转载：全面风险管理与合规管理的差异

文章来源：网络

原文链接：无从考证！

2006年6月6日，国资委以通知的形式，印发《中央企业全面风险管理指引》（国资发改革[2006]108号，以下简称《风险管理指引》）。在通知里，国资委提到了颁布《风险管理指引》的目的：企业全面风险管理是一项十分重要的工作，关系到国有资产保值增值和企业持续、健康、稳定发展。为了指导企业开展全面风险管理工作，进一步提高企业管理水平，增强企业竞争力，促进企业稳步发展，制定本指引。

2018年11月2日，国务院国资委为推动中央企业全面加强合规管理，加快提升依法合规经营管理水平，着力打造法治央企，保障企业持续健康发展，印发了《中央企业合规管理指引（试行）》（以下简称《合规管理指引》）。但这个相隔12年颁发的指引给很多企业带来思考：全面风险管理与合规管理是怎样的关系，已经做了全面风险管理，为什么还要做合规管理。尤其是合规管理与风险管理就管理而言，其方法论在很多地方都是一致的。本文结合风控与合规实务及其他国际、国内标准对题述问题进行探讨。

一、风险管理与合规管理的一致性

1、首先，两者都是以风险管理为基础且“风险”定义类似。

“风险”在《风险管理指引》第三条中指代“企业风险”——指未来的不确定性对企业实现其经营目标的影响。虽然“合规风险”在《合规管理指引》中定义方法有所不同——“合规风险”被定义为“中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。”但“风险”在国家标准《合规管理体系指南》（GB/T35770-2017/ISO19600:2014）（该标准及其相对应的国际标准ISO19600即将被《合规管理体系要求及使用指南》（ISO37301）所取代）下是用与《风险管理指引》同样的方法来定义的，“风险”的定义都没有变化，都是“Effectofuncertaintyonobjectives”，翻译成中文就是“不确定性对目标的影响”。

2、其次，管理活动都是风险管理。

两个指引中提到的核心管理活动都是风险管理。

《风险管理指引》第四条对“风险管理”进行了定义，指“企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法”。

《合规管理指引》在对“合规管理”定义的时候，提到对合规风险的防控——“本指引所称合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。”

3、第三，管理的基本方法都是对风险予以识别、评价与控制。

无论风险管理还是合规管理，都遵循这样一个逻辑：是对风险进行识别、评价并实施控制的流程、过程或者方法。

《合规管理体系要求及使用指南》（ISO37301）整个标准都围绕着对风险的识别、评价与控制展开。该标准第4.6条指出：“组织应根据合规风险评估，识别、分析和评估其合规风险。组织应通过将其合规义务与其活动、产品、服务及其运营的相关方面相联系来识别合规风险。”第8.2条指出：“Theorganizationshallimplementcontrolstomanageitscomplianceobligationsandassociatedcompliancerisks.Thesecontrolsshallbemaintained,periodicallyreviewedandtestedtoensuretheircontinuingeffectiveness.”翻译成中文就是：“组织应实施控制，以管理其合规义务和相关合规风险。应对这些控制措施进行维护、定期审查和测试，以确保其持续有效。”

《风险管理指引》在第三十三条要求“企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。”针对内控措施，《风险管理指引》要求包括建立内控岗位授权制度、建立内控报告制度、建立内控批准制度、建立内控责任制度、建立内控审计检查制度、建立内控考核评价制度等九项制度。

虽然风险管理与合规管理有很多类似的地方，但两者还有很大的区别。

二、风险管理与合规管理的不同

1、首先，风险管理指引下的风险大于合规管理指引下的风险。

“风险”在《风险管理指引》第三条中指代“企业风险”——指未来的不确定性对企业实现其经营目标的影响。该第三条进一步指出：企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等；也可以能否为企业带来盈利等机会为标志，将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。

而“合规风险”在《合规管理指引》从“不合规行为”出发被定义为：“中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。”在《合规管理体系要求及使用指南》（ISO37301）下，“合规风险”从“合规义务”出发进行的定义与《风险管理指引》进行了区分——在《ISO37301合规管理体系要求及使用指南》下，“合规风险”被定义为：“Likelihoodofoccurrenceandtheconsequencesofnoncompliancewiththeorganization’scomplianceobligations”。其翻译成中文可以表述为“不遵守组织合规义务的可能性和后果”。相比较，《风险管理指引》下的“企业风险”，除了“法律风险”与法律合规义务相关联外，其他类别的企业风险，比如“战略风险”、“财务风险”、“市场风险”、“运营风险”与“合规义务”或者“法律合规义务”没有直接关联。

