合规是组织实现成功和持续发展的基石,合规管理可以促进组织基业长青。有效的合规管理有助于组织最大限度地降低合规风险及相应的成本和声誉损失,提升第三方对组织取得持续成功的信心,增加商业机会。合规管理本质就是合规风险管理,而合规风险管理一个关键环节是合规风险评估。合规风险评估是ISO 37301:2021《合规管理体系 要求及使用指南》(以下简称ISO 37301:2021标准)的核心要素,也是组织建立和实施合规管理体系的基础。
当前,越来越多的组织开始重视合规管理体系建设和认证,但也存在一些问题,诸如:对合规风险评估相关概念及如何有效开展合规风险评估理解和实施不到位、合规风险评估与应对敷衍了事,严重影响合规管理体系运行的有效性。本文探讨如何有效开展合规风险评估与应对,希望为建立和实施合规管理体系的组织以及从事合规管理体系咨询和认证的人员提供借鉴。
一、合规风险概述
合规风险是指组织及员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。合规风险是企业面临的主要风险之一,根据风险来源,合规风险可以分为内部合规风险和外部合规风险。内部合规风险主要源于企业内部管理不善、制度不健全等导致出现违法违规现象;外部合规风险主要源于法律法规的变化和监管要求的提高。
根据风险性质,合规风险可以分为违规风险和违法风险。违规风险是指企业违反了相关规章制度,但尚未触犯法律的风险;违法风险则是指企业已经触犯了法律,可能面临法律制裁的风险。
根据风险状态,合规风险可以分为固有合规风险和剩余合规风险。固有合规风险是指在未采取任何相应合规风险处理措施的非受控状态下所面临的全部合规风险,剩余合规风险是指组织采用合规风险处理措施之后仍然存在的风险。
合规风险评估是指组织对运营过程中可能面临的合规风险进行风险识别、分析和评价的全过程。合规风险评估是保障组织稳健运营、防范合规风险的重要手段。通过风险评估,组织可以及时了解自身存在的合规风险,为制定有效的风险管理措施提供依据。
二、合规风险评估基本要求
合规风险评估是建立和实施合规管理体系的一项基础性工作。ISO 37301:2021标准4.6条款对“合规风险评估”提出了如下要求:“组织应基于合规风险评估,识别、分析和评价其合规风险。组织应通过将其合规义务与活动、产品、服务以及运行的相关方面关联,来识别合规风险。组织应评估与外包的第三方的过程相关的合规风险。组织应定期评估合规风险,并在组织环境发生重大变化时进行评估。组织应保留有关合规风险评估和应对合规风险措施的文件化信息”。ISO 31000:2018《风险管理 指南》(以下简称ISO 31000:2018标准)为管理各种类型的风险提供了一种通用方法,这种方法也适用于合规风险管理。依据ISO 37301:2021标准和ISO 31000:2018标准要求,组织在开展合规风险评估时,应特别关注如下基本要求:
(一)明确职责和过程
为有效开展合规管理,治理机构和最高管理者应组建合规团队,明确合规管理负责人(如任命首席合规官)和牵头部门(如设立法律合规部),配备合规专员或合规管理员,为合规管理体系建立和实施提供组织保障。依据ISO 31000:2018标准要求,合规风险管理过程可参见图1所示,在合规风险评估方面,组织应建立并实施合规风险识别评估预警机制。通常,由合规管理牵头部门组织开展合规风险评估、预警和应对处置;业务及职能部门承担合规管理的主体责任,建立健全本部门业务合规管理制度和流程;开展合规风险评估,编制风险清单和应对预案;定期梳理重点岗位合规风险,将合规要求纳入岗位职责。董事会应行使合规风险监督职责。
(二)界定范围
明确合规风险评估的范围,通常应考虑职能边界、合规领域及业务边界。合规风险评估覆盖的职能边界应考虑是针对整个组织还是某个部门或业务线;合规风险评估覆盖的合规领域应考虑如反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点合规领域;合规风险评估覆盖的业务边界通常应考虑合规管理体系覆盖的风险较高的业务,如某企业确定的合规管理体系覆盖范围描述为“国际及国内工程总承包、进出口贸易、××产品的生产和销售涉及的合规管理”。
(三)识别环境和合规义务
合规风险管理应在对组织所处的内外部环境充分认知的基础上开展。因此,组织应对与宗旨相关的并影响实现合规管理体系预期结果的能力的各种内部和外部因素进行识别。重点应考虑:组织业务经营所在地法律和监管环境、业务模式,内部结构、方针、过程、程序和资源;组织自身的合规文化,与第三方业务关系的性质和范围,客户、股东、员工、商业合作伙伴等利益相关方的意见。
