公司存在的目的:生存����、發(fā)展����、獲利����。公司要實現(xiàn)其目的����,內(nèi)審、內(nèi)控����、風控可以說是公司的“防火墻”、“保健醫(yī)生”����。內(nèi)審、內(nèi)控����、風控的落腳點要導向組織的戰(zhàn)略目標、遠景����、規(guī)劃����,從近處說����,要服務組織某階段的發(fā)展目標(短期目標),從這個角度分析����,三者目標導向是一致的。
01����、 法 務
現(xiàn)代企業(yè)立足市場,會面對來自方方面面的風險����,諸如合同行為的風險、資本運作的風險����、知識產(chǎn)權的風險、人力資源的風險����、環(huán)境保護的風險����、稅務籌劃的風險以及公共關系的風險和訴訟仲裁的風險等等����。如何防范這些風險以達到保障企業(yè)安全運營的目的����,從根本上預防潛在的風險變成現(xiàn)實的災難,防患于未然����,這就需要建立企業(yè)法律風險管理服務機構,健全企業(yè)法律風險管理體系����。大型企業(yè)往往會在內(nèi)部設立法律法規(guī)室或法律事務部,以處理企業(yè)的日常法律事務����。
鑒于公司的設立往往是以盈利為目的,在企業(yè)內(nèi)部設立法務部門也是基于降低風險����、減少損失����、維護公司合法利益為出發(fā)點����,因此企業(yè)法務以一切服務于公司業(yè)務、服務于生產(chǎn)經(jīng)營為根本宗旨����,以擴大服務范圍、提高服務水平作為根本任務����,也是就通常所說的服務于業(yè)務部門工作。
02����、 合 規(guī)
國際標準化組織(ISO)在2014年12月15 日發(fā)布了國際標準ISO19600《合規(guī)管理體系-指南》對“規(guī)”有定義:組織宜以適合其規(guī)模、復雜性����、結構和運營的方式制定“合規(guī)義務”文件。合規(guī)義務信息應包括合規(guī)要求����,可包括合規(guī)承諾����。前者包括監(jiān)管機構制定發(fā)布具有強制性的法律法規(guī)����、監(jiān)管條例規(guī)定等,后者包括組織與社區(qū)����、公共權力機構、客戶簽訂的協(xié)議����、組織要求����、政策、程序����、自愿原則、規(guī)程����、環(huán)境的承諾等����。
廣義的“合規(guī)”����,有三層含義,第一層是企業(yè)要在生產(chǎn)經(jīng)營過程中要遵守法律法規(guī)����,即企業(yè)要遵守公司總部所在國和經(jīng)營所在國的法律規(guī)定及監(jiān)管規(guī)定;第二層是企業(yè)經(jīng)營要遵循企業(yè)內(nèi)部規(guī)章制度����,包括企業(yè)商業(yè)行為準則的規(guī)章;第三層是企業(yè)員工要遵守良好的職業(yè)操守和道德規(guī)范等����。狹義的合規(guī)是指企業(yè)遵守反對商業(yè)賄賂方面的規(guī)定。
結合以上����,合規(guī)的“規(guī)”應該按照三層涵義來正確理解:第一層是具有強制性的法律法規(guī),即企業(yè)總部所在國和經(jīng)營所在國的具有強制性的法律規(guī)定及監(jiān)管規(guī)定;第二層是企業(yè)在生產(chǎn)經(jīng)營活動中寫入企業(yè)規(guī)制的對相關方(客戶����、股東、監(jiān)管方����、企業(yè)內(nèi)部員工等)的自愿性承諾;第三層是企業(yè)要遵守良好的職業(yè)操守和道德規(guī)范����、公序良俗等,這些不是強制性的����,但在社會活動中普遍為大眾所認同。
合規(guī)風險即企業(yè)組織集體行為和代表企業(yè)組織的個人行為是否遵守合規(guī)的“規(guī)”的不確定性����。
從合規(guī)的“規(guī)”三層含義看����,第一層合規(guī)風險和第三層合規(guī)風險就全面包含了企業(yè)內(nèi)部控制風險內(nèi)容。
03����、 風 控
企業(yè)風控即企業(yè)全面風險控制����。2004年COSO繼續(xù)提出了企業(yè)風險管理整體框架����,定義企業(yè)風險管理:“企業(yè)風險管理是一個過程,受企業(yè)董事會����、管理當局和其他員工的影響,包括內(nèi)部控制及其在戰(zhàn)略和整個公司的應用����,旨在為實現(xiàn)經(jīng)營的效率和效果、財務報告的可靠性以及現(xiàn)行法規(guī)的遵循提供合理保證����。”這個對企業(yè)風險管理的定義依然有內(nèi)部控制的太多痕跡����。實際中,企業(yè)風險包括市場宏觀政策風險����、客戶偏好風險����、合規(guī)風險����、技術風險、質量風險����、履約能力風險等。
04����、 內(nèi) 審
內(nèi)部審計是一種獨立、客觀的保證和咨詢活動����。其目的在于為組織增加 價值和提高組織的運作效率。它通過系統(tǒng)化和規(guī)范化的方法����,評價和改進風險管理����、控制和治理程序的效果����,幫助組織實現(xiàn)其目標����。
從概念上分析,內(nèi)部控制也有監(jiān)督評價的內(nèi)容����;內(nèi)部審計是對內(nèi)部控制、風險管理與治理進行評價����,確保組織正常運營,保證不偏離公司目標����。
05、 內(nèi)控����、風控、內(nèi)審的關系
