内部控制、风险管理与合规管理是什么关系？

有过许多人问我，内部控制、风险管理与合规管理是什么关系？实际工作中，总有些不清楚和让人糊涂。以笔者多年分别从事过这三个方面的工作实践看，笔者以为：它们三个之间各具功能，之间没有多少重叠关系。笔者想先从一个比喻开始，来交流三者的关系。

它们三者的关系可以用“一辆运输车从A地运货到目的地B地的行车过程”来比喻。从A地运货到目的地B地，可能需要遇到盘山公路和各种路况，这辆车在一路的行车过程中，“合规”之意是司机一路要严格遵守交通规则和沿途的各种交通规则标识与警示，“内部控制”之意是该车要有良好的刹车制动和方向盘系统，“风险管理”之意是司机一路开车过程中要一路谨慎驾驶，处理好路上行使过程中遇到的各种情形和路况。

关于内部控制

企业内部控制权威要算1994年美国反对虚假财务报告委员会下属的COSO增补发布的《内部控制——整体框架》，其对内部控制下的定义是：“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）经营的效果和效率；（2）财务报告的可靠性；（3）符合适用的法律和法规。

该定义要表达四个意思：

一是内部控制体系覆盖董事长、管理层和其他人员，即企业生产经营活动涉及的全体人员均在内部控制体系构成范围。

二是内部控制的实现，依赖董事长、管理层和其他人员，即依靠企业生产经营活动的全体人员共同实现。

三是实现三个目标：（1）财务报告的数据是真实的，没有虚假，即可靠性，这是首要；（2）企业的生产经营目标能够真实实现（经营的效果和效率）；（3）企业实现生产经营目标的行为过程和结果本身是遵循法律和法规的（符合适用的法律和法规）。

四是内部控制体系对实现三个目标是提供合理保证，表明建立内部控制的增加成本投入要低于不控制状态下的机会损失。

《内部控制——整体框架》将内部控制体系框架划分为5个要素：控制环境、风险评估、控制活动、信息与沟通、监控。

控制环境包括企业诚信和道德价值观（如企业行为准则和反舞弊要求）、内部控制能力建设承诺、管理层理念和经营风格、企业内部组织结构权限与职责分配、人力资源政策与制度程序、监管部门的监督职责明确等。

风险评估识别分析影响三个目标实现的风险，并且持续评估和内部外部环境变化下的再评估。影响三个目标实现的风险包括：一是反映企业生产经营成果的财务报告是否可靠的不确定性；二是是否能够实现经营的效果和效率的不确定性；（3）是否符合企业适用的法律和法规的不确定性。”

控制活动针对风险建立应对和风险管理措施，植入企业流程体系。

信息与沟通是识别企业内部生产经营活动中产生的信息，帮助管理层经营和控制风险，并识别外部的信息进行正确的决策和外部报告，并且在内部和外部保持有效沟通状态。

监控是建立内部控制体系监控制度、定期监督与审计，报告并持续改进内部控制体系。

以上五个要素看，其实是一个PDCA循环。

2013年新版内部控制——整体框架对目标进行了拓展：

（1）经营的效果和效率，包括财务的、非财务的和资产方面的；（2）财务和非财务报告的可靠性、及时性、透明度和其他相关的要求；（3）遵守适用的法律和法规。

这里需要注意的是：内部控制的一个目标是“控制合法”之意，与合规之意相差比较远。

关于风险管理

企业风险管理也是可以源起2004年美国COSO发布《企业风险管理整合框架》,2006年6月，国务院国有资产监督管理委员会印发《中央企业全面风险管理指引》（国资发改革[2006]108号）沿用了其许多风险管理定义和方法。指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等。所称全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

所称风险管理基本流程包括以下主要工作：

（一）收集风险管理初始信息；

（二）进行风险评估；

（三）制定风险管理策略；

（四）提出和实施风险管理解决方案；

（五）风险管理的监督与改进。

风险管理体系的目的与内部控制的第二个目标“（2）经营的效果和效率”基本是一致的，但也是有了深化和拓展，独立形成一个完整的全面风险管理体系。

2017年9月份,COSO组织又发布正式版《企业风险管理框架》,可以这么说，风险管理体系正式与内部控制体系分道扬镳。

将2004年版的立方体8要素框架改为5要素20项原则的框架。

“去风险化”和“去控制化”，直接从企业管理的角度将风险管理内容融入，在实现企业愿景、使命和核心价值观中，构建了一个风险管理体系。

重新定义风险：事项发生并影响战略与商业目标实现的可能性。

定义企业风险管理：组织在创造、保持和实现价值的过程中，结合战略制定和实施，对风险文化、能力和实践进行的管理。

企业风险管理要考虑的问题是：

我们是否准确地模拟了客户需求?

我们的供应链能在预算内按时交货吗?

会出现新的竞争对手吗?

我们的技术基础设施能胜任这项任务吗?

企业风险管理:战略不一致的可能性，以及所选择的战略的影响。

特别考虑：

战略可能与组织的使命、愿景和核心价值观不一致。

所选战略对风险管理的影响。每一种替代战略都有自己的风险概况，董事会和管理层需要确定战略是否与企业的风险偏好协同。

关于合规管理

2022年9月16日官宣的《中央企业合规管理办法》定义：

合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。

本办法所称合规风险，是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。

本办法所称合规管理，是指企业以有效防控合规风险为目的，以提升依法合规经营管理水平为导向，以企业经营管理行为和员工履职行为为对象，开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。

国际标准化组织2021年4月13日正式发布的ISO37301《合规管理体系要求及使用指南》定义：

合规义务是组织强制性地必须遵守的要求，以及组织自愿选择遵守的要求。

合规是履行组织全部的合规义务。

合规风险是因未遵守组织合规义务而发生不合规的可能性及其后果。

从上面的内容看：合规、内部控制和风险管理存在少部分交叉，更多的是相互配合关系，均为企业长期成功服务，三者缺一不可，在实践工作中，我们应该让三者衔接于“1+6业务流程”，各自发挥作用。具体可见本号相关文章。