这些年我们误会的合规管理&内审

这些年我们误会的

合规管理&内审

一、概念定义

1.1. 合规管理

近年来，全球涌现合规浪潮，合规已成为当今企业面临的最大挑战。现阶段，我国企业（无论是民营还是国有企业）在经营管理过程中也的确常常面临法律制裁、监管机构的处罚，给企业造成财产经济损失和企业声誉损害。中兴通讯事件更是暴露出中国企业合规管理的能力滞后、体系存在明显漏洞。因此，重视企业的合规管理对于企业绿色安全发展和可持续发展具有重要意义。

2014年12月15日国际标准组织（ISO）发布了国际标准ISO19600《合规管理体系-指南》，旨在为公司、企业或其他组织设立一套行之有效合规管理体系并对该体系的实施、评估、维护和改善提供指导。其对于“规”的定义是：“合规义务的来源宜包括合规要求和合规承诺，前者包括法律法规、监管条例规定等，后者包括组织与社区、公共权力机构、客户签订的协议、组织要求、政策、程序、自愿原则、规程、环境承诺等。”企业合规管理要求企业及其员工的经营管理行为符合法律法规、监管规定、行业准则、企业章程、规章制度以及国际条约规则等, 以有效防控合规风险为目的, 以企业和员工经营管理行为为对象, 开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。

1.2. 内部审计

根据国际注册内部审计协会（IIA）对内部审计的定义：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过运用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”

结合中国的实际情况，中国内部审计协会对内部审计也做出定义：“内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。

虽然国际注册内部审计协会（IIA）和中国内部审计协会对于内部审计的定义有些许差别，但是两个机构都强调了内部审计的独立性和客观性，均认为内部审计的目标是帮助组织实现目标。

二、区别辨析

由于内部审计是通过确认和咨询的方式，对企业运营、内部控制、风险管理和公司治理进行评估与评价，以保证企业各项业务工作按照既定目标和标准，不偏不倚地完成公司目标。在审计的过程中会涉及对企业合规经营的审计，加之内部控制的五大目标之一就是“合规”，因此很多人会误认为合规管理是内部审计的一个分支。就像人们会认为风险管理是内部控制的一个分支一样。实际上，二者虽然有交叉的内容，可以相互辅助，但属于两个独立的体系。

2.1、防线位置不同

根据国际内部审计师协会发布的《有效风险管理与控制的三道防线》，企业的各业务部门控制业务运作过程中的风险作为第一道防线，合规管理在事前和事中实施专业化合规管理的第二道防线，内部审计则作为事后控制的第三道防线。如下图所示：

2.2、职责不同

合规管理：构建公司合规管理体系，制定合规风险管理规章制度。主动识别、评估、监测、报告合规风险，参与新产品的开发、识别、评估合规风险，提供合规支持。审查企业内部管理制度、业务流程，提供合规改进意见。组织合规培训并向员工提供合规咨询。

内部审计：负责审计经营管理的合规性及合规部门工作情况、内控评价、风险状况评估、财务报告的准确性和可靠性、机构运营绩效和管理人员履职情况。对集团和下属公司实施专项审计、领导的经济责任审计。其更强调独立性，重在为组织提供保值增值服务。

由此可见，内部审计的职责范围更加广泛，合规管理功能也是内部审计的对象之一，合规风险也只是内部审计对象众多风险中一个类别的风险。

3、侧重点不同

合规管理重点强调的是依法合规经营, 是一种法规制度程序的认知意识和自觉行动, 强调业务操作的每一个环节、流程, 从点到面地对风险进行控制, 进而达到对风险的全面控制。并及时组织督促企业的各业务条线对各项政策程序和操作指南根据法规调整变化作出修订，提出合规建议。

内部审计是站在整个组织的角度，审查与业务、控制有关的重大事项。同时对合规部门合规风险管控实施独立的监督与考核。

4、相互辅助

内部审计部门在对企业实施合规审计时需要借助合规部门的工作。并且当外部政策调整时，合规部门能够对审计计划提出相应的建议。同时，内部审计工作又能进一步推动合规部门的工作顺利进行和延伸。

三、二者协同

通过上述对合规管理和内部审计的梳理，明确了二者是两个独立的体系，但由于其存在内容交叉和相似之处，如：都密切关注风险管理和预防存在的欺诈和滥用行为，均涉及法律、法规、规则方面的问题，涉及相同的报告主体。因此，我们在对二者加以区分的同时，可以有效融合二者的工作，实现协同，这样既能优化资源配置，又能提高对风险的管控，实现企业的可持续发展。目前一些大型企业出于经营管理过程中内生的自发需求和外部监管环境的要求，在组织内部设置了内部审计机构和合规管理部门，通过构建良好的公司治理和审计、合规文化、风险管理流程，合理配置人员为二者的协同提供支持。此外，还通过增强企业的信息沟通与传递，一方面实现了合规管理可以有效利用内部审计的结果对企业内部的违规行为进行核实检验；另一方面，合规部门作为连接外部监管部门的重要接口，将行业的最新监管规则、外部监管意见以及风险监控报告以及处罚报告及时传递给内部审计部门，促进企业内部控制得以有效执行。由此可见，二者的有效协同是可行的，对于企业经营管理目标的实现，可持续发展都具有很好的现实意义。

首席风险官社群摘录

注册风险管理师学习：微信号alin84