20世纪80年代以来，公司治理、内控管理、风险管理、合规管理等新理论、新机制、新制度相继出现，公司治理能力和治理水平明显提升，国际公司、跨国公司茁壮成长。成功的结果看似一样，但成功的经验各不相同。世界上至今没有形成一套普遍适用的治理理论和治理体系。当然，这并不影响世界各国对公司治理、内控管理、风险管理、合规管理等涉及企业治理体系和治理能力问题的研究，也正因为此种原因，目前世界各国关于公司治理、内控管理、风险管理、合规管理的理论和实践也不一致，以至于各种解释和做法纷繁复杂，有必要对此进行研究，说清楚这几个理论、机制、制度、概念之间的联系和区别。

一、公司治理

公司治理，作为一种理论体系和制度体系，产生于现代公司制度——有限责任公司和股份有限责任公司诞生之后，形成和完善于20世纪60年代以后。公司治理理论体系和治理制度体系，以《公司法》和“公司章程”为元点，以效率效益最大化为目标，研究公司目的和价值观、公司股权结构和组织结构，公司权力授予和监督、公司运行和价值实现等基本问题。包括公司治理结构和治理机制两个方面。治理结构是从静态视角分析研究公司权力分立和制衡的结构安排和组织安排；治理机制是从动态视角分析研究公司治理系统中持续互动的管控关系、功能和运行原理、收益和风险比例平衡，包括监督机制、激励机制和决策机制等。

公司治理作为实现公司价值的一种理论和运行机制，是在个体经营、独资企业、家族企业、合伙企业、无限责任、有限责任等基础上发展起来的。相对传统的企业治理和管理形式，现代有限责任公司和股份有限责任公司获得了独立的法人地位。公司以自己的财产独立承担民事责任，履行民事义务，股东以出资额为限承担民事责任，履行民事义务，股权平等，股份可以有偿转让，所有权与经营权相分离。公司在存续期间具有稳定性，出资人获得了安全感，可以在不直接参与经营管理的情况下获得股份分红收益。

公司治理是一个历史的、文化的、法制的概念。从1600年英国政府批准成立股份制东印度公司、确立公司的独立法人地位以来，公司经历了投资者直接经营管理的业主制、聘请管理层的委托代理制和20世纪70年代管理层中心主义阶段、20世纪80年代股东会中心主义阶段、20世纪90年代董事会中心主义阶段和21世纪利益平衡/风险控制等不同的发展阶段，形成了各具特色的英美模式、德国模式、日本模式、东亚模式和中国特色社会主义公司治理模式。随着社会的进步，经济全球化、国际公司、跨国公司的长足发展，各国经济文化交流日益加强，特别是联合国、国际组织、区域经济体和主要发达国家在世界范围内推行合规管理，进一步压缩了不同国家、不同制度、不同文化、不同发展阶段的公司治理差距，各国、各地区、各文化区域相互学习、相互借鉴，促使公司治理结构和治理机逐渐趋同，相互融合，已成为一种发展趋势，但就现状看，各国经济文化发展的不均衡性，以及各国原有文化、传统和风险偏好的不同特点，仍然会使各国的公司治理保留一定的特色，公司在发展的不同阶段，其治理结构和治理机制也不相同，具有成长性、可变性和历史传承性。如中国特色的社会主义公司治理理论和治理机制，国有公司、混合所有制公司、外资公司、合资公司、合作公司、个体私营企业，多种股权结构、多种治理模式并存，相互融合，特别是党委领导下的“三重一大”决策机制，确保了国家经济职能与企业经济职能、社会责任与经济责任、社会效益与经济效益的有机统一。

公司治理结构和治理机制必须协调解决好授权与限权、内部监督制约与外部监督、监督制约与效率效益、大股东和控股股东与小股东、经济效益与社会责任、内部发展环境与外部发展环境的关系。

