自2010年五部委发布企业内部控制配套指引、2018年国资委印发《中央企业合规管理指引(试行)》、2022年正式出台《中央企业合规管理办法》以来,国内企业形成了“内控+合规”双风控并行的治理格局。但在基层风控落地中,风控人员常将内部流程缺陷导致的内控风险、外部法规违背导致的合规风险混为一谈,出现合规台账照搬内控风险、过度投入合规管控挤占经营资源、对两类风险采用同一套零容忍管控标准等问题。
结合央企风控实操统一口径与实际咨询案例经验,我们对“内控风险”与“合规风险”做一次较为细化的区别,识别二者之间的差异与相同之处,为两个体系的建设提供一定的借鉴。
一、“内控风险”与“合规风险”来源不同
(一)内控风险识别依据十八项应用指引
2010年财政部、证监会、审计署、原银保监会联合印发《企业内部控制配套指引》,包含1项基本规范、18项应用指引、1项评价指引、1项审计指引,是国内所有上市公司、央企、大型民企开展内控风险识别的唯一法定依据。十八项指引全覆盖企业内部全价值链,分为内部治理类(组织架构、发展战略、人力资源、企业文化)、业务运营类(采购、销售、资产、研发、工程项目)、资源管控类(资金、全面预算、担保)、信息保障类(财务报告、信息系统、内部信息传递)四大板块。
从十八项指引来看,识别内控风险更多是对照企业内部制度、流程、岗位制衡要求,判断内部控制活动是否存在设计缺陷、执行缺陷。从实际操作来看,由于内控风险多来自于流程风险,因此我们常会首先梳理流程,在梳理流程的过程中发现识别流程中的风险,再判断在流程中是否已经有了较为有效的内部控制手段以实现降低或者消除风险的目的。
例如《资金活动应用指引》明确要求不相容岗位相互分离,出纳不得兼任会计记账、银行对账,若企业未执行该要求,直接识别为内控风险。
以流程为出发点识别内控风险

(二)识别合规风险主要依据为合规七大重点领域
2022年《中央企业合规管理办法》第十一条明确规定,中央企业应当重点关注七大合规领域:市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴。后续国资委补充将反垄断、数据安全、境外投资纳入延伸重点领域,但基础识别框架仍以七项领域为准。
因此,合规风险识别的核心逻辑是对照外部法律法规、监管规章、行业自律准则、生效合同、国际条约,判断企业经营行为是否违反外部强制性规定。其识别视角向外,不关注企业内部流程是否完善,只关注行为结果是否触碰监管红线。两者在风险识别阶段的简单区分:内部流程乱=内控风险;外部行为违法=合规风险。
合规管理重点关注的七大领域

二、“内控风险”与“合规风险”核心差异
(一)内控追求成本效益容忍原则,合规强调法律底线禁止原则
在对待风险的态度上,内控风险遵循成本效益原则,允许合理容忍,认识到内控风险根本无法完全规避,如果非要内控风险发生为0,那么就需要付出极大的成本代价,而这一成本的付出是不符合经营效益原则的。根据《企业内部控制基本规范》第二十七条,内部控制的建立与实施应当权衡实施成本与预期效益,以合理的成本实现有效控制。这意味着内控不追求绝对零漏洞,因为完全消除内控漏洞需要无穷大的管理成本,会直接导致企业经营停滞。
例如我们曾经服务过的某省属文旅集团办公用品采购内控缺陷。集团行政部小额办公用品单次采购金额低于5000元,按照十八项采购业务指引,理论上需要三方比价、双人验收、部门负责人审批。但集团风控评估后认为,小额物资舞弊损失概率低于0.5%,年度潜在损失不超过2万元,而搭建全流程审批每年人力成本增加15万元。基于成本效益原则,集团简化小额采购流程,保留事后抽查机制,主动容忍该内控漏洞。
与内控风险导向不同,合规风险遵循底线零容忍原则,必须禁止发生,不得容忍。合规风险触发后直接产生行政处罚、信用惩戒、民事赔偿、刑事责任,不存在风险容忍区间。根据《行政处罚法》《中央企业违规经营投资责任追究实施办法》,企业不得以“内部不知情、流程不完善”作为合规免责理由。
例如2025年某地建材企业未落实职业病体检要求,违反《职业病防治法》,即便企业内部制度写明需要体检、只是人事员工漏执行,依然被卫健委罚款28万元,同时纳入企业信用黑名单。监管明确答复:内部内控完善与否不影响合规处罚,合规是法定强制性义务,无容错空间。
(二)为了成本原则,合规风险识别范围严禁无限扩大
这是合规体系建设实务中最容易被忽视的逻辑,合规管控必须受内控成本效益原则约束,不能随意扩大合规风险的识别范畴。很多企业为了杜绝所有合规隐患,将日常内部管理瑕疵全部纳入合规风险,造成合规管理的泛化。从二者底层约束关系来看,内控成本原则是企业风控顶层通用准则,合规风控属于企业风控子模块,必须服从顶层准则。
从实际操作来看,七大合规领域仅覆盖企业对外经营的强制性红线,企业内部管理细节、低概率微小瑕疵,即便存在极小概率转化为合规风险,也尽量不要纳入合规风险清单,只能纳入内控风险清单。例如,员工办公用品领用登记遗漏,极小概率引发资产税务核销不合规,但该概率极低,若纳入合规风险,需要新增每日台账核查岗位,年投入成本超20万,远大于潜在损失。因此只能作为内控风险管控,不纳入合规识别范围。
国资委2024年合规答疑文件明确指出,严禁央企合规范围泛化,不得将一般性内部管理缺陷纳入合规风险,避免合规冗余拖累经营效率,该文件直接佐证合规范围受限的官方依据。

