朱宏博

【摘 要】我國合規(guī)推進(jìn)迅速，但和風(fēng)管、內(nèi)控、內(nèi)審存在重復(fù)建設(shè)問題。從源流上看，風(fēng)管、內(nèi)控、內(nèi)審發(fā)展，源自企業(yè)內(nèi)部管理需要，從單一后端監(jiān)控向流程控制、向全面風(fēng)險管理的脈絡(luò)。而合規(guī)管理作為一個法律事項，多因為外部監(jiān)管，逐步對企業(yè)控制行為內(nèi)化。

【關(guān)鍵詞】合規(guī)管理;風(fēng)險管理;內(nèi)部控制;內(nèi)部審計

《說文解字》中“規(guī)”者，其有法度也。合規(guī)一詞譯自compliance，釋義“按照、遵順”。2016年1月，《關(guān)于全面推進(jìn)法治央企建設(shè)的意見》委發(fā)布推開我國國企全面合規(guī)建設(shè)之路。2018年11月，《中央企業(yè)合規(guī)管理指引（試行）》委發(fā)布，合規(guī)提到全新高度。各方對合規(guī)管理與風(fēng)險管理、內(nèi)部控制、內(nèi)部審計關(guān)聯(lián)莫衷一是，筆者擬從四者源流入手，探賾索隱。

一、我國公司合規(guī)管理發(fā)展

2017年《合規(guī)管理體系指南》（GB/T35770-2017），結(jié)合2018年國資委《合規(guī)管理指引》，成為我國企業(yè)進(jìn)行合規(guī)管理權(quán)威文件?！吨敢分卸x合規(guī)符合三大類規(guī)定：首先是法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則，其次是企業(yè)自身章程、制度、辦法等，最后還包括國際條約、國際規(guī)范等。《指南》2014年ISO19600對合規(guī)要求定義為：組織選擇遵守的要求，意為：明示、隱藏或具一定義務(wù)的須要。

合規(guī)工作具體事項，《指引》列舉建立、設(shè)計、識別、審閱、應(yīng)對、追責(zé)、考評、培訓(xùn)等要素，可與美國政府《合規(guī)承諾框架》、《有效性評價指南》OECD《內(nèi)控、道德和合規(guī)的最佳行動指南》相參照。

二、內(nèi)審、內(nèi)控、風(fēng)管的發(fā)展

內(nèi)審、內(nèi)控、風(fēng)管是公司內(nèi)部管理需要和外部競爭，二者結(jié)合產(chǎn)生之行為與概念。

1.內(nèi)部審計。

傳統(tǒng)監(jiān)管主導(dǎo)型內(nèi)審，以監(jiān)控為基礎(chǔ)，對財報和管理進(jìn)行再確認(rèn)的審計?，F(xiàn)代內(nèi)部審計為服務(wù)主導(dǎo)型，以改善運營為出發(fā)點，參與至公司運營的審計。監(jiān)管型內(nèi)審多運作于后端，服務(wù)型內(nèi)審會向中端和前端擴展。前者側(cè)重于發(fā)現(xiàn)和糾偏，后者側(cè)重于建議和優(yōu)化。

兩者出發(fā)點和側(cè)重點不盡相同，監(jiān)管型內(nèi)部審計往往運作于后端，服務(wù)型內(nèi)部審計會向中端和甚至前端擴展。前者側(cè)重于發(fā)現(xiàn)和糾偏，后者側(cè)重于建議和優(yōu)化。

2.內(nèi)部控制。

內(nèi)控源自內(nèi)部牽制概念。最狹義內(nèi)控是指運營過程中業(yè)務(wù)操作執(zhí)行遵守規(guī)程。最早體系化理論見于1949年美國注冊會計師協(xié)會（AICPA）所發(fā)布《內(nèi)部控制：系統(tǒng)性統(tǒng)籌要素，對管理機關(guān)與注冊會計師的重要意義》。

