分享到
EN
  • 专业文章 Articles

企业合规体系建设中合规风险评估五步法

公司与并购

  2018年112日,国务院国有资产监督管理委员会(国资委)发布《中央企业合规管理指引(试行)》(下称《指引》),明确要求中央企业加快建立健全合规管理体系,全面加强合规管理,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。《指引》的出台,是在国家制度层面对中央企业全面建设合规体系提出的要求,是落实党中央全面依法治国战略的重要举措。因此,中央企业如何按照《指引》要求,逐步落实合规体系建设,形成能够及时分析、识别、评估和应对企业经营投资重大风险的机制,压缩商业贿赂、利益交换与寻租的操作空间,成为央企管理层需要认真思考的议题。

  企业合规体系建设的关键一步在于对本企业所面临的风险进行识别与评估。《指引》第十八条规定,中央企业要建立合规风险识别预警机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。第十八条的规定,其用意即在于引导企业全面地识别其所面临的合规风险,并对识别出来的合规风险发生的可能性、潜在影响进行分析与评估,进而了解本企业固有风险敞口(inherent risk exposure),再通过有的放矢地采取有效的风险管控措施来降低企业的合规风险。

   合规风险是的企业违反法律、法规的禁止性及义务性规定而给企业带来的风险,也包括企业内外部合规义务人违反合规义务所造成的风险,主要包括法律风险、违规风险、欺诈风险、操作风险和其他风险。其中,法律风险指违反法律规定所造成的风险,例如违反反腐败反贿赂法律、贸易禁运/国际经济制裁/出口管制、洗钱、不正当竞争、垄断/反托拉斯、反倾销、数据信息保护(违规使用)的相关法律法规,违规风险例如违反国家重大政策、公司内部规定、行为守则及道德规范等所造成的风险,欺诈风险例如企业员工受贿、利益冲突而对企业造成的被处罚风险,以及经济及名誉损失风险[1]

   在合规风险评估工作中最为常用的一项工具是风险矩阵(risk matrix)或风险热图(risk heat maprisk mapping)工具。风险矩阵图能够给企业提供针对风险可能性及其影响的全面的可视化图表,有助于企业通过调整风险管理资源的优先级来提高其风险管控与治理能力,具体而言,风险优先级化可帮助企业将时间与财力集中在热图上显示最有可能造成危害的风险类别上[2]

   风险矩阵主要运作两项指标,一是风险可能性(likelihoodprobability),即根据风险发生的可能性大小,将风险划分为不同级别,二是风险影响(impact),即根据风险发生后将会对企业造成的不利影响的严重性,对风险进行分级。

   两项指标分别标示在纵横坐标轴上。在坐标矩阵图上,可以大致将风险分为四大类,这四大类的优先级别从低到高分别是:(1)低可能性/低影响,此类风险基本可以忽略,(2)高可能性/低影响,此类风险重要性为中等,如若发生,企业可以应付并且继续经营,但企业还是需要尽力去降低此类风险发生的可能性,(3)低可能性/高影响,此类风险发生的可能性较低,但一旦发生就会有重大影响,对于此类风险,企业需要尽全力去降低它们发生所可能造成的不利后果,并且应当有紧急预案,以便在这些风险出现时启动应用,(4)高可能性/高影响,此类风险是最优先级风险,企业必须时刻密切关注它们。


  风险评估工作将对企业在经营活动过程中的风险敞口进行客观、结构化的分析,通过矩阵阐述风险敞口的发生频率和严重性,并在考虑激发风险的因素的前提下,制定应对风险的措施,从而形成一份切实可行的行动方案。通常情况下,合规风险评估工作应当分成五步进行。

  一、第一步:风险识别

   合规风险评估工作的第一步是识别企业的固有风险,尽可能全面地列出企业所可能面临的所有风险。所要识别的风险不能是理论上的风险,而应该是企业生产经营活动中可能遭遇的实际风险敞口,对于特定风险的描述必须准确、详尽并且是书面的。

