合規、內控與風險管理，哪個是老大？

 前言 

國企、外企和民企都越來越重視企業合規和風險控制。有的企業成立了專門的風控部，有的企業成立專門的合規部。更多的企業將風險控制、法律事務、合規等職責放到一起，成立法律合規部或風控合規部。這樣一來，內控、法務和合規等在有的企業的管理中的邊界并不清晰，有的甚至發生很大的沖突。很多專業人士對此也常混為一談。

合規管理、內部控制、風險管理三者到底有什么區別？他們的關系是什么？哪個范疇更廣？哪個更窄？有必要從他們的源頭說起。

一、三者的源頭

111

合規管理來源于：

1）美國《反海外腐敗法》1998年修訂

2）ISO 19600《合規管理體系 指南》2014年

3）銀監會《商業銀行合規風險管理指引》2006年

4）保監會《保險公司合規管理辦法》2016年

5）ISO 37001《反賄賂管理體系 要求及使用指南》2016年

6）證監會《證券公司和證券投資基金管理公司合規管理辦法》2017年

7）GB/T 35770-2017《合規管理體系 指南》2017年

8）國資委《中央企業合規管理指引（試行）》2018年

9）發改委等七部門《企業境外經營合規管理指引》2018年

22

內部控制來源于：

1）COSO《內部控制—整合框架》 1992年發布，2013年修訂

2）美國《2002年公眾公司會計改革和投資者保護法案》（薩班斯法案）2002年

3）證監會《證券公司內部控制指引》2003年

4）財政部《企業內部控制基本規范》2008年

5）財政部《企業內部控制應用指引》2010年

6）銀監會《商業銀行內部控制指引》2014年

33

風險管理來源于：

1）COSO《企業風險管理—整合框架》 2004年發布，2017年修訂

2）國資委《中央企業全面風險管理指引》 2006年

3）GB/T24353-2009 《風險管理 原則與實施指南》2009年

4）ISO 31000《風險管理 原則與指南》2009年

5）GB/T 26317-2010 《公司治理風險管理指南》2010年

6）GB/T 27914-2011《企業法律風險管理指南》2011年

7）GB/T 23694-2013 《風險管理 術語》2013年

二、三者的側重點

11

合規管理，側重于：

1）反商業賄賂、反欺詐、反舞弊

2）反壟斷、反不正當競爭、反洗錢

3）貿易管制、海關估值、轉移定價

4）數據安全、信息保護、隱私保護

5）高管刑事責任

6）稅務合規

7）安全健康環保

22

內部控制，側重于：

1）組織架構的設計與運行

2）發展戰略的制定與實施

3）人力資源的引進與開發、使用與退出

4）安全生產、產品質量、環境保護與資源節約、促進就業與員工權益保護

5）企業文化的建設與評估

6）資金活動：籌資、投資和資金營運

7）采購業務：購買、付款

8）資產管理：存貨、固定資產、 無形資產

9）銷售業務：銷售、收款

10）研究與開發：立項與研究、開發與保護

11）工程項目：立項、招標、造價、工程建設、工程驗收

12）擔保業務：調查評估與審批、執行與監控

13）業務外包：承包方選擇、外包實施

14）財務報告：編制、對外提供、分析利用

15）全面預算：編制、執行、考核

16）合同管理：合同訂立、履行

17）內部信息傳遞：內部報告的形成、內部報告的使用

18）信息系統：開發、運行與維護

33

風險管理，側重于

1）戰略風險

2）財務風險

3）市場風險

4）運營風險

5）法律風險

三、三者的核心

合規管理的核心，個人認為是“不合規，企業及相關利益主體將遭遇聲譽損害、高額賠償，乃至刑事處罰”。將企業和個人行為納入合規管理體系中，保障主體不因不合規而遭受以上損失。這是合規管理的驅動力，也是合規管理的內在核心。至于合規可創造價值，完善的合規體系可成為減輕責任的抗辯理由，則是錦上添花的事。

內部控制的核心，個人認為是“通過內部控制五要素，對管理層及員工的行為進行約束，以盡可能實現企業的運營有效、報告可靠、合規這三大目標。”內部控制是幫助企業實現業績和盈利目標，同時又保證企業出具的財務報告可靠和企業行為符合法律法規。

風險管理的核心，個人認為是“以可接受的成本保護和創造價值”。可接受的成本是指企業對風險的偏好程度，保護價值是指企業進行風險管理的基本目的，創造價值是指企業運用風險帶來的機會，它是企業進行風險管理的高級目的。隨著社會波動性、復雜性和模糊性日益增加，以及利益相關者的參與度越來越高，企業更加需要完善的風險管理機制來應對。將風險管理貫穿于整個企業會產生許多好處，包括增加新的機遇，識別和管理企業的風險，增加競爭優勢，減少負面損失，降低績效偏離度，改善資源部署，提升企業韌性等。近年來，基于風險導向的管理理念逐漸興起，企業管理中常見的公司治理、企業文化、戰略管理、績效管理、危機管理等都可以用風險管理框架來更好地標準化、科學化。

四、三者的關系

1.個人認為，合規管理、內部控制、風險管理等皆根源于企業的委托-代理機制的天然局限性，都是企業治理與管理必不可少的一部分。在經濟與社會不確定性不端增加的情形下，及法律作為經濟與社會治理的重要手段不斷加強的時代中，在歷經一些慘痛教訓之后，三者都越發顯得重要。

2.與戰略管理、營銷管理、人力資源管理等職能與職責相比，合規管理、內部控制與風險管理在企業中偏向于后臺保障、風險預防。如果將企業比喻為一艘向前行使的車輛，那么合規管理、內部控制與風險管理應該類似于剎車、前后護欄、ABS等組合在一起的功能。

3.合規管理、內部控制、風險管理都是從不同視角來填補委托代理機制所會帶來的缺憾。合規管理強調對規則（法律、規章制度、商業倫理）的遵守，內部控制強調對行為（企業各層級、業務各環節）的限制，風險管理強調對風險納入管理（戰略制定與執行）的運用。

4. 合規是內部控制要達到的目標之一，而內部控制則被涵蓋在企業風險管理之內，是風險管理的一個基礎和組成部分。因此，從三者的內涵來看，合規管理小于內部控制，內部控制小于風險管理。也就是說，風險管理其實是老大。但從價值上來看，三者目前并不是可以相互取代的。未來是否可以融合在一起，暫未可知。

來源 | 法務人俱樂部

作者 | 陶光輝