企业合规风险识别与分析评估（中篇）

（接上篇）各部门据此识别和建立本部门、本业务领域的合规义务数据库，并定期跟踪、动态维护更新。

与上面的两种方式对应，有两种方法确定需要遵守的合规义务。

方法一：在按业务分类列出与一级、二级业务活动清单基础上，一一对应的确定具体合规义务主要条款要求，或归纳、提炼、概述出具体要求。具体见《业务流程对应合规义务矩阵清单》。

方法二：在按岗位分类列出与一级、二级业务活动清单基础上，一一对应的确定具体合规义务条款要求，或归纳、提炼、概述具体要求。具体见《岗位对应合规义务矩阵清单》。

3.3合规风险分析评估

本节主要介绍基于违规案例大数据统计分析基础上的合规风险尽调评估法来进行合规风险分析评估。前面从ISO37301定义知道：合规风险是指不符合组织合规义务造成不合规的可能性和后果。把该定义放到企业场景，企业合规风险考验定义为企业的生产经营活动、产品和服务不符合企业合规义务造成不合规的可能性和后果，比之前的ISO19600和GB/T35770《合规管理体系指南》合规风险定义：对合规目标的不确定性，表述更直接和范围更加拓宽。依据新的定义，有合规义务的地方，就存在合规风险。可以理解为：有合规义务对应的企业生产经营活动、产品和服务，都是可以确定为合规风险点。

ISO37301对确定合规风险评估是这样要求的：

4.6合规风险评估

组织应以合规风险评估为基础，识别、分析和评价其合规风险。

组织应将其合规义务与其活动、产品、服务、运行的相关方面联系起来，以识别合规风险。

组织应评估与外包和第三方过程相关的合规风险。

应定期评估合规风险，并在客观环境或组织环境发生重大变化时进行评估。

组织应保留有关合规风险评估和应对其合规风险的措施的文件化信息。

如何落实该要求，附录A提供了进一步详细的指南，具体如下：

A.4.6合规风险评估

合规风险评估是合规管理体系实施以及分配适当和充分的资源，并管理已识别合规风险的过程的基础。

合规风险的特征是可能不遵守组织合规方针与义务的可能性和后果。

合规风险包括固有合规风险和剩余合规风险。固有合规风险是指组织在未采取相应合规风险处理措施的情况下，处于非受控状态所面临的全部合规风险。剩余合规风险是指组织现有的合规风险处理措施不能有效控制的合规风险。

组织应从不合规的根本原因、来源、后果、后果发生的可能性分析合规风险。例如，后果可能包括人身和环境损害、经济损失、声誉损害、行政处罚以及民事和刑事责任。

合规风险识别包括识别合规风险源和确定合规风险情形。组织应根据部门职责、岗位职责和不同类型的组织活动，识别各部门、职能和不同类型的组织活动中的合规风险源。组织应定期识别合规风险源，并确定每个合规风险源对应的合规风险情形，以制定合规风险源和合规风险情形的合规风险清单。风险评估包括将组织可接受的合规风险水平与合规方针中规定的合规风险水平进行比较。

在下列情况发生时，应定期对合规风险进行重新评估：

—出现新的或改变的活动、产品或服务；

—组织结构或战略发生改变；

—重大外部变化，如金融经济环境、市场状况、负债和客户关系；

—合规义务发生改变；

—发生合并与收购；

—发生不合规（即使是单一的不合规事件，也可能构成环境的重大变化和接近）。

合规风险评估的范围和详细程度取决于组织的风险形势、环境、规模和目标，以及因具体子领域（如环境、财务、社会）而不同。以风险为基础的合规管理方法并不意味着在合规风险较低的情况下，组织可以接受不合规行为。该方法帮助组织将主要精力和资源优先集中在更高风险上，并最终覆盖全部合规风险。所有识别的合规风险/点都会处于监视和处理中。

在进行风险评估（参见ISO 31000指南）时，宜注意相关技术内容（详见IEC 31010）。

从合规风险定义知道：有“合规义务”的地方，企业的业务、职能事项执行的时候，就面临“不合规行为”出现的可能性，而发生不合规行为的主体是企业内部的人员，原因也来自内部的人员人性、欲望和追求，合规风险因此是源于内部人员不良动机驱使。

