【作者】陈瑞华(法学博士,北京大学法学院教授、博士生导师)
内容提要:合规管理是一种以风险为导向的管理活动。为开展有效的合规管理,需要建立一种科学的合规风险评估机制。合规风险评估应建立在准确界定合规风险领域的前提之下,确保企业发现合规风险所发生的法律适用领域,由此限定合规风险评估的基本范围。在此基础上,合规风险评估可以包括合规风险识别、分析和评价三个环节,企业在这些环节中需要完成合规风险点的确认、合规风险原因的揭示以及合规风险等级的划定等工作,并确定合规风险管理的优先顺序。企业运用合规风险评估的结果,可以根据成比例原则,建立一套有针对性的合规风险预防、监控和应对体系,达到有效控制合规风险、预防违法违规行为发生的管理目标。
关键词:合规风险评估;合规风险领域界定;合规风险识别;合规风险分析;合规风险评价
目次一、问题提出二、合规风险领域界定三、合规风险识别四、合规风险分析五、合规风险评价六、合规风险评估的可持续性七、以合规风险评估为基础的合规管理结语
一
问题提出
目前,对于企业合规的性质和功能问题的理解,存在两种不同的理论模式:一是以管理为导向的合规模式,二是以风险为导向的合规模式。前者通常盛行于企业的自主性合规管理之中,将合规界定为“企业遵从规则”,注重合规义务的全面梳理,追求实现全面覆盖企业员工、业务和流程的“全面依法依规经营目标”。后者则普遍存在于涉案企业的合规整改过程之中,将合规视为一种“合规风险控制体系”,强调根据企业所面临的合规风险来建立专项合规计划,以期实现一种有效预防、监控和应对合规风险的合规目标。
根据以管理为导向的模式,合规风险是指企业“违反合规义务”的可能性,一般分为两个构成要素:一是“违规可能性”,也就是企业内部发生违反各种规范行为的可能性,这种规范可以包括“外部法律法规”“内部规章制度”以及“道德伦理规范”;二是“损失可能性”,亦即企业因为上述违规行为受到外部制裁、处罚、经济损失、声誉损失以及其它各种不利后果的可能性。据此,合规风险被视为一种高于法律风险的企业风险。
再如,我国国务院国有资产管理委员会发布的《中央企业合规管理办法》,将合规管理视为一种“以有效防控合规风险为目的”的管理活动,要求中央企业业务和职能部门“开展合规风险识别评估,编制风险清单和应对预案”,“定期梳理重点岗位合规风险”,“及时报告合规风险”,要求合规管理部门“组织开展合规风险识别、预警和应对处置”。该文件还要求中央企业针对“反垄断”“反商业贿赂”“生态保护”“安全生产”“劳动用工”“税务管理”“数据保护”等重点领域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南。这一文件强调了合规风险识别和评估的重要性,也向企业提出了确定“重点合规风险领域”的要求,这是难能可贵的。但是,对于合规风险评估和识别的方式方法,特别是合规风险领域确定与合规风险评估的关系,却没有作出具体的说明。
本文所提出并论证的主要观点是,企业合规风险评估是企业针对特定领域内可能发生的违法违规情况,考虑到这些情况可能给企业带来的处罚、制裁以及资格剥夺等重大不利后果,对合规风险作出识别、分析和评价的活动;在企业开展合规风险评估之前,应首先进行“合规风险领域界定”工作,也就是对企业存在合规风险的专门法律领域作出准确的确认,这是企业建立专项合规计划的基础,也是有效开展合规风险评估的前提;在准确界定合规风险领域的前提下,企业可以将合规评估工作分解为“风险识别”“风险分析”和“风险评价”三个基本环节,以便找出企业所面临的“合规风险点”,揭示企业发生合规风险的“内生性结构原因”,并对企业各种合规风险作出等级划分,设定合规风险管理的优先顺序。根据上述合规风险评估的结果,企业所开展的合规风险管理和控制,就有可能实现有效预防、监控和应对合规风险的目标。
