国有企业合规风险识别与评估
转载。
(一)合规风险识别与评估的概念
企业建立合规管理体系,实施合规管理建设的核心是合规风险管理。而合规风险管理,本质上是对合规风险进行识别、评估、处置、应对、监测、预警、监督、检查、沟通、协调并持续改进的过程。具体而言:
企业,尤其是国有企业开展合规风险识别与评估的目的,在于识别企业潜在的合规风险行为,采取积极的管理措施管理风险,以避免合规目标的无法达成。基于合规风险识别评估的结果,企业将采取必要的措施管控合规风险,或在内部有效地开展预防性合规管理工作,使企业能在业务所在地区/所在国合规地开展业务、诚信经营,从而实现企业的合规目标。提升企业品牌形象,避免和减少监管机构的处罚。合规风险识别与评估,有助于企业内形成合规风险意识,帮助组织及时制定风险应对措施,从而避免企业违反法律法规和企业合规承诺,实现企业合规目标,进而为实现企业可持续发展提供必要条件。
合规风险识别与评估,是国有企业内部主动预防和控制合规风险的有效方法。它既是建立合规管理体系的起点,也是运行合规管理体系的前提,体现了企业合规风险管理的质量和水平,影响着企业合规管理目标的实现。
(二)合规风险识别与评估前的准备
(三)合规风险识别与评估的重点内容
根据《合规管理体系指南》第 3.6 条提出的合规风险识别与评估要求,国有企业开展合规风险识别与评估,需要重点理解以下 5 个方面的内容:
➣企业应识别自身的合规风险
企业应当将其合规义务与活动、产品、服务及运营方面联系起来,确认可能发生不合规的情况,从而识别合规风险。
➣企业应查明不合规的原因并明确其后果
企业在分析合规风险时,应考虑不合规的原因、起因及其后果的严重性,以及不合规和相关后果发生的可能性。比如,后果可能包括对个人和环境的伤害、经济损失、声誉损失及行政责任等。
➣在风险评估中,需要比较分析流程中发现的合规风险等级及企业能够并愿意接受的合规风险等级
基于这一比较,企业可以确定任务的优先级,并在此基础上确定实施控制措施的必要性以及控制措施的程度水平。
➣企业应定期对合规风险进行再评估
特别是,当出现新的或更改的活动、产品或服务时;组织的结构或战略发生变更时;重要的外部变化,如金融经济环境、市场情况、负债和客户关系变化时;合规义务变化时和出现不合规行为时。
➣合规风险评估细节的程度和水平取决于企业的风险状况、环境、规模和目标
特定的具体方面可能会有所差异(如环境、财务和社会),同时企业需要对发现的所有合规风险/场景进行监控、更正和纠正,高、中、低级合规风险评估只是企业将主要精力和资源放在优先级更高的锋线上,并最终涵盖所有的合规风险。
(一)企业要识别合规风险,首先必须识别合规义务。
合规义务就像一把“尺子”,一把企业衡量自身生产经营行为正确性的尺子。有了尺子,才能度量出企业生产经营行为过程中可能出现的合规偏差,也就是合规风险。根据《合规管理体系 指南》中给出的“合规义务”的定义,合规义务应包括合规要求,可包括合规承诺。
合规要求是企业必须遵守的义务,具有强制性。在市场经济中,国家监管机构从维护市场经济健康、有序发展的需要出发,制定了许多强制性的法律法规等要求。
合规承诺是企业选择遵守的要求,具有自愿性。由于市场竞争激烈,企业为获得股东、顾客、供应商等相关方的信赖,对自身生产经营过程和产品品质进行的若干承诺。
(二)企业识别合规风险,还要注意合规义务的维护。
现实中,合规要求和合规承诺不是一成不变的,需要时刻关注并将新的合规要求和承诺纳入合规义务清单文件中。企业应当制定适当的流程来识别新的和变更的法律、法规和规则以及其他的合规义务,以确保企业持续合规。为了获得合规义务来源变化信息,企业可采取如下措施:与监管部门会面;与法律、合规顾问交流;跟踪监管部门的网站动态;参加行业论坛和研讨会;订阅相关信息服务;确保自己是专业组织会员;确保自己在监管机构收件人列表中。
以上八种措施均是为企业维护合规义务提供了信息沟通的渠道,可以说,合规义务维护的重点是建立好合规义务信息沟通渠道。企业有必要制定相应的企业合规义务动态维护管理流程,以便及时跟踪法律、法规、规范和其他合规义务的出台和变更。
与作为识别和建立本企业的书面合规义务内容清单的合规义务识别清单相类似,在合规义务维护方面,企业应当建立动态维护本企业的书面合规义务内容清单——合规义务持续识别维护清单。在合规义务持续识别维护清单中,企业应当在上一轮次识别的合规义务识别清单的基础之上,注明增加、删除和调整的合规义务情况,并描述其对企业的影响,最终确认企业是否将上一轮次识别的合规义务继续纳入合规义务范围。