从根本上来说，公司治理结构和治理机制是出资人在《公司法》等相关法律规范的基础上进行利益博弈的结果。公司治理强调公司股东、董事会、监事会、经理人员之间的责、权、利配置及相互制衡。在公司治理中，公司所有者（股东）通过股东大会形成决议，产生董事会，将自己的资产交由董事会托管。公司董事会是公司的决策机构，聘请或者委托高级经理人员，组成在董事会领导下的执行机构，在董事会的授权范围内开展经营活动。监事会对董事会、经理人员进行监督，形成闭环的监督制约机制。这种治理结构和治理机制，既保证了公司高效运行，又能够防止公司大股东、控股股东和代理人（经营管理者）滥用权力，或者使公司运营脱离公司发展战略、发展目标，出现大起大落甚至颠覆性错误的发生概率。具有科学性和稳定性。

公司的本质是进行价值创造。公司治理的好坏不仅体现在公司治理结构科学合理和公司运行机制有效制衡上，更重要的是要体现在促进公司价值创造活动上，体现在对市场和发展环境的适应性上，体现在实现公司和出资人利益最大化上。没有效率效益的公司、不能实现公司和出资人利益最大化的公司，说到底不是治理良好的公司。良好的公司治理一定是使公司运行良好、价值最大化并且安全、合规发展的公司治理。

二、内控管理

（一）内控管理理论体系和制度体系生成的背景

    内控管理既是一个新问题，也是一个老问题，是一个伴随公司成长不断完善和成长的问题，长谈长新，没有止境。

现代内控管理理论体系和制度体系生长于公司内控管理的实践之中，形成于所有权与经营权分离、经理人相对独立、公司经营管理风险加大的多重环境之中，完善于20世纪末、21世纪初经理人及其管理层滥用经营管理权的补救和应对过程中。

15世纪末，资本主义经济得到长足发展，航海技术加剧殖民地掠夺的步伐，推动公司形式和融资形式不断创新，投资风险加大，出资人更加关注公司资金和资产安全。以意大利复式记账法形成为标志，内部牵制渐趋成熟。18世纪英、法等国工业革命爆发，出现了工厂这一新的组织形式。组织规模扩大化，组织结构复杂化，经营范围进一步向海外拓展，直接型管理方式越来越不适应所有权与经营权分离的现实需要。

20世纪30年代，世界性经济危机爆发，倒逼企业加强对生产经营过程的控制与监督，内部控制超越会计及财务范畴，深入到企业生产管理的各个部门和各个环节，如生产流程化、质量标准化、成本管控化、资源节约化等。内控管理理论和制度逐渐形成。

1934年，美国颁布了《证券交易法》，率先提出了内部会计控制的概念，要求证券发行人设计并维护一套内部会计控制，作为抑制经济危机中虚假会计信息泛滥的措施之一，包括交易必须依据管理部门的一般和特殊授权进行，交易记录必须满足依据公认会计准则或其他适当标准编制财务和经管责任的需要，接触资产必须经过一般和特殊授权，账面记录与实物资产必须定期进行核对，做到账账相符、账实相符等。1949年，美国注册会计师协会所属的审计程序委员会在“内部控制：一种协调制度要素及其对管理当局和独立审计人员的重要性”的报告中，第一次正式给出了内部控制的定义：即“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。”该报告的内容包括预算控制、成本控制、定期报告、统计分析、培训计划、内部审计以及技术和其他领域的活动等。

1977年美国国会颁布《反国外贿赂法》。要求公司报告的披露者设计一个内部会计控制系统，并维持其有效性。公司管理层对内部控制的健全性负有特殊责任，要设置账簿记录和账户，以便正确、适当地反映资产的交易和处置，保证内部会计控制系统的充分有效性。该法案还规定，企业若达不到美国审计准则委员会提出的内部控制目标，可被罚款1万美元，责任者被处以5年以下监禁。

1988年4月，美国注册会计师协会发布的审计准则公告第55号《财务报表审计中对内部控制结构的考虑》中用“内部控制结构”取代了原有的“内部控制”，不再区分内部会计控制和内部管理控制，指出“内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序”，包括控制环境、会计系统和控制程序三个要素。其中，控制环境是内部控制结构的基础和前提，会计系统是内部控制结构的关键要素，控制程序是保证内部控制结构有效运行的机制。

