文 | 郭青紅 匯業律師事務所 合夥人

合規風險管理是企業合規管理的核心，貫穿企業合規管理的始終，涉及專業方法的使用和具體操作流程。本文只做簡要介紹，拋磚引玉。

合規風險是企業風險的一種，是指企業合規義務的不合規發生的可能性和後果（我國《合規管理體系指南》（GB/T 35770-2017）第2.12條），是企業違反合規規範可能導致的制裁、處罰、財產損失和聲譽損失風險。

按照我國國資委2006年6月6日《中央企業全面風險管理指引》第五條，風險管理的基本流程包括收集風險管理初始信息、進行風險評估、制定風險管理策略、提出和實施風險管理解決方案、風險管理的監督與改進。我國《合規管理體系指南》沒有集中規定企業合規風險的管理流程，而將合規風險的識別、分析和評價、應對等分列於第3.6條和第5.1條。

根據我國《合規管理體系指南》和《中央企業全面風險管理指引》，結合歐美跨國企業集團的合規風險管理實踐，我們將企業合規風險管理流程歸納為合規風險識別、合規風險分析評價、合規風險應對、合規風險監測和持續改進。

一、合規風險識別

合規風險識別是發現、收集、確認、描述合規風險以及整理和儲存合規風險信息的過程，包括對風險根源、風險成因、風險事件及潛在後果的識別。合規風險識別是合規風險管理的首要步驟、前提和基礎。

企業需要對適用的各項合規規範進行收集和整理，根據合規規範對企業經營管理的各個領域進行合規風險排查，甄別、收集、確認和描述合規風險點，根據涉及的合規規範與合規風險發生的業務領域進行分類和整理，製作矩陣合規風險清單，並上傳和儲存到企業合規管理信息系統。

合規風險識別，需要關注行業監管部門的監管重點及發佈的違規案例，同類企業、本企業過去識別和發生的合規問題及違規案例，內部審計發現的合規風險事件，業務部門發現的合規風險問題，員工舉報的違規情況等。這些都是發現和識別合規風險的重要來源。

合規風險識別包括：

1.全面性合規風險識別。企業在下列情況下，需要對企業經營管理的各個領域開展全面的、徹底的合規風險識別：企業新設；企業合規風險發生頻率高且涉及不同業務領域或者多個業務部門和專業職能部門；企業投資併購其它企業（尤其是投資併購境外企業）而對目標企業進行全面性合規風險識別；企業合併；企業改制、重組；企業上市；等等。

2.專項合規風險識別，即根據合規管理計劃，或者在外部環境或者內部環境發生變化時，對企業經營管理的某一領域、某一經營項目或活動，或者對某一業務部門或者專業職能部門，開展專門的合規風險識別。企業在發生下列情況時，須開展專項合規風險識別：戰略調整，組織機構改變，引入新的或者擴展產品業務領域，開拓新的市場（尤其是境外市場），合規規範被修改或廢止或者頒行新的合規規範，頒行新的合規管理制度或業務合規流程，出現重大不合規情況等。

二、合規風險分析和評價

根據我國《合規管理體系指南》第3.6條，合規風險分析和評價是企業通過分析不合規的原因、來源、後果的嚴重程度、不合規及其後果發生的可能性進行分析和研究，並對合規風險等級與企業能夠並願意接受的合規風險水平進行分析和評估。

對企業風險進行分析評價的方法和模型很多。就企業合規風險而言，我們推薦使用RPN（Risk Priority Number）的SOD風險係數評估法，從風險的嚴重程度（Severity）、發生的可能性和頻率（Occurrence）以及可探測度（Detection，即根據企業現有規章制度識別和監測到合規風險的可能性）三個方面對風險進行評估和打分，確定合規風險係數的高低。每一方面分為1到10個等級。一般來說，如果一個合規風險的嚴重程度高於8分，或者RPN三個方面的得分乘積高於100，就說明其風險係數很高，系重大合規風險。

