前言 

國企、外企和民企都越來越重視企業(yè)合規(guī)和風險控制。有的企業(yè)成立了專門的風控部，有的企業(yè)成立專門的合規(guī)部。更多的企業(yè)將風險控制、法律事務(wù)、合規(guī)等職責放到一起，成立法律合規(guī)部或風控合規(guī)部。這樣一來，內(nèi)控、法務(wù)和合規(guī)等在有的企業(yè)的管理中的邊界并不清晰，有的甚至發(fā)生很大的沖突。很多專業(yè)人士對此也常混為一談。

合規(guī)管理、內(nèi)部控制、風險管理三者到底有什么區(qū)別？他們的關(guān)系是什么？哪個范疇更廣？哪個更窄？有必要從他們的源頭說起。

一、三者的源頭

111

合規(guī)管理來源于：

1）美國《反海外腐敗法》1998年修訂

2）ISO 19600《合規(guī)管理體系 指南》2014年

3）銀監(jiān)會《商業(yè)銀行合規(guī)風險管理指引》2006年

4）保監(jiān)會《保險公司合規(guī)管理辦法》2016年

5）ISO 37001《反賄賂管理體系 要求及使用指南》2016年

6）證監(jiān)會《證券公司和證券投資基金管理公司合規(guī)管理辦法》2017年

7）GB/T 35770-2017《合規(guī)管理體系 指南》2017年

8）國資委《中央企業(yè)合規(guī)管理指引（試行）》2018年

9）發(fā)改委等七部門《企業(yè)境外經(jīng)營合規(guī)管理指引》2018年

22

內(nèi)部控制來源于：

1）COSO《內(nèi)部控制—整合框架》 1992年發(fā)布，2013年修訂

2）美國《2002年公眾公司會計改革和投資者保護法案》（薩班斯法案）2002年

3）證監(jiān)會《證券公司內(nèi)部控制指引》2003年

4）財政部《企業(yè)內(nèi)部控制基本規(guī)范》2008年

5）財政部《企業(yè)內(nèi)部控制應(yīng)用指引》2010年

6）銀監(jiān)會《商業(yè)銀行內(nèi)部控制指引》2014年

33

風險管理來源于：

1）COSO《企業(yè)風險管理—整合框架》 2004年發(fā)布，2017年修訂

2）國資委《中央企業(yè)全面風險管理指引》 2006年

3）GB/T24353-2009 《風險管理 原則與實施指南》2009年

4）ISO 31000《風險管理 原則與指南》2009年

5）GB/T 26317-2010 《公司治理風險管理指南》2010年

6）GB/T 27914-2011《企業(yè)法律風險管理指南》2011年

7）GB/T 23694-2013 《風險管理 術(shù)語》2013年

二、三者的側(cè)重點

11

合規(guī)管理，側(cè)重于：

1）反商業(yè)賄賂、反欺詐、反舞弊

2）反壟斷、反不正當競爭、反洗錢

3）貿(mào)易管制、海關(guān)估值、轉(zhuǎn)移定價

4）數(shù)據(jù)安全、信息保護、隱私保護

5）高管刑事責任

6）稅務(wù)合規(guī)

7）安全健康環(huán)保

22

內(nèi)部控制，側(cè)重于：

1）組織架構(gòu)的設(shè)計與運行

2）發(fā)展戰(zhàn)略的制定與實施

3）人力資源的引進與開發(fā)、使用與退出

4）安全生產(chǎn)、產(chǎn)品質(zhì)量、環(huán)境保護與資源節(jié)約、促進就業(yè)與員工權(quán)益保護

5）企業(yè)文化的建設(shè)與評估

6）資金活動：籌資、投資和資金營運

7）采購業(yè)務(wù)：購買、付款

8）資產(chǎn)管理：存貨、固定資產(chǎn)、 無形資產(chǎn)

