企业如何建构合规风险治理体系？

“风险”一词源于古代，以出海捕鱼为生的渔民每次出海前都要向神明祈祷，让神灵保佑自己在出海时能够风平浪静、顺利归来。在长期的捕鱼实践中逐渐认识到海上天气，如“风”的不确定性、无法预测的危险性，“风”即是“险”。

在合规治理中，即便了解风险的不确定性，我们也容易忽视合规风险管控的必要性。只要企业运营，就会存在合规风险，即便企业停止运营，有些风险依然会持续存在。

而合规风险并非实时显现的，风险源存在后会有一段空窗期，不会即刻爆发。但是，当合规风险出现迹象的时候，合规风险的问题已经相当严重。就好像“破窗效应”一样，合规风险会变得越来越难以控制。

合规风险治理体系的构建

首先我们要明确一个观点：消除所有风险是不可能的。企业的责任是证明你已经认识到可能面临的风险，并采取了合理的预防措施来防止它们对你的股东、董事会成员、雇员、财产或声誉造成伤害。

构建合规风险治理体系的目的是帮助企业设计和实施一项有效、积极的风险管理计划，以应对企业内外部所面临的合规风险。这个过程将帮助管理人员认识到企业所面临的风险，执行风险评估，并开发策略来利用他们可用的管理资源来减轻风险。

国际标准化组织（ISO）截至目共颁布92个管理类标准，其中24个涉及风险管理的标准，包括AI、供应商、供应链、质量、水、信息安全、医疗医药、环境、风险管理、其他等。

企业可以选择将合规管理体系作为一格单独的系统来实施，但更理想的状态是，将合规管理体系与其他管理体系融合在一起，例如，将ISO 19600（合规管理体系，即将被ISO 37301取代），与1SO 9001（质量）、ISO 14001（环境）、ISO/IEC 27001（信息安全）、ISO 22000（食品安全）ISO 37001（反贿赂）、ISO 26000（社会责任）、ISO 31000（风险管理）等有机融合，最终体现为一种价值角度上的全面风控。

建立环境

首先要对潜在风险进行识别、评估和记录。可能涉及到下列几个方面：

（1）风险管理的社会范围 

（2）利益相关者的识别和目标

（3）我们可以获得哪些资源来帮助减轻风险的影响

（4）我们有什么样的机制来应对可能出现的违规情况

识别

我们需要更加关注潜在的风险而不是只着眼于眼前的问题，对于眼前存在的问题我们需要考虑其深层次的原因，是什么造成了该问题？又将引出哪些还未出现的问题？

所以，风险的来源不应该被忽视，但由于我们面临的是一个全国性的问题，我们只能有效地解决在受让人层面上呈现给我们的问题。这意味着受资助者应该考虑他们所面临的威胁，如金钱损失、事故、伤亡、人员损失、财产损失等。

此外，对可能存在的风险进行分类对合规风险治理体系构建是有帮助的，例如:对一般操作、人员、项目受益人、财产、建筑物、设备等方面的风险进行分类管理将会更有效率。也可以与企业的利益相关者进行访谈，了解他们关心什么，他们担心什么，并根据这些内容集思广益找出共性解决问题。我们可能主要考虑两个方面：

（1）合规要求，又称强制合规义务，是外部赋予企业的义务。包括：法律法规、许可、执照或其他形式授权、监管机构发布的条例或指南、法院或行政法庭的判决书、条约、惯例、协议。

（2）合规承诺，又称自愿合规义务，是企业主动承担的合规义务。包括与社区团体或非政府组织签订的协议、与公共权力机构和客户签订的协议、组织要求的方针或程序、自愿原则或准则、自愿性标志或环境承诺、组织签署协议产生的义务、相关组织和行业标准。

评估

一旦确定了风险的性质和种类，我们就要开始评估此风险的潜在严重性和发生可能性。这些量有的很容易测量，比如一件失物的价值；有的无法确定，比如不太可能发生的事件发生的概率。

这就是为什么在评估过程中，为了正确地确定优先级，做出可能的最佳猜测是至关重要的。在评估中，我们可能需要考虑下列几个问题：

（1）拟维护的良好秩序是怎样的，他们的价值有哪些？

（2）实现上述目标面临哪些潜在风险？风险的原因有哪些？

（3）合规目标钟方哪些弱点可能会被风险利用？

（4）一旦风险事件发生，我们会遭受怎样的损失或者面临怎样的负面影响？

（5）风险的管控措施有哪些？

（6）采取怎样的措施降低损失？

（7）风险控制有无盲点？

风险解决

一旦确定了风险，就必须概述处理这些风险的行动方针。可能的场景/解决方案：

（1）避免。包括不从事有风险的活动、更改经营路线，避开被认为不安全的地区等。

（2）减轻。包括减少损失程度的方法，例如为员工配备健康和安全装备、保存紧急号码、消防设备、备份文件等尽职义务。

（3）承受。当损失发生时接受损失。

（4）转移。指使另一方接受风险。这通常可以通过保险、外包服务等来实现。

回顾

最初的计划永远不会完美，也不会完全有效。经验和环境的变化使得计划不能一成不变，二者的变化提供信息，以便根据面临的风险作出不同的决策。

形式化、僵硬化的合规治理往往效果很不理想，也无必要开展，一个成功的风险管理策略是以企业实际需求出发而动态量身定做的。

我司专注合规管理“一站式”工具技术服务，提供EHS领域法规获取、更新及线上合规性评价，帮助企业开展现场EHS合规性评价，发掘企业自身合规风险隐患，高效解决企业现场EHS相关问题，提升EHS专业人员工作效率、合规分析及管理能力。