《-企业合规风险识别与评估的步骤及重点内容-.docx》由会员分享,可在线阅读,更多相关《-企业合规风险识别与评估的步骤及重点内容-.docx(10页珍藏版)》请在课桌文档上搜索。
1、”企业合规风险识别与评估的步骤及重点内容“1、企业合规风险识别与评估的步骤及重点内容相关概念(一)合规风险识别与评估的概念企业建立合规管理体系,实施合规管理建设的核心是合规风险管理。而合规风险管理,本质上是对合规风险进行识别、评估、处置、应对、监测、预警、监督、检查、沟通、协调并持续改进的过程。详细而言:合规风险识别,是指对企业内部合规风险存在或者发生的可能性以及合规风险产生的缘由等进行分析推断,并通过收集和整理企业全部合规风险点形成合规风险列表,以便进一步对合规风险进行监测和掌握等系统性活动。合规风险评估,是指在合规风险识别基础上,应用肯定的方法估量和测定合规风险可能导致法律制裁、监管惩罚、
2、重大财务损失和声誉损失等相关风险损失的概率和损2、失大小,以及对企业整体运营产生影响的程度。企业,尤其是国有企业开展合规风险识别与评估的目的,在于识别企业潜在的合规风险行为,实行乐观的管理措施管理风险,以避开合规目标的无法达成。基于合规风险识别评估的结果,企业将实行必要的措施管控合规风险,或在内部有效地开展预防性合规管理工作,使企业能在业务所在地区/所在国合规地开展业务、诚信经营,从而实现企业的合规目标。提升企业品牌形象,避开和削减监管机构的惩罚。合规风险识别与评估,有助于企业内形成合规风险意识,关心组织准时制定风险应对措施,从而避开企业违反法律法规和企业合规承诺,实现企业合规目标,进而为实现
3、企业可持续进展供应必要条件。合规风险识别与评估,是3、国有企业内部主动预防和掌握合规风险的有效方法。它既是建立合规管理体系的起点,也是运行合规管理体系的前提,体现了企业合规风险管理的质量和水平,影响着企业合规管理目标的实现。(二)合规风险识别与评估前的预备(三)合规风险识别与评估的重点内容依据合规管理体系指南第3.6条提出的合规风险识别与评估要求,国有企业开展合规风险识别与评估,需要重点理解以下5个方面的内容:企业应识别自身的合规风险企业应当将其合规义务与活动、产品、服务及运营方面联系起来,确认可能发生不合规的状况,从而识别合规风险。企业应查明不合规的缘由并明确其后果企业在分析合规风险时,应考
4、虑不合规的缘由、起因及其后果的严峻性,以及不4、合规和相关后果发生的可能性。比如,后果可能包括对个人和环境的损害、经济损失、声誉损失及行政责任等。在风险评估中,需要比较分析流程中发觉的合规风险等级及企业能够并情愿接受的合规风险等级基于这一比较,企业可以确定任务的优先级,并在此基础上确定实施掌握措施的必要性以及掌握措施的程度水平。企业应定期对合规风险进行再评估特殊是,当消失新的或更改的活动、产品或服务时;组织的结构或战略发生变更时;重要的外部变化,如金融经济环境、市场状况、负债和客户关系变化时;合规义务变化时和消失不合规行为时。合规风险评估细节的程度和水平取决于企业的风险状况、环境、规模和目标特
5、定的详细方面可能会有所差异(如环境、财务和社会)5、,同时企业需要对发觉的全部合规风险/场景进行监控、更正和订正,高、中、低级合规风险评估只是企业将主要精力和资源放在优先级更高的锋线上,并最终涵盖全部的合规风险。02合规风险识别的实务要点(一)企业要识别合规风险,首先必需识别合规义务。合规义务就像一把尺子,一把企业衡量自身生产经营行为正确性的尺子。有了尺子,才能度量出企业生产经营行为过程中可能消失的合规偏差,也就是合规风险。依据合规管理体系指南中给出的合规义务的定义,合规义务应包括合规要求,可包括合规承诺。合规要求是企业必需遵守的义务,具有强制性。在市场经济中,国家监管机构从维护市场经济健康、
6、有序进展的需要动身,制定了很多强制性的法律法6、规等要求。合规承诺是企业选择遵守的要求,具有自愿性。由于市场竞争激烈,企业为获得股东、顾客、供应商等相关方的信任,对自身生产经营过程和产品品质进行的若干承诺。(二)企业识别合规风险,还要留意合规义务的维护。现实中,合规要求和合规承诺不是一成不变的,需要时刻关注并将新的合规要求和承诺纳入合规义务清单文件中。企业应当制定适当的流程来识别新的和变更的法律、法规和规章以及其他的合规义务,以确保企业持续合规。为了获得合规义务来源变化信息,企业可实行如下措施:与监管部门会面;与法律、合规顾问沟通;跟踪监管部门的网站动态;参与行业论坛和研讨会;订阅相关信息服务
