合规方「程」式 | 合规风险预警识别及应对机制的建立与运行
发布日期:
2022-09-13

合规风险预警识别以及应对机制是合规管理中的要点,然而,合规风险预警需要有基础,也需要有方法,应对更需要有思路,本文对该问题进行阐述。

一、合规风险预警的基础——合规风险库的建立和维护

合规风险库是合规管理的抓手,然而,合规风险库建立并不容易,建立合规风险库通常做法:(1)全面梳理经营中的活动;(2)梳理外部监管规定,包括法律、法规、行政规章等;(3)梳理公司内部规章制度;(4)结合公司具体情况分析风险发生可能性、影响程度、潜在后果,以确定合规风险等级。合规风险库具体呈现形式可能是表单,也可能通过信息化系统方式呈现。

合规风险库建立过程中有很多共性问题,比如,合规风险的识别、合规义务来源、合规风险的分析等,这也是可以不同合规项目彼此借鉴的基础。但合规风险库建立过程中仍然有很多个性,具体包括:(1)合规风险库搭建的基本逻辑,包括整体合规、专项合规等;(2)合规风险评判的标准,以责任作为标准还是以发生频率作为标准,或者是两者统合确定;(3)合规风险识别的颗粒度,即全面性和深入性,以及效率等不同因素的选择和平衡;(4)合规风险库利用和使用的便捷性,以及如何达到提醒功能等。

合规风险库建立过程中必须解决风险识别的标准,建立时,就应当考虑到合规库后续更新的问题,可以以时间作为周期,比如一年,也可以作为合规风险库调整作为触发点。 《中央企业合规管理指引》并未对合规预警的发布主体进行明确,《中央企业合规管理办法》征求意见稿规定,合规管理牵头部门归口管理合规风险库,组织业务部门定期更新完善。

二、合规风险识别预警的方法——以发布预警为主要形式

合规风险库建立的过程,一定程度也是企业自审的过程,为此,风险库建立的过程对于合规管理本身就是意义,而合规风险预警是合规风险库的应用。表面看,是相关行为或事件触发合规风险时的预警,实际却至少需要联动如下事宜该问题才能解决。

1. 合规风险预警发布的主体

《中央企业合规管理指引》和《中央企业合规管理办法》均未明确合规风险预警发布的主体,从合规管理三道防线以及合规管理中各部门责任看,合规管理部门牵头管理合规风险预警机制更为妥当,而从合规风险识别与业务部门的关系看,业务部门也应当积极参与。

2. 合规风险预警发布之后的执行

业务部门在合规风险预警机制发布后将采取的措施和动作才是合规风险预警能发挥价值的关键,如此,在合规风险预警机制建立时,就应当明确预警分级以及具体应对的适用,否则,很容易将合规风险预警当成“烟雾弹”,久而久之成为“狼来了”。避免“狼来了”就需要合规风险预警机制的科学性;避免“耳旁风”,就需要合规风险预警机制如果发出不落实的相应追责机制。

3. 合规风险预警的解除以及复盘

任何预警都应有“限制”,包括时间和空间,合规风险预警机制的解除同样是预警机制的组成部分,如同灾害天气预报一样。为了让合规管理形成有效闭环,每次预警机制解除后都应当复盘,从预警机制发出、措施执行再到解除,是否有可改进的地方,并落实到后续操作中。

三、合规风险识别预警的作用——合规风险应对

合规风险应对包括具体合规风险的妥善处置,应急预案的完善,日常演练等。合规风险识别预警是为了最大限度避免突发性应对合规风险,为此,合规风险识别预警应与对应机制当结合起来讨论。

1. 合规风险预警的级别应当与合规风险应对的级别对应

合规风险预警应当是分级别的,同样,合规风险应当也应当有级别,从牵头部门、应对措施等均应当符合“对等”原则,既要避免“大炮轰苍蝇”,也要避免“小马拉大车”。

该大原则虽然好确定,但合规风险并不是“固定”的,而是动态的,为此,风险应对也应当是动态调整的,如此,内部汇报从时间、级别、可以调动资源等均应当时刻保持动态调整。

2. 合规风险应对是“功夫在平时”

如同经常举行的“消防演练”,合规风险应对也需要“演练”,从接到合规风险预警到内部从信息同步、措施启动等都应当在“演练”中验证合规风险应对是否及时、妥当。

3. 合规风险应对应当矫正合规风险预警机制

合规管理如同“机器”,每个机制之间应当相互作用,合规风险应对中如果发现措施与风险级别不匹配的情况,实际也是在矫正合规风险预警从合规风险识别到合规风险定级,毕竟合规风险无法完全用科学的方法测量。

以合规风险库为牵引,将合规风险预警与应对应用在经营活动中,如此,合规管理就成了有生命的管理。