有了内控团队，还需要合规团队吗？——内控与合规的对比分析

 企业在实际运营中，经常会问一个问题：我们有内控部门，还需要合规部门吗？这两个部门到底有什么联系和区别？是不是有了内控就可以省略合规了？今天，我们就从几个方面来进行对比，详细分析一下内控与合规的关系。

1
定义的对比

首先，从定义开始，我们看看合规与内控的定义是怎么说的。

合规，指的是遵循上至道德、下至法律的一系列内容（包括适用的法律法规以及监管规定，遵守相关标准、合同、有效治理原则或道德准则），且通过管理的方式融合于整体的企业管理之中。

内部控制，指一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率；财务报告的可靠性；法律法规的合规性。

由定义可以看出，合规重点强调一种结果，即对内法外规的遵守的“结果”。内控重在强调一个“过程”，即为了实现某公司的运营目标而设计、执行的一系列管理过程。这是两者本质的不同。

同时，从定义也可看出，两者也存在很大的相似属性。例如，两者都是企业管理的一部分；两者都能推动企业实现一些特定的目标；两者都需要企业的全员参与，共同协作来完成。

2
管理层次的对比

由合规的定义可知，合规管理主要是针对道德和“外法内规”的遵守。“外法内规”包含但不限于国际、国内的法律、法规，行政条例，还包括行业规范、公司内部章程等。内控管理在范围内也包含了这些内容，同时还要求根据风险和目标来设计、制定组织内部的“规”（包括但不限于各类内部规章制度，流程等），并且评估内部的“规”是否合理，是否足以应对企业运营、财务、法律等方面的风险。

综上所说，合规是内控要达到的效果之一。而内控又是企业全面风险管理大体系的重要组成部分。即合规管理<内部控制<全面风险管理。其各层次关系如下图清晰表示：

3
目标的对比

合规的目标，是对各类商业道德和外法内规的遵循。遵守适用的法律法规以及监管规定，遵守相关标准、合同、有效治理原则或道德准则，避免可能遭受的法律制裁，监管处罚、重大财产损失和声誉损失。

内控的目标，在COSO发布的内控框架中明确指出，包括提升和增强营运效率，报告准确性和法律合规的遵循性。即内控体系通过一系列的活动，使得企业运营的成本效益和各类报告的准确性得到合理保证，并遵循适用的法律、法规、行业规范等。

因此，从二者的目标中也能清晰的看出，合规的目标是内控目标的组成部分，内控目标包含了合规的目标，除此之外还要实现许多其他目标。

4
要素的对比

在关于合规的经典著作《Compliance 101》一书中，将合规的要素总结为7条，而在COSO发布的内控框架中，总结出内部控制体系的五个要素。详情请见下面的对比列表：

乍一看合规和内控的要素似乎不太一样。但经过仔细分析就会发现，它们有很强的内在联系。例如，合规中的“守则”、“合规委员会”与内控中的“控制环境”都强调了相关管理行为实施的制度和人员基础。“培训”，在合规和内控的控制活动中都有相应内容。而“监控审计”“报告”“惩戒”“预防回应”等，也都可在内控的“沟通”和“监督”中找到类似要素。

需要说明的是，内控中的“风险评估”涵盖了合规、财务、运营等三大类风险，而合规七要素虽然没有直接提及风险评估，但是整个合规体系的运作无时无刻不在预防的正是未遵循相适应法律法规的风险。所以，在“风险评估和应对”这一点上合规和内控的思路是一致的，只是涵盖范围有所差异。

5
实施方法的对比

要达到合规或者内控的目标，都需要通过企业的管理活动来实现。

根据ISO19600:2014的标准要求，合规管理体系大致按照如下图所示的方法来实施：

可以看到，合规管理是紧紧围绕“外法内规”这一准绳为起点来展开的，或者说按照“不合规”的风险来展开。进而调配适当的资源，制定管理计划，开展实际的合规风险控制活动，然后持续的评价、维护改进这一系统。即按照P （Plan，计划）-D（Do 执行）-C（Check 检查）-A （Act 处理）的模式来完成。

再来看内部控制的实施。根据COSO发布的内控框架（Internal Control-Integrated Framework 1994）, 内控管理按照下图所示的方法来开展：

可以看到，内控的实施过程与合规类似，但是内控的出发点更多是组织或企业面临的综合风险和各类运营目标，因此在实施的第一步更加注重整体的基础和环境的建设，同时会特别注重在众多的管理活动中信息的迅速、准确和完整的传递和处理能力。

总结

综上，通过五个方面的对比可以清楚的看到，合规管理是内控管理的重要组成部分，同时，合规管理的活动也是通过内控活动来实施的。

但是，在具体的目标、要素和工作思路方法上二者存在区别。就好像我们的计算机，既需要诸如Windows这样的操作系统，又需要Word这样的专业文字处理软件来进行文字编辑方面的专业任务。它们的工作范围和重点职责不同，组合起来才是一个有战斗力的整体。

所以，在专业化分工越来越明确，法律法规越来越完善，国际司法诉讼越来越频繁的时代大背景下，还是应该把专业的事交给专业的人来完成。

有条件的企业，应该拥有一支专业的合规团队来全面处理合规事务，这样形成内控—合规—法务的完整体系。否则，一旦出现问题，轻则面临公司运转受限、成本飙升的糟糕局面，重则面临天价罚单、声誉遭受毁灭性打击甚至被迫破产的严重后果。

未来，我们将进一步分析合规与内控如何合作，共同实现企业的目标，为企业发展保驾护航。