近年來,國企、外企和民企都越來越重視企業合規和風險控制。有的企業成立了專門的風控部,有的企業成立專門的合規部。更多的企業將風險控制、法律事務、合規等職責放到一起,成立法律合規部或風控合規部。這樣一來,內控、法務和合規等在有的企業的管理中的邊界并不清晰,有的甚至發生很大的沖突。很多專業人士對此也常混為一談。本文特對這幾個概念進行比較、剖析。
1. 規則標準
1)美國《反海外腐敗法》1998年修訂
2)ISO 19600《合規管理體系 指南》2014年
3)銀監會《商業銀行合規風險管理指引》2006年
4)保監會《保險公司合規管理辦法》2016年
5)ISO 37001《反賄賂管理體系 要求及使用指南》2016年
6)證監會《證券公司和證券投資基金管理公司合規管理辦法》2017年
7)GB/T 35770-2017《合規管理體系 指南》2017年
2. 一般流程
以GB/T 35770-2017《合規管理體系 指南》為例:
1)建立合規方針(確定相關方要求、建立合規管理體系)
2)識別合規義務,評價合規風險
3)策劃應對合規風險
4)落實控制措施
5)績效評價
6)持續改進
3、側重領域
1)反商業賄賂、反欺詐、反舞弊
2)反壟斷、反不正當競爭、反洗錢
3)貿易管制、海關估值、轉移定價
4)數據安全、信息保護、隱私保護
5)高管刑事責任
6)稅務合規
7)安全健康環保
4、相關用語
1)合規
2)合規風險
1. 規則標準
1)COSO《內部控制—整合框架》 1992年發布,2013年修訂
2)美國《2002年公眾公司會計改革和投資者保護法案》(薩班斯法案)2002年
3)證監會《證券公司內部控制指引》2003年
4)財政部《企業內部控制基本規范》2008年
5)財政部《企業內部控制應用指引》2010年
6)銀監會《商業銀行內部控制指引》2014年
2. 一般流程
以COSO《內部控制—整合框架》 為例
1)控制環境
2)風險評估
3)控制活動
4)信息與溝通
5)監督活動
3、側重領域
1)組織架構的設計與運行
2)發展戰略的制定與實施
3)人力資源的引進與開發、使用與退出
4)安全生產、產品質量、環境保護與資源節約、促進就業與員工權益保護
5)企業文化的建設與評估
6)資金活動:籌資、投資和資金營運
7)采購業務:購買、付款
8)資產管理:存貨、固定資產、無形資產
9)銷售業務:銷售、收款
10)研究與開發:立項與研究、開發與保護
11)工程項目:立項、招標、造價、工程建設、工程驗收
12)擔保業務:調查評估與審批、執行與監控
13)業務外包:承包方選擇、外包實施
14)財務報告:編制、對外提供、分析利用
15)全面預算:編制、執行、考核
16)合同管理:合同訂立、履行
17)內部信息傳遞:內部報告的形成、內部報告的使用
18)信息系統:開發、運行與維護
4.相關用語
1)內控
2)風控
1. 規則標準
1)COSO《企業風險管理—整合框架》 2004年發布,2017年修訂
2)國資委《中央企業全面風險管理指引》 2006年
3)GB/T24353-2009 《風險管理 原則與實施指南》2009年
4)ISO 31000《風險管理 原則與指南》2009年
5)GB/T 26317-2010 《公司治理風險管理指南》2010年
6)GB/T 27914-2011《企業法律風險管理指南》2011年
7)GB/T 23694-2013 《風險管理 術語》2013年
2. 一般流程
以ISO 31000《風險管理 原則與指南》為例
1)溝通與咨詢
2)建立環境
3)風險識別
4)風險分析
5)風險評價
6)風險應對
7)監測與評審
8)記錄風險管理過程
3. 側重領域
1)戰略風險
2)財務風險
3)市場風險
4)運營風險
5)法律風險
4. 相關用語
1)全面風險管理
2)風險控制
3)風險管控
1. 合規管理的核心,個人認為是“不合規,企業及相關利益主體將遭遇聲譽損害、高額賠償,乃至刑事處罰”。將企業和個人行為納入合規管理體系中,保障主體不因不合規而遭受以上損失。這是合規管理的驅動力,也是合規管理的內在核心。至于合規可創造價值,完善的合規體系可成為減輕責任的抗辯理由,則是錦上添花的事。
進行合規管理,首先要有正確且全面的合規理念。包括全員合規、合規從管理層做起、合規創造價值等。其次,關鍵要對合規義務進行全面、及時識別,對合規義務可能造成的合規風險進行充分評估。再次,在企業內制定相應的合規管理制度,搭建合適的合規管理組織架構。最后,建立完整的合規管理實施機制,包括培訓、溝通、考核、舉報、調查、處理和改進機制。
