法务、风控和合规三个职位性质上有何区别？法律人在选择上述职位时各有熊猫体育什么独特的能力要求？

　　熊猫体育对法律事务、合规、内控、审计和全面风险管理的一些思考，可以跟大家探讨一下。

　　法律事务的本质就是为公司的经营行为保驾护航，协助公司实现经营目标。打个比方，法务人员跟业务人员对外进行前期接触和谈判，为的就是从前期开始就能为商业模式进行把关，保证这个商业模式的合法性和可操作性，而不是业务人员自己拍脑袋想出来一个赚钱的模式就去做，同时，法务前期参与商业谈判也是为了获得更充分更全面更直接的信息以开展后续的工作；前期接触回来后，可能市场部或者投资部就开始写合作方案说明大概的合作情况及模式，财务部开始测算收益，法务部就开始根据合作模式和前期接触情况草拟一份具体的合作协议，然后大家一起把合作方案、收益测算说明和合同初稿给领导决策，让领导决定做或者不做这件事，领导决定做了之后，业务部门和法务部门就可以开始和合作方进行第二次第三次等多次深入谈判，以此来争取利益最大化的商业条件，法务部门根据谈判的情况相应的修改合同并最终形成定稿（这个阶段法务部门需要运用自己的专业知识为商业交易争取自由的空间，很多人都觉得法律什么都要管导致束手束脚，这部分可以另外再详细说）；商业条件确定以及签订正式合同之后，法务人员还要定期追踪合同的履行情况，直至整个项目的完成。从整个过程来看，业务人员拉回来的业务就像一块粗糙的玉石，法务就是要慢慢雕琢这块玉石，让这块玉石最后成为一块买家满意的美玉，这个雕琢的过程中法务要考虑交易模式是否合法、是否具有可操作性、合同条款表达是否简洁清晰、怎样保留相关证据等等，这些都是为了最后美玉的雕琢成功，也就是法务最终都是为了帮助公司实现经营目标，帮助公司赚钱，同时也为了让公司在有纠纷的时候能有足够的证据去支持自己的主张，而不是陷入口说无凭的糟糕境地，法律更像一种实现经营目标的手段，在不违反底线的前提下，法务其实不用那么排斥无效合同、不正当竞争行为等在法律人眼里不那么好听好看的事情，比如，签订一个无效的合同如果对公司的实质利益没有影响，对公司也毫无用处，但是因为对方签了才能安心的话，这个合同签也无妨，因为对公司实质权利义务没有影响，当做没有没有签过就行了，万一真发生纠纷就主张合同无效。再有就是公司竞争行为有可能违反反不正当竞争法，但由于举证能力或其他的原因，对方公司可能根本没办法证明我公司的行为是不正当行为，法务把其中利弊告诉公司领导后，如果领导决定继续采用这种竞争行为，那也未尝不可，因为商业上很多时候就是一个博弈的过程，没有风险的生意是不存在的，如果公司认为这种风险小于可以获得的收益，愿意承担这种风险也是可以的。因此，法务与公司的业务的关系是十分紧密的，可以说是业务团队的智囊团，帮助业务团队打磨产品（这里就不多论述法律事务通常所包含的律师管理、法律事务制度建设、法制宣传等工作内容了）。有时候法务也关注公司的内部管理（相对于业务支持而言，这部分工作较少），但是更多是从发生纠纷时自身提供证据的角度去看待内部管理的，比如要求办公室建立好公章使用台账，便于在别人伪造公司公章的时候证明公司相关管理规范等。

　　与法律事务相比，合规与公司业务的距离稍微要远一点（相对而言，不要钻牛角尖），合规关注的公司的所有行为都要符合规范，再直接点就是公司的所有行为坚决不能违反规范的禁止性规定，最好符合规范的指引性规定（如有正当理由也可以采用指引以外的方法和程序），这个规范的范围很广，包括法律、法规、规章、行业指引、职业道德、公司上级单位的管理要求和公司内部自身的管理制度等，不同的行业所要面对的规范数量和规范强度不一样，金融行业的规范就要比普通工业行业的规范要多得多，强度也大得多，不同的行业有不同的合规要求。但是合规也有一定的共性，比如，不管你是卖保险的还是卖保险套的，你都不能违反商业贿赂、反洗钱的规定。合规关注的是公司不能触犯规范的底线，在不触犯底线的情况下，业务是通过A路径还是B路径还是C路径进行的，合规是不关注的（法务恰恰十分关心具体操作）。在机构设置上，一般行业的规范数量不多，强度也不大，一般法务职能和合规职能都在法律部，这也是够用的，节约成本嘛，但是像银行的规范数量特别多，强度也特别大的，一般就是法律事务部与合规部各司其职，实际生活中银行的合规部门功能是十分强大的，能够对包含法律事务部在内的所有部门进行监管。

