合規管理，內部控制，全面風險管理有什麼區別！?

01-03

內部控制和全面風險管理，目前還沒有統一的認識，但是coso給出的解釋還是容易理解的，基本上將內部控制做為全面風險管理的一個緯度；當然也有認為全面風險管理是內部控制的一個緯度的觀點，抑或是兩者是等價的，這些都是仁者見仁，智者見智了，這方面的討論也比較多。
但是，關於合規管理與內部控制和全面風險管理的區別是什麼？為什麼在有內部控制和全面風險管理的概念下，還要再提出合規管理？這方面的討論卻很少。請業內專家談談個人看法吧。

從風險管控的角度來說，我認為從低到高是合規管理-內部控制-全面風險管理。

首先，合規管理是最基礎的層面。合規管理的本質並不聚焦於風險管理，它只是機械的避免違反內外部法律制度規範，從結果上看能夠起到一定程度上控制操作風險的作用，但是這個作用有多大、夠不夠，並不是合規管理所關注的，自然也不是它能夠解決的。

其次，以coso框架為代表的內部控制，是合規管理的終極版，也可以說是操作風險管理的終極版。內部控制不但要求合規，還要考察這個「規」是不是完善，「規」有沒有配備相應的執行點，執行「規」的過程是不是有效。如果說合規管理更注重結果、只要結果合規就OK，那麼內部控制就更重視過程，並在此基礎上發展出整套完善的工具和方法。

最後，全面風險管理是風險管控的最高形式。在全面風險管理中，風險一般被分為市場風險、信用風險、操作風險、聲譽風險、戰略風險。剛才說了，內部控制是管理操作風險的終極手段，但是它對其他風險並沒有效果。內控再嚴密，也無法衡量資本市場波動會給公司帶來多大風險（市場風險），無法衡量交易對手賴賬不給錢有多大風險（信用風險），更無法衡量公司戰略方向錯誤、出了事被人罵的風險。

當然，全面風險管理的精髓，還不只是考慮了這5類風險——畢竟這些風險都不是新鮮玩意。傳統上，市場風險歸交易部門管，信用風險歸信貸部門管，操作風險歸合規部門管，剩下倆風險管理層拍腦袋管。這種方式非常自然：誰幹的活誰管風險嘛。但是問題在於，幹活的是不會真正關注風險的。交易失敗無非沒有獎金，交易成功就有大筆分紅，誰會跟錢過不去呢？

所以，全面風險管理認為，必須把管理風險的職能提升到高級管理層這一級，必須有一個首席風險官和獨立於交易部門的風險管理部門，來客觀的衡量這些風險。而且從技術上講，各個風險之間有分散作用，也必須由一個統一的部門來管理，才能真正考慮到這種分散作用。

就答這些吧~

你通過什麼來落實風險控制，你或者說你控制風險，進行風險管理的手段是什麼呢？

是制度。沒有制度就沒有風險控制手段。

制度執行到位與否，制度是否涵蓋所有風險點，是否確實有效控制了風險？這些都需要專門的管理與動態評價。

通過管理手段監督推動風險管理機制的落實執行及動態調整，簡言之曰合規管理。

沒有合規管理，風險控制就是空談。

第一，合規管理有廣義，狹義之分。狹義的合規，是指對外部法規的遵循。

狹義的合規，主要是依據銀監會《商業銀行合規風險管理指引》，「規」主要是指銀行外部的法律法規。

第三條本指引所稱法律、規則和準則，是指適用於銀行業經營活動的法律、行政法規、部門規章及其他規範性文件、經營規則、自律性組織的行業準則、行為守則和職業操守。

本指引所稱合規，是指使商業銀行的經營活動與法律、規則和準則相一致。

本指引所稱合規風險，是指商業銀行因沒有遵循法律、規則和準則可能遭受法律制裁、監管處罰、重大財務損失和聲譽損失的風險。

廣義的合規，「規」還包括銀行內部的規章制度。

第二，內部控制要同時考慮外部法規、內部制度。從這個意義上，內部控制與廣義的合規類似。

根據《商業銀行內部控制指引》（2014）

第四條商業銀行內部控制的目標：

　　（一）保證國家有關法律法規及規章的貫徹執行。

　　（二）保證商業銀行發展戰略和經營目標的實現。

　　（三）保證商業銀行風險管理的有效性。

　　（四）保證商業銀行業務記錄、會計信息、財務信息和其他管理信息的真實、準確、完整和及時。

第三，控制風險是合規管理、內部控制的都共同目標。但是，內控的目標不光是控制風險，企業內部經營效率效果評價、流程優化乃至企業文化都屬於內控範疇。

第四，控制風險的手段之一，是定下行為規則，在規則內行事，制度就是一種規則。但是，是否符合了制度就能控制風險？顯然不是。這也是銀行內控管理、合規管理的尷尬之處。