公司存在的目的:生存、發展、獲利。公司要實現其目的,內審、內控、風控可以說是公司的“防火牆”、“保健醫生”。內審、內控、風控的落腳點要導向組織的戰略目標、遠景、規劃,從近處說,要服務組織某階段的發展目標(短期目標),從這個角度分析,三者目標導向是一致的。
01
法 務
現代企業立足市場,會面對來自方方面面的風險,諸如合同行為的風險、資本運作的風險、知識產權的風險、人力資源的風險、環境保護的風險、稅務籌劃的風險以及公共關係的風險和訴訟仲裁的風險等等。如何防範這些風險以達到保障企業安全運營的目的,從根本上預防潛在的風險變成現實的災難,防患於未然,這就需要建立企業法律風險管理服務機構,健全企業法律風險管理體系。大型企業往往會在內部設立法律法規室或法律事務部,以處理企業的日常法律事務。
鑑於公司的設立往往是以盈利為目的,在企業內部設立法務部門也是基於降低風險、減少損失、維護公司合法利益為出發點,因此企業法務以一切服務於公司業務、服務於生產經營為根本宗旨,以擴大服務範圍、提高服務水平作為根本任務,也是就通常所說的服務於業務部門工作。
02
合 規
國際標準化組織(ISO)在2014年12月15 日發佈了國際標準ISO19600《合規管理體系-指南》對“規”有定義:組織宜以適合其規模、複雜性、結構和運營的方式制定“合規義務”文件。合規義務信息應包括合規要求,可包括合規承諾。前者包括監管機構制定發佈具有強制性的法律法規、監管條例規定等,後者包括組織與社區、公共權力機構、客戶簽訂的協議、組織要求、政策、程序、自願原則、規程、環境的承諾等。
廣義的“合規”,有三層含義,第一層是企業要在生產經營過程中要遵守法律法規,即企業要遵守公司總部所在國和經營所在國的法律規定及監管規定;第二層是企業經營要遵循企業內部規章制度,包括企業商業行為準則的規章;第三層是企業員工要遵守良好的職業操守和道德規範等。狹義的合規是指企業遵守反對商業賄賂方面的規定。
結合以上,合規的“規”應該按照三層涵義來正確理解:第一層是具有強制性的法律法規,即企業總部所在國和經營所在國的具有強制性的法律規定及監管規定;第二層是企業在生產經營活動中寫入企業規制的對相關方(客戶、股東、監管方、企業內部員工等)的自願性承諾;第三層是企業要遵守良好的職業操守和道德規範、公序良俗等,這些不是強制性的,但在社會活動中普遍為大眾所認同。
合規風險即企業組織集體行為和代表企業組織的個人行為是否遵守合規的“規”的不確定性。
從合規的“規”三層含義看,第一層合規風險和第三層合規風險就全面包含了企業內部控制風險內容。
03
風 控
企業風控即企業全面風險控制。2004年COSO繼續提出了企業風險管理整體框架,定義企業風險管理:“企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括內部控制及其在戰略和整個公司的應用,旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規的遵循提供合理保證。”這個對企業風險管理的定義依然有內部控制的太多痕跡。實際中,企業風險包括市場宏觀政策風險、客戶偏好風險、合規風險、技術風險、質量風險、履約能力風險等。
04
內 審
內部審計是一種獨立、客觀的保證和諮詢活動。其目的在於為組織增加 價值和提高組織的運作效率。它通過系統化和規範化的方法,評價和改進風險管理、控制和治理程序的效果,幫助組織實現其目標。
從概念上分析,內部控制也有監督評價的內容;內部審計是對內部控制、風險管理與治理進行評價,確保組織正常運營,保證不偏離公司目標。
05
內控、風控、內審的關係
