一文(wén)讀(dú)懂法務、合規、内控、風控、審計(jì)的(de)關系

内審、内控、風控的(de)落腳點要導向組織的(de)戰略目标、遠景、規劃，從近處說，要服務組織某階段的(de)發展目标（短期目标），從這個(gè)角度分(fēn)析，三者目标導向是一緻的(de)。

現代企業(yè)立足市場(chǎng)，會(huì)面對來自方方面面的(de)風險，諸如(rú)合同行(xíng)爲的(de)風險、資本運作的(de)風險、知識産權的(de)風險、人(rén)力資源的(de)風險、環境保護的(de)風險、稅務籌劃的(de)風險以及公共關系的(de)風險和(hé)訴訟仲裁的(de)風險等等。

如(rú)何防範這些風險以達到(dào)保障企業(yè)安全運營的(de)目的(de)，從根本上(shàng)預防潛在的(de)風險變成現實的(de)災難，防患于未然，這就需要建立企業(yè)法律風險管理(lǐ)服務機構，健全企業(yè)法律風險管理(lǐ)體系。大(dà)型企業(yè)往往會(huì)在内部設立法律法規室或法律事務部，以處理(lǐ)企業(yè)的(de)日常法律事務。

鑒于公司的(de)設立往往是以盈利爲目的(de)，在企業(yè)内部設立法務部門也(yě)是基于降低風險、減少(shǎo)損失、維護公司合法利益爲出發點，因此企業(yè)法務以一切服務于公司業(yè)務、服務于生産經營爲根本宗旨，以擴大(dà)服務範圍、提高(gāo)服務水(shuǐ)平作爲根本任務，也(yě)是就通常所說的(de)服務于業(yè)務部門工(gōng)作。

國際标準化組織（ISO）在2014年12月(yuè)15 日發布了國際标準ISO19600《合規管理(lǐ)體系-指南》對“規”有(yǒu)定義：組織宜以适合其規模、複雜性、結構和(hé)運營的(de)方式制(zhì)定“合規義務”文(wén)件(jiàn)。合規義務信息應包括合規要求，可(kě)包括合規承諾。

前者包括監管機構制(zhì)定發布具有(yǒu)強制(zhì)性的(de)法律法規、監管條例規定等，後者包括組織與社區、公共權力機構、客戶簽訂的(de)協議、組織要求、政策、程序、自願原則、規程、環境的(de)承諾等。

廣義的(de)“合規”有(yǒu)三層含義：

第一層是企業(yè)要在生産經營過程中要遵守法律法規，即企業(yè)要遵守公司總部所在國和(hé)經營所在國的(de)法律規定及監管規定；

第二層是企業(yè)經營要遵循企業(yè)内部規章(zhāng)制(zhì)度，包括企業(yè)商業(yè)行(xíng)爲準則的(de)規章(zhāng)；

第三層是企業(yè)員工(gōng)要遵守良好的(de)職業(yè)操守和(hé)道德規範等。狹義的(de)合規是指企業(yè)遵守反對商業(yè)賄賂方面的(de)規定。

結合以上(shàng)，合規的(de)“規”應該按照(zhào)三層涵義來正确理(lǐ)解：

第一層是具有(yǒu)強制(zhì)性的(de)法律法規，即企業(yè)總部所在國和(hé)經營所在國的(de)具有(yǒu)強制(zhì)性的(de)法律規定及監管規定；

第二層是企業(yè)在生産經營活動中寫入企業(yè)規制(zhì)的(de)對相(xiàng)關方（客戶、股東、監管方、企業(yè)内部員工(gōng)等）的(de)自願性承諾；

第三層是企業(yè)要遵守良好的(de)職業(yè)操守和(hé)道德規範、公序良俗等，這些不是強制(zhì)性的(de)，但(dàn)在社會(huì)活動中普遍爲大(dà)衆所認同。

合規風險即企業(yè)組織集體行(xíng)爲和(hé)代表企業(yè)組織的(de)個(gè)人(rén)行(xíng)爲是否遵守“規”的(de)不确定性。從“規”三層含義看，第一層合規風險和(hé)第三層合規風險就全面包含了企業(yè)内部控制(zhì)風險内容。

