国企、外企和民企都越来越重视企业合规和风险控制。有的企业成立了专门的风控部,有的企业成立专门的合规部。更多的企业将风险控制、法律事务、合规等职责放到一起,成立法律合规部或风控合规部。这样一来,内控、法务和合规等在有的企业的管理中的边界并不清晰,有的甚至发生很大的冲突。很多专业人士对此也常混为一谈。
合规管理、内部控制、风险管理三者到底有什么区别?他们的关系是什么?哪个范畴更广?哪个更窄?有必要从他们的源头说起。
一、三者的源头
合规管理来源于:
1)美国《反海外腐败法》1998年修订
2)ISO 19600《合规管理体系 指南》2014年
3)银监会《商业银行合规风险管理指引》2006年
4)保监会《保险公司合规管理办法》2016年
5)ISO 37001《反贿赂管理体系 要求及使用指南》2016年
6)证监会《证券公司和证券投资基金管理公司合规管理办法》2017年
7)GB/T 35770-2017《合规管理体系 指南》2017年
8)国资委《中央企业合规管理指引(试行)》2018年
9)发改委等七部门《企业境外经营合规管理指引》2018年
内部控制来源于:
1)COSO《内部控制—整合框架》 1992年发布,2013年修订
2)美国《2002年公众公司会计改革和投资者保护法案》(萨班斯法案)2002年
3)证监会《证券公司内部控制指引》2003年
4)财政部《企业内部控制基本规范》2008年
5)财政部《企业内部控制应用指引》2010年
6)银监会《商业银行内部控制指引》2014年
风险管理来源于:
1)COSO《企业风险管理—整合框架》 2004年发布,2017年修订
2)国资委《中央企业全面风险管理指引》 2006年
3)GB/T24353-2009 《风险管理 原则与实施指南》2009年
4)ISO 31000《风险管理 原则与指南》2009年
5)GB/T 26317-2010 《公司治理风险管理指南》2010年
6)GB/T 27914-2011《企业法律风险管理指南》2011年
7)GB/T 23694-2013 《风险管理 术语》2013年
二、三者的侧重点
合规管理,侧重于:
1)反商业贿赂、反欺诈、反舞弊
2)反垄断、反不正当竞争、反洗钱
3)贸易管制、海关估值、转移定价
4)数据安全、信息保护、隐私保护
5)高管刑事责任
6)税务合规
7)安全健康环保
内部控制,侧重于:
1)组织架构的设计与运行
2)发展战略的制定与实施
3)人力资源的引进与开发、使用与退出
4)安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护
5)企业文化的建设与评估
6)资金活动:筹资、投资和资金营运
7)采购业务:购买、付款
8)资产管理:存货、固定资产、 无形资产
9)销售业务:销售、收款
10)研究与开发:立项与研究、开发与保护
11)工程项目:立项、招标、造价、工程建设、工程验收
12)担保业务:调查评估与审批、执行与监控
13)业务外包:承包方选择、外包实施
14)财务报告:编制、对外提供、分析利用
15)全面预算:编制、执行、考核
16)合同管理:合同订立、履行
17)内部信息传递:内部报告的形成、内部报告的使用
18)信息系统:开发、运行与维护
风险管理,侧重于
1)战略风险
2)财务风险
3)市场风险
4)运营风险
5)法律风险
三、三者的核心
合规管理的核心,个人认为是“不合规,企业及相关利益主体将遭遇声誉损害、高额赔偿,乃至刑事处罚”。将企业和个人行为纳入合规管理体系中,保障主体不因不合规而遭受以上损失。这是合规管理的驱动力,也是合规管理的内在核心。至于合规可创造价值,完善的合规体系可成为减轻责任的抗辩理由,则是锦上添花的事。
内部控制的核心,个人认为是“通过内部控制五要素,对管理层及员工的行为进行约束,以尽可能实现企业的运营有效、报告可靠、合规这三大目标。”内部控制是帮助企业实现业绩和盈利目标,同时又保证企业出具的财务报告可靠和企业行为符合法律法规。
风险管理的核心,个人认为是“以可接受的成本保护和创造价值”。可接受的成本是指企业对风险的偏好程度,保护价值是指企业进行风险管理的基本目的,创造价值是指企业运用风险带来的机会,它是企业进行风险管理的高级目的。随着社会波动性、复杂性和模糊性日益增加,以及利益相关者的参与度越来越高,企业更加需要完善的风险管理机制来应对。将风险管理贯穿于整个企业会产生许多好处,包括增加新的机遇,识别和管理企业的风险,增加竞争优势,减少负面损失,降低绩效偏离度,改善资源部署,提升企业韧性等。近年来,基于风险导向的管理理念逐渐兴起,企业管理中常见的公司治理、企业文化、战略管理、绩效管理、危机管理等都可以用风险管理框架来更好地标准化、科学化。
四、三者的关系
1.个人认为,合规管理、内部控制、风险管理等皆根源于企业的委托-代理机制的天然局限性,都是企业治理与管理必不可少的一部分。在经济与社会不确定性不端增加的情形下,及法律作为经济与社会治理的重要手段不断加强的时代中,在历经一些惨痛教训之后,三者都越发显得重要。
2.与战略管理、营销管理、人力资源管理等职能与职责相比,合规管理、内部控制与风险管理在企业中偏向于后台保障、风险预防。如果将企业比喻为一艘向前行使的车辆,那么合规管理、内部控制与风险管理应该类似于刹车、前后护栏、ABS等组合在一起的功能。
3.合规管理、内部控制、风险管理都是从不同视角来填补委托代理机制所会带来的缺憾。合规管理强调对规则(法律、规章制度、商业伦理)的遵守,内部控制强调对行为(企业各层级、业务各环节)的限制,风险管理强调对风险纳入管理(战略制定与执行)的运用。
4. 合规是内部控制要达到的目标之一,而内部控制则被涵盖在企业风险管理之内,是风险管理的一个基础和组成部分。因此,从三者的内涵来看,合规管理小于内部控制,内部控制小于风险管理。也就是说,风险管理其实是老大。但从价值上来看,三者目前并不是可以相互取代的。未来是否可以融合在一起,暂未可知。
最后公式:合规管理<内部控制<风险管理
陶光辉
本文作者:陶光辉,北京德和衡律师事务所高级联席合伙人,一法网创办人,曾任某大型集团法务总监、ALB2016中国最佳企业总法律顾问。出版有《公司法务部》、《法务之道》等。
执业领域:新型合规管理、疑难案件诉讼、新金融争议解决——合规创造价值
010-57804780