合規(guī)管理、法務(wù)管理、風(fēng)險管理、內(nèi)部控制作為企業(yè)營運中不可或缺的工作或職能（為統(tǒng)一表述，以下將每一管理內(nèi)容稱為“體系”），企業(yè)經(jīng)營管理過程中卻對這四大體系的內(nèi)涵仍會存在混淆，原因在于這四大體系存在交叉、重疊。對于企業(yè)而言，不可能安排一撥人負責(zé)法務(wù)，一撥人負責(zé)內(nèi)部控制，再一撥人負責(zé)風(fēng)險管理，不僅因為這樣做的成本很高，還容易造成管理上的混亂。故厘清這四大體系的區(qū)別，進一步探討體系間的融合、協(xié)同，是有意義的。

壹

關(guān)于無處不在的風(fēng)險

人類的祖先自誕生即開始受到自然的折磨，開始了對風(fēng)險的認識和風(fēng)險的管理。傳統(tǒng)風(fēng)險理論將風(fēng)險與損失劃等號，對風(fēng)險的認識較為負面，現(xiàn)代風(fēng)險理論認為風(fēng)險只是目標不能達成的一種可能性，風(fēng)險是事前的概率，損失是事后的結(jié)果。對風(fēng)險是什么，風(fēng)險如何管理這一問題的回答，形成了風(fēng)險管理的理論。從風(fēng)險管理的立場出發(fā)，內(nèi)部控制為風(fēng)險應(yīng)對的手段，法務(wù)管理是法律風(fēng)險的應(yīng)對方案，合規(guī)管理是為了預(yù)防合規(guī)風(fēng)險。

貳

四大體系的出現(xiàn)及演變

（一）內(nèi)部控制與風(fēng)險管理

（1）COSO框架

內(nèi)部控制的控制思想的雛形來源于內(nèi)部牽制。牽制思想最早出現(xiàn)在財政管理（財務(wù)管理）中，在《周禮》體現(xiàn)的西周時代的國庫管理中，便分為了職內(nèi)、職出和職幣三個崗位，分別負責(zé)收入、支出和盤點登記。

20世紀90年代已降，先后經(jīng)歷了內(nèi)部牽制（賬目相互核對，不相容崗位分離）、內(nèi)部控制制度(內(nèi)部會計控制、內(nèi)部管理控制)、內(nèi)部控制結(jié)構(gòu)（控制環(huán)境、會計制度和控制程序）、內(nèi)部控制整體框架（五要素）等不同階段的漫長演變，內(nèi)部控制的體系成熟。為簡潔說明，本文僅從1992年COSO《內(nèi)部控制-整合框架》展開。[1]

反虛假財務(wù)報告委員會于1985年在美國成立[2]，贊助成立COSO委員會，專門研究內(nèi)部控制問題。1992年9月，COSO委員會發(fā)布了《企業(yè)內(nèi)部控制——整合框架》（以下簡稱“內(nèi)控框架1992”），這份框架面世后得到美國證監(jiān)會的認可，指定它作為在美上市公司內(nèi)控體系建設(shè)的指導(dǎo)框架，并被全球范圍內(nèi)的監(jiān)管機構(gòu)和企業(yè)廣泛采用。盡管該框架取得了巨大成功，但改進的建議也一直存在，主要集中于該框架沒有結(jié)合企業(yè)風(fēng)險管理的內(nèi)容。進入21世紀后，美國安然公司的倒閉、世通公司的財務(wù)欺詐，和其他一系列的內(nèi)控失靈案例，使COSO開始思考企業(yè)的管理活動和內(nèi)部控制的局限，并于2004年發(fā)布了《企業(yè)風(fēng)險管理-整合框架》（簡稱“ERM2004”）。COSO可能認為企業(yè)在健全內(nèi)部控制基礎(chǔ)上“添加”部分內(nèi)容便能轉(zhuǎn)向全面的風(fēng)險管理過程，起草ERM2004框架時，沿用了內(nèi)部控制框架。相較于內(nèi)控框架1997，ERM2004增加了一個觀念、一個目標、兩個概念和三個要素。

