《中小企业合规管理体系有效性评价》团体标准第7部分7.1-7.9规定了“合规风险识别”,本部分的评价目标是为了促使企业对其合规风险进行有效识别、评估、分级,找出最重要最优先需要应对的合规风险,据此确定企业资源配置,提升合规管理效能。
根据ISO 37301《合规管理体系 要求及使用指南》(合规风险(Compliance risk)是指因不符合组织(3.1)合规义务(3.25)而发生不合规(3.27)的可能性及其后果。企业要识别和确定具体的合规风险,首先要识别合规义务,合规义务是衡量企业及其员工的行为是否违规的标尺。
企业的合规义务与合规风险是一体两面的关系,因风险事件或风险源导致对合规义务的违反,即产生合规风险。企业是否能有效地识别合规义务、判断合规风险源,进而识别、评估合规风险,是合规管理有效的出发点和基础。
一、合规义务识别清单
对强制性合规义务的识别和对自愿性合规义务的识别方法不同。前者要根据专业领域、行业、地域三个维度进行检索,后者则要从公司内部规章制度和社会环境中确定。
强制性合规义务的识别需要“企业业务、职能事项关键字段”,从“业务职能事项所在业务专业领域”、“企业所处行业”、“企业生产经营所处地域”来搜索和确定。
首先,确定业务与职能活动事项所在的“专业”方位。通过“某业务与职能活动事项内容”定位“某业务与职能活动事项”的“所在专业领域”范围。
其次,确定企业所在的“行业”方位。根据“企业产品、服务内容”,定位其“所在行业”范围。
再次,确定企业生产、经营所在的“地理”方位。根据企业生产所在地、市场经营所在地,确定其适用的合规义务 “所在城市、地区、国家”范围。
最后,确定需要遵循的合规义务。通过“专业”、“行业”和“地理”三个方位,如同一个三坐标系定位来检索、确定特定的业务、职能活动事项需要遵循的合规义务,在确定的这三个“方位”确定的范围,根据“业务、职能活动事项内容”里面的“关键字段”来搜索法律、法规、政策规定,可以在免费的,或付费的第三方数据库里搜索。
企业自愿选择遵守的要求则从企业内部对外发布的文件、与相关方约定来确定。社会伦理和商业道德方面,通过定位企业生产、经营所在城市、地区、国家,了解所在地的本土公序良俗与道德规范、社会责任、社会价值观、文化信仰来确定。
识别完成后,企业应将合规义务清单与岗位或流程职责清单项结合,制定统一的职责匹配合规义务梳理表。以下表格可供参考使用:
表1 以岗位职责为基础的合规义务梳理表
表2 以业务流程为基础的合规义务梳理表
对利益相关第三方合规义务的识别较为特殊,是在积极履行自身合规义务的前提下,识别如何防止因第三方的不合规导致本企业承担相关责任。因此分析和识别的方法也与上文提及的,属于企业内控制度的合规义务识别不同。详见下方表单:
表3 合规义务识别
二、合规风险识别清单
按如上方式分板块、分环节、分部门、分岗位逐一进行合规义务清单的梳理后,再按照已经构建的合规管理框架体系形成整体的合规风险识别清单。
表4 合规风险识别清单
三、合规风险评估清单
合规风险评估包含了风险分析和风险评价两个部分。合规风险分析是企业对不合规的原因、来源、后果的严重程度、不合规及其后果发生的可能性进行分析和研究,对识别出的合规风险进行定性、定量的分析,为合规评价提供支持。合规风险评价是根据合规风险分析的结果对合规风险等级与企业能够并愿意接受的合规风险水平进行评估。通过分析评估,设定合规风险的优先等级,帮助企业做出合规风险的应对措施。
为获得较为准确的分析,有效获得定性、定量的分析结果,通常在合规分析中,多从合规风险的可能性和影响性进行分析。并将可能性和影响性分为不同的维度,再对不同维度赋予不同的得分,以便最终在评价时对应不同合规风险划分不同的等级。具体可按照如下维度和分数进行分析。
(一)可能性分析
1. 分析维度
表5 分析维度
2. 得分分析
表6 合规规范的完整性
表7 内部合规规范的合法、有效性
(二)影响性分析
1. 分析维度
表8 分析维度
2. 得分分析
表9 影响范围
表10 财产损失
(三)风险评价
在进行风险分析的同时,还应对每一分析的维度进行权重分配,再将所得分数根据企业可承受风险程度划分不同等级。然后,通过以上对每一个合规风险的分析打分,得出各个合规风险的评估值,再进行汇总后,就可以得出企业合规风险评估结果。
综合以上文章内容,可以看出,合规管理体系的建立,应以合规风险的认识为前提,以合规制度的制定为目标纲领,以合规风险的识别和评估为基础。只有建立一套科学、有序的合规风险识别、评估体系才能建立起一套切实可行的合规管理体系。
来源:ESG与绩效评价workshop
本文仅作分享,作品版权归原作者及机构所有,如有侵权请联系,我们立即更正/删除
自主竣工验收
清洁生产审核
排污许可核查
