合规管理、内部控制与风险管理辨析

合规管理、内部控制与风险管理辨析近年来，国企、外企和民企都越来越重视企业合规和风险控制。有的企业成立了专门的风控部，有的企业成立专门的合规部。更多的企业将风险控制、法律事务、合规等职责放到一起，成立法律合规部或风控合规部。这样一来，内控、法务和合规等在有的企业的管理中的边界并不清晰，有的甚至发生很大的冲突。很多专业人士对此也常混为一谈。本文特对这几个概念进行比较、剖析。1.规则标准1）美国《反海外腐败法》1998年修订2）ISO19600《合规管理体系指南》2014年3）银监会《商业银行合规风险管理指引》2006年4）保监会《保险公司合规管理办法》2016年5）ISO37001《反贿赂管理体系要求及使用指南》2016年6）证监会《证券公司和证券投资基金管理公司合规管理办法》2017年7）GB/T35770-2017《合规管理体系指南》2017年2.一般流程以GB/T35770-2017《合规管理体系指南》为例：1）建立合规方针（确定相关方要求、建立合规管理体系）2）识别合规义务，评价合规风险3）策划应对合规风险4）落实控制措施5）绩效评价6）持续改进3、侧重领域1）反商业贿赂、反欺诈、反舞弊2）反垄断、反不正当竞争、反洗钱3）贸易管制、海关估值、转移定价4）数据安全、信息保护、隐私保护5）高管刑事责任6）税务合规7）安全健康环保4、相关用语1）合规2）合规风险1.规则标准1）COSO《内部控制—整合框架》1992年发布，2013年修订2）美国《2002年公众公司会计改革和投资者保护法案》（萨班斯法案）2002年3）证监会《证券公司内部控制指引》2003年4）财政部《企业内部控制基本规范》2008年5）财政部《企业内部控制应用指引》2010年6）银监会《商业银行内部控制指引》2014年2.一般流程以COSO《内部控制—整合框架》为例1）控制环境2）风险评估3）控制活动4）信息与沟通5）监督活动3、侧重领域1）组织架构的设计与运行2）发展战略的制定与实施3）人力资源的引进与开发、使用与退出4）安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护5）企业文化的建设与评估6）资金活动：筹资、投资和资金营运7）采购业务：购买、付款8）资产管理：存货、固定资产、无形资产9）销售业务：销售、收款10）研究与开发：立项与研究、开发与保护11）工程项目：立项、招标、造价、工程建设、工程验收12）担保业务：调查评估与审批、执行与监控13）业务外包：承包方选择、外包实施14）财务报告：编制、对外提供、分析利用15）全面预算：编制、执行、考核16）合同管理：合同订立、履行17）内部信息传递：内部报告的形成、内部报告的使用18）信息系统：开发、运行与维护4.相关用语1）内控2）风控1.规则标准1）COSO《企业风险管理—整合框架》2004年发布，2017年修订2）国资委《中央企业全面风险管理指引》2006年3）GB/T24353-2009《风险管理原则与实施指南》2009年4）ISO31000《风险管理原则与指南》2009年5）GB/T26317-2010《公司治理风险管理指南》2010年6）GB/T27914-2011《企业法律风险管理指南》2011年7）GB/T23694-2013《风险管理术语》2013年2.一般流程以ISO31000《风险管理原则与指南》为例1）沟通与咨询2）建立环境3）风险识别4）风险分析5）风险评价6）风险应对7）监测与评审8）记录风险管理过程3.侧重领域1）战略风险2）财务风险3）市场风险4）运营风险5）法律风险4.相关用语1）全面风险管理2）风险控制3）风险管控1.

合规管理的核心，个人认为是“不合规，企业及相关利益主体将遭遇声誉损害、高额赔偿，乃至刑事处罚”。将企业和个人行为纳入合规管理体系中，保障主体不因不合规而遭受以上损失。这是合规管理的驱动力，也是合规管理的内在核心。至于合规可创造价值，完善的合规体系可成为减轻责任的抗辩理由，则是锦上添花的事。进行合规管理，首先要有正确且全面的合规理念。包括全员合规、合规从管理层做起、合规创造价值等。其次，关键要对合规义务进行全面、及时识别，对合规义务可能造成的合规风险进行充分评估。再次，在企业内制定相应的合规管理制度，搭建合适的合规管理组织架构。最后，建立完整的合规管理实施机制，包括培训、沟通、考核、举报、调查、处理和改进机制。2.

