(接上篇)各部门据此识别和建立本部门、本业务领域的合规义务数据库,并定期跟踪、动态维护更新。
与上面的两种方式对应,有两种方法确定需要遵守的合规义务。
方法一:在按业务分类列出与一级、二级业务活动清单基础上,一一对应的确定具体合规义务主要条款要求,或归纳、提炼、概述出具体要求。具体见《业务流程对应合规义务矩阵清单》。
方法二:在按岗位分类列出与一级、二级业务活动清单基础上,一一对应的确定具体合规义务条款要求,或归纳、提炼、概述具体要求。具体见《岗位对应合规义务矩阵清单》。
3.3合规风险分析评估
本节主要介绍基于违规案例大数据统计分析基础上的合规风险尽调评估法来进行合规风险分析评估。前面从ISO37301定义知道:合规风险是指不符合组织合规义务造成不合规的可能性和后果。把该定义放到企业场景,企业合规风险考验定义为企业的生产经营活动、产品和服务不符合企业合规义务造成不合规的可能性和后果,比之前的ISO19600和GB/T35770《合规管理体系指南》合规风险定义:对合规目标的不确定性,表述更直接和范围更加拓宽。依据新的定义,有合规义务的地方,就存在合规风险。可以理解为:有合规义务对应的企业生产经营活动、产品和服务,都是可以确定为合规风险点。
ISO37301对确定合规风险评估是这样要求的:
4.6合规风险评估
组织应以合规风险评估为基础,识别、分析和评价其合规风险。
应定期评估合规风险,并在客观环境或组织环境发生重大变化时进行评估。
组织应保留有关合规风险评估和应对其合规风险的措施的文件化信息。
如何落实该要求,附录A提供了进一步详细的指南,具体如下:
A.4.6合规风险评估
合规风险评估是合规管理体系实施以及分配适当和充分的资源,并管理已识别合规风险的过程的基础。
合规风险的特征是可能不遵守组织合规方针与义务的可能性和后果。
合规风险包括固有合规风险和剩余合规风险。固有合规风险是指组织在未采取相应合规风险处理措施的情况下,处于非受控状态所面临的全部合规风险。剩余合规风险是指组织现有的合规风险处理措施不能有效控制的合规风险。
合规风险识别包括识别合规风险源和确定合规风险情形。组织应根据部门职责、岗位职责和不同类型的组织活动,识别各部门、职能和不同类型的组织活动中的合规风险源。组织应定期识别合规风险源,并确定每个合规风险源对应的合规风险情形,以制定合规风险源和合规风险情形的合规风险清单。风险评估包括将组织可接受的合规风险水平与合规方针中规定的合规风险水平进行比较。
在下列情况发生时,应定期对合规风险进行重新评估:
—出现新的或改变的活动、产品或服务;
—组织结构或战略发生改变;
—重大外部变化,如金融经济环境、市场状况、负债和客户关系;
—合规义务发生改变;
—发生合并与收购;
—发生不合规(即使是单一的不合规事件,也可能构成环境的重大变化和接近)。
合规风险评估的范围和详细程度取决于组织的风险形势、环境、规模和目标,以及因具体子领域(如环境、财务、社会)而不同。以风险为基础的合规管理方法并不意味着在合规风险较低的情况下,组织可以接受不合规行为。该方法帮助组织将主要精力和资源优先集中在更高风险上,并最终覆盖全部合规风险。所有识别的合规风险/点都会处于监视和处理中。
从合规风险定义知道:有“合规义务”的地方,企业的业务、职能事项执行的时候,就面临“不合规行为”出现的可能性,而发生不合规行为的主体是企业内部的人员,原因也来自内部的人员人性、欲望和追求,合规风险因此是源于内部人员不良动机驱使。
合规风险不同于其他风险,如战略风险、财务风险、运营风险可能来自企业外部,或者内部的不确定性变化,这样的不确定性变化多数情况下是无法预测的,并且变化的是原来策划方案的时候,假定的环境各条件中,有发生不可预见的客观变化。比如,财务风险,新冠疫情的突然发生,导致工厂开工不足,原来假设的“正常开工生产”发生了变化,导致原材料积压,企业资金负现金流加大。
合规风险从人员主观故意角度可以分为:操作性合规风险和故意(蓄意)合规风险。操作性合规风险是非主观故意,没有蓄意谋划,而是客观原因导致发生不合规行为风险,这类的合规风险管理措施主要是:加强合规义务培训、合规操作反复练习,就基本可以控制这类合规风险;控制难度大的是“故意合规风险”,因此合规风险识别的重点是“故意合规风险”的识别。
