合规管理体系建设的难点和解决——合规风险不代表一切风险

时间:2023-11-15 11:19:53 浏览:344

企业等组织在控制合规风险的过程中,容易产生的企业的各类风险都应该通过合规管理来控制的错觉。这个观念即不现实,也不可行。想通过合规管理来简单管理一切风险,是管理懒惰的表现,是对风险管理和合规管理的理解不到位。

一、合规风险只是风险的一种

根据《GB/T 24353—2022/ISO 31000:2018 风险管理 指南》的定义,风险是指不确定性对目标(可有不同的维度和类型,可应用在不同层级)的影响(偏离预期,偏离可以是正面的和/或负面的,可能带来机会和威胁)。通常风险可以用风险源、潜在事件及其后果和可能性来描述。

根据 《GB/T 35770—2022/1S0 37301:2021 合规管理体系 要求及使用指南》,合规风险是指因未遵守组织合规义务而发生不合规的可能性及其后果。

由此可见,合规风险管理只能减少未遵守组织合规义务而发生不合规的可能性和后果。合规不确定性,只是企业经营过程中,不确定性的一种。

风险的不确定性包括合规不确定性、自然灾害不确定性、声誉风险、流动性风险、技术风险等。根据不同类型的风险源,会产生更多的风险类型。合规风险管理,不能减少除合规不确定性外,其他不确定性对组织目标的影响。

二、合规风险与其他风险差异明显

合规风险与其他风险的不同点:

(一)合规风险源清晰
对比其他类型的风险,合规风险的风险源明显更为明晰。合规风险是未遵守合规义务产生的。所以合规义务就是合规风险的风险源。合规义务分为合规要求和合规承诺。只要组织能够清楚并遵守合规要求和合规承诺,就能够控制合规风险源。合规要求和合规承诺,能够清楚追踪到某一法条、某一监管指示、某一合同、以及普遍能够识别的商业道德。而政治风险、自然灾害风险等风险源,很难做到如此具体。

(二)合规风险后果和可能性较容易评估
对于合规风险来说,因为有合规义务的存在,能够比较好知道违规的后果的严重程度。因为在规范性文件和合同中,对于违规的后果普遍有明示。对于公权力部门来说,法定义务要求明示违法后果,才能进行执法。对于平等主体之间,则是在合约中有约定违约后果,没有约定的情况,也能够根据习惯和法律补充,所以合规风险的后果可以较容易评估。实践中,的确有违规收益大于违规成本的可能性,这是规则本身出现了问题,或者社会默认可以付出的成本。

对于合规风险发生的可能性,也比较容易评估。简单来说就是合规风险发生的概率可以通过观察社会类似的情况和人员,违规被抓到的可能性有多大。例如廉洁合规,即使规定后果很严重,但各种因素下,不能有效监管,被抓到处罚的可能性较低时,也不能够顺利实现。

但正是因为合规风险后果和可能性较容易评估,所以对组织和个人追究违规责任更加容易,这导致合规风险是组织和个人在法律、道德、社会层面上,真正无法承受的风险。例如:一场不确定的天灾,为保护集体的财产和他人生命付出努力,是值得称赞的事情。一场不确定的人祸,因为没有做好合规,有规则没有执行,会被严厉谴责。

(三)合规风险应对方式较为明晰
对于合规风险,应对方式就是合规。这个应对方式,简单得就像谜底写在谜面上。但更进一步细究,就会发现实现起来非常困难。违规行为产生,是防不胜防的事情。这就是为什么需要一套专门的合规管理体系,而不是通过普通的风险管理途径就可以解决。例如合规管理体系、制度机制、文化保障等各层次的合规管理专门任务。环境识别、合规义务梳理、合规风险管理、信息化、监督等各项合规管理针对性的措施。

合规风险与其他风险的共同点:

合规风险还是风险,需要借助很多风险管理的经验来协助合规管理。

(一)控制风险需要分类分级,不可能做到100%
就如风险管理不可能100%的控制风险。同样到合规风险管理中,不可能做到对合规义务100%的遵守,因为极个别合规义务本身就有缺陷。所以合规风险管理应该根据风险的可能性和后果来决定中高风险事项,进行分类管理。不能做到100%的合规管理,不代表合规管理成为逃避规则工具,合规管理为迎合合规义务设计。

