合规管理、内部控制与风险管理辨析
近年来,国企、外企和民企都越来越重视企业合规和风险控制。有的企业成立了专门的风控部,有的企业成立专门的合规部。更多的企业将风险控制、法律事务、合规等职责放到一起,成立法律合规部或风控合规部。这样一来,内控、法务和合规等在有的企业的管理中的边界并不清晰,有的甚至发生很大的冲突。很多专业人士对此也常混为一谈。本文特对这几个概念进行比较、剖析。
一
合规管理
1. 规则标准
1)美国《反海外腐败法》1998年修订
2)ISO 19600《合规管理体系 指南》2014年
3)银监会《商业银行合规风险管理指引》2006年
4)保监会《保险公司合规管理办法》2016年
5)ISO 37001《反贿赂管理体系 要求及使用指南》2016年
6)证监会《证券公司和证券投资基金管理公司合规管理办法》2017年
7)GB/T 35770-2017《合规管理体系 指南》2017年
2. 一般流程
以GB/T 35770-2017《合规管理体系 指南》为例:
1)建立合规方针(确定相关方要求、建立合规管理体系)
2)识别合规义务,评价合规风险
3)策划应对合规风险
4)落实控制措施
5)绩效评价
6)持续改进
3、侧重领域
1)反商业贿赂、反欺诈、反舞弊
2)反垄断、反不正当竞争、反洗钱
3)贸易管制、海关估值、转移定价
4)数据安全、信息保护、隐私保护
5)高管刑事责任
6)税务合规
7)安全健康环保
4、相关用语
1)合规
2)合规风险
二
内部控制
1. 规则标准
1)COSO《内部控制—整合框架》 1992年发布,2013年修订
2)美国《2002年公众公司会计改革和投资者保护法案》(萨班斯法案)2002年
3)证监会《证券公司内部控制指引》2003年
4)财政部《企业内部控制基本规范》2008年
5)财政部《企业内部控制应用指引》2010年
6)银监会《商业银行内部控制指引》2014年
2. 一般流程
以COSO《内部控制—整合框架》 为例:
1)控制环境
2)风险评估
3)控制活动
4)信息与沟通
5)监督活动
3、侧重领域
1)组织架构的设计与运行
2)发展战略的制定与实施
3)人力资源的引进与开发、使用与退出
4)安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护
5)企业文化的建设与评估
6)资金活动:筹资、投资和资金营运
7)采购业务:购买、付款
8)资产管理:存货、固定资产、无形资产
9)销售业务:销售、收款
10)研究与开发:立项与研究、开发与保护
11)工程项目:立项、招标、造价、工程建设、工程验收
12)担保业务:调查评估与审批、执行与监控
13)业务外包:承包方选择、外包实施
14)财务报告:编制、对外提供、分析利用
15)全面预算:编制、执行、考核
16)合同管理:合同订立、履行
17)内部信息传递:内部报告的形成、内部报告的使用
18)信息系统:开发、运行与维护
4.相关用语
1)内控
2)风控
三
合规管理
1. 规则标准
1)COSO《企业风险管理—整合框架》 2004年发布,2017年修订
2)国资委《中央企业全面风险管理指引》 2006年
3)GB/T24353-2009 《风险管理 原则与实施指南》2009年
4)ISO 31000《风险管理 原则与指南》2009年
5)GB/T 26317-2010 《公司治理风险管理指南》2010年
6)GB/T 27914-2011《企业法律风险管理指南》2011年
7)GB/T 23694-2013 《风险管理 术语》2013年
2. 一般流程
以ISO 31000《风险管理 原则与指南》为例
1)沟通与咨询
2)建立环境
3)风险识别
4)风险分析
5)风险评价
6)风险应对
7)监测与评审
8)记录风险管理过程
3. 侧重领域
1)战略风险
2)财务风险
3)市场风险
4)运营风险
5)法律风险
4. 相关用语
1)全面风险管理
2)风险控制
3)风险管控
四
合规管理,内部控制与风险管理的核心与内容
1. 合规管理的核心,个人认为是“不合规,企业及相关利益主体将遭遇声誉损害、高额赔偿,乃至刑事处罚”。将企业和个人行为纳入合规管理体系中,保障主体不因不合规而遭受以上损失。这是合规管理的驱动力,也是合规管理的内在核心。至于合规可创造价值,完善的合规体系可成为减轻责任的抗辩理由,则是锦上添花的事。
进行合规管理,首先要有正确且全面的合规理念。包括全员合规、合规从管理层做起、合规创造价值等。其次,关键要对合规义务进行全面、及时识别,对合规义务可能造成的合规风险进行充分评估。再次,在企业内制定相应的合规管理制度,搭建合适的合规管理组织架构。最后,建立完整的合规管理实施机制,包括培训、沟通、考核、举报、调查、处理和改进机制。
