合规、内控及风控体系本质上都是为企业经营发展所构筑的“防火墙”，但这三者之间到底有何异同？尤其是在企业实践中如何对这三个体系进行融合，落实到职能设置中？本文结合中和企略管理的研究及咨询实践，给出建议解决方案。

  合规是指企业经营管理行为和员工履职行为符合国家法律和法规、监管规定、行业准则和国际条约、规则，和公司章程、相关规章制度等要求。

  广义的“合规”，有三层含义，第一层是企业在生产经营过程中要遵守的公司总部所在国和经营所在国的具有强制性的法律规定及监管规定；第二层是企业经营要遵循商业行为准则，这些准则往往以企业对相关方（客户、股东、监管方、企业内部员工等）自愿性承诺的形式纳入企业内部规章制度；第三层是企业员工要遵守良好的职业操守和道德规范、公序良俗等，这些不是强制性的，但在社会活动中普遍为大众所认同。

  “合规风险”指的是：组织因未能遵循法律和法规、监督管理要求、规则、自律性组织制定的有关准则、已经适用于组织自身业务活动的行为准则，而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。合规风险是组织首先要防范的风险因素。

  内控即内部控制，是指由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程，包括财务内部控制和业务六层的内部控制。内部控制是一个过程，其目标旨在保证财务报告的可靠性、资产安全、经营的效果和效率以及现行法规的遵循。COSO内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。

  风控即全面风险控制，企业风险管理是一个过程，指企业围绕总体经营目标，通过在企业管理的所有的环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立完整全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制管理系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险等。

  合规的核心：“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”。

  内控的重点：与合规相比，内控所包含的范畴更广，且更加重视通过过程控制确保全过程的合规。如果说传统的合规审查的重点是事中和事后审查，而内部控制则更强调事前控制，通过对内部治理体系、制度体系、流程体系等进行规范来实现对风险因素的事前预防和控制。

  内控体系的建立以风险管理为导向、以合规管理监督为重点，通过将风险管理与合规管理要求嵌入业务流程，实现“强内控、防风险、促合规”的管控目标，形成全面、全员、全过程、全体系的风险防控机制。

  内控的缺点：内控对需要站在一定管理高度的风险（如战略风险等）无能为力（例如内控无法控制长期资金市场波动会给公司带来的风险）。

  公司内各类风险相对分散、独立，企业需设立统一的机构，站在管理层的高度来对风险进行检视，才能避免“头痛医头脚痛医脚”。

  风控与内控本质上都是通过评估、防范、控制企业风险，从而促进企业经营目标的实现。风控主要围绕企业战略经营目标，“自上而下”地，并提出风险预警防范和应急管理的策略和措施。内控则通过内控体系的建立把风险的辨识、评估、分析、应对纳入治理体系和日常经营管理运作中，进而达到“治未病”。

  鉴于三者之间的关系你中有我，我中有你，因此在企业职能的设置上需统筹考虑。鉴于风控职能对战略高度的要求，一般会在企业高层层面上设置风险管理委员会来统筹风险管理职能，同时在具体执行职能落位上会将内控与风控职能合二为一，将具体的风控职能落位于内控体系中。具体来说，对合规与风控内控职能的设置又有两种主要形式。

  法务是企业防范运营风险的第一道屏障，企业通过建立、健全法务职能和企业法律风险管理体系，可以有效防范各类风险，预防潜在的风险变成现实的灾难，防患于未然。

  因此，把法务与合规、内控、风控职能放在一个部门，设立“法务风控部”或“内部控制部”则顺理成章，具体可根据公司规模、性质等情况单独设置内控风控岗或由法务岗位兼任内控风控职能。

  鉴于合规偏重于事中、事后审查的特点，将法务与合规审查职能设立于同一部门或者由法务岗位承担合规审查职责，而将内控、风控职能合并成立内部控制部或风险管控部，也可将内控、风控与审计职能合并成立风控审计部或内控审计部。返回搜狐，查看更加多

• 上一篇: 危险办理和危险操控的差异
• 下一篇: 《出口风险货品包装查验》系列新规范解读