合规风险评估对应的合规管理工作是识别、分析、评价合规风险,企业合规管理牵头部门组织,并使用专门的合规风险辨识分析评价工具,企业的业务、职能管理部门、审计与监督部门配合和参与,在前面工作基础上,对各业务领域的业务、职能事项进行合规风险进行辨识、分析和评价。
首先,按照业务事项、职能清单开展“合规风险尽调工具表”,对企业的生产经营活动进行合规风险尽调。该部分的工作可以使用专门的合规风险评估软件在线填写完成尽调工作,也可以人工进行。
尽调的内容包括以下:
----岗位履职/业务工作事项梳理----
1.岗位职责请输入一项职责
提示:请复制一条岗位职责说明书中的岗位职责即可。比如:负责合格供应商资源管理。
2.工作事项该职责对应的工作事项
提示:请描述上述这一条职责的工作内容,请尽量简单、用核心词描述,一条岗位职责对应一条工作事项。
3.工作事项简称8个字内概括上述工作事项
提示:请您对上述的工作事项用不多于8个字(含8个)简述。
3.工作结果该工作事项的办理结果
提示:请对上述的工作事项经办完成后的结果作客观描述。以上述“工作事项”为例:形成最新的公司合格供应商数据库,或形成最新的公司合格供应商名册。
4.工作目标办理该工作事项的工作目标
提示:“工作目标”是指引导人员办理工作事项努力方向的“标准”、“要求”、“期望”等,一般这样的“工作目标”是企业绩效考核部门设定,也可以是部门负责人自行组织设定,并且多数可能是可量化、可计量,也有定性描述。如果没有,可以写“无”。以下的目标选项可以多项选择。
---服务于效益目标---
■服务于公司收益目标
■服务于公司成本控制目标
---服务于效率、效果目标---
■服务于公司安全生产经营目标
■服务于公司人员健康目标
■服务于公司产品质量、品质目标
■服务于环境保护目标
■服务于公司数据与隐私安全目标
■服务于公司品牌价值目标
■服务于公司产品创新与升级目标
■服务于公司人才与团队建设目标
■服务于公司财产保护与安全目标
■服务于公司社会责任目标
---服务于公司其他目标---
■服务于公司其他目标
-----业务经办情况描述----
5.对应的工作事项---属于以下哪个工作范围?
提示:您可以首先判断该工作事项是“研发策划类”、“业务运营类”、“保管类”、“其他类”。然后在对应的类别里选择应该属于的工作范围。
以下为本问题的选择项:
-----研发策划类-----
■技术研发
■产品研发
■标准研发
■方案策划
------业务运营类-----
■是决策审批工作
提示:是决定做、或不做,包括但不限于:决策、决定、批准等具有核准性质的活动。
■是营销、销售、售后方面的工作
提示:包括但不限于:包括资产重组、资产资本化销售、或向客户介绍产品、服务功能、销售政策、价格优惠条件、销售合同签订、售后服务、维修、保养、置换等客服、销售性质的活动以及向客户的营销推送活动。
■是人事方面的工作
提示:包括但不限于:雇佣、招聘、任免、考核、人员奖励与处罚、职称评定、岗位选拔、评先进、劳模等针对人的管理活动。
■是投资、收购、或采购方面的工作
提示:包括但不限于:确定合格供应商、外包商、租赁商名册、确定采购数量、采购方式、采购策划、制定采购文件、确定投标人、确定价格和中标人、签合同、合同变更等与选择第三方合作伙伴、采购产品、服务定价有关的活动,以及投资、收购、或网购、竞买等。
■是把关、监督、放行控制方面的工作
提示:包括但不限于:理化检验、质量检验、品质控制、进出门管理、技术控制、安全控制、环境保护等一线工作,以及对技术、质量、安全、或商务、行政等方面的审议、审核、评审、放行、监督、检验、检查、认证、评估等。
■是计量、计数方面的工作
提示:包括但不限于:计量劳动工作量、产品、服务、物资、设备计量,如货物计数、采购结算、开具验收单、物料领用、消耗计量、工作量计量、分包量计量、容积测量、计时计件、记账等计数计量称重活动。
■是资金收支方面的工作
提示:包括但不限于:资金和费用的预算、计划,以及收款、付款、报销、担保、保理、融资、贷款、借款、工资发放等涉及资金收支流程上的工作。
-----保管类------
■贵重物资、重要物件保管
■仓库管理
■货物、物资物流管理
■贵重物资、重要物件、货币押运
■现金、或存款管理
-------其他类-------
■其他类
6.是否有需要控制受众范围的数据信息或机会?£是£否
具体描述:请输入需受控信息
7.办理该工作事项时的职责角色是什么?
