400-155-0888
18500591557
发布时间:2024-01-24 作者:admin
前言:
随着经济全球化和监管环境日趋复杂,企业面临的合规风险也在不断增加。如何准确识别和有效评估合规风险,已成为企业合规管理的重中之重。合规风险评估直接关乎企业是否能够遵守法律法规要求,关系到企业声誉、经营成果及发展前景。
合规风险评估是合规管理体系的基石。企业需要清晰识别各项合规义务,深入剖析潜在合规风险,运用科学的方法进行风险测评,并持续监测风险变化情况。仅依靠监管机构的执法检查是不够的,企业必须从内部源头主动辨识合规风险,以防微杜渐、治问题于未然。
本文系统梳理了合规风险评估的主要内容和具体方法,旨在提供企业开展合规风险管理工作的操作指导。内容涵盖合规义务的界定、合规风险的分类识别、相关工具的应用等方面。各类企业可根据自身行业特点、业务模式、组织结构、文化特征等情况,选择运用本文提供的思路与工具,制定符合实际的合规风险评估方案。同时,企业还需要关注国家政策、监管要求的更新变化,并及时调整完善风险评估机制,使之与时俱进、成为企业合规管理的持续推动力量。
一、合规义务
识别和评估合规风险是企业建立合规体系的基础工作。为了确定具体的合规风险,企业首先需要识别合规义务。合规义务是评判企业及其员工行为是否合规的标准,只有明确了标准才能测量偏差。
(一)合规义务内容
1.合规要求
这是指企业所在国家权力机构、地方政府、行业组织制定的具有约束力的规范,涵盖面包括商业行为、生产安全、职业健康、社会责任等,存在形式可能是法律法规、许可证、执照、授权、监管机构发布的命令、条例、指南、法院判决、协议等。这些规范的共同特征是具有强制性,企业必须遵守这些规范,否则将受到相关监管机构的处罚或制裁。
2.合规自愿承诺
这是企业为赢得市场信任而自愿作出的超出合规要求的承诺。合规自愿承诺可以分为两类,一类是伦理和道德方面的承诺,如公平交易、诚信经营、以人为本;另一类是企业为赢得市场竞争而作出的业务和技术方面的承诺,如售后服务、绿色环保设计等。尽管监管机构也颁布了相关规范,但这些规范通常是针对行业均值;如果企业想在竞争激烈的市场中脱颖而出,就必须提高自身产品标准,以赢得客户青睐。
需要注意的是,合规义务与企业密切相关,合规义务决定了企业的合规风险。在企业经营过程中,企业及员工对合规义务的理解与执行的不确定性会导致合规风险的产生。
(二)合规义务识别
根据《合规管理体系要求及使用指南》(GB/T35770-2022)的要求,识别合规义务前,企业需要考虑以下内容:所在市场的监管机构相关监管要求、合规管理体系相关方及其诉求、企业业务活动内容、风险识别所需方法、参与合规风险识别评估的内外部机构、合规团队的资源与独立性等。
在《合规管理体系要求及使用指南》(GB/T35770-2022)第4.5条中,对合规义务识别有明确指引:组织应当系统识别来源于组织活动、产品和服务的合规义务,并评估其对运行所产生的影响。组织应建立过程以识别新增及变更的合规义务,确保持续合规及评价已识别的变更的义务所产生的影响,并对合规义务管理实施必要的调整。组织应维护其合规义务的文件化信息。
合规义务的来源包括合规要求和合规自愿承诺。从上述指南内容来看,组织应当系统地识别合规义务及其对组织的影响,并以合适的方式确定和记录合规义务。此外,对于合规自愿承诺,企业应当按照经济合理的原则确定,不要承诺超出自身能力的事项,否则无法兑现承诺,反而会损害企业信誉。
对于具有强制性的合规要求,企业应当根据这些要求识别合规义务,制定合规义务清单并在企业内部发布。比如,企业可以建立合规识别表格,详细描述各项合规义务及其对企业的影响。
(三)合规义务的持续维护