(三)企业识别合规风险,需要综合运用各种方法。
识别合规风险的方法,即是把合规义务与企业的活动、产品、服务和运行(企业的经营管理行为)联系起来,运用一些具体手段,如基于过往案例、基于专家经验,基于归纳推理,基于头脑风暴等方式,发现和列举出企业存在的合规风险。以下是一些常用的合规风险识别技术与方法:
这些合规风险识别技术与方法,通过提供若干识别合规风险的角度,能够为企业构建符合自身经营管理需求的合规风险识别框架。
值得一提的是,这些技术、方法往往是综合运用的。如:事件库法作为企业内部和外部合规咨询团队最常用的合规风险识别方法,往往需要辅之以其他方法甚至是合规管理工作,包括(1)问卷调查法、访谈调研、头脑风暴法、德尔菲法、检查表法;(2)合规管理评估以及合规管理部门在合规日常工作中发现的需要引起足够重视的合规风险或问题;(3)内、外部审计、纪检、监控等活动中发现的合规风险事件等;以及(4)员工举报等。此外,还需要关注和收集违规案例以及相关司法判例、同类企业过去识别和发生的合规问题及违规案例。
(四)企业合规风险识别小结
前述分析,可以看到,合规义务与合规风险之间的紧密关系。总结来说:
1.合规义务的多与少与企业本身密切相关。对于企业来说,来自监管机构颁布的法律、法规等强制性合规要求都是必须遵循的。它们是企业固有的合规风险,关键在于企业是否主动承担这些合规要求。合规承诺就不同了,它是企业对市场、客户、监管机构等相关方的主动承诺。合规承诺不是越多越好,也不是越少越好,最适宜于企业健康发展、基业长青的合规承诺才是最好的。因此,企业管理层要从经济适度出发,在满足国家监管机构制定的法律、法规等强制性合规要求的基础上,从适合其企业经营管理水平、规模、复杂性、结构和运营的方式出发,进行主动的合规承诺,最终制定企业合规义务文件。
2.合规义务决定合规风险。《合规管理体系指南》第 2.12 条,“合规风险,是不确定性对合规目标的影响”。在市场经济环境中,企业的生产经营行为应该遵循合规义务,一旦违反合规义务,就存在不确定性,便产生合规风险。不合规是指未履行合规义务或者违反组织合规义务。假如企业没有承担合规义务,就无所谓的合规风险。企业承担的合规义务越多,未履行或者违反合规义务而导致的合规风险就越大。此外,企业承担的合规义务标准越高,履行的不确定性也就越大,未能达到合规义务要求而导致的合规风险发生的概率也越高。
3.在企业生产经营过程中,由于合规义务的存在,员工行为对合规义务遵循的不确定性导致了合规风险的产生。可以说,合规义务分布在何处,不确定就在何处,合规风险就源于何处。而合规义务的分布是由权力的分布来决定。权力是对利益分配的支配力,权力是利益分配的焦点。合规义务是用来规范权力的正确行使、规范利益的合理分配的。因此,有权力(利益分配)的地方,就存在合规义务。违规行为的“铁三角定律”:权力+不良动机+业务机会=合规风险发生。
(一)企业合规风险评估,首先需要进行合规风险分析。
合规风险分析是要增进对合规风险的了解,为风险评价和应对提供支持。合规风险分析根据目的、可获得的信息数据和资源,可以有不同的详细程度,可以是定性、定量的分析,也可以是这些分析的组合。合规风险分析是在风险识别的基础上,考虑不合规发生的原因、后果及发生可能性等因素,最后形成合规风险列表清单。
对于合规风险列表清单,应达到下列标准:
1.风险描述:简单且准确地描述风险,风险可能在什么情况下以什么方式发生以及风险对既定目标的影响。
2.风险发生原因:明确会导致风险发生的真正原因。
3.风险发生结果:说明风险发生后在哪些方面,以及以怎样的方式造成影响。具体可以考虑但不限于以下因素:
(1)后果的类型,包括财产类的损失和非财产类的损失(商誉损失、企业形象受损)等;
(2)后果的严重程度,包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。合规风险发生结果的定量分析示例如下。
示例分为三个维度进行,每个维度可以进一步细化为若干评分标准;影响程度分为三个等级,分别赋予 1-9 分,得分越高意味风险程度越大。
4.风险发生可能性:说明风险发生的概率大小。对风险发生可能性的量化分析,可以从以下 5 个维度进行,每个维度可进一步细化为若干评分标准:
(1)内部合规规范的完善程度;
(2)合规规范的执行力度;
(3)人员相关合规素养;
(4)外部监管执行力度;
(5)违规行为一年内已发生的次数。
合规风险发生可能性的定量分析示例如下。实力分为五个维度进行,每个维度可以进一步细化为若干评分标准;影响程度分为三个等级,分别赋予 1-5 分,表示发生可能性依次加强,得分越高以为风险发生的可能性越大。
