合规风险识别分析评估是有效的合规管理体系不可或缺的组成部分,无论是自上而下还是自下而上地执行,合规风险识别分析评估都是必须的。
不管采用何种办法,在设置和定义合规管理措施之前,建立系统的风险识别分析和评估流程(风险排序),始终根据业务开展所在国家的法律和监管环境规范自身生产经营行为至关重要。
一、合规风险识别的“六大方法”
合规风险识别是对合规风险进行分析评估的前提。实践中,合规风险识别常见有以下方法:
1.识别访谈法
所谓识别访谈法,指通过访谈员和受访人面对面地交谈来了解受访人的心理和行为的心理学基本研究方法,了解其潜在的观点和认知,以确定其是否真的存在法律风险的一种识别方法。
2.问卷调查法
问卷调查法是指对企业可能存在的法律风险,通过制作一系列的问题进行度量,从而搜集到可靠资料并进行研判的一种方法。问卷调查方法标准化程度高,效率高且匿名性强,能在短时间内获取大量资料,相对于访谈法更适合在企业内部大范围进行。
3.案例分析法
案例分析法是指企业根据自身以往的合规风险案例或者其他企业相同或类似的合规风险案例,通过研究分析、总结,以提升企业合规风险识别和预防能力的方法。
4.权力识别法
所谓权力识别法,是指通过识别不同岗位上不同的权力内容,再通过权力内容来定位合规风险的一种方法。权力识别法是一种基于岗位的识别方法,即围绕岗位的职责内容、工作特点、人数规模等信息来判断其存在合规风险的可能性。
5.监督举报机制
企业还可以建立举报机制,鼓励举报人通过信函、电话、电子邮件、网络留言等形式对企业可能存在的合规风险进行举报;企业可以增设举报奖励,以提高举报人的积极性。举报机制建立后,企业还要配套建立相应的调查机制,及时对举报的合规风险进行调查、分析并采取风险化解和处置措施。
6.调查回访
对于企业的外部商业合作伙伴而言,可以通过尽职调查和回访了解外部带来的合规风险。
首先,企业在与商业伙伴合作前,应该对商业伙伴开展全面的尽职调查,对商业伙伴的行业特点、资金情况、违法违规情况等进行充分地了解,综合判断与该商业伙伴合作的法律风险,避免自身牵涉商业伙伴的违法行为,而承担法律责任。
其次,企业可以在与商业伙伴合作后开展合作回访,通过合作伙伴的信息反馈,了解到此次合作过程中各环节可能存在法律风险,尤其是识别企业员工在此次合作中是否存在串通投标、商业贿赂等法律风险。
对于上述六种方法,企业应采用哪种方法,可以结合自己的行业特点和合规需求,选择不同的识别方法,比如金融行业可以针对关键岗位采用访谈法,互联网行业可以通过网络的形式开展问卷调查法,医疗行业可以采取权力识别法。
此外,上述几种识别方法并不是非此即彼或者相互对立的。企业可以同时采取多种识别方法,这样往往会事半功倍,比如在采用访谈法时,可以通过调查问卷法筛选访谈对象;也可以在使用权力识别法之后,针对个别权力的行使,采用调查问卷法或者访谈法找出具体的合规风险。
为保证企业合规风险识别的客观性、全面性和系统性,在运用上述识别方法时,可同时从多个角度对合规风险进行分析梳理,确定合规风险等级,并根据合规风险等级采取对应的风险化解、应对措施。
二、合规风险评估的“九个步骤”
识别合规风险后,确定合规风险评估的流程时,可以通过以下步骤进行:
第一步:确定需要加强合规风险管理的关键业务或岗位范围,进行企业合规风险形势评审。
一般依据企业每年的年度风险管理计划定期进行合规风险形势评审,合规管理员联系业务部门以座谈、个别访谈、集体讨论、专家咨询和内部纪检监察、审计、内控测试报告、与合规问题相关信息统计计算分析等方式,进行合规风险形势评审,可以采取定性与定量相结合的方法。
合规风险形势评审内容一般包括:企业生产经营是否出现新的或更改的活动、产品或服务;企业的结构或战略是否发生变更;是否发生重要的企业外部变化,如金融经济环境、市场情况、负债和客户关系;企业是否有合规义务的变化;企业内部是否发生不合规行为,又如是否发生违反公司制度的行为,是否发生违反合规要求的从业行为,是否发生违反合规承诺的从业行为,企业内控测试是否存在不合格项,公司专项审计是否存在问题;公司合规目标是否实现;等等。
第二步:明确企业合规目标,制定开展某业务合规风险识别评估的工作方案。
企业只有依据明确的合规目标,才能确定与企业实际情况、生存发展需求相对应的确切风险环境,并据此制定方案。
工作方案包括合规风险识别评估范围、工作机构与分工、合规风险识别评估方法、需要完成的工作事项与时间要求等方面的内容。
依据合规风险形势评审结果,企业合规管理员起草合规风险识别评估方案,报合规部负责人审核,报区域合规官审批后即可实施。
第三步:开展权责事项清理,形成“权责清单”。
根据企业业务流程制度规定和部门业务分工、岗位职责和授权,全面清理和确定对管理和服务对象承担的各类工作职责,识别对应的权力,形成“权责清单”。
权责清理方法以关键业务流程为单元,或者以岗位为单元。其中,前者依据业务流程制度规定的工作步骤、责任部门、责任岗位和工作任务,形成每个关键业务流程的“权责清单”,后者则依据岗位职责说明书规定的工作任务形成每个岗位的“权责清单”。