COSO委員會1992年發(fā)布《內(nèi)部控制整體框架》，內(nèi)控逐步超出原有范疇，提出內(nèi)控是管理過程，由公司內(nèi)部的治理層、管理層、執(zhí)行層共同參與，對合法合規(guī)、財報真實、經(jīng)營效率與效果，三大目標(biāo)提供合理保證。COSO委員會由AICPA、IIA等五家會計師、審計師協(xié)會聯(lián)合設(shè)置，建立初期就存在很強的財務(wù)和審計控制論視角，從控制環(huán)境、風(fēng)險的評估、控制活動、信息與交流、監(jiān)督管理這五個關(guān)鍵元素，建立起防御性規(guī)避舞弊體系。合規(guī)目標(biāo)，作為最為三大目標(biāo)中最基礎(chǔ)的內(nèi)控目標(biāo)，被納入內(nèi)部控制。內(nèi)部審計被視作完善治理中的內(nèi)部監(jiān)督者職能?！秲?nèi)部控制整體框架》在2013年進(jìn)行修訂，并在2016年更新執(zhí)行綱要，在5大關(guān)鍵元素下設(shè)置17個原則，79個關(guān)注事項。

3.風(fēng)險管理（或風(fēng)險管理）。

風(fēng)險是目標(biāo)所要面臨的不確定性。風(fēng)險管理理論化研究始于保險業(yè)，以1932年美國保險業(yè)協(xié)會建立為起點。企業(yè)管理除借用保險行業(yè)風(fēng)險管理既有理論，更多在如何搭建公司層面風(fēng)險管理體系有所表述。

2017年，COSO委員會提出涵蓋五項要素、二十個具體事項的《企業(yè)風(fēng)險管理——與戰(zhàn)略和業(yè)績的整合》基本解決風(fēng)險管理整合框架和內(nèi)部控制整合框架的重疊性。五項要素為：治理要素、戰(zhàn)略目標(biāo)設(shè)定、績效、審閱與修訂、信息溝通與報告，每個要素下設(shè)置數(shù)個單獨具體事項。對比各個具體單獨事項涉及內(nèi)容，原來2004版的“控制活動”要素被排除，回歸內(nèi)部控制框架。

ERM2017更新風(fēng)管定義，不再同于內(nèi)控的過程視角，將風(fēng)險管理由控制規(guī)避風(fēng)險導(dǎo)向朝獲得效益導(dǎo)向轉(zhuǎn)變。

三、合規(guī)與風(fēng)管、內(nèi)控、內(nèi)審整合聯(lián)系構(gòu)建

1.公司治理視角。

以內(nèi)審、內(nèi)控、風(fēng)管為發(fā)展脈絡(luò)的公司治理視角，合規(guī)被整合入風(fēng)管體系。以最新ERM2017為綱領(lǐng)，可以看到治理環(huán)境的總體思維。

首先，風(fēng)管是公司整體行為。公司風(fēng)險來源包含內(nèi)部風(fēng)險和外部風(fēng)險兩大領(lǐng)域，而內(nèi)控設(shè)計也很難處理“管理層凌駕于控制之上”頂層失控危機，所以內(nèi)控可解決公司治理問題小于風(fēng)管范疇。鑒于ERM的2004和ERM2017變化，控制活動作為內(nèi)部控制核心事項而回歸內(nèi)部控制框架，可見“控制活動”為內(nèi)控核心。如最狹義內(nèi)控概念是內(nèi)部牽制，涉及面更窄。

其次，內(nèi)審作為監(jiān)管存在。內(nèi)審存在傳統(tǒng)監(jiān)管型和廣義服務(wù)型，而ERM中，顯然內(nèi)審更多回歸于傳統(tǒng)角色，作為最后監(jiān)控防線而設(shè)計。

