合规与法务、内控、风险管理——如何避免叠床架屋？_北京转创国际管理咨询有限公司广东分公司

合规管理很重要，但是我公司已经有内控、法务、全面风险等管理体系了，为什么非要再建立合规管理体系呢？如此名目众多的管理体系，不会造成叠床架屋徒增管理成本的后果吗？这是很多企业在决定是否开展合规管理建设之前都有的疑问。

合规管理以风险防范和提升管理效能为导向，其他既有管理体系也是，二者有共同的目标也有诸多本质上的一致性，但合规管理相较于其他既有管理体系，其不可替代的价值至少体现在两个方面：一是良好的合规管理可以起到风险传导的“防火墙”作用，且已经被司法案例证明；二是合规管理是最晚近出现的管理，具有天然的后发身位优势，其他管理体系在实践运行中出现的问题、教训（比如内控手册的水土不服问题等）都能得到汲取、避免。

本文将从分析合规与法务、内控、全面风险之间的本质区别入手，基于我们的实践经验，得出处理合规管理与其他既有管理体系之间关系的基本方法论：协同+最小改动原则。绝不推到重来，另搞一套。

一、合规管理与法务、内控、全面风险管理的本质区别

合规管理与其他管理体系之间的区别，按照教义学的方法，自然是可以列出诸多项点，比如工作基础不同、工作内容不同、工作方式不同、工作目标不同、专业要求不同、管理机构不同等等。但按照我们的实践经验，如果站在企业主体的立场，合规管理与其他管理的本质区别仅在于以下方面。

（一）合规与法务

合规与法务联系最为紧密，在绝大多数国有企业，总法律顾问兼任首席合规官，法务部门归口合规管理。合规与法务的本质区别在于：合规是法务的升级版。

如果把法律义务理解为狭义的法律法规义务，合规义务则包含法律义务、监管规定、行业准则、商业习惯和道德、自我承诺，特别是商业伙伴等相关方要求等等，法律风险是最基础、最低线的合规风险，合规风险还包括诸多战略层面、声誉层面的其他等等风险。合规管理随着“强监管”时代的到来而与时俱进的产生，其代表了企业管理的发展趋势。就国有企业来说，国务院国资委自2005年起开始强化国有企业法制（治）管理，十余年后，合规管理成为国资委新的工作抓手。

也有观点从另一个角度说明了二者的区别，即合规与法务也存在不相容特性。法律审查与合规审查的出发点、动机和结果都不一样，法律审查在于从法律的角度防范基础性、底线性风险，是部门性的审查，而合规审查是站在企业全局的角度，更关注公司长远规划、总体经营目标，更注重整体性和长期利益，除基础性法律风险外，还从营销、财务、战略等各个层面进行综合审查，从目的出发去识别和看待风险。也就是说，法律审查是法律部的审查，合规审查是公司的审查。

（二）合规与内控

合规与内控存在广泛交叉，合规管理也强调流程管控，内控管理也注重合规风险防范。二者的本质区别在于风险防范的侧重点不同：合规侧重防范来自外部的法律规范风险，内控侧重从内部流程设计的有效性防控风险发生。

尽管合规义务包括外规，也包括内规；内控风险包括内部管理风险、也包括来自外部的不合规风险，但这与管理体系的独立性和雄心有关。任何一个独立管理体系都强调全面性、完整性，都试图面面俱到，否则也难以构建一个体系。但这不影响不同管理体系的不同侧重点和特性。就合规与内控来说，一个主外，一个主内。

这也能解释为什么合规管理咨询服务大多由律所、律师提供，内控管理服务则多由会计师事务所、咨询机构提供。因为法律学就是解释学，只有从事法律专业的人最擅长理解法律、解释法律，最能够理解法律法规等外部义务并据此识别合规风险，所以律所提供合规管理服务最符合合规管理侧重于防范企业外部风险的特性。而内控源自西方COSO体系，从企业内部管理出发，重在围绕企业财务体系控制风险，本就是会计师、咨询师的传统领域。国有企业的内控，长期以来一直以财政部为主进行监管，也能够印证这一点。

（三）合规与全面风险

国有企业的全面风险管理由国资委提出，“人如其名”，包括战略、市场、财务、投资、信用、人力、法律合规等各方面风险。合规风险与全面风险的关系是：合规风险只是全面风险的一部分，全面风险包含合规风险。

