浅析几种风险防范工具方法的关系

摘 要：经营企业就是经营风险，市场经济也是法治经济，要建成具有全球竞争力的世界一流企业，必须更加重视风险防范。善用法务、合规、内控、风控、审计等工具方法，切实筑牢不发生重大风险的底线，为做强做优做大国有企业提供强有力的支撑和保障！

关键词：风险防范 法务 合规 内控 风控 内审

党的十九大报告提出了培育具有全球竞争力的世界一流企业的要求，这是新时代国有企业改革发展的使命责任和根本目标。要建成具有全球竞争力的世界一流企业，必须更加重视风险防范，善用风险防范工具方法，切实筑牢不发生重大风险的底线。目前较为常见的风险防范工具方法包括：法务、合规、内控、风控、审计等，它们之间是一种什么样的关系呢？

一、企业法务、合规、内控、风控、内审的基本特征

1.法务。现代企业立足市场，必然要面对来自方方面面的风险，诸如合同行为风险、资本运作风险、知识产权风险、人力资源风险、环境保护风险、税务筹划风险、公共关系风险和诉讼仲裁风险，等等。如何防范这些风险，从根本上预防潜在的风险变成现实的灾难，防患于未然，这就需要建立企业法律风险管理服务机构，健全企业法律风险管理体系。大型企业通常会设立法律法规室或法律事务部，负责处理日常法律事务。

2.合规。国际标准化组织于2014年12月15日发布了ISO19600《合规管理体系—指南》，对“规”的定义是：组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。合规义务信息应包括合规要求，可包括合规承诺。前者包括监管机构制定发布具有强制性的法律法规、监管条规等，后者包括组织与社区、公共权力机构、客户签订协议、组织要求、政策、程序、自愿原则、规程、环境承诺等。

广义“合规”有三层含义，第一层是企业在生产经营过程中要遵守法律法规，即企业要遵守总部所在国和经营所在国的法律规定及监管规定;第二层是企业经营要遵循内部规章制度，包括商业行为准则等制度;第三层是企业员工要遵守职业操守和道德规范等。而狭义“合规”则是指企业应遵守反商业贿赂等方面的规定。

综上，合规的“规”应按三层涵义来理解：第一层是具有强制性的法律法规，即企业总部所在国和经营所在国的具有强制性的法律规定及监管规定;第二层是企业在生产经营活动中写入规章制度的对相关方（客户、股东、监管方、员工等）的自愿性承诺;第三层是企业员工要遵守职业操守、道德规范、公序良俗等，尽管这些不是强制性的，但在社会活动中已为大众认同。合规风险即企业集体行为和代表企业的个人行为是否遵守合规的“规”的不确定性。

3.内控。从合规的“规”的三层含义看，第一层合规风险和第三层合规风险已全部包含了企业内控风险的内容。

4.风控。风控即全面风险控制。2004年COSO提出了企业风险管理整体框架，对企业风险管理的定义是：“企业风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”这里对企业风险管理的定义依然有内控的太多痕迹。实际上，企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险，等等。

5.内审。内审是一种独立、客观的保证和咨询活动，目的在于为企业增加价值和提高运营效率。通过系统化和规范化的方法，评价和改进风险管理，控制和治理程序运行的效果，帮助企业实现目标。从概念上分析，内审是对内控、风险管理与治理进行评价，确保企业正常运营，且不偏离目标。

二、内控、风控、内审三者的关系

1.内控是点，风控是线，内审是用线把点串成面

就集团内部管理而言，内控、风控、内审三者有一定的关系与作用。

内控是风控和内审的基础，是风控、内审的根源和根本，处在整个风险防范系统的前端。内控是事前控制，因为制度和流程是为管理而生的，是为防止企业管理出现问题和错漏而制订的。

风控则处于中端，是事中控制的范畴。它能为内审提供逻辑和方向，为内审确定问题（即评估后的风险），为确定审计方向（目标）提供精准定位。风控主要在事中进行分析评价，当然事前也可以。风险评价的基本内容也是内部控制措施和制度流程，作业过程的风险就属于事中控制;即便事后分析风险也是为了事中的管控。

内审是通过确认和咨询等方式，对企业运营、内控、风控和公司治理进行评估与评价，以保证企业的各项业务工作按照既定目标和标准，不偏不倚地完成战略目标。就三者关系而言：内审在前两者之后，是根据风险提示或结果对内控相对应节点（关键控制点）进行确认，确认风险是否存在，是否产生损失，是否可化解或转移。按照这个过程，内审就是事后的确认与评估，属事后控制的范畴。

从控制方式上分析，内控、风控、内审三者是“基础——分析——评估”的递进关系和因果关系。简而言之，内控是点，风控是线，而内审则是用线把点串起来组成面。

2.内控、风控、内审都是战略目标导向

内控、风控、内审都是基于治理、监管等因素下的“产品”，持续追溯风险产生的动因。

从内部角度分析，所有权与经营权两权分立是重要的因素之一。从外部角度分析，企业运营要遵循总部所在国和经营所在国的法律法规。

内控、风控、内审对企业运营是一种制衡，包括对人的制衡、对事的制衡、对利益的制衡，制衡之外则是促进企业健康发展。

內控、风控、内审可以说是企业的“防火墙”或“保健医生”。内控、风控、内审的落脚点要导向企业的战略目标、远景、规划，从近处说，则要服务企业某阶段的发展目标，从这个角度分析，内控、风控、内审的目标导向是一致的。

总之，经营企业就是经营风险，市场经济也是法治经济。只要我们牢固树立风险防范意识，充分发挥党建的引领作用，善用风险防范工具方法，完善风险防范体系，就一定能把国有企业做强做优做大！

作者简介：

何信文，男，湖北潜江人，1965年2月出生。1986年7月毕业于华中科技大学电气自动化专业。研究员，副总。长期在中船重工第七一研究所从事海洋装备研究与开发，以及人力资源管理、法务管理、企业经营管理等工作。曾借调原国防科工委工作，挂职中船重工集团总部。获国家科技进步二等奖等7项科研成果奖，获专利授权近10项，发表科技论文、管理论文100余篇。