企業(yè)風控即企業(yè)全面風險控制(zhì)。2004年COSO繼續提出了企業(yè)風險管理(lǐ)整體框架，定義企業(yè)風險管理(lǐ)：“企業(yè)風險管理(lǐ)是一個(gè)過程，受企業(yè)董事會(huì)、管理(lǐ)當局和(hé)其他(tā)員工(gōng)的(de)影響，包括内部控制(zhì)及其在戰略和(hé)整個(gè)公司的(de)應用(yòng)，旨在爲實現經營的(de)效率和(hé)效果、财務報告的(de)可(kě)靠性以及現行(xíng)法規的(de)遵循提供合理(lǐ)保證。”

這個(gè)對企業(yè)風險管理(lǐ)的(de)定義依然有(yǒu)内部控制(zhì)的(de)太多痕迹。實際中，企業(yè)風險包括市場(chǎng)宏觀政策風險、客戶偏好風險、合規風險、技術(shù)風險、質量風險、履約能(néng)力風險等。

内部審計(jì)是一種獨立、客觀的(de)保證和(hé)咨詢活動。其目的(de)在于爲組織增加 價值和(hé)提高(gāo)組織的(de)運作效率。它通過系統化和(hé)規範化的(de)方法，評價和(hé)改進風險管理(lǐ)、控制(zhì)和(hé)治理(lǐ)程序的(de)效果，幫助組織實現其目标。

從概念上(shàng)分(fēn)析，内部控制(zhì)也(yě)有(yǒu)監督評價的(de)内容；内部審計(jì)是對内部控制(zhì)、風險管理(lǐ)與治理(lǐ)進行(xíng)評價，确保組織正常運營，保證不偏離(lí)公司目标。

在集團内部管理(lǐ)而言，三者關系有(yǒu)一定的(de)關系與作用(yòng)。内部控制(zhì)是風險管控和(hé)内部審計(jì)的(de)基礎，是風控和(hé)内審的(de)根源根本，處在整個(gè)控制(zhì)系統的(de)前端。而風險管理(lǐ)則處在中端，它能(néng)爲内部審計(jì)作業(yè)提供邏輯和(hé)方向，爲内部審計(jì)确定問題（即評估後的(de)風險），确定審計(jì)方向（目标）提供精準定位。

内部審計(jì)是通過确認和(hé)咨詢的(de)方式，對企業(yè)運營、内部控制(zhì)、風險管理(lǐ)和(hé)公司治理(lǐ)進行(xíng)評估與評價，以保證企業(yè)各項業(yè)務工(gōng)作按照(zhào)既定目标和(hé)标準，不偏不倚地(dì)完成公司目标。

從控制(zhì)方式上(shàng)分(fēn)析：内控、風控、内審三者是＂基礎一分(fēn)析一評估＂遞進關系、因果關系。從控制(zhì)方式方面總結，内部控制(zhì)是事前控制(zhì)，因爲制(zhì)度與流程是爲管理(lǐ)而生，爲防止企業(yè)管理(lǐ)出現問題和(hé)錯漏而制(zhì)訂。所以，它是事前預防和(hé)控制(zhì)範圍；

風險管理(lǐ)，主要在事中進行(xíng)分(fēn)析評價，當然事前也(yě)可(kě)以，風險評價的(de)基本和(hé)内容也(yě)是内部控制(zhì)和(hé)制(zhì)度流程，作業(yè)過程的(de)風險就屬于事中控制(zhì)；就算事後分(fēn)析風險也(yě)是爲了事中的(de)管控。所以，個(gè)人(rén)認爲風控是事中控制(zhì)的(de)範疇。

内部審計(jì)，從三者關系而言：内審工(gōng)作已經在前兩者之後，是根據風險提示或結果，對内控相(xiàng)對應節點（關鍵控制(zhì)點）進行(xíng)确認，确認風險是否存在，是否産生損失，是否可(kě)化解或轉移，按照(zhào)這個(gè)過程，内審就是事後的(de)确認與評估，屬事後控制(zhì)範疇。

PS：内控是點，風控是線，内審是用(yòng)線把點串起來組成面。

一、風險管控的(de)層級：合規-内控-風控

（1）合規是“打基礎”