提示:请根据企业组织正式文件、或岗位说明书、定岗定编时,公司授予本人岗位的职责角色,来选择对应的职责角色。
■审批角色
■直线分管领导审核角色
■直线部门领导审核角色
■直接主管角色
■直接主办人员角色
■办事业务员角色
■一般参与人员角色
----公司外部----
■政府和政府机构、或监管机构
■销售客户
■供应商(包括第三方中介机构)
■代理商
■投资者
■竞争对手
■协会、或社区组织
■应聘人员
■媒体
■其他组织或人员
-----公司内部----
■上级公司或母公司
■下级子公司、分公司
■公司领导
■公司其他员工
----其他情形----
9.这项工作事项与谁沟通并办理?
提示:请您首先判断是自行办理的事务性工作,或保管工作,还是需要与人沟通并办理;如果是事务性工作,请直接选择“事务工作”里的“■本人自行办理,不涉及(公司外部、内部其)他人。。。”前面“工作事项范围”选择的“保管类”,就请继续勾选“保管工作”。
其次如需要与人沟通并办理,则判断是与公司外部,还是内部人员沟通并办理;
第三,选择办理事项的具体沟通对象。
----公司内部----
----事务工作----
■本人自行办理,不涉及(公司外部、内部其)他人,是对文档、资料、信息等的管理与处理
----保管工作----
■保管工作
----利益分配类-----
■货币收益
■工作绩效高低
■职业职级发展
■福利待遇多寡
■个人荣誉
-----资源调配类----
■财务资源获取
■物资资源获取
■人力资源获取
■荣誉政策优惠获取
----其他----
■不涉及利益分配与资源调配
11.该工作事项每年执行约多少次?
提示:您可以参照上一年度该事项全年的执行次数,是指该工作事项的重复办理次数。
例如:上一年公司举办学校招聘春秋两轮次,共计学生345人,则执行次数应填写345次,而不是两次。
12.负责办理该工作事项的权限范围是怎样的?
提示:根据公司授予本岗位职责权限范围来选择。
比如,
张三负责公司员工考勤----对应的是■负责全公司范围
张三负责采购系统人员考勤----对应的是■负责某一业务系统范围
张三负责采购部人员考勤----对应的是■负责本部门范围内
■负责全公司范围
■负责某一业务系统范围
■负责本部门范围内
13.工作事项执行后的经济结果:直接涉及金额(万元/年):0
提示:工作事项的工作结果可以直接形成公司收入、费用、成本、债务、所有者权益增加、减少数字的,能用金额衡量。
若不直接涉及,软件默认为0万元。
例如:工作事项“签订采购合同”,其工作结果直接导致公司采购成本的增加,因此为“工作直接涉及金额(万元/年):。。。。”
14.工作事项执行后的经济结果:间接涉及金额(万元/年):0
提示:工作事项的工作结果能够间接导致公司收入、费用、成本、债务、所有者权益增加、减少的,能用金额衡量。
若不间接涉及金额,软件默认为0万元。
例如:工作事项为“编写采购计划”,其流程进行到最后的结果导致的公司采购成本的增加,因此为“工作间接涉及金额(万元/年):。。。。”
15.是否存在技术性(黑箱)操作£是£否
提示:只有我本人知道该工作事项经办实际实施过程,无办理过程痕迹,其他人事后难以知道。
如工作事项:地下隐秘工程施工,工作过程是地下施工,完成后,覆盖上面土以后,会看不到痕迹,也是过程事后难以知道。因此是涉及技术性(黑箱)操作。
16.该工作事项实施是否曾经、或正在采取部分、或全部外包?提示:该工作事项在过去5年到现在,是否外包给公司外部合作伙伴,包括曾经、或正在采取部分、或全部外包四种情形。
■曾经全部外包
■曾经部分外包
■正在实施部分外包
■正在实施全部外包
■不存在外包
17.不良工作行为或结果是否可能引起人身伤害?
提示:该工作事项经办过程中和工作结果中,若出现不良的行为过程,或者不良的工作结果,按照最大的伤害情形预计,对人身有什么伤害。
比如:生产电瓶车的充电电池工作,其最大的伤害情形预计:■可能出现人员死亡
■可能出现人员死亡
■可能出现人员安全伤害
■可能出现人员健康影响
■不产生人员伤害
18.不良工作行为或结果是否可能引起环境伤害?
提示:该工作事项经办过程中和工作结果中,若出现不良的行为过程,或者不良的工作结果,按照最大的伤害情形预计,对自然环境有什么伤害。
比如:生产电瓶车的充电电池工作,其最大的伤害情形预计:■可能出现不可恢复的环境伤害
■可能出现不可恢复的环境伤害
■可能出现人工干预后可恢复的环境伤害
■可能出现无需人工干预即可恢复的环境伤害
■不产生环境伤害
企业各部门负责人要对描述的业务、职能事项在上述方面的履行信息进行复盘确认和审核,以准确、真实描述业务、职能事项和合规风险尽调内容,以便在后续的下篇准确识别、分析、评价各业务、职能活动的固有合规风险(未完下篇待续)。