合規風險分析和評價，需要基於合規風險清單，對企業各合規風險做充分的調查研究，掌握大量、準確的數據和資料，並在此基礎上對每一合規風險進行評估。完成合規風險分析和評價，須按合規風險係數等級對合規風險進行整理、排序，對重大合規風險進行專項研究和分析，釐清合規管理缺陷，製作合規風險評估報告。

三、合規風險應對

根據合規風險分析與評價結果，確定風險應對措施和解決方案，制定風險應對措施清單並落實執行。

風險應對措施包括（但不限於）：制定和執行整改及防控目標和計劃；制定、修改和完善企業內部合規規範；與存在重大合規風險的部門管理層商談，明確合規風險應對措施和職責，納入績效考核指標；對相關業務模式、業務流程進行整改和完善；開展專項合規培訓與合規活動；嚴格問責，對違規行為進行違規調查和處置；等等。

對於重大合規風險，須對應對措施的啟動、執行及效果進行持續跟蹤與監督，直至合規風險消除。如果風險應對措施執行不力或者效果不佳，需要及時預警與核查，提出合規風險應對改進建議，加強合規應對力度。

四、合規風險監測

合規風險監測是運用風險監測方法，對監測領域的合規狀態及合規風險的形成進行動態監督和測試，提供風險預警，並對合規風險的防控的改進提供基礎信息依據。

合規風險的監測領域，在橫向方面可以是某一管理領域（如公司治理、勞動管理、網絡安全管理）或者某一業務領域（如採購、營銷、產品開發、物流）；在縱向方面可以是某一外部合規規範（如適用的法律、行業監管規則等）的遵守，或者企業某一內部規章制度（如管理制度、業務流程）的執行等。

實施合規風險監測，需要確定監測領域和監測重點，制定監測計劃（如監測頻率、監測期限等），設計監測指標，組成監測小組並明確職責分工，製作監測報告。

通常將合規風險監測級別劃分為正常、關注、特別關注、風險預警與風險形成等五個級別，並用不同顏色標示（通常將預警級別標示為橙色，將風險形成標示為紅色）。如果形成合規風險（尤其是重大合規風險），則需要及時進行風險識別、分析和評價，並採取風險應對措施。

五、持續改進

合規風險管理是動態和持續的管理過程，絕非一蹴而就。企業在發展，合規管理的外部環境和內部環境不斷髮生變化，要求企業週而復始地、持續地進行合規風險管理。企業通過持續的合規風險管理，循環往復，使合規風險管理的各個環節形成有效的閉環，並不斷改進和提高合規管理水平，有效防控和應對合規風險，確保企業安全、穩定、持續經營。

六、合規風險信息管理

企業合規風險信息管理，是企業合規管理信息系統的重要組成部分。通過企業合規管理信息系統，建立動態合規風險管理信息庫，實現對合規風險識別、分析評價、應對、監督、重大風險預警等的數據化和自動化管理。

七、合規風險管理流程的制度化

合規風險管理是企業合規管理的核心構成要素，有其特定的要求、方法和程序。企業合規管理負責部門須制定專門合規風險管理指南，指導企業的合規風險管理工作。合規風險管理要融入企業經營管理，也要融入企業各業務部門和專業職能部門的管理制度和業務流程。

合規風險是企業風險的一種，企業全面風險管理的方法和流程同樣適用於企業合規風險管理。如果企業已經制定了全面風險管理流程，合規風險管理流程可以在全面風險管理流程的基礎上，根據合規風險管理的特點和特殊要求，作適當的補充性規定。

八、後記

1.企業合規風險管理具有很強的專業性和技術性，企業合規管理負責部門需要加強學習和培訓，不斷提高自己的合規風險管理水平。企業開展合規風險管理工作，應深入各業務部門和專業職能部門，充分溝通協調，與其他管理工作緊密結合，把風險管理的各項要求融入企業管理和業務流程中。

2.合規風險管理閉環示意圖

閱讀更多 匯業法律觀察 的文章

關鍵字: 風險管理 網絡安全 財經