網上投稿
本文分為上、下兩篇。上篇主要介紹了企業合規風險管理流程。本篇主要介紹企業如何開展合規風險管理、合規風險三道防線、合規風險與其他風險以及實務中的常見誤區等。
一、企業如何開展合規風險管理
(一)確定開展合規風險管理的領域
首先要確定是在整個企業開展全面的合規風險管理,還是在重點業務或部門領域開始合規風險管理。
(二)確定相關領域的業務流程、崗位設置及崗位職責
梳理擬開展合規風險管理的業務或部門領域的業務流程、崗位設置及崗位職責,為基于業務流程和負責崗位開展合規風險評估奠定基礎。
(三)開展合規風險評估
對于新建合規管理體系、初始開展合規管理的企業,需要開展初次合規風險評估,對企業當時存在的合規風險有初步的、全面的了解,在此基礎上建立合規風險識別清單,將合規風險管控嵌入業務流程并建立業務流程合規管控清單,將合規要求嵌入崗位職責并建立崗位合規職責,對現有規章制度進行合規審查、修訂和補充。初次合規風險評估是企業開展合規管理的基礎和依據,對推動企業合規管理、建立合規管理體系具有重要意義。
全面合規風險評估是基于建立全面合規管理體系的合規管理目標,在公司內部各部門、各產品業務事業部門以及集團各層級公司開展全面合規風險評估,建立完整的合規風險識別清單(合規風險庫),作為后續合規管理的基礎。企業在下列情況下,宜開展全面合規風險評估:
(1)企業新設;
(2)企業合規風險發生頻率高且涉及不同業務領域或者多個業務及職能部門;
(3)企業投資并購其他企業(尤其是投資并購境外企業)而對目標企業進行全面合規風險管理;
(4)企業改制、重組;
(5)企業上市;
(6)企業建立合規管理體系時開展初步合規風險評估。
企業(尤其是集團公司)的全面合規風險管理是一項浩大、長期的合規管理工程,需要合理布局、統籌規劃、精心組織和充分協調;需要制定詳細的項目方案,充分分配資源(包括人員、費用、工具等),花費較長時間以及大量人力和物力。因此,在企業初始建立合規管理體系時,宜集中優勢資源突出和優先安排重點領域的合規風險管理。之后,再循序漸進,開展其它非重點領域的合規風險評估。
(四)建立業務流程合規管控清單與崗位合規職責清單
將合規風險管控措施(合規盡職調查、合規審查等)嵌入業務流程,建立業務流程合規管控清單。將合規要求(合規義務及合規風險管控要求等)嵌入相關崗位的崗位職責,建立崗位合規職責清單。
(五)持續改進
合規風險因企業內外部環境的變化而處于動態變化之中,企業宜定期(如每年)開展合規風險再評估,及時對合規風險識別清單進行梳理和調整,確保合規風險識別清單持續符合企業的實際狀況。
二、企業合規風險三道防線
風險管理三道防線最早出現在國務院國資委發布的《中央企業全面風險管理指引》中。該指引第十條規定:“企業開展全面風險管理工作應與其他管理工作緊密結合,把風險管理的各項要求融入企業管理和業務流程中。具備條件的企業可建立風險管理三道防線,即各有關職能部門和業務單位為第一道防線;風險管理職能部門和董事會下設的風險管理委員會為第二道防線;內部審計部門和董事會下設的審計委員會為第三道防線。”
國務院國資委發布的《中央企業合規管理辦法》沒有明確提出合規風險管理三道防線,但從條款順序安排(第十三條、第十四條和第十五條)以及關于合規管理職責的規定來看,已經體現了三道防線的精神。該辦法第十三條明確了業務及職能部門承擔合規管理主體責任,第十四條明確了合規管理部門牽頭負責合規管理工作的職責,第十五條明確紀檢監察機構和審計、巡視巡察、監督追責等部門的監督追責職責。
從以上規范性文件可以看出,企業風險管理部門與合規管理部門當屬第二道防線。在合規管理實務中一直在探討的一個問題是,企業內部還有哪些機構和部門屬于合規風險的第二道防線?
