企业合规风险管理(下)
发布时间:2025-04-27
文 | 郭青红 吴怡 王子墨 汇业律师事务所
本文分为上、下两篇。上篇主要介绍了企业合规风险管理流程。本篇主要介绍企业如何开展合规风险管理、合规风险三道防线、合规风险与其他风险以及实务中的常见误区等。
一、企业如何开展合规风险管理
(一)确定开展合规风险管理的领域
首先要确定是在整个企业开展全面的合规风险管理,还是在重点业务或部门领域开始合规风险管理。
(二)确定相关领域的业务流程、岗位设置及岗位职责
梳理拟开展合规风险管理的业务或部门领域的业务流程、岗位设置及岗位职责,为基于业务流程和负责岗位开展合规风险评估奠定基础。
(三)开展合规风险评估
对于新建合规管理体系、初始开展合规管理的企业,需要开展初次合规风险评估,对企业当时存在的合规风险有初步的、全面的了解,在此基础上建立合规风险识别清单,将合规风险管控嵌入业务流程并建立业务流程合规管控清单,将合规要求嵌入岗位职责并建立岗位合规职责,对现有规章制度进行合规审查、修订和补充。初次合规风险评估是企业开展合规管理的基础和依据,对推动企业合规管理、建立合规管理体系具有重要意义。
全面合规风险评估是基于建立全面合规管理体系的合规管理目标,在公司内部各部门、各产品业务事业部门以及集团各层级公司开展全面合规风险评估,建立完整的合规风险识别清单(合规风险库),作为后续合规管理的基础。企业在下列情况下,宜开展全面合规风险评估:
(1)企业新设;
(2)企业合规风险发生频率高且涉及不同业务领域或者多个业务及职能部门;
(3)企业投资并购其他企业(尤其是投资并购境外企业)而对目标企业进行全面合规风险管理;
(4)企业改制、重组;
(5)企业上市;
(6)企业建立合规管理体系时开展初步合规风险评估。
企业(尤其是集团公司)的全面合规风险管理是一项浩大、长期的合规管理工程,需要合理布局、统筹规划、精心组织和充分协调;需要制定详细的项目方案,充分分配资源(包括人员、费用、工具等),花费较长时间以及大量人力和物力。因此,在企业初始建立合规管理体系时,宜集中优势资源突出和优先安排重点领域的合规风险管理。之后,再循序渐进,开展其它非重点领域的合规风险评估。
(四)建立业务流程合规管控清单与岗位合规职责清单
将合规风险管控措施(合规尽职调查、合规审查等)嵌入业务流程,建立业务流程合规管控清单。将合规要求(合规义务及合规风险管控要求等)嵌入相关岗位的岗位职责,建立岗位合规职责清单。
(五)持续改进
合规风险因企业内外部环境的变化而处于动态变化之中,企业宜定期(如每年)开展合规风险再评估,及时对合规风险识别清单进行梳理和调整,确保合规风险识别清单持续符合企业的实际状况。
二、企业合规风险三道防线
风险管理三道防线最早出现在国务院国资委发布的《中央企业全面风险管理指引》中。该指引第十条规定:“企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。”
国务院国资委发布的《中央企业合规管理办法》没有明确提出合规风险管理三道防线,但从条款顺序安排(第十三条、第十四条和第十五条)以及关于合规管理职责的规定来看,已经体现了三道防线的精神。该办法第十三条明确了业务及职能部门承担合规管理主体责任,第十四条明确了合规管理部门牵头负责合规管理工作的职责,第十五条明确纪检监察机构和审计、巡视巡察、监督追责等部门的监督追责职责。
从以上规范性文件可以看出,企业风险管理部门与合规管理部门当属第二道防线。在合规管理实务中一直在探讨的一个问题是,企业内部还有哪些机构和部门属于合规风险的第二道防线?
