合规方「程」式 | 合规风险评估指南
发布日期:
2022-08-02

合规风险评估是企业合规管理制度的重要组成部分,如美国司法部刑事司在其出版的企业合规制度评估指南中,将企业的风险评估作为衡量企业合规制度是否健全的一个重要指标,法国萨宾第二法案(Sapin II)亦将合规风险评估作为企业健全的合规制度的一个重要部分。《中央企业合规管理指引(试行)》中将合规风险评估称为“风险识别”,第十八条规定“建立合规风险识别预警机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警”。该条文虽然使用了不同的称谓即“风险识别”,从其实质来看,即评估企业存在的合规风险状况。 

通过合规风险评估发现企业合规风险和漏洞,方可有的放矢地制定合宜的合规管理制度及制定相应合规政策以应对相应风险与漏洞。有鉴于此,本文拟就企业的合规风险评估进行探讨,具体将探讨合规风险评估的意义、合规风险评估流程、合规风险评估的方法等。

一、合规风险评估的重要意义—为企业的合规体系听诊把脉

 企业制定合规风控体系如果是开药,合规风险评估就是通过听诊和把脉辨症,只有正确辨症,方对症下药。未对企业存在合规风险准确评估的前提下,只是从其他企业或者相应的合作单位搬来一些合规政策、制度或者流程,植入到本企业中,这种做法往往无法起到真正效果,也就是业内常说的纸面合规。企业要想制定好的合规制度、政策和流程能够防范存在的风险,就需要做好合规风险评估的工作,识别出相应的风险,进而制定相应政策、制度、流程或者其他必要措施应对企业存在的风险。

二、企业进行合规风险评估的流程

1. 确定合规风险评估的范围及具体风险

根据企业面临的合规监管要求及企业面临的实际合规风险,根据企业本身的合规资源,明确本次的合规风险评估活动的范围。

企业进行合规风险评估的目的即是发现和识别企业面临的合规风险以及风险的紧急及严重性,而由于企业的合规资源的有限性,也就决定企业不可能对于所有的风险均进行同一标准的评估和识别。因此,企业在进行合规风险评估之初即须先进行预风险评估与识别,即预先评估和筛选企业本次合规风险评估的范围与重点。

(1)合规风险评估外部监管要求的分析与落实

外部监管部门对于企业的要求,如企业由于业务的性质,外部监管部门对于企业在反腐败、反垄断、数据安全、安全生产等方面有明确的监管要求,则企业在进行合规风险评估时一定要予以考量相关的方面和范围。

(2)合规风险评估风险范围选择的要素

企业应根据自身的经营特点,行业类型识别出企业面临的监管义务重、发生概率高、紧急程度较高的合规风险,作为合规风险评估的范围。通常在确定合规风险评估的范围时,应当着重考虑那些经常发生的合规风险点,以及企业在实际经营中面临的对于企业的影响较大的风险点、并且亦需注意那些防控措施不足的合规风险点。

(3)合规风险评估全面性与资源有限性的矛盾与解决之道

初次进行合规风险评估时,企业可将合规风险评估范围尽量放宽些,如此将可以给企业进行全面体检,以免遗漏,进而可相对准确地制定合规风险防控措施。但由于企业合规资源有限,合规风险评估时,欲进行全面的评估时,则可能导致合规风险评估的质量问题。

企业可通过咨询或者委托外部机构等方式,适当地借助外部的资源,帮助企业厘清可能存在的全部风险。原因主要有四,一是可以弥补企业本身合规资源的不足,帮助企业有充分的资源高质量地完成对于企业合规风险评估的工作。二是鉴于每一家企业自身经营涉及的业务领域的限制,对于自身不熟悉领域的相关风险可能存在遗漏;三是当今世界及各国的法律体系变化和扩展的速度较快,企业可能无法很快的同步外部的监管环境,存在忽略某些监管要求。四是由于企业自我开展合规风险评估,可能由于自身对于本企业的合规问题,存在视觉盲点难以发觉,而借助于外部独立公正的视角,能够帮助企业发现自身难以发现的问题和风险。