2. 内部控制的核心,个人认为是“通过内部控制五要素,对管理层及员工的行为进行约束,以尽可能实现企业的运营有效、报告可靠、合规这三大目标。”内部控制是帮助企业实现业绩和盈利目标,同时又保证企业出具的财务报告可靠和企业行为符合法律法规。
内部控制的五要素是:一,控制环境。它包括企业的价值观;促进董事会行使公司治理监控职责的机制;吸引、开发和保留人才的机制;严格的绩效衡量、激励和汇报机制。控制环境是内部控制实施的基础。二、风险评估。它是一个根据企业要实现的目标,动态和反复的识别和评估风险的过程,为决定风险如何进行管理打基础,其前提是企业各 个层级的目标的确立。三、控制活动。在企业的各个层级,业务的各个环节,都应实施控制活动,包括授权和批准,复核,对账和业务绩效评估等。四、信息与沟通。管理层 使用有质量的信息来支持内部控制其他要素的正常运转。沟通是为了持续和不断重复的提供、分享和获得必要的信息。五、监督活动。通过持续的评估、独立的评估,或者两者的组合以确认内部控制的五个要素以及每个要素下的原则是否存在并发挥作用。
3. 风险管理的核心,个人认为是“以可接受的成本保护和创造价值”。可接受的成本是指企业对风险的偏好程度,保护价值是指企业进行风险管理的基本目的,创造价值是指企业运用风险带来的机会,它是企业进行风险管理的高级目的。
随着社会波动性、复杂性和模糊性日益增加,以及利益相关者的参与度越来越高,企业更加需要完善的风险管理机制来应对。将风险管理贯穿于整个企业会产生许多好处,包括增加新的机遇,识别和管理企业的风险,增加竞争优势,减少负面损失,降低绩效偏离度,改善资源部署,提升企业韧性等。近年来,基于风险导向的管理理念逐渐兴起,企业管理中常见的公司治理、企业文化、战略管理、绩效管理、危机管理等都可以用风险管理框架来更好地标准化、科学化。
企业风险管理框架的五个要素:
一、治理和文化。治理决定企业的基调,强化并确立企业风险管理的监督职责;文化则事关道德价值、具责任感的企业行为,以及企业整体对风险的理解。
二、战略与目标设定。风险管理、战略以及业务目标设定共同作用于战略制定过程。风险偏好的建立与战略保持一致;业务目标将战略付诸于实践,同时作为识别、评估和应对风险的基础。
三、绩效。企业需要识别和评估可能会影响战略和业务目标实现的风险,根据严重程度和风险偏好来确定风险的优先级,然后选择对应的风险应对方案,并对估计的风险数量建立一种风险组合观。
四、审阅和修订。通过过审查整体风险管理执行情况,企业可以评估风险管理要素在随着时间推移及环境变化的过程中发挥作用的情况,以及需要做出什么改进。
五、信息、沟通和报告。企业风险管理需要持续从组织内外部来获取和分享必要的信息。
五
合规管理、内部控制与风险管理的异同与趋势
1.个人认为,合规管理、内部控制、风险管理等皆根源于企业的委托-代理机制的天然局限性,都是企业治理与管理必不可少的一部分。在经济与社会不确定性不端增加的情形下,及法律作为经济与社会治理的重要手段不断加强的时代中,在历经一些惨痛教训之后,三者都越发显得重要。
2.与战略管理、营销管理、人力资源管理等职能与职责相比,合规管理、内部控制与风险管理在企业中偏向于后台保障、风险预防。如果将企业比喻为一艘向前行使的车辆,那么合规管理、内部控制与风险管理应该类似于刹车、前后护栏、ABS等组合在一起的功能。
3.合规管理、内部控制、风险管理都是从不同视角来填补委托代理机制所会带来的缺憾。合规管理强调对规则(法律、规章制度、商业伦理)的遵守,内部控制强调对行为(企业各层级、业务各环节)的限制,风险管理强调对风险纳入管理(战略制定与执行)的运用。
4. 合规是内部控制要达到的目标之一,而内部控制则被涵盖在企业风险管理之内,是风险管理的一个基础和组成部分。因此,从三者的内涵来看,合规管理小于内部控制,内部控制小于风险管理。但从价值上来看,三者目前并不是可以相互取代的。未来是否可以融合在一起,暂未可知。
5. 合规是企业必须遵守的底线,因其强制性以及一旦发生所带来的严重负面性,被企业所深刻认识,逐渐有超越内部控制,成为当今企业管理的热点。内部控制,是提倡企业主动实施,但不能直接创造价值,也无法保证企业一定成功,加之实施成本与收益似乎不对等,因此,近年有流于形式的迹象。新版的风险管理框架,强调嵌入企业管理业务活动和核心价值链,从而是一种新型的管理视角,“从控制到管理”,应当会逐渐受到企业管理者的欢迎。
来源:注册风险管理师