合规、风控、内控、审计的边界在哪里？

公众号上周转载的推文《合规管理与风险管理，到底谁包含谁？》，引发了快乐审计群以及风控与审计分会会员群的热烈讨论。

群友们十分赞赏作者发起的这场讨论，一个微群的生命在于参与和互动，合规管理与风险管理的意义不言而喻，但任何项目，出现不同的声音意味着安全。

下面我们将群友的讨论整理成文，以飨读者。

一

合规管理意义重大

疯控叔：

ISO37301把之前的《合规管理体系指南》转变为《合规管理体系要求及使用指南》，把合规管理体系作为一个可认证的标准提了出来，势必会对企业开展合规管理体系建设起到推动性作用，这对中国企业加强合规意识、提升合规经营能力无疑是一种积极的做法。

贺苗：

无规矩不成方圆，无合规难正管理。

digman：

这篇文章推送的信息很丰富，明年重点应该是内控体系的信息化建设和内控制度梳理。

合规管理可以看做是一个状态，而风险管理可以看做是一个动作，内部控制亦可以看做是一个目标（控制到位），企业的目标是安全稳定的赚取利润，就要控制到位，一些行为要受到约束（识别和控制管理流程），在前进的过程中，内控与效益不断努力实现动态平衡，在此过程中会产生风险（即没有发生的对自己不利的事项），从而产生风险管理的动作，合规是企业经营的最低标准（企业存在的根本目的并不是合规，实现合规只是一个企业运营的最低标准，而非最高目标。如果企业的价值创造目标无法实现，其他的一切都是无源之水）。

二

世上没有绝对真理，合规管理边界值得争议

群友A：

现实的挑战早已超过现存的理论，提出问题才有争议。

合规管理与风险管理谁包含谁的问题，就像理论界和实务界争论内部控制与风险管理谁包含谁的问题一样，各自都站在自己的角度去看问题，成为世界性争论难题，至今仍没有结果。但深层次的追问，都是围绕公司治理的基本问题而展开。

周美蓉：

没有理论的实践是语无伦次的，而没有实践的理论是空洞的。理论与实践之间的桥梁需要论证。

登高望远：

国家治理体系和治理能力的现代化对现代企业的发展提出了新的要求，近年来，国企、外企、民企越来越重视风控和合规管理。从控制方式来看，内控、风控、内审是「基础—分析—评估」的递进和因果关系，内控是点，风控是线，内审是用线把点串联起来的面。就风险管控来说，合规是「打基础」，内控是合规的「最高等级」，而风控管理是风险管控的「最高形式」。

李亚宏：

在追求合规的同时也要追求效益，毕竟企业要生存，这里需要平衡控制和效率问题，大企业病除了部门墙以为，最重要的也是要做好效率和效益的平衡。一个企业的发展既要兼顾现在，也要考虑未来要有战略，那么风险管理就要不仅关注目前的平衡，也要关注以后的发展。

三

合规、风控、内控、审计有无边界？

群友B：

现在在企业相关从业者里，持合规管理包含风险管理和内部控制观点的人不在少数，实际这样实施的企业也不在少数。我们认为如果合规管理工作做好了，其它的工作也就做好了。

吴勰：

合规管理、内部控制、风险管理本质上是一件事。实施企业风险管理和内部控制工作，其中一个目标就是要保证（合理保证）企业的合规；或者反过来讲，企业进行合规管理，企业风险管理和内部控制都可以成为其手段和工具。

快乐阳光：

所有的管理都是灰色的，管理者需要懂得包容，懂得所有管理技术的兼容并存。国际公认的管理学家Blackburn说：风险管理与内部控制仅是人为的分离，而在现实的商业行为中，它们是一体化的。这种融合极大的推进了内部控制定义的发展，审计的监督与评价不再是消极的、被动的和间歇的，而是积极的、主动的和经常的。

袁晓斌：

合规、内控、风控、法务、内审都是企业内不可或缺的管理手段，往往都认为自身很重要，其实只是侧重点不一致，工作切入点不同，但基本都是以风险为管理对象，基理都是源于法律，都是防风险促发展，为企业保驾护航。

刘冬梅：

合规与风险管理，内控的目标和管理内容有所区别，也有一定联系，只有弄清各自目标和具体实施范围内容，才能更好推进工作。

诚心：

合规是企业最基础的红线或底线，内控是企业管控已知风险、实现企业经营目标的保障，风险是企业管控内外风险的实现战略经营目标的保障，三者目标一致，范围有差别，角度不同。

陈丽娜：

合规是企业经营的基本要求。风险管理、内部控制、内部审计是企业可持续健康发展的重要保障。

邱慧：

分析争论的原因：合规管理的本质是合规风险管理，其仍然属于企业风险管理的范畴，而对制度合规性的内容又属于内部控制的范畴。几个方面的内容各有交叉，各有侧重。

谢建中：

企业合规做好了，能否帮助企业成为一家百年老店？

企业内控做好了，能否帮助企业成为一家百年老店？

企业风险管理做好了，能否帮助企业成为一家百年老店？

思考完这三个问题，合规、内控、风险管理三者的关系就大致有个框架了。

曹瑞芳：

企业存在的根本目的并不是合规，实现合规只是一个企业运营的最低标准，而非最高目标。如果企业的价值创造目标无法实现，其他的一切都是无源之水。

谭丽丽：

20年前我刚刚入门内部审计时，内部控制与风险管理谁包含谁的问题把我整懵了，我去问我们的总经理刘本仁，刘总听了哈哈大笑，他说：这还要去争啊？白猫黑猫，抓住老鼠就是好猫。他送了我一本他参加国资委组织的央企总经理培训讲义，讲义里写道「管理的底层逻辑是文化」。

如果一个企业的文化好，那么尽管制度仍需完善，员工也不会不当行事；

如果一个企业的文化一般化，那么，就取决于制度。制度好，员工就会正当行事，制度不好，好人也会变坏人。

如果一个企业文化不好，那么，再好的制度也无济于事，这叫上梁不正下梁歪。

沈道位：

对于经营性实体来讲，内部控制、风险管理的驱动力至少有两个方面，一个是促进合法合规，一个是促进效率效益的提高。合规管理管的是依法诚信经营，这是做企业、做实业的基本底线。

实施企业风险管理和内部控制工作，其中一个目标就是要保证（合理保证）企业的合规；或者反过来讲，企业进行合规管理，企业风险管理和内部控制都可以成为其手段和工具。

对于企业来讲尤其是跨国经营企业，合规经营是最低目标，也是企业运营的底线。在追求合规的同时，需要平衡控制和效率问题，最重要的也是要做好效率和效益的平衡；既要兼顾现在，也应考虑未来战略。

内部审计应把握管理的底层逻辑，营造「管理得人心」的企业文化，「有为才有位」永远都是硬道理。