國有企業合規風險識別與評估
轉載。
(一)合規風險識別與評估的概念
企業建立合規管理體系,實施合規管理建設的核心是合規風險管理。而合規風險管理,本質上是對合規風險進行識別、評估、處置、應對、監測、預警、監督、檢查、溝通、協調并持續改進的過程。具體而言:
企業,尤其是國有企業開展合規風險識別與評估的目的,在于識別企業潛在的合規風險行為,采取積極的管理措施管理風險,以避免合規目標的無法達成。基于合規風險識別評估的結果,企業將采取必要的措施管控合規風險,或在內部有效地開展預防性合規管理工作,使企業能在業務所在地區/所在國合規地開展業務、誠信經營,從而實現企業的合規目標。提升企業品牌形象,避免和減少監管機構的處罰。合規風險識別與評估,有助于企業內形成合規風險意識,幫助組織及時制定風險應對措施,從而避免企業違反法律法規和企業合規承諾,實現企業合規目標,進而為實現企業可持續發展提供必要條件。
合規風險識別與評估,是國有企業內部主動預防和控制合規風險的有效方法。它既是建立合規管理體系的起點,也是運行合規管理體系的前提,體現了企業合規風險管理的質量和水平,影響著企業合規管理目標的實現。
(二)合規風險識別與評估前的準備
(三)合規風險識別與評估的重點內容
根據《合規管理體系指南》第 3.6 條提出的合規風險識別與評估要求,國有企業開展合規風險識別與評估,需要重點理解以下 5 個方面的內容:
?企業應識別自身的合規風險
企業應當將其合規義務與活動、產品、服務及運營方面聯系起來,確認可能發生不合規的情況,從而識別合規風險。
?企業應查明不合規的原因并明確其后果
企業在分析合規風險時,應考慮不合規的原因、起因及其后果的嚴重性,以及不合規和相關后果發生的可能性。比如,后果可能包括對個人和環境的傷害、經濟損失、聲譽損失及行政責任等。
?在風險評估中,需要比較分析流程中發現的合規風險等級及企業能夠并愿意接受的合規風險等級
基于這一比較,企業可以確定任務的優先級,并在此基礎上確定實施控制措施的必要性以及控制措施的程度水平。
?企業應定期對合規風險進行再評估
特別是,當出現新的或更改的活動、產品或服務時;組織的結構或戰略發生變更時;重要的外部變化,如金融經濟環境、市場情況、負債和客戶關系變化時;合規義務變化時和出現不合規行為時。
?合規風險評估細節的程度和水平取決于企業的風險狀況、環境、規模和目標
特定的具體方面可能會有所差異(如環境、財務和社會),同時企業需要對發現的所有合規風險/場景進行監控、更正和糾正,高、中、低級合規風險評估只是企業將主要精力和資源放在優先級更高的鋒線上,并最終涵蓋所有的合規風險。
(一)企業要識別合規風險,首先必須識別合規義務。
合規義務就像一把“尺子”,一把企業衡量自身生產經營行為正確性的尺子。有了尺子,才能度量出企業生產經營行為過程中可能出現的合規偏差,也就是合規風險。根據《合規管理體系 指南》中給出的“合規義務”的定義,合規義務應包括合規要求,可包括合規承諾。
合規要求是企業必須遵守的義務,具有強制性。在市場經濟中,國家監管機構從維護市場經濟健康、有序發展的需要出發,制定了許多強制性的法律法規等要求。
合規承諾是企業選擇遵守的要求,具有自愿性。由于市場競爭激烈,企業為獲得股東、顧客、供應商等相關方的信賴,對自身生產經營過程和產品品質進行的若干承諾。
(二)企業識別合規風險,還要注意合規義務的維護。
現實中,合規要求和合規承諾不是一成不變的,需要時刻關注并將新的合規要求和承諾納入合規義務清單文件中。企業應當制定適當的流程來識別新的和變更的法律、法規和規則以及其他的合規義務,以確保企業持續合規。為了獲得合規義務來源變化信息,企業可采取如下措施:與監管部門會面;與法律、合規顧問交流;跟蹤監管部門的網站動態;參加行業論壇和研討會;訂閱相關信息服務;確保自己是專業組織會員;確保自己在監管機構收件人列表中。
以上八種措施均是為企業維護合規義務提供了信息溝通的渠道,可以說,合規義務維護的重點是建立好合規義務信息溝通渠道。企業有必要制定相應的企業合規義務動態維護管理流程,以便及時跟蹤法律、法規、規范和其他合規義務的出臺和變更。
與作為識別和建立本企業的書面合規義務內容清單的合規義務識別清單相類似,在合規義務維護方面,企業應當建立動態維護本企業的書面合規義務內容清單——合規義務持續識別維護清單。在合規義務持續識別維護清單中,企業應當在上一輪次識別的合規義務識別清單的基礎之上,注明增加、刪除和調整的合規義務情況,并描述其對企業的影響,最終確認企業是否將上一輪次識別的合規義務繼續納入合規義務范圍。
