合规、内控与风险管理，哪个是老大？

 前言 

国企、外企和民企都越来越重视企业合规和风险控制。有的企业成立了专门的风控部，有的企业成立专门的合规部。更多的企业将风险控制、法律事务、合规等职责放到一起，成立法律合规部或风控合规部。这样一来，内控、法务和合规等在有的企业的管理中的边界并不清晰，有的甚至发生很大的冲突。很多专业人士对此也常混为一谈。

合规管理、内部控制、风险管理三者到底有什么区别？他们的关系是什么？哪个范畴更广？哪个更窄？有必要从他们的源头说起。

一、三者的源头

111

合规管理来源于：

1）美国《反海外腐败法》1998年修订

2）ISO 19600《合规管理体系 指南》2014年

3）银监会《商业银行合规风险管理指引》2006年

4）保监会《保险公司合规管理办法》2016年

5）ISO 37001《反贿赂管理体系 要求及使用指南》2016年

6）证监会《证券公司和证券投资基金管理公司合规管理办法》2017年

7）GB/T 35770-2017《合规管理体系 指南》2017年

8）国资委《中央企业合规管理指引（试行）》2018年

9）发改委等七部门《企业境外经营合规管理指引》2018年

22

内部控制来源于：

1）COSO《内部控制—整合框架》 1992年发布，2013年修订

2）美国《2002年公众公司会计改革和投资者保护法案》（萨班斯法案）2002年

3）证监会《证券公司内部控制指引》2003年

4）财政部《企业内部控制基本规范》2008年

5）财政部《企业内部控制应用指引》2010年

6）银监会《商业银行内部控制指引》2014年

33

风险管理来源于：

1）COSO《企业风险管理—整合框架》 2004年发布，2017年修订

2）国资委《中央企业全面风险管理指引》 2006年

3）GB/T24353-2009 《风险管理 原则与实施指南》2009年

4）ISO 31000《风险管理 原则与指南》2009年

5）GB/T 26317-2010 《公司治理风险管理指南》2010年

6）GB/T 27914-2011《企业法律风险管理指南》2011年

7）GB/T 23694-2013 《风险管理 术语》2013年

二、三者的侧重点

11

合规管理，侧重于：

1）反商业贿赂、反欺诈、反舞弊

2）反垄断、反不正当竞争、反洗钱

3）贸易管制、海关估值、转移定价

4）数据安全、信息保护、隐私保护

5）高管刑事责任

6）税务合规

7）安全健康环保

22

内部控制，侧重于：

1）组织架构的设计与运行

2）发展战略的制定与实施

3）人力资源的引进与开发、使用与退出

4）安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护

5）企业文化的建设与评估

6）资金活动：筹资、投资和资金营运

7）采购业务：购买、付款

8）资产管理：存货、固定资产、 无形资产

9）销售业务：销售、收款

10）研究与开发：立项与研究、开发与保护

11）工程项目：立项、招标、造价、工程建设、工程验收

12）担保业务：调查评估与审批、执行与监控

13）业务外包：承包方选择、外包实施

14）财务报告：编制、对外提供、分析利用

15）全面预算：编制、执行、考核

16）合同管理：合同订立、履行

17）内部信息传递：内部报告的形成、内部报告的使用

18）信息系统：开发、运行与维护

33

风险管理，侧重于

1）战略风险

2）财务风险

3）市场风险

4）运营风险

5）法律风险

三、三者的核心

合规管理的核心，个人认为是“不合规，企业及相关利益主体将遭遇声誉损害、高额赔偿，乃至刑事处罚”。将企业和个人行为纳入合规管理体系中，保障主体不因不合规而遭受以上损失。这是合规管理的驱动力，也是合规管理的内在核心。至于合规可创造价值，完善的合规体系可成为减轻责任的抗辩理由，则是锦上添花的事。

内部控制的核心，个人认为是“通过内部控制五要素，对管理层及员工的行为进行约束，以尽可能实现企业的运营有效、报告可靠、合规这三大目标。”内部控制是帮助企业实现业绩和盈利目标，同时又保证企业出具的财务报告可靠和企业行为符合法律法规。

风险管理的核心，个人认为是“以可接受的成本保护和创造价值”。可接受的成本是指企业对风险的偏好程度，保护价值是指企业进行风险管理的基本目的，创造价值是指企业运用风险带来的机会，它是企业进行风险管理的高级目的。随着社会波动性、复杂性和模糊性日益增加，以及利益相关者的参与度越来越高，企业更加需要完善的风险管理机制来应对。将风险管理贯穿于整个企业会产生许多好处，包括增加新的机遇，识别和管理企业的风险，增加竞争优势，减少负面损失，降低绩效偏离度，改善资源部署，提升企业韧性等。近年来，基于风险导向的管理理念逐渐兴起，企业管理中常见的公司治理、企业文化、战略管理、绩效管理、危机管理等都可以用风险管理框架来更好地标准化、科学化。

四、三者的关系

1.个人认为，合规管理、内部控制、风险管理等皆根源于企业的委托-代理机制的天然局限性，都是企业治理与管理必不可少的一部分。在经济与社会不确定性不端增加的情形下，及法律作为经济与社会治理的重要手段不断加强的时代中，在历经一些惨痛教训之后，三者都越发显得重要。

2.与战略管理、营销管理、人力资源管理等职能与职责相比，合规管理、内部控制与风险管理在企业中偏向于后台保障、风险预防。如果将企业比喻为一艘向前行使的车辆，那么合规管理、内部控制与风险管理应该类似于刹车、前后护栏、ABS等组合在一起的功能。

3.合规管理、内部控制、风险管理都是从不同视角来填补委托代理机制所会带来的缺憾。合规管理强调对规则（法律、规章制度、商业伦理）的遵守，内部控制强调对行为（企业各层级、业务各环节）的限制，风险管理强调对风险纳入管理（战略制定与执行）的运用。

4. 合规是内部控制要达到的目标之一，而内部控制则被涵盖在企业风险管理之内，是风险管理的一个基础和组成部分。因此，从三者的内涵来看，合规管理小于内部控制，内部控制小于风险管理。也就是说，风险管理其实是老大。但从价值上来看，三者目前并不是可以相互取代的。未来是否可以融合在一起，暂未可知。

来源 | 法务人俱乐部

作者 | 陶光辉