企业合规风险管理

发布时间:2018-07-10

文 | 郭青红 汇业律师事务所 合伙人

合规风险管理是企业合规管理的核心,贯穿企业合规管理的始终,涉及专业方法的使用和具体操作流程。本文只做简要介绍,抛砖引玉。

合规风险是企业风险的一种,是指企业合规义务的不合规发生的可能性和后果(我国《合规管理体系指南》(GB/T 35770-2017)第2.12条),是企业违反合规规范可能导致的制裁、处罚、财产损失和声誉损失风险。

按照我国国资委2006年6月6日《中央企业全面风险管理指引》第五条,风险管理的基本流程包括收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进。我国《合规管理体系指南》没有集中规定企业合规风险的管理流程,而将合规风险的识别、分析和评价、应对等分列于第3.6条和第5.1条。

根据我国《合规管理体系指南》和《中央企业全面风险管理指引》,结合欧美跨国企业集团的合规风险管理实践,我们将企业合规风险管理流程归纳为合规风险识别、合规风险分析评价、合规风险应对、合规风险监测和持续改进。

一、合规风险识别

合规风险识别是发现、收集、确认、描述合规风险以及整理和储存合规风险信息的过程,包括对风险根源、风险成因、风险事件及潜在后果的识别。合规风险识别是合规风险管理的首要步骤、前提和基础。

企业需要对适用的各项合规规范进行收集和整理,根据合规规范对企业经营管理的各个领域进行合规风险排查,甄别、收集、确认和描述合规风险点,根据涉及的合规规范与合规风险发生的业务领域进行分类和整理,制作矩阵合规风险清单,并上传和储存到企业合规管理信息系统。

合规风险识别,需要关注行业监管部门的监管重点及发布的违规案例,同类企业、本企业过去识别和发生的合规问题及违规案例,内部审计发现的合规风险事件,业务部门发现的合规风险问题,员工举报的违规情况等。这些都是发现和识别合规风险的重要来源。

合规风险识别包括:

1.全面性合规风险识别。企业在下列情况下,需要对企业经营管理的各个领域开展全面的、彻底的合规风险识别:企业新设;企业合规风险发生频率高且涉及不同业务领域或者多个业务部门和专业职能部门;企业投资并购其它企业(尤其是投资并购境外企业)而对目标企业进行全面性合规风险识别;企业合并;企业改制、重组;企业上市;等等。

2.专项合规风险识别,即根据合规管理计划,或者在外部环境或者内部环境发生变化时,对企业经营管理的某一领域、某一经营项目或活动,或者对某一业务部门或者专业职能部门,开展专门的合规风险识别。企业在发生下列情况时,须开展专项合规风险识别:战略调整,组织机构改变,引入新的或者扩展产品业务领域,开拓新的市场(尤其是境外市场),合规规范被修改或废止或者颁行新的合规规范,颁行新的合规管理制度或业务合规流程,出现重大不合规情况等。

二、合规风险分析和评价

根据我国《合规管理体系指南》第3.6条,合规风险分析和评价是企业通过分析不合规的原因、来源、后果的严重程度、不合规及其后果发生的可能性进行分析和研究,并对合规风险等级与企业能够并愿意接受的合规风险水平进行分析和评估。

对企业风险进行分析评价的方法和模型很多。就企业合规风险而言,我们推荐使用RPN(Risk Priority Number)的SOD风险系数评估法,从风险的严重程度(Severity)、发生的可能性和频率(Occurrence)以及可探测度(Detection,即根据企业现有规章制度识别和监测到合规风险的可能性)三个方面对风险进行评估和打分,确定合规风险系数的高低。每一方面分为1到10个等级。一般来说,如果一个合规风险的严重程度高于8分,或者RPN三个方面的得分乘积高于100,就说明其风险系数很高,系重大合规风险。

合规风险分析和评价,需要基于合规风险清单,对企业各合规风险做充分的调查研究,掌握大量、准确的数据和资料,并在此基础上对每一合规风险进行评估。完成合规风险分析和评价,须按合规风险系数等级对合规风险进行整理、排序,对重大合规风险进行专项研究和分析,厘清合规管理缺陷,制作合规风险评估报告。

三、合规风险应对

根据合规风险分析与评价结果,确定风险应对措施和解决方案,制定风险应对措施清单并落实执行。

风险应对措施包括(但不限于):制定和执行整改及防控目标和计划;制定、修改和完善企业内部合规规范;与存在重大合规风险的部门管理层商谈,明确合规风险应对措施和职责,纳入绩效考核指标;对相关业务模式、业务流程进行整改和完善;开展专项合规培训与合规活动;严格问责,对违规行为进行违规调查和处置;等等。

对于重大合规风险,须对应对措施的启动、执行及效果进行持续跟踪与监督,直至合规风险消除。如果风险应对措施执行不力或者效果不佳,需要及时预警与核查,提出合规风险应对改进建议,加强合规应对力度。

四、合规风险监测

合规风险监测是运用风险监测方法,对监测领域的合规状态及合规风险的形成进行动态监督和测试,提供风险预警,并对合规风险的防控的改进提供基础信息依据。

合规风险的监测领域,在横向方面可以是某一管理领域(如公司治理、劳动管理、网络安全管理)或者某一业务领域(如采购、营销、产品开发、物流);在纵向方面可以是某一外部合规规范(如适用的法律、行业监管规则等)的遵守,或者企业某一内部规章制度(如管理制度、业务流程)的执行等。

实施合规风险监测,需要确定监测领域和监测重点,制定监测计划(如监测频率、监测期限等),设计监测指标,组成监测小组并明确职责分工,制作监测报告。

通常将合规风险监测级别划分为正常、关注、特别关注、风险预警与风险形成等五个级别,并用不同颜色标示(通常将预警级别标示为橙色,将风险形成标示为红色)。如果形成合规风险(尤其是重大合规风险),则需要及时进行风险识别、分析和评价,并采取风险应对措施。

五、持续改进

合规风险管理是动态和持续的管理过程,绝非一蹴而就。企业在发展,合规管理的外部环境和内部环境不断发生变化,要求企业周而复始地、持续地进行合规风险管理。企业通过持续的合规风险管理,循环往复,使合规风险管理的各个环节形成有效的闭环,并不断改进和提高合规管理水平,有效防控和应对合规风险,确保企业安全、稳定、持续经营。

六、合规风险信息管理

企业合规风险信息管理,是企业合规管理信息系统的重要组成部分。通过企业合规管理信息系统,建立动态合规风险管理信息库,实现对合规风险识别、分析评价、应对、监督、重大风险预警等的数据化和自动化管理。

七、合规风险管理流程的制度化

合规风险管理是企业合规管理的核心构成要素,有其特定的要求、方法和程序。企业合规管理负责部门须制定专门合规风险管理指南,指导企业的合规风险管理工作。合规风险管理要融入企业经营管理,也要融入企业各业务部门和专业职能部门的管理制度和业务流程。

合规风险是企业风险的一种,企业全面风险管理的方法和流程同样适用于企业合规风险管理。如果企业已经制定了全面风险管理流程,合规风险管理流程可以在全面风险管理流程的基础上,根据合规风险管理的特点和特殊要求,作适当的补充性规定。

八、后记

1.企业合规风险管理具有很强的专业性和技术性,企业合规管理负责部门需要加强学习和培训,不断提高自己的合规风险管理水平。企业开展合规风险管理工作,应深入各业务部门和专业职能部门,充分沟通协调,与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。    

2.合规风险管理闭环示意图



返回列表