4.风险发生可能性:说明风险发生的概率大小。对风险发生可能性的量化分析,可以从以下 5 个维度进行,每个维度可进一步细化为若干评分标准:
(1)内部合规规范的完善程度;
(2)合规规范的执行力度;
(3)人员相关合规素养;
(4)外部监管执行力度;
(5)违规行为一年内已发生的次数。
合规风险发生可能性的定量分析示例如下。实力分为五个维度进行,每个维度可以进一步细化为若干评分标准;影响程度分为三个等级,分别赋予 1-5 分,表示发生可能性依次加强,得分越高以为风险发生的可能性越大。
最后形成合规风险列表清单。合规风险列表清单示例如下:
(二)完成合规风险分析后,还需要进行合规风险评价。
合规风险评价,是将风险分析的结果与企业能够接受的风险水平相比较,或者在各种风险分析结果之间进行比较,以确定风险的等级。风险评价应满足风险应对的需要,否则应做进一步的风险分析。风险评价是利用风险分析过程中获得的对风险的认识,设定合规风险的优先等级,对未来的行动进行决策。
最简单的风险评价,是将风险分为两种:需要应对的和无需应对的。但这样的方式难于全面反映情况,而且两类风险的界限本身也不好确定。
常见的评价是依照企业对风险的容忍程度,将风险分为三个区域:
1.不可接受区域。在该区域内,无论相关活动可带来什么收益,风险等级都是无法承受的,不惜一切代价进行风险应对;
2.中间区域。对该区域内风险的应对要考虑应对措施的成本与收益,并衡量机遇和潜在后果;
3.广泛可接受区域。该区域的风险很小,无需采取任何应对措施。
风险评价后,需要进行决策。决策时应包括的内容有:(1)某个风险是否需要应对;(2)风险的应对优先等级;(3)应该采取哪种途径。决策要参考法律、财务、道德等因素。对于风险评价,可把风险后果分析、可能性分析等结合起来,对风险进行排序,形成一个风险等级表,也可形成一个风险坐标图。
合规风险程度示例如下:
(三)合规风险评估工作的最后,要以合规风险评估报告落地。
根据合规风险识别和评估情况,合规风险评估工作最后的落地,应当是一份全面的合规风险评估报告。报告主体应当以部门为单位,如业务部门向合规管理部门报告、合规管理牵头部门向合规管理委员会报告。报告可分为定期报告、专项报告。
合规风险评估报告的内容应当包括:合规风险评估实施概况、合规风险基本评价、存在的合规风险、原因及可能的公司损失,处置建议和应对措施等。具体如下:
➣1、合规风险评估工作实施概况
主要包括:
(1)合规风险评估立项选择的背景和工作目的;
(2)开展合规风险评估的相关准备工作,包括工作小组、评估范围、使用的识别评估工作方法、工作步骤及时间安排、工作要求等;
(3)合规风险评估实施过程的具体工作情况。
➣2、合规风险基本评价
主要包括:
(1)本次合规风险识别评估已覆盖的合规风险领域;
(2)本次合规风险识别评估总体结果:固有合规风险点数量,剩余合规风险点数量;
(3)本次合规风险识别评估中,不同等级的合规风险的情况,如各不同合规风险等级的合规风险数量、需要采取风险管理措施的合规风险数量;
(4)对被评估范围的合规风险管理效果的基本评价。
➣3、 存在的合规风险
通过合规风险识别评估,把识别出来的需要采取风险管理措施的合规风险点详细地列出,这是合规评价报告的核心内容,也是将来企业高管在采取风险管理措施时认可的权威依据。
➣4、合规风险发生的原因分析。
包括权力、外部环境、员工个人原因、制度措施不完善等。需要注意的是,合规风险的发生往往不是由其中一个原因引致的,而是由多个原因共同作用导致的。
(1)权力:权力引致了合规风险,主要是从权力出发,列举出具体的某一项或者几项权力的不正当行使引致了合规风险;
(2)外部环境:被评估领域、岗位或流程所处业务领域在企业外部接口的商业环境状态及其对企业内部该业务领域、岗位、流程合规履职的影响;
(3)员工个人:员工个人不当动机、员工接受合规知识培训的情况;
(4)制度措施:被评估领域、岗位或流程所在的业务领域企业的制度建设现状。
(5)如果近期被评估领域、岗位或流程所处业务领域已经发生过不合规行为或违规行为,则应对发生不合规行为和违规行为的直接原因通过访谈,了解是否:①当事人对业务规律认知不够;②规范合规风险的制度不适宜;③当事人对业务制度学习了解不够;④当事人对工作技能方法掌握不够;⑤当事人所在业务领域的业务绩效激励无针对性,导致其缺乏工作积极性;⑥业务外部市场环境等方面的不可控原因;⑦当事人员陈述的其他原因。