二
合规风险领域界定
实践经验表明,企业的违法违规行为通常都发生在特定的领域之中。企业在实施“违法违规行为”的同时,也触犯了特定领域的法律法规。例如,企业违反国家反垄断法律所实施的行为,通常被称为“垄断行为”;企业违反国家反洗钱法律所实施的行为,一般被视为“洗钱行为”;企业违反环境资源保护法律所实施的行为,被视为“环保违法行为”;企业违反国家网络安全、数据安全、个人信息保护等法律所实施的行为,被视为“网络数据违法行为”;企业违反国家税收征管领域法律所实施的行为,一般被称为“税收违法行为”,等等。企业只要有可能实施上述特定领域的违法违规行为,并具有受到各种处罚、制裁或资格剥夺的可能性,就都被认为存在特定领域的合规风险。
那么,究竟如何准确地进行合规风险领域界定活动呢?本文根据企业开展合规整改和自主性合规的不同场景,对此作出简要分析。
(一)合规整改
企业在发生违法违规行为后,一旦受到行政执法调查、刑事追诉或者国际金融机构的执法行动,就有可能与行政监管部门、司法机关或国际金融机构达成某种和解协议。根据这种协议,企业在满足特定要求的前提下,作出开展合规整改的承诺,在通过合规监督考察验收后,可以换取行政监管部门、司法机关或国际金融机构的宽大处理。在涉案企业开展合规整改的场景中,应当如何界定合规风险领域呢?
原则上,企业违法违规行为的发生,意味着企业合规风险的爆发,也就是企业实际上发生了违法违规行为,因此受到行政处罚、刑事追究或国际金融制裁的可能性大大增加。在行政监管部门、司法机关或国际金融机构的监管下,涉案企业会根据自身违法违规的类型,来确立合规风险领域,并进而建立或完善特定的专项合规计划。例如,2021年以来,阿里巴巴、美团、扬子江药业等诸多企业,都曾因违反国家反垄断法而面临国家市场监管部门的执法调查。这些企业将其合规风险确定为“违反反垄断法的合规风险”,并据此将建立反垄断合规计划作为其合规整改的目标。又如,深圳某公司因为涉嫌实施走私普通货物的犯罪行为,先后接受深圳公安机关的侦查和检察机关的审查起诉。在检察机关启动合规监督考察程序后,该企业将“走私”确立为合规风险领域,并将建立进出口合规计划确立为合规整改的专项领域。再如,湖南某建工集团曾因在申请贷款的招投标过程中存在欺诈行为,受到世界银行的执法调查,并被作出附解除条件的停止参与招投标资格的制裁。该企业在与世界银行达成和解协议后,将“违反诚信行为”列为合规风险领域,并将建立“诚信合规计划”作为专项合规整改的领域。
从有效合规整改的角度看,涉案企业应严格限定合规风险领域,将相应的专项合规计划的建立和执行,作为合规整改工作的重中之重。考虑到涉案企业开展合规整改受到考察期限的严格限制,企业能够投入的合规管理资源也十分有限,也面临着来自行政部门、司法机关或国际金融机构的合规整改压力,因此,涉案企业在合规整改中只能按照两个步骤确定合规风险领域:一是将企业已经实施的违法违规行为作为合规风险领域;二是将企业可能实施的同一领域的类似违法违规行为作为合规风险领域。超出上述范围的违法违规可能性,通常不被列为涉案企业的合规风险领域。
(二)自主性合规
