淺析幾種風險防范工具方法的關系

摘 要：經營企業就是經營風險，市場經濟也是法治經濟，要建成具有全球競爭力的世界一流企業，必須更加重視風險防范。善用法務、合規、內控、風控、審計等工具方法，切實筑牢不發生重大風險的底線，為做強做優做大國有企業提供強有力的支撐和保障！

關鍵詞：風險防范 法務 合規 內控 風控 內審

黨的十九大報告提出了培育具有全球競爭力的世界一流企業的要求，這是新時代國有企業改革發展的使命責任和根本目標。要建成具有全球競爭力的世界一流企業，必須更加重視風險防范，善用風險防范工具方法，切實筑牢不發生重大風險的底線。目前較為常見的風險防范工具方法包括：法務、合規、內控、風控、審計等，它們之間是一種什么樣的關系呢？

一、企業法務、合規、內控、風控、內審的基本特征

1.法務。現代企業立足市場，必然要面對來自方方面面的風險，諸如合同行為風險、資本運作風險、知識產權風險、人力資源風險、環境保護風險、稅務籌劃風險、公共關系風險和訴訟仲裁風險，等等。如何防范這些風險，從根本上預防潛在的風險變成現實的災難，防患于未然，這就需要建立企業法律風險管理服務機構，健全企業法律風險管理體系。大型企業通常會設立法律法規室或法律事務部，負責處理日常法律事務。

2.合規。國際標準化組織于2014年12月15日發布了ISO19600《合規管理體系—指南》，對“規”的定義是：組織宜以適合其規模、復雜性、結構和運營的方式制定“合規義務”文件。合規義務信息應包括合規要求，可包括合規承諾。前者包括監管機構制定發布具有強制性的法律法規、監管條規等，后者包括組織與社區、公共權力機構、客戶簽訂協議、組織要求、政策、程序、自愿原則、規程、環境承諾等。

廣義“合規”有三層含義，第一層是企業在生產經營過程中要遵守法律法規，即企業要遵守總部所在國和經營所在國的法律規定及監管規定;第二層是企業經營要遵循內部規章制度，包括商業行為準則等制度;第三層是企業員工要遵守職業操守和道德規范等。而狹義“合規”則是指企業應遵守反商業賄賂等方面的規定。

綜上，合規的“規”應按三層涵義來理解：第一層是具有強制性的法律法規，即企業總部所在國和經營所在國的具有強制性的法律規定及監管規定;第二層是企業在生產經營活動中寫入規章制度的對相關方（客戶、股東、監管方、員工等）的自愿性承諾;第三層是企業員工要遵守職業操守、道德規范、公序良俗等，盡管這些不是強制性的，但在社會活動中已為大眾認同。合規風險即企業集體行為和代表企業的個人行為是否遵守合規的“規”的不確定性。

3.內控。從合規的“規”的三層含義看，第一層合規風險和第三層合規風險已全部包含了企業內控風險的內容。

4.風控。風控即全面風險控制。2004年COSO提出了企業風險管理整體框架，對企業風險管理的定義是：“企業風險管理是一個過程，受企業董事會、管理層和其他員工的影響，包括內部控制及其在戰略和整個公司的應用，旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。”這里對企業風險管理的定義依然有內控的太多痕跡。實際上，企業風險包括市場宏觀政策風險、客戶偏好風險、合規風險、技術風險、質量風險、履約能力風險，等等。

5.內審。內審是一種獨立、客觀的保證和咨詢活動，目的在于為企業增加價值和提高運營效率。通過系統化和規范化的方法，評價和改進風險管理，控制和治理程序運行的效果，幫助企業實現目標。從概念上分析，內審是對內控、風險管理與治理進行評價，確保企業正常運營，且不偏離目標。

二、內控、風控、內審三者的關系

1.內控是點，風控是線，內審是用線把點串成面

就集團內部管理而言，內控、風控、內審三者有一定的關系與作用。

內控是風控和內審的基礎，是風控、內審的根源和根本，處在整個風險防范系統的前端。內控是事前控制，因為制度和流程是為管理而生的，是為防止企業管理出現問題和錯漏而制訂的。

風控則處于中端，是事中控制的范疇。它能為內審提供邏輯和方向，為內審確定問題（即評估后的風險），為確定審計方向（目標）提供精準定位。風控主要在事中進行分析評價，當然事前也可以。風險評價的基本內容也是內部控制措施和制度流程，作業過程的風險就屬于事中控制;即便事后分析風險也是為了事中的管控。

內審是通過確認和咨詢等方式，對企業運營、內控、風控和公司治理進行評估與評價，以保證企業的各項業務工作按照既定目標和標準，不偏不倚地完成戰略目標。就三者關系而言：內審在前兩者之后，是根據風險提示或結果對內控相對應節點（關鍵控制點）進行確認，確認風險是否存在，是否產生損失，是否可化解或轉移。按照這個過程，內審就是事后的確認與評估，屬事后控制的范疇。

從控制方式上分析，內控、風控、內審三者是“基礎——分析——評估”的遞進關系和因果關系。簡而言之，內控是點，風控是線，而內審則是用線把點串起來組成面。

2.內控、風控、內審都是戰略目標導向

內控、風控、內審都是基于治理、監管等因素下的“產品”，持續追溯風險產生的動因。

從內部角度分析，所有權與經營權兩權分立是重要的因素之一。從外部角度分析，企業運營要遵循總部所在國和經營所在國的法律法規。

內控、風控、內審對企業運營是一種制衡，包括對人的制衡、對事的制衡、對利益的制衡，制衡之外則是促進企業健康發展。

內控、風控、內審可以說是企業的“防火墻”或“保健醫生”。內控、風控、內審的落腳點要導向企業的戰略目標、遠景、規劃，從近處說，則要服務企業某階段的發展目標，從這個角度分析，內控、風控、內審的目標導向是一致的。

總之，經營企業就是經營風險，市場經濟也是法治經濟。只要我們牢固樹立風險防范意識，充分發揮黨建的引領作用，善用風險防范工具方法，完善風險防范體系，就一定能把國有企業做強做優做大！

作者簡介：

何信文，男，湖北潛江人，1965年2月出生。1986年7月畢業于華中科技大學電氣自動化專業。研究員，副總。長期在中船重工第七一研究所從事海洋裝備研究與開發，以及人力資源管理、法務管理、企業經營管理等工作。曾借調原國防科工委工作，掛職中船重工集團總部。獲國家科技進步二等獎等7項科研成果獎，獲專利授權近10項，發表科技論文、管理論文100余篇。