原标题：一文读懂法务、合规、风控、内控、内审的关系

现代企业立足市场，会面对来自方方面面的风险，诸如合同行为的风险、资本运作的风险、知识产权的风险、人力资源的风险、环境保护的风险、税务筹划的风险以及公共关系的风险和诉讼仲裁的风险等等。如何防范这些风险以达到保障企业安全运营的目的，从根本上预防潜在的风险变成现实的灾难，防患于未然，这就需要建立企业法律风险管理服务机构，健全企业法律风险管理体系。大型企业往往会在内部设立法律法规室或法律事务部，以处理企业的日常法律事务。

鉴于公司的设立往往是以盈利为目的，在企业内部设立法务部门也是基于降低风险、减少损失、维护公司合法利益为出发点，因此企业法务以一切服务于公司业务、服务于生产经营为根本宗旨，以扩大服务范围、提高服务水平作为根本任务，也是就通常所说的服务于业务部门工作。

国际标准化组织（ISO）在2014年12月15 日发布了国际标准ISO19600《合规管理体系-指南》对“规”有定义：组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。合规义务信息应包括合规要求，可包括合规承诺。前者包括监管机构制定发布具有强制性的法律法规、监管条例规定等，后者包括组织与社区、公共权力机构、客户签订的协议、组织要求、政策、程序、自愿原则、规程、环境的承诺等。

广义的“合规”，有三层含义，第一层是企业要在生产经营过程中要遵守法律法规，即企业要遵守公司总部所在国和经营所在国的法律规定及监管规定；第二层是企业经营要遵循企业内部规章制度，包括企业商业行为准则的规章；第三层是企业员工要遵守良好的职业操守和道德规范等。狭义的合规是指企业遵守反对商业贿赂方面的规定。

结合以上，合规的“规”应该按照三层涵义来正确理解：第一层是具有强制性的法律法规，即企业总部所在国和经营所在国的具有强制性的法律规定及监管规定；第二层是企业在生产经营活动中写入企业规制的对相关方（客户、股东、监管方、企业内部员工等）的自愿性承诺；第三层是企业要遵守良好的职业操守和道德规范、公序良俗等，这些不是强制性的，但在社会活动中普遍为大众所认同。

合规风险即企业组织集体行为和代表企业组织的个人行为是否遵守合规的“规”的不确定性。

从合规的“规”三层含义看，第一层合规风险和第三层合规风险就全面包含了企业内部控制风险内容。

企业风控即企业全面风险控制。2004年COSO继续提出了企业风险管理整体框架，定义企业风险管理：“企业风险管理是一个过程，受企业董事会、管理当局和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”这个对企业风险管理的定义依然有内部控制的太多痕迹。实际中，企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险等。

内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加 价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制和治理程序的效果，帮助组织实现其目标。

从概念上分析，内部控制也有监督评价的内容；内部审计是对内部控制、风险管理与治理进行评价，确保组织正常运营，保证不偏离公司目标。

（一）内控、风控、内审的关系

在集团内部管理而言，三者关系有一定的关系与作用。内部控制是风险管控和内部审计的基础，是风控和内审的根源根本，处在整个控制系统的前端。而风险管理则处在中端，它能为内部审计作业提供逻辑和方向，为内部审计确定问题（即是评估后的风险），确定审计方向（目标）提供精准定位。

内部审计是通过确认和咨询的方式，对企业运营、内部控制、风险管理和公司治理进行评估与评价，以保证企业各项业务工作按照既定目标和标准，不偏不倚地完成公司目标。

内控、风控、内审三者是＂基础一分析一评估＂递进关系、因果关系。从控制方式方面总结，内部控制是事前控制，因为制度与流程是为管理而生，为防止企业管理出现问题和错漏而制订。所以，它是事前预防和控制范围；

风险管理，主要在事中进行分析评价，当然事前也可以，风险评价的基本和内容也是内部控制和制度流程，作业过程的风险就属于事中控制；就算事后分析风险也是为了事中的管控。所以，个人认为风控是事中控制的范畴。