应该说，ISO37301新标准下对于合规风险的描述，更加贴近我们经常用合规义务来对合规风险所进行的描述，或者用合规义务对合规风险所做的识别工作——合规义务就像是一枚硬币，做到了就是合规，做不到就是违规，就会带来风险。

很有意思的是，“合规风险”在《合规管理指引》下没有锚定“合规义务”，但“合规”的定义在该指引下却锚定了“合规义务”——在《合规管理指引》下，“合规”被定义为“中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。”这与《合规管理体系指南》中，合规被定义为“履行组织的全部合规义务”的基本逻辑是一致的。

换言之，合规风险因为被锚定与合规义务相关，其所要管理的风险就被限定在与合规义务相关，而与全面风险管理中的战略风险、财务风险、市场风险、运营风险无直接关联。

2、其次，合规管理所涉及的风险呈现出新常态。

与企业所面临的所有风险相比，合规风险与合规呈现出跨境跨界的特点——所谓贸易有进出口、投资有走出去，但合规已经没有了边界。中国企业在中国境外的违规行为固然会导致境外监管机构的处罚或其他相应的民事或刑事责任，但在中国境内的不合规行为也完全有可能遭致同样或类似的处罚或责任。基于同样的原因，这些处罚或责任还可能波及中国企业的实际控制人或者高管，严重的还可能导致他们身陷囹圄。从这个角度来讲，我们可以说合规没有边界，也可以说合规风险贯穿了境内外。

中国企业在国际化进程中之所以会出现合规风险集中爆发的情形，是因为中国企业的海外经营与投资出现了井喷式发展，但合规风险管理的意识和水平参差不齐、从整体上还远远没有达到企业境外经营与投资的需求，或者囿于公司治理等固有缺陷，导致合规管理工作流于形式，还有的甚至是用表面的合规来掩盖实质上的不合规——那些频频见诸于报端的大案、要案充分说明了这些问题。

在中国企业身上所暴露的合规风险的风险敞口与造成的损害的大小，还与所在国监管机构与执法机构的监管及执法力度正相关;而决定监管与执法力度的除了法治因素外，在不同的国家和地区可能还存在着其他的非法治因素(比如政治因素、企业之间的恶性竞争等因素)，而这些因素又可能造成监管和执法机构在执法对象、执法范围及/或执法力度上的选择性执法，所有的这一切又可能进一步地加剧了合规风险曝出的力度和持续性。从这个角度来讲，合规不仅仅是“没有规矩不成方圆”那么简单，合规还可能成为一个国家和地区的贸易或投资壁垒。而这些合规风险的新常态需要合规风险被重点、个别关注——这也把合规风险与企业所面临的全面风险区别开。

3、再次，合规管理还涉及到合规文化建设。

合规管理与风险管理讲的是底线——不能触碰红线、不能踩地雷！所以合规管理与风险管理关注的行为规范的底限——用一个形象的比喻：当兵不能当逃兵，这是士兵职责的底限。突破了这个底限，就要被处罚。

但合规管理所要求的合规文化建设没有上限！对于一个组织和企业来说，光规定行为规范的底限是不够的，同样拿“当兵不能当逃兵”来做比喻，一个好的军队不能光有不当逃兵的士兵，还必须有士兵勇敢作战——诚所谓保家卫国，唯有牺牲多壮志！一个军队除了要有“当兵不能当逃兵”的合规底限之外，还必须拥有“敢教日月换新天”的伟大情怀，才能战无不胜，而这些无论怎么崇高都不过分的伟大情怀，既是合规文化的一部分，也是一个好的合规管理及合规管理体系所应当拥有的全息影像。

所以合规有底限，但合规文化却灿若繁星、没有上限！合规要解决底限问题、扎牢篱笆、少出问题，甚至不出问题，但以诚信为本的合规文化还应当彻底解放并充分发挥诚信的洪荒之力，让合规文化成为生产力。当然，要做到这一点是一个系统工程（这个系统工程不仅仅是合规的问题，还有其他问题比如公司治理），但是，如果合规着力点永远停留在“当兵不能当逃兵”的状态，进而忘记了弘扬合规文化，尤其糟糕的是不再相信诚信与道德的力量时，要想做好合规工作无疑是一个不可能完成的任务。从这个角度来讲，合规文化的建设要求和对合规风险持久的、润物无声的管控方式又进一步把合规管理与全面风险管理区分开。

