风控、内控与合规,这三个概念既相互关联、彼此又有区别,在实务当中不容易区分,经常困扰我们。三者之间是怎样的关系,本文试做分析。
在《合规管理体系 指南》中,合规被定义为“履行组织的全部合规义务”。合规在《中央企业全面风险管理指引》中被定义为:“中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。”虽然国际/国家标准与指引就合规定义的表述有异,但遵IM电竞 IM电竞app从了合规是对合规义务的履行或遵守这个基本逻辑。
相比较《合规管理体系 指南》IM电竞 IM电竞app中合规风险被定义为“不确定性对于合规目标的影响”,“合规风险”的定义在《合规管理体系要求及使用指南》下有了变化:“likelihood of occurrence and the consequences ofnoncompliance with theorganization’s compliance obligations”。其翻译成中文可以表述为“不遵守组织合规义务的可能性和后果”。应该说新标准下对于合规风险的描述更加贴近我们经常用合规义务来对合规风险所进行的描述——合规义务就像是一枚硬币,做到了就是合规,做不到就是违规,就会带来风险。
“合规风险”在《中央企业合规管理指引》中被描述为“中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。”
“风险”在《中央企业全面风险管理指引》第三条中指代“企业风险”——指未来的不确定性对企业实现其经营目标的影响。该第三条进一步指出:企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
也就是说,定义合规的逻辑基本是:合规是对合规义务的遵从;定义合规风险的基本逻辑是:合规风险是不遵守合规义务的可能性和后果。与合规风险的定义相比较,有关风险的定义,其方法稍有不同——基本逻辑是:风险是不确定性对目标的影响——这个方法被国资委的《中央企业全面风险管理指引》在定义“企业风险”时所引用。
《中央企业全面风险管理指引》第四条对“风险管理”进行了定义,指“企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法”。
归纳一下上述指引或标准对于风险管理或合规管理的定义,无论是风险管理还是合规管理中,防控、控制或者说内部控制是针对风险管理或管控的一种管理活动——没有控制或者内部控制(亦即内控),合规管理或者风险管理就不能闭环,因为发现了问题,没有解决问题。说到这里,我们自然地要对控制或者内控做一个延伸解读。
作为一个常用词,控制或者内控在标准或者指引中都没有被定义,但都被提及。比如,《中央企业全面风险管理指引》在第三十三条要求“企业制定风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施”。针对内控措施,《中央企业全面风险管理指引》要求包括建立内控岗位授权制度、建立内控报告制度、建立内控批准制度、建立内控责任制度、建立内控审计检查制度、建立内控考核评价制度等九项制度。
同样,《合规管理体系要求及使用指南》(ISO 37301)第8.2条也提及控制:“组织应实施控制,以管理其合规义务和相关合规风险。应对这些控制措施进行维护、定期审查和测试,以确保其持续有效”。
其实,内控这个概念首先来自于财会部门——内控是内部控制的简称。内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。
建立内部控制与业务流程紧密相连,在风险所涉及的业务流程中,找到关键环节作为控制点,并在该控制点上采取相应的控制措施以控制风险的发生。对此,国资委于2006年6月6日颁布的《中央企业全面风险管理指引》 第34条明确指出:“企业制定风险解决的内控方案,应满足合规的要求,坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则,针对重大风险所涉及的各管理及业务流程,制定涵盖各个环节的全流程控制措施;对其他风险所涉及的业务流程,要把关键环节作为控制点,采取相应的控制措施。”
