《内审、合规、内控、风控之间的关系.docx》由会员分享,可在线阅读,更多相关《内审、合规、内控、风控之间的关系.docx(32页珍藏版)》请在第一文库网上搜索。
1、内审.合规.内控.风控之间的关系内部控制、合规管理、风险管理、风控、内审之间是什么关系?它们之间有什么区别?一.从各自概念及本源理解其区别风险管理是一种以企业整体视角来对组织所有风险的识别、评估和控制不确定性因素的方法,它通过对内外部各类风险的全面评估和综合管理,包括风险识别、风险评估、风险控制、风险监测与风险报告等环节,旨在确保公司能够在不同风险下实现可持续的业务增长,帮助企业实现其目标并增强企业价值。这意味着在风险管理中,除了关注财务风险之外,还需要考虑其他类型的风险,如战略风险、市场风险、声誉风险等。围绕各项风险管理,需要企业组织制定风险管理流程、建立风险管理组织职能体系、培育企业风险管
2、理文化、明确风险管理策略,有效贯彻内部控制措施等。简单理解,风险管理要求企业站在企业发展战略高度与视角,审视企业在该业务发展战略下所面临的各项风险,每项风险的水平如何,各项风险应执行什么样的应对策略,以及对各类风险如何进行有效的动态监控和报告。可以说,风险管理协助企业解决“做正确的事。风控侧重于防范可能会损害企业经营目标的特定风险,以保护企业组织不受潜在损失的影响。它通常始于对特定风险的评估,并采取适当的风险规避、缓解或转移策略。大白话来说,就是企业开展一项经营活动或作出一项重大决策时,首先要对该项活动或决策面临的风险进行识别和评价,评估该项活动或作出的决策产生的风险是否与自己的风险偏好相符,
3、是否超出自己的风险承受能力,若超出,可能到此就结束了。若未超出,则在风险评估基础上,提出风险管理策略及具体措施,并在业务活动或决策执行过程中,对评估的风险还要进行持续的跟进,监测风险是否超出自己的可承受范畴。风控解决的是企业在某一具体领域要做正确的事”,本质上与风险管理类似。一般来讲风控主要在金融业中广泛应用,在银行、证券、保险等领域发挥着重要的作用。内部控制是企业组织为实现各项经营管理目标而在企业内部所制定的一系列政策、程序及实施办法或制度,以合理保证企业正常运作,减少出现错误与失误、防止资产丢失和诈骗等问题发生。内部控制侧重于过程控制,防范的是企业内部可能面临的各项风险。大白话就是企业内部
4、每一项业务活动,具体要做什么(what)、谁(Who)来做什么时候(When)做、如何(howX故、需要多少资源(howmuch)做,做的时候需要形成什么记录(evidence),以及为何(why)要这样做,解决是如何正确的做事”。合规管理指企业在开展经营活动时,遵守相关法律法规和行业规范,保证企业运营合法、正常、规范的管理制度和流程。企业通过合规管理,可以有效降低企业面临的法律风险,同时也可促进企业可持续发展和社会形象的提升。合规管理涉及的面是比较广泛的,常见的包括:法律合规,即遵守国家法律法规和行政规章,特别是关于企业经营的相关法律法规;财务合规,即按照财务报表编制规则和会计准则进行财务核
5、算和报告,确保财务信用良好;知识产权合规,即保护企业知识产权,确保符合相关法律法规和行业规范;数据隐私合规,即确保客户信息和员工信息得到妥善保护,并遵守数据保护法律法规;安全环保合规,即遵守环境保护和安全生产方面法律法规和行业规范,加强企业环境安全和安全生产管理等。说的简单点,企业开展一项经营活动时要执行合规风险评估,首先要关注执行该项活动要遵守的相关外部法律法规有哪些,有哪些政策法规禁止的事项,哪些是法律规定所允许的范围;其次是评估执行该项活动的合规成本,若成本太高,可能到此也就结束了。若可接受,接下来就是考虑在合规遵循基础上如何经营开展。可以说,合规管理解决的是企业不做禁止的事,以及如何在
