专业丨浅谈企业合规风险识别、预警与应对

  常言道：国有国法，家有家规，企业应该有合规。合规是企业新型的管理制度，合规是企业管理走向现代化、法制化的显著标志。

  企业合规，是指企业通过优化治理结构，健全规章制度，建设合规文化，建立应对合规风险的管理体系。

  一、谈到企业合规，我们必须了解什么是合规风险

  通常讲，合规风险是指企业及其员工在经营过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。在构建企业合规体系中，企业要进行合规风险识别，合规风险评估，对合规风险进行分析，建立合规风险数据库，进而对合规管理预警、应对。

  合规风险来源多样，种类繁多，一般来说，企业越大，经营范围越广，合规风险越多。合规风险有：企业自身的基本合规风险，企业经营过程中涉及多种风险;员工风险，员工职务行为、个人行为产生的各自风险;客户风险，客户人员、产品带来的风险;竞争对手风险，竞争对手的举报、投诉带来的风险;商业合作伙伴风险;政府关系风险，政府关系是双刃剑;产品风险;公司高管风险。

  合规风险触发原因，通过已发生的不合规的案例分析，我们认为导致不合规的直接原因为：

  1、当事人对法律法规、业务纪律认知不够，不懂法，不懂业务纪律继而导致不合规;

  2、企业规范合规风险的制度不适宜，当事人对业务制度学习不够，当事人对工作技能方法掌握不够，当事人所在业务领域绩效激励无针对性，导致其工作缺乏积极性;

  3、业务外部市场环境等方面的不可控因素;

  4、其他因素。

  合规管理就是要防患于未然、居安思危、思则有备。我们梳理合规管理要求，对照法律法规，监管要求、商业惯例、行业准则、道德规范等外部监管要求和企业内部规章制度，根据公司业务范围，识别各业务领域的合规管理要求。

  二、“业务风险致病、合规风险致命”，如何识别风险?

  合规风险识别，是指对企业内部合规风险存在或者发生的可能性以及合规风险产生的原因等进行分析判断，并通过收集和整理企业所有合规风险点形成合规风险列表，以便进一步对合规风险进行监测和控制等系统性活动。

  开展合规风险识别，应以业务部门为主，从发生的可能性及对企业、个人的影响，梳理识别本业务领域的合规风险发生的可能性、影响程度、潜在后果进行系统分析评估，并逐步形成合规风险库。

  合规风险识别常见方法：

  1、事件库法，根据以往发生的真实案例，通过检索或查询本企业或者本行业发生的真实案例进行梳理，发现本企业存在合规风险;

  2、审计监察意见梳理法，从本企业的审计监察部门以及巡视巡查中发现的问题，归纳本企业可能面临重大的合规风险;

  3、流程风险，通过对企业主要的经营管理活动中流程梳理，发现每一项经营活动中可能存在的合规风险;

  4、岗位分析，通过对企业岗位业务管理范围和工作职责的梳理，发现企业存在的合规风险;

  5、合规义务识别法，通过不同责任类型，不同领域的法条或者规范进行规范整理，如可以以民事责任、行政责任、刑事责任进行划分，识别不同责任体系下公司合规责任;通过流程涉及不同的法律领域进行法律梳理，发现不同领域内存在的合规风险;

  6、利益关联者分析，通过企业利益相关者的梳理，发现每一利益相关者的合规风险;

  7、溯源分析，通过对合规环境、违规等引发合规风险原因的识别，发现企业存在的合规风险;

  8、因果分析，通过对合规风险事件反生后承担责任的梳理，发现不同责任下企业存在的合规风险;

  9、测试法，通过问卷调查、前期评估，座谈会等方式对企业合规风险进行测试评估。

  合规风险现实存在，那么对合规风险管理来说，我们还需要明确管理清单，主要为：

  1、法律法规清单，企业在其经营范围内需要遵循的所有法律法规总和，以明确需要遵循的法律法规框架，该清单还需要及时更新;

  2、合规义务清单，明确企业所需遵守的具体合规义务，明确企业经营相关的底线;

