企业合规管理的操作,应以有效的合规风险识别为起点。
合规风险的识别,常常会与内控、风控、内审、法律风险等等搞混。首先,如何划定“合规风险”的来源范围是企业能否进行有效合规风险识别工作的第一步。
第一步 确定合规风险识别的风险来源
我们将企业的风险粗略的分为两大类:经营性风险与合规类风险
经营类风险:
更多绑定企业的经济效益、规模增减等偏“正向”性内容;更多以管理中“机会”的方式呈现。
合规类风险:
更多绑定企业违规违法后的判罚、损失(经济和声誉)、个人和单位责任等;更多以管理中“风险”的方式体现。
图:合规风险聚焦的范围
其中,合规类风险包含:违规风险、道德风险、以及传统的法律风险。
违法风险含:
法律环境:
法律法规
许可、执照或其他按形式的授权
监管机构发布的命令、条例或指南
法院或行政法庭的裁决书
条约、惯例和协议
……
违规风险含:
与非政府组织签订的承诺或协议
与主管部门的协议
与客户的协议
企业自身要求:制度、流程等
企业自愿行为
其他行业标准
……
道德风险含:
企业对外的商业道德承诺
对客户和利益相关方的承诺
可持续发展要求
企业对员工的商业道德要求
……
第二步 确定合规风险识别的内容范围
合规风险识别全称应为:合规风险及合规管理风险的识别。
即,该风险由合规风险与合规管理风险组成。
合规风险即:由相关风险来源(第一步)所明确的风险内容如:
《中华人民共和国反垄断法》(2008.12)
第13条 禁止具有竞争关系的经营者达成下列垄断协议:
(一)固定或者变更商品价格;
(二)限制商品的生产数量或者销售数量;
(三)分割销售市场或者原材料采购市场;
(四)限制购买新技术、新设备或者限制开发新技术、新产品;
(五)联合抵制交易;
(六)国务院反垄断执法机构认定的其他垄断协议。
本法所称垄断协议,是指排除、限制竞争的协议、决定或者其他协同行为。
则合规风险为本条款规定的相应内容,即:禁止竞争者达成含有相关(如上列)垄断协议。
合规管理的内容以管理为出发点,即管理本身是否有漏洞。
如:合规风险识别的方式方法、合规检查的方式方法、合规培训的内容、合规调查的方式方法等等,是否得到有效的贯彻和执行。
图:合规及合规管理风险
明确了合规风险的来源范围以及识别的内容范围,才能有效启动合规风险识别,甚至有效启动合规管理整体工作。否则合规管理与其他管理内容混为一谈,无法深入,效果堪忧。
第三步
合规风险的有效判定
对合规风险识别后,我们得到了公司整体合规风险的列表,虽大而全,但重点不突出,不知管理该从何下手。这时,更重要的工作即为:对已识别出的合规风险的判定。
按相关的逻辑进行风险的判定和分级,使相关人员有重点的对非低风险点进行把控和管理。有的放矢的进行后续的合规管理工作。
图:合规风险梳理的全流程
完整有效的合规风险梳理工作是企业合规管理的重要起点,也是后续合规管理工作的基础。但本项工作应随着外部环境和内部管理的变化时时更新和跟进,保证企业合规风险管理的工作始终处于动态更新。
自主竣工验收
清洁生产审核
排污许可核查