在內(nèi)部控制框架的基礎(chǔ)上加入新的內(nèi)容以成為風(fēng)險管理框架，從“小魔方”升級為“大魔方”，從而使兩個側(cè)重點、目標各不相同的體系在框架和形式上高度重合，為理論和實踐中對于這兩個體系的關(guān)系的糾纏和爭論留下伏筆。

以上圖片來源于網(wǎng)絡(luò)

2013年COSO發(fā)布修訂后的《內(nèi)部控制—整合框架（2013）》（簡稱內(nèi)控框架2013）。內(nèi)控框架2013保留和延續(xù)了內(nèi)控框架1992的核心概念和魔方的框架，只是通過“原則導(dǎo)向”加“規(guī)則指引”的方式，詳述了企業(yè)內(nèi)部控制的5個要素20個原則以及82個關(guān)注點。此外內(nèi)控框架1992目標設(shè)定中關(guān)注“財務(wù)報告目標”，而內(nèi)控框架2013提出的報告目標包括：運營目標、外部財務(wù)報告、非財務(wù)報告目標、內(nèi)部財務(wù)報告、非財務(wù)報告目標。

2017年COSO第二版企業(yè)風(fēng)險管理框架，即《企業(yè)風(fēng)險管理——整合戰(zhàn)略與績效》（簡稱“ERM2017”）也發(fā)布。兩個版本的風(fēng)險管理框架除了在對企業(yè)風(fēng)險的定義有較大區(qū)別之外，ERM2017可能更致力于擺脫與內(nèi)部控制的關(guān)系，意在闡述除內(nèi)部控制外，企業(yè)應(yīng)當(dāng)在哪些地方來完善自身的風(fēng)險管理系統(tǒng)。[3]

（2）我國風(fēng)險管理和內(nèi)部控制歷程

國資委于2006年6月6日下發(fā)《中央企業(yè)全面風(fēng)險管理指引》，全面風(fēng)險管理工作在中央企業(yè)開展，并從2008年起每年向國資委報送《全面風(fēng)險管理工作報告》。國資委對于企業(yè)風(fēng)險的定義為：

企業(yè)風(fēng)險，指未來的不確定性對企業(yè)實現(xiàn)其經(jīng)營目標的影響。企業(yè)風(fēng)險一般可分為戰(zhàn)略風(fēng)險、財務(wù)風(fēng)險、市場風(fēng)險、運營風(fēng)險、法律風(fēng)險等；也可以能否為企業(yè)帶來盈利等機會為標志，將風(fēng)險分為純粹風(fēng)險（只有帶來損失一種可能性）和機會風(fēng)險（帶來損失和盈利的可能性并存）。

全面風(fēng)險管理，指企業(yè)圍繞總體經(jīng)營目標，通過在企業(yè)管理的各個環(huán)節(jié)和經(jīng)營過程中執(zhí)行風(fēng)險管理的基本流程，培育良好的風(fēng)險管理文化，建立健全全面風(fēng)險管理體系，包括風(fēng)險管理策略、風(fēng)險理財措施、風(fēng)險管理的組織職能體系、風(fēng)險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)，從而為實現(xiàn)風(fēng)險管理的總體目標提供合理保證的過程和方法。

《中央企業(yè)全面風(fēng)險管理指引》中對于風(fēng)險的定義、全面風(fēng)險管理的內(nèi)容以及強調(diào)風(fēng)險管理的全面性和嵌入性“融入業(yè)務(wù)”等認識都是較為超前的。在風(fēng)險管理與內(nèi)部控制方面，也有明確的界定，即內(nèi)部控制是實現(xiàn)全面風(fēng)險管理的手段和方法，這個階段對于企業(yè)內(nèi)部控制體系構(gòu)建、優(yōu)化，尚不屬于中心話題，培養(yǎng)企業(yè)就風(fēng)險收集、評估、管理并解決的能力才是關(guān)鍵。