1992年9月，美国COSO发布了指导内部控制实践的纲领性文件——《内部控制——整合框架》（COSO报告）。该报告指出：“内部控制是由企业董事会、管理层和其他员工实施的，旨在为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程。”COSO报告提出了内部控制由控制环境、风险评估、控制活动、信息与沟通、监控等五个相互独立又相互联系的要素构成。COSO报告是内部控制发展史上的又一座重要里程碑，其提出的观点备受业内推崇，成为世界通行的内部控制权威标准。美国注册会计师协会宣布全面接受COSO报告的内部控制框架，并从1997年1月起取代1988年发布的《审计准则公告第55号》。

2011年，安然公司向美国证监会递交文件，承认在1997年到2001年间通过做假账，虚报利润5.86亿美元，并且未将巨额债务入账。15个月后，安然公司的股价从每股90.56美元跌至0.26美元，市值由800亿美元跌至2亿美元。安然公司最终向法院申请破产保护，成为当时美国最大的破产企业。安然事件导致当时世界第五大会计师事务所安达信的解体。安达信被陪审团一致认为阻碍政府调查，被判罚款50万美元并禁止在五年内从事业务。安然事件之后，2002年6月，又爆发了美国世界通信公司会计丑闻。“彻底打击了投资者对资本市场的信心”。在此背景之下，美国参议院银行委员会主席保罗·萨班斯（Paul Sarbanes）和众议院金融服务委员会（Committee onFinancial Services）主席迈克·奥克斯利（Mike Oxley）联合提出了《2002年公众公司会计改革和投资者保护法案》，又称《萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》进行了大幅修订，在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。2002年7月26日，美国国会以绝对多数通过了这一关于会计和公司治理一揽子改革的法案。法案中最重要的条款是404条款，即内部控制的管理评估。该条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。要求上市公司必须在年报中提供内部控制报告和内部控制评价报告。上市公司的管理层和注册会计师要对企业的内部控制系统做出评价，注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见，CEO和CFO需要签署书面声明：“知道建立、实施和维护内部控制制度是本公司管理层的责任。本公司业已建立内部控制制度，并保证制度设计与执行的有效性。若内容有虚假、隐匿等不法情况，愿承担法律及经济责任”。该法案大幅度提高了对会计舞弊的处罚力度，强化了对内部审计与外部审计的监管。2004年9月，美国COSO结合《萨班斯-奥克斯利法案》的具体要求，在内部控制整合框架的基础上，又提出了《企业风险管理——整合框架》（ERM框架），使内控进入了一个新的发展阶段。2013年5月COSO发布新版的《内部控制——整合框架》。新框架延续并保留了内部控制的核心概念、内部控制五大核心要素和内部控制有效性的评价标准。

20世纪90年代后期，我国政府加强了对内控制度建设的重视程度。2008年5月22日，财政部、证监会、审计署、银监会、保监会五部委联合发布了我国第一部《企业内部控制基本规范》，要求自2009年7月1日起在上市公司范围内执行。2010年4月26日，财政部、证监会、审计署、银监会、保监会五部委联合发布了《企业内部控制配套指引》，包括《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》，自2011年1月1日起在上市公司施行。执行内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告中有关内部控制的有效性进行审计并出具审计报告。

（二）内控管理的主要内容和精髓

1、内控管理的指导思想是保证公司发展战略目标实现，确保公司财产安全、生产经营活动正常进行，确保记录财产、资金、生产、销售流程和结果的会计资料真实、准确，实现公司和出资人利益最大化。  

2、内控管理的实质是公司董事会、管理机构、管理人员自上而下对公司掌控和协调运作的过程和能力。

3、内控管理的思想和制度适用于公司董事会、管理机构、管理人员和公司所有员工，需要全员参与。

4、内控管理贯穿于组织运营的始终，表现为组织架构和组成各部分良性运行的环境及协调联动关系。

5、内控管理的重点是控制环境、控制活动、预算控制、成本控制、风险评估、信息与沟通、统计分析、内部审计和监督，以及确保国家法律制度和公司管理规程、技术规范等得到切实有效执行。

