企业合规风险识别与分析评估（下篇）

昵称60604150 2021-12-17

展开全文

（接中篇）其次，在合规风险尽调结果基础上，按照统一规范的业务、职能活动合规风险识别分析评估工具，进行各业务、职能事项合规风险辨识、分析、评价，确定合规风险系数与等级，排列出控制优先级，形成业务、职能事项合规风险矩阵清单。

ISO37301附录A中提了利用合规风险源来识别合规风险的方法，这是风险管理理论中的风险源理论。通过多年的违规案例大数据统计分析，我们获得合规风险源识别模型和违规频次统计系数，并根据该模型和系数来识别、分析、评估各业务、职能活动的合规风险。

合规风险源识别模型

合规风险源是指组织内部存在的，以单独地或以结合叠加的形式，具有产生合规风险可能性的因素。一个风险源可以是有形的或者无形的。从有无合规风险源角度，合规风险可以分为有源合规风险和无源合规风险。有源合规风险是指存在合规风险源的合规风险，合规风险发生时，是由一个或者多个因素组合引致发生的合规风险。无源合规风险是指没有合规风险源引致但存在合规义务的合规风险。综上，合规风险源和合规风险分布特征存在内在的一致性，合规风险源决定和影响合规风险的分布特征。

目前，合规风险识别技术模型主要是根据合规风险源识别来间接的识别合规风险。合规风险源识别技术工具是“八项合规风险源识别模型”及“八项权力识别模型”的联合使用。

（1）从业务本身的自然属性分析合规风险源，在组织运转过程中，存在四种自然属性的合规风险源。

a、利益管理

涉及企业、个人利益得失的活动。利益管理活动是指岗位职责中，由于职责履行，存在接触、控制利益的活动。符合该定义特征的职责履行，都属于存在“利益管理”的业务活动。如岗位职责中存在负责仓库物品整理、安全、防盗管理；负责金库安全看护管理；负责人民币押运；负责货物保管等，均属于存在“利益管理”的业务活动。

b、技术性（黑箱）操作

技术性（黑箱）操作是指企业的某个业务活动只有经办人员知道其实际实施过程且无过程痕迹，他人事后难以知道。符合该定义特征的职责履行，都属于存在“技术性（黑箱）操作”的业务活动。如岗位酒店客房清洁服务人员负责对客人离店后的酒店客房内部做清洁消毒活动；饭店的厨师炒菜活动等，都是属于存在“技术性（黑箱）操作”的活动。

c、利益冲突

利益冲突是私人利益与企业利益之间存在冲突的活动，岗位职责中，职责履行客体中，存在与职责履行主体个人利益一致，却与公司利益不一致的活动。符合该定义特征的职责履行，都属于存在“利益冲突”的业务活动。如办理监察事项的监察人员负责的监察对象或者检举人是其近亲属的；负责供应商资源信用调查、评价管理的岗位，有一家供应商的老板是该岗位人员的战友、朋友、亲戚等，都是属于存在“利益冲突”的活动。

d、权力行使

企业最大的最广泛的合规风险源是权力！经过违规案例违规事例实证统计分析发现，因为权力引致的合规风险事项发生占比违规总量的96%，从占比看，权力是合规风险源中最主要的合规风险源，也将是主要决定合规风险的分布特征。这些权力是：审批权、市场客服与销售权、人事权、采购权、放行权、计量权、财务资金权和拥有关键信息权等八项权力，密切影响行为的合规性。这八项权力即“企业八项权力识别模型”，八项权力的具体内涵如下：

审批权是指决定事情做与不做的管理活动。行权内容包括：销售、人事、采购、放行、计量、财务资金等领域的决策审批活动。

市场客服与销售权是指负责与资产定价与卖出、推销产品/服务并卖给客户的业务活动。行权内容包括：向特定方介绍资产情况、向客户介绍、广告营销产品、服务功能、销售政策、价格优惠条件、销售合同签订、售后服务、维修、保养、置换等销售前、销售中、销售后的业务工作，多为市场客服与销售岗位、售后服务经办人员的主要活动。