合規(guī)有兩個概念，合規(guī)管理和合規(guī)目標(biāo)。內(nèi)控、風(fēng)管，無論是采用三目標(biāo)、四目標(biāo)或我國五目標(biāo)，合規(guī)是基礎(chǔ)。同時，合規(guī)在過程中有一層控制作用，有必要引入三道防線理論，2015年IIA協(xié)會以COSO白皮書形式發(fā)布相關(guān)內(nèi)容，第一道防線為直接管理人員、業(yè)務(wù)部門，實施內(nèi)控措施;第二道防線為合規(guī)、監(jiān)察、風(fēng)管等職能部門監(jiān)管;第三道防線為內(nèi)審部門，進(jìn)行最后獨立確認(rèn)。在治理中存在兩個合規(guī)概念，合規(guī)活動和合規(guī)目標(biāo)。

采用各最狹義概念，繪制成關(guān)系圖：

廣義上，各概念外延均大幅延伸，根據(jù)要素劃分產(chǎn)生大量交互領(lǐng)域，實踐中穿插更為嚴(yán)重，如表1：

2.法律視角。

合規(guī)管理歷史是強化監(jiān)管迫使企業(yè)建立控制體系、規(guī)范管理的內(nèi)化過程。以美國為例，合規(guī)需求首先滿足監(jiān)管，其次在規(guī)避刑責(zé)。因出海企業(yè)的律師合規(guī)服務(wù)和刑事懲罰規(guī)避業(yè)務(wù)成為重要業(yè)務(wù)。建立合規(guī)體系是證明公司和高管的免責(zé)重要手段，是一種由外激勵過程。而內(nèi)審、內(nèi)控和風(fēng)管則成為達(dá)成目標(biāo)的手段，是證明公司合規(guī)體系有效的組成部分。

合規(guī)體系是一個建立、制定、維護、評價、實施的整體體系。結(jié)合美國司法部《公司合規(guī)有效性程序評價指南》、美國財政部《合規(guī)承諾框架》，則形成管理層承諾、風(fēng)險評估、內(nèi)部管控、測試與審計、培訓(xùn)等整體化的合規(guī)體系。對照ERM2017，兩者有大量重疊，這是一種進(jìn)化趨同和相互借鑒。

四、總結(jié)

合規(guī)管理與風(fēng)管、內(nèi)控、內(nèi)審四者關(guān)系，近年逐漸混同原因總結(jié)如下：

1.概念定義在不停流變。

四者定義在不同時期內(nèi)涵不同。如風(fēng)管、內(nèi)控關(guān)系，在ERM的2004和2017間大有不同，內(nèi)審則傳統(tǒng)職能和廣義職能在治理中運用并不相同。合規(guī)是舶來詞，缺少復(fù)合名詞，“合規(guī)目標(biāo)”和“合規(guī)活動”形成混雜，遵從狹義法律法規(guī)還是廣義道德準(zhǔn)則，則有更大分歧。

2.起源不同但演化趨同。

風(fēng)管、內(nèi)控、內(nèi)審發(fā)展脈絡(luò)基于內(nèi)部管理而形成，提升公司能力、強化防范角度。合規(guī)視角，無論是法律懲戒還是減免優(yōu)惠，都源自督促企業(yè)強化，內(nèi)化為文化。起源不同，但都應(yīng)用于企業(yè)管理，而逐漸趨同演化，在概念外延領(lǐng)域相互重合。

3.法律監(jiān)管背景不同。

Compliance規(guī)涉獵廣泛，非明示的成文法能涵蓋，通過整個體系對違反規(guī)范行為進(jìn)行防范。而成文法規(guī)，往往進(jìn)行逐條應(yīng)對更容易形成制度流程控制。因為是外國引入概念，應(yīng)用于成文法環(huán)境，與內(nèi)部控制活動功能混同。

參考文獻(xiàn)

[1]陳瑞華.企業(yè)合規(guī)制度的三個維度——比較法視野下的分析[J].比較法研究，2019，（3）：：61-77.

[2]楊力.中國企業(yè)合規(guī)的風(fēng)險點、變化曲線與挑戰(zhàn)應(yīng)對[J].政法論叢，2017，（2）：3-16.

[3]季衛(wèi)東.為企業(yè)合規(guī)性投石問路[J].財經(jīng)，2008，（20）：58-59.

（作者單位：上海外高橋集團股份有限公司）