企业建立合规管理体系,实施合规管理建设的核心是合规风险管理。而合规风险管理,本质上是对合规风险进行识别、评估、处置、应对、监测、预警、监督、检查、沟通、协调并持续改进的过程。具体而言:
合规风险识别,是指对企业内部合规风险存在或者发生的可能性以及合规风险产生的原因等进行分析判断,并通过收集和整理企业所有合规风险点形成合规风险列表,以便进一步对合规风险进行监测和控制等系统性活动。
企业,尤其是国有企业开展合规风险识别与评估的目的,在于识别企业潜在的合规风险行为,采取积极的管理措施管理风险,以避免合规目标的无法达成。基于合规风险识别评估的结果,企业将采取必要的措施管控合规风险,或在内部有效地开展预防性合规管理工作,使企业能在业务所在地区/所在国合规地开展业务、诚信经营,从而实现企业的合规目标。提升企业品牌形象,避免和减少监管机构的处罚。合规风险识别与评估,有助于企业内形成合规风险意识,帮助组织及时制定风险应对措施,从而避免企业违反法律法规和企业合规承诺,实现企业合规目标,进而为实现企业可持续发展提供必要条件。
合规风险识别与评估,是国有企业内部主动预防和控制合规风险的有效方法。它既是建立合规管理体系的起点,也是运行合规管理体系的前提,体现了企业合规风险管理的质量和水平,影响着企业合规管理目标的实现。
(二)合规风险识别与评估前的准备
(三)合规风险识别与评估的重点内容
根据《合规管理体系指南》第3.6条提出的合规风险识别与评估要求,国有企业开展合规风险识别与评估,需要重点理解以下5个方面的内容:
企业应识别自身的合规风险
企业应当将其合规义务与活动、产品、服务及运营方面联系起来,确认可能发生不合规的情况,从而识别合规风险。
企业应查明不合规的原因并明确其后果
在风险评估中,需要比较分析流程中发现的合规风险等级及企业能够并愿意接受的合规风险等级
基于这一比较,企业可以确定任务的优先级,并在此基础上确定实施控制措施的必要性以及控制措施的程度水平。
企业应定期对合规风险进行再评估
特别是,当出现新的或更改的活动、产品或服务时;组织的结构或战略发生变更时;重要的外部变化,如金融经济环境、市场情况、负债和客户关系变化时;合规义务变化时和出现不合规行为时。
合规风险评估细节的程度和水平取决于企业的风险状况、环境、规模和目标
特定的具体方面可能会有所差异(如环境、财务和社会),同时企业需要对发现的所有合规风险/场景进行监控、更正和纠正,高、中、低级合规风险评估只是企业将主要精力和资源放在优先级更高的锋线上,并最终涵盖所有的合规风险。
02
合规风险识别的实务要点
(一)企业要识别合规风险,首先必须识别合规义务。
合规义务就像一把“尺子”,一把企业衡量自身生产经营行为正确性的尺子。有了尺子,才能度量出企业生产经营行为过程中可能出现的合规偏差,也就是合规风险。根据《合规管理体系指南》中给出的“合规义务”的定义,合规义务应包括合规要求,可包括合规承诺。
合规要求是企业必须遵守的义务,具有强制性。在市场经济中,国家监管机构从维护市场经济健康、有序发展的需要出发,制定了许多强制性的法律法规等要求。
(二)企业识别合规风险,还要注意合规义务的维护。
以上八种措施均是为企业维护合规义务提供了信息沟通的渠道,可以说,合规义务维护的重点是建立好合规义务信息沟通渠道。企业有必要制定相应的企业合规义务动态维护管理流程,以便及时跟踪法律、法规、规范和其他合规义务的出台和变更。
与作为识别和建立本企业的书面合规义务内容清单的合规义务识别清单相类似,在合规义务维护方面,企业应当建立动态维护本企业的书面合规义务内容清单——合规义务持续识别维护清单。在合规义务持续识别维护清单中,企业应当在上一轮次识别的合规义务识别清单的基础之上,注明增加、删除和调整的合规义务情况,并描述其对企业的影响,最终确认企业是否将上一轮次识别的合规义务继续纳入合规义务范围。
