第一節 合規、合規管理、內部控制、全面風險管理辨析

合規（Compliance），即合乎規則，但這里規則的外延卻是發展的，最初的“規”指的是外部法律法規，然而隨著21世紀以來美國COSO報告的發展，“規”的范圍逐漸拓展到企業內部的規章、行業標準以及職業道德準則等方面。根據《中央企業合規管理指引（試行）》中的定義，合規是指中央企業及其員工的經營管理行為符合法律法規、監管規定、行業準則和企業章程、規章制度以及國際條約、規則等要求，而違反合規的行為將使企業承擔民事、行政乃至刑事責任。

正如“合規”二字的字面意思，其本身只是一個目標，為了達到這個目標，還需要合規管理。合規管理的定義隨著社會對合規管理認識的深化仍在不斷發展，目前，合規管理一般是指企業以內部規章的形式建立并執行合規制度，從而保證企業的經營行為符合外部規范要求，以防范合規風險。根據《中央企業合規管理指引（試行）》，合規管理的定義是指以有效防控合規風險為目的，以企業和員工經營管理行為為對象，開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等在內的有組織、有計劃的管理活動。合規管理屬于管理范疇，然而它是特殊的管理，因為合規管理體系的運行及其工作底稿不僅在預防合規風險上起作用，而且具有在合規事件發生后向監管部門或司法機關說明企業責任的有無或大小的功能，因此，企業的合規管理必須針對監管部門和司法機關的處理意見和裁判傾向作出相應的安排或調整，也不得不時刻關注法律界的動態，因而天然帶有法律職業屬性。合規管理強調結果能否實現，對實現合規的過程卻關注不夠，因此需要內部控制。

1949年，美國注冊會計師協會首次對內部控制作出定義，即內部控制是指企業所制定的旨在保護資產、會計資料的可靠及準確性，提高經營效率，推動管理層所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施。此后，隨著美國經濟形勢的變化，內部控制的定義也不斷被完善，最終1994年COSO報告《內部控制—整合框架》作出了現在廣泛采用的定義，即內部控制是指由企業的董事會、高級管理層和其他員工共同實施的，旨在為企業實現有效率的經營目標、可靠的財務報告目標，遵循良好的合規目標提供合理保證的一種過程。因此，與其說內部控制是管理的一個基本類型，不如說是旨在實現特定目標的管理的一系列方法措施更為恰當。比起合規管理，內部控制注重過程，能夠持續評價和改進合規管理制度，并在此基礎上發展出一整套完善的工具和方法。自COSO報告出臺之日起，合規管理與內部控制便不可逆地結合在一起，合規管理離不開內部控制。因此，在本書中，筆者有時為強調內部控制作為合規管理的方法支撐的屬性而使用合規內控的概念，合規內控是合規管理的一個認識維度。

21世紀以來，美國COSO在內部控制框架理論的基礎上提出了企業全面風險管理這一概念，指出企業全面風險管理是建立在內部控制框架基礎上對企業風險管理內容的更加廣泛而深入的關注。從風險管理的角度看，合規管理和內部控制都是全面風險管理的組成部分，任何可能妨礙企業實現其目標的因素都屬于風險的范疇，而在合規風險之外還存在許多其他類型的風險，如戰略風險、市場風險、匯率波動風險等，但是我們也要看到，隨著我們對風險認識的深入，其他風險轉化為合規風險成為可能，如財務風險越來越多地表現為合規風險。研究全面風險管理的學者將合規管理作為全面風險管理的核心，所有的風險管理目標隨著法治的高度繁榮和拓展表現為達到合規。但如何建立合規、風險、內控一體化的管理平臺，如何將合規管理融入企業業務及經營，各相關部門如何分工合作、協調融合等，仍是一個長期而復雜的課題。