法務(wù)、合規(guī)、內(nèi)審、內(nèi)控、風控

法務(wù)、合規(guī)、內(nèi)審、內(nèi)控、風控之間的關(guān)系公司存在的目的：生存、發(fā)展、獲利。公司要實現(xiàn)其目的，內(nèi)審、內(nèi)控、風控可以說是公司的“防火墻”、“保健醫(yī)生”。內(nèi)審、內(nèi)控、風控的落腳點要導(dǎo)向組織的戰(zhàn)略目標、遠景、規(guī)劃，從近處說，要服務(wù)組織某階段的發(fā)展目標（短期目標），從這個角度分析，三者目標導(dǎo)向是一致的?！霈F(xiàn)代企業(yè)立足市場，會面對來自方方面面的風險，諸如合同行為的風險、資本運作的風險、知識產(chǎn)權(quán)的風險、人力資源的風險、環(huán)境保護的風險、稅務(wù)籌劃的風險以及公共關(guān)系的風險和訴訟仲裁的風險等等。如何防范這些風險以達到保障企業(yè)安全運營的目的，從根本上預(yù)防潛在的風險變成現(xiàn)實的災(zāi)難，防患于未然，這就需要建立企業(yè)法律風險管理服務(wù)機構(gòu)，健全企業(yè)法律風險管理體系。大型企業(yè)往往會在內(nèi)部設(shè)立法律法規(guī)室或法律事務(wù)部，以處理企業(yè)的日常法律事務(wù)。鑒于公司的設(shè)立往往是以盈利為目的，在企業(yè)內(nèi)部設(shè)立法務(wù)部門也是基于降低風險、減少損失、維護公司合法利益為出發(fā)點，因此企業(yè)法務(wù)以一切服務(wù)于公司業(yè)務(wù)、服務(wù)于生產(chǎn)經(jīng)營為根本宗旨，以擴大服務(wù)范圍、提高服務(wù)水平作為根本任務(wù)，也是就通常所說的服務(wù)于業(yè)務(wù)部門工作。國際標準化組織（ISO）在2014年12月15日發(fā)布了國際標準ISO19600《合規(guī)管理體系-指南》對“規(guī)”有定義：組織宜以適合其規(guī)模、復(fù)雜性、結(jié)構(gòu)和運營的方式制定“合規(guī)義務(wù)”文件。合規(guī)義務(wù)信息應(yīng)包括合規(guī)要求，可包括合規(guī)承諾。前者包括監(jiān)管機構(gòu)制定發(fā)布具有強制性的法律法規(guī)、監(jiān)管條例規(guī)定等，后者包括組織與社區(qū)、公共權(quán)力機構(gòu)、客戶簽訂的協(xié)議、組織要求、政策、程序、自愿原則、規(guī)程、環(huán)境的承諾等。廣義的“合規(guī)”，有三層含義，第一層是企業(yè)要在生產(chǎn)經(jīng)營過程中要遵守法律法規(guī)，即企業(yè)要遵守公司總部所在國和經(jīng)營所在國的法律規(guī)定及監(jiān)管規(guī)定；第二層是企業(yè)經(jīng)營要遵循企業(yè)內(nèi)部規(guī)章制度，包括企業(yè)商業(yè)行為準則的規(guī)章；第三層是企業(yè)員工要遵守良好的職業(yè)操守和道德規(guī)范等。狹義的合規(guī)是指企業(yè)遵守反對商業(yè)賄賂方面的規(guī)定。結(jié)合以上，合規(guī)的“規(guī)”應(yīng)該按照三層涵義來正確理解：第一層是具有強制性的法律法規(guī)，即企業(yè)總部所在國和經(jīng)營所在國的具有強制性的法律規(guī)定及監(jiān)管規(guī)定；第二層是企業(yè)在生產(chǎn)經(jīng)營活動中寫入企業(yè)規(guī)制的對相關(guān)方（客戶、股東、監(jiān)管方、企業(yè)內(nèi)部員工等）的自愿性承諾；第三層是企業(yè)要遵守良好的職業(yè)操守和道德規(guī)范、公序良俗等，這些不是強制性的，但在社會活動中普遍為大眾所認同。合規(guī)風險即企業(yè)組織集體行為和代表企業(yè)組織的個人行為是否遵守合規(guī)的“規(guī)”的不確定性。從合規(guī)的“規(guī)”三層含義看，第一層合規(guī)風險和第三層合規(guī)風險就全面包含了企業(yè)內(nèi)部控制風險內(nèi)容。企業(yè)風控即企業(yè)全面風險控制。2004年COSO繼續(xù)提出了企業(yè)風險管理整體框架，定義企業(yè)風險管理：“企業(yè)風險管理是一個過程，受企業(yè)董事會、管理當局和其他員工的影響，包括內(nèi)部控制及其在戰(zhàn)略和整個公司的應(yīng)用，旨在為實現(xiàn)經(jīng)營的效率和效果、財務(wù)報告的可靠性以及現(xiàn)行法規(guī)的遵循提供合理保證?！边@個對企業(yè)風險管理的定義依然有內(nèi)部控制的太多痕跡。實際中，企業(yè)風險包括市場宏觀政策風險、客戶偏好風險、合規(guī)風險、技術(shù)風險、質(zhì)量風險、履約能力風險等?！鰞?nèi)部審計是一種獨立、客觀的保證和咨詢活動。其目的在于為組織增加價值和提高組織的運作效率。