合规风险不同于其他风险，如战略风险、财务风险、运营风险可能来自企业外部，或者内部的不确定性变化，这样的不确定性变化多数情况下是无法预测的，并且变化的是原来策划方案的时候，假定的环境各条件中，有发生不可预见的客观变化。比如，财务风险，新冠疫情的突然发生，导致工厂开工不足，原来假设的“正常开工生产”发生了变化，导致原材料积压，企业资金负现金流加大。

合规风险从人员主观故意角度可以分为：操作性合规风险和故意（蓄意）合规风险。操作性合规风险是非主观故意，没有蓄意谋划，而是客观原因导致发生不合规行为风险，这类的合规风险管理措施主要是：加强合规义务培训、合规操作反复练习，就基本可以控制这类合规风险；控制难度大的是“故意合规风险”，因此合规风险识别的重点是“故意合规风险”的识别。

合规风险评估对应的合规管理工作是识别、分析、评价合规风险，企业合规管理牵头部门组织，并使用专门的合规风险辨识分析评价工具，企业的业务、职能管理部门、审计与监督部门配合和参与，在前面工作基础上，对各业务领域的业务、职能事项进行合规风险进行辨识、分析和评价。

首先，按照业务事项、职能清单开展“合规风险尽调工具表”，对企业的生产经营活动进行合规风险尽调。该部分的工作可以使用专门的合规风险评估软件在线填写完成尽调工作，也可以人工进行。

尽调的内容包括以下：

以企业每一个岗位职责说明书和过去一年从事的本岗位各工作事项为信息来源，需要每一履职事项，依次完成一轮以下全部问题回答，或者按照业务流程每一步骤的工作任务、过去一年的工作频次，依次完成一轮以下全部问题回答。

----岗位履职/业务工作事项梳理----

1.岗位职责  请输入一项职责

提示：请复制一条岗位职责说明书中的岗位职责即可。比如：负责合格供应商资源管理。

2.工作事项  该职责对应的工作事项

提示：请描述上述这一条职责的工作内容，请尽量简单、用核心词描述，一条岗位职责对应一条工作事项。

3.工作事项简称  8个字内概括上述工作事项

提示：请您对上述的工作事项用不多于8个字（含8个）简述。

3.工作结果   该工作事项的办理结果

提示：请对上述的工作事项经办完成后的结果作客观描述。以上述“工作事项”为例：形成最新的公司合格供应商数据库，或形成最新的公司合格供应商名册。

4.工作目标   办理该工作事项的工作目标

提示：“工作目标”是指引导人员办理工作事项努力方向的“标准”、“要求”、“期望”等，一般这样的“工作目标”是企业绩效考核部门设定，也可以是部门负责人自行组织设定，并且多数可能是可量化、可计量，也有定性描述。如果没有，可以写“无”。以下的目标选项可以多项选择。

---服务于效益目标---

■服务于公司收益目标

■服务于公司成本控制目标

---服务于效率、效果目标---

■服务于公司安全生产经营目标

■服务于公司人员健康目标

■服务于公司产品质量、品质目标

■服务于环境保护目标

■服务于公司数据与隐私安全目标

■服务于公司品牌价值目标

■服务于公司产品创新与升级目标

■服务于公司人才与团队建设目标

■服务于公司财产保护与安全目标

■服务于公司社会责任目标

---服务于公司其他目标---

■服务于公司其他目标

-----业务经办情况描述----

5.对应的工作事项---属于以下哪个工作范围？

提示：您可以首先判断该工作事项是“研发策划类”、“业务运营类”、“保管类”、“其他类”。然后在对应的类别里选择应该属于的工作范围。

以下为本问题的选择项：

-----研发策划类-----

■技术研发  

■产品研发   

■标准研发

■方案策划

------业务运营类-----

■是决策审批工作

提示：是决定做、或不做，包括但不限于：决策、决定、批准等具有核准性质的活动。

■是营销、销售、售后方面的工作

提示：包括但不限于：包括资产重组、资产资本化销售、或向客户介绍产品、服务功能、销售政策、价格优惠条件、销售合同签订、售后服务、维修、保养、置换等客服、销售性质的活动以及向客户的营销推送活动。

