第8讲 合规、内控及风险管理的统一体系.pdf

第8讲

合规、内控及风险管理的统一体系

学习目标

1.了解合规、内控及风险管理统一体系的必要性；

2.了解风险与风险管理的定义；

3.了解风险管理与内控的关系；

4.了解企业管控体系。

合规将风险,管理出效益。

——王海勇

方正讲堂

一、合规、内控、风险管理

1.统一体系必要性

2.风险与风险管理

风险的定义：

风险是未来事项发生并影响到组织实现其战略和经营目标的可能性（COSO）。

风险是不确定性对目标的影响（ISO31000）。

风险是可测定的不确定性（佛兰克·奈特）。

风险风险发生时造成的最大损失（风险敞口）x风险发生的概率

RE×P

3.发展历程回顾

4.风险控制分类

5.风险管理定义

6.双核体系/理论

7.风险管理与内控

企业使用的合规管理体系：流程管控的合规管理体系（内部控制方法）

监管检查经常不达标、对其中的业务流程进行过若干次改进，效果仍然不佳；

体系风险评估或缺陷评估结果剩余风险较高——决定改变管理模式（策略缺

陷）

内部控制是风险管理的一个子集。风险管理包括治理结构、战略制定与实施、

企业绩效管理和内部控制。

内部控制是风险管理的执行部分，即发现风险，然后通过内控去减少风险。

8.企业管控体系

公司治理：

股东会、董事会、监事会、党委、高管层之间的制约关系，企业责权机制，

激励与问责以及企业的价值观的确立与引导。

风险管理：

公司运营的制度设计以及企业经营商业模式的确立。即企业的盈利模式、销

售模式、业务模式以及风险控制模式的设计，以及运行中其存在缺陷的识别与改

善。

内部控制：

对基于风险管理而确立的商业模式建立对应的业务流程，针对业务条线的工

作目标，建立控制机制和策略，使所开展的业务活动达成企业需要的绩效要求。

这样，我们将合规、内控和风险管理统一在了以广义风险管理为框架的管控

体系中。

9.统一的风控体系

当上述目标或状态不能满意或存在风险时，则需要检讨策略恰当性或执行能

力以及执行流程恰当性。

10.合规、内控、风险管理——课程总结

风险管理与内控：风险管理关注策略/决策和组织绩效；内部控制主要解决

执行力的问题。

统一体系：完整的或广义的风险管理体系覆盖了策略风险和执行风险，规则

的遵循是属于执行力范畴，而合规管理体系/模式的缺陷则需要通过风险管理来

识别。

风险管理改善合规：经营风险的抑制将会带来更多的市场收益。因而违规成

本会相对增大，也会有充分的预算投入到合规管理。此外风险管理还能识别合规

管理模式的缺陷。

统一风控体系具有更高的效率、更低的管理成本、更多的风险控制策略与方

法。

知识加油站

企业合规管理方法——从法律风险管理到合规管理

2018年颁布的《中央企业合规管理指引(试行)》（以下简称“《合规指引》”），

标志着国务院国资委从强调全面风险管理转变为强调合规管理。工作重心集中在

央企对法律法规和规章制度的遵从性方面，以提高可操作性的方式促进管理措施

的真正落实。此前，2006年颁布的《中央企业全面风险管理指引》（以下简称

“《风险管理指引》”）一直是国务院国资委强调的重点。

合规管理（compliancemanagement）这一理念源自美国。在上世纪后半期，

为了保护投资人利益，司法分支从量刑角度对企业管理行为提出了更高的要求。

而在源于美国的金融风暴于2008年起席卷全球后，美国的政府部门对于企业的

管理行为提出了更高的监管要求。

那么，合规管理有哪些特征、与风险管理到底有何区别？

一、内涵外延的区别

依据《合规指引》第二条规定，“本指引所称合规风险，是指中央企业及其

员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其

他负面影响的可能性。”

而《风险管理指引》第三条“所称企业风险，指未来的不确定性对企业实现

其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营

风险、法律风险等；也可以能否为企业带来盈利等机会为标