合規(guī)管理、法務管理、風險管理、內部控制作為企業(yè)營運中不可或缺的工作或職能（為統(tǒng)一表述，以下將每一管理內容稱為“體系”），企業(yè)經營管理過程中卻對這四大體系的內涵仍會存在混淆，原因在于這四大體系存在交叉、重疊。對于企業(yè)而言，不可能安排一撥人負責法務，一撥人負責內部控制，再一撥人負責風險管理，不僅因為這樣做的成本很高，還容易造成管理上的混亂。故厘清這四大體系的區(qū)別，進一步探討體系間的融合、協(xié)同，是有意義的。

壹

關于無處不在的風險

人類的祖先自誕生即開始受到自然的折磨，開始了對風險的認識和風險的管理。傳統(tǒng)風險理論將風險與損失劃等號，對風險的認識較為負面，現(xiàn)代風險理論認為風險只是目標不能達成的一種可能性，風險是事前的概率，損失是事后的結果。對風險是什么，風險如何管理這一問題的回答，形成了風險管理的理論。從風險管理的立場出發(fā)，內部控制為風險應對的手段，法務管理是法律風險的應對方案，合規(guī)管理是為了預防合規(guī)風險。

貳

四大體系的出現(xiàn)及演變

（一）內部控制與風險管理

（1）COSO框架

內部控制的控制思想的雛形來源于內部牽制。牽制思想最早出現(xiàn)在財政管理（財務管理）中，在《周禮》體現(xiàn)的西周時代的國庫管理中，便分為了職內、職出和職幣三個崗位，分別負責收入、支出和盤點登記。

20世紀90年代已降，先后經歷了內部牽制（賬目相互核對，不相容崗位分離）、內部控制制度(內部會計控制、內部管理控制)、內部控制結構（控制環(huán)境、會計制度和控制程序）、內部控制整體框架（五要素）等不同階段的漫長演變，內部控制的體系成熟。為簡潔說明，本文僅從1992年COSO《內部控制-整合框架》展開。[1]

反虛假財務報告委員會于1985年在美國成立[2]，贊助成立COSO委員會，專門研究內部控制問題。1992年9月，COSO委員會發(fā)布了《企業(yè)內部控制——整合框架》（以下簡稱“內控框架1992”），這份框架面世后得到美國證監(jiān)會的認可，指定它作為在美上市公司內控體系建設的指導框架，并被全球范圍內的監(jiān)管機構和企業(yè)廣泛采用。盡管該框架取得了巨大成功，但改進的建議也一直存在，主要集中于該框架沒有結合企業(yè)風險管理的內容。進入21世紀后，美國安然公司的倒閉、世通公司的財務欺詐，和其他一系列的內控失靈案例，使COSO開始思考企業(yè)的管理活動和內部控制的局限，并于2004年發(fā)布了《企業(yè)風險管理-整合框架》（簡稱“ERM2004”）。COSO可能認為企業(yè)在健全內部控制基礎上“添加”部分內容便能轉向全面的風險管理過程，起草ERM2004框架時，沿用了內部控制框架。相較于內控框架1997，ERM2004增加了一個觀念、一個目標、兩個概念和三個要素。

在內部控制框架的基礎上加入新的內容以成為風險管理框架，從“小魔方”升級為“大魔方”，從而使兩個側重點、目標各不相同的體系在框架和形式上高度重合，為理論和實踐中對于這兩個體系的關系的糾纏和爭論留下伏筆。

以上圖片來源于網絡

2013年COSO發(fā)布修訂后的《內部控制—整合框架（2013）》（簡稱內控框架2013）。內控框架2013保留和延續(xù)了內控框架1992的核心概念和魔方的框架，只是通過“原則導向”加“規(guī)則指引”的方式，詳述了企業(yè)內部控制的5個要素20個原則以及82個關注點。此外內控框架1992目標設定中關注“財務報告目標”，而內控框架2013提出的報告目標包括：運營目標、外部財務報告、非財務報告目標、內部財務報告、非財務報告目標。