内部控制的核心，个人认为是“通过内部控制五要素，对管理层及员工的行为进行约束，以尽可能实现企业的运营有效、报告可靠、合规这三大目标。”内部控制是帮助企业实现业绩和盈利目标，同时又保证企业出具的财务报告可靠和企业行为符合法律法规。内部控制的五要素是：一，控制环境。它包括企业的价值观；促进董事会行使公司治理监控职责的机制；吸引、开发和保留人才的机制；严格的绩效衡量、激励和汇报机制。控制环境是内部控制实施的基础。二、风险评估。它是一个根据企业要实现的目标，动态和反复的识别和评估风险的过程，为决定风险如何进行管理打基础，其前提是企业各个层级的目标的确立。三、控制活动。在企业的各个层级，业务的各个环节，都应实施控制活动，包括授权和批准，复核，对账和业务绩效评估等。四、信息与沟通。管理层

使用有质量的信息来支持内部控制其他要素的正常运转。沟通是为了持续和不断重复的提供、分享和获得必要的信息。五、监督活动。通过持续的评估、独立的评估，或者两者的组合以确认内部控制的五个要素以及每个要素下的原则是否存在并发挥作用。3.风险管理的核心，个人认为是“以可接受的成本保护和创造价值”。可接受的成本是指企业对风险的偏好程度，保护价值是指企业进行风险管理的基本目的，创造价值是指企业运用风险带来的机会，它是企业进行风险管理的高级目的。随着社会波动性、复杂性和模糊性日益增加，以及利益相关者的参与度越来越高，企业更加需要完善的风险管理机制来应对。将风险管理贯穿于整个企业会产生许多好处，包括增加新的机遇，识别和管理企业的风险，增加竞争优势，减少负面损失，降低绩效偏离度，改善资源部署，提升企业韧性等。近年来，基于风险导向的管理理念逐渐兴起，企业管理中常见的公司治理、企业文化、战略管理、绩效管理、危机管理等都可以用风险管理框架来更好地标准化、科学化。企业风险管理框架的五个要素：一、治理和文化。治理决定企业的基调，强化并确立企业风险管理的监督职责；文化则事关道德价值、具责任感的企业行为，以及企业整体对风险的理解。二、战略与目标设定。风险管理、战略以及业务目标设定共同作用于战略制定过程。风险偏好的建立与战略保持一致；业务目标将战略付诸于实践，同时作为识别、评估和应对风险的基础。三、绩效。企业需要识别和评估可能会影响战略和业务目标实现的风险，根据严重程度和风险偏好来确定风险的优先级，然后选择对应的风险应对方案，并对估计的风险数量建立一种风险组合观。四、审阅和修订。通过过审查整体风险管理执行情况，企业可以评估风险管理要素在随着时间推移及环境变化的过程中发挥作用的情况，以及需要做出什么改进。五、信息、沟通和报告。企业风险管理需要持续从组织内外部来获取和分享必要的信息。1.个人认为，合规管理、内部控制、风险管理等皆根源于企业的委托-代理机制的天然局限性，都是企业治理与管理必不可少的一部分。在经济与社会不确定性不端增加的情形下，及法律作为经济与社会治理的重要手段不断加强的时代中，在历经一些惨痛教训之后，三者都越发显得重要。2.与战略管理、营销管理、人力资源管理等职能与职责相比，合规管理、内部控制与风险管理在企业中偏向于后台保障、风险预防。如果将企业比喻为一艘向前行使的车辆，那么合规管理、内部控制与风险管理应该类似于刹车、前后护栏、ABS等组合在一起的功能。3.合规管理、内部控制、风险管理都是从不同视角来填补委托代理机制所会带来的缺憾。合规管理强调对规则（法律、规章制度、商业伦理）的遵守，内部控制强调对行为（企业各层级、业务各环节）的限制，风险管理强调对风险纳入管理（战略制定与执行）的运用。4.合规是内部控制要达到的目标之一，而内部控制则被涵盖在企业风险管理之内，是风险管理的一个基础和组成部分。因此，从三者的内涵来看，合规管理小于内部控制，内部控制小于风险管理。但从价值上来看，三者目前并不是可以相互取代的。未来是否可以融合在一起，暂未可知。5.合规是企业必须遵守的底线，因