《企业合规风险识别与评估的步骤及重点内容》由会员分享,可在线阅读,更多相关《企业合规风险识别与评估的步骤及重点内容(22页珍藏版)》请在金锄头文库上搜索。
1、企业合规风险识别与评估的步骤及重点内容相关概念(一)合规风险识别与评估的概念企业建立合规管理体系,实施合规管理建设的核心是合规风 险管理。而合规风险管理,本质上是对合规风险进行识别、 评估、处置、应对、监测、预警、监督、检查、沟通、协调 并持续改进的过程。具体而言:合规风险识别,是指对企业内部合规风险存在或者发生 的可能性以及合规风险产生的原因等进行分析判断,并通过 收集和整理企业所有合规风险点形成合规风险列表,以便进 一步对合规风险进行监测和控制等系统性活动。合规风险评估,是指在合规风险识别基础上,应用一定 的方法估计和测定合规风险可能导致法律制裁、监管处罚、 重大财务损失和声誉损失等相关风
2、险损失的概率和损失大 小,以及对企业整体运营产生影响的程度。企业,尤其是国有企业开展合规风险识别与评估的目的在于识别企业潜在的合规风险行为,采取积极的管理措施管理风险,以避免合规目标的无法达成。基于合规风险识别评 估的结果,企业将采取必要的措施管控合规风险,或在内部 有效地开展预防性合规管理工作,使企业能在业务所在地区 /所在国合规地开展业务、诚信经营,从而实现企业的合规 目标。提升企业品牌形象,避免和减少监管机构的处罚。合 规风险识别与评估,有助于企业内形成合规风险意识,帮助 组织及时制定风险应对措施,从而避免企业违反法律法规和 企业合规承诺,实现企业合规目标,进而为实现企业可持续 发展提供
3、必要条件。合规风险识别与评估,是国有企业内部主动预防和控制 合规风险的有效方法。它既是建立合规管理体系的起点,也 是运行合规管理体系的前提,体现了企业合规风险管理的质 量和水平,影响着企业合规管理目标的实现。二)合规风险识别与评估前的准备匪在地相关枫威监管机拥的治2 *霆标庭和法律.送规賈求有哪 些?H?客户、股东、企业内部员工、 商业合作快伴零书关诵U益方舶 诉求?03企业的业爵活动有哪些?nc相关专业领域(如內部审计.法律訥门和 网控部门)是否参与到合规风险訳刖、分 析和评估济程中来芥険晖具应有的作用?06企业管理层是否華与并致力于流程 中?07圍险排宙是百逶明完整?08风险是否被记录?佩
4、险识别和分折方法是宵适合企业的绘营模式?09企业內部治理.置锂体系成鼬虞如 何?(三)合规风险识别与评估的重点内容根据合规管理体系 指南第 3.6 条提出的合规风险识别与评估要求,国有企业开展合规风险识别与评估,需要重点理解以下 5 个方面的内容:企业应识别自身的合规风险企业应当将其合规义务与活动、产品、服务及运营方面 联系起来,确认可能发生不合规的情况,从而识别合规风险。企业应查明不合规的原因并明确其后果企业在分析合规风险时,应考虑不合规的原因、起因及 其后果的严重性,以及不合规和相关后果发生的可能性。比 如,后果可能包括对个人和环境的伤害、经济损失、声誉损 失及行政责任等。持续改进合规风险
5、 分析评价合规风险 识别合规凤险 监测合规凤险 应对A在风险评估中,需要比较分析流程中发现的合规风险等级及企业能够并愿意接受的合规风险等级基于这一比较,企业可以确定任务的优先级,并在此基 础上确定实施控制措施的必要性以及控制措施的程度水平。A企业应定期对合规风险进行再评估特别是,当出现新的或更改的活动、产品或服务时;组 织的结构或战略发生变更时;重要的外部变化,如金融经济 环境、市场情况、负债和客户关系变化时;合规义务变化时 和出现不合规行为时。A合规风险评估细节的程度和水平取决于企业的风险状况、环境、规模和目标特定的具体方面可能会有所差异(如环境、财务和社会) 同时企业需要对发现的所有合规风
