风险管理中的风险、内控中的风险、合规中的风险有何异同？

企业风险管理（Enterprise Risk Management，有时我们简称为“风控”）、内部控制（Internal Control）和合规管理（Compliance Management）是我们在大风控体系中经常接触到的三大体系，它们各自的内容里都涉及对风险的识别和管理，但在内涵、侧重点和风险内容上却有明显的区别。

国资委在2019年的101号文里提出了“强内控、防风险、促合规”的口号，计划把三项工作捏到一起推行，这确实是一个趋势，但三项工作中针对的风险还是有所不同，把握好这个不同，才能够更好的实现协调和融合。

这几个体系的底层逻辑都是风险，从范畴上来讲风险管理是包含内控和合规的，但实操层面各自都有其侧重点。就像COSO在解释风险管理和内部控制的关系时，经常表述的一句话：企业风险管理包含内部控制，但不能代替内部控制。

我们先看一下它们的定义：

企业风险管理：

COSO《企业风险管理整合框架》2017：组织在创造、保持和实现价值的过程中，结合战略制定和执行，赖以进行管理风险的文化、能力和实践。

国资委《中央企业全面风险管理指引》：全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。

内部控制：

COSO《内部控制整合框架》2013：内部控制是一个由公司董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规管理目标提供合理保证的过程。

财政部《企业内部控制基本规范》：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

合规：

国资委《中央企业合规管理办法》：合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。

我们说风险是和目标相伴相生的，有什么样的目标，就会衍生出什么样的风险，那风控、内控、合规面对的风险的不同，根源在于三个体系所要实现的目标的不同。

企业风险管理实现的目标按照定义来看，侧重于战略和经营目标，需要识别和管理的风险具有较高的不确定性，比如：

战略风险：与企业战略决策相关的风险，如市场进入失败、竞争对手策略变化等。

市场风险：市场环境变化带来的风险，如市场需求波动、原材料价格上涨等。

企业风险管理的重点在于通过全面的风险识别和评估，制定应对策略，提高预测和预防的能力，利用先进的技术和工具，提高相关决策的风险管理准确性和效率。

例如：市场风险管理

一家制造企业可能面临原材料价格波动的市场风险。企业可以通过以下方法进行风险管理：

风险识别：通过市场调研和数据分析，识别原材料价格波动的趋势。

风险评估：评估价格波动对企业成本和利润的影响。

风险控制：签订长期供应合同或使用金融工具对冲价格波动风险。

风险监控：持续监控市场价格变化，及时调整应对策略。

内部控制要实现的目标侧重运营目标和财务目标，内部控制中的风险主要是指内部风险，其不确定性相对较低或者相对的确定性较高，比如：
财务风险：如财务报表错误、资金管理不当等。

运营风险：如业务流程不规范、内部欺诈等。

内部控制的重点在于通过流程控制和制度建设，降低风险发生的可能性和影响。

例如：财务风险控制

一家上市公司可能面临财务报表错误的风险。公司可以通过以下方法进行内部控制：

风险识别：识别财务报表编制过程中的潜在错误点。

风险评估：评估错误对单位财务状况和决策的影响。

控制活动：制定财务报表编制控制流程，设置授权审批制度和关键点控制节点。

信息与沟通：加强财务人员培训，确保理解和遵守财务制度。

监督：定期内部审计，评估内控有效性，及时发现和纠正问题。

按照内部控制的定义，它的目标还包括合规目标，是不是可以解释为内部控制包含合规了呢？

并不能，内部控制的完善有助于实现合规目标，但合规目标的完成并不仅依赖于完善的内部控制，内控是合规的必要非充分条件。

其实之前的风控体系中也会强调合规目标，只不过后来更新后去掉了，其实对于合规来讲，风控和内控都是其实现目标的手段。

合规要实现的目标锁定在企业的经营管理层面，它本身就是目标，合规风险主要是指那些违规情况，有确定的规不执行，其风险的不确定性等级中等。

例如：合规风险管理

一家跨国企业可能面临违反境外出口管制规定的合规风险。企业可以通过以下方法进行合规管理：

风险识别：识别各业务单元和重要经营活动中的合规风险。

风险评估：评估违反出口管制规定对企业的法律和财务影响。

合规计划：制定出口合规政策，确保所有出口活动符合相关法规。

培训与沟通：对相关员工进行合规培训，提高合规意识。

监控与审计：定期检查和审计出口活动，确保符合合规要求。

总结一下：

按照组织边界来看，风控中的风险侧重预测、预防，实现的战略目标和经营目标和外部环境紧密相关，在组织外部；而内控关注的风险是散落在制度流程中的风险点，均在组织内部；而合规风险是边界线控制，给组织画好合规边界，管理的合规风险也是跨在组织边界上，画了一个图，以便大家更好理解。

来源： 大风控
本文仅作分享，作品版权归原作者及机构所有，如有侵权请联系，我们立即更正/删除