　　合规的“规”包括外部的法律、法规、规章、指引和内部自身的管理制度，这就涉及到内控了，也就是内部控制。内部控制的作用主要有四个：一是“内化”，即根据公司的具体情况和需要将外部规范内化成流程清晰、可操作性强的内部管理制度，让公司的运转规范化，指导公司人员工作；二是“高效”，即通过设计合理的流程来使得公司高效运转熊猫体育，提高效能；三是“制衡”，通过机构和岗位设置、业务流程、管理流程等形成各部门的相互制约（比如核算会计和出纳不能由同一个人担任等等），防止一个部门或者一个人可以暗箱操作整个业务，提高决策的科学化水平；四是“反映”，这点与审计的关系比较密切，因为审计要求公司的每一项业务和事项都要在财务上有所反映，因此内部控制需要设置好相关的流程，使公司的所有业务和事项都能够及时并且充分地与财务相衔接，以便保证财务报表能够真实反映公司的实际经营状况。而且，如果一家公司的内部控制合理、规范且高效，审计工作也比较容易高效开展，能够省掉很多不必要的时间和精力，同样，审计结束后审计师通常也会对公司的内部控制提出一些完善建议，以此促进公司完善管理以及为以后的审计工作提供便利条件。内控和审计的关系是相互促进的，所以很多公司都把内控和审计两项职能放在同一个部门。

　　全面风险管理是从全公司的高度并结合当时的宏观外部环境进行的。风险有很多种，市场风险、财务风险、法律风险、运营风险等等，全面风险管理并不等于法律风险管理。全面风险管理更多的是一种指导性、战略性的工具，它是根据公司的实际风险情况制定相应的对策，比如预防、避免、转移等。其实通过法务、内控、合规这几项工作，能预防和能避免的风险基本上也消化得差不多了，剩下的风险无非是两种：一是不愿意避免的风险，前面说了，很多时候风险的有无和大小只是一个双方博弈以及自身选择的问题，没有一项业务是完全没有风险的，之所以公司不愿意避免这部分风险可能是因为这部分风险发生的可能性小或者风险发生后的损失微不足道，也可能是公司认为这项业务的收益远大于风险；二是无法避免的风险，比如汇率风险等，这部分外部风险是整个市场环境导致的，公司本身也无法去改变它，公司只能根据自身情况去选择应对策略，比如减少国际业务之类的。因此，全面风险管理是高于法律事务、合规、内控和审计的一项工作，它更宏观、更具有指导性，同时也反映了公司的发展战略方针，需要对整个公司各个部门的工作情况更为了解，也对风险管理人员的知识储备提出了很高的要求。现在大多数公司的做法是全面风险管理职能放在法律事务部，每年的全面风险管理报告由法律事务部牵头组织，让各个部门写自己部门对应的风险管理情况，最后由法律事务部汇总形成总的全面风险管理报告。我个人是不同意这种做法的，我觉得全面风险管理报告应当由风险管理部门自己写，毕竟你让市场部、财务部的人写他们自己有什么风险是不现实也不客观的，即使写出来也只是无关痛痒的场面话，我理想中的全面风险管理应当由专门的风险管理部门负责，风险的识别、评估和处理也要由风险管理部门去做，当然了，风险管理部门可以去找相关部门了解情况。不过这种全面风险管理模式对公司的要求太高，一来要求风险管理人员比各个部门的人员还熟悉各个部门内部工作，二来要求风险管理人员的知识储备非常强大，因此这种模式应该还比较难实行的。

　　现在都在搞合规风控，而很多合规风控岗又多是法务人员担任。这三个概念在公司治理上，在很多方面都有着重合部分或千丝万缕的联系。

　　，其本质上是对本企业运行过程中相关业务和市场行为所涉的全部风险进行管控，包括风险识别、风险评估、风险应对策划、风险转移或风险控制、风险管控策略实施结果反馈等。

　　，最近比较热的一个概念，并且国家开始谋划“企业合规师”的职业考试。合规是一个概念上的舶来品，来源于Compliance的概念。很多跨国企业会把其法律事务部门拆成两个独立的部门，一个是专门处理法律问题或者对外诉讼的法律部，而另一个就是合规部门（Compliance Dpt.）——专门负责其企业运行、对外业务等是否符合公司规定、国家政策方针和法律等，以及国际条约、惯例和规则。

