第二节 非合规风险转化为合规风险

1931年，美国管理协会保险部最先提出了风险管理这一概念，此后，风险的概念不断丰富，广义地说，凡是可能对企业造成不利影响的因素都是风险。合规风险是指由于违反法律法规以及监管要求等相关规定而导致的风险，如对外提供财务报告或披露敏感信息、重大交易信息未能遵循相关法律规定，影响公司声誉甚至被监管处罚。合规风险是相对于合规义务而言的，合规风险不一定能为企业及时掌握，合规义务要求过高时，企业是否能完全履行是不确定的。除了合规风险，随着COSO报告对内部控制理论的完善，越来越多的风险被揭示出来，并提供了相应的应对措施，即建立相应的内部制度，曾经被认为无法操作的风险也有了对应的预防控制机制。合规义务的数量决定了合规风险的数量，合规规范由外部法律向内部规章、职业道德扩展，合规义务也大大增加，战略风险、财务风险、市场风险、运营风险、投资风险、人力资源风险、质量管理风险和侵权风险在2016年COSO风险管理整合框架的五项要素23项原则的基础上也转化成合规风险，因此，内部控制极大地促进了合规的发展。以战略风险为例，战略风险是指由于战略制定和实施的流程无效、低效或不充分而影响企业战略目标实现的风险，其中包括：①缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失发展机遇和动力。②发展战略过于激进，脱离企业实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。③发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。但在内部控制框架的基础上，通过风险治理与文化、风险战略和目标设定、风险执行、风险信息的沟通和报告、全面风险管理绩效监控5项基本要素，将战略风险纳入制度范畴加以管理，建立了战略的制定和执行程序、规划、主管部门和监督机制，规则之治带来的确定性大大提升了风险管理的有效性。