在集團內部管理而言,三者關係有一定的關係與作用。內部控制是風險管控和內部審計的基礎,是風控和內審的根源根本,處在整個控制系統的前端。而風險管理則處在中端,它能為內部審計作業提供邏輯和方向,為內部審計確定問題(即是評估後的風險),確定審計方向(目標)提供精準定位。
內部審計是通過確認和諮詢的方式,對企業運營、內部控制、風險管理和公司治理進行評估與評價,以保證企業各項業務工作按照既定目標和標準,不偏不倚地完成公司目標。
從控制方式上分析:內控、風控、內審三者是"基礎一分析一評估"遞進關係、因果關係。從控制方式方面總結,內部控制是事前控制,因為制度與流程是為管理而生,為防止企業管理出現問題和錯漏而制訂。所以,它是事前預防和控制範圍;
風險管理,主要在事中進行分析評價,當然事前也可以,風險評價的基本和內容也是內部控制和制度流程,作業過程的風險就屬於事中控制;就算事後分析風險也是為了事中的管控。所以,個人認為風控是事中控制的範疇。
內部審計,從三者關係而言:內審工作已經在前兩者之後,是根據風險提示或結果,對內控相對應節點(關鍵控制點)進行確認,確認風險是否存在,是否產生損失,是否可化解或轉移,按照這個過程,內審就是事後的確認與評估,屬事後控制範疇。
PS:內控是點,風控是線,內審是用線把點串起來組成面。
06
合規、內控、風控的關係
一、風險管控的層級:合規-內控-風控
(1)合規是“打基礎”
合規的核心:“確保公司各項生產經營活動遵循內外部的法律、制度、條例、規範、指引等”
合規的產出:合規可以起到最基本的抑制操作風險的作用
合規的短板:只能發現問題而不能解決問題
(2)內控是合規的“最高等級”
內控的核心:不但要求合規,還要考察“規”的狀態(是否完善、是否有配套指引、執行過程是否完善)
內控的重點:與合規相比,合規注重結果,內控重視過程。並在此基礎上發展較完善的工具和方法(COSO框架)
內控的優點:內控是抑制操作層面風險的最佳手段
內控的缺點:內控對需要站在一定管理高度的風險(如戰略風險等)無能為力。(例如內控無法衡量資本市場波動會給公司帶來多大風險)
(3)風控管理是風險管控的“最高形式”
風控管理的核心:“兩個必須”
必須把風險管理的職能提升到高級管理層
必須設立獨立於業務部門的風險管理部門
公司內各類風險相對分散、獨立,設立統一的部門,站在管理層的高度來對風險進行檢視,才能避免“頭痛醫頭腳痛醫腳”。
二、風控與內控的異同
(1)相同點
風控與內控本質上都是通過評估、防範、控制企業風險,從而促進企業經營目標的實現。
(2)不同點
第一兩者審視風險的角度不同
風控主要圍繞企業戰略經營目標,“自上而下”地辨識、評估、分析風險,並提出風險預警防範和應急管理的策略和措施。
內控主要從流程合規、反舞弊角度出發,“自下而上”地診斷招標採購、銷售、資金等具體運營流程中的內部控制缺陷,並進行整改。
風控好比企業的“保健醫生”,主要職責是“治未病”。內控好比企業的“急診醫生”,主要職責是“治已病”。
第二兩者處置風險的工具不同
風控主要採用風險地圖、流程數據分析、調查問卷、控制分析、專家評分等工具。隨著企業信息化程度的逐漸提高,以數據分析為核心的量化風險分析、風險評估指標體系(如REI指數)等越來越受到重視。
內控主要採用例行審計、專項審計、合規檢查等形式,主要使用穿行測試、控制測試等工具,診斷重點業務、重要流程的內部控制設計及運行缺陷。
目標導向一致:戰略目標導向
內審、內控、風控都是基於治理、監管等因素下的“產品”,繼續追溯產生的動因。
從內部角度分析,兩權分立(所有權與經營權)是重要的因素之一,從外部角度分析,組織運營要滿足法律法規遵循性的要求。
內審、內控和風控對公司的運營就是一種制衡,對人的制衡,對事的制衡,對利益的制衡,制衡之外是對組織健康發展的一種促進。
閱讀更多 壹點方圓 的文章