　　目前很多央企都在搞合规，且会将全面风险熊猫体育、内部控制、法治管理、合规管理都放在一个大的部门来负责，因为确实这些有着太多共通的地方了。所以央企法治会议在号召说“要持续构建职能职责清晰、管理制度健全、机制相互支撑、运行协同联动的法律、合规、内控、风险，四位一体的法治风控管理体系”。

　　法律岗位一般负责日常的法律文件的审核、纠纷处理、仲裁诉讼之类的；合规岗一般负责审查公司一些事项、决策是否符合相关规定（有些公司在决策上合规官有一票否决权），其实这个工作与很多法务工作是重合的，因为法务人员很多时候也参与公司重大决策的法律审核，这里面其实本质上也是合规审核。像是很多国企，其法律部门也是公司的合规主管部门。风控岗，其实说小也小，说大也大熊猫体育，而且不同业务领域的风险控制，其实都是不同的。例如，工程建设行业，其负责技术的人员同时负责识别的风险是项目施工过程中的安全、质量、环境保护、职业健康等风险，而这些风险就不是法务人员可以识别的，只有由工程师来做；而项目涉及的融资，财务或者融资方面的风险当然需要由商务或财务人员（会计师）来识别，这些部分法务人员不一定具备这么专业的融资、税务知识，因此，这个所谓的风控岗，并不存在一个职位可以总揽全部的风险，必须分散在各个实际操作的业务部门，而全面的风险管理和控制，还需更加集成的系统管理才能实现。例如，一些国企的法律部门，也同时是全面风险的综合管理部门，由公司各个业务口集中将风险管控清单报送到法律部门，由法律部门负责总体的监督和管理，而这样的综合管理，其实本质上已经不再是对风险的有效识别和控制部门了，更多是一种形式上的“管理”职能，起不到直接对接与解决风险的作用。

　　随着美国对外制裁与长臂管辖案例日益增加，“合规”管理与建立合规体系就成为企业有效防范海外合规风险的有力武器。这里所谓的“合规风险”，有些企业也将其并入公司的风险控制管理体系中去，作为风险管理清单的一部分进行管理，当然也可以说，其风险管理岗位，其实也兼着“合规官”的职能。

　　貌似被独立出来的“海外合规”又往往更具专业性和相对独立性，对其任职的要求也更加苛刻，起码可以看得懂美国制裁清单，熟悉国际/外国法规，有能力的还必须具有与专业合规律师相当的可以开展海外合规尽职调查的能力（有些还能代理申请通用许可证）。因此，涉及海外合规（包含反垄断、反贪污贿赂、反洗钱等）的合规岗位人员，像是走着一条更为狭窄的专业化道路，日常工作基本围绕着国际形势、政策走向、贸易管制与经济制裁等。

　　所以法律本身来说比较广泛，一开始可以做通常的法务工作，可无论是律师还是法务，工作5年甚至10年之后，还仅仅一般法务人员的话，就可能在职业上很难提升了。因为做到最后，都要选取几个领域，有些都只有两三个领域做到很专业，这样后期对职业发展更好。就像是你做风险管控，你很难做到项目安全风险全部排查到，你又特别专精融资税务，并且你还可以玩转进出口物项的贸易管制风险，所以，如果你是风险管控岗，希望你可以专几个路径的风险，而不是做综合管理。

　　无论是法务、风控、还是合规，都要结合企业所处的具体行业，某种意义上，这三个概念很难泾渭分明的做出区分，更多的是协同或者是归为一个部门。我个人觉得称谓并不是那么重要，你学到什么，才是最重要的——最好从你的工作中给自己谋划好成长以及职业的发展方向，搞不好再过一些年，又会有些职业消亡，有些职业又以一些新的表现形式涌现出来。

　　合规 我们可以分开来看。“规”更多与法律人的活动相关，而“合”则是管理者的工作。

　　合规官在法律后果发生之前，分析和识别合规风险，通过建立合规组织和采取合规措施预防不利后果的发生，或有意识地引导积极的法律后果的发生。

　　“治理、风险管理与合规”GRC，在目前主流的企业管理架构中，公司治理、风险管理及合规管理是互相独立的三大职能，在“治理、风险管理与合规”的模式中，公司治理构成该模式的上层建筑和顶层设计，由公司董事会的管理职能和监事会的监督职能共同作用，形成公司内部治理结构。合规管理、风险管理、内部控制体系构成该模式的三大支柱。内部审计用来评估这三大职能的有效性。

　　法务：内部的律师--对应律所的话，是非诉讼team。一般法务遇到需要诉讼的事情，还是会外包到律所的诉讼team.