6、内控管理的内容和方式受制于公司的资产结构、管理模式、发展战略，以及公司所在国家的法律制度、文化传统、社会治理方式。内控管理随着企业的规模及价值目标的发展变化而发展变化。从世界范围看，内控管理呈现出由单一的财务会计资料真实性控制向组织结构控制、管理结构和管理人员控制、发展目标和发展速度控制、发展得内外环境控制、经营风险控制、合规风险控制等综合性控制发展的趋势，具有很强的问题导向性和无限的发展性。

（三）风险管理

当下，新冠肺炎疫情肆虐全球，人流、物流和生产链、供应链、服务链处于中断和半中断的特殊状态，风险管理对于企业和任何组织都具有非同寻常的重要意义和价值。

在国际标准组织制定和发布的ISO Guide73：2009中，“风险”被表述为“不确定性对目标的影响”。包括正面的影响和负面的影响。正面的影响意味着机会和收益，负面的影响则意味着威胁和损失。如投资股票的风险，可能赚钱，也可能赔钱；如新产品研发的风险，可能成功，带来新的竞争力；也可能失败，导致现金流短缺或枯竭。风险是一种潜在事件和后果，风险的最基本特征就是不确定性，即缺乏或者部分缺乏对某一事件、后果或发生可能性的相关信息、了解或认识的状态。

ISO Guide73：2009 将“风险管理”定义为“针对风险所采取的指挥和控制组织的协调活动。”相较而言，美国COSO 对 “企业风险管理”的定义更直接和明确，COSO认为“企业风险管理是企业的董事会、管理层和其他员工共同参与的过程, 应用于企业的战略制定、企业的各个部门和各项经营活动, 用于确认可能影响企业的潜在事项, 并在其风险偏好范围内管理风险, 对企业目标的实现提供合理的保证。”中国国务院国资委在其制定的文件中提出过一个 “企业全面风险管理”的定义，该定义指出：“企业全面风险管理是指企业围绕总体经营目标, 通过在企业管理的各个环节和经营过程中执行风险管理的基本流程, 培育良好的风险管理文化, 建立健全全面风险管理体系, 包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统, 从而为实现风险管理的总体目标提供合理保证的过程和方法。”该定义重点强调风险管理要做好三件事情：一是在企业所有活动过程中执行风险管理的基本流程；二是培育良好的风险管理文化；三是建立健全风险管理体系，包括五个部分：即风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。

“风险管理”一词最早出现在加拉格尔（美国人）于1956年发表于《哈佛商业评论》上的一篇文章中。加拉格尔认为，组织中应当有专人负责管理风险，这样的人应当被称为全职风险经理。同一时间，企业界发生的两件大事使风险管理问题引起极高的重视：一是美国钢铁行业发生了长达半年的大罢工，给国民经济造成了难以估量的损失；二是通用汽车的自动变速装置引发火灾，造成巨额经济损失。这两件大事成为风险管理在企业广泛推广的直接动因。

20世纪80年代以后，“全面风险管理”思想应运而生。通过识别和评价所面临的风险，企业可以避免一些风险损失并从风险管理中获利，从而使得损失的影响最小化。风险管理真正演变成为一门研究风险变化规律，并在此基础上采取优化组合化解风险，从而以最合理的成本和最安全的保障实现企业目标的管理学科。与此同时，一些国际组织和国家不断加大风险防控标准的制定工作，如 ISO Guide73：2009 《风险管理术语》(Risk managementvocabulary)；ISO 31000：2009 《风险管理原则与指南》(Risk Management-PrinciplesandGuidelines)；ISO /IEC 31010：2009《风险管理技术》 (Risk Management-Riskassessmenttech-niques)。2002年7月，美国国会针对2001年发生的安然公司财务造假案、2002年发生的世界通信公司财务造假案，通过了著名的《萨班斯-奥克斯利法案》。2004年9月，美国COSO结合《萨班斯-奥克斯利法案》的具体要求，在内部控制整合框架概念的基础上，提出了《企业风险管理——整合框架》（ERM框架），使内控进入了一个新的发展阶段。ERM框架将内部控制融入风险管理，形成了一套更为健全的概念体系与管理依据。2013年5月，COSO正式发布了新版的《内部控制——整合框架》。2016年，COSO公布针对2004年ERM框架的修改草案，全称为《企业风险管理——通过策略与绩效调整风险》。新框架由23条原则支撑五要素，分别是风险治理与文化，风险、策略与目标制定，执行中的风险，风险信息、沟通与报告，监测ERM的绩效。对比2004年的旧版，新版改动较大，包括双向性的风险定义，风险管理在战略选择中的决定作用，全面风险管理框架的新结构。新框架旗帜鲜明地提出风险管理与内控的关系，涵盖了比内控更多的内容，内控是全面风险管理的不可分割的子集。