7、;确保自己是专业组织会员;确保自己在监管机构收件7、人列表中。以上八种措施均是为企业维护合规义务供应了信息沟通的渠道,可以说,合规义务维护的重点是建立好合规义务信息沟通渠道。企业有必要制定相应的企业合规义务动态维护管理流程,以便准时跟踪法律、法规、规范和其他合规义务的出台和变更。与作为识别和建立本企业的书面合规义务内容清单的合规义务识别清单相类似,在合规义务维护方面,企业应当建立动态维护本企业的书面合规义务内容清单合规义务持续识别维护清单。在合规义务持续识别维护清单中,企业应当在上一轮次识别的合规义务识别清单的基础之上,注明增加、删除和调整的合规义务状况,并描述其对企业的影响,最终确认企业是否
8、将上一轮次识别的合规义务连续纳入合规义务范围。(三)8、企业识别合规风险,需要综合运用各种方法。识别合规风险的方法,即是把合规义务与企业的活动、产品、服务和运行(企业的经营管理行为)联系起来,运用一些详细手段,如基于过往案例、基于专家阅历,基于归纳推理,基于头脑风暴等方式,发觉和列举出企业存在的合规风险。以下是一些常用的合规风险识别技术与方法:这些合规风险识别技术与方法,通过供应若干识别合规风险的角度,能够为企业构建符合自身经营管理需求的合规风险识别框架。值得一提的是,这些技术、方法往往是综合运用的。如:大事库法作为企业内部和外部合规询问团队最常用的合规风险识别方法,往往需要辅之以其他方法甚至
9、是合规管理工作,包括(1)问卷调查法、访谈调研、头脑风暴9、法、德尔菲法、检查表法;(2)合规管理评估以及合规管理部门在合规日常工作中发觉的需要引起足够重视的合规风险或问题;(3)内、外部审计、纪检、监控等活动中发觉的合规风险大事等;以及(4)员工举报等。此外,还需要关注和收集违规案例以及相关司法判例、同类企业过去识别和发生的合规问题及违规案例。(四)企业合规风险识别小结前述分析,可以看到,合规义务与合规风险之间的紧密关系。总结来说:1.合规义务的多与少与企业本身亲密相关。对于企业来说,来自监管机构颁布的法律、法规等强制性合规要求都是必需遵循的。它们是企业固有的合规风险,关键在于企业是否主动担
10、当这些合规要求。合规承诺就不同了,它是企业对市场、客户、监管10、机构等相关方的主动承诺。合规承诺不是越多越好,也不是越少越好,最相宜于企业健康进展、基业长青的合规承诺才是最好的。因此,企业管理层要从经济适度动身,在满意国家监管机构制定的法律、法规等强制性合规要求的基础上,从适合其企业经营管理水平、规模、简单性、结构和运营的方式动身,进行主动的合规承诺,最终制定企业合规义务文件。2.合规义务打算合规风险。合规管理体系指南第2.12条,合规风险,是不确定性对合规目标的影响。在市场经济环境中,企业的生产经营行为应当遵循合规义务,一旦违反合规义务,就存在不确定性,便产生合规风险。不合规是指未履行合规
11、义务或者违反组织合规义务。假如企业没有担当合规义务,就无所11、谓的合规风险。企业担当的合规义务越多,未履行或者违反合规义务而导致的合规风险就越大。此外,企业担当的合规义务标准越高,履行的不确定性也就越大,未能达到合规义务要求而导致的合规风险发生的概率也越高。3.在企业生产经营过程中,由于合规义务的存在,员工行为对合规义务遵循的不确定性导致了合规风险的产生。可以说,合规义务分布在何处,不确定就在何处,合规风险就源于何处。而合规义务的分布是由权力的分布来打算。权力是对利益安排的支配力,权力是利益安排的焦点。合规义务是用来规范权力的正确行使、规范利益的合理安排的。因此,有权力(利益安排)的地方,就
12、存在合规义务。违规行为的铁三角定律J权力+不良动机+业务机会12、二合规风险发生。03合规风险评估的实务要点(一)企业合规风险评估,首先需要进行合规风险分析。合规风险分析是要增进对合规风险的了解,为风险评价和应对供应支持。合规风险分析依据目的、可获得的信息数据和资源,可以有不同的具体程度,可以是定性、定量的分析,也可以是这些分析的组合。合规风险分析是在风险识别的基础上,考虑不合规发生的缘由、后果及发生可能性等因素,最终形成合规风险列表清单。对于合规风险列表清单,应达到下列标准:L风险描述:简洁且精确地描述风险,风险可能在什么状况下以什么方式发生以及风险对既定目标的影响。2.风险发生缘由:明确会
13、导致风险发生的真正缘由。3.风险发生结果:说明风险发生后在哪些方13、面,以及以怎样的方式造成影响。详细可以考虑但不限于以下因素:(1)后果的类型,包括财产类的损失和非财产类的损失(商誉损失、企业形象受损)等;(2)后果的严峻程度,包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。合规风险发生结果的定量分析示例如下。示例分为三个维度进行,每个维度可以进一步细化为若干评分标准;影响程度分为三个等级,分别给予1-9分,得分越高意味风险程度越大。分析维度得分9510财产损失大小无非财产损失大小很大一般很小无影响范围广(全国范围甚至国际影响)中等(全省或市范围)较小(本市范围或企业内部