6、险 /场景进行监控、更正 和纠正,高、中、低级合规风险评估只是企业将主要精力和 资源放在优先级更高的锋线上,并最终涵盖所有的合规风险02合规风险识别的实务要点(一)企业要识别合规风险,首先必须识别合规义务。合规义务就像一把“尺子”,一把企业衡量自身生产经 营行为正确性的尺子。有了尺子,才能度量出企业生产经营 行为过程中可能出现的合规偏差,也就是合规风险。根据合 规管理体系 指南中给出的“合规义务”的定义,合规义 务应包括合规要求,可包括合规承诺。合规要求是企业必须遵守的义务,具有强制性。在市场 经济中,国家监管机构从维护市场经济健康、有序发展的需 要出发,制定了许多强制性的法律法规等要求。合规
7、承诺是企业选择遵守的要求,具有自愿性。由于市 场竞争激烈,企业为获得股东、顾客、供应商等相关方的信 赖,对自身生产经营过程和产品品质进行的若干承诺。二)企业识别合规风险,还要注意合规义务的维护。现实中,合规要求和合规承诺不是一成不变的,需要时 刻关注并将新的合规要求和承诺纳入合规义务清单文件中。 企业应当制定适当的流程来识别新的和变更的法律、法规和 规则以及其他的合规义务,以确保企业持续合规。为了获得 合规义务来源变化信息,企业可采取如下措施:与监管部门 会面;与法律、合规顾问交流;跟踪监管部门的网站动态; 参加行业论坛和研讨会;订阅相关信息服务;确保自己是专 业组织会员;确保自己在监管机构收
8、件人列表中。以上八种措施均是为企业维护合规义务提供了信息沟 通的渠道,可以说,合规义务维护的重点是建立好合规义务 信息沟通渠道。企业有必要制定相应的企业合规义务动态维 护管理流程,以便及时跟踪法律、法规、规范和其他合规义 务的出台和变更。与作为识别和建立本企业的书面合规义务内容清单的 合规义务识别清单相类似,在合规义务维护方面,企业应当 建立动态维护本企业的书面合规义务内容清单合规义 务持续识别维护清单。在合规义务持续识别维护清单中,企 业应当在上一轮次识别的合规义务识别清单的基础之上,注 明增加、删除和调整的合规义务情况,并描述其对企业的影 响,最终确认企业是否将上一轮次识别的合规义务继续纳
9、入 合规义务范围。三)企业识别合规风险,需要综合运用各种方法。识别合规风险的方法,即是把合规义务与企业的活动、 产品、服务和运行(企业的经营管理行为)联系起来,运用 一些具体手段,如基于过往案例、基于专家经验,基于归纳 推理,基于头脑风暴等方式,发现和列举出企业存在的合规 风险。以下是一些常用的合规风险识别技术与方法:方法名称角度内容1事件库法以往发生的案例通过对本企业或本行业g生的案例进行理发%企业存在的合规风险口2擁分析企业的主要经莒管理活动11过对企业主要的经营肯理活动(如合同用章管5 合同履的管理、施工“拾投标“采慰对攻资、 财勢管理、人力资源管理=融资等)中的济程極 发现每一项经营;
10、舌动中可能存在的台规风险。3岗位分析企业的岗位职责分析通过对企业的岗位业勢管理范围和工作B只责的梳 理发现企业存在的胡网险。4aW务识别法通过不同责任型、不同领域的法条或规范归纳、整理以民事责任、行政责任、刑事责任为划分,诩归 同责任体泵下的公司合规责任;谨过流程涉及的刁 同法律领域的法律梳理(如国有资产、合同法、丰 投攝去律、劳动用工法律等)发现不同领域内彳 在的台规风窕5利益相关辭析利益相关者通过对企业的利益相关者(如股东、董真监真高级喜户r臟商r债血5利益相关轴析利益相关者通过对企业的利益相关者(如股东、董事、监事、 高级员、客户哋商、债j 政府行业、社区等)的梳理发现与每一利諭 关者相
