企业合规专题
合规管理机构如何运转
往期回顾
概述
在第二篇中我们了解了企业如何设置合规管理后,如何设置合适的运行规则,让几个部门机构有序流转,也是极为重要的一个课题。无论是体量较大的企业设置的合规管理机构,还是中小型企业设置的合规管理部门,亦或是小微型企业设置的合规管理专员,在合规管理运行的各个流程上都是不能马虎的。首先,合规管理的运行模式设立的前提是明确企业内各部门的分工,包括制度、流程、文本等方面。其次,要在企业内各层级普及合规管理的文化,使合规管理的概念渗透入企业的企业文化中,让员工自觉行动。
风险识别
“风险识别”一词的提法出现在国务院国有资产监督管理委员会于 2018 年 11 月印发的《中央企业合规管理指引(试行)》、国家发改委、外交部、商务部等于2018 年 12 月印发的《企业境外经营合规管理指引》和其它一些规范性文件和规章中,分别在不同的语境下提到风险识别。
风险识别,指的是对于尚未发生的风险能够辨别。这里指的并不是预测风险的到来,而是在企业面对的错综复杂的商业环境中,在各种外来的选择中,合规管理机构(部门)应当有一定的判断能力,将可能转化为风险的选项及时择出,并将该风险的类型、发生概率、损失严重程度等进行分析,并报告给决策机构。
风险识别的基础是企业合规各机构(部门)熟悉企业或其所对应的业务,以及其业务范围内可能面对的合规风险种类,更重要的是充分了解业务范围内所需要遵守的各类法律法规、内部规章制度等。
风险识别需要企业的合规管理机构(部门)有着丰富的法律行业经验,一方面依靠个人日常工作中所积累的经验来判断,但是更重要的是要根据企业既往已有的诉讼以及充分的法律调研来对外来资源进行风险识别。这也牵涉到了企业合规管理中,风险识别的方法主要还是比对,不仅要跟个人经验比对,更要跟企业既往诉讼比对,更重要的是,需要合规管理机构有着长远的眼光,从企业发展的角度对更加普遍的外界活动进行及时反馈,发挥其主观能动性。
风险评估
国务院国资委于 2006 年发布的《中央企业全面风险管理指引》指出:“企业应对收集的风险管理信息和企业各项业务管理及其重要业务流程进行风险评估。风险评估包括风险辨识、风险分析、风险评价三个步骤”。其中,风险辨识和风险分析于上一条的风险识别较为类似,而其中风险评价,也即我们所说的风险评估,指的是评估风险对企业实现目标的影响程度、风险的价值等,以供采取风险对策时参考的过程。这一操作可以将企业在风险识别中所发现的风险进行分类分级,指定有针对性的应对方案。
风险评估的角度有很多,可以根据发生概率、定性或是定量等角度进行评估,国家标准《GB/T35770-2017/ISO 19600:2014 合规管理体系指南》同样提出了风险评估的方法。内容包括:组织宜通过考虑不合规的原因、来源、后果的严重程度、不合规及其后果的发生可能性进行合规风险分析。
而在进行风险评估后,针对评估出来的风险也应有一套完备的分类方案,譬如可以根据预防可能性、风险能否控制、制度性与非制度性等角度进行分类,在此不再赘述。各个企业应当根据企业自身的行业类型、行业地位、发展情况等方面综合考量,与有一定法律基础的部门或律所合作,制定一套个性化的风险评估模型。
风险控制
风险控制是企业合规管理中最为关键的一个步骤,在风险识别中筛选出来的可能的风险,经过风险评估进行分类、评级后,就需要企业的合规管理机构(部门)制定有针对性的方案进行应对和化解。
企业的风险控制是一个较为整体的流程,并不是只在有风险或者识别出风险后才响应,而是从企业日常管理中就要做到风险控制。按照针对性排序大概分为以下几个步骤:规章制度化管理、降低企业风险、保障企业稳定运行、权衡风险应对的效益、平衡制度的刚性柔性、减少风险因素、制定风险应对策略、面对风险进行防范、产生风险后及时止损、风险应对后总结反思。也不难看出,风险控制的流程进入得越早,在风险控制阶段需要付出的成本就越低,措施也越有效。
(本文部分内容参考自海天庆城律师事务所编著的《企业合规操作指引》一书)