在《合规管理体系要求及使用指南》(GB/T35770-2022)第A4.5条中,对合规义务维护有如下指引:组织应当具有适当的流程来识别法律、法规、准则和其他合规义务的颁布和变更,以确保持续合规。组织应当有序地评估已识别的变更以及这些变更对合规义务管理的影响。获取法律和其他合规义务变化信息的流程可以包括:
列入相关监管部门收件人名单;
成为专业团体的会员;
订阅相关信息服务;
参加行业论坛和研讨会;
监视监管部门网站;
与监管部门会晤;
与法律顾问洽商;
监视合规义务来源(如监管声明和法院判决)。
对合规义务的维护首先要做到对合规风险进行持续监控。监控合规风险是指持续关注和评估风险的分布和暴露情况。风险监控应作为一个持续的动态过程,会随着时间推移而变化。在企业经营过程中,企业内外部环境、相关方的需求都在不断变化,市场的政策、供需关系、客户偏好也在不断变化。为了保证企业具备持续应对这些变化的能力,企业需要保持与市场和监管机构的沟通,及时获取监管要求更新和关注市场需求变化,以更新企业的合规义务清单。
企业有必要制定相应的合规义务动态管理制度,及时跟踪需考虑的法律法规变化,在原有合规义务基础上增加、删除、调整合规义务,描述其对企业的影响,企业根据情况确认是否需要继续履行这些合规义务。
二、合规风险
(一)合规风险的定义
对企业来说,风险通常来自各种不确定性。企业的生产经营过程中,应当符合各类合规义务,一旦违反合规义务,就会产生不确定性,因而产生合规风险。《合规管理体系 指南》明确指出,合规风险就是不确定性对合规目标的影响。在合规管理体系中,合规目标是组织制定的、与组织合规政策一致、致力于实现的特定结果。合规风险就是不合规情况发生的可能性及其后果。由此可见,合规义务与合规风险之间存在对应关系——企业一旦发生不合规的行为或事件,就会对企业产生不利后果。目前企业在经营中不仅要面对各种经营和财务风险,还需考虑可能出现的合规风险。
合规风险的存在取决于是否履行合规义务。企业承担的合规义务越少,合规风险就越低;反之,如果企业承担了大量或高标准的合规义务,则违反合规义务而受到不利后果的可能性就越大。当前,企业国际经营面临的合规风险越来越高——各国对不合规的企业经营行为采取了严格的处罚。随着企业业务的国际化,企业会面临越来越多的强制性合规要求,而适应这些要求可能需要进行本土化调整,合规形势因此变得复杂。这是各类开展跨国经营的企业共同面临的挑战。在“一带一路”倡议的引领下,越来越多的中国企业也需要在国际业务中妥善应对这方面的挑战,合规风险管理也将成为这些企业需要考虑的问题。
(二)合规风险的分类
1.发生在岗位上的合规风险和发生在流程上的合规风险
根据合规风险发生位置的不同,可以将合规风险划分为发生在岗位上的合规风险和发生在流程上的合规风险。前者指岗位人员在履行岗位职责时对合规目标产生影响的不确定性;后者指流程中某节点人员行为对合规目标的影响不确定性。
但这种分类并非截然分开的,一个合规风险既可能存在于某个岗位,也可能存在于某个流程中。这种分类的意义在于,层级管理体系较为发达的企业适合从岗位角度定义合规风险,而流程管理较为发达的企业则适合从流程角度定义合规风险。
2.固有合规风险和剩余合规风险
固有合规风险是指在没有对应的合规风险管理措施情况下的全部合规风险。在完全没有合规管控措施的情况下,合规风险处于最大值状态,即固有合规风险状态。固有合规风险是确实存在的风险,只要有合规义务的存在,就存在固有合规风险。
剩余合规风险是在当前已有风险管控措施下,仍存在的不被管控措施覆盖的风险。剩余合规风险是在固有合规风险的基础上减去了能被合规管理措施有效管控的部分。判断一个企业是否存在剩余合规风险,必须考查企业为管理和控制固有合规风险而采取的措施,以及这些措施是否得到有效执行并能管控风险。剩余合规风险可以为0,也可以小于或等于固有合规风险,但不可能大于固有合规风险。