   企业在经营过程中,会面临不同种类的风险,比如战略风险、合规风险、运营风险、财务风险及商誉风险等等。仅仅就合规风险而言,不同行业、经营活动涉及不同地域的企业所面临的合规风险种类也各有不同,因此,每家企业应当根据其自身情况,识别其自身所面临的风险种类。

   要想准确识别企业的风险敞口,就要求风险评估人员对企业状况进行评估前尽职调查,通过调查,深入了解企业的组织架构、管理层级、业务模式、营销推广、采购招标、投标流程、生产或施工流程、财务制度、用工、业务部门与业务部门之间以及业务部门与管理部门之间的协作方式、第三方伙伴关系(包括主要供应商、主要客户以及代理商和外部顾问)等等。

   在风险识别工作上,仅有外部顾问/律师的努力是不够的,还需要企业内部成员(从最高管理层、部门经理与主管、部门骨干到前线员工)积极参与。企业内部主要团队成员,可以通过开会讨论(有时候是跨部门间,包括IT、战略规划、投资、运营、法务、人力资源、安保、财务、合规等部门)的方式,头脑风暴一下,主要按照三个标准来罗列各自工作范围内所意识到的合规风险:(1)与企业活动相关联,(2)影响到企业的财务状况,以及(3)能够与其他风险区分开来管控。

   通常情况下,作为外部顾问,我们会通过面谈、召开引导会议或者组建跨职能工作小组的方式,让企业内部成员参与到合规风险识别的工作中来。面谈通常适用于工作时间安排比较忙碌的企业领导、高管、董事会成员或者部门的高级经理等。引导会议则可以在相同职能部门成员之间召开,有利于通过相互提醒识别出确切的风险种类。至于跨职能工作小组,举例而言,在识别与信息安全相关的合规风险上,我们可能会将企业技术部门、法务及合规部门、公共关系部门、业务部门、战略规划部门以及行政管理部门的成员聚合在一起,这些不同职能部门的成员就有可能从不同角度,对与信息安全相关的合规风险的成因、后果、可能性及交互作用,提供不同的情报,从而有利于准确地描述、记录相对应的合规风险。

  当我们所服务的是超大型、结构复杂并且在地域上呈分布式的企业时,我们也可以采取标准化问卷调查的方式进行合规风险识别。这种问卷调查通常采用哥特曼量表(Guttman Scale)问卷的形式开展。但受限于匿名问卷调查形式本身的固有局限性,所收集到的信息的质量可能较低,因此,在有可能的情况下,问卷方式还是要与跨职能工作小组的方式相结合来使用。

  二、第二步,固有风险评估

   第二步工作是评测企业在前述每一项风险面前的脆弱性(vulnerability),通过评测,我们可以看到企业的风险敞口(“gross” risk exposure)。

   通过对风险可能性与影响大小的评测,制作风险矩阵图。在评测风险可能性与影响之前,我们还需要分析风险因素或风险源(risk sources):是否高危险国家或行业,运营性质,新产品,高价值或超复杂合同,涉及第三方协作,业务压力,内控无力,高竞争环境,并购,进入或退出市场,资产处置,新的战略合作关系,设立销售目标,等等。换言之,我们需要弄清楚到底是哪些内部或外部的事件导致这些风险的产生。对于风险源进行分析的结果将影响到我们对风险可能性级别及影响级别的评测。

   评测的具体作法是,评测各项风险发生的可能性,并予以打分,以10分为例,对极不可能发生的风险打1分,而极有可能发生的风险则可打10分。再评测如果一项风险发生,其对企业或项目可能造成的影响。对风险识别列表中的每一项风险都要进行影响评测,并予以打分,以10分为例,对影响极小的风险打1分,对灾难性影响的风险打10分。最后将评测后的各项风险放入风险矩阵图中予以显示。

