公司存在的目的:生存、发展、获利。公司要实现其目的,内审、内控、法务、风控可以说是公司的“防火墙”、“保健医生”。每个职能的落脚点要导向组织的战略目标、远景、规划,从近处说,要服务组织某阶段的发展目标(短期目标),从这个角度分析,三者目标导向是一致的。
01
法务
现代企业立足市场,会面对来自方方面面的风险,诸如合同行为的风险、资本运作的风险、知识产权的风险、人力资源的风险、环境保护的风险、税务筹划的风险以及公共关系的风险和诉讼仲裁的风险等等。如何防范这些风险以达到保障企业安全运营的目的,从根本上预防潜在的风险变成现实的灾难,防患于未然,这就需要建立企业法律风险管理服务机构,健全企业法律风险管理体系。企业往往会在内部设立法律法规室或法律事务部,以处理企业的日常法律事务。
在企业内部设立法务部门也是基于降低风险、减少损失、维护公司合法利益为出发点,因此企业法务以一切服务于公司业务、服务于生产经营为根本宗旨,以扩大服务范围、提高服务水平作为根本任务,也是就通常所说的服务于业务部门工作。
现代企业立足市场,会面对来自方方面面的风险,诸如合同行为的风险、资本运作的风险、知识产权的风险、人力资源的风险、环境保护的风险、税务筹划的风险以及公共关系的风险和诉讼仲裁的风险等等。如何防范这些风险以达到保障企业安全运营的目的,从根本上预防潜在的风险变成现实的灾难,防患于未然,这就需要建立企业法律风险管理服务机构,健全企业法律风险管理体系。企业往往会在内部设立法律法规室或法律事务部,以处理企业的日常法律事务。
在企业内部设立法务部门也是基于降低风险、减少损失、维护公司合法利益为出发点,因此企业法务以一切服务于公司业务、服务于生产经营为根本宗旨,以扩大服务范围、提高服务水平作为根本任务,也是就通常所说的服务于业务部门工作。
02
合规
广义的“合规”,有三层含义,第一层是企业要在生产经营过程中要遵守法律法规,即企业要遵守公司总部所在国和经营所在国的法律规定及监管规定;第二层是企业经营要遵循企业内部规章制度,包括企业商业行为准则的规章;第三层是企业员工要遵守良好的职业操守和道德规范等。狭义的合规是指企业遵守反对商业贿赂方面的规定。
结合以上,合规的“规”应该按照三层涵义来正确理解:第一层是具有强制性的法律法规,即企业总部所在国和经营所在国的具有强制性的法律规定及监管规定;第二层是企业在生产经营活动中写入企业规制的对相关方(客户、股东、监管方、企业内部员工等)的自愿性承诺;第三层是企业要遵守良好的职业操守和道德规范、公序良俗等,这些不是强制性的,但在社会活动中普遍为大众所认同。
合规风险即企业组织集体行为和代表企业组织的个人行为是否遵守合规的“规”的不确定性。
从合规的“规”三层含义看,第一层合规风险和第三层合规风险就全面包含了企业内部控制风险内容。
03
风控
04
内审
内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加 价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理程序的效果,帮助组织实现其目标。
从概念上分析,内部控制也有监督评价的内容;内部审计是对内部控制、风险管理与治理进行评价,确保组织正常运营,保证不偏离公司目标。
05
内控、风控、内审的关系
06
合规、内控、风控的关系
一、风险管控的层级:合规-内控-风控
(1)合规是“打基础”
合规的核心:“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”
合规的产出:合规可以起到最基本的抑制操作风险的作用
合规的短板:只能发现问题而不能解决问题
(2)内控是合规的“最高等级”
内控的核心:不但要求合规,还要考察“规”的状态(是否完善、是否有配套指引、执行过程是否完善)
内控的重点:与合规相比,合规注重结果,内控重视过程。并在此基础上发展较完善的工具和方法(COSO框架)
内控的优点:内控是抑制操作层面风险的最佳手段
内控的缺点:内控对需要站在一定管理高度的风险(如战略风险等)无能为力。(例如内控无法衡量资本市场波动会给公司带来多大风险)
(3)风控管理是风险管控的“最高形式”
风控管理的核心:“两个必须”
必须把风险管理的职能提升到高级管理层
必须设立独立于业务部门的风险管理部门
公司内各类风险相对分散、独立,设立统一的部门,站在管理层的高度来对风险进行检视,才能避免“头痛医头脚痛医脚”。
二、风控与内控的异同
(1)相同点
风控与内控本质上都是通过评估、防范、控制企业风险,从而促进企业经营目标的实现。
(2)不同点
第一两者审视风险的角度不同
风控主要围绕企业战略经营目标,“自上而下”地辨识、评估、分析风险,并提出风险预警防范和应急管理的策略和措施。
内控主要从流程合规、反舞弊角度出发,“自下而上”地诊断招标采购、销售、资金等具体运营流程中的内部控制缺陷,并进行整改。
风控好比企业的“保健医生”,主要职责是“治未病”。内控好比企业的“急诊医生”,主要职责是“治已病”。
第二两者处置风险的工具不同
风控主要采用风险地图、流程数据分析、调查问卷、控制分析、专家评分等工具。随着企业信息化程度的逐渐提高,以数据分析为核心的量化风险分析、风险评估指标体系(如REI指数)等越来越受到重视。
内控主要采用例行审计、专项审计、合规检查等形式,主要使用穿行测试、控制测试等工具,诊断重点业务、重要流程的内部控制设计及运行缺陷。
目标导向一致:战略目标导向
内审、内控、风控都是基于治理、监管等因素下的“产品”,继续追溯产生的动因。
从内部角度分析,两权分立(所有权与经营权)是重要的因素之一,从外部角度分析,组织运营要满足法律法规遵循性的要求。
内审、内控和风控对公司的运营就是一种制衡,对人的制衡,对事的制衡,对利益的制衡,制衡之外是对组织健康发展的一种促进。
转载于:审计经理人