(三)合规风险的分布
合规风险是由于履行或违反合规义务的不确定性而产生的。也就是说,合规义务的分布决定了合规风险的分布。合规义务主要用于规范企业权力的正确行使。权力行使过程实质上是利益分配过程,其中伴随着利益争端和不公平分配。为约束和规范这种利益纠葛,监管机构会制定各类强制性规范来规范权力行使。权力、合规义务与合规风险之间存在内在联系,权力决定合规义务的分布,合规义务又决定合规风险的分布。一般来说,企业合规较多涉及以下权力:
1.审批权
这类权力分布于组织内部各级领导岗位,决定事项是否做、如何做、何时做、由谁做等。它是组织最高管理层逐级向下授权的权力,通常表现为各级领导在本部门范围内行使签批权。如企业的销售、采购、认证、财务等工作都需要对应层级领导的审批。审批权是组织中最重要的权力,因为组织行为能否最终落实完全取决于审批关卡是否通过。
2.销售权与市场客户服务权
这两类权力是具有市场销售行为的企业组织的重要权力。市场上存在买卖双方,对于供方来说,如何获得客户青睐以获取更高的产品价值是关键。这包括向客户介绍产品、服务功能、销售政策和价格优惠、签订销售合同、售后服务、维修保养、以旧换新等,以及围绕客户实施的公关活动等。
3.人事权
人事权即企业内部决定人事管理事项的权力。为维持企业正常运转,必须对作为生产要素之一的人力资源进行必要的管理和协调。与人员相关的工作都涉及利益分配,人事权的本质是决定组织内人员生存空间的变数。这类权力包括任免、考核、雇佣、招聘、调动、处罚、职称评定、岗位选拔等。
4.采购权
组织运行需要从外部获得持续的资源输入。企业需要为客户提供特定产品或服务,因此需要在市场上获得生产要素。采购权中往往涉及供求关系中的强弱对比。采购方希望以更低价格获得较高质量的采购标的。企业的采购同时会影响产品成本。这类权力包括确定供应商、分包商、确认采购方式、制定采购计划、确定采购文件、确定投标人和中标人等。
5.检验权
检验权是对采购产品质量是否可靠进行检查的权力,需要检查质量、技术、安全等方面。采购产品应当符合国家、行业及企业内部设置的相关标准,只有达标的采购产品才能进入企业生产流程。
6.计量权
计量权则是对采购产品数量进行检验的权力,影响的是产品数量成本。这类权力包括质检、安全管理、仓储管理、品控、出入库管理、行业认证、采购计量、结算、开具验收单、工作量计量等。
7.财务权
所有与企业内部资金流动相关的权力都与财务相关。这类权力主要包括收款、付款、费用支出、费用报销、津贴福利管理等。
8.关键信息接触权
这是在上述各类权力中衍生出的权力。当一方基于自身地位优势接触到他人无法获取的关键信息时,意味着该方通过信息不对称获得了利益,可以利用这种优势为自己谋利。这类权力包括获知、掌握内部商业秘密、工作策略、重要人事安排、工作部署等信息。
以上权力广泛分布在企业生产经营各环节,被授予的权力越大,不合规的风险也越高。这些权力在行使过程中最容易违反法律法规、企业制度及商业道德准则。根据这些权力在企业内岗位和流程的分布,我们可以大致识别企业的合规风险集中区域。
医药企业销售经理权力清单
权力名称 | 权力内容 |
销售权与市场客服权 | 与客户接洽、促销、签订单、售后服务等 |
审核权 | 区域销售计划、客户开发计划、费用报销等 |
人事权 | 无 |
采购权 | 无 |
检验权 | 对区域销售业绩、费用开支等进行监督检验 |
计量权 | 统计区域销量、销售数据、客户数据等 |
财务权 | 区域业务费用的申请和使用 |
