合規管理與風險管理、內部控制、內部審計之異同研究

朱宏博

【摘 要】我國合規推進迅速，但和風管、內控、內審存在重復建設問題。從源流上看，風管、內控、內審發展，源自企業內部管理需要，從單一后端監控向流程控制、向全面風險管理的脈絡。而合規管理作為一個法律事項，多因為外部監管，逐步對企業控制行為內化。

【關鍵詞】合規管理;風險管理;內部控制;內部審計

《說文解字》中“規”者，其有法度也。合規一詞譯自compliance，釋義“按照、遵順”。2016年1月，《關于全面推進法治央企建設的意見》委發布推開我國國企全面合規建設之路。2018年11月，《中央企業合規管理指引（試行）》委發布，合規提到全新高度。各方對合規管理與風險管理、內部控制、內部審計關聯莫衷一是，筆者擬從四者源流入手，探賾索隱。

一、我國公司合規管理發展

2017年《合規管理體系指南》（GB/T35770-2017），結合2018年國資委《合規管理指引》，成為我國企業進行合規管理權威文件。《指引》中定義合規符合三大類規定：首先是法律法規、監管規定、行業準則，其次是企業自身章程、制度、辦法等，最后還包括國際條約、國際規范等。《指南》2014年ISO19600對合規要求定義為：組織選擇遵守的要求，意為：明示、隱藏或具一定義務的須要。

合規工作具體事項，《指引》列舉建立、設計、識別、審閱、應對、追責、考評、培訓等要素，可與美國政府《合規承諾框架》、《有效性評價指南》OECD《內控、道德和合規的最佳行動指南》相參照。

二、內審、內控、風管的發展

內審、內控、風管是公司內部管理需要和外部競爭，二者結合產生之行為與概念。

1.內部審計。

傳統監管主導型內審，以監控為基礎，對財報和管理進行再確認的審計。現代內部審計為服務主導型，以改善運營為出發點，參與至公司運營的審計。監管型內審多運作于后端，服務型內審會向中端和前端擴展。前者側重于發現和糾偏，后者側重于建議和優化。

兩者出發點和側重點不盡相同，監管型內部審計往往運作于后端，服務型內部審計會向中端和甚至前端擴展。前者側重于發現和糾偏，后者側重于建議和優化。

2.內部控制。

內控源自內部牽制概念。最狹義內控是指運營過程中業務操作執行遵守規程。最早體系化理論見于1949年美國注冊會計師協會（AICPA）所發布《內部控制：系統性統籌要素，對管理機關與注冊會計師的重要意義》。

COSO委員會1992年發布《內部控制整體框架》，內控逐步超出原有范疇，提出內控是管理過程，由公司內部的治理層、管理層、執行層共同參與，對合法合規、財報真實、經營效率與效果，三大目標提供合理保證。COSO委員會由AICPA、IIA等五家會計師、審計師協會聯合設置，建立初期就存在很強的財務和審計控制論視角，從控制環境、風險的評估、控制活動、信息與交流、監督管理這五個關鍵元素，建立起防御性規避舞弊體系。合規目標，作為最為三大目標中最基礎的內控目標，被納入內部控制。內部審計被視作完善治理中的內部監督者職能。《內部控制整體框架》在2013年進行修訂，并在2016年更新執行綱要，在5大關鍵元素下設置17個原則，79個關注事項。

3.風險管理（或風險管理）。

風險是目標所要面臨的不確定性。風險管理理論化研究始于保險業，以1932年美國保險業協會建立為起點。企業管理除借用保險行業風險管理既有理論，更多在如何搭建公司層面風險管理體系有所表述。

2017年，COSO委員會提出涵蓋五項要素、二十個具體事項的《企業風險管理——與戰略和業績的整合》基本解決風險管理整合框架和內部控制整合框架的重疊性。五項要素為：治理要素、戰略目標設定、績效、審閱與修訂、信息溝通與報告，每個要素下設置數個單獨具體事項。對比各個具體單獨事項涉及內容，原來2004版的“控制活動”要素被排除，回歸內部控制框架。