■是人事方面的工作

提示：包括但不限于：雇佣、招聘、任免、考核、人员奖励与处罚、职称评定、岗位选拔、评先进、劳模等针对人的管理活动。

■是投资、收购、或采购方面的工作

提示：包括但不限于：确定合格供应商、外包商、租赁商名册、确定采购数量、采购方式、采购策划、制定采购文件、确定投标人、确定价格和中标人、签合同、合同变更等与选择第三方合作伙伴、采购产品、服务定价有关的活动，以及投资、收购、或网购、竞买等。

■是把关、监督、放行控制方面的工作

提示：包括但不限于：理化检验、质量检验、品质控制、进出门管理、技术控制、安全控制、环境保护等一线工作，以及对技术、质量、安全、或商务、行政等方面的审议、审核、评审、放行、监督、检验、检查、认证、评估等。

■是计量、计数方面的工作

提示：包括但不限于：计量劳动工作量、产品、服务、物资、设备计量，如货物计数、采购结算、开具验收单、物料领用、消耗计量、工作量计量、分包量计量、容积测量、计时计件、记账等计数计量称重活动。

■是资金收支方面的工作

提示：包括但不限于：资金和费用的预算、计划，以及收款、付款、报销、担保、保理、融资、贷款、借款、工资发放等涉及资金收支流程上的工作。

-----保管类------

■贵重物资、重要物件保管    

■仓库管理

■货物、物资物流管理   

■贵重物资、重要物件、货币押运                 

■现金、或存款管理

-------其他类-------

■其他类

6.是否有需要控制受众范围的数据信息或机会？£是 £否

具体描述：  请输入需受控信息

提示：您可以根据所在国家、本企业制度规定，需要保密的商务、技术、专利、版权、客户等数据与隐私信息清单范围（若无明确规定的，也可以根据本人经验判断，有存在本人、本企业以外的特定利益相关方特别关注、需要的信息，一旦泄露给他们，会给本人、本企业带来负面影响），确定办理该工作事项中接触、掌握、生成的，需控制受众范围某个、某些信息。

7.办理该工作事项时的职责角色是什么？

提示：请根据企业组织正式文件、或岗位说明书、定岗定编时，公司授予本人岗位的职责角色，来选择对应的职责角色。

以下为本问题的选择项：

■审批角色

■直线分管领导审核角色

■横向相关分管领导审核角色

■横向相关部门领导评审角色

■直线部门领导审核角色

■直接主管角色

■直接主办人员角色

■办事业务员角色

■一般参与人员角色

8.职责角色办理的工作事项利益相关方是谁?

提示：有非本人、非本企业利益的其他利益相关方时，在公司外部或内部选择其他利益相关方，若无，在“其他情形”中选。

选择最关心工作事项及办理结果、或关键数据信息（该工作事项办理中需要控制受众范围的数据信息）的相关组织、相关个人。

以下为本问题的选择项：

----公司外部----

■政府和政府机构、或监管机构

■销售客户

■供应商(包括第三方中介机构)

■代理商

■投资者

■竞争对手  

■协会、或社区组织

■应聘人员

■媒体

■其他组织或人员

-----公司内部----

■上级公司或母公司

■下级子公司、分公司

■公司领导

■公司其他员工

----其他情形----

■本企业（无本人、本企业以外的利益相关方时）

■本人（无本人、本企业以外的利益相关方时）

9.这项工作事项与谁沟通并办理？

提示：请您首先判断是自行办理的事务性工作，或保管工作，还是需要与人沟通并办理；如果是事务性工作，请直接选择“事务工作”里的“■本人自行办理，不涉及(公司外部、内部其)他人。。。”前面“工作事项范围”选择的“保管类”，就请继续勾选“保管工作”。

其次如需要与人沟通并办理，则判断是与公司外部，还是内部人员沟通并办理；

第三，选择办理事项的具体沟通对象。

     以下为本问题的选择项：

----公司外部----

■政府和政府机构、或监管机构

■销售客户

■供应商(包括第三方中介机构)

■代理商

■投资者

■竞争对手  

■协会、或社区组织

■应聘人员

■媒体

■其他组织或人员

----公司内部----

■上级公司或母公司

■下级子公司、分公司

■公司领导

■公司其他员工

----事务工作----

■本人自行办理，不涉及(公司外部、内部其)他人，是对文档、资料、信息等的管理与处理

    ----保管工作----

■保管工作

10.办理结果将直接影响利益相关方的什么利益？

提示：是指工作事项的办理结果会影响前述提到的“利益相关方”什么利益。利益相关方是公司外部组织、或个人，均是影响其货币收益。利益相关方是公司内部员工、领导个人或本人时，从工作绩效、职业职级、福利待遇、个人荣誉四个中选择。利益相关方是上级公司、母公司、分公司、子公司或本企业时，从“资源调配”中选择。

