第二節 非合規風險轉化為合規風險

1931年，美國管理協會保險部最先提出了風險管理這一概念，此后，風險的概念不斷豐富，廣義地說，凡是可能對企業造成不利影響的因素都是風險。合規風險是指由于違反法律法規以及監管要求等相關規定而導致的風險，如對外提供財務報告或披露敏感信息、重大交易信息未能遵循相關法律規定，影響公司聲譽甚至被監管處罰。合規風險是相對于合規義務而言的，合規風險不一定能為企業及時掌握，合規義務要求過高時，企業是否能完全履行是不確定的。除了合規風險，隨著COSO報告對內部控制理論的完善，越來越多的風險被揭示出來，并提供了相應的應對措施，即建立相應的內部制度，曾經被認為無法操作的風險也有了對應的預防控制機制。合規義務的數量決定了合規風險的數量，合規規范由外部法律向內部規章、職業道德擴展，合規義務也大大增加，戰略風險、財務風險、市場風險、運營風險、投資風險、人力資源風險、質量管理風險和侵權風險在2016年COSO風險管理整合框架的五項要素23項原則的基礎上也轉化成合規風險，因此，內部控制極大地促進了合規的發展。以戰略風險為例，戰略風險是指由于戰略制定和實施的流程無效、低效或不充分而影響企業戰略目標實現的風險，其中包括：①缺乏明確的發展戰略或發展戰略實施不到位，可能導致企業盲目發展，難以形成競爭優勢，喪失發展機遇和動力。②發展戰略過于激進，脫離企業實際能力或偏離主業，可能導致企業過度擴張，甚至經營失敗。③發展戰略因主觀原因頻繁變動，可能導致資源浪費，甚至危及企業的生存和持續發展。但在內部控制框架的基礎上，通過風險治理與文化、風險戰略和目標設定、風險執行、風險信息的溝通和報告、全面風險管理績效監控5項基本要素，將戰略風險納入制度范疇加以管理，建立了戰略的制定和執行程序、規劃、主管部門和監督機制，規則之治帶來的確定性大大提升了風險管理的有效性。