但这不意味着只需要开展全面风险管理即可，其他法务、合规、内控风险管理都可有可无。全面风险大而全，因此只能照顾到基础性风险，难以进行深入的风险管控。事实上，实践中，很多国有企业的全面风险管理报告，就是规划、财务、人力、市场、法务等部门各自提供材料汇总整理而成，其体系的深度和实操价值都变得有些鸡肋。

因此，有了全面风险管理，仍需要其他各项风险管理，尤其是合规风险管理。因为合规管理虽然不求全，但其在专项风险管理上属于战略型、基础型风险管理。

二、合规管理与其他管理的协调：探索与尝试

2019年以来，在国资委的要求下，央国企开始普遍开展合规管理体系建设，首当其冲的问题就是如何处理合规管理与企业既有的其他相关风控管理体系之间的关系。对此，央国企经历了一个探索过程。

首先是“大合规”。合规管理的严谨全称是“企业全面合规管理体系建设”，刚刚兴起之时，有观点认为应该通过合规“一统天下”，并提出所谓“大合规”概念。用合规管理统筹其他所有管理体系，包括法务、内控、风控，甚至审计、追责、纪检和巡视巡察等。“大合规”概念显然脱离实际，并未存在多久。

接下来是“一体化”。2020年下半年开始，直至现在，通过“一体化”来协调处理合规与其他管理之间关系的做法较为风行。包括法务、合规、内控、风险“四位一体”；法务、合规、制度、内控、风险“五位一体”，或法务、合规、内控、审计、风险“五位一体”；甚或包括了追责、纪检、巡视巡察等在内的“N位一体”都较为常见。其中，法务、合规、内控、风险“四位一体”比较主流，其他“N位一体”的做法，多是因为法律合规部门还有其他相关职能，诸如审计、制度等。但事实上，承担第三道防线职能的部门，包括纪检监察、审计、巡视巡察、监督追责等部门，是不应该纳入“N位一体”的，其应在事后发挥监督追责功能，做“裁判员”，下场进行一体化运作将会出现职责不相容的利冲情况。所以“N位一体”并非什么都能纳入。

最后是“协同”。国资委在《办法》中并未提到“一体化”的概念，而是要求企业合规管理与法务、内控、风险等“协同”运作，加强统筹协调，避免交叉重复，提高管理效能。“协同”不等于“一体化”，协同是在认可不同管理体系相互独立的前提下，强调统筹协调、步调一致，避免交叉重复。

基于实践观察，我们的结论是：合规管理与其他管理体系存在明显差异，相互之间的边界是清晰的，同时也存在着广泛的交叉和同质性。合规管理与企业既有的其他管理体系必将长期共存，不可能有某种管理体系“一统天下”。合规管理面对其他管理体系，需要做好的是统筹协同，避免交叉重复，叠床架屋。

三、合规管理建设落地：协同＋最小改动原则

厘清二者关系之后，接下来的问题落脚在如何开展合规管理建设上，如何避免与既有的其他管理体系之间叠床架屋，徒增管理成本，甚至相互冲突内耗？我们的实践经验是：协同+最小改动。

“协同”原则。开展合规管理体系建设过程中坚持协同原则，就是坚决立足企业经营管理特别是风险防控体系建设实际，充分尊重既有的其他管理体系，坚决融合协同，绝不推倒重来、另搞一套。

比如：开展合规审查，应充分尊重合法审查的现状，不应在合法性审查之外，另行设计合规审查流程，而是将合法审查与合规审查融合为“合法合规性审查”，在尊重既有审查流程的基础上，着力丰富审查范围和内容。

又如，制定三张清单之一的流程管控清单时，不应抛开内控流程清单，另行设计合规管理体系内的流程管控清单，而应在已经成熟的、企业已经非常适应的内控流程基础上，制定重点领域流程管控清单，通过识别风险环节丰富审查内容实现融合。

再如：开展合规风险评估时，应充分尊重企业全面风险管理体系中统一制定的风险评估标准，包括定性标准和定量标准，按照一套标准评估企业的高、中、低风险，不论是合规风险还是其他风险，而不是另搞一套合规领域的风险评估标准。

“最小改动”原则。合规管理以“有用、好用、管用”为基本建设要求，因此，对于合规管理建设来说，只要能达到合规管理的目标、实现合规管理的价值，对于既有的其他管理体系，则能不改动就不改动，能做小改动就不做大改动，坚持成本经济原则。