ERM2017更新風管定義，不再同于內控的過程視角，將風險管理由控制規避風險導向朝獲得效益導向轉變。

三、合規與風管、內控、內審整合聯系構建

1.公司治理視角。

以內審、內控、風管為發展脈絡的公司治理視角，合規被整合入風管體系。以最新ERM2017為綱領，可以看到治理環境的總體思維。

首先，風管是公司整體行為。公司風險來源包含內部風險和外部風險兩大領域，而內控設計也很難處理“管理層凌駕于控制之上”頂層失控危機，所以內控可解決公司治理問題小于風管范疇。鑒于ERM的2004和ERM2017變化，控制活動作為內部控制核心事項而回歸內部控制框架，可見“控制活動”為內控核心。如最狹義內控概念是內部牽制，涉及面更窄。

其次，內審作為監管存在。內審存在傳統監管型和廣義服務型，而ERM中，顯然內審更多回歸于傳統角色，作為最后監控防線而設計。

合規有兩個概念，合規管理和合規目標。內控、風管，無論是采用三目標、四目標或我國五目標，合規是基礎。同時，合規在過程中有一層控制作用，有必要引入三道防線理論，2015年IIA協會以COSO白皮書形式發布相關內容，第一道防線為直接管理人員、業務部門，實施內控措施;第二道防線為合規、監察、風管等職能部門監管;第三道防線為內審部門，進行最后獨立確認。在治理中存在兩個合規概念，合規活動和合規目標。

采用各最狹義概念，繪制成關系圖：

廣義上，各概念外延均大幅延伸，根據要素劃分產生大量交互領域，實踐中穿插更為嚴重，如表1：

2.法律視角。

合規管理歷史是強化監管迫使企業建立控制體系、規范管理的內化過程。以美國為例，合規需求首先滿足監管，其次在規避刑責。因出海企業的律師合規服務和刑事懲罰規避業務成為重要業務。建立合規體系是證明公司和高管的免責重要手段，是一種由外激勵過程。而內審、內控和風管則成為達成目標的手段，是證明公司合規體系有效的組成部分。

合規體系是一個建立、制定、維護、評價、實施的整體體系。結合美國司法部《公司合規有效性程序評價指南》、美國財政部《合規承諾框架》，則形成管理層承諾、風險評估、內部管控、測試與審計、培訓等整體化的合規體系。對照ERM2017，兩者有大量重疊，這是一種進化趨同和相互借鑒。

四、總結

合規管理與風管、內控、內審四者關系，近年逐漸混同原因總結如下：

1.概念定義在不停流變。

四者定義在不同時期內涵不同。如風管、內控關系，在ERM的2004和2017間大有不同，內審則傳統職能和廣義職能在治理中運用并不相同。合規是舶來詞，缺少復合名詞，“合規目標”和“合規活動”形成混雜，遵從狹義法律法規還是廣義道德準則，則有更大分歧。

2.起源不同但演化趨同。

風管、內控、內審發展脈絡基于內部管理而形成，提升公司能力、強化防范角度。合規視角，無論是法律懲戒還是減免優惠，都源自督促企業強化，內化為文化。起源不同，但都應用于企業管理，而逐漸趨同演化，在概念外延領域相互重合。

3.法律監管背景不同。

Compliance規涉獵廣泛，非明示的成文法能涵蓋，通過整個體系對違反規范行為進行防范。而成文法規，往往進行逐條應對更容易形成制度流程控制。因為是外國引入概念，應用于成文法環境，與內部控制活動功能混同。

參考文獻

[1]陳瑞華.企業合規制度的三個維度——比較法視野下的分析[J].比較法研究，2019，（3）：：61-77.

[2]楊力.中國企業合規的風險點、變化曲線與挑戰應對[J].政法論叢，2017，（2）：3-16.

[3]季衛東.為企業合規性投石問路[J].財經，2008，（20）：58-59.

（作者單位：上海外高橋集團股份有限公司）