2009年9月30日，中国国家质量监督检验检疫总局、国家标准化管理委员会参考ISO/DIS31000《风险管理原则与实施指南》制定并发布了GB/T24353-2009《风险管理 原则与实施指南》，国家标准化委员会2011年发布了《企业法律风险管理指南》GB/T 27914-2011。中国企业特别是国有企业风险防控工作整体水平明显提升。

当今世界，唯一不变的就是变化本身，到处充满着不确定性。一方面，随着科学技术突飞猛进，世界进入知识爆炸时代，新思想、新理念、新知识、新成果、新领域、新方法不断涌现，生产效率、生产能力和人的素质极大提高；另一方面，信息瞬息万变，稍不留神就有可能出现信息断档，能力滞后、产品更新换代落后、市场偏好和交易方式变化等重大风险。随着经济全球化，一批国际化公司、跨国集团和大企业规模越来越大，企业管理已经发展成为高度智能化的综合控制体系，内外部环境的复杂性决定了企业正常的生产经营活动始终暴露于一定风险之下。进入新世纪以来，世界进入了产业升级换挡的新阶段，不少国家进行经济结构改革和产业升级调整，GDP增长速度放缓，设备投资减少，传统制造行业不景气，企业竞争加剧，特别是近年来，一些国家民粹主义和反全球化思潮泛滥，国际地缘政治冲突加剧，旧的体制机制藩篱没有破除，新的贸易冲突风云不断，企业生产经营面临更多新的不确定性因素，包括环境风险、经营风险、技术风险、财务风险、人员风险、市场风险、法律合规风险等等，任何风险处理不当都可能给企业带来巨大经济损失和信誉损失。

以控制损失、创造价值为目标的风险管理，通过考虑不确定性及其对目标的影响，以正确方法识别具体的风险管理环境，确保风险管理的合理性和适用性，为组织的运营和决策及有效应对各类突发事件提供支持；有助于判断风险应对是否充分、有效,有助于决定行动优先顺序并选择可行的行动方案，从而帮助决策者做出合理的决策，将风险控制在组织可接受的范围内；有助于组织实现目标、取得具体可见的成绩和改善各方面的业绩，包括人员健康和安全、合规经营、信用程度、社会认可、环境保护、财务绩效、产品质量、运营效率和公司治理等方面；有利于组织总结经验教训，持续改进和完善风险防控策略和方法，确保企业发展战略和目标实现。

(四)合规管理

2017年12月29日，国家质量监督检验检疫总局、国家标准化管理委员会发布的GB/T35770——2017等同采用国际标准组织IS019600：2014《合规管理体系 指南》。该《指南》为建立合规管理体系提供了指南和建议做法，但没有对合规管理提出具体要求，也没有做出具体定义。

2018年11月2日，国务院国有资产监督管理委员会（国资发法规【2018】106号）发布《中央企业合规管理指引》（试行）。该《指引》以法规性文件的形式，将合规管理定义为：“合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等内容的有组织、有计划的管理活动。”这个定义采用了全面合规管理的大合规概念，要求合规管理覆盖企业各业务领域、各部门、各级子企业和全体员工，贯穿决策、执行、监督等各个环节。《指引》对合规管理体系的各构成要素进行了全面规定，包括：合规组织，合规制度，合规风险管理，合规审查，合规评审，合规考核评价，合规培训，违规举报、调查和问责，合规报告，合规管理信息系统，合规文化，重点领域等。是迄今为止中央企业构建合规管理体系、开展合规管理工作的纲领性文件。