   在计量风险敞口时,所使用的公式是“‘风险敞口=可能性系数*影响系数”。最后企业可以针对不同风险敞口,制定策略并采取措施进行管控。

  三、第三步,现有风险管理措施有效性评估

   这一步的目的在于评估企业现有的合规风险管理措施的有效性,进而计量出企业的剩余风险敞口(residual risk exposure)或风险敞口(“net” risk exposure)。剩余风险敞口=采取现有管理措施后的风险可能性系数*采取现有管理措施后的风险影响系数。

   风险敞口相对应的,我们会把剩余风险敞口系数显示在同一个风险矩阵图上,并以箭头形式标识特定风险在矩阵图上的迁徙路径,从而可以用可视化的形式观察到现有风险管理措施的有效性。

   在具体实践中,我们会在收集与识别企业风险敞口的同时,收集相对应的现有风险管理措施,而那些目前尚未采取管理措施的则标识为”。二者的工作方法有较多重叠。

  四、第四步,剩余风险优先化的行动方案

   剩余风险确定后,我们对其进行优先级排序,从而能够将那些现有内控制度已经可以有效管控的风险与那些还需要更好地管理、更强地控制的风险区分开来。对应到风险矩阵图上,剩余风险如果位于矩阵图左下角(低可能性/低影响),通常可以忽略不计,而如果位于右上角(高可能性/高影响),则提示企业必须十分注意,并投入足够的时间、人力和财力进行管控与治理。

   剩余风险优先化的意义在于企业可以最高效率地分配合规资源,把有限的人力、物力、财力和时间,按风险的优先级别,进行分配,从而尽可能地降低风险对企业的影响与伤害。

   在优先化的基础上,企业必须制定出相对应的行动方案,列出执行行动方案的时间表与工作流程,以及相应的监督与问责办法,并不遗余力地推动行动方案的实施。

  五、第五步,定期更新风险评估

   风险评估的工作必须以书面形式开展,所有的工作记录、底稿和最终形成的矩阵图和报告,均需妥善保管与归档。在此基础上,由于风险会演化,其所能造成的影响也会变化,所以风险评估应当定期重做,风险矩阵图也应该定期重估,以确保主要风险均能被有效监督与控制。

   通常而言,风险评估可以一年更新一次。但如果企业发生下列情形,则应立即更新风险评估:商业模式变更、采用新的生产工艺或生产工艺变化、影响企业的重大变化(例如大的组织架构调整、兼并收购)以及法律或经济环境的重大变化。除此之外,当企业的业务进入一个全新的地理区域时,例如中央企业在一个陌生的国家开展新的海外投资时,更新风险评估也成为必须要进行的一项重要工作。

   通过以上五步工作,企业的合规风险评估基本完成。但合规工作远未完成。企业合规工作是一项系统工程,需要多方面的努力,投入必要的时间、人力和财力。具体到合规风险识别与评估工作,企业从最高管理层到普通员工都应该在一定程度上参与进来。不同层级的同事之间,在分工与责任上有别不同。最高管理层,例如董事长、董事会成员以及总经理等,需要秉持坚定的反腐败立场,在企业内部弘扬合规文化,并确保企业分配充分的人力与财力资源到合规工作上来。最高管理层直接任命首席合规官,首席合规官在职能上应该具有独立性,负责监督合规体系的建设与执行,包括合规风险的评估工作,可以直接向最高管理层汇报工。

[1] 中国国际贸易促进委员会商业行业分会2018年《合规风险识别、评价与控制指引(征求意见稿)》。

[2] French Anti-Corruption Agency Guidelines to help private and public sector entities prevent and detect corruption, influence peddling, extortion by public officials, unlawful taking of interest, misappropriation of public funds and favouritism, version 12-2017.

相关文章
  • 查看详情

    图表式解读最高院《民法典时间效力规定》

  • 查看详情

    一位美国法官引发的反思

  • 查看详情

    用人单位调岗调薪的合法性分析与实务建议

关注:
地 址:上海市浦东新区银城中路501号上海中心大厦15/16层
电 话:+86 21 5878 5888