1.按照国际标准及我国国家标准《合规管理体系要求及使用指南》第3.23条的规定,合规团队是对合规管理体系运行负有责任、享受权限的一个人或一组人,最好指定一人负责合规管理体系的监督。按照该标准第A.5.3.2条的规定,合规团队可以是专门人员与合规委员会。按照国务院国资委发布的《中央企业合规管理办法》,专门负责合规管理工作的合规管理组织包括合规委员会、首席合规官以及合规管理部门。因此,我们认为,企业合规委员会、首席合规官或者合规负责人以及合规管理部门都应当是合规风险的第二道防线。
2.关于法务部门是否属于第二道防线,实务界存在两种观点。一种观点认为,法务部门主要从事专业性法律事务,属于第一道防线。另一种观点认为,法律义务是主要的合规义务、法律风险是主要的合规风险,法务部门的重要职责之一是促使企业遵守法律义务与防范法律风险,因此,法务部门属于第二道防线。我们认为,法务部门主要负责专业性法律事务,如合同管理、知识产权法律事务管理、诉讼法律事务管理、外聘律师管理等,属于职能部门职责范围以及第一道防线。但是,法务部门同时负责法律风险管理,违法法律风险属于合规风险范畴而且是主要的合规风险,仅从这一层面和职责范围来看,法务部门属于第二道防线。
3.关于内部控制部门是否属于第二道防线,实务界也存在两种观点。一种观点认为,内部控制部门主要从事内部控制活动、采取内部控制措施、制定内部控制手册等,是企业的职能管理部门,属于第一道防线。另一种观点认为,识别风险(包括但不限于法律风险、合规风险)并采取内部控制措施(明确并围绕业务流程,制定规章制度、程序和措施等)是内部控制的核心步骤和重要内容。按照国务院国资委发布的《中央企业全面风险管理指引》,内部控制体系是全面风险管理体系一个重要的子体系。而且在我国内部控制与全面风险管理日趋融合(尤其体现在风险管理领域)。因此,第二种观点认为,内部控制部门应当属于第二道防线。我们认同第二种观点。
合规风险三道防线的合规管理框架,明确了企业各业务及职能部门作为第一道防线的合规管理主体责任地位,它们应主动开展日常合规管理工作,对合规管理负有直接和第一位的责任;明确了合规管理部门作为第二道防线的职责,即支持、组织、协调、监督各业务及职能部门开展合规管理各项工作;明确了企业纪检监察、巡视巡察、审计等部门作为第三道防线的职责,即对公司的合规管理情况进行监督追责。
企业合规管理的终极目标是防控合规风险,促使企业依法合规经营,保证企业稳健、安全、持续经营。合规风险三道防线理论具有重要的理论和实践意义,应进行大力宣传和推广。
三、企业合规风险与其他风险
(一)全面风险
按照国务院国资委2006年6月6日发布的《中央企业全面风险管理指引》,企业全面风险包括战略风险、财务风险、市场风险、运营风险、法律风险等。加上合规风险,企业全面风险应包括战略风险、财务风险、市场风险、运营风险、法律风险、合规风险等。
企业合规风险是全面风险中的一种。“规”必须遵守,一旦违反即须承担法律责任、经济损失或声誉损失。因此,相比较而言,合规风险是单一的、纯粹的风险,也是底线风险。而在战略风险、财务风险、市场风险中,风险与机会并存,多属于机会性风险。
(二)法律风险
2020年5月6日,国际标准化组织以我国国家标准《企业法律风险管理指南》为蓝本,正式发布《风险管理 法律风险管理指南》(ISO 31022:2020)。2023年8月6日,我国国家标准化管理委员会发布《风险管理法律风险管理指南》(GB/T 27914—2023),代替原国家标准《企业法律风险管理指南》(GB/T 27914—2011)。按照该标准第3.2条规定,法律风险是指由法律、法规以及合同事项导致的风险。企业法律风险包括法律环境风险、违法法律风险、违约法律风险、侵权法律风险、怠于行使权利法律风险、行为不当法律风险等。
