15010055730

联系电话

地址:北京朝阳区广渠路21号金海商富中心B座705

Copyright ©2019 北京一法企业管理有限公司  All rights reserved  京ICP备16058371号  网站建设:中企动力 北京

战略合作伙伴:   因特律师事务所 |   法智易  |  大连大学人文学部  |  知识产权出版社  |  法律出版社  | 

首页
企业合规师
培训
法务培训
合规培训
咨询
法务管理咨询
合规管理咨询
研究
法务学院
合规学院
动态服务
最新服务
活动交流
实用资料
线上课程
资源中心
合作工具
合作智库
合作师资
合作客户
关于我们
公司简介
新闻动态
免责声明
首页
>
研究
>
合规学院
>
合规、内控与风险管理,哪个是老大?

标杆案例

合规、内控与风险管理,哪个是老大?

国企、外企和民企都越来越重视企业合规和风险控制。有的企业成立了专门的风控部,有的企业成立专门的合规部。更多的企业将风险控制、法律事务、合规等职责放到一起,成立法律合规部或风控合规部。这样一来,内控、法务和合规等在有的企业的管理中的边界并不清晰,有的甚至发生很大的冲突。很多专业人士对此也常混为一谈。

合规管理、内部控制、风险管理三者到底有什么区别?他们的关系是什么?哪个范畴更广?哪个更窄?有必要从他们的源头说起。

一、三者的源头

合规管理来源于:

1)美国《反海外腐败法》1998年修订

2)ISO 19600《合规管理体系 指南》2014年

3)银监会《商业银行合规风险管理指引》2006年

4)保监会《保险公司合规管理办法》2016年

5)ISO 37001《反贿赂管理体系 要求及使用指南》2016年

6)证监会《证券公司和证券投资基金管理公司合规管理办法》2017年

7)GB/T 35770-2017《合规管理体系 指南》2017年

8)国资委《中央企业合规管理指引(试行)》2018年

9)发改委等七部门《企业境外经营合规管理指引》2018年

内部控制来源于:

1)COSO《内部控制—整合框架》 1992年发布,2013年修订

2)美国《2002年公众公司会计改革和投资者保护法案》(萨班斯法案)2002年

3)证监会《证券公司内部控制指引》2003年

4)财政部《企业内部控制基本规范》2008年

5)财政部《企业内部控制应用指引》2010年

6)银监会《商业银行内部控制指引》2014年

风险管理来源于:

1)COSO《企业风险管理—整合框架》 2004年发布,2017年修订

2)国资委《中央企业全面风险管理指引》 2006年

3)GB/T24353-2009 《风险管理 原则与实施指南》2009年

4)ISO 31000《风险管理 原则与指南》2009年

5)GB/T 26317-2010 《公司治理风险管理指南》2010年

6)GB/T 27914-2011《企业法律风险管理指南》2011年

7)GB/T 23694-2013 《风险管理 术语》2013年

二、三者的侧重点

合规管理,侧重于:

1)反商业贿赂、反欺诈、反舞弊

2)反垄断、反不正当竞争、反洗钱

3)贸易管制、海关估值、转移定价

4)数据安全、信息保护、隐私保护

5)高管刑事责任

6)税务合规

7)安全健康环保

内部控制,侧重于:

1)组织架构的设计与运行

2)发展战略的制定与实施

3)人力资源的引进与开发、使用与退出

4)安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护

5)企业文化的建设与评估

6)资金活动:筹资、投资和资金营运

7)采购业务:购买、付款

8)资产管理:存货、固定资产、 无形资产

9)销售业务:销售、收款

10)研究与开发:立项与研究、开发与保护

11)工程项目:立项、招标、造价、工程建设、工程验收

12)担保业务:调查评估与审批、执行与监控

13)业务外包:承包方选择、外包实施

14)财务报告:编制、对外提供、分析利用

15)全面预算:编制、执行、考核

16)合同管理:合同订立、履行

17)内部信息传递:内部报告的形成、内部报告的使用

18)信息系统:开发、运行与维护

风险管理,侧重于

1)战略风险

2)财务风险

3)市场风险

4)运营风险

5)法律风险

三、三者的核心

合规管理的核心,个人认为是“不合规,企业及相关利益主体将遭遇声誉损害、高额赔偿,乃至刑事处罚”。将企业和个人行为纳入合规管理体系中,保障主体不因不合规而遭受以上损失。这是合规管理的驱动力,也是合规管理的内在核心。至于合规可创造价值,完善的合规体系可成为减轻责任的抗辩理由,则是锦上添花的事。

内部控制的核心,个人认为是“通过内部控制五要素,对管理层及员工的行为进行约束,以尽可能实现企业的运营有效、报告可靠、合规这三大目标。”内部控制是帮助企业实现业绩和盈利目标,同时又保证企业出具的财务报告可靠和企业行为符合法律法规。

风险管理的核心,个人认为是“以可接受的成本保护和创造价值”。可接受的成本是指企业对风险的偏好程度,保护价值是指企业进行风险管理的基本目的,创造价值是指企业运用风险带来的机会,它是企业进行风险管理的高级目的。随着社会波动性、复杂性和模糊性日益增加,以及利益相关者的参与度越来越高,企业更加需要完善的风险管理机制来应对。将风险管理贯穿于整个企业会产生许多好处,包括增加新的机遇,识别和管理企业的风险,增加竞争优势,减少负面损失,降低绩效偏离度,改善资源部署,提升企业韧性等。近年来,基于风险导向的管理理念逐渐兴起,企业管理中常见的公司治理、企业文化、战略管理、绩效管理、危机管理等都可以用风险管理框架来更好地标准化、科学化。

四、三者的关系

1.个人认为,合规管理、内部控制、风险管理等皆根源于企业的委托-代理机制的天然局限性,都是企业治理与管理必不可少的一部分。在经济与社会不确定性不端增加的情形下,及法律作为经济与社会治理的重要手段不断加强的时代中,在历经一些惨痛教训之后,三者都越发显得重要。

2.与战略管理、营销管理、人力资源管理等职能与职责相比,合规管理、内部控制与风险管理在企业中偏向于后台保障、风险预防。如果将企业比喻为一艘向前行使的车辆,那么合规管理、内部控制与风险管理应该类似于刹车、前后护栏、ABS等组合在一起的功能。

3.合规管理、内部控制、风险管理都是从不同视角来填补委托代理机制所会带来的缺憾。合规管理强调对规则(法律、规章制度、商业伦理)的遵守,内部控制强调对行为(企业各层级、业务各环节)的限制,风险管理强调对风险纳入管理(战略制定与执行)的运用。

4. 合规是内部控制要达到的目标之一,而内部控制则被涵盖在企业风险管理之内,是风险管理的一个基础和组成部分。因此,从三者的内涵来看,合规管理小于内部控制,内部控制小于风险管理。也就是说,风险管理其实是老大。但从价值上来看,三者目前并不是可以相互取代的。未来是否可以融合在一起,暂未可知。

最后公式:合规管理<内部控制<风险管理

本文作者:陶光辉,北京德和衡律师事务所高级联席合伙人,一法网创办人,曾任某大型集团法务总监、ALB2016中国最佳企业总法律顾问。出版有《公司法务部》、《法务之道》等。

执业领域:新型合规管理、疑难案件诉讼、新金融争议解决——合规创造价值

小编微信:Crocso  如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。