相对于合规整改而言,那些开展自主性合规的企业,在界定合规风险领域时就面临更大困难。这种企业通常并没有发生违法违规行为,也没有接受行政部门、司法机关或国际金融机构的执法调查,更不存在受到各种处罚、制裁或资格剥夺的现实可能性。它们要么因为行政监管部门、行业协会提出了建立合规管理体系的监管要求,要么出于增强商业竞争优势的考虑,而自行开展了合规管理体系建设活动。
通常情况下,企业建立合规管理体系的时机,都不是在企业成立之初,而是在生产经营过程中发现自身存在重大合规风险之后。企业之所以要建立合规管理体系,主要是因为发现自身的生产经营活动存在两方面的可能性:一是存在发生特定违法违规行为的可能性;二是存在受到行政处罚、刑事追究或国际金融制裁的可能性。企业只要对上述两种可能性有所觉察,并作出科学理性的评估,就有可能确定自身的合规风险领域。从企业合规管理的实践来看,企业可以从三个视角来发现自身的合规风险领域:一是内部视角,二是外部视角,三是比较视角。
所谓“内部视角”,是指企业通过对自身经营活动所存在风险的调查,发现那些可能发生合规风险的领域。传统上,企业可以根据自身的业务范围、行业特点、经营情况等来确定合规风险领域。但这种做法往往会造成风险领域设定过于宽泛,无法找到企业特有的风险领域。实践中,一些企业在考虑上述因素的同时,还会对企业的风险领域进行专项调查。这种调查通常可以通过以下方式展开:通过员工访谈,发现可能存在的风险事项;通过对商业交易记录、合同、发票等材料的审核,发现可能存在违法违规的业务环节;通过对既往发生违法违规行为和接受执法调查事项的调查,发现历史上曾经发生过合规风险的领域;通过对企业涉及诉讼的案例情况的调查,发现企业在遵从法律法规方面的薄弱环节。例如,西门子公司通过风险调查活动,在商业贿赂合规风险之外,又找到了三种合规风险领域。中兴公司通过风险调查活动,在进出口管制合规风险之外,又找到了商业贿赂、数据保护这两大合规风险领域。
三
合规风险识别
所谓合规风险识别,是指企业在界定合规风险领域的前提下,对自身所存在的合规风险所进行的调查和确认活动。企业的合规风险有可能发生在各种不同的决策机制、管理环节、业务流程和工作岗位之中。两个企业即便在同一领域内存在合规风险,如同样在税收征管领域存在合规风险,那些存在风险的机制、环节、流程、岗位等也往往是各不相同的。一种科学有效的合规风险评估活动,应当首先对这些存在风险的机制、环节、流程、岗位等进行准确全面的识别,然后才谈得上对这些风险进行有效管控。这就如同医生的诊疗活动一样,合规风险识别就相当于医生对病情的诊断活动,在找到发生病情的身体部位之后,才能进行进一步的诊断和治疗活动。
由此可见,企业的商业贿赂行为可以发生在决策、管理、业务等各个环节。例如,企业法定代表人或实际控制人设立账外资金,开设“小金库”,为实施行贿提供了便利;企业公私不分,公款私用,或者高级管理人员利用私人账户实施不法行为;企业财务人员随意接受发票报销充账;企业的供应商、代理商、分销商或居间商以企业名义贿赂公务人员;企业的销售人员以行贿作为销售产品的手段,等等。
这种针对商业贿赂风险的识别,也可以适用于其他合规风险领域。通过合规风险识别,企业可以找到存在违法违规可能性的“合规风险点”。这些“合规风险点”可以表现为具体的“风险机制”“风险环节”“风险流程”“风险岗位”“风险人员”,企业据此可以形成专门的“合规风险清单”。例如,企业的董事会、监事会、执行团队、实际控制人实施违规行为,这种发生在决策过程中的合规风险点,就属于“合规风险机制”。又如,企业在发票管理、合同管理、财务报销、宴请、礼品、捐赠等管理环节存在纵容违法违规行为的情况,这些合规风险点就属于“合规风险环节”。再如,企业在招投标、进出口、采购、销售、污染物处置等业务流程上存在违法违规行为,这些合规风险点就属于“合规风险流程”。还有,那些在企业特定岗位从事决策、管理和经营的人员,如法定代表人、实际控制人、高管、财务人员、生产人员、销售人员、招投标负责人员、污染物处置人员、分支机构负责人等,由于存在不同程度的合规风险,就可能属于处于“合规风险岗位”的“合规风险人员”。