2008年，財政部發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》，并于兩年后聯(lián)合其他部委發(fā)布《企業(yè)內(nèi)部控制應(yīng)用指引》（下稱“內(nèi)控指引”）。內(nèi)控指引針對企業(yè)開展多層制度、機制、程序、流程構(gòu)想：（1）內(nèi)部環(huán)境類：組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會責(zé)任、企業(yè)文化；（2）控制活動類：資金活動、采購業(yè)務(wù)、資產(chǎn)管理、銷售業(yè)務(wù)、研究開發(fā)、工程項目、擔(dān)保業(yè)務(wù)、業(yè)務(wù)外包、財務(wù)報告；（3）控制手段類：全面預(yù)算、合同管理、信息傳遞、信息系統(tǒng)。內(nèi)控指引事無巨細，花了大量筆墨闡述企業(yè)業(yè)務(wù)管理方面如何實現(xiàn)內(nèi)部控制，較之于COSO的框架更具有可操作性和指導(dǎo)意義。

2012年，在全面風(fēng)險管理工作開展6年之后，國資委發(fā)布《關(guān)于加快構(gòu)建中央企業(yè)內(nèi)部控制體系有關(guān)事項的通知》要求中央企業(yè)向國資委每年報送《內(nèi)部控制評價報告》。盡管在監(jiān)管層面，國資委或財政部對于風(fēng)險管理和內(nèi)部控制的關(guān)系具有一致的認識：

《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引，充分吸收了全面風(fēng)險管理的理念和方法，強調(diào)了內(nèi)部控制與風(fēng)險管理的統(tǒng)一。內(nèi)部控制的目標就是防范和控制風(fēng)險，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略，風(fēng)險管理的目標也是促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略，二者都要求將風(fēng)險控制在可承受范圍之內(nèi)。因此，內(nèi)部控制與風(fēng)險管理二者不是對立的，而是協(xié)調(diào)統(tǒng)一的整體。[4]

但是實務(wù)中對于這兩者間關(guān)系的認識并不是財政部提到的那么清晰：（1）盡管之前在推行全面風(fēng)險管理過程中，內(nèi)部控制已經(jīng)作為組成部分被提出，但卻不能說企業(yè)在全面風(fēng)險管理工作時已經(jīng)進行或完成了內(nèi)部控制體系的建設(shè)；（2）2013年起，中央企業(yè)需要在每年的5月份，單獨提交一份風(fēng)險報告和一份內(nèi)控評價報告，報給國資委不同的部門。這兩個報告的提交，讓“內(nèi)部控制與風(fēng)險管理二者不是對立的，而是協(xié)調(diào)統(tǒng)一的整體”的說法顯得站不住腳。

2019年12月《2020年中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作有關(guān)事項》，文件將內(nèi)部控制、風(fēng)險管理及合規(guī)進行了統(tǒng)籌，并不再要求中央企業(yè)分別報送《中央企業(yè)內(nèi)部控制評價報告》和《中央企業(yè)年度風(fēng)險管理報告》，形成以風(fēng)險管理作為總目標，以內(nèi)控和合規(guī)為抓手的體系。給實務(wù)中兩個體系的爭議做了形式上的解決。

（二）法務(wù)管理

21世紀初，我國國有資產(chǎn)監(jiān)督管理體系尚不完善，國有企業(yè)工作人員法律意識淡薄[5]導(dǎo)致國有資產(chǎn)損失。為扭轉(zhuǎn)這種局面，國務(wù)院國資委通過三個三年目標，在所有中央企業(yè)和地方國有重點企業(yè)內(nèi)都建立健全法律事務(wù)機構(gòu)，提高了企業(yè)防范法律風(fēng)險的能力。

通過第一個三年目標的“建立機制”，到第二個三年目標的“發(fā)揮作用”，再到第三個三年目標的“完善提高”，法務(wù)管理體系開始在企業(yè)中建立，并將法務(wù)管理從傳統(tǒng)的“救火隊”，主要負責(zé)審合同、打官司，逐步轉(zhuǎn)變?yōu)?span id="rpgqdnb" class="candidate-entity-word" data-gid="1164826">經(jīng)營管理的“防火隊”。通過文件的內(nèi)容，我們可以窺見監(jiān)管機構(gòu)對于法務(wù)管理定位在于“企業(yè)法律風(fēng)險的保護屏障”，希望企業(yè)通過法務(wù)管理機構(gòu)和機制建設(shè)全面防控法律風(fēng)險。