(三)企业识别合规风险,需要综合运用各种方法。
识别合规风险的方法,即是把合规义务与企业的活动、产品、服务和运行(企业的经营管理行为)联系起来,运用一些具体手段,如基于过往案例、基于专家经验,基于归纳推理,基于头脑风暴等方式,发现和列举出企业存在的合规风险。以下是一些常用的合规风险识别技术与方法:
这些合规风险识别技术与方法,通过提供若干识别合规风险的角度,能够为企业构建符合自身经营管理需求的合规风险识别框架。
(四)企业合规风险识别小结
前述分析,可以看到,合规义务与合规风险之间的紧密关系。总结来说:
2.合规义务决定合规风险。《合规管理体系指南》第2.12条,“合规风险,是不确定性对合规目标的影响”。在市场经济环境中,企业的生产经营行为应该遵循合规义务,一旦违反合规义务,就存在不确定性,便产生合规风险。不合规是指未履行合规义务或者违反组织合规义务。假如企业没有承担合规义务,就无所谓的合规风险。企业承担的合规义务越多,未履行或者违反合规义务而导致的合规风险就越大。此外,企业承担的合规义务标准越高,履行的不确定性也就越大,未能达到合规义务要求而导致的合规风险发生的概率也越高。
3.在企业生产经营过程中,由于合规义务的存在,员工行为对合规义务遵循的不确定性导致了合规风险的产生。可以说,合规义务分布在何处,不确定就在何处,合规风险就源于何处。而合规义务的分布是由权力的分布来决定。权力是对利益分配的支配力,权力是利益分配的焦点。合规义务是用来规范权力的正确行使、规范利益的合理分配的。因此,有权力(利益分配)的地方,就存在合规义务。违规行为的“铁三角定律”:权力+不良动机+业务机会=合规风险发生。
03
合规风险评估的实务要点
(一)企业合规风险评估,首先需要进行合规风险分析。
合规风险分析是要增进对合规风险的了解,为风险评价和应对提供支持。合规风险分析根据目的、可获得的信息数据和资源,可以有不同的详细程度,可以是定性、定量的分析,也可以是这些分析的组合。合规风险分析是在风险识别的基础上,考虑不合规发生的原因、后果及发生可能性等因素,最后形成合规风险列表清单。
对于合规风险列表清单,应达到下列标准:
1.风险描述:简单且准确地描述风险,风险可能在什么情况下以什么方式发生以及风险对既定目标的影响。
2.风险发生原因:明确会导致风险发生的真正原因。
3.风险发生结果:说明风险发生后在哪些方面,以及以怎样的方式造成影响。具体可以考虑但不限于以下因素:
(1)后果的类型,包括财产类的损失和非财产类的损失(商誉损失、企业形象受损)等;
示例分为三个维度进行,每个维度可以进一步细化为若干评分标准;影响程度分为三个等级,分别赋予1-9分,得分越高意味风险程度越大。
分析维度
得分
9
5
1
0
财产损失大小
非财产损失大小
很大
一般
很小
影响范围
(全国范围甚至国际影响)
中等
(全省或市范围)
较小
(本市范围或企业内部)
4.风险发生可能性:说明风险发生的概率大小。对风险发生可能性的量化分析,可以从以下5个维度进行,每个维度可进一步细化为若干评分标准:
(1)内部合规规范的完善程度;
(2)合规规范的执行力度;
(4)外部监管执行力度;
(5)违规行为一年内已发生的次数。
合规风险发生可能性的定量分析示例如下。实力分为五个维度进行,每个维度可以进一步细化为若干评分标准;影响程度分为三个等级,分别赋予1-5分,表示发生可能性依次加强,得分越高以为风险发生的可能性越大。
最后形成合规风险列表清单。合规风险列表清单示例如下:
事项
风险描述
对应企业行为
风险发生原因