(三)企業識別合規風險,需要綜合運用各種方法。
識別合規風險的方法,即是把合規義務與企業的活動、產品、服務和運行(企業的經營管理行為)聯系起來,運用一些具體手段,如基于過往案例、基于專家經驗,基于歸納推理,基于頭腦風暴等方式,發現和列舉出企業存在的合規風險。以下是一些常用的合規風險識別技術與方法:
這些合規風險識別技術與方法,通過提供若干識別合規風險的角度,能夠為企業構建符合自身經營管理需求的合規風險識別框架。
值得一提的是,這些技術、方法往往是綜合運用的。如:事件庫法作為企業內部和外部合規咨詢團隊最常用的合規風險識別方法,往往需要輔之以其他方法甚至是合規管理工作,包括(1)問卷調查法、訪談調研、頭腦風暴法、德爾菲法、檢查表法;(2)合規管理評估以及合規管理部門在合規日常工作中發現的需要引起足夠重視的合規風險或問題;(3)內、外部審計、紀檢、監控等活動中發現的合規風險事件等;以及(4)員工舉報等。此外,還需要關注和收集違規案例以及相關司法判例、同類企業過去識別和發生的合規問題及違規案例。
(四)企業合規風險識別小結
前述分析,可以看到,合規義務與合規風險之間的緊密關系。總結來說:
1.合規義務的多與少與企業本身密切相關。對于企業來說,來自監管機構頒布的法律、法規等強制性合規要求都是必須遵循的。它們是企業固有的合規風險,關鍵在于企業是否主動承擔這些合規要求。合規承諾就不同了,它是企業對市場、客戶、監管機構等相關方的主動承諾。合規承諾不是越多越好,也不是越少越好,最適宜于企業健康發展、基業長青的合規承諾才是最好的。因此,企業管理層要從經濟適度出發,在滿足國家監管機構制定的法律、法規等強制性合規要求的基礎上,從適合其企業經營管理水平、規模、復雜性、結構和運營的方式出發,進行主動的合規承諾,最終制定企業合規義務文件。
2.合規義務決定合規風險。《合規管理體系指南》第 2.12 條,“合規風險,是不確定性對合規目標的影響”。在市場經濟環境中,企業的生產經營行為應該遵循合規義務,一旦違反合規義務,就存在不確定性,便產生合規風險。不合規是指未履行合規義務或者違反組織合規義務。假如企業沒有承擔合規義務,就無所謂的合規風險。企業承擔的合規義務越多,未履行或者違反合規義務而導致的合規風險就越大。此外,企業承擔的合規義務標準越高,履行的不確定性也就越大,未能達到合規義務要求而導致的合規風險發生的概率也越高。
3.在企業生產經營過程中,由于合規義務的存在,員工行為對合規義務遵循的不確定性導致了合規風險的產生。可以說,合規義務分布在何處,不確定就在何處,合規風險就源于何處。而合規義務的分布是由權力的分布來決定。權力是對利益分配的支配力,權力是利益分配的焦點。合規義務是用來規范權力的正確行使、規范利益的合理分配的。因此,有權力(利益分配)的地方,就存在合規義務。違規行為的“鐵三角定律”:權力+不良動機+業務機會=合規風險發生。
(一)企業合規風險評估,首先需要進行合規風險分析。
合規風險分析是要增進對合規風險的了解,為風險評價和應對提供支持。合規風險分析根據目的、可獲得的信息數據和資源,可以有不同的詳細程度,可以是定性、定量的分析,也可以是這些分析的組合。合規風險分析是在風險識別的基礎上,考慮不合規發生的原因、后果及發生可能性等因素,最后形成合規風險列表清單。
對于合規風險列表清單,應達到下列標準:
1.風險描述:簡單且準確地描述風險,風險可能在什么情況下以什么方式發生以及風險對既定目標的影響。
2.風險發生原因:明確會導致風險發生的真正原因。
3.風險發生結果:說明風險發生后在哪些方面,以及以怎樣的方式造成影響。具體可以考慮但不限于以下因素:
(1)后果的類型,包括財產類的損失和非財產類的損失(商譽損失、企業形象受損)等;
(2)后果的嚴重程度,包括財產損失金額的大小、非財產損失的影響范圍、利益相關者的反應等。合規風險發生結果的定量分析示例如下。
示例分為三個維度進行,每個維度可以進一步細化為若干評分標準;影響程度分為三個等級,分別賦予 1-9 分,得分越高意味風險程度越大。
4.風險發生可能性:說明風險發生的概率大小。對風險發生可能性的量化分析,可以從以下 5 個維度進行,每個維度可進一步細化為若干評分標準:
(1)內部合規規范的完善程度;
(2)合規規范的執行力度;
(3)人員相關合規素養;
(4)外部監管執行力度;
(5)違規行為一年內已發生的次數。
合規風險發生可能性的定量分析示例如下。實力分為五個維度進行,每個維度可以進一步細化為若干評分標準;影響程度分為三個等級,分別賦予 1-5 分,表示發生可能性依次加強,得分越高以為風險發生的可能性越大。
