法 務
現代企業立足市場,會面對來自方方面面的風險,諸如合同行為的風險、資本運作的風險、知識産權的風險、人力資源的風險、環境保護的風險、稅務籌劃的風險以及公共關系的風險和訴訟仲裁的風險等等。如何防範這些風險以達到保障企業安全運營的目的,從根本上預防潛在的風險變成現實的災難,防患于未然,這就需要建立企業法律風險管理服務機構,健全企業法律風險管理體系。大型企業往往會在内部設立法律法規室或法律事務部,以處理企業的日常法律事務。
鑒于公司的設立往往是以盈利為目的,在企業内部設立法務部門也是基于降低風險、減少損失、維護公司合法利益為出發點,因此企業法務以一切服務于公司業務、服務于生産經營為根本宗旨,以擴大服務範圍、提高服務水平作為根本任務,也是就通常所說的服務于業務部門工作。
合 規
國際标準化組織(ISO)在2014年12月15 日發布了國際标準ISO19600《合規管理體系-指南》對“規”有定義:組織宜以适合其規模、複雜性、結構和運營的方式制定“合規義務”文件。合規義務信息應包括合規要求,可包括合規承諾。前者包括監管機構制定發布具有強制性的法律法規、監管條例規定等,後者包括組織與社區、公共權力機構、客戶簽訂的協議、組織要求、政策、程序、自願原則、規程、環境的承諾等。
廣義的“合規”,有三層含義,第一層是企業要在生産經營過程中要遵守法律法規,即企業要遵守公司總部所在國和經營所在國的法律規定及監管規定;第二層是企業經營要遵循企業内部規章制度,包括企業商業行為準則的規章;第三層是企業員工要遵守良好的職業操守和道德規範等。狹義的合規是指企業遵守反對商業賄賂方面的規定。
結合以上,合規的“規”應該按照三層涵義來正确理解:第一層是具有強制性的法律法規,即企業總部所在國和經營所在國的具有強制性的法律規定及監管規定;第二層是企業在生産經營活動中寫入企業規制的對相關方(客戶、股東、監管方、企業内部員工等)的自願性承諾;第三層是企業要遵守良好的職業操守和道德規範、公序良俗等,這些不是強制性的,但在社會活動中普遍為大衆所認同。
合規風險即企業組織集體行為和代表企業組織的個人行為是否遵守合規的“規”的不确定性。
從合規的“規”三層含義看,第一層合規風險和第三層合規風險就全面包含了企業内部控制風險内容
風 控
企業風控即企業全面風險控制。2004年COSO繼續提出了企業風險管理整體框架,定義企業風險管理:“企業風險管理是一個過程,受企業董事會、管理當局和其他員工的影響,包括内部控制及其在戰略和整個公司的應用,旨在為實現經營的效率和效果、财務報告的可靠性以及現行法規的遵循提供合理保證。”這個對企業風險管理的定義依然有内部控制的太多痕迹。實際中,企業風險包括市場宏觀政策風險、客戶偏好風險、合規風險、技術風險、質量風險、履約能力風險等。
内 審
内部審計是一種獨立、客觀的保證和咨詢活動。其目的在于為組織增加 價值和提高組織的運作效率。它通過系統化和規範化的方法,評價和改進風險管理、控制和治理程序的效果,幫助組織實現其目标。
從概念上分析,内部控制也有監督評價的内容;内部審計是對内部控制、風險管理與治理進行評價,确保組織正常運營,保證不偏離公司目标。
内控、風控、内審的關系
在集團内部管理而言,三者關系有一定的關系與作用。内部控制是風險管控和内部審計的基礎,是風控和内審的根源根本,處在整個控制系統的前端。而風險管理則處在中端,它能為内部審計作業提供邏輯和方向,為内部審計确定問題(即是評估後的風險),确定審計方向(目标)提供精準定位。