风险控制在《合规管理体系指南》第7.2条有关“建立控制和程序”中具体表述为:(组织)宜落实控制措施,管理合规义务和对应的合规风险,实现预期的行为。采取有效的控制措施确保满足合规义务,能够预防或发现不合规事件并纠正。充分而严格的设计各类、各层次的控制措施,以促进组织的活动和运行环境实现合规义务。在合理的情况下,这些控制措施宜植入常规的组织过程。
《合规管理体系指南》要求把控制措施植入流程;《中央企业全面风险管理指引》要求把关键环节作为控制点并采取相应的控制措施。所以在业务流程当中找准控制节点是做好、做准风险控制的关键。
内部控制的内容在具体的业务流程中视业务的不同而不同,比如某企业为了防止转售价格维持并形成纵向垄断协议,规定了十项禁止性合规义务。为了把这些禁止性合规义务落实到位,公司的合规部门同时设置了如下的控制措施,比如:法务必须对公司的销售人员进行《反垄断法》培训,并对这十项合规义务逐条予以解释和说明;销售部门每一个季度都要在销售工作会议上和每一个销售人员一起复习这十项合规义务;法务在审查经销合同时必须严格对照上述十项合规义务来审查合同。这些就是相应节点上的具体控制措施。
内部控制,无论是流程、节点还是措施不求繁多,但求有效。对此,华为创始人任正非有非常精辟的解读。任正非在华为质量与流程IT管理部员工座谈会上发表讲话时提出“流程是为作战服务,是为多产粮食服务”的管理哲学。他指出:不产粮食的流程是多余流程,多余流程创造出来的复杂性,要逐步简化。变革和IT也要聚焦,减少变革项目数量,IT不能遍地开花。每增加一<a href="http://whyihui.net" target="_blank" hr
还有两个故事也能够诠释风控不求繁文缛节,但求有效的要求。一个故事是有一个法国炮兵在参加操练的时候,发现他和其他战友不一样,其他人都在忙着操作,只有他一个人要求站在原地不动。他问上级为什么,上级说炮兵手册就是这么写的。这个炮兵觉得不可理解,然后就去查炮兵手册的历史渊源。他发现这个手册发源于拿破仑时代,那个时代的大炮都是用马、驴或者IM电竞 IM电竞平台骡子拉的。为了防止这些牲口受惊,必须派一个士兵站在旁边拉住缰绳。虽然现在已经不用牲口来拉大炮了,但是这个炮兵手册的操作流程却没有修改。
另外一个涉及生产肥皂的工厂。肥皂出厂运到零售商店的时候,有空盒的现象,为了解决这个问题,工厂领导就把技术人员叫过来,要求整改。工厂的工程师画了一个非常复杂的图纸,需要投资很多资金来解决这个问题。工厂的领导说这个投资太多了没法弄,但工程师也没有办法,得花这个钱才能解决问题。这时旁边扫地的清洁工听到了说,可以在流水线的末端架上一个电风扇,电风扇开通后可以直接把流水线上的空盒吹走,这样不费力气、不费钱就解决了问题。
任正非的观点以及上述两个故事充分说明了内部控制在流程、节点及控制措施上要做到准确、务实、有效,而不是越多越好、越复杂越好。另外,内部控制的流程、节点及控制措施要做到准确、务实、有效还取决于其他很多因素:
其次,内部控制能力还和企业自身的管控能力紧密相关,这个能力包括内部控制规划能力、流程及节点的辨识能力、制度规定的设计能力,甚至是与IT相关的信IM电竞 IM电竞平台息管理能力。所以一个公司要加强风险控制的能力,不仅要关注外因,还得苦练内功。
第三,内控还得与业务的发展动向和进程紧密相关,随着业务的变化而变化。我们在为集团以及下级公司设计合规管理体系的时候,就提出“以直接利益相关方为管理核心,穿透间接利益相关方”的多层风险管理架构,实现集团风险管控的全链条闭环管理,并提出风险管控三原则,包括主动管理原则、联合管理原则、风险穿透原则。
主动管理原则指应侧重主动出击、管理风险。联合管理原则指各直接利益相关方应建立跨组织的联合管理制度,而不是由各利益相关方各自“单打独斗”。风险穿透原则指合规管理在涵盖直接参与运营项目的利益相关方之外,还应将虽不直接参与运营,但其提供的技术、产品、服务参与运营的间接利益相关方纳入风险管理体系。
这些概括可以看成是对风控、内控与合规辩证关系的一个总结,但这个总结还没有闭环,还有一个问题亟待解决,那就是做了风险管控为什么还要做合规管理。对于这个问题,广东省广业集团有限公司的法律合规团队撰写了文章并发表在法制网上,我们明天转发给大家参考,敬请期待!
陈泽,管理学博士、国有企业一级法律顾问、高级经济师,现任广东省能源集团有限公司总法律顾问。
吕镇庭,工学硕士,国际注册内部审计师、经济师、工程师。现就职广东省能源集团有限公司从事合规与风险管理工作。
陈立彤,大成上海办公室高级合伙人,参与上述相关国际及国家合规合规与法律风险管理标准制定。返回搜狐,查看更多