　　比如，如果银行遇到恶意逾期，需要起诉。法务是与外包的诉讼律师一起研究方案，但不直接出庭的。

　　同时，好的合规需要和监管部门有着密切的沟通，极强的沟通能力。听得懂，监管底线在哪里，擦边球在哪里。那些公司想做，监管可能有受限，怎么协商或者换个方式“合法合理”地做到。

　　1,Credit Analysis-根据企业和所在行业实际情况，写风险评估报告。包括看财报，现场勘查，评估等

　　3，Credit Control--放款后，企业还款不是一次性的（和我们房贷类似，一批批还的）。有的放款也不是一次性放的。是放几次，就是看企业是否真的有偿还能力，偿还能力好不好。

　　如果credit control发现企业偿还能力开始有问题了 或者 这个企业没问题，而所在行业开始出现问题：就要重新找approval 修改，可能减少放款。甚至找客户经理要求企业提前还款。

　　法务、风控和合规三个职位的区别整理了一份表格，希望能帮助大家更清晰地了解法务、风控、合规三者的区别～

　　数据来源：《Michael Page 2021薪酬报告》 ，等。

　　高效：业务流程产生的多版本文档，都需要审查比对，防范“阴阳合同”。借助法狗狗智能文档比对功能，能快速定位差异项，生成差异报告。

　　细心：像错别字这样的低级错误是大忌，交付每份工作成果前都要多次检查！（其实AI已经可以辅助完成拼写纠错、标点纠错、成语纠错、时间格式纠错这类工作了，不妨借助AI工具来提高工作效率。 ）

　　3.全面：审好一份合同，需要花大量时间查法条、找案例、抠细节，多维度预防风险。目前AI也可以做到快速审核文件存在的风险点，高亮注明，针对已识别的风险点做出具体、专业的解释，提供完整的实务解决方案。AI可助我们高效办公，让我们从琐碎事务中脱离出来，聚焦核心智力成果工作环节，优质决策和思考。

　　4.英语：法律人在查阅文献和期刊、对外商务谈判、外资并购时，英语好会便利很多。很多大厂有突击英语面试哦。

　　5.快速学习的能力：信息大爆炸时代，从前我们信奉的“知识就是力量”也变成了“知识随处可见，懂得运用知识是生存基础，能够用知识创造巨大的价值才是力量。”

　　最近团队在做合规不起诉项目，听了不少合规的讲座，结合实操的感悟抛砖引玉。

　　传统上，这个条线还是相对“被动”的角色，我自己做法律顾问也是这样，企业有问题了就来咨询，有非标合同了就发来审核，如果出了问题了就诉讼。

　　说实话，大多数情况是：企业已经决定了要开展某项业务，甚至合同都已经草签了，更过分的是业务已经如火如荼的开展了，才会询问法律部门的意见。

　　而作为外部法律顾问，不会参与到这些决策过程，甚至都不会去了解，仅仅是在已经的形成的框架下，规避一些风险。

　　我在金融机构做过一段时间风控。风控部门往往是和业务部门平行的机构。所谓业务是推力，好比油门；风控是拉力，好比刹车。风控考虑的问题不仅仅局限于法律问题，也有业务模式的内在风险等。相比于法务的游离于业务之外，风控对于业务本身会有更多渗透。毕竟业务部门拼命开拓，到了风控这里过不了关，后续就会很麻烦。要么找大领导往下压，要么就是别做业务。一般业务开展前，还是要听一听风控的意见，能优化的尽量优化。

　　首先，合规的着眼的肯定主要是在法律和相关政策上，注重的是防范违规风险。但是合规不同于法务的地方在于，合规有更高的级别和权限：“合规高于业务”是一条铁律。合规的决策机构对于业务有一票否决权。这不同于风控，对于风控否决的业务，如果公司最高层觉得，可以搏一把，风险越大收益越大，那么还是可以突破风控，继续做业务的。合规的一票否决是不可更改的一票否决，公司最高层就是合规的第一责任人，合规出问题，不是说亏点钱，而是直接责任人就领银手镯了。合规是底线，不容突破。

　　对于中小微企业，从上至下建立的一整套的合规体系，投入成本巨大，搞得人仰马翻，完全没有必要。

　　合规不起诉制度现在在全国如火如荼的试点，借助合规不起诉制度合规职业的需求会大大增加。专业合规律师不同于以前的法律顾问，专业合规律师其实是风控、法务、董事会秘书三个角色的集合体，专业合规律师需要投入大量精力在某一家企业，专业合规律师甚至要内嵌到公司全流程的业务审批里，加入企业的OA系统。