11、关的合规风险。G溯源分析引发合规风险的原因通过对合规环域违规等引发合规风险原因的诩发现企业存在的台规风险。1后果分析em险事件飪后承担的责任通过对刑事、行哄蒲等法律责B的鑽发土 不同责任下企业存在的台规风睑BQUIZQuestionnaire, Upfront&ntr Intervie(座谈会、衲访谈厂Zoom inc这些合规风险识别技术与方法,通过提供若干识别合规 风险的角度,能够为企业构建符合自身经营管理需求的合规 风险识别框架。值得一提的是,这些技术、方法往往是综合运用的。如: 事件库法作为企业内部和外部合规咨询团队最常用的合规 风险识别方法,往往需要辅之以其他方法甚至是合规管理工 作,
12、包括( 1)问卷调查法、访谈调研、头脑风暴法、德尔 菲法、检查表法;( 2)合规管理评估以及合规管理部门在 合规日常工作中发现的需要引起足够重视的合规风险或问 题;(3)内、外部审计、纪检、监控等活动中发现的合规 风险事件等;以及( 4)员工举报等。此外,还需要关注和 收集违规案例以及相关司法判例、同类企业过去识别和发生 的合规问题及违规案例。(四)企业合规风险识别小结前述分析,可以看到,合规义务与合规风险之间的紧密 关系。总结来说:1. 合规义务的多与少与企业本身密切相关。对于企业来 说,来自监管机构颁布的法律、法规等强制性合规要求都是 必须遵循的。它们是企业固有的合规风险,关键在于企业是
13、否主动承担这些合规要求。合规承诺就不同了,它是企业对 市场、客户、监管机构等相关方的主动承诺。合规承诺不是 越多越好,也不是越少越好,最适宜于企业健康发展、基业 长青的合规承诺才是最好的。因此,企业管理层要从经济适 度出发,在满足国家监管机构制定的法律、法规等强制性合 规要求的基础上,从适合其企业经营管理水平、规模、复杂 性、结构和运营的方式出发,进行主动的合规承诺,最终制 定企业合规义务文件。2. 合规义务决定合规风险。合规管理体系指南第 2.12 条,“合规风险,是不确定性对合规目标的影响”。 在市场经济环境中,企业的生产经营行为应该遵循合规义务 一旦违反合规义务,就存在不确定性,便产生合
14、规风险。不 合规是指未履行合规义务或者违反组织合规义务。假如企业 没有承担合规义务,就无所谓的合规风险。企业承担的合规 义务越多,未履行或者违反合规义务而导致的合规风险就越 大。此外,企业承担的合规义务标准越高,履行的不确定性 也就越大,未能达到合规义务要求而导致的合规风险发生的 概率也越高。3. 在企业生产经营过程中,由于合规义务的存在,员工 行为对合规义务遵循的不确定性导致了合规风险的产生。可 以说,合规义务分布在何处,不确定就在何处,合规风险就 源于何处。而合规义务的分布是由权力的分布来决定。权力 是对利益分配的支配力,权力是利益分配的焦点。合规义务 是用来规范权力的正确行使、规范利益的
15、合理分配的。因此 有权力(利益分配)的地方,就存在合规义务。违规行为的 “铁三角定律”:权力 +不良动机 +业务机会=合规风险发 生。03合规风险评估的实务要点(一)企业合规风险评估,首先需要进行合规风险分析。合规风险分析是要增进对合规风险的了解,为风险评价 和应对提供支持。合规风险分析根据目的、可获得的信息数 据和资源,可以有不同的详细程度,可以是定性、定量的分 析,也可以是这些分析的组合。合规风险分析是在风险识别 的基础上,考虑不合规发生的原因、后果及发生可能性等因 素,最后形成合规风险列表清单。对于合规风险列表清单,应达到下列标准:1. 风险描述:简单且准确地描述风险,风险可能在什么 情况下以什么方式发生以及风险对既定目标的影响。2. 风险发生原因:明确会导致风险发生的真正原因。3. 风险发生结果:说明风险发生后在哪些方面,以及以怎样的方式造成影响。具体可以考虑但不限于以下因素:(1)后果的类型,包括财产类的损失和非财产类的损 失(商誉损失、企业形象受损)等;(2)后果的严重程度,包括财产损失金额的大小、非 财产损失的影响范围、利益相关者的反应等。合规风险发生 结果的定量分析示例如下