6、合规框架内有效做事,此处需要结合内部控制手段来实现。企业内部审计是指由专门的内部审计组织对企业内部运营、管理和控制体系进行独立性、客观性和全面性的审计与评价,履行内部监督角色。内审的范畴也比较广泛,包括财务和会计、运营和流程、风险管理和内部控制、合规性等方面。内审相比于前面内部控制、风险管理、风控、以及合规管理,最大的特点是其独立性与客观性。打个比方,内审可以比喻为裁判,而内部控制、风控及合规等可以比喻为运动员,裁判与运动员需要分开,运动员执行各项动作合不合规、合不合理、是否存在隐患等,应通过裁判员独立、客观和公允评价,而非运动员自己说了算。可以说,内部审计帮助企业解决的是事情做的是否正确、是
7、否有效。一般具备一定规模和条件的企业组织,会专设内部审计部门或岗位,承担此项职能。二、从本源识别其之间的关系风险管理、内部控制、风控、合规管理和内部审计职能之间虽存在区别,但也存在联系,很多时候需要其职能协同以发挥价值。首先是目标一致。不管风险管理、内部控制、风控还是合规管理等,都属于企业经营管理体系的一个重要组成部分,都为企业经营管理服务,虽然各自目标可能有所差异,但最终都以实现企业战略和商业价值为目标。其次是存在包含关系。1)风险管理是一种包括风险识别、评估、监测和控制在内的系统性方法,旨在确保公司能够在不同风险下实现可持续的业务增长。因此,风控是风险管理的重要组成部分,专注于预测和规避某
8、些风险的损失。2)内部控制是指企业通过设计和实施具有适当安排的管理流程和控制程序,以及建立有效的内部控制机制来保障企业正常运作,减少出现错误与失误、防止资产丢失和诈骗等问题的发生。内部控制是风险管理措施的具体化,因此风险管理包含内部控制,同时内部控制可以更好的促进风险管理和风控职能的发挥。3)合规管理是指企业依法依规经营,在业务运营过程中符合法律、法规、政策等规定,遵循商业道德和正义原则,保护公司声誉和客户利益。它对风险管理和内部控制都有着至关重要的影响,一个完善的合规管理体系可以有效地减少公司面临的法律诉讼、罚款等合规风险。风险管理包含合规风险范畴,通过内部控制将外规内化外为内规,可以有效降
9、低合规风险发生可能性。4)内部审计可以帮助公司确定风险和内部控制方案的有效性,以及合规性程度,从而为风险管理和内部控制提供反馈与建议,并且改进企业内部流程和控制。最后是管理思路一致。风险管理、合规管理和内部控制都遵循风险识别、风险评价、风险管控、风险控制效果监督与评价的管理闭环;风险管理和合规管理建设最终均以内部控制作为落脚点和重要抓手,内部控制需要以防风险和促合规为导向;风险管理、合规管理和内部控制均需要与企业业务流程相融合,嵌入企业经营管理活动中。以投资活动为例介绍各项职能如何与业务活动有效结合。首先是企业组织一般会针对投资项目管理制定专门的工作流程和规章制度,明确投资项目主责部门、相关协
10、同配合部门,概述投资活动所要关注的常见风险类型、投资活动开展的基本原则、基本程序或整体业务流程,以及每个流程环节所注意的基本事项。即企业风险管理和内部控制所需要解决的问题。其次是开展某一投资活动前,要开展投资项目尽调,识别投资标的可能存在的风险,分析风险大小,评估风险是否超出企业投资风险可承受能力,以及决定是否要参与这项投资,此处即为投资风控职能,风控职能嵌入投资尽调和可行性分析论证环节。再次是投资实施后,投资项目在运行过程中,投资部门会持续关注投资项目实际效益,是否达到预期,以及投资项目是否存在异常风险,若存在则会触发风险应急机制,此处同样是风控职能的体现。最后是投资项目处置或评价阶段,按照
11、内控制度规定,投资部门需要对投资项目进行定期评价,评估其效益如何如何,同时内部审计部门也可能会履行内审职能,对投资项目从投资项目前期尽调、风险评估及决策论证、投资实施以及投资最终效益等进行评价或审计,出具评价或审计报告。即从事后视角利用审计职能去监督或评价一项业务活动的实际效果。内审.合规.内控.风控之间的关系一、内审这四者关系中,最能拎得清的就是内审了,毕竟历史发展悠久(西周),而且制度建设完善,内部审计部门也被大多数组织接受。内审与“合规、内控、风险”的关系界限相对明确,内审仍旧是提供独立客观的评估,有时也会参与至合规、风控和风险管理的设计中来,相对来说,内审是最独立,也是最易分辨的。这里
