網上投稿
本文分為上、下兩篇。上篇主要介紹企業合規風險管理流程。下篇主要介紹企業如何開展合規風險管理、合規風險三道防線、合規風險與其他風險以及實務中的常見誤區等。
企業合規管理以有效防控合規風險為目的,以合規風險管理與合規審查為實體性、實務性內容,輔以組織保障、制度保障、運行機制保障、信息化保障等。合規風險管理是企業合規管理的核心和主要內容,貫穿企業合規管理的始終。
企業合規風險管理流程的各個環節存在環環相扣、層層遞進的邏輯關系,每一環節都以前一環節為基礎和前提。任何一個環節存在疏漏或偏差,可能導致下一環節發生偏差或錯誤。
一、企業合規風險
合規風險是因未遵守組織合規義務而發生不合規的可能性及其后果(國際標準ISO37301:2021及我國國家標準GB/T35770:2022《合規管理體系 要求及使用指南》第3.24條)。企業合規風險是企業及其員工在經營管理過程中因違規行為引發法律責任、造成經濟或者聲譽損失以及其他負面影響的可能性(《中央企業合規管理辦法》第3條第2款)。
合規風險是具體的、現實的、純粹的、單一的風險。企業一旦違反合規義務,就會遭受法律制裁(包括刑事處罰、行政處罰和民事賠償),承擔法律責任(包括刑事責任、行政責任和民事責任)。也正因如此,合規管理是底線管理或紅線管理,要求企業及其員工不觸碰合規底線,不逾越合規紅線。
二、企業合規風險管理
按照國家標準《風險管理風險評估技術》的規定(第4.2.1條),風險管理過程包含以下要素:明確環境信息、風險評估、風險應對、監測和預警、監督檢查、溝通協調。
按照國際標準及我國國家標準《合規管理體系 要求及使用指南》第4條,合規風險管理的流程可以概括為:(1)理解組織及其環境;(2)理解相關方的需求和期望;(3)確定合規管理體系的范圍(物理邊界、組織邊界、地域邊界以及組織范圍);(4)識別合規義務;(5)開展合規風險評估;(6)實施控制,管理和應對合規風險。
國務院國資委發布的《中央企業合規管理辦法》中沒有對合規風險管理做集中規定,而分散規定在不同條款之中。2019年10月19日,國務院國資委《關于加強中央企業內部控制體系建設與監督工作的實施意見》,要求以內控為基礎、風險管理為導向、合規管理監督為重點,將風險管理和合規管理要求嵌入業務流程,促使企業依法合規開展各項經營活動,實現“強內控、防風險、促合規”的管控目標。2023年3月2日,國務院國資委召開中央企業深化法治建設加強合規管理工作會議,要求企業建立合規風險識別清單、崗位合規職責清單、業務流程管控清單。對這些規范性文件進行梳理總結,我國央企、國企合規風險管理內容可以概括為:(1)梳理業務流程和崗位職責,建立業務流程清單和崗位職責清單;(2)開展合規風險評估,編制合規風險識別清單;(3)開展合規風險應對,將合規要求嵌入業務流程和崗位職責,建立業務流程合規管控清單與崗位合規職責清單;(4)開展合規風險監測預警。
對有關合規管理的標準、辦法、指引等進行歸納總結,企業合規風險管理是明確環境信息、識別合規義務以及合規風險評估、應對、監測和預警、監督檢查、溝通協調,循環往復,持續改進的過程。企業合規風險管理流程包括:
1.明確環境信息(其中包括梳理業務流程和崗位職責);
2.識別合規義務;
3.合規風險評估;
4.合規風險應對;
5.合規風險監測預警;
6.監督檢查;
7.溝通協調;
8.持續改進。
(一)明確環境信息
企業合規風險管理具有很強的專業性和復雜性,主要體現在以下幾個方面:
1.不同行業的企業需要遵守行業特殊合規義務淵源以及相關的合規義務。
2.同一企業在不同國家或地區經營,需要遵守不同法域的法律法規和道德規范。即使在中國國內,不同省、市的地方性法規、地方政府部門規章和監管規定及相應的合規義務可能存在一些差別。
3.不同所有制性質的企業需要遵守與其所有制相關的特別法律法規。
4.企業所需遵守的外法、內規不斷地立、改、廢,企業所需遵守的合規義務以及面臨的合規風險也處于動態變化之中。
5.企業劃分為不同的業務及職能部門以及若干個管理條線,不同部門和管理條線需要遵守與之相關的專業性法律法規的規定,面臨的合規風險也存在差別。
6.企業同一部門不同崗位(如財務部的會計崗、稅務崗、出納崗)也需要遵守與其崗位職責相關的專業性法律法規的規定并面臨不同的合規風險。崗位是企業合規義務以及相應合規風險最基本的組織載體。
7.企業合規義務以及相應的合規風險具體分解到各業務及管理條線的業務流程(管理環節、控制節點等)。業務流程是企業合規義務及相應合規風險最基本的業務載體。
企業開展合規風險管理、明確環境信息,應調研、梳理、厘清以下內容:
(1)企業性質;
(2)產品種類、業務模式及經營的行業;
(3)經營所在的國家和地區;
(4)內、外部合規義務淵源框架;
(5)監管環境;
(6)組織結構和職責分配,以及崗位設置及崗位職責(為編制崗位合規職責清單奠定基礎);
(7)管理條線和業務流程(為編制業務流程合規管控清單奠定基礎);
