合規(guī)管理與風(fēng)險(xiǎn)管理、內(nèi)部控制、內(nèi)部審計(jì)之異同研究

朱宏博

【摘 要】我國(guó)合規(guī)推進(jìn)迅速，但和風(fēng)管、內(nèi)控、內(nèi)審存在重復(fù)建設(shè)問題。從源流上看，風(fēng)管、內(nèi)控、內(nèi)審發(fā)展，源自企業(yè)內(nèi)部管理需要，從單一后端監(jiān)控向流程控制、向全面風(fēng)險(xiǎn)管理的脈絡(luò)。而合規(guī)管理作為一個(gè)法律事項(xiàng)，多因?yàn)橥獠勘O(jiān)管，逐步對(duì)企業(yè)控制行為內(nèi)化。

【關(guān)鍵詞】合規(guī)管理;風(fēng)險(xiǎn)管理;內(nèi)部控制;內(nèi)部審計(jì)

《說文解字》中“規(guī)”者，其有法度也。合規(guī)一詞譯自compliance，釋義“按照、遵順”。2016年1月，《關(guān)于全面推進(jìn)法治央企建設(shè)的意見》委發(fā)布推開我國(guó)國(guó)企全面合規(guī)建設(shè)之路。2018年11月，《中央企業(yè)合規(guī)管理指引（試行）》委發(fā)布，合規(guī)提到全新高度。各方對(duì)合規(guī)管理與風(fēng)險(xiǎn)管理、內(nèi)部控制、內(nèi)部審計(jì)關(guān)聯(lián)莫衷一是，筆者擬從四者源流入手，探賾索隱。

一、我國(guó)公司合規(guī)管理發(fā)展

2017年《合規(guī)管理體系指南》（GB/T35770-2017），結(jié)合2018年國(guó)資委《合規(guī)管理指引》，成為我國(guó)企業(yè)進(jìn)行合規(guī)管理權(quán)威文件?！吨敢分卸x合規(guī)符合三大類規(guī)定：首先是法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則，其次是企業(yè)自身章程、制度、辦法等，最后還包括國(guó)際條約、國(guó)際規(guī)范等。《指南》2014年ISO19600對(duì)合規(guī)要求定義為：組織選擇遵守的要求，意為：明示、隱藏或具一定義務(wù)的須要。

合規(guī)工作具體事項(xiàng)，《指引》列舉建立、設(shè)計(jì)、識(shí)別、審閱、應(yīng)對(duì)、追責(zé)、考評(píng)、培訓(xùn)等要素，可與美國(guó)政府《合規(guī)承諾框架》、《有效性評(píng)價(jià)指南》OECD《內(nèi)控、道德和合規(guī)的最佳行動(dòng)指南》相參照。

二、內(nèi)審、內(nèi)控、風(fēng)管的發(fā)展

內(nèi)審、內(nèi)控、風(fēng)管是公司內(nèi)部管理需要和外部競(jìng)爭(zhēng)，二者結(jié)合產(chǎn)生之行為與概念。

1.內(nèi)部審計(jì)。

傳統(tǒng)監(jiān)管主導(dǎo)型內(nèi)審，以監(jiān)控為基礎(chǔ)，對(duì)財(cái)報(bào)和管理進(jìn)行再確認(rèn)的審計(jì)。現(xiàn)代內(nèi)部審計(jì)為服務(wù)主導(dǎo)型，以改善運(yùn)營(yíng)為出發(fā)點(diǎn)，參與至公司運(yùn)營(yíng)的審計(jì)。監(jiān)管型內(nèi)審多運(yùn)作于后端，服務(wù)型內(nèi)審會(huì)向中端和前端擴(kuò)展。前者側(cè)重于發(fā)現(xiàn)和糾偏，后者側(cè)重于建議和優(yōu)化。

兩者出發(fā)點(diǎn)和側(cè)重點(diǎn)不盡相同，監(jiān)管型內(nèi)部審計(jì)往往運(yùn)作于后端，服務(wù)型內(nèi)部審計(jì)會(huì)向中端和甚至前端擴(kuò)展。前者側(cè)重于發(fā)現(xiàn)和糾偏，后者側(cè)重于建議和優(yōu)化。

2.內(nèi)部控制。

內(nèi)控源自內(nèi)部牽制概念。最狹義內(nèi)控是指運(yùn)營(yíng)過程中業(yè)務(wù)操作執(zhí)行遵守規(guī)程。最早體系化理論見于1949年美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）所發(fā)布《內(nèi)部控制：系統(tǒng)性統(tǒng)籌要素，對(duì)管理機(jī)關(guān)與注冊(cè)會(huì)計(jì)師的重要意義》。