1.按照國際標準及我國國家標準《合規管理體系要求及使用指南》第3.23條的規定,合規團隊是對合規管理體系運行負有責任、享受權限的一個人或一組人,最好指定一人負責合規管理體系的監督。按照該標準第A.5.3.2條的規定,合規團隊可以是專門人員與合規委員會。按照國務院國資委發布的《中央企業合規管理辦法》,專門負責合規管理工作的合規管理組織包括合規委員會、首席合規官以及合規管理部門。因此,我們認為,企業合規委員會、首席合規官或者合規負責人以及合規管理部門都應當是合規風險的第二道防線。
2.關于法務部門是否屬于第二道防線,實務界存在兩種觀點。一種觀點認為,法務部門主要從事專業性法律事務,屬于第一道防線。另一種觀點認為,法律義務是主要的合規義務、法律風險是主要的合規風險,法務部門的重要職責之一是促使企業遵守法律義務與防范法律風險,因此,法務部門屬于第二道防線。我們認為,法務部門主要負責專業性法律事務,如合同管理、知識產權法律事務管理、訴訟法律事務管理、外聘律師管理等,屬于職能部門職責范圍以及第一道防線。但是,法務部門同時負責法律風險管理,違法法律風險屬于合規風險范疇而且是主要的合規風險,僅從這一層面和職責范圍來看,法務部門屬于第二道防線。
3.關于內部控制部門是否屬于第二道防線,實務界也存在兩種觀點。一種觀點認為,內部控制部門主要從事內部控制活動、采取內部控制措施、制定內部控制手冊等,是企業的職能管理部門,屬于第一道防線。另一種觀點認為,識別風險(包括但不限于法律風險、合規風險)并采取內部控制措施(明確并圍繞業務流程,制定規章制度、程序和措施等)是內部控制的核心步驟和重要內容。按照國務院國資委發布的《中央企業全面風險管理指引》,內部控制體系是全面風險管理體系一個重要的子體系。而且在我國內部控制與全面風險管理日趨融合(尤其體現在風險管理領域)。因此,第二種觀點認為,內部控制部門應當屬于第二道防線。我們認同第二種觀點。
合規風險三道防線的合規管理框架,明確了企業各業務及職能部門作為第一道防線的合規管理主體責任地位,它們應主動開展日常合規管理工作,對合規管理負有直接和第一位的責任;明確了合規管理部門作為第二道防線的職責,即支持、組織、協調、監督各業務及職能部門開展合規管理各項工作;明確了企業紀檢監察、巡視巡察、審計等部門作為第三道防線的職責,即對公司的合規管理情況進行監督追責。
企業合規管理的終極目標是防控合規風險,促使企業依法合規經營,保證企業穩健、安全、持續經營。合規風險三道防線理論具有重要的理論和實踐意義,應進行大力宣傳和推廣。
三、企業合規風險與其他風險
(一)全面風險
按照國務院國資委2006年6月6日發布的《中央企業全面風險管理指引》,企業全面風險包括戰略風險、財務風險、市場風險、運營風險、法律風險等。加上合規風險,企業全面風險應包括戰略風險、財務風險、市場風險、運營風險、法律風險、合規風險等。
企業合規風險是全面風險中的一種。“規”必須遵守,一旦違反即須承擔法律責任、經濟損失或聲譽損失。因此,相比較而言,合規風險是單一的、純粹的風險,也是底線風險。而在戰略風險、財務風險、市場風險中,風險與機會并存,多屬于機會性風險。
(二)法律風險
2020年5月6日,國際標準化組織以我國國家標準《企業法律風險管理指南》為藍本,正式發布《風險管理 法律風險管理指南》(ISO 31022:2020)。2023年8月6日,我國國家標準化管理委員會發布《風險管理法律風險管理指南》(GB/T 27914—2023),代替原國家標準《企業法律風險管理指南》(GB/T 27914—2011)。按照該標準第3.2條規定,法律風險是指由法律、法規以及合同事項導致的風險。企業法律風險包括法律環境風險、違法法律風險、違約法律風險、侵權法律風險、怠于行使權利法律風險、行為不當法律風險等。