(二)要注重对风险源的管理
风险管理很注重对风险源的管理,发现风险源并进行有效防控是风险管理的核心思想之一。同理到合规风险管理,合规义务的梳理和更新,是合规管理的最为根本的工作,但是很多企业等组织却不够重视。对合规风险的判断是拍脑袋的方式来进行的。可以说没有合规义务的梳理,就没有合规管理。

(三)对风险的识别
合规风险的识别方法,可以借助各类风险识别方法,根据《GB/T 27921—2011 风险管理 风险评估技术》,风险评估的技术有32种,包括头脑风暴法、结构化/半结构化访谈、德尔菲法、情景分析法、检查表法、预先危险分析、失效模式和效应分析、危险与可操作性分析、危害分析与关键控制点法、结构化假设分析、风险矩阵、人因可靠性分析、以可靠性为中心的维修、压力测试、保护层分析、业务影响分析、潜在通路分析、风险指数、故障树分析、事件树分析、因果分析、根原因分析、决策树分析、蝶形图分析、层次分析法、在险值法、均值-方差模型、资本资产定价模型、FN曲线、马尔可夫分析、蒙特卡罗模拟分析、贝叶斯统计及贝叶斯网络。其中合规风险分析主要运用其中的:1.检查表法(合规义务表对比);2.结构化/半结构化访谈;3.风险矩阵;4.根原因分析(案例)方法。

(四)合规风险分析
识别出合规风险之后,对合规风险可以考量以下因素:事件的可能性及后果;后果的性质及影响程度;复杂性和关联性;时间相关因素及波动性;现有控制措施的有效性;敏感性和置信水平,来进行分析。

(五)合规风险评价
合规风险评价的目的是支持决策,将风险分析的结构和既定的合规准则相比较,以确定是否需要进一步的行动。例如组织发现一处有较高欺诈风险,而合规准则(合规义务)要求组织及成员诚信行动,这种情况下就需要采取进一步的行动。合规风险评价不必然导致行动。

合规识别、分析、评价通常整合在合规评估中统一完成。

(六)合规风险应对
合规风险评估之后,对于需要进一步行动的合规风险,需要选择最合适的应对方案,需要组织考虑潜在收益、付出成本、不利后果、价值观、相关方接受程度,并进行过程和剩余风险进行监视评审。合规风险应对方式可以涉及以下一个或多个方面:

1. 决定不开始或退出会导致风险的活动,来规避风险。例如某些企业在面临制裁时,可能会考量退出部分业务占比的小的市场。
2. 消除风险源。例如响应合规义务的要求。
3. 改变可能性。例如加强对组织和员工行为的管控,减少违规可能性。
4. 改变后果。例如发现合规风险时,及时向监管部门汇报,寻求减轻处置。
5. 分担风险。例如和商业伙伴签订有合规要求的合同,并约定商业伙伴违约时的赔偿。购买保险,将可能的损失通过保险减少。
6. 慎重考虑后决定保留风险。例如在规则不明、冲突、缺失的情况,在遵守合规原则的情况下,慎重的考虑后保留风险,但应当实时跟踪监管动向,监控现有情况。

编制和实施合规风险应对计划时应考虑:

1. 应将计划纳入公司整理管理计划和组织运营中,并征询相关方意见。合规风险管理不能只是合规部门的事项,而应当是整体公司的事项。
2. 应说明选择应对方案的理由,包括可获得的预期收益。对于合规风险管理的预期收益应当是越具体越好,特别是应该发挥规则对于组织管理良好促进作用。
3. 批准和实施计划的责任人。
4. 拟采取的措施行动,包括应急预案。
5. 所需要的资源,包括风险准备。
6. 绩效考核的标准和方法。
7. 限制因素。

三、总结

合规风险管理只是风险管理的一部分工作,但合规风险有其特殊性,应当纳入合规管理部门管理。其余风险,仍然纳入风险管理部门管理。即使合规风险管理不由风险管理部门进行,风险管理部门对其他风险的工作仍然巨大且有必要。一个组织千万不要为了省事,把风险管理工作全部压到合规管理上,最终导致合规风险和其他风险都无法得到有效管理的局面。


来源:华商律师事务所
作者:钟志伟

登录合规网