以下为本问题的选择项：

----利益分配类-----

■货币收益

■工作绩效高低

■职业职级发展

■福利待遇多寡

■个人荣誉

-----资源调配类----

■财务资源获取

■物资资源获取

■人力资源获取

■荣誉政策优惠获取

----其他----

■不涉及利益分配与资源调配

11.该工作事项每年执行约多少次？

提示：您可以参照上一年度该事项全年的执行次数，是指该工作事项的重复办理次数。

例如：上一年公司举办学校招聘春秋两轮次，共计学生345人，则执行次数应填写345次，而不是两次。

12.负责办理该工作事项的权限范围是怎样的？

提示：根据公司授予本岗位职责权限范围来选择。

比如，

张三负责公司员工考勤----对应的是■负责全公司范围

张三负责采购系统人员考勤----对应的是■负责某一业务系统范围  

张三负责采购部人员考勤----对应的是■负责本部门范围内

以下为本问题的选择项：

■负责全公司范围  

■负责某一业务系统范围  

■负责本部门范围内  

13.工作事项执行后的经济结果：直接涉及金额（万元/年）：0

 提示：工作事项的工作结果可以直接形成公司收入、费用、成本、债务、所有者权益增加、减少数字的，能用金额衡量。

若不直接涉及，软件默认为0万元。

例如：工作事项“签订采购合同”，其工作结果直接导致公司采购成本的增加，因此为“工作直接涉及金额（万元/年）：。。。。”

14.工作事项执行后的经济结果：间接涉及金额（万元/年）：0

 提示：工作事项的工作结果能够间接导致公司收入、费用、成本、债务、所有者权益增加、减少的，能用金额衡量。

若不间接涉及金额，软件默认为0万元。

例如：工作事项为“编写采购计划”，其流程进行到最后的结果导致的公司采购成本的增加，因此为“工作间接涉及金额（万元/年）：。。。。”

15.是否存在技术性（黑箱）操作  £是 £否

提示：只有我本人知道该工作事项经办实际实施过程，无办理过程痕迹，其他人事后难以知道。

如工作事项：地下隐秘工程施工，工作过程是地下施工，完成后，覆盖上面土以后，会看不到痕迹，也是过程事后难以知道。因此是涉及技术性（黑箱）操作。

16.该工作事项实施是否曾经、或正在采取部分、或全部外包？提示：该工作事项在过去5年到现在，是否外包给公司外部合作伙伴，包括曾经、或正在采取部分、或全部外包四种情形。

以下为本问题的选择项：

■曾经全部外包

■曾经部分外包

■正在实施部分外包

■正在实施全部外包

■不存在外包

17.不良工作行为或结果是否可能引起人身伤害？

提示：该工作事项经办过程中和工作结果中，若出现不良的行为过程，或者不良的工作结果，按照最大的伤害情形预计，对人身有什么伤害。

比如：生产电瓶车的充电电池工作，其最大的伤害情形预计：■可能出现人员死亡

以下为本问题的选择项：

■可能出现人员死亡

■可能出现人员安全伤害

■可能出现人员健康影响

■不产生人员伤害

18.不良工作行为或结果是否可能引起环境伤害？

提示：该工作事项经办过程中和工作结果中，若出现不良的行为过程，或者不良的工作结果，按照最大的伤害情形预计，对自然环境有什么伤害。

比如：生产电瓶车的充电电池工作，其最大的伤害情形预计：■可能出现不可恢复的环境伤害

以下为本问题的选择项：

■可能出现不可恢复的环境伤害

■可能出现人工干预后可恢复的环境伤害

■可能出现无需人工干预即可恢复的环境伤害

■不产生环境伤害

企业各部门负责人要对描述的业务、职能事项在上述方面的履行信息进行复盘确认和审核，以准确、真实描述业务、职能事项和合规风险尽调内容，以便在后续的下篇准确识别、分析、评价各业务、职能活动的固有合规风险（未完下篇待续）。