引言:
前些日子本号线下社群应群里朋友的提议搞了个小型圆桌会议,主要讨论合规和法务、风控、内审、内控等多个周边相似职能的边界和融合。通过讨论发现和意识到这几者之间的界限在不同行业和性质的企业实操中并不是那么泾渭分明。我也再次关注起网上关于这个话题的各种文章和观点,有几篇转发比较多看似像主流的文章观点实在让我不敢苟同,有冲动想冒着被系统判定洗稿的风险再次写一写这个老生常谈的话题,尝试理清几者的边界和定位。虽然不同性质的企业在这几个职能上的架构设置和权责分配上也许会大相径庭,但是我尽量找出最大公约数--放之四海而皆准的部分。另,文章后面附上彩蛋为圆桌会议的会议纪要,有兴趣的伙伴可以扫码后发送。
一、先直观简要地区分一波
先上一波图表简要直观地对比几者之间地区别。
维度 | 法务 | 合规 | 内控 | 风控 | 内审 |
核心职能 | 处理法律事务,包括不限于合同、诉讼、知识产权等,防范法律风险 | 合规系统性管理确保企业行为符合法律法规、内部制度及道德规范 | 全业务全流程,重点关注流程设计缺陷和执行漏洞 | 识别评估和应对企业运营和战略中的各种风险 | 评价公司治理的有效性,提供改进建议 |
目标 | 保障合法权益,降低法律风险和损失 | 外规内化,确保遵循内外规定,预防违规和处罚 | 企业运营合法合规兼顾提升运营效率效果 | 全面风险管理,服务于战略目标达成 | 事后监督和反馈,全面改善企业治理 |
常用工具和方法论 | 合同管理,法律意见书,外部律所咨询 | 合规管理体系(多要素闭环) | 制度建设,流程优化 | 风险地图,矩阵分析 | 审计程序,穿行测试,抽样检查 |
注:不少外企没有内控这样一个独立的职能部门,或者把内部控制的职责要求隐含于内审部门中。风控在外企也不是一个常见的部门。比如笔者所曾供职的多家外企,包括500强中的企业,都没有见过内审和风控。
以上表格可能还不足以帮助区分,我们换个角度。做合规、风控、内审的都听过一个三道防线理论,即为企业治理风险管理框架,旨在通过明确的不同层级的职责分工,构建层层防控的公司治理风险管理闭环。简单说,第一道防线就是业务前沿阵地,负责执行公司制度流程进行风险把控的首道关卡。常说的内控主要负责流程设计和落地执行自然属于第一道防线。第二道防线就是风险防控的二道关,为前线业务提供专业指引和支持,我们今天讨论的合规、法务、风控都属于二道防线。内审是作为最后的把关部门,可以监督一切审计一切,二道防线的部门也属于内部审计的对象,所以是三道防线。
二、从常见的误区入手澄清一波:
1. 合规=风控?
风控的关键词是风险,合规目的是控制公司违规受处罚的风险,貌似二者是重合的。但是请注意,风险的外延可不仅仅只有合规风险,还包括公司运营的所有可预见到的各类风险,如战略风险,财务风险,市场风险,汇率风险等等。二者的交集在合规风险上。
2. 合规=内控?
合规管理体系中有建章立制外规内化的环节,内控也是流程设计落地执行确保合规经营,二者换汤不换药?但是,不是企业运营所有的内部控制制度都有合规要求的反映、需要把合规要求植入在业务流程中。比如,销售日常工作有若干个流程需要遵守,合规需要关注和审查的只有其中一部分,把外部监管规定的合规义务翻译成内部要求并嵌入到一些流程环节,常见的有把反腐败反贿赂的合规要求放入销售部门的礼品招待流程和第三方代理尽职调查流程。所以二者的交集在流程控制。
合规是公司治理的一种方式,是采用合规管理体系的方法论,其有效性需要多要素协同工作形成一个系统闭环。在合规管理体系的某一个要素上和其他的职能有交集,但肯定不是包含和被包含关系。以下为图示:
3. 风控>内控>合规?
不太能够理解这个几个职能的“大于”排序关系,引用的说法为“合规是最基本的,内控是主体,风控是最高层面的”。这个逻辑依然很费解,如果指的是范围,几个职能各司其责,在某个部分上的交集不必然决定哪一个工作范围大还是小,还是说风控的工作多合规的工作少,还是谁的工作更重要?实在解释不通。如果非要弄出几者关系的子丑寅卯来,我能想到的相对最合适的图解就是几个彼此交叠的圆。内审最大,因为可以审计一切。
结语:
其实我们不必纠结于到底是五位一体还是彼此如何融合,他们的存在都是因为术业有专攻,企业用专业的人做专业的事,最重要的是企业根据自己的需要和资源进行合理的架构设计资源配置,确保职责划分清晰彼此配合有素,不会出现抑或扎堆干货抑或各自推诿的现象。