内部審計是通過确認和咨詢的方式,對企業運營、内部控制、風險管理和公司治理進行評估與評價,以保證企業各項業務工作按照既定目标和标準,不偏不倚地完成公司目标。
從控制方式上分析:内控、風控、内審三者是"基礎一分析一評估"遞進關系、因果關系。從控制方式方面總結,内部控制是事前控制,因為制度與流程是為管理而生,為防止企業管理出現問題和錯漏而制訂。所以,它是事前預防和控制範圍;
風險管理,主要在事中進行分析評價,當然事前也可以,風險評價的基本和内容也是内部控制和制度流程,作業過程的風險就屬于事中控制;就算事後分析風險也是為了事中的管控。所以,個人認為風控是事中控制的範疇。
内部審計,從三者關系而言:内審工作已經在前兩者之後,是根據風險提示或結果,對内控相對應節點(關鍵控制點)進行确認,确認風險是否存在,是否産生損失,是否可化解或轉移,按照這個過程,内審就是事後的确認與評估,屬事後控制範疇。
PS:内控是點,風控是線,内審是用線把點串起來組成面。
一、風險管控的層級:合規-内控-風控
(1)合規是“打基礎”
合規的核心:“确保公司各項生産經營活動遵循内外部的法律、制度、條例、規範、指引等”
合規的産出:合規可以起到最基本的抑制操作風險的作用
合規的短闆:隻能發現問題而不能解決問題
(2)内控是合規的“最高等級”
内控的核心:不但要求合規,還要考察“規”的狀态(是否完善、是否有配套指引、執行過程是否完善)
内控的重點:與合規相比,合規注重結果,内控重視過程。并在此基礎上發展較完善的工具和方法(COSO框架)
内控的優點:内控是抑制操作層面風險的最佳手段
内控的缺點:内控對需要站在一定管理高度的風險(如戰略風險等)無能為力。(例如内控無法衡量資本市場波動會給公司帶來多大風險)
(3)風控管理是風險管控的“最高形式”
風控管理的核心:“兩個必須”
必須把風險管理的職能提升到高級管理層
必須設立獨立于業務部門的風險管理部門
公司内各類風險相對分散、獨立,設立統一的部門,站在管理層的高度來對風險進行檢視,才能避免“頭痛醫頭腳痛醫腳”。
二、風控與内控的異同
(1)相同點
風控與内控本質上都是通過評估、防範、控制企業風險,從而促進企業經營目标的實現。
(2)不同點
第一兩者審視風險的角度不同
風控主要圍繞企業戰略經營目标,“自上而下”地辨識、評估、分析風險,并提出風險預警防範和應急管理的策略和措施。
内控主要從流程合規、反舞弊角度出發,“自下而上”地診斷招标采購、銷售、資金等具體運營流程中的内部控制缺陷,并進行整改。
風控好比企業的“保健醫生”,主要職責是“治未病”。内控好比企業的“急診醫生”,主要職責是“治已病”。
第二兩者處置風險的工具不同
風控主要采用風險地圖、流程數據分析、調查問卷、控制分析、專家評分等工具。随着企業信息化程度的逐漸提高,以數據分析為核心的量化風險分析、風險評估指标體系(如REI指數)等越來越受到重視。
内控主要采用例行審計、專項審計、合規檢查等形式,主要使用穿行測試、控制測試等工具,診斷重點業務、重要流程的内部控制設計及運行缺陷。
目标導向一緻:戰略目标導向
内審、内控、風控都是基于治理、監管等因素下的“産品”,繼續追溯産生的動因。
從内部角度分析,兩權分立(所有權與經營權)是重要的因素之一,從外部角度分析,組織運營要滿足法律法規遵循性的要求。
内審、内控和風控對公司的運營就是一種制衡,對人的制衡,對事的制衡,對利益的制衡,制衡之外是對組織健康發展的一種促進。
來源:E法務;如涉及版權請與我們聯系,謝謝!
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!