COSO委員會(huì)1992年發(fā)布《內(nèi)部控制整體框架》，內(nèi)控逐步超出原有范疇，提出內(nèi)控是管理過程，由公司內(nèi)部的治理層、管理層、執(zhí)行層共同參與，對(duì)合法合規(guī)、財(cái)報(bào)真實(shí)、經(jīng)營(yíng)效率與效果，三大目標(biāo)提供合理保證。COSO委員會(huì)由AICPA、IIA等五家會(huì)計(jì)師、審計(jì)師協(xié)會(huì)聯(lián)合設(shè)置，建立初期就存在很強(qiáng)的財(cái)務(wù)和審計(jì)控制論視角，從控制環(huán)境、風(fēng)險(xiǎn)的評(píng)估、控制活動(dòng)、信息與交流、監(jiān)督管理這五個(gè)關(guān)鍵元素，建立起防御性規(guī)避舞弊體系。合規(guī)目標(biāo)，作為最為三大目標(biāo)中最基礎(chǔ)的內(nèi)控目標(biāo)，被納入內(nèi)部控制。內(nèi)部審計(jì)被視作完善治理中的內(nèi)部監(jiān)督者職能。《內(nèi)部控制整體框架》在2013年進(jìn)行修訂，并在2016年更新執(zhí)行綱要，在5大關(guān)鍵元素下設(shè)置17個(gè)原則，79個(gè)關(guān)注事項(xiàng)。

3.風(fēng)險(xiǎn)管理（或風(fēng)險(xiǎn)管理）。

風(fēng)險(xiǎn)是目標(biāo)所要面臨的不確定性。風(fēng)險(xiǎn)管理理論化研究始于保險(xiǎn)業(yè)，以1932年美國(guó)保險(xiǎn)業(yè)協(xié)會(huì)建立為起點(diǎn)。企業(yè)管理除借用保險(xiǎn)行業(yè)風(fēng)險(xiǎn)管理既有理論，更多在如何搭建公司層面風(fēng)險(xiǎn)管理體系有所表述。

2017年，COSO委員會(huì)提出涵蓋五項(xiàng)要素、二十個(gè)具體事項(xiàng)的《企業(yè)風(fēng)險(xiǎn)管理——與戰(zhàn)略和業(yè)績(jī)的整合》基本解決風(fēng)險(xiǎn)管理整合框架和內(nèi)部控制整合框架的重疊性。五項(xiàng)要素為：治理要素、戰(zhàn)略目標(biāo)設(shè)定、績(jī)效、審閱與修訂、信息溝通與報(bào)告，每個(gè)要素下設(shè)置數(shù)個(gè)單獨(dú)具體事項(xiàng)。對(duì)比各個(gè)具體單獨(dú)事項(xiàng)涉及內(nèi)容，原來2004版的“控制活動(dòng)”要素被排除，回歸內(nèi)部控制框架。

ERM2017更新風(fēng)管定義，不再同于內(nèi)控的過程視角，將風(fēng)險(xiǎn)管理由控制規(guī)避風(fēng)險(xiǎn)導(dǎo)向朝獲得效益導(dǎo)向轉(zhuǎn)變。

三、合規(guī)與風(fēng)管、內(nèi)控、內(nèi)審整合聯(lián)系構(gòu)建

1.公司治理視角。

以內(nèi)審、內(nèi)控、風(fēng)管為發(fā)展脈絡(luò)的公司治理視角，合規(guī)被整合入風(fēng)管體系。以最新ERM2017為綱領(lǐng)，可以看到治理環(huán)境的總體思維。

首先，風(fēng)管是公司整體行為。公司風(fēng)險(xiǎn)來源包含內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)兩大領(lǐng)域，而內(nèi)控設(shè)計(jì)也很難處理“管理層凌駕于控制之上”頂層失控危機(jī)，所以內(nèi)控可解決公司治理問題小于風(fēng)管范疇。鑒于ERM的2004和ERM2017變化，控制活動(dòng)作為內(nèi)部控制核心事項(xiàng)而回歸內(nèi)部控制框架，可見“控制活動(dòng)”為內(nèi)控核心。如最狹義內(nèi)控概念是內(nèi)部牽制，涉及面更窄。

其次，內(nèi)審作為監(jiān)管存在。內(nèi)審存在傳統(tǒng)監(jiān)管型和廣義服務(wù)型，而ERM中，顯然內(nèi)審更多回歸于傳統(tǒng)角色，作為最后監(jiān)控防線而設(shè)計(jì)。

