风险数据库作为现代企业合规管理的基础,是企业从原有的经验化管理过渡到系统化管理的依据。通过全面识别经营过程中的风险(可能发生的事故)和可能导致安全风险的因素,制定措施防范风险事项发生,实现安全风险控制或事故控制,保障企业系统化的安全管理。
从国务院国资委印发的《中央企业合规管理指引(试行)》《中央企业合规管理办法》、各部委联合印发的《企业境外经营合规管理指引》,到中国证券业协会发布的《证券公司和证券投资基金管理公司合规管理办法》等行业性合规管理制度,再到山西省国资委印发的《山西省属企业合规管理办法指引(试行)》等地方性合规管理制度,在合规管理体系建设要求不断细化完善的过程中,识别合规风险、建立合规风险数据库始终是重要话题。
合规风险数据库是合规风险识别这项工作的成果体现,是进行风险评估的前提步骤。在企业里建立和维护好一套高质量的风险数据库,是一切风险管理工作开展的前提和基础。如果风险信息没找对,工作的方向就会出现偏差,合规管理工作就不可能顺利进行。
本文主要从合规风险数据库建立的实际需求出发,结合实操经验与理论思考,跟大家进行分享交流。
一、如何建立企业的合规风险数据库?
1、把握原则
普遍性:风险事项多数为同类型企业、同业务模块普遍存在、应当总结防范的事项。对于此类风险事项要描述全面、具体。
准确性:描述风险事项不能仅停留事件表象,要认准风险事项形成原因,探究问题根源所在,剖析造成风险事项的原因是个人的失职缺位、管理层的决策冒进,还是企业整体未形成严谨科学的企业文化,从而进一步分析是否可以有效规避。
针对性:识别风险事项要注意从企业本身出发,要“盯住”企业发展目标,避免风险库建立的盲目和分散。要学会查找企业前期存在的风险事件典型案例。此类事件往往后果比较严重,是企业管理存在的风险短板,对企业产生过严重后果,对此要更加关注。
有效性:通过风险数据库的整理更新应当能让企业长期保持持续、有效、合规的经营管理形式。
2、建立制度
建立合规风险数据库,规章制度要先行。建立合规风险数据库的责任主体、流程设计、内容设置等内容需要通过建立制度进行确认,才能在建立过程中有科学有效的来源和依据。
3、明确义务
在合规管理体系建设要求中,企业内各部门应当设置合规管理员,由业务骨干担任,进行合规管理事务。企业在实践操作中往往设置了合规管理员后就将合规风险数据库的建立工作全部交给合规管理员,但建立合规风险数据库不应只是合规管理员一个人的职责,而应当是全体员工合规义务的体现。
建立合规风险数据库需要让全体员工都有识别合规风险的义务和能力。合规义务主要包括内部义务(企业内部规章制度、业务标准、道德约束等)和外部义务(法律法规、国家标准、行业技术规范及要求等)。明确合规义务是识别合规风险、建立合规风险数据库的前提。
4、内容分节和细化
在进行职责描述与风险事项描述的过程中,要尽量做到细化、分解。对于业务的分析不断深化,描述出的风险事项才能准确合理。风险管控措施要能与风险事项一一对应,能够达到实际阻断风险发生的效果。
5、更新优化
合规风险数据库的内容要切实可行,因此需要时刻了解是否出现了新的前期未识别到的风险事项,所依据的法律法规、国际标准及行业规范与技术要求是否有修改或新增。依照情况的实时变化对应进行合规风险数据库的更新优化。
二、建立合规风险数据库过程中的常见问题及解决方式
1、职责无法分级细化
企业在前期未对部门职责范围进行明确,或者部门职责在实际工作中发生了更新变动,各部门职责存在交叉,就会导致合规风险数据库建立时对于部门职责的分级细化产生困难,许多部门只知道自己的职责总体范围是什么,对于分级细化没有明确思路。部门内的员工许多只对自身负责的具体工作比较了解,对部门职责缺乏整体把握。
对此,合规风险建立如何落实至关重要。将各部门业务骨干设置为合规管理员的意义就在于业务骨干对于本部门职责及业务充分了解,能够进行判断。如果业务骨干风险识别能力仍不足的话,就需要通过培训学习进行能力提升,同时可以寻求外部专业机构予以帮助。
2、风险事项不具体
如果企业对于风险管理的工作不熟悉,又没有一定的规则指导,让各单位、部门自己去识别风险时,实际操作就会存在困难。风险事项描述不知道重点在哪里,不知如何进行准确描述。
初次进行合规风险事项描述时,往往不能准确描述风险事件重点。这需要随着对业务案例的深入参与和了解,进行不断地精进。从对原有案例的分析来提升对于其他风险事项的描述能力,从而实现风险事项描述切实具体。对应的资料作为辅助材料进行留痕,方便随时参考应用。
3、风险防控措施太宽泛
对风险事项做出描述后,却无法出具具体可行的防控措施。许多防控措施只是进行反义描述,如风险事项是缺少管理,防控措施就表述为强化管理。风险事项是不符合要求,防控措施就表述为要符合要求。这样的防控措施不具有可操作性,仍然只是一个概念表述。
对此需要“多想几步”,对宽泛的防控措施进行步骤分节,不断向下思考,详细到具体一个节点进行应对。如强化管理,首先思考应当强化哪些方面的管理,如何才能强化管理,进一步思考是否应当健全对应的管理制度、建立奖惩机制,设置监督人员等。直到可以进行实际操作,落实到工作中为止。
三、建立怎样的合规风险数据库?