14、)无4.风险发生可能性:说明风险发生的概率大小。对风险发生可能性的14、量化分析,可以从以下5个维度进行,每个维度可进一步细化为若干评分标准:(1)内部合规规范的完善程度;(2)合规规范的执行力度;(3)人员相关合规素养;(4)外部监管执行力度;(5)违规行为一年内已发生的次数。合规风险发生可能性的定量分析示例如下。实力分为五个维度进行,每个维度可以进一步细化为若干评分标准;影响程度分为三个等级,分别给予1-5分,表示发生可能性依次加强,得分越高以为风险发生的可能性越大。最终形成合规风险列表清单。合规风险列表清单示例如下:事项风险描述合规义务来源对应企业行为风险发生缘由风险发生后果风险发生可能
15、性123(二)完成合规风险分析后,还需要进行合规风险评价。合规风险15、评价,是将风险分析的结果与企业能够接受的风险水平相比较,或者在各种风险分析结果之间进行比较,以确定风险的等级。风险评价应满意风险应对的需要,否则应做进一步的风险分析。风险评价是利用风险分析过程中获得的对风险的熟悉,设定合规风险的优先等级,对将来的行动进行决策。最简洁的风险评价,是将风险分为两种:需要应对的和无需应对的。但这样的方式难于全面反映状况,而且两类风险的界限本身也不好确定。常见的评价是依照企业对风险的容忍程度,将风险分为三个区域:1.不行接受区域。在该区域内,无论相关活动可带来什么收益,风险等级都是无法承受的,不惜
16、一切代价进行风险应对;2.中间区域。对该区域内风险的应对要考虑应对措施的16、成本与收益,并衡量机遇和潜在后果;3.广泛可接受区域。该区域的风险很小,无需实行任何应对措施。风险评价后,需要进行决策。决策时应包括的内容有:(1)某个风险是否需要应对;(2)风险的应对优先等级;(3)应当实行哪种途径。决策要参考法律、财务、道德等因素。对于风险评价,可把风险后果分析、可能性分析等结合起来,对风险进行排序,形成一个风险等级表,也可形成一个风险坐标图。合规风险程度示例如下:严峻性可能性损害程度特别大损害程度一般损害程度小特别可能重大合规风险重大合规风险中等合规风险有可能重大合规风险中等合规风险较低合规风
17、险较低可能中等合规风险较低合规风险较低合规风险(三)合规风险评估工作的最终,要17、以合规风险评估报告落地。依据合规风险识别和评估状况,合规风险评估工作最终的落地,应当是一份全面的合规风险评估报告。报告主体应当以部门为单位,如业务部门向合规管理部门报告、合规管理牵头部门向合规管理委员会报告。报告可分为定期报告、专项报告。合规风险评估报告的内容应当包括:合规风险评估实施概况、合规风险基本评价、存在的合规风险、缘由及可能的公司损失,处置建议和应对措施等。详细如下:1、合规风险评估工作实施概况主要包括:(1)合规风险评估立项选择的背景和工作目的;(2)开展合规风险评估的相关预备工作,包括工作小组、评
18、估范围、使用的识别评估工作方法、工作步骤准时间支配、工作要求等;(3)合规风险评估18、实施过程的详细工作状况。2、合规风险基本评价主要包括:(1)本次合规风险识别评估已掩盖的合规风险领域;(2)本次合规风险识别评估总体结果:固有合规风险点数量,剩余合规风险点数量;(3)本次合规风险识别评估中,不同等级的合规风险的状况,如各不同合规风险等级的合规风险数量、需要实行风险管理措施的合规风险数量;(4)对被评估范围的合规风险管理效果的基本评价。3、存在的合规风险通过合规风险识别评估,把识别出来的需要实行风险管理措施的合规风险点具体地列出,这是合规评价报告的核心内容,也是将来企业高管在实行风险管理措施
19、时认可的权威依据。4、合规风险发生的缘由分析。包括权力、外部环境、员工个人缘由、制度措19、施不完善等。需要留意的是,合规风险的发生往往不是由其中一个缘由引致的,而是由多个缘由共同作用导致的。(1)权力:权力引致了合规风险,主要是从权力动身,列举出详细的某一项或者几项权力的不正值行使引致了合规风险;(2)外部环境:被评估领域、岗位或流程所处业务领域在企业外部接口的商业环境状态及其对企业内部该业务领域、岗位、流程合规履职的影响;(3)员工个人:员工个人不当动机、员工接受合规学问培训的状况;(4)制度措施:被评估领域、岗位或流程所在的业务领域企业的制度建设现状。(5)假如近期被评估领域、岗位或流程所处业务领域已经发生过不合规行为或违规行为,则应对发生不合规行为和违规行为的直接缘由通过访谈,了解是否:当事人对业务规律认知不够;规范合规风险的制度不相宜;当事人对业务制度学习了解不够;当事人对工作技能方法把握不够;当事人所在业务领域的业务绩效激励无针对性,导致其缺乏工作乐观性;业务外部市场环境等方面的不行控缘由;当事人员陈述的其他缘由。
