企业内控、风控和合规、法律事务管理的关系浅析

近年来，国企、外资企业和民营企业越来越重视企业风控和合规管理，有的企业成立了专门的风控部，有的企业成立了专门的合规部，当然也有企业把合规管理职责纳入了企业法律事务部，有把风控即风险管理纳入企业管理部，这样一来，有的企业内控、风控和合规、法律事务管理在企业管理工作中，似有乱花渐欲迷人眼之感！这四个方面的管理有什么交集？边界如何？叫人欲理还乱！笔者试着对企业内控、风控和合规、法律事务管理的关系作一梳理，权当批评的靶子。

企业内控

企业内控即企业内部控制。1994年美国反对虚假财务报告委员会下属的COSO增补发布的《内部控制——整体框架》的内部控制定义：“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）财务报告的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。”2002年7月30日美国总统布什签署了《萨班斯—奥克斯利法案》，对渎职和做假账的企业主管实行严厉的制裁，对上市公司实行严厉的监管，以树立上市公司的诚信！第404条款规定，上市公司编制的年度报告需包括内部控制报告，并声明管理层对于建立和保持充分的内部控制体系与财务报告程序的责任及其有效性评价，并且外部审计师要审核并报告上市公司管理层所作的评价。可见内部控制的着重点是：假账、假经营成果、违反法律法规与作弊！防止在账务、经营成果（财务报表）、经营行为上串通舞弊和个人舞弊风险是内部控制的重点任务！

企业风控

企业风控即企业全面风险控制。2004年COSO继续提出了企业风险管理整体框架，定义企业风险管理：“企业风险管理是一个过程，受企业董事会、管理当局和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”这个对企业风险管理的定义依然有内部控制的太多痕迹。实际中，企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险等。

企业合规

国际标准化组织（ISO）在2014年12月15 日发布了国际标准ISO19600《合规管理体系-指南》对“规”有定义：组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。合规义务信息应包括合规要求，可包括合规承诺。前者包括监管机构制定发布具有强制性的法律法规、监管条例规定等，后者包括组织与社区、公共权力机构、客户签订的协议、组织要求、政策、程序、自愿原则、规程、环境的承诺等。

王志乐教授（商务部研究院研究员，联合国全球契约组织第十项原则专家组成员，北京新世纪跨国公司研究所所长）关于对“合规”的解释，一是广义的“合规”，有三层含义，第一层是企业要在生产经营过程中要遵守法律法规，即企业要遵守公司总部所在国和经营所在国的法律规定及监管规定；第二层是企业经营要遵循企业内部规章制度，包括企业商业行为准则的规章；第三层是企业员工要遵守良好的职业操守和道德规范等。狭义的合规是指企业遵守反对商业贿赂方面的规定。

结合以上，合规的“规”应该按照三层涵义来正确理解：第一层是具有强制性的法律法规，即企业总部所在国和经营所在国的具有强制性的法律规定及监管规定；第二层是企业在生产经营活动中写入企业规制的对相关方（客户、股东、监管方、企业内部员工等）的自愿性承诺；第三层是企业要遵守良好的职业操守和道德规范、公序良俗等，这些不是强制性的，但在社会活动中普遍为大众所认同。

合规风险即企业组织集体行为和代表企业组织的个人行为是否遵守合规的“规”的不确定性。

从合规的“规”三层含义看，第一层合规风险和第三层合规风险就全面包含了企业内部控制风险内容。

企业法律风险

企业在一定的市场环境中参与市场竞争，其行为必须遵循市场监管者的所有法律法规，主要是上面合规的“规”的第一层“规”，即企业要在生产经营过程中要遵守公司总部所在国和经营所在国的法律规定及监管规定。企业法律风险包含于企业合规风险之中。

作者：樊光中