从上文可以看出，风险管理与合规管理不难区分，但两者所说的风险有一点不容易区分，那就是法律风险与合规风险的区分。

三、法律风险与合规风险的异同

关于法律风险管理有一个国际标准《风险管理—法律风险管理指南》（ISO31022），其中，法律风险指“与法律、监管和合同事项有关的以及因非合同权利和义务产生的风险”。

如上所述，在《合规管理体系要求及使用指南》（ISO37301）下，“合规风险”被定义为：“不遵守组织合规义务的可能性和后果”。其中，“合规义务”被定义为：“组织必须遵守的要求以及组织自愿选择遵守的要求”，而其中的“要求”又被定义为：“明示的、通常隐含的或强制性的需要或期望”。

从这两个定义可以看出，法律风险与合规风险有交叉的部分，比如合规义务中，“组织必须遵守的要求”与法律风险下“与法律、监管和合同事项有关的以及因非合同义务产生的风险”重叠。法律风险可能因为不履行或放弃履行权利而构成风险，比如原告放弃起诉被告而导致损失——但合规风险只是不履行义务而构成风险——因不履行或放弃履行权利而构成的风险与合规风险无关。

另外，合规义务还包括“组织自愿选择遵守的要求”——这一部分要求与构成触发法律风险相关的必须履行的义务不同或者不发生重叠。比如，《网络安全法》第41条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”——这个法律规定是与“法律、监管相关的义务”，违反了这个义务就构成法律风险；围绕《网络安全法》中的“合法、正当、必要原则所制定的标准或者公司自己所规定的数据治理规范是一个公司“自愿选择遵守的要求”——违反了这个要求不构成“法律风险”，但构成了“合规风险”。再比如，公司不允许行贿是法律禁止性规定——如行贿则构成法律风险；公司为了防止发生行贿事件，自愿地遵从ISO37001《反贿赂管理体系》的国际标准或者遵从公司自己所规定的反贿赂反腐败行为规范——违背了这些标准或者不遵从这些控制措施所构成的相关义务违反了“合规义务”并触发了“合规风险”，但并不必然地触发法律风险。

从上述分析可以看出：为什么做了全面风险管理还要做合规管理？全面风险管理管控的是企业运营中所可能碰到的全部风险，而合规风险只是违反合规义务所可能触发的风险。合规风险与法律风险有相重叠的地方，但也有不相重叠的地方——比如违反了控制风险的控制措施和防控风险的标准可能触发合规风险，但未必构成违反法律规定的法律风险。最后，做好合规风险管控不仅仅是不触碰底线（这个与法律风险一样），做好合规风险管控的合规管理体系建设还必须培育和弘扬以诚信和道德为核心的合规文化建设——这也许是法律风险管控与合规风险管控的最明显的区别！

在实务中，相比较法律风险管理，我们对合规风险管理或者合规管理最明显的一个感受就是合规管理更注重立规矩（没有规矩不成方圆）、更关注对规矩的遵从（不逾矩）、更注重风险防控的效果（打造金色盾牌、让合规创造价值）、更注重全员合规（合规从领导做起、打造三道防线）、更注重合规文化（没有道德诚信的合规是假合规、反合规）、把合规做成体系（不成体系的合规不堪一击）。

在实操过程中，企业既要看到全面风险管理、合规管理、法律风险管理等体系在管理内容的各有侧重，管理流程和方法的差异，也要充分利用上述体系均以风险防控为落脚点的共性，最合适的办法是依托之前已经建立的全面风险管理、法务管理体系，不搞“叠床架屋”、不做“加法”做“减法”，从组织架构、制度体系和工作机制层面将合规管理、全面风险管理、法律风险管理进行融合并轨，从而为企业构建多层次、全方位，更为严密的“大合规免疫系统”，充分利用有限的管理资源，消除冗余提高效率，凝聚管理合力，提升企业治理能力。

作者：

邹金凤广东省广业集团有限公司总法律顾问

刘锦旗广东省广业集团有限公司法律部（风控部）副部长

陈立彤大成上海办公室高级合伙人