2017年COSO第二版企業(yè)風險管理框架，即《企業(yè)風險管理——整合戰(zhàn)略與績效》（簡稱“ERM2017”）也發(fā)布。兩個版本的風險管理框架除了在對企業(yè)風險的定義有較大區(qū)別之外，ERM2017可能更致力于擺脫與內部控制的關系，意在闡述除內部控制外，企業(yè)應當在哪些地方來完善自身的風險管理系統(tǒng)。[3]

（2）我國風險管理和內部控制歷程

國資委于2006年6月6日下發(fā)《中央企業(yè)全面風險管理指引》，全面風險管理工作在中央企業(yè)開展，并從2008年起每年向國資委報送《全面風險管理工作報告》。國資委對于企業(yè)風險的定義為：

企業(yè)風險，指未來的不確定性對企業(yè)實現(xiàn)其經營目標的影響。企業(yè)風險一般可分為戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險等；也可以能否為企業(yè)帶來盈利等機會為標志，將風險分為純粹風險（只有帶來損失一種可能性）和機會風險（帶來損失和盈利的可能性并存）。

全面風險管理，指企業(yè)圍繞總體經營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經營過程中執(zhí)行風險管理的基本流程，培育良好的風險管理文化，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內部控制系統(tǒng)，從而為實現(xiàn)風險管理的總體目標提供合理保證的過程和方法。

《中央企業(yè)全面風險管理指引》中對于風險的定義、全面風險管理的內容以及強調風險管理的全面性和嵌入性“融入業(yè)務”等認識都是較為超前的。在風險管理與內部控制方面，也有明確的界定，即內部控制是實現(xiàn)全面風險管理的手段和方法，這個階段對于企業(yè)內部控制體系構建、優(yōu)化，尚不屬于中心話題，培養(yǎng)企業(yè)就風險收集、評估、管理并解決的能力才是關鍵。

2008年，財政部發(fā)布《企業(yè)內部控制基本規(guī)范》，并于兩年后聯(lián)合其他部委發(fā)布《企業(yè)內部控制應用指引》（下稱“內控指引”）。內控指引針對企業(yè)開展多層制度、機制、程序、流程構想：（1）內部環(huán)境類：組織架構、發(fā)展戰(zhàn)略、人力資源、社會責任、企業(yè)文化；（2）控制活動類：資金活動、采購業(yè)務、資產管理、銷售業(yè)務、研究開發(fā)、工程項目、擔保業(yè)務、業(yè)務外包、財務報告；（3）控制手段類：全面預算、合同管理、信息傳遞、信息系統(tǒng)。內控指引事無巨細，花了大量筆墨闡述企業(yè)業(yè)務管理方面如何實現(xiàn)內部控制，較之于COSO的框架更具有可操作性和指導意義。

2012年，在全面風險管理工作開展6年之后，國資委發(fā)布《關于加快構建中央企業(yè)內部控制體系有關事項的通知》要求中央企業(yè)向國資委每年報送《內部控制評價報告》。盡管在監(jiān)管層面，國資委或財政部對于風險管理和內部控制的關系具有一致的認識：

《企業(yè)內部控制基本規(guī)范》及其配套指引，充分吸收了全面風險管理的理念和方法，強調了內部控制與風險管理的統(tǒng)一。內部控制的目標就是防范和控制風險，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略，風險管理的目標也是促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略，二者都要求將風險控制在可承受范圍之內。因此，內部控制與風險管理二者不是對立的，而是協(xié)調統(tǒng)一的整體。[4]

但是實務中對于這兩者間關系的認識并不是財政部提到的那么清晰：（1）盡管之前在推行全面風險管理過程中，內部控制已經作為組成部分被提出，但卻不能說企業(yè)在全面風險管理工作時已經進行或完成了內部控制體系的建設；（2）2013年起，中央企業(yè)需要在每年的5月份，單獨提交一份風險報告和一份內控評價報告，報給國資委不同的部門。這兩個報告的提交，讓“內部控制與風險管理二者不是對立的，而是協(xié)調統(tǒng)一的整體”的說法顯得站不住腳。