合规是企业从出生走向成熟的系统性工程，贯穿于原材料采购、生产、营销、融资、上市、信息披露、纠纷解决的各个环节，决策、执行、监督的全流程，伴随企业注册、发展、壮大的全生命周期，必须融入到企业经营理念、价值目标、发展战略的血液之中，成为每一个企业人、每一项经营管理活动、每一个经营管理阶层的自觉行动，成为企业核心文化的重要组成部分。

合规的基础是执行和遵守国家法律法规、国际公约条约、监管准则、行业规定和技术标准，这是最低限度的要求，也是企业必须遵守的合规义务。但仅仅至此，是不可能有真正的合规和合规管理的。当企业利益与社会利益、这个企业的利益与那个企业的利益发生矛盾冲突的时候，当企业为了实现某一更大的利益或者规避重大风险的时候，比较收益一定会冲破合规的底线，这既是人性、资本性、企业性的必然，也是被无数实例所证明了的教训。合规管理既要坚守各种法律制度的刚性，严管重罚，不给比较效益者以可比性，又要以超越物资利益层面的精神追求去教化企业参与者，培育合规文化，使人们不想违反合规管理规范、不愿违反合规管理规范，自觉遵守合规管理规范。国际标准组织制定的《合规管理体系指南》，将合规规范定义为“法律法规及监管规定、相关标准、合同、有效治理原则或道德准则。”我们国家制定的《中央企业合规管理指引》中不包含“有效治理原则或道德准则。”充分显示出国际标准组织立意高远、思虑深邃。

责任和问责是合规的两把利剑。合规管理与企业短期和现实利益的矛盾冲突时常发生。在比较收益面前，合规管理的闸门很容易被撞击。改变比较收益格局的重要砝码就是责任和问责。以“以企业和员工经营管理行为为对象”，既是强调企业和企业员工在合规管理中的主体地位，也是强调责任承担和责任追究的对象是企业和企业员工。《中央企业合规管理指引》为合规管理设置了三重防线，即企业合规委员会（领导小组）承担合规管理的组织领导和统筹协调工作，定期召开会议，研究决定合规管理重大事项或提出意见建议，指导、监督和评价合规管理工作。企业各业务部门作为合规的责任主体及合规风险防范第一道防线，负责本领域的日常合规管理工作，按照合规要求完善业务管理制度和流程，主动开展合规风险识别和隐患排查，发布合规预警，组织合规审查，及时向合规管理牵头部门通报风险事项，妥善应对合规风险事件，做好本领域合规培训和商业伙伴合规调查等工作，组织或配合进行违规问题调查并及时整改。监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门，在各自职权范围内履行合规调查、问责和监督职责。三道防线，既把合规管理的要求贯彻于企业生产经营活动的全过程，镶嵌于企业生产经营流程之中，多个监管部门和监管工作之间相统筹、相衔接，使合规部门的独立性与其他部门的监管执法工作相协同，做到独立性与协调性相结合，又体现了人人有责、人人参与的合规建设精神。

合规是企业可持续发展的基石。相较于其他类型的风险来讲，经济风险可以通过计提损失、建立风险基金、交纳保险等措施进行规避、转移、化解，而合规风险一旦转化为风险事件、事故，受到法律的追究，轻则可能受到经济罚款、交纳违约金、减少经济收益、发生合规事故的惩罚，重则可能导致企业被取缔、被关闭、被破产，甚至企业和企业管理者被定罪处刑的严重后果。合规风险具有颠覆性，是企业难以承受的。

