企业合规风险管理(上)

发布时间:2025-04-17

文 | 郭青红 吴怡 王子墨 汇业律师事务所

本文分为上、下两篇。上篇主要介绍企业合规风险管理流程。下篇主要介绍企业如何开展合规风险管理、合规风险三道防线、合规风险与其他风险以及实务中的常见误区等。

企业合规管理以有效防控合规风险为目的,以合规风险管理与合规审查为实体性、实务性内容,辅以组织保障、制度保障、运行机制保障、信息化保障等。合规风险管理是企业合规管理的核心和主要内容,贯穿企业合规管理的始终。

企业合规风险管理流程的各个环节存在环环相扣、层层递进的逻辑关系,每一环节都以前一环节为基础和前提。任何一个环节存在疏漏或偏差,可能导致下一环节发生偏差或错误。

一、企业合规风险

合规风险是因未遵守组织合规义务而发生不合规的可能性及其后果(国际标准ISO37301:2021及我国国家标准GB/T35770:2022《合规管理体系 要求及使用指南》第3.24条)。企业合规风险是企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性(《中央企业合规管理办法》第3条第2款)。

合规风险是具体的、现实的、纯粹的、单一的风险。企业一旦违反合规义务,就会遭受法律制裁(包括刑事处罚、行政处罚和民事赔偿),承担法律责任(包括刑事责任、行政责任和民事责任)。也正因如此,合规管理是底线管理或红线管理,要求企业及其员工不触碰合规底线,不逾越合规红线。

二、企业合规风险管理

按照国家标准《风险管理风险评估技术》的规定(第4.2.1条),风险管理过程包含以下要素:明确环境信息、风险评估、风险应对、监测和预警、监督检查、沟通协调。

按照国际标准及我国国家标准《合规管理体系 要求及使用指南》第4条,合规风险管理的流程可以概括为:(1)理解组织及其环境;(2)理解相关方的需求和期望;(3)确定合规管理体系的范围(物理边界、组织边界、地域边界以及组织范围);(4)识别合规义务;(5)开展合规风险评估;(6)实施控制,管理和应对合规风险。

国务院国资委发布的《中央企业合规管理办法》中没有对合规风险管理做集中规定,而分散规定在不同条款之中。2019年10月19日,国务院国资委《关于加强中央企业内部控制体系建设与监督工作的实施意见》,要求以内控为基础、风险管理为导向、合规管理监督为重点,将风险管理和合规管理要求嵌入业务流程,促使企业依法合规开展各项经营活动,实现“强内控、防风险、促合规”的管控目标。2023年3月2日,国务院国资委召开中央企业深化法治建设加强合规管理工作会议,要求企业建立合规风险识别清单、岗位合规职责清单、业务流程管控清单。对这些规范性文件进行梳理总结,我国央企、国企合规风险管理内容可以概括为:(1)梳理业务流程和岗位职责,建立业务流程清单和岗位职责清单;(2)开展合规风险评估,编制合规风险识别清单;(3)开展合规风险应对,将合规要求嵌入业务流程和岗位职责,建立业务流程合规管控清单与岗位合规职责清单;(4)开展合规风险监测预警。

对有关合规管理的标准、办法、指引等进行归纳总结,企业合规风险管理是明确环境信息、识别合规义务以及合规风险评估、应对、监测和预警、监督检查、沟通协调,循环往复,持续改进的过程。企业合规风险管理流程包括:

1.明确环境信息(其中包括梳理业务流程和岗位职责);

2.识别合规义务;

3.合规风险评估;

4.合规风险应对;

5.合规风险监测预警;

6.监督检查;

7.沟通协调;

8.持续改进。

(一)明确环境信息

企业合规风险管理具有很强的专业性和复杂性,主要体现在以下几个方面:

1.不同行业的企业需要遵守行业特殊合规义务渊源以及相关的合规义务。

2.同一企业在不同国家或地区经营,需要遵守不同法域的法律法规和道德规范。即使在中国国内,不同省、市的地方性法规、地方政府部门规章和监管规定及相应的合规义务可能存在一些差别。

3.不同所有制性质的企业需要遵守与其所有制相关的特别法律法规。

4.企业所需遵守的外法、内规不断地立、改、废,企业所需遵守的合规义务以及面临的合规风险也处于动态变化之中。

5.企业划分为不同的业务及职能部门以及若干个管理条线,不同部门和管理条线需要遵守与之相关的专业性法律法规的规定,面临的合规风险也存在差别。

6.企业同一部门不同岗位(如财务部的会计岗、税务岗、出纳岗)也需要遵守与其岗位职责相关的专业性法律法规的规定并面临不同的合规风险。岗位是企业合规义务以及相应合规风险最基本的组织载体。

7.企业合规义务以及相应的合规风险具体分解到各业务及管理条线的业务流程(管理环节、控制节点等)。业务流程是企业合规义务及相应合规风险最基本的业务载体。企业开展合规风险管理、明确环境信息,应调研、梳理、厘清以下内容:

(1)企业性质;

(2)产品种类、业务模式及经营的行业;

(3)经营所在的国家和地区;

(4)内、外部合规义务渊源框架;

(5)监管环境;

(6)组织结构和职责分配,以及岗位设置及岗位职责(为编制岗位合规职责清单奠定基础);

(7)管理条线和业务流程(为编制业务流程合规管控清单奠定基础);

(8)过去纪检监察、巡视巡察、审计、违规举报、法律纠纷中揭示的合规风险,以及集团内部其他公司、同行业企业发生过的重大合规风险事件;