（三）合規(guī)管理

對于國際企業(yè)來說，合規(guī)并非新鮮事，很多大型跨國公司特別注重合規(guī)經(jīng)營，很多時候，合規(guī)是有一票否決權(quán)的。對于我國來說，2018年陸續(xù)發(fā)生的中興事件及華為事件，使我國企業(yè)及監(jiān)管機構(gòu)開始對合規(guī)有了前所未有的重視。不管中興還是華為，在風(fēng)險管理、內(nèi)部控制體系建設(shè)方面必然優(yōu)于大部分國內(nèi)企業(yè)，他們都無法應(yīng)對海外運營合規(guī)性，合規(guī)管理的現(xiàn)實需求便出現(xiàn)：

《合規(guī)管理體系指南》的出臺；

國務(wù)院國資委2018年11月發(fā)布實施《中央企業(yè)合規(guī)管理指引（試行）》；

國家發(fā)改委等七部門2018年12月發(fā)布《企業(yè)境外經(jīng)營合規(guī)管理指引》；

國務(wù)院國資委2022年發(fā)布《中央企業(yè)合規(guī)管理辦法》。

根據(jù)《中央企業(yè)合規(guī)管理辦法》，合規(guī)管理指的是企業(yè)以有效防控合規(guī)風(fēng)險為目的，以提升依法合規(guī)經(jīng)營管理水平為導(dǎo)向，以企業(yè)經(jīng)營管理行為和員工履職行為為對象，開展的包括建立合規(guī)制度、完善運行機制、培育合規(guī)文化、強化監(jiān)督問責(zé)等有組織、有計劃的管理活動。

合規(guī)管理，是以有效防控合規(guī)風(fēng)險為目的。故從合規(guī)風(fēng)險管理的角度說，合規(guī)管理從屬于風(fēng)險管理。但從《中央企業(yè)合規(guī)管理辦法》第三條合規(guī)的定義：“企業(yè)經(jīng)營管理行為和員工履職行為符合國家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則，以及公司章程、相關(guān)規(guī)章制度等要求”來說，合規(guī)本身就是目標，不合規(guī)本身就是未達成目標?！吨醒肫髽I(yè)合規(guī)管理辦法》所定義的合規(guī)風(fēng)險其實指代的是不合規(guī)而引發(fā)的風(fēng)險，這個定義本身是不嚴謹?shù)摹ｏL(fēng)險是不確定性對目標的影響，將合規(guī)作為目標，則合規(guī)風(fēng)險的定義為“企業(yè)經(jīng)營管理行為和員工履職行為不合規(guī)的不確定性”。故從這個角度出發(fā)，合規(guī)是企業(yè)級目標，而非風(fēng)險管理的子目標。

合規(guī)，即是，遵守規(guī)則，“規(guī)”內(nèi)涵是“國家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和國際條約、規(guī)則，以及公司章程、相關(guān)規(guī)章制度等要求”。合規(guī)如何做？簡單來說就是意識到哪些規(guī)則需要遵守，如何遵守，在合規(guī)體系搭建中可能還有“外規(guī)內(nèi)化”的過程，即將企業(yè)需要遵守的外規(guī)，內(nèi)化為企業(yè)規(guī)章制度。

叁

四大體系具體區(qū)別

從目標角度，全面風(fēng)險管理目標基本概括其他三大體系的目標；從風(fēng)險防控角度看，四大體系都包含風(fēng)險管理的內(nèi)容，但全面風(fēng)險管理的風(fēng)險是要將企業(yè)經(jīng)營管理過程中所有風(fēng)險控制在可承受的范圍，合規(guī)風(fēng)險、法律風(fēng)險和內(nèi)部控制所提及的風(fēng)險都可以涵蓋在全面風(fēng)險管理的范圍內(nèi)；從工作內(nèi)容/流程角度看，全面風(fēng)險管理、內(nèi)部控制、合規(guī)管理都有風(fēng)險評估-風(fēng)險控制的程序，而法務(wù)管理更強調(diào)風(fēng)險控制程序。