2019年12月《2020年中央企業(yè)內部控制體系建設與監(jiān)督工作有關事項》，文件將內部控制、風險管理及合規(guī)進行了統(tǒng)籌，并不再要求中央企業(yè)分別報送《中央企業(yè)內部控制評價報告》和《中央企業(yè)年度風險管理報告》，形成以風險管理作為總目標，以內控和合規(guī)為抓手的體系。給實務中兩個體系的爭議做了形式上的解決。

（二）法務管理

21世紀初，我國國有資產監(jiān)督管理體系尚不完善，國有企業(yè)工作人員法律意識淡薄[5]導致國有資產損失。為扭轉這種局面，國務院國資委通過三個三年目標，在所有中央企業(yè)和地方國有重點企業(yè)內都建立健全法律事務機構，提高了企業(yè)防范法律風險的能力。

通過第一個三年目標的“建立機制”，到第二個三年目標的“發(fā)揮作用”，再到第三個三年目標的“完善提高”，法務管理體系開始在企業(yè)中建立，并將法務管理從傳統(tǒng)的“救火隊”，主要負責審合同、打官司，逐步轉變?yōu)?span id="kjnyybiipjgu" class="candidate-entity-word" data-gid="1164826">經營管理的“防火隊”。通過文件的內容，我們可以窺見監(jiān)管機構對于法務管理定位在于“企業(yè)法律風險的保護屏障”，希望企業(yè)通過法務管理機構和機制建設全面防控法律風險。

（三）合規(guī)管理

對于國際企業(yè)來說，合規(guī)并非新鮮事，很多大型跨國公司特別注重合規(guī)經營，很多時候，合規(guī)是有一票否決權的。對于我國來說，2018年陸續(xù)發(fā)生的中興事件及華為事件，使我國企業(yè)及監(jiān)管機構開始對合規(guī)有了前所未有的重視。不管中興還是華為，在風險管理、內部控制體系建設方面必然優(yōu)于大部分國內企業(yè)，他們都無法應對海外運營合規(guī)性，合規(guī)管理的現(xiàn)實需求便出現(xiàn)：

《合規(guī)管理體系指南》的出臺；

國務院國資委2018年11月發(fā)布實施《中央企業(yè)合規(guī)管理指引（試行）》；

國家發(fā)改委等七部門2018年12月發(fā)布《企業(yè)境外經營合規(guī)管理指引》；

國務院國資委2022年發(fā)布《中央企業(yè)合規(guī)管理辦法》。

根據(jù)《中央企業(yè)合規(guī)管理辦法》，合規(guī)管理指的是企業(yè)以有效防控合規(guī)風險為目的，以提升依法合規(guī)經營管理水平為導向，以企業(yè)經營管理行為和員工履職行為為對象，開展的包括建立合規(guī)制度、完善運行機制、培育合規(guī)文化、強化監(jiān)督問責等有組織、有計劃的管理活動。

合規(guī)管理，是以有效防控合規(guī)風險為目的。故從合規(guī)風險管理的角度說，合規(guī)管理從屬于風險管理。但從《中央企業(yè)合規(guī)管理辦法》第三條合規(guī)的定義：“企業(yè)經營管理行為和員工履職行為符合國家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則，以及公司章程、相關規(guī)章制度等要求”來說，合規(guī)本身就是目標，不合規(guī)本身就是未達成目標?！吨醒肫髽I(yè)合規(guī)管理辦法》所定義的合規(guī)風險其實指代的是不合規(guī)而引發(fā)的風險，這個定義本身是不嚴謹?shù)?。風險是不確定性對目標的影響，將合規(guī)作為目標，則合規(guī)風險的定義為“企業(yè)經營管理行為和員工履職行為不合規(guī)的不確定性”。故從這個角度出發(fā)，合規(guī)是企業(yè)級目標，而非風險管理的子目標。

合規(guī)，即是，遵守規(guī)則，“規(guī)”內涵是“國家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則，以及公司章程、相關規(guī)章制度等要求”。合規(guī)如何做？簡單來說就是意識到哪些規(guī)則需要遵守，如何遵守，在合規(guī)體系搭建中可能還有“外規(guī)內化”的過程，即將企業(yè)需要遵守的外規(guī)，內化為企業(yè)規(guī)章制度。

