合规与传统管理制度的区别（上篇）

  (一)合规不等于内控

  “一般而言，企业会面临三个方面的风险：一是经营风险；二是财务风险；三是合规风险。”从字面意思来看，企业的内部控制制度应当能够概括性地包含对三种风险的统一防范。“企业内控管理主要是指企业针对自身内部各项工作的运行情况所实施的检查和管理活动，其中包括对员工的检查管理、公司制度的执行和完善、风险的防范和控制等。”但是，传统的企业内控制度通常主要解决经营中的管理风险，较少涉及合规风险问题。这种经营风险，主要指的是企业商业战略、执行管理方面的风险，例如，企业执行层选择了错误的营业领域，导致企业无法营利、产生亏损，具体内控措施包括重大的收购、并购、业务调整等需要上风险委员会进行讨论，或者重大股东的更换、股东个人超过一定数量的向外借款需要向风险委员会报备等。

  也有企业将合规作为内控的一部分，以中国建设银行的制度规定为例，其在2020年的年报中强调：“本行内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进实现发展战略。本行董事会负责按照企业内部控制规范体系的规定，建立健全和有效实施内部控制，评价其有效性，并监督内部控制体系的有效性。监事会对董事会建立和实施内部控制进行监督。高管层负责组织领导内部控制的日常运行……2020年末，本行不存在财务报告内部控制重大缺陷，未发现非财务报告内部控制重大缺陷。董事会认为，本行已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部护制。”可见，该行将合规风险、财务风险、经营风险等统一作为内控制度防范的对象，合规以法律风险防范为目标，是内控制度的组成部分，但不是内控的全部含义。