内部审计，从三者关系而言，内审工作已经在前两者之后，是根据风险提示或结果，对内控相对应节点（关键控制点）进行确认，确认风险是否存在，是否产生损失，是否可化解或转移，按照这个过程，内审就是事后的确认与评估，属事后控制范畴。

PS：内控是点，风控是线，内审是用线把点串起来组成面。

（二）合规、内控、风控的关系

1、风险管控的层级：合规-内控-风控

（1）合规是“打基础”

合规的核心：“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”

合规的产出：合规可以起到最基本的抑制操作风险的作用

合规的短板：只能发现问题而不能解决问题

（2）内控是合规的“最高等级”

内控的核心：不但要求合规，还要考察“规”的状态（是否完善、是否有配套指引、执行过程是否完善）

内控的重点：与合规相比，合规注重结果，内控重视过程。并在此基础上发展较完善的工具和方法（COSO框架）

内控的优点：内控是抑制操作层面风险的最佳手段

内控的缺点：内控对需要站在一定管理高度的风险（如战略风险等）无能为力。（例如内控无法衡量资本市场波动会给公司带来多大风险）

（3）风控管理是风险管控的“最高形式”

风控管理的核心：“两个必须”

必须把风险管理的职能提升到高级管理层

必须设立独立于业务部门的风险管理部门

公司内各类风险相对分散、独立，设立统一的部门，站在管理层的高度来对风险进行检视，才能避免“头痛医头脚痛医脚”。

风控与内控本质上都是通过评估、防范、控制企业风险，从而促进企业经营目标的实现。

第一两者审视风险的角度不同

风控主要围绕企业战略经营目标，“自上而下”地辨识、评估、分析风险，并提出风险预警防范和应急管理的策略和措施。

内控主要从流程合规、反舞弊角度出发，“自下而上”地诊断招标采购、销售、资金等具体运营流程中的内部控制缺陷，并进行整改。

风控好比企业的“保健医生”，主要职责是“治未病”。内控好比企业的“急诊医生”，主要职责是“治已病”。

第二两者处置风险的工具不同

风控主要采用风险地图、流程数据分析、调查问卷、控制分析、专家评分等工具。随着企业信息化程度的逐渐提高，以数据分析为核心的量化风险分析、风险评估指标体系（如REI指数）等越来越受到重视。

内控主要采用例行审计、专项审计、合规检查等形式，主要使用穿行测试、控制测试等工具，诊断重点业务、重要流程的内部控制设计及运行缺陷。

目标导向一致：战略目标导向

内审、内控、风控都是基于治理、监管等因素下的“产品”，继续追溯产生的动因。

从内部角度分析，两权分立（所有权与经营权）是重要的因素之一，从外部角度分析，组织运营要满足法律法规遵循性的要求。

内审、内控和风控对公司的运营就是一种制衡，对人的制衡，对事的制衡，对利益的制衡，制衡之外是对组织健康发展的一种促进。

公司存在的目的：生存、发展、获利。公司要实现其目的，内审、内控、风控可以说是公司的“防火墙”、“保健医生”。内审、内控、风控的落脚点要导向组织的战略目标、远景、规划，从近处说，要服务组织某阶段的发展目标（短期目标），从这个角度分析，三者目标导向是一致的。

法务人员必须掌握的四项管理技能

管理是一项具体的工作，对于法务来说，更是一种与法律融合的新技能。虽然对于一个专业的管理者来说，都不一定能掌握全部技能，但是每一个管理者都必须了解这些技能是什么、它们可以用来做什么以及对自己提出什么要求。中高级法务人员也需要学习此类管理知识，处理公司法律事务时，要有意识地加以运用，并形成属于自己的、独特的、有效的管理技巧。

有效决策的第一步：界定问题。相比较西方人而言，日本人擅长去把注意力集中在探求决策的本质上，理解决策到底是关于什么的，而不是关心应该做出什么样的决策。对于日本人来说，决策的重要因素在于界定问题，在正确界定问题的基础上，使大家取得共同的意见。最终，日本人根本无须花费时间去推销一项决策，每个人也都会知道并且认可这一决策。所以，日本人在谈判阶段动作很慢，无穷的拖延，对一些问题不断地反复讨论，但是紧接着就是快速行动，使对手措手不及。