9）銷售業(yè)務(wù)：銷售、收款

10）研究與開發(fā)：立項與研究、開發(fā)與保護

11）工程項目：立項、招標、造價、工程建設(shè)、工程驗收

12）擔保業(yè)務(wù)：調(diào)查評估與審批、執(zhí)行與監(jiān)控

13）業(yè)務(wù)外包：承包方選擇、外包實施

14）財務(wù)報告：編制、對外提供、分析利用

15）全面預(yù)算：編制、執(zhí)行、考核

16）合同管理：合同訂立、履行

17）內(nèi)部信息傳遞：內(nèi)部報告的形成、內(nèi)部報告的使用

18）信息系統(tǒng)：開發(fā)、運行與維護

33

風險管理，側(cè)重于

1）戰(zhàn)略風險

2）財務(wù)風險

3）市場風險

4）運營風險

5）法律風險

三、三者的核心

合規(guī)管理的核心，個人認為是“不合規(guī)，企業(yè)及相關(guān)利益主體將遭遇聲譽損害、高額賠償，乃至刑事處罰”。將企業(yè)和個人行為納入合規(guī)管理體系中，保障主體不因不合規(guī)而遭受以上損失。這是合規(guī)管理的驅(qū)動力，也是合規(guī)管理的內(nèi)在核心。至于合規(guī)可創(chuàng)造價值，完善的合規(guī)體系可成為減輕責任的抗辯理由，則是錦上添花的事。

內(nèi)部控制的核心，個人認為是“通過內(nèi)部控制五要素，對管理層及員工的行為進行約束，以盡可能實現(xiàn)企業(yè)的運營有效、報告可靠、合規(guī)這三大目標。”內(nèi)部控制是幫助企業(yè)實現(xiàn)業(yè)績和盈利目標，同時又保證企業(yè)出具的財務(wù)報告可靠和企業(yè)行為符合法律法規(guī)。

風險管理的核心，個人認為是“以可接受的成本保護和創(chuàng)造價值”。可接受的成本是指企業(yè)對風險的偏好程度，保護價值是指企業(yè)進行風險管理的基本目的，創(chuàng)造價值是指企業(yè)運用風險帶來的機會，它是企業(yè)進行風險管理的高級目的。隨著社會波動性、復雜性和模糊性日益增加，以及利益相關(guān)者的參與度越來越高，企業(yè)更加需要完善的風險管理機制來應(yīng)對。將風險管理貫穿于整個企業(yè)會產(chǎn)生許多好處，包括增加新的機遇，識別和管理企業(yè)的風險，增加競爭優(yōu)勢，減少負面損失，降低績效偏離度，改善資源部署，提升企業(yè)韌性等。近年來，基于風險導向的管理理念逐漸興起，企業(yè)管理中常見的公司治理、企業(yè)文化、戰(zhàn)略管理、績效管理、危機管理等都可以用風險管理框架來更好地標準化、科學化。

四、三者的關(guān)系

1.個人認為，合規(guī)管理、內(nèi)部控制、風險管理等皆根源于企業(yè)的委托-代理機制的天然局限性，都是企業(yè)治理與管理必不可少的一部分。在經(jīng)濟與社會不確定性不端增加的情形下，及法律作為經(jīng)濟與社會治理的重要手段不斷加強的時代中，在歷經(jīng)一些慘痛教訓之后，三者都越發(fā)顯得重要。

2.與戰(zhàn)略管理、營銷管理、人力資源管理等職能與職責相比，合規(guī)管理、內(nèi)部控制與風險管理在企業(yè)中偏向于后臺保障、風險預(yù)防。如果將企業(yè)比喻為一艘向前行使的車輛，那么合規(guī)管理、內(nèi)部控制與風險管理應(yīng)該類似于剎車、前后護欄、ABS等組合在一起的功能。

3.合規(guī)管理、內(nèi)部控制、風險管理都是從不同視角來填補委托代理機制所會帶來的缺憾。合規(guī)管理強調(diào)對規(guī)則（法律、規(guī)章制度、商業(yè)倫理）的遵守，內(nèi)部控制強調(diào)對行為（企業(yè)各層級、業(yè)務(wù)各環(huán)節(jié)）的限制，風險管理強調(diào)對風險納入管理（戰(zhàn)略制定與執(zhí)行）的運用。

4. 合規(guī)是內(nèi)部控制要達到的目標之一，而內(nèi)部控制則被涵蓋在企業(yè)風險管理之內(nèi)，是風險管理的一個基礎(chǔ)和組成部分。因此，從三者的內(nèi)涵來看，合規(guī)管理小于內(nèi)部控制，內(nèi)部控制小于風險管理。也就是說，風險管理其實是老大。但從價值上來看，三者目前并不是可以相互取代的。未來是否可以融合在一起，暫未可知。

來源 | 法務(wù)人俱樂部

作者 | 陶光輝