企業法律風險與合規風險存在交叉,即違法法律風險。法律義務是企業的主要合規義務,違法法律風險是主要的法律風險,也是主要的合規風險。這決定了合規管理具有很強的法律專業性這一特點。
四、常見誤區
1.孤立地看待合規風險
企業各類風險處于經常并存的情況。例如:企業開拓一個新的市場,可能同時面臨戰略、市場、財務和投融資、運營、法律與合規等各類風險。企業需要同時針對各類風險,協同風險管理策略來應對和處置。
2.用內控或全面風險管理來替代合規風險管理
不少企業用內控中的風險管理或全面風險管理來替代合規風險管理,包括:用內控或全面風險評估來替代合規風險評估,用內控或全面風險管理的風險矩陣(清單)來替代合規風險識別清單,用內控或全面風險管理中的風險報告來替代合規風險報告等。
3. 基于概括性合規義務來評估合規風險
概括性合規義務是指對某一領域或者某一類別的合規義務作綜合性描述或指向的合規義務。概括性合規義務的內容宏觀、內涵擴展、外延開放,具有原則性、抽象性、歸納性等特點。概括性合規義務沒有對合規義務主體提出具體行為指引和要求,缺乏實際操作性。因此,概括性合規義務宜用于對企業、各部門、各崗位的某領域、某類別合規義務的總體性、歸納性、原則性要求,無法用來建立具體合規義務清單,也不能作為合規風險評估的基礎。
在實務中,有些企業基于內控或全面風險管理理論及慣性思維,基于概括性合規義務來評估合規風險。例如,“不遵守《勞動合同法》的規定簽署勞動合同可能導致勞動糾紛并給公司造成損失”,就是常見的案例。此類合規風險評估并未明確具體的合規風險,無法有針對性地提出具體風險應對措施,因而沒有實際的指導作用或意義。
4.脫離業務流程進行單純的合規風險評估
業務流程(管理環節、控制點等)是企業合規義務及合規風險最基本的業務載體,企業合規義務及合規風險不能脫離企業經營管理和業務流程而孤立地存在。合規義務識別、合規風險評估須基于業務流程,全面梳理業務流程中各環節、各控制點的合規風險點,提出應對措施建議,建立并實施業務流程合規管控清單,推動合規管理真正融入業務。
5.脫離崗位職責進行合規風險評估
企業合規義務分解到各部門并最終分解到各個崗位,崗位是企業合規義務及合規風險最基本的組織載體。合規義務最終由各個崗位來承擔,合規風險最終由各個崗位來面對。合規義務識別、合規風險評估須對應相應的工作崗位,全面梳理各個崗位需要承擔的合規義務及面對的合規風險,明確各個崗位的合規職責,才能將企業合規職責分配到崗、落實到人,推動實現從重點崗位合規到全員合規。
6.將合規風險評估簡單推定為合規管理部門的工作
在實務中,不少企業的業務及職能部門認為合規管理是合規管理部門的職責,將合規風險評估簡單推定為合規管理部門的工作,因此不配合、不支持、不參與合規風險評估工作,對合規風險識別清單不研究、不培訓,也不在日常經營管理活動中運用。
如前所述,業務流程是合規風險最基本的業務載體,業務及職能部門是合規風險的第一道防線。因此,業務及職能部門是合規風險評估乃至防范的責任主體。合規管理部門僅行使合規管理職能,包括組織、指導、監督、檢查等。
7.全面鋪開,急于求成
急于求成,在短時間內全面鋪開和完成合規風險評估、編制“三張清單”。合規風險評估大多基于概括性合規義務進行,合規風險識別清單和應對措施對合規風險防范沒有實際指導意義,合規風險管控舉措沒有實際嵌入業務流程,合規職責也沒有落實到崗。這是目前不少企業現階段存在的主要問題之一。
滬公網安備 31010402007129號