叁

四大體系具體區(qū)別

從目標角度，全面風險管理目標基本概括其他三大體系的目標；從風險防控角度看，四大體系都包含風險管理的內容，但全面風險管理的風險是要將企業(yè)經營管理過程中所有風險控制在可承受的范圍，合規(guī)風險、法律風險和內部控制所提及的風險都可以涵蓋在全面風險管理的范圍內；從工作內容/流程角度看，全面風險管理、內部控制、合規(guī)管理都有風險評估-風險控制的程序，而法務管理更強調風險控制程序。

肆

關于四大體系的融合思考

《關于全面推進法治央企建設的意見》提出“探索建立法律、合規(guī)、風險、內控一體化管理平臺。”《關于做好2020年中央企業(yè)內部控制體系建設與監(jiān)督工作有關事項的通知》指出，要以“強內控、防風險、促合規(guī)”為目標，建立以內控體系建設與監(jiān)督制度為統(tǒng)領，各項具體操作規(guī)范為支撐的“1 N”內控制度體系。《關于開展對標世界一流管理提升行動的通知》提出“構建全面、全員、全過程、全體系的風險防控機制”?！蛾P于進一步深化法治央企建設的意見》提出“探索構建法律、合規(guī)、內控、風險管理協(xié)同運作機制，加強統(tǒng)籌協(xié)調，提高管理效能。”對于法務管理、合規(guī)管理、內控管理、風險管理四大體系的融合，不僅是相關部門的明確指示，也是企業(yè)降低管理成本的要求。

但是如何融合，卻沒有明確的路徑，原因在于企業(yè)的基本情況、各體系建設的現(xiàn)狀各不相同。比如：若一個企業(yè)法務體系較為完善，其余三個體系尚處于初級階段，則從成本原則出發(fā)，必然以法務體系為基礎，融合內部控制、合規(guī)管理的基本思路和要素，再吸收全面風險管理的內容構成該企業(yè)的法務、風險、內控、合規(guī)一體化機制。反之若一個企業(yè)已經具有相對完善的法務、風險、內控、合規(guī)管理體系，那么直接探究四大體系的協(xié)同運作，也不失為一個好辦法。

簡言之，四大體系的融合是大勢所趨，但是融合的具體路徑應是以風險管理為導向，結合企業(yè)現(xiàn)狀，查缺補漏，精益求精。

向上滑動閱覽

注釋：

[1] 張煒：《運用制衡原理管理內部審計外包服務》，載于山東審計廳官網：
http://audit.shandong.gov.cn/art/2022/1/13/art_89387_10310504.html.
[2] 發(fā)起人為美國管理會計師協(xié)會、美國注冊會計師協(xié)會、美國會計協(xié)會、財務經理人協(xié)會、內部審計師協(xié)會，可以看出現(xiàn)在的“內部控制”規(guī)范由財會領域的專業(yè)人員提出.
[3] 深圳普永：《COSO企業(yè)風險管理-整合框架：為何采用舊框架進行企業(yè)風險管理工作？》，普永咨詢微信公眾號2023年01月13日文章.
[4] 《企業(yè)內部控制規(guī)范體系實施中相關問題解釋第1號》，載于中華人民共和國財政部官網：
https://www.mof.gov.cn/gkml/caizhengwengao/2012wg/wg201204/201207/t20120711_665500.htm?eqid=aa4cf9d60006d25a00000004645c4510.
[5] 《國資委：將用三年構建國有資產監(jiān)管法規(guī)體系框架》，載于中國新聞網：
https://www.chinanews.com/news/2005/2005-07-26/26/604123.shtml.

作者：姜南 北京浩天（貴陽）律師事務所執(zhí)業(yè)律師，言若商業(yè)·合規(guī)律師團隊成員，貴陽市律師協(xié)會企業(yè)合規(guī)專委會副秘書長，專業(yè)領域：企業(yè)合規(guī)體系建設、投資并購、商業(yè)盡職調查、企業(yè)常年法律顧問、合同爭議解決。

聲明：本文為作者原創(chuàng)，首發(fā)于公眾號“言若商業(yè)合規(guī)律師”，文章內容僅為作者觀點，不代表「無訟」立場，不作為針對任何個案的法律意見。

-End-