(8)過去紀檢監察、巡視巡察、審計、違規舉報、法律糾紛中揭示的合規風險,以及集團內部其他公司、同行業企業發生過的重大合規風險事件;
(9)自身的合規文化;
(10)社會、文化、環境背景等。
根據合規管理環境基礎信息,基于業務流程和組織機構,編制合規風險管理的內部控制基礎信息表。
(二)識別合規義務
詳見匯業觀察中的另一篇文章《企業合規義務管理》。通過識別合規義務,在合規風險管理內部控制基礎信息表的基礎上編制合規義務清單。
(三)合規風險評估
按照有關風險管理的標準、辦法和指引,合規風險評估包括合規風險識別、合規風險分析與合規風險評價三個步驟。
1.合規風險識別
合規風險識別是發現、收集、確認、描述、分類、整理合規風險,對其產生原因、影響范圍、潛在后果等進行分析歸納,最終生成企業合規風險清單,為下一步合規風險的分析和評價明確對象和范圍。
2.合規風險分析
根據國際標準及我國國家標準《風險管理 原則與實施指南》第5.3.3條、《合規管理體系 要求及使用指南》第A.4.6條的規定,合規風險分析是企業對不合規的原因、來源、后果的嚴重程度、不合規及其后果發生的可能性進行分析和研究,對識別出的合規風險進行定性、定量的分析,為合規風險的評價和應對提供支持。
合規風險發生可能性是指在公司目前的管理水平下,合規風險發生概率的大小或者發生的頻繁程度。
合規風險影響程度是指合規風險會對公司的經營管理和業務發展所產生影響的大小。
3.合規風險評價
根據國際標準及我國國家標準《風險管理 原則與實施指南》第5.3.3條、《合規管理體系要求及使用指南》第A.4.6條的規定,合規風險評價是根據合規風險分析的結果對合規風險等級與企業能夠并愿意接受的合規風險水平進行評估。通過分析評估,得出合規風險系數,即合規風險發生的可能性與影響程度的乘積。按照合規風險系數,設定合規風險的優先等級,幫助企業作出合規風險應對的決策。
通過合規風險識別、分析和評價,建立合規風險識別清單。
(四)合規風險應對
風險應對是在完成風險評估之后,選擇并執行一種或多種改變風險的措施,包括改變風險事件發生的可能性和/或后果,以及針對合規風險采取相應措施以消除合規風險或者將合規風險控制在企業可承受的范圍內。
合規風險應對包括評估合規風險應對現狀、選擇合規風險應對措施、制定合規風險應對具體舉措、制訂合規風險應對計劃、實施合規風險應對措施與計劃等環節。
基于合規風險識別清單,對高、中等級的合規風險,提出應對措施。
(五)合規風險監測預警
根據合規風險清單,對識別出的合規風險(尤其是高、中合規風險)進行日常監測。
合規風險監測是運用風險監測方法,對合規風險進行監督和測試,提供風險預警,并對合規風險應對的改進提供基礎信息依據。實施合規風險監測,需要確定監測的目標合規風險,制訂監測計劃(如監測頻率、監測期限等),設計監測指標(閥值),組成監測小組并明確職責分工,制作監測報告。
企業可根據自身的需求和資源狀況,選擇建立重大合規風險預警機制,根據對內外部合規風險環境變化的監控結果,及時發布合規風險預警信息,并制定相應的應急預案。
(六)監督檢查
對合規風險應對措施與計劃的實施進行跟蹤檢查,確保合規風險應對措施與計劃的有效執行,并根據發現的問題對合規風險管理工作進行持續改進。
企業實施合規風險應對措施后,應評估其剩余風險是否可以承受。如果不可承受,應調整或制定新的合規風險應對措施和應對計劃,并評估新的措施的效果,直到剩余風險可以承受。
(七)溝通協調
企業合規風險管理是一項復雜、嚴肅的工作,涉及各不同層級管理人員以及各相關業務及職能部門及其員工,他們可能有著不同的價值觀、訴求、假設、認知和關注點,其合規風險偏好和對合規風險管理的期望也可能存在差異,這些對合規風險管理的決策和執行具有重要影響。
合規管理部門、合規風險管理項目小組在合規風險管理過程的每個階段都應當與他們有效溝通并制作和保存相關記錄,充分協調,以保證他們能夠充分了解企業面臨的合規風險及其給企業帶來的影響,正確理解企業合規風險管理決策的依據和開展合規風險管理對企業的重大意義,支持合規風險管理的開展,并根據相關信息作出恰當決策和有效執行合規風險管理應對措施。
(八)持續改進
合規風險管理是動態和持續的管理過程,絕非一蹴而就。企業在發展,合規管理的外部環境和內部環境不斷發生變化,要求企業周而復始地、持續地進行合規風險管理。
按照國際標準及我國國家標準《合規管理體系 要求及使用指南》第A.4.6條的規定,發生以下情形時,宜對合規風險進行周期性再評估:(1)新的或變化的活動、產品或服務;(2)組織結構或戰略改變;(3)重大的外部變化,如金融經濟環境、市場條件、債務和客戶關系;(4)合規義務變更;(5)并購;(6)不合規和近乎不合規。
企業通過周期性的、持續的合規風險管理,循環往復,使合規風險管理的各個環節形成有效的閉環,并不斷改進和提高合規管理水平,有效防控和應對合規風險,確保企業做到持續經營。
滬公網安備 31010402007129號