企业法律风险与合规风险存在交叉,即违法法律风险。法律义务是企业的主要合规义务,违法法律风险是主要的法律风险,也是主要的合规风险。这决定了合规管理具有很强的法律专业性这一特点。
四、常见误区
1.孤立地看待合规风险
企业各类风险处于经常并存的情况。例如:企业开拓一个新的市场,可能同时面临战略、市场、财务和投融资、运营、法律与合规等各类风险。企业需要同时针对各类风险,协同风险管理策略来应对和处置。
2.用内控或全面风险管理来替代合规风险管理
不少企业用内控中的风险管理或全面风险管理来替代合规风险管理,包括:用内控或全面风险评估来替代合规风险评估,用内控或全面风险管理的风险矩阵(清单)来替代合规风险识别清单,用内控或全面风险管理中的风险报告来替代合规风险报告等。
3. 基于概括性合规义务来评估合规风险
概括性合规义务是指对某一领域或者某一类别的合规义务作综合性描述或指向的合规义务。概括性合规义务的内容宏观、内涵扩展、外延开放,具有原则性、抽象性、归纳性等特点。概括性合规义务没有对合规义务主体提出具体行为指引和要求,缺乏实际操作性。因此,概括性合规义务宜用于对企业、各部门、各岗位的某领域、某类别合规义务的总体性、归纳性、原则性要求,无法用来建立具体合规义务清单,也不能作为合规风险评估的基础。
在实务中,有些企业基于内控或全面风险管理理论及惯性思维,基于概括性合规义务来评估合规风险。例如,“不遵守《劳动合同法》的规定签署劳动合同可能导致劳动纠纷并给公司造成损失”,就是常见的案例。此类合规风险评估并未明确具体的合规风险,无法有针对性地提出具体风险应对措施,因而没有实际的指导作用或意义。
4.脱离业务流程进行单纯的合规风险评估
业务流程(管理环节、控制点等)是企业合规义务及合规风险最基本的业务载体,企业合规义务及合规风险不能脱离企业经营管理和业务流程而孤立地存在。合规义务识别、合规风险评估须基于业务流程,全面梳理业务流程中各环节、各控制点的合规风险点,提出应对措施建议,建立并实施业务流程合规管控清单,推动合规管理真正融入业务。
5.脱离岗位职责进行合规风险评估
企业合规义务分解到各部门并最终分解到各个岗位,岗位是企业合规义务及合规风险最基本的组织载体。合规义务最终由各个岗位来承担,合规风险最终由各个岗位来面对。合规义务识别、合规风险评估须对应相应的工作岗位,全面梳理各个岗位需要承担的合规义务及面对的合规风险,明确各个岗位的合规职责,才能将企业合规职责分配到岗、落实到人,推动实现从重点岗位合规到全员合规。
6.将合规风险评估简单推定为合规管理部门的工作
在实务中,不少企业的业务及职能部门认为合规管理是合规管理部门的职责,将合规风险评估简单推定为合规管理部门的工作,因此不配合、不支持、不参与合规风险评估工作,对合规风险识别清单不研究、不培训,也不在日常经营管理活动中运用。
如前所述,业务流程是合规风险最基本的业务载体,业务及职能部门是合规风险的第一道防线。因此,业务及职能部门是合规风险评估乃至防范的责任主体。合规管理部门仅行使合规管理职能,包括组织、指导、监督、检查等。
7.全面铺开,急于求成
急于求成,在短时间内全面铺开和完成合规风险评估、编制“三张清单”。合规风险评估大多基于概括性合规义务进行,合规风险识别清单和应对措施对合规风险防范没有实际指导意义,合规风险管控举措没有实际嵌入业务流程,合规职责也没有落实到岗。这是目前不少企业现阶段存在的主要问题之一。
