這些年我們誤會的
合規管理&內審
一、概念定義
1.1. 合規管理
近年來,全球湧現合規浪潮,合規已成為當今企業面臨的最大挑戰。現階段,我國企業(無論是民營還是國有企業)在經營管理過程中也的確常常面臨法律制裁、監管機構的處罰,給企業造成財產經濟損失和企業聲譽損害。中興通訊事件更是暴露出中國企業合規管理的能力滯後、體系存在明顯漏洞。因此,重視企業的合規管理對於企業綠色安全發展和可持續發展具有重要意義。
2014年12月15日國際標準組織(ISO)發佈了國際標準ISO19600《合規管理體系-指南》,旨在為公司、企業或其他組織設立一套行之有效合規管理體系並對該體系的實施、評估、維護和改善提供指導。其對於“規”的定義是:“合規義務的來源宜包括合規要求和合規承諾,前者包括法律法規、監管條例規定等,後者包括組織與社區、公共權力機構、客戶簽訂的協議、組織要求、政策、程序、自願原則、規程、環境承諾等。”企業合規管理要求企業及其員工的經營管理行為符合法律法規、監管規定、行業準則、企業章程、規章制度以及國際條約規則等, 以有效防控合規風險為目的, 以企業和員工經營管理行為為對象, 開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動。
1.2. 內部審計
根據國際註冊內部審計協會(IIA)對內部審計的定義:“內部審計是一種獨立、客觀的確認和諮詢活動,旨在增加價值和改善組織的運營。它通過運用系統的、規範的方法,評價並改善風險管理、控制和治理過程的效果,幫助組織實現其目標。”
結合中國的實際情況,中國內部審計協會對內部審計也做出定義:“內部審計是指組織內部的一種獨立客觀的監督和評價活動,它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現。
雖然國際註冊內部審計協會(IIA)和中國內部審計協會對於內部審計的定義有些許差別,但是兩個機構都強調了內部審計的獨立性和客觀性,均認為內部審計的目標是幫助組織實現目標。
二、區別辨析
由於內部審計是通過確認和諮詢的方式,對企業運營、內部控制、風險管理和公司治理進行評估與評價,以保證企業各項業務工作按照既定目標和標準,不偏不倚地完成公司目標。在審計的過程中會涉及對企業合規經營的審計,加之內部控制的五大目標之一就是“合規”,因此很多人會誤認為合規管理是內部審計的一個分支。就像人們會認為風險管理是內部控制的一個分支一樣。實際上,二者雖然有交叉的內容,可以相互輔助,但屬於兩個獨立的體系。
2.1、防線位置不同
根據國際內部審計師協會發布的《有效風險管理與控制的三道防線》,企業的各業務部門控制業務運作過程中的風險作為第一道防線,合規管理在事前和事中實施專業化合規管理的第二道防線,內部審計則作為事後控制的第三道防線。如下圖所示:
2.2、職責不同
合規管理:構建公司合規管理體系,制定合規風險管理規章制度。主動識別、評估、監測、報告合規風險,參與新產品的開發、識別、評估合規風險,提供合規支持。審查企業內部管理制度、業務流程,提供合規改進意見。組織合規培訓並向員工提供合規諮詢。
內部審計:負責審計經營管理的合規性及合規部門工作情況、內控評價、風險狀況評估、財務報告的準確性和可靠性、機構運營績效和管理人員履職情況。對集團和下屬公司實施專項審計、領導的經濟責任審計。其更強調獨立性,重在為組織提供保值增值服務。
由此可見,內部審計的職責範圍更加廣泛,合規管理功能也是內部審計的對象之一,合規風險也只是內部審計對象眾多風險中一個類別的風險。
3、側重點不同
合規管理重點強調的是依法合規經營, 是一種法規制度程序的認知意識和自覺行動, 強調業務操作的每一個環節、流程, 從點到面地對風險進行控制, 進而達到對風險的全面控制。並及時組織督促企業的各業務條線對各項政策程序和操作指南根據法規調整變化作出修訂,提出合規建議。
內部審計是站在整個組織的角度,審查與業務、控制有關的重大事項。同時對合規部門合規風險管控實施獨立的監督與考核。
4、相互輔助
內部審計部門在對企業實施合規審計時需要藉助合規部門的工作。並且當外部政策調整時,合規部門能夠對審計計劃提出相應的建議。同時,內部審計工作又能進一步推動合規部門的工作順利進行和延伸。
三、二者協同
通過上述對合規管理和內部審計的梳理,明確了二者是兩個獨立的體系,但由於其存在內容交叉和相似之處,如:都密切關注風險管理和預防存在的欺詐和濫用行為,均涉及法律、法規、規則方面的問題,涉及相同的報告主體。因此,我們在對二者加以區分的同時,可以有效融合二者的工作,實現協同,這樣既能優化資源配置,又能提高對風險的管控,實現企業的可持續發展。目前一些大型企業出於經營管理過程中內生的自發需求和外部監管環境的要求,在組織內部設置了內部審計機構和合規管理部門,通過構建良好的公司治理和審計、合規文化、風險管理流程,合理配置人員為二者的協同提供支持。此外,還通過增強企業的信息溝通與傳遞,一方面實現了合規管理可以有效利用內部審計的結果對企業內部的違規行為進行核實檢驗;另一方面,合規部門作為連接外部監管部門的重要接口,將行業的最新監管規則、外部監管意見以及風險監控報告以及處罰報告及時傳遞給內部審計部門,促進企業內部控制得以有效執行。由此可見,二者的有效協同是可行的,對於企業經營管理目標的實現,可持續發展都具有很好的現實意義。
首席風險官社群摘錄
註冊風險管理師學習:微信號alin84
