第一节 合规、合规管理、内部控制、全面风险管理辨析

合规（Compliance），即合乎规则，但这里规则的外延却是发展的，最初的“规”指的是外部法律法规，然而随着21世纪以来美国COSO报告的发展，“规”的范围逐渐拓展到企业内部的规章、行业标准以及职业道德准则等方面。根据《中央企业合规管理指引（试行）》中的定义，合规是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求，而违反合规的行为将使企业承担民事、行政乃至刑事责任。

正如“合规”二字的字面意思，其本身只是一个目标，为了达到这个目标，还需要合规管理。合规管理的定义随着社会对合规管理认识的深化仍在不断发展，目前，合规管理一般是指企业以内部规章的形式建立并执行合规制度，从而保证企业的经营行为符合外部规范要求，以防范合规风险。根据《中央企业合规管理指引（试行）》，合规管理的定义是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等在内的有组织、有计划的管理活动。合规管理属于管理范畴，然而它是特殊的管理，因为合规管理体系的运行及其工作底稿不仅在预防合规风险上起作用，而且具有在合规事件发生后向监管部门或司法机关说明企业责任的有无或大小的功能，因此，企业的合规管理必须针对监管部门和司法机关的处理意见和裁判倾向作出相应的安排或调整，也不得不时刻关注法律界的动态，因而天然带有法律职业属性。合规管理强调结果能否实现，对实现合规的过程却关注不够，因此需要内部控制。

1949年，美国注册会计师协会首次对内部控制作出定义，即内部控制是指企业所制定的旨在保护资产、会计资料的可靠及准确性，提高经营效率，推动管理层所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。此后，随着美国经济形势的变化，内部控制的定义也不断被完善，最终1994年COSO报告《内部控制—整合框架》作出了现在广泛采用的定义，即内部控制是指由企业的董事会、高级管理层和其他员工共同实施的，旨在为企业实现有效率的经营目标、可靠的财务报告目标，遵循良好的合规目标提供合理保证的一种过程。因此，与其说内部控制是管理的一个基本类型，不如说是旨在实现特定目标的管理的一系列方法措施更为恰当。比起合规管理，内部控制注重过程，能够持续评价和改进合规管理制度，并在此基础上发展出一整套完善的工具和方法。自COSO报告出台之日起，合规管理与内部控制便不可逆地结合在一起，合规管理离不开内部控制。因此，在本书中，笔者有时为强调内部控制作为合规管理的方法支撑的属性而使用合规内控的概念，合规内控是合规管理的一个认识维度。

21世纪以来，美国COSO在内部控制框架理论的基础上提出了企业全面风险管理这一概念，指出企业全面风险管理是建立在内部控制框架基础上对企业风险管理内容的更加广泛而深入的关注。从风险管理的角度看，合规管理和内部控制都是全面风险管理的组成部分，任何可能妨碍企业实现其目标的因素都属于风险的范畴，而在合规风险之外还存在许多其他类型的风险，如战略风险、市场风险、汇率波动风险等，但是我们也要看到，随着我们对风险认识的深入，其他风险转化为合规风险成为可能，如财务风险越来越多地表现为合规风险。研究全面风险管理的学者将合规管理作为全面风险管理的核心，所有的风险管理目标随着法治的高度繁荣和拓展表现为达到合规。但如何建立合规、风险、内控一体化的管理平台，如何将合规管理融入企业业务及经营，各相关部门如何分工合作、协调融合等，仍是一个长期而复杂的课题。