人事权是指负责围绕企业人员管理的专业活动。行权内容包括：雇佣、招聘、任免、考核、人员奖励与处罚、职称评定、岗位选拔、评先进、劳模等针对企业人员的管理活动，多为人力资源岗位经办人员的主要活动。

采购权是指负责购买企业生产经营、行政办公所需的业务活动。行权内容包括：投资业务活动；确定供应商、外包商、租赁商合格名册；确定采购数量、采购方式、采购策划、制定采购文件；确定投标人、确定价格和中标人；签合同、合同变更等与选择供方、确定资产、产品、服务购买价格的业务活动，多为投资、采购相关岗位经办人员的主要活动。

放行权是指负责利用特定尺度标准进行检验、认证、判断、评价的业务活动。放行权根据其所处的流程环节不同分为：首次验收放行权和再监督放行权。首次验收放行权内容包括：理化检验、质量检验、品质控制、进出门管理、技术控制、安全控制、环境保护等一线生产经营岗位经办人员的业务活动，多为一线质检岗、技术岗、品管岗、门卫等岗位经办人的主要活动。再监督放行权内容包括：技术审核、专业评审、专业认证、监督权、环境监督管理、安全监督管理等在经办人员工作后进行复核把关的管理活动。多为中层专业和职能管理岗位人员的主要管理活动。

计量权是指负责确定数量多少的业务活动。行权内容包括：计量劳动工作量、产品、服务、物资、设备数量，如货物计数、采购结算、开计量验收单、物料领用单、消耗计量、工作量计量、分包量计量、容积测量、计时计件、财务记账等计数计量称重活动，多为供应链、物流线上的岗位和会计岗位经办人员的主要活动。

财务资金权是指负责与企业资金流全过程有关的资金/现金进、出、存、保管的活动。行权内容包括：资金进、出、费用开支预算、计划；收款、付款、费用开支管理和负责费用报销管理、津贴福利开支管理等经手钱财进出性质的活动，多为财务、出纳、收支预算、计划、财务预算等岗位经办人员的主要活动。

拥有关键信息权是指履行岗位职责过程中能接触、掌握、或直接经手形成的，需要控制受众范围的信息的机会。内容包括：参与公司高层内部决策会议、重要商务活动、重要管理活动，知道公司内部商业秘密、商业策略、战略、重要人事安排、重要工作部署、采购分包其他投标人、标底、预算等信息机会。

（2）从内部控制完善程度分析合规风险源，有四种情形的合规风险源。

a、制度缺失、缺陷

企业没有对应的制度、部分缺失制度、或者制度措施没有有效控制作用。

b、认知缺失

由于公司制度及时跟进和交底、培训不到位的缘故，员工不知道企业现有的制度约束和控制要求。

c、技术缺失、缺陷

企业对某产品、某业务/管理事项缺失技术标准或工作标准，或者技术标准或工作标准的参数有不足、不成熟，或者技术标准或工作标准模糊，存在比较大的自由判断空间。

d、监控缺失、缺陷

企业对某业务/管理事项活动缺失监控，或者有监控，但是监控失效状态下，不能够起到监督控制作用。

从业务本身的自然属性分析的合规风险源，识别的是固有合规风险，从内部控制完善程度分析的合规风险源，识别是剩余合规风险源。

进行合规风险识别分析评估。根据ISO37301附录A的合规风险评估方法指南，先识别评估固有合规风险，然后分析剩余合规风险，结合上述的业务流程、岗位两种方式，目前，也是有对应的两种方法。

方法一：按照业务分类进行合规风险进行辨识、分析和评价，形成《业务流程固有合规风险矩阵清单》

以上的固有合规风险是假设企业在未采取相应合规风险处理措施的情况下，处于非受控状态所面临的全部合规风险。但是，任何一家在运行的企业都会有现行的管理体系，只是这些现行的管理体系可能存在缺失、缺陷和不足，企业现有的合规风险管理措施不能有效控制的合规风险，出现残留的，没有有效控制的合规风险处于暴露状态，即剩余合规风险。在《业务流程固有合规风险矩阵清单》的基础上，检索企业要现有管理制度、措施缺失、缺陷情况，进行现有管理体系下的剩余合规风险分析，形成《业务流程剩余合规风险分析表》。