合规创造价值。保障企业持续生存、正常生产经营，是企业开展价值创造活动的前提。一个合规风险问题重重，正在接受合规监管部门、审计部门、执法司法部门监察调查，或者处于停产整顿、司法清算环境的企业，绝对不可能是一个有信用信誉的企业，绝对不可能申请到银行贷款或被批准上市融资，也绝对不会是一个发展环境优良、经济效益很好的企业，更遑论价值创造。只有坚守合规底线，持续改善合规管理的企业，才能在市场中立于不败之地，才能持续经营和创造价值，正是在这个意义上，我们说可持续发展是合规管理的目标，促进企业持续改进管理是合规管理的核心价值，合规促进发展。

实施合规管理并不是说企业就不出错，就没有风险，就不会造成损害。一般来说，合规的“规”都是以往经验教训的总结，包含着对企业生产、经营、销售、采购、资金管理等规律的科学认识。企业遵守了合规管理的要求，按照合规管理的要求去做了，就能够及时地识别合规风险、阻断合规风险，防止合规风险给企业造成的损害。通过建立有效的合规管理体系防范合规风险，在对所面临的合规风险识别、分析和评价的基础之上，建立并改进合规管理流程，从而达到对合规风险进行有效的应对和管控。

合规有利于企业自我保护。合规意味着企业遵守了适用的法律法规及监管规定，遵守了相关标准、合同、有效治理原则或道德准则，履行和合规义务。实施合规管理，把企业的所有活动都纳入程序管理的轨道，有能力证明满足了合规管理的强制性要求（包括相关法律法规和监管规定）和自愿性承诺（包括相关标准、合同、有效治理原则或道德准则），在处理经济诉讼和行政诉讼时可以坦然面对举证责任，进行充分举证，避免举证不能的风险，提高胜诉率。在很多国家或地区，当发生违规时，企业和企业的管理者以企业已经建立并实施了有效的合规管理体系作为减轻、甚至豁免行政、刑事或者民事责任的抗辩，有可能被行政执法机关或司法机关所接受，合规有可能成为保护企业的护身符。

(五)公司治理、内控管理、风险管理、合规管理之间的联系

公司治理、内控管理、风险管理、合规管理之间的联系是多方面的，主要表现在如下几个方面：

    1、都产生于相同的企业发展阶段和社会背景，即有限责任公司和股份有限责任公司制度出现并成为公司的主要形式，公司所有权与经营权分离，出资人与实际控制人、小股东与大股东矛盾冲突加剧，职业经理人取得相对独立的法律地位并在企业经营管理中发挥重要作用。迫切需要从理论与实践的结合上对公司治理结构、各利益关系人的权利边界和协调联动关系等做出新的创造，从法律制度上进行规制，适应新的形势和利益格局需要。

2、都有着基本相同的性质和功能——即为实现公司良好、公平、透明、安全、有效率的发展提供机制保障和手段。

3、都拥有一个共同的目标追求和利益关切——保证公司发展战略、发展目标实现，防止和控制风险事件（事故）发生。

4、都以规则之治为实现方式——着眼构建一套符合公司和出资人全局利益、长远利益的管理机制、价值观念和核心文化。

5、都坚持问题导向和持续改进的开放式治理模式——公司经营管理中的问题不断生成、治理结构和治理机制持续改进。实践无止境，公司治理理论和管理机制创新也无止境。持续改进、开放发展，是公司治理、内控管理、风险管理、合规管理的共同品格。

6、都建立在全员参与、全流程嵌入和核心价值共识的基础之上。尽管领导的重视和关注对构建公司治理、内控管理、风险管理、合规管理体系和机制非常重要，但如果没有共同的价值观和文化共识支撑，没有全员参与和支持，各种管理机制、制度不能够融入公司的业务流程之中，再好的管理机制和制度都不可能真正发挥促进公司良好、公平、透明、安全治理和效率效益的作用。

7、都以法治为基础，受公司章程制约。比如公司的设立必须符合公司注册地、经营地法律法规要求，公司的股权结构和治理方式必须符合法律法规要求，公司的经营方式和风险防控策略必须符合法律法规要求，尤其是不能与法律法规相抵触。公司的治理结构、治理方式、内控管理方式、风险防控方式、合规管理方式等都要受制于公司章程，不能违背公司章程。