在建立合规风险数据库前,我们首先要明确企业进行合规的目的。有的企业本身制度比较完善,前期也尝试过进行合规管理,但存在已经出台的制度不符合当前新出具的合规管理法规或标准的要求,需要进行更专业性的建设优化。有的企业实际经营中产生过重大合规风险,对企业造成了不良后果,对重大合规风险事项相关的业务合规有强烈的实际需求。有的企业尤其是国有企业是基于国资委要求指示或上级公司意志进行合规管理体系建设,尚未对合规管理进行深入了解,需要“从零开始”,逐步引导建立合规风险数据库。不同企业的规模大小、主营业务、发展目标、合规背景不同,对合规风险数据库的建设要求和重点也不同。
1、合规风险数据库的设计思路
1)按照业务部门建立合规风险数据库
合规管理体系建设要求中职责设置是依照部门进行设计的,以业务部门为职责划分便于各部门明确责任,有效落地。
2)按照模块建立合规风险数据库。
以模块为基础进行合规风险数据库,是与企业日常经营和业务活动密切融合,匹配管理流程闭环,促进完善企业经营和业务活动。
从形成时间上来说,各部门的合规管理员在日常工作中对本部门业务流程中涉及的风险识别后整体形成本部门的合规风险数据库,若要按照模块来制作,那么可能会存在跨部门的情况出现,在制作相应数据库时应明确负责部门。
从使用便利上来说,对于公司高管来说,按照模块制作的风险数据库更能让其总体把控该模块存在的风险点;对于普通职工来说,按照部门设置的风险清单能让其更清楚工作中涉及的风险。
从使用风险数据库的客体即合规企业来说,企业规模不大、部门职责不清晰的,可以按照模块制作风险数据库更实用;企业规模较大、部门较多且职责清晰的,分部门的风险数据库更有利于指导部门职工开展工作。
上述风险数据库的特点都比较清晰,具体适用哪种需结合合规企业本身的特点进行明确。
2、合规风险数据库的设计形式
合规风险库的设计可以是线下表单的形式,具备信息化系统条件的企业也可将风险数据库通过信息化系统的方式呈现,在进行业务审查时将查看合规风险数据库设置为必要程序,保障风险识别流程嵌入业务流程中。
四、合规风险数据库对企业的应用价值
1、不要将合规风险数据库束之高阁
建立起风险数据库后如果不能实际应用,仅作为一项工作成果进行搁置,合规风险数据库就失去了价值。
2、一切为了企业发展
不论合规风险数据库的概念与来源描述多么专业、深奥,其本质意义是在于帮助企业防范风险、提高效率、创造价值,是一项目的简单明确的工作。建立合规风险数据库不是为企业增加工作负担,而是为企业消除隐患,减轻真正的负担。前期建立表单看似工作繁杂,却能替代后期人工收集信息、记录事项、查找规定等大量工作,规避众多能够前期控制和消除的损失。
合规风险数据库的良好应用,能够帮助部门员工加强业务风险了解与判断,支持管理层做出科学决策,实现企业高效稳定运行为企业安全经营发展保驾护航。
来源:企业合规管理论坛