2. 确定合规风险评估的主体及参与人

在企业确定了合规风险评估的范围后,第二步则需要明确进行合规风险评估的主体,以及具体的参与人,以确保合规风险评估工作的顺利进行。

(1)合规风险评估的主体

合规团队通常为合规风险评估的组织和执行者,合规团队可以与法务和企业的内控团队一道,作为合规风险评估的主体,来具体实施合规风险评估的工作。

(2)合规风险评估访谈的参与者

具体合规评估风险参与者,即合规评估过程中需要访谈的对象,则应视合规风险评估的范围,按照最相关者的原则,确定访谈的对象。访谈的对象通常应当具有有一定代表性与多样性,如既要有高层管理人员,能够对于企业的整体情况予以介绍,又要中层的管理人员对于具体的业务单元的情况进行相应的介绍,当然还应当有一定比例的一线员工的参与,以确保合规风险评估的结果的客观性。同时针对一些具体风险评估的事项,则应当视事项的情况,识别与事项相关的员工,将之作为重点访谈的对象,如关于与用工相关的合规问题,则应当注重与HR的访谈。当然一些企业在进行合规风险评估的时候,亦会考虑引入外部的机构如律师事务所或者会计师事务所,以第三者客观中立的角度,协助企业进行合规风险评估,进而确保企业合规风险评估的客观性。

3. 针对合规风险的范围制定相应的合规问卷以及相应的指标和说明性文件

企业明确了合规风险评估的参与人后,即应当制定相应合规风险评估问卷,以便在进行合规调查的时候能够确保企业访谈或者调研取得相应的成果。       

企业应制定合规风险的评估指标,一是合规风险发生的可能性,即首先企业应当评价该种合规风险,是否存在发生的可能性,如果基本不会发生,或者发生的概率极低,则企业对于该种合规风险就无须投入过多的精力予以防范。二是该种合规风险的发生对于企业会造成何种影响,是会导致企业违反相应的法律法规进而给企业带来外部的制裁亦或是仅给企业带来经济上的损失。在此,企业需要针对风险发生的概率和可能对企业造成损害制定较为清晰的评价指标,以便于在进行风险评估的时候可以相对的量化。通常企业可以按照风险发生的频率将之从高至低划分为几个等级。通常一个合规风险点在一年内实际发生多次则可以将之划分为发生概率高的风险,而一个风险在1-2年之内实际只发生过一次的则可以将之划分为中等风险,而一个风险在过去2年内未实际发生的则可以将之划分为低风险。

另外,对于该等风险可能造成的损害则可以按照其严重程度划分相应的等级,如可能给企业的经营造成终止或者让企业面临相应的刑事制裁的风险则为高风险如进出口管制、商业贿赂方面的风险,而那些可能导致企业承担较大的经济损失的风险则可以将之划分为中等风险,那些仅给企业带来较小经济损失的风险,则通常为低风险,具体损失的大小则需视各个公司的具体情况的不同进行确定。

企业针对风险评估制定了相应的评估指标后,需起草相应风险评估的说明性文件,包括合规风险评估工作目的,评估方法,评估指标等,对每一个风险点、每一项评估的指标进行简洁明了的说明,以便合规风险评估参与者能够更好地理解相关的评估情况。

4. 实施合规风险评估

企业在具体实施合规风险评估的时候,可采取访谈的方式,亦可采取问卷方式。对这些评估的结果采用加总平均的方式确定最终评估的结果。

值得注意的是企业在进行合规风险评估的时候,相当一部分参与人会囿于自己的主观性,抑或是出于自身利益的考量不太愿意暴露相应的风险,导致合规风险的评估结果可能过于保守。此处就要求企业在制定合规风险评估指标的时候,尽量制定一些相对客观指标,同时需要列举一些明显的示例,让合规风险评估的参与人能够最大限度内进行相对客观的评估。