  3、合规风险清单，违反合规义务可能带来的负面后果的具体情形，明确企业经营中可能发生的各项合规风险;

  4、岗位职责清单，企业各部门岗位需要履行的具体合规管理职责;

  5、流程管控清单，与企业的业务流程相结合，明确各业务节点涉及的责任部门、审查事项、管理措施等，实现合规入流程，各项管理措施与企业管理高度融合。

  业务部门及相关责任部门将合规风险梳理后，在实践中，我们还需要对合规风险进行评估，对风险等级根据起危害后果进行分级。一般来说可以分为三级，即一般风险，较大风险，严重风险，也有企业在实践中继续细分五级、六级或更多级别。结合企业自身情况，建立合规风险库，并及时更新。

  三、“病后求医，不如病前预防”，健立健全风险预警体系

  合规风险预警是指业务部门在工作中发现具有趋势性、典型性、普遍性合规风险或者可能产生较严重后果的合规风险时，向各有关部门发布合规预警的运行机制。企业应当及时建立预警机制;并做好风险动态监测，数据记录、数据处理和报警预报;发现合规风险后，应及时处理，消除风险。

  根据发现的合规风险，业务部门应当制定预防措施，并将预防措施书面报送合规管理部门。合规管理部门，赢建立合规时间报告及处置制度。根据违规事件级别，轻重缓急，分别处置。

  一般违规事件，建议由业务部门采取有效措施，及时处理，并通报合规管理部门。

  较大合规事件，建议业务部门应当立即向业务分管领导和合规管理负责人报告并通报合规管理部门，由业务部门主导，合规管理部门配合，及时采取应对措施，化解风险。

  重大合规事件，建议业务部门当立即向业务分管领导、合规管理负责人和合规管理委员会领导报告稿并通报合规管理部门。成立由业务主管部门牵头、合规管理负责人参与，业务部门主导，合规管理部门参加的处置工作小组，及时采取应对措施，最大限度化解风险，降低损失。

  特大合规事件，建议业务部门应当立即向业务分管领导，合规管理负责人及合规管理委员会报告并通报合规管理部门，由合规管理委员会主导处置事件。发生重大、特大合规事件时，建议及时向公司董事会报告相关情况。

  浅谈至此，总结如下：有效的合规管理，通过事前、事中防范，有效避免监管处罚及重大财务损失，减少违规纠错成本，减少大案要案、监管处罚等合规风险事件，控制负面舆情造成的不良影响，提升客户及社会公众的评价，树立企业良好的社会形象，帮助员工树立良好的工作意识，抑制违规冲动，改善员工的精神面貌，有效防范操作风险。让企业在可持续发展的道路上走的更稳更远。

(以上仅为作者观点，转载请注明出处)

魏旭兰 律师

  魏旭兰律师，中伦文德·长沙管委会副主任、合伙人，中伦文德·长沙合规专业委员会主任。中国致公党党员，湖南省涉案企业合规第三方监督评估机制专业人员库成员，长沙市律师协会刑事专业委员会委员，中南大学案例研究中心研究员，衡阳师范学院客座教授。

  魏旭兰律师执业以来，办理过上百件刑事案件。近年来主攻业务方向为刑事辩护，对黑社会性质组织犯罪、毒品犯罪、金融犯罪、职务犯罪等刑事辩护领域有一定研究。魏律师一直秉承“受人之托，忠人之事”的执业理念，勤勉敬业，在职业道德及执业纪律方面严于律己，务求最大限度地维护当事人的合法权益。

  孙彦 律师

  孙彦律师有10年上市公司从业经历，熟悉公司商业运营模式、熟悉股权投资，擅长企业法律咨询服务，解决经济纠纷、刑事辩护、公司刑事合规。参与办理重大经济纠纷、建设施工合同纠纷、股权纠纷等民商案件。协助办理多起经济类犯罪、涉黑涉恶等案件。

  孙彦律师办案细心，责任心强，一直秉承精益求精高效务实的执业理念、多角度多方案全面保障客户的合法权益，致力于为客户提供专业、高效、便捷的法律服务。