言若企业合规丨合规管理、法务管理、风险管理、内部控制的区别与融合
合规管理、法务管理、风险管理、内部控制作为企业营运中不可或缺的工作或职能(为统一表述,以下将每一管理内容称为“体系”),企业经营管理过程中却对这四大体系的内涵仍会存在混淆,原因在于这四大体系存在交叉、重叠。对于企业而言,不可能安排一拨人负责法务,一拨人负责内部控制,再一拨人负责风险管理,不仅因为这样做的成本很高,还容易造成管理上的混乱。故厘清这四大体系的区别,进一步探讨体系间的融合、协同,是有意义的。
壹
关于无处不在的风险
人类的祖先自诞生即开始受到自然的折磨,开始了对风险的认识和风险的管理。传统风险理论将风险与损失划等号,对风险的认识较为负面,现代风险理论认为风险只是目标不能达成的一种可能性,风险是事前的概率,损失是事后的结果。对风险是什么,风险如何管理这一问题的回答,形成了风险管理的理论。从风险管理的立场出发,内部控制为风险应对的手段,法务管理是法律风险的应对方案,合规管理是为了预防合规风险。
贰
四大体系的出现及演变
(一)内部控制与风险管理
(1)COSO框架
内部控制的控制思想的雏形来源于内部牵制。牵制思想最早出现在财政管理(财务管理)中,在《周礼》体现的西周时代的国库管理中,便分为了职内、职出和职币三个岗位,分别负责收入、支出和盘点登记。
20世纪90年代已降,先后经历了内部牵制(账目相互核对,不相容岗位分离)、内部控制制度(内部会计控制、内部管理控制)、内部控制结构(控制环境、会计制度和控制程序)、内部控制整体框架(五要素)等不同阶段的漫长演变,内部控制的体系成熟。为简洁说明,本文仅从1992年COSO《内部控制-整合框架》展开。[1]
反虚假财务报告委员会于1985年在美国成立[2],赞助成立COSO委员会,专门研究内部控制问题。1992年9月,COSO委员会发布了《企业内部控制——整合框架》(以下简称“内控框架1992”),这份框架面世后得到美国证监会的认可,指定它作为在美上市公司内控体系建设的指导框架,并被全球范围内的监管机构和企业广泛采用。尽管该框架取得了巨大成功,但改进的建议也一直存在,主要集中于该框架没有结合企业风险管理的内容。进入21世纪后,美国安然公司的倒闭、世通公司的财务欺诈,和其他一系列的内控失灵案例,使COSO开始思考企业的管理活动和内部控制的局限,并于2004年发布了《企业风险管理-整合框架》(简称“ERM2004”)。COSO可能认为企业在健全内部控制基础上“添加”部分内容便能转向全面的风险管理过程,起草ERM2004框架时,沿用了内部控制框架。相较于内控框架1997,ERM2004增加了一个观念、一个目标、两个概念和三个要素。
在内部控制框架的基础上加入新的内容以成为风险管理框架,从“小魔方”升级为“大魔方”,从而使两个侧重点、目标各不相同的体系在框架和形式上高度重合,为理论和实践中对于这两个体系的关系的纠缠和争论留下伏笔。
以上图片来源于网络
2013年COSO发布修订后的《内部控制—整合框架(2013)》(简称内控框架2013)。内控框架2013保留和延续了内控框架1992的核心概念和魔方的框架,只是通过“原则导向”加“规则指引”的方式,详述了企业内部控制的5个要素20个原则以及82个关注点。此外内控框架1992目标设定中关注“财务报告目标”,而内控框架2013提出的报告目标包括:运营目标、外部财务报告、非财务报告目标、内部财务报告、非财务报告目标。
2017年COSO第二版企业风险管理框架,即《企业风险管理——整合战略与绩效》(简称“ERM2017”)也发布。两个版本的风险管理框架除了在对企业风险的定义有较大区别之外,ERM2017可能更致力于摆脱与内部控制的关系,意在阐述除内部控制外,企业应当在哪些地方来完善自身的风险管理系统。[3]
(2)我国风险管理和内部控制历程
国资委于2006年6月6日下发《中央企业全面风险管理指引》,全面风险管理工作在中央企业开展,并从2008年起每年向国资委报送《全面风险管理工作报告》。国资委对于企业风险的定义为:
企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。
