提交整改报告,并派驻审计团队验证整改效果。此外,对内控失效的深层次问题,企业需开展穿透式分析。识别基层内控失灵的根本原因,并制定针对性改进措施。提升重点风险隐患、缺陷整改的闭合率。
3.合规管理的纵向穿透。合规管理的纵向穿透需从合规义务和合规风险的角度,实现全层级的管控与落实。首先,企业应建立合规义务的分级穿透体系。集团层面需梳理法律法规和行业标准,形成合规义务清单,并根据业务类型分配到下级单位。另外,针对合规风险开展全层级穿透管理。企业可通过合规风险评估,识别各层级的重点风险领域(如海外项目的反腐败风险),并制定分级管控措施。