合规管理、内部控制与风险管理辨析.docx

合规管理、内部控制与风险管理辨析 近年来，国企、外企和民企都越来越重视企业合规和风险控制。有的企业成立了专门的风控部，有的企业成立专门的合规部。更多的企业将风险控制、法律事务、合规等职责放到一起，成立法律合规部或风控合规部。这样一来，内控、法务和合规等在有的企业的管理中的边界并不清晰，有的甚至发生很大的冲突。很多专业人士对此也常混为一谈。本文特对这几个概念进行比较、剖析。 1. 规则标准 1）美国《反海外腐败法》1998年修订 2）ISO 19600《合规管理体系 指南》2014年 3）银监会《商业银行合规风险管理指引》2006年 4）保监会《保险公司合规管理办法》2016年 5）ISO 37001《反贿赂管理体系 要求及使用指南》2016年 6）证监会《证券公司和证券投资基金管理公司合规管理办法》2017年 7）GB/T 35770-2017《合规管理体系 指南》2017年 2. 一般流程 以GB/T 35770-2017《合规管理体系 指南》为例： 1）建立合规方针（确定相关方要求、建立合规管理体系） 2）识别合规义务，评价合规风险 3）策划应对合规风险 4）落实控制措施 5）绩效评价 6）持续改进 3、侧重领域 1）反商业贿赂、反欺诈、反舞弊 2）反垄断、反不正当竞争、反洗钱 3）贸易管制、海关估值、转移定价 4）数据安全、信息保护、隐私保护 5）高管刑事责任 6）税务合规 7）安全健康环保 4、相关用语 1）合规 2）合规风险 1. 规则标准 1）COSO《内部控制—整合框架》 1992年发布，2013年修订 2）美国《2002年公众公司会计改革和投资者保护法案》（萨班斯法案）2002年 3）证监会《证券公司内部控制指引》2003年 4）财政部《企业内部控制基本规范》2008年 5）财政部《企业内部控制应用指引》2010年 6）银监会《商业银行内部控制指引》2014年 2. 一般流程 以COSO《内部控制—整合框架》 为例 1）控制环境 2）风险评估 3）控制活动 4）信息与沟通 5）监督活动 3、侧重领域 1）组织架构的设计与运行 2）发展战略的制定与实施 3）人力资源的引进与开发、使用与退出 4）安全生产、产品质量、环境保护与资源节约、促进就业与员工权益保护 5）企业文化的建设与评估 6）资金活动：筹资、投资和资金营运 7）采购业务：购买、付款 8）资产管理：存货、固定资产、无形资产 9）销售业务：销售、收款 10）研究与开发：立项与研究、开发与保护 11）工程项目：立项、招标、造价、工程建设、工程验收 12）担保业务：调查评估与审批、执行与监控 13）业务外包：承包方选择、外包实施 14）财务报告：编制、对外提供、分析利用 15）全面预算：编制、执行、考核 16）合同管理：合同订立、履行 17）内部信息传递：内部报告的形成、内部报告的使用 18）信息系统：开发、运行与维护 4.相关用语 1）内控 2）风控 1. 规则标准 1）COSO《企业风险管理—整合框架》 2004年发布，2017年修订 2）国资委《中央企业全面风险管理指引》 2006年 3）GB/T24353-2009 《风险管理 原则与实施指南》2009年 4）ISO 31000《风险管理 原则与指南》2009年 5）GB/T 26317-2010 《公司治理风险管理指南》2010年 6）GB/T 27914-2011《企业法律风险管理指南》2011年 7）GB/T 23694-2013 《风险管理 术语》2013年 2. 一般流程 以ISO 31000《风险管理 原则与指南》为例 1）沟通与咨询 2）建立环境 3）风险识别 4）风险分析 5）风险评价 6）风险应对 7）监测与评审 8）记录风险管理过程 3. 侧重领域 1）战略风险 2）财务风险 3）市场风险 4）运营风险 5）法律风险 4. 相关用语 1）全面风险管理 2）风险控制 3）风险管控 1.?合规管理的核心，个人认为是“不合规，企业及相关利益主体将遭遇声誉损害、高额赔偿，乃至刑事处罚”。将企业和个人行为纳入合规管理体系中，保障主体不因不合规而遭受以上损失。这是合规管理的驱动力，也是合规管理的内在核心。至于合规可创造价值，完善的合规体系可成为减轻责任的抗辩理由，则是锦上添花的事。 进行合规管理，首先要有正确且全面的合规理念。包括全员合规、合规从管理层做起、合规创造价值等。其次，关键要对合规义务进行全面、及时识别，对合规义务可能造成的合规风险进行充分评估。再次，在企业内制定相应的合规管理制度，搭建合适的合规管理组织架构。最后，建立完整的合规管理实施机制，包括培训、沟通、考核、举报、调查、处理和改进机制。 2.?内部控制的核心，个人认为是“通过内部控制五要素，对管理层及员工的行为进行约束，以尽可能