《中央企业全面风险管理指引》中对于风险的定义、全面风险管理的内容以及强调风险管理的全面性和嵌入性“融入业务”等认识都是较为超前的。在风险管理与内部控制方面,也有明确的界定,即内部控制是实现全面风险管理的手段和方法,这个阶段对于企业内部控制体系构建、优化,尚不属于中心话题,培养企业就风险收集、评估、管理并解决的能力才是关键。
2008年,财政部发布《企业内部控制基本规范》,并于两年后联合其他部委发布《企业内部控制应用指引》(下称“内控指引”)。内控指引针对企业开展多层制度、机制、程序、流程构想:(1)内部环境类:组织架构、发展战略、人力资源、社会责任、企业文化;(2)控制活动类:资金活动、采购业务、资产管理、销售业务、研究开发、工程项目、担保业务、业务外包、财务报告;(3)控制手段类:全面预算、合同管理、信息传递、信息系统。内控指引事无巨细,花了大量笔墨阐述企业业务管理方面如何实现内部控制,较之于COSO的框架更具有可操作性和指导意义。
2012年,在全面风险管理工作开展6年之后,国资委发布《关于加快构建中央企业内部控制体系有关事项的通知》要求中央企业向国资委每年报送《内部控制评价报告》。尽管在监管层面,国资委或财政部对于风险管理和内部控制的关系具有一致的认识:
《企业内部控制基本规范》及其配套指引,充分吸收了全面风险管理的理念和方法,强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险,促进企业实现发展战略,风险管理的目标也是促进企业实现发展战略,二者都要求将风险控制在可承受范围之内。因此,内部控制与风险管理二者不是对立的,而是协调统一的整体。[4]
但是实务中对于这两者间关系的认识并不是财政部提到的那么清晰:(1)尽管之前在推行全面风险管理过程中,内部控制已经作为组成部分被提出,但却不能说企业在全面风险管理工作时已经进行或完成了内部控制体系的建设;(2)2013年起,中央企业需要在每年的5月份,单独提交一份风险报告和一份内控评价报告,报给国资委不同的部门。这两个报告的提交,让“内部控制与风险管理二者不是对立的,而是协调统一的整体”的说法显得站不住脚。
2019年12月《2020年中央企业内部控制体系建设与监督工作有关事项》,文件将内部控制、风险管理及合规进行了统筹,并不再要求中央企业分别报送《中央企业内部控制评价报告》和《中央企业年度风险管理报告》,形成以风险管理作为总目标,以内控和合规为抓手的体系。给实务中两个体系的争议做了形式上的解决。
(二)法务管理
21世纪初,我国国有资产监督管理体系尚不完善,国有企业工作人员法律意识淡薄[5]导致国有资产损失。为扭转这种局面,国务院国资委通过三个三年目标,在所有中央企业和地方国有重点企业内都建立健全法律事务机构,提高了企业防范法律风险的能力。
通过第一个三年目标的“建立机制”,到第二个三年目标的“发挥作用”,再到第三个三年目标的“完善提高”,法务管理体系开始在企业中建立,并将法务管理从传统的“救火队”,主要负责审合同、打官司,逐步转变为经营管理的“防火队”。通过文件的内容,我们可以窥见监管机构对于法务管理定位在于“企业法律风险的保护屏障”,希望企业通过法务管理机构和机制建设全面防控法律风险。
(三)合规管理
对于国际企业来说,合规并非新鲜事,很多大型跨国公司特别注重合规经营,很多时候,合规是有一票否决权的。对于我国来说,2018年陆续发生的中兴事件及华为事件,使我国企业及监管机构开始对合规有了前所未有的重视。不管中兴还是华为,在风险管理、内部控制体系建设方面必然优于大部分国内企业,他们都无法应对海外运营合规性,合规管理的现实需求便出现:
《合规管理体系指南》的出台;
国务院国资委2018年11月发布实施《中央企业合规管理指引(试行)》;
国家发改委等七部门2018年12月发布《企业境外经营合规管理指引》;
国务院国资委2022年发布《中央企业合规管理办法》。
根据《中央企业合规管理办法》,合规管理指的是企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。
