合规管理与风险管理、内部控制、内部审计之异同研究
朱宏博
【摘 要】我国合规推进迅速,但和风管、内控、内审存在重复建设问题。从源流上看,风管、内控、内审发展,源自企业内部管理需要,从单一后端监控向流程控制、向全面风险管理的脉络。而合规管理作为一个法律事项,多因为外部监管,逐步对企业控制行为内化。
【关键词】合规管理;风险管理;内部控制;内部审计
《说文解字》中“规”者,其有法度也。合规一词译自compliance,释义“按照、遵顺”。2016年1月,《关于全面推进法治央企建设的意见》委发布推开我国国企全面合规建设之路。2018年11月,《中央企业合规管理指引(试行)》委发布,合规提到全新高度。各方对合规管理与风险管理、内部控制、内部审计关联莫衷一是,笔者拟从四者源流入手,探赜索隐。
一、我国公司合规管理发展
2017年《合规管理体系指南》(GB/T35770-2017),结合2018年国资委《合规管理指引》,成为我国企业进行合规管理权威文件。《指引》中定义合规符合三大类规定:首先是法律法规、监管规定、行业准则,其次是企业自身章程、制度、办法等,最后还包括国际条约、国际规范等。《指南》2014年ISO19600对合规要求定义为:组织选择遵守的要求,意为:明示、隐藏或具一定义务的须要。
合规工作具体事项,《指引》列举建立、设计、识别、审阅、应对、追责、考评、培训等要素,可与美国政府《合规承诺框架》、《有效性评价指南》OECD《内控、道德和合规的最佳行动指南》相参照。
二、内审、内控、风管的发展
内审、内控、风管是公司内部管理需要和外部竞争,二者结合产生之行为与概念。
1.内部审计。
传统监管主导型内审,以监控为基础,对财报和管理进行再确认的审计。现代内部审计为服务主导型,以改善运营为出发点,参与至公司运营的审计。监管型内审多运作于后端,服务型内审会向中端和前端扩展。前者侧重于发现和纠偏,后者侧重于建议和优化。
两者出发点和侧重点不尽相同,监管型内部审计往往运作于后端,服务型内部审计会向中端和甚至前端扩展。前者侧重于发现和纠偏,后者侧重于建议和优化。
2.内部控制。
内控源自内部牵制概念。最狭义内控是指运营过程中业务操作执行遵守规程。最早体系化理論见于1949年美国注册会计师协会(AICPA)所发布《内部控制:系统性统筹要素,对管理机关与注册会计师的重要意义》。
COSO委员会1992年发布《内部控制整体框架》,内控逐步超出原有范畴,提出内控是管理过程,由公司内部的治理层、管理层、执行层共同参与,对合法合规、财报真实、经营效率与效果,三大目标提供合理保证。COSO委员会由AICPA、IIA等五家会计师、审计师协会联合设置,建立初期就存在很强的财务和审计控制论视角,从控制环境、风险的评估、控制活动、信息与交流、监督管理这五个关键元素,建立起防御性规避舞弊体系。合规目标,作为最为三大目标中最基础的内控目标,被纳入内部控制。内部审计被视作完善治理中的内部监督者职能。《内部控制整体框架》在2013年进行修订,并在2016年更新执行纲要,在5大关键元素下设置17个原则,79个关注事项。
3.风险管理(或风险管理)。
风险是目标所要面临的不确定性。风险管理理论化研究始于保险业,以1932年美国保险业协会建立为起点。企业管理除借用保险行业风险管理既有理论,更多在如何搭建公司层面风险管理体系有所表述。
2017年,COSO委员会提出涵盖五项要素、二十个具体事项的《企业风险管理——与战略和业绩的整合》基本解决风险管理整合框架和内部控制整合框架的重叠性。五项要素为:治理要素、战略目标设定、绩效、审阅与修订、信息沟通与报告,每个要素下设置数个单独具体事项。对比各个具体单独事项涉及内容,原来2004版的“控制活动”要素被排除,回归内部控制框架。
ERM2017更新风管定义,不再同于内控的过程视角,将风险管理由控制规避风险导向朝获得效益导向转变。
三、合规与风管、内控、内审整合联系构建
1.公司治理视角。
以内审、内控、风管为发展脉络的公司治理视角,合规被整合入风管体系。以最新ERM2017为纲领,可以看到治理环境的总体思维。