关键信息接触权 | 掌握区域客户信息、销售数据、业务机密等 |
三、合规风险的识别与评估
合规风险识别与评估的目的是发现企业内部潜在的合规风险,并采取积极措施进行风险管理,避免企业因不合规而遭受各种有形和无形的损失。企业应当采取必要的合规管控措施,使企业在当地的业务经营符合合规义务的要求。
根据《合规管理体系 指南》,企业在合规风险识别与评估过程中应注意以下几方面:
第一,企业应首先识别自身的合规风险,将自身的合规义务与活动、产品、服务及运营相联系,以基于企业自身特点识别合规风险。
第二,企业应查明不合规的原因和后果。在进行风险分析时,应考虑不合规情况的产生原因、后果、严重性及发生概率。
第三,进行合规风险评估还需比较分析过程中发现的合规风险等级和组织可接受的合规风险水平,按照指南要求确定管理任务的优先级,在此基础上确定控制措施的必要性和优先级。
第四,企业应定期对合规风险进行再评估,尤其是当出现新活动、产品或服务,组织战略和结构变化,发生重要外部变化,合规义务改变或发生不合规情况时。
第五,合规风险评估的深入程度取决于企业的风险状况、环境、规模和目标等,在财务、社会等特定方面可能需要额外考虑。但基于风险的合规管理并不意味着低风险的不合规可接受,合规管理的最终目的是覆盖所有已识别的合规风险并持续监控。
(一)风险识别评估的主体
风险识别与评估应由法律部门或合规部门牵头,在对应业务部门配合下实施。如果企业合规工作较复杂、任务量大,则相关方应建立合规风险管理小组。合规人员应结合业务部门主管,根据合规义务清单、企业内部流程制度,采用访谈、座谈、专家咨询等方式,并参考内部纪检监察、财务审计等信息,对合规风险状况进行评估,重点关注企业过去一年内出现的违规事项、亏损情况。
合规风险管理小组应由法律、财务、审计及熟悉相关企业业务的行业人员组成。成员多样化的小组有助于识别和评估非法律领域的合规风险,促进企业各层级的全面合规风险管理。
(二)风险识别评估的流程
合规风险识别是发现、收集、确认、描述合规风险并汇总存储相关信息的过程,包括对风险来源、因素、事件及潜在后果的识别。这是合规风险管理的首要步骤和基础。
企业风险识别评估的流程:
1.确定合规风险管理的目标岗位和业务
企业必须了解自身的内外部环境,这是合规风险识别的出发点。这应至少每年进行一次。当环境发生重大变化时,也应及时对风险进行重新评估,主要评估企业是否有新产品、服务,组织架构有变动,出现新的业务活动,外部环境市场情况变化,企业内部是否发生不合规,内控是否能有效发现和纠正不合规情况,各项财务是否存在问题等。
2.定义合规风险
企业应根据业务流程和岗位职责、授权,全面梳理各部门的工作职责,识别对应的权限,形成权责清单,然后根据权责清单识别企业风险。全面的风险识别将成为企业改善经营的有力依据。之后,企业应根据识别出的风险,推测该不合规情况发生时可能造成的后果,分析不合规原因,根据业务执行情况判断发生频率,以评估不合规发生的概率。
3.确定合规风险等级
企业应根据不合规发生概率和可能带来的负面影响,确定合规风险等级,并按等级进行优先排序。在评估不合规后果的基础上,评估其对目标业务和合规目标的影响。一般按直接影响、间接影响、无影响三个程度进行评估,并确定组织可接受的合规风险等级。具体方法是:预估风险发生后果,分析对业务和合规目标的影响,采用高、中、低的定性评估敞口大小;将行为频率分为高、中、低三个等级。
4.制定合规风险应对措施
企业通过对已识别风险排序,确定待处理的风险点,从而确定年度合规风险管理的重点工作领域。然后,企业应根据不同风险点的具体位置和风险等级,有针对性地制定应对措施,高风险优先处理。
四、合规风险识别评估工具