合规管理,是以有效防控合规风险为目的。故从合规风险管理的角度说,合规管理从属于风险管理。但从《中央企业合规管理办法》第三条合规的定义:“企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求”来说,合规本身就是目标,不合规本身就是未达成目标。《中央企业合规管理办法》所定义的合规风险其实指代的是不合规而引发的风险,这个定义本身是不严谨的。风险是不确定性对目标的影响,将合规作为目标,则合规风险的定义为“企业经营管理行为和员工履职行为不合规的不确定性”。故从这个角度出发,合规是企业级目标,而非风险管理的子目标。
合规,即是,遵守规则,“规”内涵是“国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求”。合规如何做?简单来说就是意识到哪些规则需要遵守,如何遵守,在合规体系搭建中可能还有“外规内化”的过程,即将企业需要遵守的外规,内化为企业规章制度。
叁
四大体系具体区别
从目标角度,全面风险管理目标基本概括其他三大体系的目标;从风险防控角度看,四大体系都包含风险管理的内容,但全面风险管理的风险是要将企业经营管理过程中所有风险控制在可承受的范围,合规风险、法律风险和内部控制所提及的风险都可以涵盖在全面风险管理的范围内;从工作内容/流程角度看,全面风险管理、内部控制、合规管理都有风险评估-风险控制的程序,而法务管理更强调风险控制程序。
肆
关于四大体系的融合思考
《关于全面推进法治央企建设的意见》提出“探索建立法律、合规、风险、内控一体化管理平台。”《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》指出,要以“强内控、防风险、促合规”为目标,建立以内控体系建设与监督制度为统领,各项具体操作规范为支撑的“1 N”内控制度体系。《关于开展对标世界一流管理提升行动的通知》提出“构建全面、全员、全过程、全体系的风险防控机制”。《关于进一步深化法治央企建设的意见》提出“探索构建法律、合规、内控、风险管理协同运作机制,加强统筹协调,提高管理效能。”对于法务管理、合规管理、内控管理、风险管理四大体系的融合,不仅是相关部门的明确指示,也是企业降低管理成本的要求。
但是如何融合,却没有明确的路径,原因在于企业的基本情况、各体系建设的现状各不相同。比如:若一个企业法务体系较为完善,其余三个体系尚处于初级阶段,则从成本原则出发,必然以法务体系为基础,融合内部控制、合规管理的基本思路和要素,再吸收全面风险管理的内容构成该企业的法务、风险、内控、合规一体化机制。反之若一个企业已经具有相对完善的法务、风险、内控、合规管理体系,那么直接探究四大体系的协同运作,也不失为一个好办法。
简言之,四大体系的融合是大势所趋,但是融合的具体路径应是以风险管理为导向,结合企业现状,查缺补漏,精益求精。
向上滑动阅览
注释:
[1] 张炜:《运用制衡原理管理内部审计外包服务》,载于山东审计厅官网:
http://audit.shandong.gov.cn/art/2022/1/13/art_89387_10310504.html.
[2] 发起人为美国管理会计师协会、美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会,可以看出现在的“内部控制”规范由财会领域的专业人员提出.
[3] 深圳普永:《COSO企业风险管理-整合框架:为何采用旧框架进行企业风险管理工作?》,普永咨询微信公众号2023年01月13日文章.
[4] 《企业内部控制规范体系实施中相关问题解释第1号》,载于中华人民共和国财政部官网:
https://www.mof.gov.cn/gkml/caizhengwengao/2012wg/wg201204/201207/t20120711_665500.htm?eqid=aa4cf9d60006d25a00000004645c4510.
[5] 《国资委:将用三年构建国有资产监管法规体系框架》,载于中国新闻网:
https://www.chinanews.com/news/2005/2005-07-26/26/604123.shtml.
作者:姜南 北京浩天(贵阳)律师事务所执业律师,言若商业·合规律师团队成员,贵阳市律师协会企业合规专委会副秘书长,专业领域:企业合规体系建设、投资并购、商业尽职调查、企业常年法律顾问、合同争议解决。
声明:本文为作者原创,首发于公众号“言若商业合规律师”,文章内容仅为作者观点,不代表「无讼」立场,不作为针对任何个案的法律意见。
-End-