2. 內部控制的核心,個人認為是“通過內部控制五要素,對管理層及員工的行為進行約束,以盡可能實現企業的運營有效、報告可靠、合規這三大目標。”內部控制是幫助企業實現業績和盈利目標,同時又保證企業出具的財務報告可靠和企業行為符合法律法規。
內部控制的五要素是:一,控制環境。它包括企業的價值觀;促進董事會行使公司治理監控職責的機制;吸引、開發和保留人才的機制;嚴格的績效衡量、激勵和匯報機制。控制環境是內部控制實施的基礎。二、風險評估。它是一個根據企業要實現的目標,動
態和反復的識別和評估風險的過程,為決定風險如何進行管理打基礎,其前提是企業各 個層級的目標的確立。三、控制活動。在企業的各個層級,業務的各個環節,都應實施控制活動,包括授權和批準,復核,對賬和業務績效評估等。四、信息與溝通。管理層 使用有質量的信息來支持內部控制其他要素的正常運轉。溝通是為了持續和不斷重復的提供、分享和獲得必要的信息。五、監督活動。通過持續的評估、獨立的評估,或者兩者的組合以確認內部控制的五個要素以及每個要素下的原則是否存在并發揮作用。
3. 風險管理的核心,個人認為是“以可接受的成本保護和創造價值”。可接受的成本是指企業對風險的偏好程度,保護價值是指企業進行風險管理的基本目的,創造價值是指企業運用風險帶來的機會,它是企業進行風險管理的高級目的。
隨著社會波動性、復雜性和模糊性日益增加,以及利益相關者的參與度越來越高,企業更加需要完善的風險管理機制來應對。將風險管理貫穿于整個企業會產生許多好處,包括增加新的機遇,識別和管理企業的風險,增加競爭優勢,減少負面損失,降低績效偏離度,改善資源部署,提升企業韌性等。近年來,基于風險導向的管理理念逐漸興起,企業管理中常見的公司治理、企業文化、戰略管理、績效管理、危機管理等都可以用風險管理框架來更好地標準化、科學化。
企業風險管理框架的五個要素:一、治理和文化。治理決定企業的基調,強化并確立企業風險管理的監督職責;文化則事關道德價值、具責任感的企業行為,以及企業整體對風險的理解。二、戰略與目標設定。風險管理、戰略以及業務目標設定共同作用于戰略制定過程。風險偏好的建立與戰略保持一致;業務目標將戰略付諸于實踐,同時作為識別、評估和應對風險的基礎。三、績效。企業需要識別和評估可能會影響戰略和業務目標實現的風險,根據嚴重程度和風險偏好來確定風險的優先級,然后選擇對應的風險應對方案,并對估計的風險數量建立一種風險組合觀。四、審閱和修訂。通過過審查整體風險管理執行情況,企業可以評估風險管理要素在隨著時間推移及環境變化的過程中發揮作用的情況,以及需要做出什么改進。五、信息、溝通和報告。企業風險管理需要持續從組織內外部來獲取和分享必要的信息。
1.個人認為,合規管理、內部控制、風險管理等皆根源于企業的委托-代理機制的天然局限性,都是企業治理與管理必不可少的一部分。在經濟與社會不確定性不端增加的情形下,及法律作為經濟與社會治理的重要手段不斷加強的時代中,在歷經一些慘痛教訓之后,三者都越發顯得重要。
2.與戰略管理、營銷管理、人力資源管理等職能與職責相比,合規管理、內部控制與風險管理在企業中偏向于后臺保障、風險預防。如果將企業比喻為一艘向前行使的車輛,那么合規管理、內部控制與風險管理應該類似于剎車、前后護欄、ABS等組合在一起的功能。
3.合規管理、內部控制、風險管理都是從不同視角來填補委托代理機制所會帶來的缺憾。合規管理強調對規則(法律、規章制度、商業倫理)的遵守,內部控制強調對行為(企業各層級、業務各環節)的限制,風險管理強調對風險納入管理(戰略制定與執行)的運用。
4. 合規是內部控制要達到的目標之一,而內部控制則被涵蓋在企業風險管理之內,是風險管理的一個基礎和組成部分。因此,從三者的內涵來看,合規管理小于內部控制,內部控制小于風險管理。但從價值上來看,三者目前并不是可以相互取代的。未來是否可以融合在一起,暫未可知。
5. 合規是企業必須遵守的底線,因其強制性以及一旦發生所帶來的嚴重負面性,被企業所深刻認識,逐漸有超越內部控制,成為當今企業管理的熱點。內部控制,是提倡企業主動實施,但不能直接創造價值,也無法保證企業一定成功,加之實施成本與收益似乎不對等,因此,近年有流于形式的跡象。新版的風險管理框架,強調嵌入企業管理業務活動和核心價值鏈,從而是一種新型的管理視角,“從控制到管理”,應當會逐漸受到企業管理者的歡迎。