目前还没有适用于所有企业的通用合规风险评估工具,各企业都是根据已有的合规管理体系指南性文件,结合企业实际情况,制定适合本企业的合规风险识别评估流程,从而开展风险识别评估工作。为确保合规风险识别评估方法适合企业自身,企业需要根据行业、业务特点、主要市场、规模、结构、文化及风险偏好采用相匹配的合规风险识别评估方法。合规风险识别评估的范围过广或过窄都不利于企业进行适当的合规管理,过广则会导致企业合规管理负担过重,企业的注意力会被大量不重要的风险信息淹没;过窄则无法有效识别具有潜在威胁的合规风险,从而面临未知的合规风险。
本文将企业进行合规风险识别评估的工具分为“基于岗位”和“基于流程”两类。
(一)基于岗位的合规风险识别评估工具
岗位职责决定了相应的权力分布,合规风险隐藏于权力的行使之中。因此识别岗位职责中的合规风险,需要将岗位职责及对应的业务目标与合规目标逐一对应。
企业对不同岗位赋予了不同的业务执行权力。权力是导致合规风险发生的重要因素,权力的不当行使会导致企业内部的不合规和违规,进而发展为贪污腐败、犯罪等问题。企业生产经营岗位上的职工违规通常在同时具备以下三个条件时发生:权力、动机、机会。这里需要引入前述的各类权力,形成岗位合规风险清单。
岗位合规风险清单
岗位名称 | ||
岗位职责 | ||
业务目标与合规目标 | ||
权力识别 | 销售权与市场客服权 | |
审核权 | ||
人事权 | ||
采购权 | ||
检验权 | ||
计量权 | ||
财务权 | ||
关键信息接触权 | ||
合规义务梳理 | 法律法规规定 | |
业务专业要求 | ||
企业承诺 | ||
不合规后果描述 | 经济损失 | |
声誉损失 | ||
监管处罚或制裁 | ||
不合规原因 | ||
业务发生频率 | ||
(二)基于流程的合规风险识别评估工具
要识别企业日常经营管理中的合规风险,需要准确描述企业的流程制度。企业流程是企业为实现特定目标所采取的一系列有控制的步骤、活动和方法的集合。可以延伸出一个“1+6”的结构表:一个特定目标对应的步骤、组织、活动、控制、记录、工作标准、工作方法等六个方面,形成流程合规风险清单。
流程合规风险清单
步骤 | 责任主体 | 工作任务 | 工作记录 | 工作标准 | ||
业务主办 | 业务主管 | 分管领导 | ||||
1 | ||||||
2 | ||||||
通过描述企业关键业务流程的“1+6”要素,可以明确该业务流程的合规风险点。合规风险识别可以采用以下方法:
(1)通过流程图展示业务流程的各个环节。
(2)分析每个环节的输入和输出要求,识别不符合要求的风险。
(3)分析每个环节涉及的岗位,识别岗位对应的权力可能产生的合规风险。
(4)考虑不同环节之间的衔接 是否存在管理漏洞。
(5)评估关键控制点是否能够有效防范合规风险。
通过这些方法,可以较全面地识别业务流程中的合规风险点。
结语:
合规风险管理关乎企业的生存发展,也关系到社会的长治久安。首先,企业需要明确各项合规义务,作为评估合规风险的基础。合规义务包括国家法律法规的强制性要求,以及企业自愿承诺的高标准规范。对合规义务变化的监测也很重要。其次,企业要采用适当的方法对合规风险进行辨识、分类和评级,区分不同风险的严重程度。再次,可以运用基于岗位和流程的工具进行风险识别,使评估更具针对性。最后,企业要制定应对措施,重点防控高风险领域。
合规风险评估是一个系统工程,需要企业上下共同重视、密切配合。通过科学的评估体系,企业可以及时发现问题、优化治理结构、提升管理水平,实现合规经营、可持续发展。各类组织可根据自身实际需求,选择运用文中的相关方法与工具,不断完善合规风险管理工作。