第四步:制作合规风险地图,查找合规风险点。
根据识别的“权责清单”具体内容识别企业风险,彻底的风险识别将提高合规风险透明度,同时也是企业意愿改善经营方式的有力证明。
工作方法上,在所列出的风险清单中,以小组讨论、头脑风暴、案例启发、业务座谈等形式,查找对应的可能触发的风险类型。
第五步:对不合规行为的原因及后果进行分析。
根据可能触发的风险类型,推理不合规风险发生可能产生的后果,进行不合规原因、来源查找,并根据以往业务执行情况判断该业务发生频率,以评估不合规风险发生的机会。
第六步:评估已识别的风险,确定合规风险等级。
根据发生可能性和潜在的消极后果/物质损失评估企业风险,确定合规风险等级,从而形成风险排序。合规风险等级评估可以采取目标影响评估法,在不合规后果与分析的基础上,评估不合规后果对业务目标的影响,同时评估对合规目标的影响。
一般按照直接影响、间接影响和不影响三个程度进行评估,即按照高、中、低及其对应的直接影响、间接影响、不影响确定合规风险等级,并确定企业愿意接受合规风险等级和待处理的合规风险。
第七步:风险排序,确定风险应对计划。
通过对已识别的企业内部风险进行排序,确定待处理的合规风险点,进而确定企业年度合规应对计划的重点工作领域,也可以据此拟订风险应对计划。
第八步:风险应对措施制定。
根据合规风险点所在的不同业务步骤、岗位和合规风险等级,依据企业制度规定的工作目标、工作步骤、工作责任主体、工作任务、工作记录、工作标准和工作方法,结合合规要求、合规承诺,有针对性地制定合规风险管理措施。对不同等级合规风险的应对措施应区别制定,重点加强对高合规风险点的防控。
第九步:风险应对措施植入流程制度。
根据制定的风险应对措施,修改完善对应的公司流程制度并发布执行。
三、撰写合规风险评估报告的“六个要点”
根据合规风险识别和评估情况,合规风险评估工作最后的落地,应当是一份全面的合规风险评估报告。合规风险评估报告一般可分为定期报告、专项报告。
合规风险评估报告的内容应当包括:合规风险评估实施概况、合规风险评价、存在的合规风险、原因及可能的公司损失,处置建议和应对措施等。具体内容展开如下:
1.合规风险评估工作实施概况
合规风险评估工作的实施概况方面,一般可以从三方面内容:
合规风险评估立项选择的背景和工作目的;
开展合规风险评估的相关准备工作,包括工作小组、评估范围、使用的识别评估工作方法、工作步骤及时间安排、工作要求等;
合规风险评估实施过程的具体工作情况。
2.合规风险评价
合规风险评价,是将风险分析的结果与企业能够接受的风险水平相比较,或者在各种风险分析结果之间进行比较,以确定风险的等级。
合规风险评价应满足风险应对的需要,否则应做进一步的风险分析。风险评价是利用风险分析过程中获得的对风险的认识,设定合规风险的优先等级,对未来的行动进行决策。
3.合规风险点列明
通过合规风险识别评估,把识别出来的需要采取风险管理措施的合规风险点详细地列出,这是合规风险评估报告的核心内容,也是企业未来制订和采取合规风险整改和应对管理措施时认可的主要依据。
4.合规风险发生的原因分析
合规风险的产生原因,也称为企业合规风险源。合规风险源基本包括如下几个方面:
利益追逐:因为存在重大利益,企业及其员工明知违规、违法仍然主动为之,从而引发合规风险,给企业带来潜在或者明确的风险。这是当下市场竞争环境下非常普遍的情况。
监控缺失:因为企业内部控制措施缺失或监控措施实施不到位,导致企业高级管理人员或员工能够有机可乘,在为自己逐利的同时损害企业的利益,从而产生合规风险。
认知不足:因为企业及其员工缺乏合规认识或工作能力不足,不知道行为的违法违规,虽有过失之嫌但事实已经违法违规。
制度缺陷:因为企业自身缺少合规规章制度或合规规章制度的设计存在明显的不合规缺陷,导致企业高级管理人员或员工经营行为存在有意识的违规。
违法成本较低:国家法律、行业监管规章制度或者其他法规要求针对的不合规行为对应的相关惩罚机制的威慑力不足够强,企业违规违法收益明显大于违规违法成本,导致企业合规风险的发生。
5.合规风险发生可能导致的企业损失
合规风险作为对合规义务的违反而给企业带来法律责任、经济损失及声誉损失的可能性。合规风险可能给企业导致的损失,通常包括法律责任承担、商业声誉损害和商业利益减少。
其中,合规风险导致的法律责任承担,主要包括行政制裁和处罚责任、民事赔偿责任和刑事法律责任。
6.合规风险处置建议与应对措施
根据合规风险分析与评价结果,确定风险应对措施和解决方案,制定风险应对措施清单并落实执行。
合规风险应对措施通常包括:制定和执行整改及防控目标和计划;制定、修改和完善企业内部合规规范;与存在重大合规风险的部门管理层商谈,明确合规风险应对措施和职责,纳入绩效考核指标;对相关业务模式、业务流程进行整改和完善;开展专项合规培训与合规活动;严格问责,对违规行为进行违规调查和处置;等等。
来源:子象 作者:岳久博
自主竣工验收
清洁生产审核
排污许可核查