(六)公司治理、内控管理、风险管理、合规管理之间的区别

1、公司治理和内控管理、风险管理、合规管理的逻辑层次和起点不一样。公司治理类似于总纲，规定了公司的资产性质、出资人、资产结构、股份构成、管理架构以及各参与方的相互关系、利益分配，对内控管理、风险管理、合规管理具有统领与节制的作用。从效力和层阶上看，公司治理是管宏观的，处于第一层阶，内控管理、风险管理、合规管理是落实公司治理任务的方式和保障，处于第二个层阶，但从目的和价值看，风险管理则处于价值链的核心位置，各项管理方式的落脚点，主要的还是防范和减少经营、合规等潜在风险和风险事故发生。近年来，一些国际组织和国家，针对公司经营管理中地缘政治、技术信息、信贷资金、市场波动等不确定因素增多的实际情况和发展趋势，提出了全面风险管理的大概念，将内控管理、合规管理等全部纳入风险管理的范畴，使得他们之间的相互关系发生了根本性的变化。

2、内控管理与风险管理、合规管理既各自独立，又相互包容，相辅相成，共同完成防控风险、保障公司持续健康发展和实现出资人利益的任务。各种治理方式都以自己独特的价值回应公司治理的关切。比如说，公司股东和利益相关者的知情权、监督权主要通过定期发布和审查公司财务报告、审计报告、专项报告来实现，内控管理的最重要责任之一就是确保公司财务报告真实可靠、公开透明。

3、公司治理、内控管理、风险管理、合规管理的治理对象不同。公司治理以构建公平、控权、有效率的组织架构和治理模式为基础，以科学配置股东大会、董事会、监事会、职业经理人、公司股东（所有者）与经营者（职业经理人），大股东、控股股东与小股东的权利义务为主线，以保障所有者与其他利益相关者的知情权、监督权、救济权为核心，解决的重点问题是公司所有者关切的权利保障和公司发展战略、经营目标、价值实现问题。内控管理的对象是公司董事会、监事会、职业经理人和员工以及公司各区块、各条线的业务工作，通过制定工作规程、明确责任、权利、利益，激励、鞭策各董事、监事、高级管理人员和员工，贯彻落实股东大会决议，在公司章程授权范围内依法依规、诚实信用、尽职尽责、公开公平履行职责，保障好、实现好公司和出资人的利益。风险管理的对象主要是识别、评估、监测决策程序、执行程序和内外环境，发现可能偏离目标的事件发生的概率，通过营造环境、利用环境、规避环境改变目标偏离值和偏离方向，最大可能地化解风险，减少风险可能带来的危害。合规管理虽然也以防范和化解风险为目标，但其作用对象则主要是事前为权利行使设定标准和界限，事中监督落实，事后调查问责，即对人，也对物。

4、治理方式不同。公司治理的方式一般表现为召开股东大会形成决议、制定和修改公司章程、制发内部法规性文件、对重大问题做出决定，或者确认重要机构设立、选举和任免重要机构负责人、研究重大投资决策、重大利益分配事项等。内控管理的方式主要是根据公司章程和国家法律法规政策，制定公司发展战略、管理规程，设置专业化职能机构和监督机构，通过实施全面预算管理、流程管理、风险管理、合规管理、责任管理、监督问责等，保障公司发展战略、发展目标、经济利益实现。风险管理的方式主要是识别、评估、监测风险源、风险概率、风险程度以及可能造成的后果，衡量风险与预期利益的比例，分析判断可能的选项，通过评估环境、改变环境、利用环境和进行信息反馈传导，改变风险发生的概率和后果，实现利益最大化。合规管理，脱胎于内控管理，与内控管理的联系很密切，从一定意义上可以归类为内控管理，但是，因应合规管理自身的价值和重要性，它又具有独立性，已发展成为独立的管理体系和理论体系。合规管理以责任、调查、问责为主要使命和治理方式，具有履职的全覆盖性和刚性，属于保障性治理方略。