首先,风管是公司整体行为。公司风险来源包含内部风险和外部风险两大领域,而内控设计也很难处理“管理层凌驾于控制之上”顶层失控危机,所以内控可解决公司治理问题小于风管范畴。鉴于ERM的2004和ERM2017变化,控制活动作为内部控制核心事项而回归内部控制框架,可见“控制活动”为内控核心。如最狭义内控概念是内部牵制,涉及面更窄。
其次,内审作为监管存在。内审存在传统监管型和广义服务型,而ERM中,显然内审更多回归于传统角色,作为最后监控防线而设计。
合规有两个概念,合规管理和合规目标。内控、风管,无论是采用三目标、四目标或我国五目标,合规是基础。同时,合规在过程中有一层控制作用,有必要引入三道防线理论,2015年IIA协会以COSO白皮书形式发布相关内容,第一道防线为直接管理人员、业务部门,实施内控措施;第二道防线为合规、监察、风管等职能部门监管;第三道防线为内审部门,进行最后独立确认。在治理中存在两个合规概念,合规活动和合规目标。
采用各最狭义概念,绘制成关系图:
广义上,各概念外延均大幅延伸,根据要素划分产生大量交互领域,实践中穿插更为严重,如表1:
2.法律视角。
合规管理历史是强化监管迫使企业建立控制体系、规范管理的内化过程。以美国为例,合规需求首先满足监管,其次在规避刑责。因出海企业的律师合规服务和刑事惩罚规避业务成为重要业务。建立合规体系是证明公司和高管的免责重要手段,是一种由外激励过程。而内审、内控和风管则成为达成目标的手段,是证明公司合规体系有效的组成部分。
合规体系是一个建立、制定、维护、评价、实施的整体体系。结合美国司法部《公司合规有效性程序评价指南》、美国财政部《合规承诺框架》,则形成管理层承诺、风险评估、内部管控、测试与审计、培训等整体化的合规体系。对照ERM2017,两者有大量重叠,这是一种进化趋同和相互借鉴。
四、总结
合规管理与风管、内控、内审四者关系,近年逐渐混同原因总结如下:
1.概念定义在不停流变。
四者定义在不同时期内涵不同。如风管、内控关系,在ERM的2004和2017间大有不同,内审则传统职能和广义职能在治理中运用并不相同。合规是舶来词,缺少复合名词,“合规目标”和“合规活动”形成混杂,遵从狭义法律法规还是广义道德准则,则有更大分歧。
2.起源不同但演化趋同。
风管、内控、内审发展脉络基于内部管理而形成,提升公司能力、强化防范角度。合规视角,无论是法律惩戒还是减免优惠,都源自督促企业强化,内化为文化。起源不同,但都应用于企业管理,而逐渐趋同演化,在概念外延领域相互重合。
3.法律监管背景不同。
Compliance规涉猎广泛,非明示的成文法能涵盖,通过整个体系对违反规范行为进行防范。而成文法规,往往进行逐条应对更容易形成制度流程控制。因为是外国引入概念,应用于成文法环境,与内部控制活动功能混同。
参考文献
[1]陈瑞华.企业合规制度的三个维度——比较法视野下的分析[J].比较法研究,2019,(3)::61-77.
[2]杨力.中国企业合规的风险点、变化曲线与挑战应对[J].政法论丛,2017,(2):3-16.
[3]季卫东.为企业合规性投石问路[J].财经,2008,(20):58-59.
(作者单位:上海外高桥集团股份有限公司)
猜你喜欢 合规管理内部审计风险管理 浅谈煤炭企业物资采购内部审计实践中国管理信息化(2021年5期)2021-03-15提升内部审计工作精细化管理水平的思考中国内部审计(2020年11期)2020-12-28浅谈新时代如何创新审计工作中国商论(2020年21期)2020-11-30优化审计结果运用机制 开创内部审计管理新局面中国内部审计(2020年7期)2020-07-26国有企业境外项目合规文化建设实践与探索财经界·下旬刊(2019年10期)2019-11-21浅谈《监察法》如何强化对国有企业的监督经济研究导刊(2019年3期)2019-03-13合规管理的有效探索与实践现代经济信息(2018年6期)2018-05-20全面风险管理与传统风险管理比较今日财富(2018年19期)2018-05-14养老保险精算的分析与风险管理的研究智富时代(2017年10期)2017-11-22养老保险精算的分析与风险管理的研究智富时代(2017年10期)2017-11-22