合規的(de)核心：“确保公司各項生産經營活動遵循内外部的(de)法律、制(zhì)度、條例、規範、指引等”合規的(de)産出：合規可(kě)以起到(dào)最基本的(de)抑制(zhì)操作風險的(de)作用(yòng)

合規的(de)短闆：隻能(néng)發現問題而不能(néng)解決問題

（2）内控是合規的(de)“最高(gāo)等級”

内控的(de)核心：不但(dàn)要求合規，還要考察“規”的(de)狀态（是否完善、是否有(yǒu)配套指引、執行(xíng)過程是否完善）内控的(de)重點：與合規相(xiàng)比，合規注重結果，内控重視過程。并在此基礎上(shàng)發展較完善的(de)工(gōng)具和(hé)方法（COSO框架）。

内控的(de)優點：内控是抑制(zhì)操作層面風險的(de)最佳手段。

内控的(de)缺點：内控對需要站在一定管理(lǐ)高(gāo)度的(de)風險（如(rú)戰略風險等）無能(néng)爲力。（例如(rú)内控無法衡量資本市場(chǎng)波動會(huì)給公司帶來多大(dà)風險）

（3）風控管理(lǐ)是風險管控的(de)“最高(gāo)形式”

風控管理(lǐ)的(de)核心：“兩個(gè)必須”

必須把風險管理(lǐ)的(de)職能(néng)提升到(dào)高(gāo)級管理(lǐ)層；

必須設立獨立于業(yè)務部門的(de)風險管理(lǐ)部門；

公司内各類風險相(xiàng)對分(fēn)散、獨立，設立統一的(de)部門，站在管理(lǐ)層的(de)高(gāo)度來對風險進行(xíng)檢視，才能(néng)避免“頭痛醫頭腳痛醫腳”。

二、風控與内控的(de)異同

（1）相(xiàng)同點

風控與内控本質上(shàng)都(dōu)是通過評估、防範、控制(zhì)企業(yè)風險，從而促進企業(yè)經營目标的(de)實現。

（2）不同點

第一兩者審視風險的(de)角度不同

風控主要圍繞企業(yè)戰略經營目标，“自上(shàng)而下”地(dì)辨識、評估、分(fēn)析風險，并提出風險預警防範和(hé)應急管理(lǐ)的(de)策略和(hé)措施。

内控主要從流程合規、反舞弊角度出發，“自下而上(shàng)”地(dì)診斷招标采購(gòu)、銷售、資金(jīn)等具體運營流程中的(de)内部控制(zhì)缺陷，并進行(xíng)整改。

風控好比企業(yè)的(de)“保健醫生”，主要職責是“治未病”。内控好比企業(yè)的(de)“急診醫生”，主要職責是“治已病”。

第二兩者處置風險的(de)工(gōng)具不同

風控主要采用(yòng)風險地(dì)圖、流程數據分(fēn)析、調查問卷、控制(zhì)分(fēn)析、專家評分(fēn)等工(gōng)具。随著(zhe)企業(yè)信息化程度的(de)逐漸提高(gāo)，以數據分(fēn)析爲核心的(de)量化風險分(fēn)析、風險評估指标體系（如(rú)REI指數）等越來越受到(dào)重視。

内控主要采用(yòng)例行(xíng)審計(jì)、專項審計(jì)、合規檢查等形式，主要使用(yòng)穿行(xíng)測試、控制(zhì)測試等工(gōng)具，診斷重點業(yè)務、重要流程的(de)内部控制(zhì)設計(jì)及運行(xíng)缺陷。

目标導向一緻：戰略目标導向

内審、内控、風控都(dōu)是基于治理(lǐ)、監管等因素下的(de)“産品”，繼續追溯産生的(de)動因。

從内部角度分(fēn)析，兩權分(fēn)立（所有(yǒu)權與經營權）是重要的(de)因素之一，從外部角度分(fēn)析，組織運營要滿足法律法規遵循性的(de)要求。

内審、内控和(hé)風控對公司的(de)運營就是一種制(zhì)衡，對人(rén)的(de)制(zhì)衡，對事的(de)制(zhì)衡，對利益的(de)制(zhì)衡，制(zhì)衡之外是對組織健康發展的(de)一種促進。