來源:一法網

  近年來,國企、外資企業和民營企業越來越重視企業風控和合規管理,有的企業成立了專門的風控部,有的企業成立了專門的合規部,當然也有企業把合規管理職責納入了企業法務部,有把風控即風險管理納入企業管理部,這樣一來,有的企業內控、內審、風控和合規、法律事務管理在企業管理工作中,似有亂花漸欲迷人眼之感!這五個方麵的管理有什麽交集?邊界如何?叫人欲理還亂!今天就帶大家一探究竟。

  法務

  現代企業立足市場,會麵對來自方方麵麵的風險,諸如合同行為的風險、資本運作的風險、知識產權的風險、人力資源的風險、環境保護的風險、稅務籌劃的風險以及公共關係的風險和訴訟仲裁的風險等等。如何防範這些風險以達到保障企業安全運營的目的,從根本上預防潛在的風險變成現實的災難,防患於未然,這就需要建立企業法律風險管理服務機構,健全企業法律風險管理體係。大型企業往往會在內部設立法律法規室或法律事務部,以處理企業的日常法律事務。

  鑒於公司的設立往往是以盈利為目的,在企業內部設立法務部門也是基於降低風險、減少損失、維護公司合法利益為出發點,因此企業法務以一切服務於公司業務、服務於生產經營為根本宗旨,以擴大服務範圍、提高服務水平作為根本任務,也是就通常所說的服務於業務部門工作。

  合規

  國際標準化組織(ISO)在2014年12月15日發布了國際標準ISO19600《合規管理體係-指南》對“規”有定義:組織宜以適合其規模、複雜性、結構和運營的方式製定“合規義務”文件。合規義務信息應包括合規要求,可包括合規承諾。前者包括監管機構製定發布具有強製性的法律法規、監管條例規定等,後者包括組織與社區、公共權力機構、客戶簽訂的協議、組織要求、政策、程序、自願原則、規程、環境的承諾等。

  廣義的“合規”,有三層含義,第一層是企業要在生產經營過程中要遵守法律法規,即企業要遵守公司總部所在國和經營所在國的法律規定及監管規定;第二層是企業經營要遵循企業內部規章製度,包括企業商業行為準則的規章;第三層是企業員工要遵守良好的職業操守和道德規範等。狹義的合規是指企業遵守反對商業賄賂方麵的規定。

  結合以上,合規的“規”應該按照三層涵義來正確理解:第一層是具有強製性的法律法規,即企業總部所在國和經營所在國的具有強製性的法律規定及監管規定;第二層是企業在生產經營活動中寫入企業規製的對相關方(客戶、股東、監管方、企業內部員工等)的自願性承諾;第三層是企業要遵守良好的職業操守和道德規範、公序良俗等,這些不是強製性的,但在社會活動中普遍為大眾所認同。

  合規風險即企業組織集體行為和代表企業組織的個人行為是否遵守合規的“規”的不確定性。

  從合規的“規”三層含義看,第一層合規風險和第三層合規風險就全麵包含了企業內部控製風險內容。

  風控

  企業風控即企業全麵風險控製。2004年COSO繼續提出了企業風險管理整體框架,定義企業風險管理:“企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控製及其在戰略和整個公司的應用,旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。”這個對企業風險管理的定義依然有內部控製的太多痕跡。實際中,企業風險包括市場宏觀政策風險、客戶偏好風險、合規風險、技術風險、質量風險、履約能力風險等。

  內控

  企業內控即企業內部控製。1994年美國反對虛假財務報告委員會下屬的COSO增補發布的《內部控製——整體框架》的內部控製定義:“由一個企業的董事長、管理層和其他人員實現的過程,旨在為下列目標提供合理保證:

  (1)財務報告的可靠性;

  (2)經營的效果和效率;

  (3)符合適用的法律和法規。

  2002年7月30日美國總統布什簽署了《薩班斯—奧克斯利法案》,對瀆職和做假賬的企業主管實行嚴厲的製裁,對上市公司實行嚴厲的監管,以樹立上市公司的誠信!第404條款規定,上市公司編製的年度報告需包括內部控製報告,並聲明管理層對於建立和保持充分的內部控製體係與財務報告程序的責任及其有效性評價,並且外部審計師要審核並報告上市公司管理層所作的評價。

  可見內部控製的著重點是:假賬、假經營成果、違反法律法規與作弊!防止在賬務、經營成果(財務報表)、經營行為上串通舞弊和個人舞弊風險是內部控製的重點任務!

