2012年5月，國資委《關于加快構建中央企業內部控制體系有關事項的通知》的發布，標志著央企內控建設的全面啟動。

    經過三年多的發展，由于不同企業開展內部控制的目標不同，導致內控效果也差異顯著。有些企業以做實內控、規范管理為出發，不但建立健全了內部控制體系，并逐步實現了內部控制的常態化運行，將內部控制與風險管理、企業日常經營較好的融合。也有企業以滿足監管要求為定位，內控建設主要是表面文章、形式化操作，內控建設成果經常被束之高閣，或內控與管理各行其道。那么，集團型企業的內控管理怎么才能做好呢?慧點科技風控管理資深咨詢顧問秦立興認為，內控管理應考慮和風險管理深度融合，風險管理和內控管理在管理目標、工作方式、管理對象和工作成果上有許多交集，可以相互借鑒、相互共享，形成一體化管理模式共同作用于企業業務流程管理。

    在秦立興看來，風控一體化不僅可以實現風險管理和內控管理的成果分享，還能促進風險管理戰略的落地，通過內控管理手段和方式實現企業內部風險可控、可管，同時，通過風險管理中標注的重大風險明確內控管理的重點領域。通過重大風險的防控工作提升業務部門對風控管理的參與度，強化其主動防范風險的主人翁意識，逐步形成各業務部門自主出擊、齊抓共管的局面。

    因此秦立興認為，企業在進行風控信息化建設時，要重點考慮如何實現風險管理與內部控制工作全面、深度的融合，在工作組織、業務流程、工具手段、方式方法等多方面將環境建立、風險識別、分析、評價、應對等風險管理過程與內控矩陣、內控評價、缺陷認定和整改等內部控制管理過程充分整合和貫通，明確并固化全面風險管理和內部控制工作的契合點和貫通紐帶，實現全面風險管理和內部控制工作的無縫對接。

   他強調，風控平臺不僅僅是風控部門的工作平臺，而應將其定位為整個集團的風控管理平臺，任意部門均可利用該平臺提供的標準流程、標準工具、標準模板主動開展風控管理工作，通過系統的應用將專業的風控管理方法傳遞給各級管理者，成為他們防范業務風險，提升業務管理水平的一個利器。

    那么，如何在系統中實現風控一體化呢?秦立興認為，系統的設計可以參考ISO31000中的“風險管理過程”，將系統劃分為環境建立、風險識別、風險分析、風險評價和風險應對五大功能模塊，并在風險識別、風險分析、風險評價和風險應對中分別嵌入內控管理中的控制識別、內控評價、缺陷認定和缺陷整改功能。

    他強調，在系統中開展風險管理的全過程應以業務流程為管理對象，以風險事件為管理抓手：通過明確業務流程界定風控管理范圍、參與人員和與該流程相關的環境、風險準則;而風險事件是風控系統設計中的核心元素，銜接了風險分類、流程框架、內控措施、制度條款和風險指標等多個管理元素。

    系統中設計的風控管理過程可以簡單描述為基于環境信息的變化可隨時開展風險事件的識別工作，在識別風險事件的同時識別現有的控制措施，并對控制措施的有效性進行評價。系統根據內控評價結果對風險事件發生的可能性和影響程度進行評分，自動生成風險地圖和風險排序。風險事件在地圖中的位置和排序可作為內控缺陷等級認定的依據。在風險應對環節，也要以風險事件為應對對象，不僅要考慮整改現有內控措施的執行缺陷，更應從防范風險的角度對內控措施的設計進行考量，在內控措施無法有效控制風險時，還應借助風險轉移、風險規避等方式進行風險應對;從而形成風控一體化的管理模式，共同作用于企業業務流程管理。

    此外，為了更好地支持集團型架構企業的風控管理工作開展，系統還要滿足“集中、分層、分類”的風控管理要求：“集中”指的是全集團采用統一的工具和風險管理語言，實現對風險信息、風險管理工具、方法等的集中管理;“分層”指的是建立各層級單位的風險控制庫、風險準則等，支撐各級單位對自身風控工作進行評估和管理;“分類”是指按照職能條線、管理目標和業務流程等形式劃分風控范圍，支持各部門開展自身管理范圍內的日常評估和管理工作。