肆

關(guān)于四大體系的融合思考

《關(guān)于全面推進法治央企建設(shè)的意見》提出“探索建立法律、合規(guī)、風(fēng)險、內(nèi)控一體化管理平臺?！薄蛾P(guān)于做好2020年中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作有關(guān)事項的通知》指出，要以“強內(nèi)控、防風(fēng)險、促合規(guī)”為目標，建立以內(nèi)控體系建設(shè)與監(jiān)督制度為統(tǒng)領(lǐng)，各項具體操作規(guī)范為支撐的“1 N”內(nèi)控制度體系?！蛾P(guān)于開展對標世界一流管理提升行動的通知》提出“構(gòu)建全面、全員、全過程、全體系的風(fēng)險防控機制”?！蛾P(guān)于進一步深化法治央企建設(shè)的意見》提出“探索構(gòu)建法律、合規(guī)、內(nèi)控、風(fēng)險管理協(xié)同運作機制，加強統(tǒng)籌協(xié)調(diào)，提高管理效能?！睂τ诜▌?wù)管理、合規(guī)管理、內(nèi)控管理、風(fēng)險管理四大體系的融合，不僅是相關(guān)部門的明確指示，也是企業(yè)降低管理成本的要求。

但是如何融合，卻沒有明確的路徑，原因在于企業(yè)的基本情況、各體系建設(shè)的現(xiàn)狀各不相同。比如：若一個企業(yè)法務(wù)體系較為完善，其余三個體系尚處于初級階段，則從成本原則出發(fā)，必然以法務(wù)體系為基礎(chǔ)，融合內(nèi)部控制、合規(guī)管理的基本思路和要素，再吸收全面風(fēng)險管理的內(nèi)容構(gòu)成該企業(yè)的法務(wù)、風(fēng)險、內(nèi)控、合規(guī)一體化機制。反之若一個企業(yè)已經(jīng)具有相對完善的法務(wù)、風(fēng)險、內(nèi)控、合規(guī)管理體系，那么直接探究四大體系的協(xié)同運作，也不失為一個好辦法。

簡言之，四大體系的融合是大勢所趨，但是融合的具體路徑應(yīng)是以風(fēng)險管理為導(dǎo)向，結(jié)合企業(yè)現(xiàn)狀，查缺補漏，精益求精。

向上滑動閱覽

注釋：

[1] 張煒：《運用制衡原理管理內(nèi)部審計外包服務(wù)》，載于山東審計廳官網(wǎng)：
http://audit.shandong.gov.cn/art/2022/1/13/art_89387_10310504.html.
[2] 發(fā)起人為美國管理會計師協(xié)會、美國注冊會計師協(xié)會、美國會計協(xié)會、財務(wù)經(jīng)理人協(xié)會、內(nèi)部審計師協(xié)會，可以看出現(xiàn)在的“內(nèi)部控制”規(guī)范由財會領(lǐng)域的專業(yè)人員提出.
[3] 深圳普永：《COSO企業(yè)風(fēng)險管理-整合框架：為何采用舊框架進行企業(yè)風(fēng)險管理工作？》，普永咨詢微信公眾號2023年01月13日文章.
[4] 《企業(yè)內(nèi)部控制規(guī)范體系實施中相關(guān)問題解釋第1號》，載于中華人民共和國財政部官網(wǎng)：
https://www.mof.gov.cn/gkml/caizhengwengao/2012wg/wg201204/201207/t20120711_665500.htm?eqid=aa4cf9d60006d25a00000004645c4510.
[5] 《國資委：將用三年構(gòu)建國有資產(chǎn)監(jiān)管法規(guī)體系框架》，載于中國新聞網(wǎng)：
https://www.chinanews.com/news/2005/2005-07-26/26/604123.shtml.

作者：姜南 北京浩天（貴陽）律師事務(wù)所執(zhí)業(yè)律師，言若商業(yè)·合規(guī)律師團隊成員，貴陽市律師協(xié)會企業(yè)合規(guī)專委會副秘書長，專業(yè)領(lǐng)域：企業(yè)合規(guī)體系建設(shè)、投資并購、商業(yè)盡職調(diào)查、企業(yè)常年法律顧問、合同爭議解決。

聲明：本文為作者原創(chuàng)，首發(fā)于公眾號“言若商業(yè)合規(guī)律師”，文章內(nèi)容僅為作者觀點，不代表「無訟」立場，不作為針對任何個案的法律意見。

-End-