有效决策的第二步：了解不同的方案和意见。在没有不同意见之前，不要轻易做出决策。如果是大家一致鼓掌通过的，未必是一项好的决策。只有经过各种相互冲突意见的交锋、对各种不同观点的争辩、对各种不同判断的抉择，才能全面考虑各种风险，做出一项好决策。

有效决策的第三步：掌握真实反馈。决策之中必须包括反馈制度。任何事物都是在不断发展变化，随着时间推移，即便是当时选择的自认为最完美的决策，也可能会碰到波折和意料之外的障碍，未必一直适合，能够达到预期效果。反馈，首先应当重视报告，但是绝不能只依靠报告。报告可以被修饰，信息传递可能会出现错误，但是亲自了解、检查决策执行情况，一般获得的才是最真实的反馈。二者有机结合，必能使一个有效决策发挥出最大效能。

因此，从决策我们就能看出，管理不是一种智慧、一个人就能完成的事情，还需要发挥组织的想象力和智力，动员团队的各种力量和各种资源，以便获得最佳管理。

沟通的也是法务人员必备的一项基本管理技能。法务部门与其他业务部门、公司管理者、客户就业务问题和法律问题之间的沟通，是法务人员完成基本工作的前提。

法务人员的工作与文字息息相关，出具法律意见、合同审核报告、拟定合同、法律咨询等，都是通过语言文字来传达。作家中流传一句老话：“语句晦涩意味着思想混乱。需要整理的不是文字，而是文句所要表达的思想。”无论采用什么媒介方式，我们在沟通时都要问一下自己：“这项信息在接收者的感知范围内吗？他能够理解吗？”运用恰当的语言使他人感知才能为沟通出预想效果打下基础。

沟通需要附带要求。在发出沟通讯号时，必须想清楚你要求信息接收者变成什么样的人、做某件事或者相信某件事。最有力的沟通是能起到“改造作用”的，会改变对方的观念、要求甚至动机。

沟通还需要重视在内部和外部进行沟通。公司处于瞬息万变的商业环境中，并不是单独割裂的个体。在内部，法务人员需要同公司高层管理者、各部门管理者、业务人员、团队内部之间进行沟通。外部还需要同律师、行政部门、司法部门进行协调，以维护公司利益。

核查是为了达到目标的一种手段和分析方法，而控制是目标，是结果。

为了使管理人员能够进行控制，核查必须符合以下七项规范：符合经济性；有意义的；适合被衡量的现象；同被衡量的事件相称；必须及时；简单；具有可操作性。其次，我们必须知道，核查结果。可能不是客观的，因为我们面对的是一个复杂的感知情景，它依赖于人的意识判断。另外，核查还应当具体问题具体分析。面对公司有意义的重大项目，应当指派专业人员经查核查，防止情况突发。而面对一些常规性的，无较大风险的项目，只需要普通核查行为，予以纪录并注意即可。

可能你认为组织的最终控制应当是依赖于电子计算机、运筹学和模拟等所组成的最完善的“仪表盘”，其实不然。企业由人组成，计算机器也依靠人来控制，所以无论一个机构具有怎样的权威和竞争力，它都必须满足对其成员的抱负和需要，而这些是通过机构的奖惩制度、激励制度、价值观念和制裁来实现的，这才应当是组织的最终控制和任务。

说到管理人员，一般人会认为这是一件极其严肃的事情。其实要达到有效管理人员的效果，首先要学会的是与其他部门的人或者法务部门的同事和谐相处。有效的管理不但要懂得去调动下级的积极性，而且要懂得去调动同级和上级的积极性，让他们为你所用。如果自己不能与这些人共处，等于不能有效利用这些人为你产出，为你贡献。