合規(guī)有兩個(gè)概念，合規(guī)管理和合規(guī)目標(biāo)。內(nèi)控、風(fēng)管，無論是采用三目標(biāo)、四目標(biāo)或我國(guó)五目標(biāo)，合規(guī)是基礎(chǔ)。同時(shí)，合規(guī)在過程中有一層控制作用，有必要引入三道防線理論，2015年IIA協(xié)會(huì)以COSO白皮書形式發(fā)布相關(guān)內(nèi)容，第一道防線為直接管理人員、業(yè)務(wù)部門，實(shí)施內(nèi)控措施;第二道防線為合規(guī)、監(jiān)察、風(fēng)管等職能部門監(jiān)管;第三道防線為內(nèi)審部門，進(jìn)行最后獨(dú)立確認(rèn)。在治理中存在兩個(gè)合規(guī)概念，合規(guī)活動(dòng)和合規(guī)目標(biāo)。

采用各最狹義概念，繪制成關(guān)系圖：

廣義上，各概念外延均大幅延伸，根據(jù)要素劃分產(chǎn)生大量交互領(lǐng)域，實(shí)踐中穿插更為嚴(yán)重，如表1：

2.法律視角。

合規(guī)管理歷史是強(qiáng)化監(jiān)管迫使企業(yè)建立控制體系、規(guī)范管理的內(nèi)化過程。以美國(guó)為例，合規(guī)需求首先滿足監(jiān)管，其次在規(guī)避刑責(zé)。因出海企業(yè)的律師合規(guī)服務(wù)和刑事懲罰規(guī)避業(yè)務(wù)成為重要業(yè)務(wù)。建立合規(guī)體系是證明公司和高管的免責(zé)重要手段，是一種由外激勵(lì)過程。而內(nèi)審、內(nèi)控和風(fēng)管則成為達(dá)成目標(biāo)的手段，是證明公司合規(guī)體系有效的組成部分。

合規(guī)體系是一個(gè)建立、制定、維護(hù)、評(píng)價(jià)、實(shí)施的整體體系。結(jié)合美國(guó)司法部《公司合規(guī)有效性程序評(píng)價(jià)指南》、美國(guó)財(cái)政部《合規(guī)承諾框架》，則形成管理層承諾、風(fēng)險(xiǎn)評(píng)估、內(nèi)部管控、測(cè)試與審計(jì)、培訓(xùn)等整體化的合規(guī)體系。對(duì)照ERM2017，兩者有大量重疊，這是一種進(jìn)化趨同和相互借鑒。

四、總結(jié)

合規(guī)管理與風(fēng)管、內(nèi)控、內(nèi)審四者關(guān)系，近年逐漸混同原因總結(jié)如下：

1.概念定義在不停流變。

四者定義在不同時(shí)期內(nèi)涵不同。如風(fēng)管、內(nèi)控關(guān)系，在ERM的2004和2017間大有不同，內(nèi)審則傳統(tǒng)職能和廣義職能在治理中運(yùn)用并不相同。合規(guī)是舶來詞，缺少?gòu)?fù)合名詞，“合規(guī)目標(biāo)”和“合規(guī)活動(dòng)”形成混雜，遵從狹義法律法規(guī)還是廣義道德準(zhǔn)則，則有更大分歧。

2.起源不同但演化趨同。

風(fēng)管、內(nèi)控、內(nèi)審發(fā)展脈絡(luò)基于內(nèi)部管理而形成，提升公司能力、強(qiáng)化防范角度。合規(guī)視角，無論是法律懲戒還是減免優(yōu)惠，都源自督促企業(yè)強(qiáng)化，內(nèi)化為文化。起源不同，但都應(yīng)用于企業(yè)管理，而逐漸趨同演化，在概念外延領(lǐng)域相互重合。

3.法律監(jiān)管背景不同。

Compliance規(guī)涉獵廣泛，非明示的成文法能涵蓋，通過整個(gè)體系對(duì)違反規(guī)范行為進(jìn)行防范。而成文法規(guī)，往往進(jìn)行逐條應(yīng)對(duì)更容易形成制度流程控制。因?yàn)槭峭鈬?guó)引入概念，應(yīng)用于成文法環(huán)境，與內(nèi)部控制活動(dòng)功能混同。

參考文獻(xiàn)

[1]陳瑞華.企業(yè)合規(guī)制度的三個(gè)維度——比較法視野下的分析[J].比較法研究，2019，（3）：：61-77.

[2]楊力.中國(guó)企業(yè)合規(guī)的風(fēng)險(xiǎn)點(diǎn)、變化曲線與挑戰(zhàn)應(yīng)對(duì)[J].政法論叢，2017，（2）：3-16.

[3]季衛(wèi)東.為企業(yè)合規(guī)性投石問路[J].財(cái)經(jīng)，2008，（20）：58-59.

（作者單位：上海外高橋集團(tuán)股份有限公司）