国有企业在公司治理和管理过程中，不少人常常对合规管理、内部控制、风险控制的认识有偏差，混淆三者之间的关系，无法顺畅推进工作。有些人甚至将三者割裂开来，各自为战，导致职能交叉重叠，公司制度越来越多，效果却不尽人意。

合规管理、风险控制、内部控制到底如何辨别及区分，三者之间又有什么关系呢，下文将为大家解开困惑。

一、合规管理、风险控制、内部控制的区分

（一）概念不同

1、合规管理

概念：合规是指企业经营管理行为和员工履职行为符合国家法律规定、行政法规、地方规章或者行政政策、行业标准和规范，以及公司章程、相关规章制度等要求。

合规涉及外部禁止性或强制性法律法规、规章规范等，及内部约束性制度、规范等。

例如：供水行业每年都有发生滥用市场支配地位案件，有的企业被反垄断执法机构处罚金额高达上千万元。滥用市场支配地位表现有：限定房地产开发商只能选择供水企业负责供水工程施工，开发商只能向供水企业购买或指定的供应商购买供水设备（如二次供水设备），附加不合理的额外收费如收取押金、入网费等等。

供水企业自带自然垄断的行业特性，但供水企业若忽略合规性的重要性且强化垄断特性，未严格遵循《中华人民共和国反垄断法》，将面临没收违法所得及处以上一年度销售额百分之一以上百分之十以下的罚款。

总结：合规是【定基础】，强调“禁止性的事不做，合规性的事有效做”。

2、风险控制

概念：风险控制是指企业采取各种措施和方法，减小风险事件发生的可能性，或者把可能的损失控制在一定的范围内，以避免在风险事件发生时带来的难以承担的损失。

例如：供水行业中时有新闻，某自来水公司水费回收率过低致公司财务危机，某水务企业可转债融资失败，某水务企业市值蒸发数十亿……财务风险作为企业关注的重中之重，包含筹资风险、投资风险、流动资金回收活动风险等。如筹资风险，企业正常经营活动无法满足长远发展，向外部借款后必须在规定的时间内偿还资金，否则需要进行相应赔偿；如流动资金回收活动风险，对企业应收账款应保质保量变现，如水费回收、工程款回收。

企业需对各项财务风险进行分析、定位，明确承受范围和承担能力，保障财务管理效率，降低企业财务风险发生概率。

总结：风险控制是在合规基础上【划范围】，强调什么是“准确、安全的事项范围”。

3、内部控制

概念：企业组织为实现各项经营管理目标而在企业内部所制定的一系列政策、程序或制度，以合理保证企业正常运作，减少出现错误与失误、防止资产丢失和诈骗等问题发生。

例如：某水司因存在“水耗子”，产销差率一直居高不下。经查实，实际情况为公司多名抄表员与负责区域内的物业公司负责人勾结，抄表员通过每月少抄小区实际用水量进行获利，多年来涉案水费金额高达百万元。公司在抄表管理方面缺乏管理程序或制度，如抄表区域定期轮换、抄表复核程序、内部供水稽查等措施未落实到位。

总结：内部控制是在合规基础上、风险控制范围内【过程控制】，强调“准确、清晰地做事”。

（二）风险审视立足点不同

合规管理是企业发展的底线，企业必须保证各项经营管理活动符合外部法律法规和内部规章制度的要求。

风险控制以企业战略经营目标为立足点，侧重“自上而下”，可从战略风险、财务风险、市场风险等方面辨识、评估、分析风险，并制定风险预警防范和应急管理的策略和措施。

内部控制以流程合规、反舞弊等为立足点，侧重“自下而上”，按照各业务模块辨识工程管理、采购管理、生产管理、营销服务等具体运营流程中的内部控制缺陷，并进行整改，例如运用较为普遍的《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》。

（三）风险诊断工具不同

风险控制主要采用风险矩阵法、流程数据分析、因果分析等工具，分析风险存在的可能性及影响程度。

内部控制主要通过审计、合规检查等形式，使用穿行测试、控制测试等工具，诊断内部控制设计及运行缺陷。

二、合规管理、风险控制、内部控制之间的关系

（一）管理目标一致

不管合规管理，还是内部控制、风险控制，均与企业业务流程相融合，均属于企业经营管理体系的重要组成部分，最终都以实现企业战略和企业价值为目标。

（二）关系有重叠

合规管理对内部控制、风险控制有着至关重要的影响，是二者的管理重点，完善的合规管理体系能有效地减少公司面临的法律诉讼、罚款等合规风险。

风险控制包含合规风险范畴，通过内部控制将外规内化，有效降低合规风险发生可能性。

内部控制以防风险和促合规为导向，是风险控制和合规管理的落足点和重要抓手，可以更好的促进风险控制和合规管理职能的发挥。

三、示例——以工程管理为例说明

1、从合规管理的角度

企业工程管理，首先应符合法律规定如《中华人民共和国建筑法》《中华人民共和国环境保护法》《中华人民共和国环境影响评价法》等；应符合行政法规如《建设工程质量管理条例》《建设工程勘察设计管理条例》等；还应符合上级单位及企业内部工程管理相关制度、规程等。

2、从风险控制的角度

前期风险控制：企业筹备一项重大工程项目，需做好工程项目可行性研究，识别工程项目可能存在的风险，分析风险大小，评估风险是否在企业可承受范围内，以及决定是否要开展工程项目建设。

事中风险控制：工程项目实施后，工程管理主责部门需持续监管，一旦发现异常风险，则触发风险应急机制。

3、从内部控制的角度

企业制定专门的工程管理工作流程、规章制度，如《工程前期管理办法》《工程实施管理办法》《工程竣工验收管理办法》《工程档案管理办法》等，明确工程管理主责部门、协同部门，工程管理基本原则、基本程序或整体业务、审批流程，以及每个流程环节应注意的基本事项。

例如确定工程立项、工程手续办理主责部门及协同部门，不同金额的工程变更审批流程如何，工程竣工验收流程及验收标准等。

 

在公司治理和管理过程中，明确辨识合规管理、风险控制、内部控制的异同点。强化特性利用，合规“重规”、风险“防险”、内控“抓控”；打通相通之道，三者互为补充、互相融合、有效合一，形成统一的内控风险合规体系，为企业应对复杂的发展环境、确保企业持续发展和提高竞争力的提供强力有的保障。