  內審

  內部審計是一種獨立、客觀的保證和谘詢活動。其目的在於為組織增加價值和提高組織的運作效率。它通過係統化和規範化的方法,評價和改進風險管理、控製和治理程序的效果,幫助組織實現其目標。

  從概念上分析,內部控製也有監督評價的內容;內部審計是對內部控製、風險管理與治理進行評價,確保組織正常運營,保證不偏離公司目標。

  (一)內控、風控、內審的關係

  在集團內部管理而言,三者關係有一定的關係與作用。內部控製是風險管控和內部審計的基礎,是風控和內審的根源根本,處在整個控製係統的前端。而風險管理則處在中端,它能為內部審計作業提供邏輯和方向,為內部審計確定問題(即是評估後的風險),確定審計方向(目標)提供精準定位。

  內部審計是通過確認和谘詢的方式,對企業運營、內部控製、風險管理和公司治理進行評估與評價,以保證企業各項業務工作按照既定目標和標準,不偏不倚地完成公司目標。

  從控製方式上分析

  內控、風控、內審三者是"基礎一分析一評估"遞進關係、因果關係。從控製方式方麵總結,內部控製是事前控製,因為製度與流程是為管理而生,為防止企業管理出現問題和錯漏而製訂。所以,它是事前預防和控製範圍;

  風險管理,主要在事中進行分析評價,當然事前也可以,風險評價的基本和內容也是內部控製和製度流程,作業過程的風險就屬於事中控製;就算事後分析風險也是為了事中的管控。所以,個人認為風控是事中控製的範疇。

  內部審計,從三者關係而言,內審工作已經在前兩者之後,是根據風險提示或結果,對內控相對應節點(關鍵控製點)進行確認,確認風險是否存在,是否產生損失,是否可化解或轉移,按照這個過程,內審就是事後的確認與評估,屬事後控製範疇。

  最後,作者總結為:內控是點,風控是線,內審是用線把點串起來組成麵。

  (二)合規、內控、風控的關係

  1、風險管控的層級:合規-內控-風控

  (1)合規是“打基礎”

  合規的核心:“確保公司各項生產經營活動遵循內外部的法律、製度、條例、規範、指引等”

  合規的產出:合規可以起到最基本的抑製操作風險的作用

  合規的短板:隻能發現問題而不能解決問題

  (2)內控是合規的“最高等級”

  內控的核心:不但要求合規,還要考察“規”的狀態(是否完善、是否有配套指引、執行過程是否完善)

  內控的重點:與合規相比,合規注重結果,內控重視過程。並在此基礎上發展較完善的工具和方法(COSO框架)

  內控的優點:內控是抑製操作層麵風險的最佳手段

  內控的缺點:內控對需要站在一定管理高度的風險(如戰略風險等)無能為力。(例如內控無法衡量資本市場波動會給公司帶來多大風險)

  (3)風控管理是風險管控的“最高形式”

  風控管理的核心:“兩個必須”

  必須把風險管理的職能提升到高級管理層

  必須設立獨立於業務部門的風險管理部門

  公司內各類風險相對分散、獨立,設立統一的部門,站在管理層的高度來對風險進行檢視,才能避免“頭痛醫頭腳痛醫腳”。

  2、風控與內控的異同

  (1)相同點

  風控與內控本質上都是通過評估、防範、控製企業風險,從而促進企業經營目標的實現。

  (2)不同點

  第一兩者審視風險的角度不同

  風控主要圍繞企業戰略經營目標,“自上而下”地辨識、評估、分析風險,並提出風險預警防範和應急管理的策略和措施。

  內控主要從流程合規、反舞弊角度出發,“自下而上”地診斷招標采購、銷售、資金等具體運營流程中的內部控製缺陷,並進行整改。

  風控好比企業的“保健醫生”,主要職責是“治未病”。內控好比企業的“急診醫生”,主要職責是“治已病”。

  第二兩者處置風險的工具不同

  風控主要采用風險地圖、流程數據分析、調查問卷、控製分析、專家評分等工具。隨著企業信息化程度的逐漸提高,以數據分析為核心的量化風險分析、風險評估指標體係(如REI指數)等越來越受到重視。

  內控主要采用例行審計、專項審計、合規檢查等形式,主要使用穿行測試、控製測試等工具,診斷重點業務、重要流程的內部控製設計及運行缺陷。

  目標導向一致:戰略目標導向

  內審、內控、風控都是基於治理、監管等因素下的“產品”,繼續追溯產生的動因。

  從內部角度分析,兩權分立(所有權與經營權)是重要的因素之一,從外部角度分析,組織運營要滿足法律法規遵循性的要求。

  內審、內控和風控對公司的運營就是一種製衡,對人的製衡,對事的製衡,對利益的製衡,製衡之外是對組織健康發展的一種促進。

  公司存在的目的:生存、發展、獲利。公司要實現其目的,內審、內控、風控可以說是公司的“防火牆”、“保健醫生”。內審、內控、風控的落腳點要導向組織的戰略目標、遠景、規劃,從近處說,要服務組織某階段的發展目標(短期目標),從這個角度分析,三者目標導向是一致的。