12、就不唠叨了,毕竟很多人清楚内审是怎么回事!二、内控关于内部控制,现成的理论也是一堆一堆的,几乎所有人都认为内控很重要,连上市公司也要求内控自评,看似很规范!但是,如果不是为了应付来自政策或市场监管的压力,有几个公司愿意单独设置一个“内控部”?为什么不愿意呢?恰恰是它管得太宽了,也太深了,但是,专业度跟不上。1.内部控制包括的几个要素,从环境到运营都有,几个管理目标也高大上,这就存在一个问题:你做得宽了,还能做深吗?企业中,内控制度一大堆,但最终还是得靠专业人士来执行,但人家专业人士有自己的管理模式,有自己的专业要求,有自己的业务特色,其专业性控制比内控制度更实用。有人说,让“内控部门”把各类专
13、业制度流程都整合好不就行了吗?确实是可以!但是像这样的全才和专才上哪儿找?难道在“内控部门”中再组建一个管理团队吗?这也是内控的尴尬之处!所以,企业中设置“内控部”,很难起到管理改进的效果。有的时候,甚至会浪费更多资源,增加无谓的工作量。另一方面,内部控制对于来自组织外部的风险,很难发挥作用!三、合规有人把“合规”当成组织运营中最核心,最基础的部分,这样理解也没大毛病,因为他只考虑了硬性的“规矩”。有很多组织,专抓内部“合规”管理,重心是某项制度的执行,比如:预算执行!实务中,也有很多企业会设立“法务合规部”,合规管理纯粹由法务人员来执行,主要应对法律风险。合规能对内又能对外,那我们应该怎么理
14、解合规呢?这就需要我们先把一个概念理清楚:“合规”到底合的是什么“规”?1 .往大里说,这个“规”包括国家法律法规、行业规范和惯例、组织内部制度流程、企业文化要求等,这样一说,合规范围就大了去了。这一变大,再说它只是最基础、最核心的要求,就有点儿勉强了。另一方面,合规即包括“建立”规矩,也包括“监督”规矩,这又涉及到了内控管理和风险管理。2 .要是往小里说,组织内建一个合规部,可能只针对某一项风险,比如法律风险,比如金融操作合规等。总之,对合规的定位,可大可小!这就存在一悖论:组织设立一个“合规部”,如果只管一块业务的话,有点儿浪费;要是管得宽了吧?业务又太多,还会和内控和风险管理打架,引起管
15、理混乱!最终,它不得不沦为一个鸡肋:食之无味,弃之可惜。可以预见,如果单独设立了合规部,该部门未来也会慢慢被“边缘化”!四、风险管理近几年,风险管理是最为火爆的一个话题,很多企业有“先见之明”,早早搭建了“风控体系”,且设立单独的管理部门:风险中心。甚至将法务、审计、质检岗、安全岗全部纳入到“风险中心”里面。但是,实务中,无论在多大的组织里,真正做风险管理的也就那么一两个人!庞大的“风控中心”往往是:身子大,脑子小!像笨拙的食草长颈龙一样!其涵盖内容怎么样?1 .往大里说。风险真的是无处不在,在地球上,无论什么人,什么事儿,都会存在各种不确定性,不确定性就是风险!所以,风险管理也就无所不包:内
16、部管理、外部环境,人财物、吃穿住行等等!只要能想到的,都可以纳入到风险管理体系中来。于是,各种各样的风险管理制度、风险矩阵、评估方法都冒出来了。但是,时间一长,很多人会发现,风控做的范围越广,风控措施越可能沦为一纸文书,越缺少操作性。2 .反而,做得专一的人更有潜力。比如,有些企业的“风险部”专审核各类内部签批手续,重点把控收支风险。有的企业专职做“资金风险”,专管投融资。这些业务定位专一,范围更窄的,反而更具有生命力。五、大乱斗如果在一个企业中,有内审部、合规部、内控部和风险部,那四者之间怎么相处呢?一个小故事!经济在发展,市场在成熟,但是猪老板觉得生意越来越难做了:今天员工出事儿,明天顾客闹事儿,一会儿产品又出问题,一不小心又得罪了税局、工商局等政府部门。这些“意外”之事,总是让猪老板
免费区 
