企业合规管理指引
广义的“合规”,有三层含义,第一层是企业要在生产经营过程中要遵守法律法规,即企业要遵守公司总部所在国和经营所在国的法律规定及监管规定;第二层是企业经营要遵循企业内部规章制度,包括企业商业行为准则的规章;第三层是企业及其员工要遵守良好的职业操守和道德规范等。狭义的合规是指企业遵守反对商业贿赂方面的规定。
企业风控即企业全面风险控制。2004年COSO继续提出了企业风险管理整体框架,定义企业风险管理:“企业风险管理是一个过程,受企业董事会、管理当局和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险等。
内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理程序的效果,帮助组织实现其目标。从概念上分析,内部控制也有监督评价的内容;内部审计是对内部控制、风险管理与治理进行评价,确保组织正常运营,保证不偏离公司目标。
合规、内控、风控的关系:
(1)合规是“打基础”。合规的核心:“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”。合规的产出:合规可以起到最基本的抑制操作风险的作用。合规的短板:只能发现问题而不能解决问题。
(2)内控是合规的“最高等级”。内控的核心:不但要求合规,还要考察“规”的状态(是否完善、是否有配套指引、执行过程是否完善)。内控的重点:与合规相比,合规注重结果,内控重视过程。并在此基础上发展较完善的工具和方法(COSO框架)。内控的优点:内控是抑制操作层面风险的最佳手段。内控的缺点:内控对需要站在一定管理高度的风险(如战略风险等)无能为力。(例如内控无法衡量资本市场波动会给公司带来多大风险)
(3)风控管理是风险管控的“最高形式”。风控管理的核心:“两个必须”——必须把风险管理的职能提升到高级管理层,必须设立独立于业务部门的风险管理部门。公司内各类风险相对分散、独立,设立统一的部门,站在管理层的高度来对风险进行检视,才能避免“头痛医头脚痛医脚”。