其次，管理者有效的管理人员，要练就驾驭时间和驾驭他人的本领。不能采取来了什么就干什么的态度；如果这样的话，迟早都会让自己陷于事务中不可自拨。因此，管理者要学会让下属安排工作，不要占用自己过多的时间，使自已可以把精力投入到更重要的工作中去，在让自己的工作变得有效性的同时，也使被管理者的时间得到合理使用。

另外，还要运用适当的奖惩机制去鼓励他人的发展。企业要想获得成功，管理者必须千方百计地发展员工的才能和技术，要从战略的目标来培养高学历高素质人才，当然也包括管理者本身。寻求自我发展不仅仅是个人的要求，更是组织发展的基础。这也就可以解释为什么一些大企业会定期组织对内部的法务人员进行培训了。

原标题：法务管理与合规管理

3月初去深圳参加了一次为期三天的研修，主办方是中国政法大学中国企业法务管理研究中心，大名鼎鼎的微信公众号“赛尼尔法务管理”就是由他们负责运营的。课间闲聊时，曾答应中心主任叶小忠老师，回去后给他们写一篇。但后来一直忙，就拖到了现在。

说起这次研修，也算是大咖云集了，其中让我印象尤其深刻的有两位。一位是华为高级副总裁、首席法务官宋柳平先生，宋总的管理心得和商业思维给了参加研修的法务同行们很多启发，颇受好评。另一位是中兴副总裁、首席合规官谢国辉先生，谢总关于合规工作与法务工作的联系和区别的思考和分享，非常到位。

（从左至右：宋柳平、王涛、叶小忠）

无论从哪个维度衡量，华为对法务部门的重视程度，以及法务部门在华为所产生的实际价值，在国内企业中都是非常罕见的，也许是独一无二的。华为的法务部门曾经起到让华为起死回生的作用，后来则一直掌控着华为的生死命门-专利布局。

华为的法务团队目前已扩展至七百多人的规模，其中不乏精英人士，但这支队伍并不是一蹴而就的。企业是经营出来的，不是管理出来的，因此，企业对法务的需求，一般是随着业务的发展而逐步增长，初创期不需要太多的法务，也不需要独立的法务部门。2000年以前，华为还没有独立的法务部门，法务人员分散在法律服务需求量比较大的几个部门，比如国际市场部、知识产权部、财经部、采购供应链管理部，等等。很多企业都曾经历过这个没有独立法务部门的阶段。

法务人员分散管理，有利于贴近业务、深入业务，但从国外大企业的普遍规律来看，法务人员更适合统一管理，因为法务部门承担着风险管理的职能，而风险管理是一个整体的链条，“铁路警察各管一段”比较容易出现漏洞，而且业务越大，这种风险也就越大。如果企业很大，或者业务很多元化，可以对法务人员试行集中管理前提下的分散办公模式。

法务管理的首要任务是在企业内从上到下牢固树立依法经营的意识。这观点可能会让法务朋友们感到非常的震惊：最重要的居然既不是覆盖面最广的每年数以万计的合同审核，也不是听起来好像很牛逼的投资并购之类的高端法律服务，而是每年习惯性地走走过场的可有可无的“普法”？！细思之后，才恍然大悟：太有道理了！

首先，法务朋友们不妨回顾一下，平时工作中最容易让我们感到头疼的是什么？一名训练有素的律师，即使遇到复杂的或者陌生的法律问题，一下子回答不了，只要给他时间去准备，他都能把问题给剖析清楚，讲得头头是道、唾沫横飞（就是这么拽），因此这没啥好头疼的。当法务和业务都真切地感受到彼此之间的合作关系时，遇到的事情再复杂都不是问题，意见的分歧再大都不是障碍；相反，当双方感受到的是相互之间的不理解甚至敌意时，再简单的事情、再小的分歧都可能形成内耗。内耗的根源可能来自于三个方面：1、业务没有发自内心地树立依法经营的意识；2、法务缺乏商业思维；3、缺乏建立在对1和2有着清醒认识基础之上的制度设计。