4.風險發生可能性:說明風險發生的概率大小。對風險發生可能性的量化分析,可以從以下 5 個維度進行,每個維度可進一步細化為若干評分標準:
(1)內部合規規范的完善程度;
(2)合規規范的執行力度;
(3)人員相關合規素養;
(4)外部監管執行力度;
(5)違規行為一年內已發生的次數。
合規風險發生可能性的定量分析示例如下。實力分為五個維度進行,每個維度可以進一步細化為若干評分標準;影響程度分為三個等級,分別賦予 1-5 分,表示發生可能性依次加強,得分越高以為風險發生的可能性越大。
最后形成合規風險列表清單。合規風險列表清單示例如下:
(二)完成合規風險分析后,還需要進行合規風險評價。
合規風險評價,是將風險分析的結果與企業能夠接受的風險水平相比較,或者在各種風險分析結果之間進行比較,以確定風險的等級。風險評價應滿足風險應對的需要,否則應做進一步的風險分析。風險評價是利用風險分析過程中獲得的對風險的認識,設定合規風險的優先等級,對未來的行動進行決策。
最簡單的風險評價,是將風險分為兩種:需要應對的和無需應對的。但這樣的方式難于全面反映情況,而且兩類風險的界限本身也不好確定。
常見的評價是依照企業對風險的容忍程度,將風險分為三個區域:
1.不可接受區域。在該區域內,無論相關活動可帶來什么收益,風險等級都是無法承受的,不惜一切代價進行風險應對;
2.中間區域。對該區域內風險的應對要考慮應對措施的成本與收益,并衡量機遇和潛在后果;
3.廣泛可接受區域。該區域的風險很小,無需采取任何應對措施。
風險評價后,需要進行決策。決策時應包括的內容有:(1)某個風險是否需要應對;(2)風險的應對優先等級;(3)應該采取哪種途徑。決策要參考法律、財務、道德等因素。對于風險評價,可把風險后果分析、可能性分析等結合起來,對風險進行排序,形成一個風險等級表,也可形成一個風險坐標圖。
合規風險程度示例如下:
(三)合規風險評估工作的最后,要以合規風險評估報告落地。
根據合規風險識別和評估情況,合規風險評估工作最后的落地,應當是一份全面的合規風險評估報告。報告主體應當以部門為單位,如業務部門向合規管理部門報告、合規管理牽頭部門向合規管理委員會報告。報告可分為定期報告、專項報告。
合規風險評估報告的內容應當包括:合規風險評估實施概況、合規風險基本評價、存在的合規風險、原因及可能的公司損失,處置建議和應對措施等。具體如下:
?1、合規風險評估工作實施概況
主要包括:
(1)合規風險評估立項選擇的背景和工作目的;
(2)開展合規風險評估的相關準備工作,包括工作小組、評估范圍、使用的識別評估工作方法、工作步驟及時間安排、工作要求等;
(3)合規風險評估實施過程的具體工作情況。
?2、合規風險基本評價
主要包括:
(1)本次合規風險識別評估已覆蓋的合規風險領域;
(2)本次合規風險識別評估總體結果:固有合規風險點數量,剩余合規風險點數量;
(3)本次合規風險識別評估中,不同等級的合規風險的情況,如各不同合規風險等級的合規風險數量、需要采取風險管理措施的合規風險數量;
(4)對被評估范圍的合規風險管理效果的基本評價。
?3、 存在的合規風險
通過合規風險識別評估,把識別出來的需要采取風險管理措施的合規風險點詳細地列出,這是合規評價報告的核心內容,也是將來企業高管在采取風險管理措施時認可的權威依據。
?4、合規風險發生的原因分析。
包括權力、外部環境、員工個人原因、制度措施不完善等。需要注意的是,合規風險的發生往往不是由其中一個原因引致的,而是由多個原因共同作用導致的。
(1)權力:權力引致了合規風險,主要是從權力出發,列舉出具體的某一項或者幾項權力的不正當行使引致了合規風險;
(2)外部環境:被評估領域、崗位或流程所處業務領域在企業外部接口的商業環境狀態及其對企業內部該業務領域、崗位、流程合規履職的影響;
(3)員工個人:員工個人不當動機、員工接受合規知識培訓的情況;
(4)制度措施:被評估領域、崗位或流程所在的業務領域企業的制度建設現狀。
(5)如果近期被評估領域、崗位或流程所處業務領域已經發生過不合規行為或違規行為,則應對發生不合規行為和違規行為的直接原因通過訪談,了解是否:①當事人對業務規律認知不夠;②規范合規風險的制度不適宜;③當事人對業務制度學習了解不夠;④當事人對工作技能方法掌握不夠;⑤當事人所在業務領域的業務績效激勵無針對性,導致其缺乏工作積極性;⑥業務外部市場環境等方面的不可控原因;⑦當事人員陳述的其他原因。