为确保评估结果准确性,企业在实际进行风险评估的时候,应当对于风险评估的参与人员按照其工作岗位的不同进行适当的划分,如业务、财务、合规团队对于风险实际发生的案例较为了解,该部分人员对于风险发生的概率的评估更为客观和真实。而对于一个风险可能给企业造成的损失则法务、合规、财务团队更为了解。因此在进行合规风险评估的时候可以适当提高业务和合规团队对于风险发生概率评估结果的权重,相应的对于合规风险可能给企业造成的损失,则应当提高法务、合规、财务团队对于评估结果的权重。当然如果企业能够识别出每一个具体的风险点,与哪个业务单元最相关,则可以相应的提高该业务单元对于该等风险评估的权重。此举之目的是避免出现平均掩饰了个别风险的凸显。

5. 对于企业合规风险防控措施的评估

企业对于相应合规风险进行评估和识别后,需要做的工作即是对于现有合规风险防控措施进行梳理,针对每一个风险梳理是否有相应风险防控措施,该等防控措施是否充分。通常评估标准是:(1)是否有针对该等风险制定了相应的政策或者流程予以管控相应的风险;(2)是否确定了相关的人员对于现有的政策或者流程予以执行;(3)相应的政策或者流程是否存在漏洞?是否得到了有效的沟通与执行?(4)该等风险在过往是否发生过,如发生过,发生的原因以及公司是如何处理的。通常通过如上几点则可以识别出企业针对该等风险的防控措施是否存在漏洞。需要指出的是,此处的评估不仅需要对于风险防控措施的有无进行评估,还需对于措施的有效性,以及无效的原因进行分析和评估。

具体来说,(1)是否有相应的政策和流程,如无则下一步的工作将是如何建立有效的防控政策和流程;(2)相应的政策和流程是否存在漏洞,如存在漏洞则下一步的工作将是完善相应的政策和流程;(3)如相应的政策和流程无漏洞,则需要考虑的是该等政策和流程是否得到了妥善的执行,如未得到妥善的执行,则下一步的工作将是如何确保现有的政策和流程得到妥善的执行。

实际评估过程中,这种逻辑上的梳理与分析可能存在往返分析与梳理,如我们首先可能按照如上逻辑进行分析,但是可能到最后我们会发现针对一些风险防控的政策和流程是有且充分的,也得到了很好的执行,但是该等风险仍然发生了。此时我们可能需要分析该等风险发生的原因,再回到之前的步骤去对政策和流程本身或者是执行方面的情况进行再度审视,以找出相应的原因,并制定相应的应对措施。

三、根据合规风险评估的结果建立健全企业的合规风险防控体系

合规风险评估直接目的是识别出企业存在的合规风险及当下防控措施情况,这绝非企业合规风险评估活动的最终目的,最终目的是根据风险评估结果制定行之有效的防控措施,以应对企业面临的合规风险。进行合规风险评估后,企业应当根据评估结果制定或者完善相应风险防控措施。企业应该首先重视哪些风险发生概率高,对企业造成危害大,且防控措施明显薄弱,并采取相应的行动,如制定或者完善相应的政策,通过加大监督或者其他的辅助手段来确保政策和流程的落实与执行。当然如果企业的合规资源允许,则可以针对每一个防控措施相对薄弱的风险点制定相应的行动计划,全面地防控企业的合规风险。需要指出的是,企业在制定了相应的行动计划后,需要对于相应的计划进行监督,确保企业的合规行动计划得到了有效的实施。

以上为对于企业进行合规风险评估的意义、具体的合规风险评估的流程、以及按照评估结果建立健全企业的合规风险防控体系的简单讨论,希望能为企业合规风险评估工作带去些许指引。