在集團內(nèi)部管理而言����,三者關系有一定的關系與作用����。內(nèi)部控制是風險管控和內(nèi)部審計的基礎����,是風控和內(nèi)審的根源根本,處在整個控制系統(tǒng)的前端����。而風險管理則處在中端,它能為內(nèi)部審計作業(yè)提供邏輯和方向����,為內(nèi)部審計確定問題(即是評估后的風險),確定審計方向(目標)提供精準定位����。
內(nèi)部審計是通過確認和咨詢的方式,對企業(yè)運營����、內(nèi)部控制、風險管理和公司治理進行評估與評價����,以保證企業(yè)各項業(yè)務工作按照既定目標和標準,不偏不倚地完成公司目標����。
從控制方式上分析:內(nèi)控、風控����、內(nèi)審三者是"基礎一分析一評估"遞進關系、因果關系����。從控制方式方面總結,內(nèi)部控制是事前控制����,因為制度與流程是為管理而生,為防止企業(yè)管理出現(xiàn)問題和錯漏而制訂����。所以,它是事前預防和控制范圍����;
風險管理����,主要在事中進行分析評價����,當然事前也可以,風險評價的基本和內(nèi)容也是內(nèi)部控制和制度流程����,作業(yè)過程的風險就屬于事中控制;就算事后分析風險也是為了事中的管控����。所以,個人認為風控是事中控制的范疇����。
內(nèi)部審計,從三者關系而言:內(nèi)審工作已經(jīng)在前兩者之后����,是根據(jù)風險提示或結果,對內(nèi)控相對應節(jié)點(關鍵控制點)進行確認����,確認風險是否存在����,是否產(chǎn)生損失����,是否可化解或轉移����,按照這個過程,內(nèi)審就是事后的確認與評估����,屬事后控制范疇。
PS:內(nèi)控是點����,風控是線,內(nèi)審是用線把點串起來組成面����。
06、 合規(guī)����、內(nèi)控����、風控的關系
一����、風險管控的層級:合規(guī)-內(nèi)控-風控
(1)合規(guī)是“打基礎”
合規(guī)的核心:“確保公司各項生產(chǎn)經(jīng)營活動遵循內(nèi)外部的法律、制度����、條例、規(guī)范����、指引等”
合規(guī)的產(chǎn)出:合規(guī)可以起到最基本的抑制操作風險的作用
合規(guī)的短板:只能發(fā)現(xiàn)問題而不能解決問題
(2)內(nèi)控是合規(guī)的“最高等級”
內(nèi)控的核心:不但要求合規(guī),還要考察“規(guī)”的狀態(tài)(是否完善����、是否有配套指引、執(zhí)行過程是否完善)
內(nèi)控的重點:與合規(guī)相比����,合規(guī)注重結果,內(nèi)控重視過程����。并在此基礎上發(fā)展較完善的工具和方法(COSO框架)
內(nèi)控的優(yōu)點:內(nèi)控是抑制操作層面風險的最佳手段
內(nèi)控的缺點:內(nèi)控對需要站在一定管理高度的風險(如戰(zhàn)略風險等)無能為力����。(例如內(nèi)控無法衡量資本市場波動會給公司帶來多大風險)
(3)風控管理是風險管控的“最高形式”
風控管理的核心:“兩個必須”
必須把風險管理的職能提升到高級管理層
必須設立獨立于業(yè)務部門的風險管理部門
公司內(nèi)各類風險相對分散����、獨立,設立統(tǒng)一的部門����,站在管理層的高度來對風險進行檢視����,才能避免“頭痛醫(yī)頭腳痛醫(yī)腳”。
二����、風控與內(nèi)控的異同
(1)相同點
風控與內(nèi)控本質上都是通過評估、防范����、控制企業(yè)風險,從而促進企業(yè)經(jīng)營目標的實現(xiàn)����。
(2)不同點
第一兩者審視風險的角度不同
風控主要圍繞企業(yè)戰(zhàn)略經(jīng)營目標����,“自上而下”地辨識����、評估、分析風險����,并提出風險預警防范和應急管理的策略和措施。
內(nèi)控主要從流程合規(guī)����、反舞弊角度出發(fā),“自下而上”地診斷招標采購����、銷售、資金等具體運營流程中的內(nèi)部控制缺陷����,并進行整改。
風控好比企業(yè)的“保健醫(yī)生”����,主要職責是“治未病”����。內(nèi)控好比企業(yè)的“急診醫(yī)生”����,主要職責是“治已病”。
第二兩者處置風險的工具不同
風控主要采用風險地圖����、流程數(shù)據(jù)分析、調(diào)查問卷����、控制分析����、專家評分等工具。隨著企業(yè)信息化程度的逐漸提高����,以數(shù)據(jù)分析為核心的量化風險分析、風險評估指標體系(如REI指數(shù))等越來越受到重視����。
內(nèi)控主要采用例行審計����、專項審計����、合規(guī)檢查等形式,主要使用穿行測試����、控制測試等工具,診斷重點業(yè)務����、重要流程的內(nèi)部控制設計及運行缺陷。
目標導向一致:戰(zhàn)略目標導向
內(nèi)審����、內(nèi)控、風控都是基于治理����、監(jiān)管等因素下的“產(chǎn)品”,繼續(xù)追溯產(chǎn)生的動因����。
從內(nèi)部角度分析����,兩權分立(所有權與經(jīng)營權)是重要的因素之一����,從外部角度分析,組織運營要滿足法律法規(guī)遵循性的要求����。
內(nèi)審、內(nèi)控和風控對公司的運營就是一種制衡����,對人的制衡,對事的制衡����,對利益的制衡����,制衡之外是對組織健康發(fā)展的一種促進。