风险发生后果
风险发生可能性
2
3
(二)完成合规风险分析后,还需要进行合规风险评价。
合规风险评价,是将风险分析的结果与企业能够接受的风险水平相比较,或者在各种风险分析结果之间进行比较,以确定风险的等级。风险评价应满足风险应对的需要,否则应做进一步的风险分析。风险评价是利用风险分析过程中获得的对风险的认识,设定合规风险的优先等级,对未来的行动进行决策。
最简单的风险评价,是将风险分为两种:需要应对的和无需应对的。但这样的方式难于全面反映情况,而且两类风险的界限本身也不好确定。
常见的评价是依照企业对风险的容忍程度,将风险分为三个区域:
2.中间区域。对该区域内风险的应对要考虑应对措施的成本与收益,并衡量机遇和潜在后果;
3.广泛可接受区域。该区域的风险很小,无需采取任何应对措施。
风险评价后,需要进行决策。决策时应包括的内容有:(1)某个风险是否需要应对;(2)风险的应对优先等级;(3)应该采取哪种途径。决策要参考法律、财务、道德等因素。对于风险评价,可把风险后果分析、可能性分析等结合起来,对风险进行排序,形成一个风险等级表,也可形成一个风险坐标图。
合规风险程度示例如下:
严重性
可能性
损害程度非常大
损害程度一般
损害程度小
非常可能
重大合规风险
中等合规风险
有可能
较低合规风险
较低可能
(三)合规风险评估工作的最后,要以合规风险评估报告落地。
根据合规风险识别和评估情况,合规风险评估工作最后的落地,应当是一份全面的合规风险评估报告。报告主体应当以部门为单位,如业务部门向合规管理部门报告、合规管理牵头部门向合规管理委员会报告。报告可分为定期报告、专项报告。
合规风险评估报告的内容应当包括:合规风险评估实施概况、合规风险基本评价、存在的合规风险、原因及可能的公司损失,处置建议和应对措施等。具体如下:
1、合规风险评估工作实施概况
主要包括:
(1)合规风险评估立项选择的背景和工作目的;
(3)合规风险评估实施过程的具体工作情况。
2、合规风险基本评价
(1)本次合规风险识别评估已覆盖的合规风险领域;
(2)本次合规风险识别评估总体结果:固有合规风险点数量,剩余合规风险点数量;
(3)本次合规风险识别评估中,不同等级的合规风险的情况,如各不同合规风险等级的合规风险数量、需要采取风险管理措施的合规风险数量;
(4)对被评估范围的合规风险管理效果的基本评价。
3、存在的合规风险
通过合规风险识别评估,把识别出来的需要采取风险管理措施的合规风险点详细地列出,这是合规评价报告的核心内容,也是将来企业高管在采取风险管理措施时认可的权威依据。
4、合规风险发生的原因分析。
包括权力、外部环境、员工个人原因、制度措施不完善等。需要注意的是,合规风险的发生往往不是由其中一个原因引致的,而是由多个原因共同作用导致的。
(1)权力:权力引致了合规风险,主要是从权力出发,列举出具体的某一项或者几项权力的不正当行使引致了合规风险;
(2)外部环境:被评估领域、岗位或流程所处业务领域在企业外部接口的商业环境状态及其对企业内部该业务领域、岗位、流程合规履职的影响;
(3)员工个人:员工个人不当动机、员工接受合规知识培训的情况;
(4)制度措施:被评估领域、岗位或流程所在的业务领域企业的制度建设现状。
(5)如果近期被评估领域、岗位或流程所处业务领域已经发生过不合规行为或违规行为,则应对发生不合规行为和违规行为的直接原因通过访谈,了解是否:①当事人对业务规律认知不够;②规范合规风险的制度不适宜;③当事人对业务制度学习了解不够;④当事人对工作技能方法掌握不够;⑤当事人所在业务领域的业务绩效激励无针对性,导致其缺乏工作积极性;⑥业务外部市场环境等方面的不可控原因;⑦当事人员陈述的其他原因。