合规管理牵头部门及各业务职能部门应对内部和外部环境的相关信息进行监视和评审,评估内外部环境的变化带来的合规风险,及时采取必要的应对措施。
评估合规风险时,组织必须识别与活动、产品、服务以及运行相关的合规义务,即组织强制性遵守的要求以及组织自愿选择遵守的要求。合规义务的识别应全面考虑与合规风险评估相关的重点合规领域,确定合规义务清单,建立收集渠道并维持更新。
(四)界定风险准则
合规风险准则是评估合规风险重要性的依据。风险准则宜反映组织的价值观、合规目标和资源,并考虑组织的合规义务和相关方意见。合规风险的严重程度主要根据可能性和影响进行评估。可采用定性、半定量或定量的方式评估合规风险大小,确定风险等级。以下表1、表2、表3、表4是依据《合规风险管理指南——应用COSO企业风险管理框架(2020年)》确定的合规风险准则,可供参考。
三、合规风险评估过程
合规风险评估包括风险识别、风险分析和风险评价3个步骤。合规风险评估宜系统性、循环地、协作性地开展,并充分考虑利益相关方的观点,通过收集各种内部和外部信息,例如,企业内部规章制度、业务流程、员工行为等最佳可用信息,必要时可以进一步调查加以补充。组织应评估与外包的和第三方过程相关的合规风险。
(一)风险识别
合规风险识别是发现、确认并描述影响组织实现合规目标的风险。识别合规风险的方法,是把合规义务与组织的活动、产品和服务(组织的经营管理行为)联系起来,运用一些具体手段,如基于过往案例、专家经验、归纳推理和头脑风暴等方式,发现和列举出组织存在的合规风险,建立合规风险清单并实施动态管理。合规风险结构化的描述应考虑四要素,即风险源、事件、原因及后果。风险源是指可能单独或共同引发风险事件的内在要素。组织可以根据职责权限和不同类型的组织活动、产品、服务,识别与组织运行相关的合规风险源,如招标采购、劳动用工、生产制造、市场营销、工程建设、安全环保、数据保护、财务税收等合规领域相关的活动,其后果包括可能造成人身伤害、财产损失、监管处罚、名誉损失、影响日常运行、影响战略目标实现等情况。
(二)风险分析
风险分析是了解合规风险性质、特征及风险发生的可能性和后果,以便对风险大小进行评估并确定风险等级,为风险评价和风险应对提供信息输入。风险分析过程包括对不确定性、风险源、可能性、事件、情境、现有控制措施及其有效性的分析。为确保风险分析全面、客观和科学,从事合规风险评估的人员应熟悉合规义务,了解组织现有的合规风险管理措施和资源。合规管理牵头部门应组织必要的合规风险评估专题培训,以确保风险评估人员准确理解和实施风险准则。风险分析最常见的方法有因果分析、情景分析、风险矩阵分析等。
(三)风险评价
风险评价是指对比风险分析结果和风险准则,以确定风险或其大小是否可以接受或者容忍的过程。风险评价有助于风险应对决策,组织可根据风险分析的结果来绘制合规风险图谱,用红色、黄色、绿色来分别表示合规风险等级及大小,以便确定风险应对的优先顺序。风险评价可促成组织作出以下决定,如:不采取进一步行动、需增加合规风险控制措施、需开展进一步分析,以便全面了解合规风险、维持现有的合规风险控制措施或重新考虑合规目标。合规风险评价的结果宜予以记录、沟通,然后在组织适当层级予以确认。
四、合规风险应对
合规风险应对的目的是选择和实施风险处理方案。风险应对遵循PDCA循环提升的过程,包括制定和选择合规风险应对方案(P),计划和实施合规风险应对措施(D),评估合规风险应对措施的成效(C),确定剩余风险是否可接受、若不可接受则采取进一步应对措施(A)。
合规风险应对不仅应考虑风险等级大小,还应考虑经济因素、合规义务、利益相关方要求,采取一种或多种有利于实现合规目标的措施方案。通常,合规风险应对措施可参考图2所示进行方案选择。常见的应对措施可分为预防类措施、检查监督类措施、纠正类措施3种类型。预防类措施可包括完善制度、加强培训、倡导合规文化和意识、开展合规咨询等;检查监督类措施可包括加强合规审查与审计、开展合规绩效考核、组织合规内审、鼓励违规举报等;纠正类措施可包括违规调查、违规纠正、责任追究等措施,如图2.
结语
合规风险评估是合规风险管理最重要的环节,也是影响组织合规管理体系运行有效性的一项重要因素,为了有效开展合规风险评估,需要广大从事合规管理的组织及相关人员加深对ISO:37301标准的学习和理解,也需要广大从事合规管理的人员准确理解ISO:31000风险管理概念和原理,熟悉合规义务,结合组织业务涉及的合规领域开展合规风险评估,不断完善合规风险评估报告,并采取有效措施进行合规风险应对,才能真正实现合规风险的有效控制,将提升组织合规管理体系的有效性落到实处。