它通過系統(tǒng)化和規(guī)范化的方法，評價和改進風險管理、控制和治理程序的效果，幫助組織實現(xiàn)其目標。從概念上分析，內(nèi)部控制也有監(jiān)督評價的內(nèi)容；內(nèi)部審計是對內(nèi)部控制、風險管理與治理進行評價，確保組織正常運營，保證不偏離公司目標?！鲈诩瘓F內(nèi)部管理而言，三者關(guān)系有一定的關(guān)系與作用。內(nèi)部控制是風險管控和內(nèi)部審計的基礎(chǔ)，是風控和內(nèi)審的根源根本，處在整個控制系統(tǒng)的前端。而風險管理則處在中端，它能為內(nèi)部審計作業(yè)提供邏輯和方向，為內(nèi)部審計確定問題（即是評估后的風險），確定審計方向（目標）提供精準定位。內(nèi)部審計是通過確認和咨詢的方式，對企業(yè)運營、內(nèi)部控制、風險管理和公司治理進行評估與評價，以保證企業(yè)各項業(yè)務(wù)工作按照既定目標和標準，不偏不倚地完成公司目標。從控制方式上分析：內(nèi)控、風控、內(nèi)審三者是"基礎(chǔ)一分析一評估"遞進關(guān)系、因果關(guān)系。從控制方式方面總結(jié)，內(nèi)部控制是事前控制，因為制度與流程是為管理而生，為防止企業(yè)管理出現(xiàn)問題和錯漏而制訂。所以，它是事前預(yù)防和控制范圍；風險管理，主要在事中進行分析評價，當然事前也可以，風險評價的基本和內(nèi)容也是內(nèi)部控制和制度流程，作業(yè)過程的風險就屬于事中控制；就算事后分析風險也是為了事中的管控。所以，個人認為風控是事中控制的范疇。內(nèi)部審計，從三者關(guān)系而言：內(nèi)審工作已經(jīng)在前兩者之后，是根據(jù)風險提示或結(jié)果，對內(nèi)控相對應(yīng)節(jié)點（關(guān)鍵控制點）進行確認，確認風險是否存在，是否產(chǎn)生損失，是否可化解或轉(zhuǎn)移，按照這個過程，內(nèi)審就是事后的確認與評估，屬事后控制范疇。PS：內(nèi)控是點，風控是線，內(nèi)審是用線把點串起來組成面?！鲆?、風險管控的層級：合規(guī)-內(nèi)控-風控（1）合規(guī)是“打基礎(chǔ)”合規(guī)的核心：“確保公司各項生產(chǎn)經(jīng)營活動遵循內(nèi)外部的法律、制度、條例、規(guī)范、指引等”合規(guī)的產(chǎn)出：合規(guī)可以起到最基本的抑制操作風險的作用合規(guī)的短板：只能發(fā)現(xiàn)問題而不能解決問題（2）內(nèi)控是合規(guī)的“最高等級”內(nèi)控的核心：不但要求合規(guī)，還要考察“規(guī)”的狀態(tài)（是否完善、是否有配套指引、執(zhí)行過程是否完善）內(nèi)控的重點：與合規(guī)相比，合規(guī)注重結(jié)果，內(nèi)控重視過程。并在此基礎(chǔ)上發(fā)展較完善的工具和方法（COSO框架）內(nèi)控的優(yōu)點：內(nèi)控是抑制操作層面風險的最佳手段內(nèi)控的缺點：內(nèi)控對需要站在一定管理高度的風險（如戰(zhàn)略風險等）無能為力。（例如內(nèi)控無法衡量資本市場波動會給公司帶來多大風險）（3）風控管理是風險管控的“最高形式”風控管理的核心：“兩個必須”必須把風險管理的職能提升到高級管理層必須設(shè)立獨立于業(yè)務(wù)部門的風險管理部門公司內(nèi)各類風險相對分散、獨立，設(shè)立統(tǒng)一的部門，站在管理層的高度來對風險進行檢視，才能避免“頭痛醫(yī)頭腳痛醫(yī)腳”。二.風控與內(nèi)控的異同（1）相同點風控與內(nèi)控本質(zhì)上都是通過評估、防范、控制企業(yè)風險，從而促進企業(yè)經(jīng)營目標的實現(xiàn)。（2）不同點第一兩者審視風險的角度不同風控主要圍繞企業(yè)戰(zhàn)略經(jīng)營目標，“自上而下”地辨識、評估、分析風險，并提出風險預(yù)警防范和應(yīng)急管理的策略和措施。內(nèi)控主要從流程合規(guī)、反舞弊角度出發(fā)，“自下而上”地診斷招標采購、銷售、資金等具體運營流程中的內(nèi)部控制缺陷，并進行整改。風控好比企業(yè)的“保健醫(yī)生”，主要職責是“治未病”。內(nèi)控好比企業(yè)的“急診醫(yī)生”，主要職責是“治已病”。第二兩者處置風險的工具不同風控主要采用風險地圖、流程數(shù)據(jù)分析、調(diào)查問卷、控制分析、專家評分等工具。隨著企業(yè)信息化程度的逐漸提高，以數(shù)據(jù)分析為核心的量化風險分析、風險評估指標體系（如REI指數(shù)）等越來越受到重視。內(nèi)控主要采用例行審計、專項審計、合規(guī)檢查等形式，主要使用穿行測試、控制測試等工具，診斷重點業(yè)務(wù)、重要流程的內(nèi)部控制設(shè)計及運行缺陷。目標導(dǎo)向一致：戰(zhàn)略目標導(dǎo)向內(nèi)審