前一段时间和大家分享了很多和风险管理与内部控制相关的文章，有朋友留言说现在企业最关注的是合规管理，能不能指导下企业如何加强合规管理？

       之前我们关于合规管理工作分享过很多文章，但我一直认为，目前虽然各个企业对合规工作如此重视，把企业所有管理工作都想纳入合规工作的框架下，是在当下的特殊背景下出现的。

       其实，企业如此重视合规，甚至在某些企业把合规放在了比经营更重要的位置，这是不正常的。

       企业的存在是为了创造价值，如果现在张口闭口只谈合规，反而忽略了企业真正创造价值的经营管理活动，那其实是在舍本逐末。

       我们先来看一下这两年强化企业合规的原因，2018年，“中兴事件”和“华为断供事件”引发了中国企业对“合规”问题的空前关注，国家层面把企业合规经营提到了前所未有的高度，我一般把2018年称作中国企业合规工作的“元年”。

• 2018年7月1日，国家标准GB/T35770-2017《合规管理体系指南》正式发布实施；
• 2018年11月2日，国务院国资委《中央企业合规管理指引（试行）》发布实施；
• 2018年12月26日，国家发改委等七部门《企业境外经营合规管理指引》发布实施。

       在2018年国资委发布的《中央企业合规管理指引（试行）》文件中，中央企业的合规被描述为：

     中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。

       其中和之前合规提法最大的不同，就是把企业章程、规章制度纳入了合规的范畴，和之前以侧重合“外规”及“外规内化的内规”有了重要的补充。

       如ISO19600及最新版的ISO37301合规管理体系中对合规的定义最为包容：

       合规：履行组织的全部合规义务；

       但从其文件描述的合规义务示例中，基本上都是属于和“外规”相关的内容。

       从国资委截至目前发布的四批《企业合规管理系列指南》内容来看，基本上也是侧重“外规”。

       但是，按照国资委的合规指引文件中所涵盖的合规内容，我们今天谈到的合规是“大合规”概念，不仅包含之前以“外规”为主的合规，还包括企业可以有权自主制定的规章制度的合规。

       这种内涵的“外延”，正是今天大家谈论合规、风险管理、内部控制几项工作关系的问题所在。

       这种外延，将企业所有规章制度的履行都纳入了合规范畴，也是今天大家张口就谈要“合规”的原因。

       此外，ISO37301把之前的《合规管理体系 指南》转变为《合规管理体系 要求及使用指南》，把合规管理体系作为一个可认证的标准提了出来，也势必会对企业加强合规工作起到推动性作用。

一、实现合规从来就是风险管理和内部控制的目标之一

       1992年，COSO发布了迄今为止最有影响力的内部控制框架，其框架的目标层包含三方面的内容，其中一个就是合规性。

       而内部控制被定义为：

       一个由主体(一般指公司)的董事会、管理层及全体员工实施的，旨在实现运营、报告和合规管理目标提供合理保证的过程。

COSO1992和2004发布的内控和风险管理框架

       2004年，COSO升级了其内部控制框架提出了企业风险管理框架，框架要素也由五要素增加为八要素，目标增加了一个战略目标，共四个目标，合规目标仍然是其中一个。

       可见，实施企业风险管理和内部控制工作，其中一个目标就是要保证（合理保证）企业的合规；或者反过来讲，企业要达到合规目标，可以通过实施企业风险管理和内部控制体系来实现。

二、风险管理、内部控制与合规的不同目标

       实施企业风险管理的最高目标是支持企业战略和经营目标的实现；

       实施内部控制的最高目标是找到控制和效率的最佳平衡，支持公司高效平衡运转；

       而合规则是保证公司在满足内外部规则的前提下，以不犯规（或犯规后结果可承受）的方式实现公司目标。

       合规是企业经营的最低标准，之所以最低标准被提及到如此高度，是因为之前的中国企业刚刚脱离野蛮生长的阶段，还没有形成强烈的合规经营的概念，或者说之前很多情况企业的发展就是在“灰色地带”或“不合规”（草莽英雄阶段亦或是“黑猫白猫”阶段）的情况下快速发展起来的。

       如今，我们如此重视的开展合规管理工作，我认为有两个原因：

1、国外合规标准或执行力度高于国内

       走出去之后发现很多事我们“摆不平”，不能像国内那样把握的灵活自如，加上文前提到的海外合规事件的触动；

2、强化党纪国法遵从性，国有企业监管从严

       国有企业的合规还有另外一个大背景，就是这两年各条线的监管政策越来越严格、越来越多，对监管政策的合规性是推动合规管理工作到达如此高度的另外一个主要原因。

       从某种程度来讲，有些企业认为合规是目前监管的最高要求，不合规就是企业目前最大的风险！

       不求有功、但求无过！

       当我们有些企业或有些人从免责的角度提出一定要合规的观点时，我还是有些感慨，我们的目标是为了企业更好的创造价值。

为什么监管到最后“不违规”成为了最高目标。

       但是，我们需要认识到，企业存在的根本目的并不是合规，实现合规只是一个企业运营的最低标准，而非最高目标。如果企业的价值创造目标无法实现，其他的一切都是无源之水。

       如果要把合规作为最高目标，那最大的合规就是实现企业既定的经营目标，合规意味着每年都能兑现绩效目标，否则这个合规就是支持这个目标实现的最低要求。

三、合规与风险管理、内部控制并不属于同一个层面

       我们希望带大家从企业经营管理的整体层面再进一步认识三者之间的关系和定位。

       合规属于企业的目标体系中的一个，属于企业经营的基本前提、底线目标。

       而风险管理、内部控制属于工具和手段，本身并不构成目标。

       比如风险管理工作的目标并不是风险管理、内部控制工作的目标也不是内部控制，他们需要服务于企业目标，合理保证这些目标的实现。

       但是，如果考虑到监管要求，实施这些工作有可能就会构成目标，这个时候如果处理不好，就成了“为了做风险管理而做风险管理、为了做内部控制而做内部控制”，所以很多工作最后都成了“走形式”。

       我思考了很久，如何能够更好在企业整体层面体现三者的关系，画了以下图便于理解。

       企业的目标可以分为三个层面：

       最高目标就是战略目标，是为实现企业的使命、愿景制定的中长期目标；

       其下一层是经营目标，侧重年度的经营绩效；

       最下面一层是运营目标，侧重日常管理运营各方面、各环节需要实现的具体目标。

       合规目标在经营和运营目标的外侧，是边界线目标，意思是在企业的经营和运营过程中，要符合一系列和企业经营和运营的合规要求，重点是和企业相关“外规”，构成了企业经营的合规环境。

       而风险管理和内部控制是为实现这些目标所使用的管理方法和手段，这种管理方法和手段适用于企业所有层面的目标。

       有人可能会问，企业的战略层面就不存在“合规目标”了吗？

       一般纯市场化的企业，自负盈亏，可以自主选择战略发展方向，只要这种选择没有触及违法，自由度还是很大的。

       但是，如果是国有企业，特别是担负有重大使命的企业，上面的图就变成了下面这样。

       对于这类企业吗，战略发展上就不能随心所欲、自主决定，而且还需要裹上一层党纪国法的合规要求。

       从企业整体层面来看，在合规的基础上，企业通过完成日常的运营目标、实现年度经营绩效从而支撑公司整体战略目标的实现，这就是企业价值创造的全过程。

       如何实现这些目标呢？

       实现这些目标的手段，有两个体系就可以。利用风险管理和内部控制，管理企业面临的不确定性和确定性，匹配好风险和收益，平衡好控制和效率，就可以支持公司在各个层面实现这些目标。