其次，树立依法经营的意识，绝不是靠“普法”能做到的。前几天微信上刷屏的“辱母杀人案”，最终处理结果是否得当，对司法公信力的影响恐怕比“普法”要大得多。企业也一样，从高层领导到普通员工，让他们高喊几句依法经营的口号是很容易的，难的是当真正遇到难以取舍的选择时，业务和法务都能习惯成自然地站在一个更高的层面上去考虑问题。这是一个长期工程，一般都要发生过多次正面的事例和反面的教训后，才会慢慢地产生潜移默化，高层领导的胸襟和格局则在这个过程中起到催化剂的作用。

有位朋友问宋总：“这么大一个摊子，您怎么忙得过来？”宋总回答说：“我主要负责搭班子，选人用人，调兵遣将，其它不怎么管。”当时有人接着问：“您什么都不管就不怕手下人抢了您的位置吗？”宋总没正面回答，我也不评论了，仁者见仁，智者见智，还是留点时间聊聊中兴吧。

中兴前段时间因美国商务部9亿美元罚单的事而处于风口浪尖，因此谢总带来的不仅仅是经验分享，还多少有一点教训反思的意味在里面。

很多人-包括很多法务朋友们在内-根本不知道什么是合规管理，以为合规管理与法务管理是两项差不多的工作，换个马甲装装蒜而已。一般企业也就算了，但有三类企业，如果对合规管理是这种认识，迟早要惹大麻烦。这三类企业是：1、有大量境外（特别是欧美）业务的企业；2、金融企业；3、上市公司（特别是有一定知名度的）。

合规管理与法务管理的第一个区别是：虽然都叫“管理”，但合规是货真价实的纯管理，几乎不存在服务和支持职责，而法务则既是管理，又是服务和支持。对一项业务的法律风险控制，法务要基于服务和支持的理念进行管理，因此，当法务认为这项业务的法律风险控制已达到合格标准但又不尽人意时，很有可能一方面会表示“同意”开展这项业务，另一方面又提出一大堆有助于使法律风险控制达到优良标准的建议。很多人会因此指责法务：“你到底是同意还是不同意啊？”也有人会要求（有时是要挟）法务：“你把建议收回去吧。这些都没啥大不了的，业务开展起来要紧啊，不要为这些鸡毛蒜皮的事情妨碍了业务啊！”这些指责和要求到底有没有道理呢？这个问题先放一放，我们接着聊合规在这个时候要做什么。

合规首先要判断业务的法律风险控制是否已达到合格标准，如果认为不合格，就必须明确表示“不同意”。在这点上，合规与法务的职责其实是完全重叠的。但如果认为合格，合规是不应去提完善性的建议的，表示“同意”就OK了。那合规管理岂不是太简单了？错！请接着往下看。

合规管理与法务管理的第二个区别是：合规拥有检查、监督、处罚等权力，法务则没有。如果业务部门偷偷地去开展未经审批或审批不通过的业务，或者做业务的过程中以权谋私，合规是要抡起大棒打下去的，但法务没有这个权力。另外，回到刚才那个场景，对法务提出的完善性建议，如果业务部门因为私心、偷懒、严重判断失误等不可原谅的原因而不执行的，也应当纳入合规检查、监督、处罚的范围，但业务部门有权自行基于合理的判断而善意决定不执行法务提出的完善性建议（这就顺便回答了刚才那个暂时放一放的问题）。

合规管理与法务管理的第三个区别是：合规管理的关注点不局限于法律，诸如内控制度、决策程序、业务流程等，都是合规管理的关注点。因此合规管理人员中法律背景的只需要一小部分，其他像业务背景的、IT背景的、审计背景的，反正各种各样的最好都有一些，都用得上。

换个维度总结一下。1、合规是管理型的，其对法律风险控制的判断标准是合格标准，是一种底线思维；2、法务是服务型的，其对法律风险控制的判断标准是优良标准，是否采纳由业务部门在充分听取并理解法务意见的基础上，基于对实际情况的通盘考虑，自行作出合理判断并承担判断失误的风险；业务部门可以就自己的判断是否合理进一步征求法务意见，但无需取得法务同意；3、合规拥有广泛的权力，且将关注法律以外的很多因素。