(9)自身的合规文化;

(10)社会、文化、环境背景等。

根据合规管理环境基础信息,基于业务流程和组织机构,编制合规风险管理的内部控制基础信息表。

1c126b27b0ae8c454866cf2e0c63a35.png(二)识别合规义务

详见汇业观察中的另一篇文章《企业合规义务管理》。通过识别合规义务,在合规风险管理内部控制基础信息表的基础上编制合规义务清单。

 ae2dd9947005891d99167b7080ff911.png(三)合规风险评估

按照有关风险管理的标准、办法和指引,合规风险评估包括合规风险识别、合规风险分析与合规风险评价三个步骤。

1.合规风险识别

合规风险识别是发现、收集、确认、描述、分类、整理合规风险,对其产生原因、影响范围、潜在后果等进行分析归纳,最终生成企业合规风险清单,为下一步合规风险的分析和评价明确对象和范围。

2.合规风险分析

根据国际标准及我国国家标准《风险管理 原则与实施指南》第5.3.3条、《合规管理体系 要求及使用指南》第A.4.6条的规定,合规风险分析是企业对不合规的原因、来源、后果的严重程度、不合规及其后果发生的可能性进行分析和研究,对识别出的合规风险进行定性、定量的分析,为合规风险的评价和应对提供支持。

合规风险发生可能性是指在公司目前的管理水平下,合规风险发生概率的大小或者发生的频繁程度。

合规风险影响程度是指合规风险会对公司的经营管理和业务发展所产生影响的大小。

3.合规风险评价

根据国际标准及我国国家标准《风险管理 原则与实施指南》第5.3.3条、《合规管理体系要求及使用指南》第A.4.6条的规定,合规风险评价是根据合规风险分析的结果对合规风险等级与企业能够并愿意接受的合规风险水平进行评估。通过分析评估,得出合规风险系数,即合规风险发生的可能性与影响程度的乘积。按照合规风险系数,设定合规风险的优先等级,帮助企业作出合规风险应对的决策。

通过合规风险识别、分析和评价,建立合规风险识别清单。

780935507a974ab4b7b1c40b5410b6e.png

(四)合规风险应对

风险应对是在完成风险评估之后,选择并执行一种或多种改变风险的措施,包括改变风险事件发生的可能性和/或后果,以及针对合规风险采取相应措施以消除合规风险或者将合规风险控制在企业可承受的范围内。

合规风险应对包括评估合规风险应对现状、选择合规风险应对措施、制定合规风险应对具体举措、制订合规风险应对计划、实施合规风险应对措施与计划等环节。

基于合规风险识别清单,对高、中等级的合规风险,提出应对措施。

0fa8a9cbf9ad210b7483e8613d417b8.png

(五)合规风险监测预警

根据合规风险清单,对识别出的合规风险(尤其是高、中合规风险)进行日常监测。

合规风险监测是运用风险监测方法,对合规风险进行监督和测试,提供风险预警,并对合规风险应对的改进提供基础信息依据。实施合规风险监测,需要确定监测的目标合规风险,制订监测计划(如监测频率、监测期限等),设计监测指标(阀值),组成监测小组并明确职责分工,制作监测报告。

企业可根据自身的需求和资源状况,选择建立重大合规风险预警机制,根据对内外部合规风险环境变化的监控结果,及时发布合规风险预警信息,并制定相应的应急预案。

8ca88089a2658188c1dce4ae9041169.png

(六)监督检查

对合规风险应对措施与计划的实施进行跟踪检查,确保合规风险应对措施与计划的有效执行,并根据发现的问题对合规风险管理工作进行持续改进。

企业实施合规风险应对措施后,应评估其剩余风险是否可以承受。如果不可承受,应调整或制定新的合规风险应对措施和应对计划,并评估新的措施的效果,直到剩余风险可以承受。

(七)沟通协调

企业合规风险管理是一项复杂、严肃的工作,涉及各不同层级管理人员以及各相关业务及职能部门及其员工,他们可能有着不同的价值观、诉求、假设、认知和关注点,其合规风险偏好和对合规风险管理的期望也可能存在差异,这些对合规风险管理的决策和执行具有重要影响。

合规管理部门、合规风险管理项目小组在合规风险管理过程的每个阶段都应当与他们有效沟通并制作和保存相关记录,充分协调,以保证他们能够充分了解企业面临的合规风险及其给企业带来的影响,正确理解企业合规风险管理决策的依据和开展合规风险管理对企业的重大意义,支持合规风险管理的开展,并根据相关信息作出恰当决策和有效执行合规风险管理应对措施。

(八)持续改进

合规风险管理是动态和持续的管理过程,绝非一蹴而就。企业在发展,合规管理的外部环境和内部环境不断发生变化,要求企业周而复始地、持续地进行合规风险管理。

按照国际标准及我国国家标准《合规管理体系 要求及使用指南》第A.4.6条的规定,发生以下情形时,宜对合规风险进行周期性再评估:(1)新的或变化的活动、产品或服务;(2)组织结构或战略改变;(3)重大的外部变化,如金融经济环境、市场条件、债务和客户关系;(4)合规义务变更;(5)并购;(6)不合规和近乎不合规。

企业通过周期性的、持续的合规风险管理,循环往复,使合规风险管理的各个环节形成有效的闭环,并不断改进和提高合规管理水平,有效防控和应对合规风险,确保企业做到持续经营。

(待续)


返回列表