(三)风险数据库结构与颗粒度存在差异
基于风险识别的依据不同,两套风险数据库在字段结构、风险描述、应对措施、预警阈值上存在较大差异,如果不做统筹合并的话,会在形式上有较大不同。
1、内控风险数据库:依据十八项指引分类,一级目录为资金活动、采购业务等18类,在每类指引下进行流程细分,几乎所有的风险都存在于流程活动中。核心字段包含:风险所属流程、风险描述、风险等级、风险类型、所属部门。
某企业内控风险数据库清单

2、合规风险数据库:依据七大合规领域分类,一级目录为安全环保、劳动用工等7类,核心字段包含:违反法条编号、监管处罚标准、信用惩戒后果、合规免责证据、外部整改时限。风险描述聚焦“违反外部规则”,例如“未足额缴纳员工社会保险,违反《社会保险法》第五十八条”。应对措施以补齐法定材料、接受监管整改、开展外部合规备案为主。
某企业合规风险清单示例
台账区分案例:同样是供应商管理,内控台账登记“供应商履约台账更新不及时(内部流程漏洞)”,合规台账登记“未审查供应商环保资质导致连带违法(违反环保法连带责任条款)”,二者条目独立,不得合并录入。
(四)追责主体差异:内部追责VS内外部双重追责
内控风险仅触发企业内部追责,依据企业内部《员工奖惩办法》,处置方式为通报批评、绩效扣罚、岗位调整,不会对外产生影响。合规风险同时触发外部监管追责+内部追责,外部由政府、证监会、行业协会处罚,内部开展合规问责,且外部追责优先级高于内部追责。
三、内控与合规风险的内在联动关系
前边我们介绍了内控风险与合规风险两者之间存在的差异,单二者并非完全割裂,在体系建设上存在因果联动、范围交叉的关联,也是企业双风控协同的核心落脚点。
(一)内控失效是合规风险发生的主要内因
从经验来看,企业中发生的绝大多数合规风险并不是员工主观故意违法,而是企业内控流程缺失导致的无意识违规。外部合规法条无法直接落地,必须依靠内部内控流程承接。在合规监管实务中,企业完善内控流程是合规从轻处罚的核心免责依据。
(二)内控风险与合规风险存在范围交叉的情况
在企业的合规与内控体系中,也经常会存在某一风险同属于两类风险的情况,例如某化工企业非法倾倒危废案。在合规层面违反了《固废污染环境防治法》,被生态环境局罚款120万,法人被行政拘留,属于合规风险,零容忍。从内控层面来看则是企业未设置危废出入库双人审核、未建立危废转运台账,违反《资产管理内控应用指引》,属于内控设计缺陷,可通过补齐流程容忍后续微小操作偏差。
在处置此风险缺陷的方式中,企业同步录入内控、合规两套数据库,合规端完成外部整改缴纳罚款,内控端完善内部岗位制衡,区分管控标准。需要明确的是,交叉风险不代表边界模糊,只是同一事件同时触碰两套规则,管控逻辑依然独立,不能统一按照零容忍管控。
四、如何分清“内控风险”与“合规风险”
(一)识别环节:严格遵守各自的风险识别来源
风控部门建立刚性识别规则,凡是能对应十八项指引、无外部法条违反的,全部归入内控风险。凡是能对应七大合规领域、违反外部法条的,归入合规风险;交叉风险双向归类,分别填写两套台账,不简单简化合并。
(二)风险应对执行双标尺差异化处置
对于内控风险首先测算管控投入成本与损失收益,低于收益投入资源整改,高于收益简化流程、风险容忍,留存风险容忍审批底稿。对于合规风险无论管控成本高低,必须100%整改消除,不得设置容忍度,特殊高额合规成本需上报董事会专项审批,不得自行豁免。
(三)严守合规边界,建立合规泛化防控清单
定期梳理内部管理瑕疵,将小额资产领用、内部会议记录、部门内部考勤等纯内部事项,明确划入内控范畴,永久排除在合规识别范围外,贴合内控成本效益原则,避免合规过度管控。
(四)双数据库互联互通但数据隔离
信息化系统中设置两个独立台账模块,仅关联风险事件编号,不共享风险字段,满足内审、国资委两套报送要求,避免上报数据混淆。