(二)合规风险识别与评估前的准备 企业在分析合规风险时,应考虑不合规的原因、起因及其后果的严重性,以及不合规和相关后果发生的可能性。比如,后果可能包括对个人和环境的伤害、经济损失、声誉损失及行政责任等。 特定的具体方面可能会有所差异(如环境、财务和社会),同时企业需要对发现的所有合规风险/场景进行监控、更正和纠正,高、中、低级合规风险评估只是企业将主要精力和资源放在优先级更高的锋线上,并最终涵盖所有的合规风险。 3.在企业生产经营过程中,由于合规义务的存在,员工行为对合规义务遵循的不确定性导致了合规风险的产生。可以说,合规义务分布在何处,不确定就在何处,合规风险就源于何处。而合规义务的分布是由权力的分布来决定。权力是对利益分配的支配力,权力是利益分配的焦点。合规义务是用来规范权力的正确行使、规范利益的合理分配的。因此,有权力(利益分配)的地方,就存在合规义务。违规行为的“铁三角定律”:权力+不良动机+业务机会=合规风险发生。 03 合规风险评估的实务要点 (一)企业合规风险评估,首先需要进行合规风险分析。 合规风险分析是要增进对合规风险的了解,为风险评价和应对提供支持。合规风险分析根据目的、可获得的信息数据和资源,可以有不同的详细程度,可以是定性、定量的分析,也可以是这些分析的组合。合规风险分析是在风险识别的基础上,考虑不合规发生的原因、后果及发生可能性等因素,最后形成合规风险列表清单。 对于合规风险列表清单,应达到下列标准: 1.风险描述:简单且准确地描述风险,风险可能在什么情况下以什么方式发生以及风险对既定目标的影响。 2.风险发生原因:明确会导致风险发生的真正原因。 3.风险发生结果:说明风险发生后在哪些方面,以及以怎样的方式造成影响。具体可以考虑但不限于以下因素: (1)后果的类型,包括财产类的损失和非财产类的损失(商誉损失、企业形象受损)等; (2)后果的严重程度,包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。合规风险发生结果的定量分析示例如下。 示例分为三个维度进行,每个维度可以进一步细化为若干评分标准;影响程度分为三个等级,分别赋予 1-9 分,得分越高意味风险程度越大。
4.风险发生可能性:说明风险发生的概率大小。对风险发生可能性的量化分析,可以从以下 5 个维度进行,每个维度可进一步细化为若干评分标准: (1)内部合规规范的完善程度; (2)合规规范的执行力度; (3)人员相关合规素养; (4)外部监管执行力度; (5)违规行为一年内已发生的次数。 合规风险发生可能性的定量分析示例如下。实力分为五个维度进行,每个维度可以进一步细化为若干评分标准;影响程度分为三个等级,分别赋予 1-5 分,表示发生可能性依次加强,得分越高以为风险发生的可能性越大。 最后形成合规风险列表清单。合规风险列表清单示例如下:
(二)完成合规风险分析后,还需要进行合规风险评价。 合规风险评价,是将风险分析的结果与企业能够接受的风险水平相比较,或者在各种风险分析结果之间进行比较,以确定风险的等级。风险评价应满足风险应对的需要,否则应做进一步的风险分析。风险评价是利用风险分析过程中获得的对风险的认识,设定合规风险的优先等级,对未来的行动进行决策。 最简单的风险评价,是将风险分为两种:需要应对的和无需应对的。但这样的方式难于全面反映情况,而且两类风险的界限本身也不好确定。 常见的评价是依照企业对风险的容忍程度,将风险分为三个区域: 1.不可接受区域。在该区域内,无论相关活动可带来什么收益,风险等级都是无法承受的,不惜一切代价进行风险应对; 2.中间区域。对该区域内风险的应对要考虑应对措施的成本与收益,并衡量机遇和潜在后果; 3.广泛可接受区域。该区域的风险很小,无需采取任何应对措施。 风险评价后,需要进行决策。决策时应包括的内容有:(1)某个风险是否需要应对;(2)风险的应对优先等级;(3)应该采取哪种途径。决策要参考法律、财务、道德等因素。 对于风险评价,可把风险后果分析、可能性分析等结合起来,对风险进行排序,形成一个风险等级表,也可形成一个风险坐标图。 合规风险程度示例如下:
(三)合规风险评估工作的最后,要以合规风险评估报告落地。 根据合规风险识别和评估情况,合规风险评估工作最后的落地,应当是一份全面的合规风险评估报告。报告主体应当以部门为单位,如业务部门向合规管理部门报告、合规管理牵头部门向合规管理委员会报告。报告可分为定期报告、专项报告。 合规风险评估报告的内容应当包括:合规风险评估实施概况、合规风险基本评价、存在的合规风险、原因及可能的公司损失,处置建议和应对措施等。具体如下: ➣1、合规风险评估工作实施概况 主要包括: (1)合规风险评估立项选择的背景和工作目的; (2)开展合规风险评估的相关准备工作,包括工作小组、评估范围、使用的识别评估工作方法、工作步骤及时间安排、工作要求等; (3)合规风险评估实施过程的具体工作情况。 ➣2、合规风险基本评价 主要包括: (1)本次合规风险识别评估已覆盖的合规风险领域; (2)本次合规风险识别评估总体结果:固有合规风险点数量,剩余合规风险点数量; (3)本次合规风险识别评估中,不同等级的合规风险的情况,如各不同合规风险等级的合规风险数量、需要采取风险管理措施的合规风险数量; (4)对被评估范围的合规风险管理效果的基本评价。 ➣3、 存在的合规风险 通过合规风险识别评估,把识别出来的需要采取风险管理措施的合规风险点详细地列出,这是合规评价报告的核心内容,也是将来企业高管在采取风险管理措施时认可的权威依据。 ➣4、合规风险发生的原因分析。 包括权力、外部环境、员工个人原因、制度措施不完善等。需要注意的是,合规风险的发生往往不是由其中一个原因引致的,而是由多个原因共同作用导致的。 (1)权力:权力引致了合规风险,主要是从权力出发,列举出具体的某一项或者几项权力的不正当行使引致了合规风险; (2)外部环境:被评估领域、岗位或流程所处业务领域在企业外部接口的商业环境状态及其对企业内部该业务领域、岗位、流程合规履职的影响; (3)员工个人:员工个人不当动机、员工接受合规知识培训的情况; (4)制度措施:被评估领域、岗位或流程所在的业务领域企业的制度建设现状。 (5)如果近期被评估领域、岗位或流程所处业务领域已经发生过不合规行为或违规行为,则应对发生不合规行为和违规行为的直接原因通过访谈,了解是否: ①当事人对业务规律认知不够; ②规范合规风险的制度不适宜; ③当事人对业务制度学习了解不够; ④当事人对工作技能方法掌握不够; ⑤当事人所在业务领域的业务绩效激励无针对性,导致其缺乏工作积极性; ⑥业务外部市场环境等方面的不可控原因; ⑦当事人员陈述的其他原因。 |
|