那么,究竟如何准确全面地识别企业的合规风险点呢?在这方面,很多企业都有一些较为成熟的经验,但也存在一些原则性的分歧。其中,争议的核心问题主要有两个方面:一是在合规整改与自主性合规中,合规风险识别究竟有何区别?二是合规风险识别与合规义务梳理具有何种关系?要解决这两个问题,需要区分合规整改与自主性合规这两个场景,根据企业合规实践经验,提出可行的合规风险识别思路。
在合规整改过程中,涉案企业通常会开展内部调查,向监督考察部门提交企业自查报告。该项报告需要对企业所发生的违法违规情况展开调查,查明发生违规行为的具体管理和业务环节,找出实施违法行为的主管人员和其他责任人员。例如,在发生虚开增值税发票案件中,涉案企业可能存在多方面的“合规风险点”,例如实际控制人独断专行,存在“票货分离”的经营模式,没有入库单和出库单,发票随意开具,合同虚构交易情况,居间商以高额回扣引诱,等等。在很多情况下,行政部门或侦查机关在执法调查或刑事侦查中,都会对案件事实作出一定的调查,查明涉案企业的基本行政违法事实或犯罪事实。这种记录行政执法或刑事侦查活动的案卷,也会对涉案企业已经存在的合规风险点作出一定程度的揭示。
为确保识别出那些具象的合规风险点,企业在对某一领域的合规义务作出梳理之后,应当对合规义务作出必要的分类:将那些不遵守即可能带来严重不利后果的强制性义务,作为合规风险识别的重中之重;将那些即便不遵守也只会带来轻微后果的强制性合规义务,作为合规风险识别的次要义务。至于那些企业即便不能遵守也不会带来任何制裁或处罚后果的自愿性合规义务,企业通常不必作为合规风险识别的根据。
根据诸多企业开展合规管理的实践经验,合规风险识别通常可以采用以下基本方法:一是调研访谈法,也就是通过对各部门负责人和关键岗位员工的个别访谈,来发现合规风险点的方法;二是问卷调查法,通过向高管、员工、分支机构人员、客户、第三方合作伙伴等发放问卷,根据所填写问卷的内容来梳理合规风险点;三是案例梳理法,也就是通过收集本企业历史上发生过的违法违规案例来找到合规风险点的方法,包括分析本企业可能面临的诉讼、行政处罚等风险及其产生原因,整理出法律风险事件与具体行为;四是飞行检查法,也就是在药品、食品、医疗器械等监管领域,由监管部门或上级母公司实施的随机性抽查方法,据此发现企业的决策管理环节、业务流程、关键岗位、重点人员是否存在违法违规的可能性。
四
合规风险分析
在准确识别出合规风险之后,企业的合规风险评估就进入“合规风险分析”阶段。所谓合规风险分析,是指企业对识别出来的合规风险进行因果关系分析,找到合规风险的主要成因,并对各种成因所造成的危害后果进行科学的分析。在这方面,很多开展过合规整改的涉案企业都已经具有了较为成熟的经验。开展自主性合规的企业,可进行适当的借鉴和参考。
原则上,企业因为违法违规行为而接受行政执法调查、刑事追诉或者国际金融机构的执法行动之后,为避免遭受重大损失,往往会努力与后者达成以合规整改换取宽大处理的和解协议。这种协议达成后,涉案企业通常需要开展合规内部调查,提交相应的自查报告,揭示违法违规行为发生的“内生性结构原因”。与企业发生违法行为的外部诱因不同,这种“内生性结构原因”,一般是指企业在决策、经营、财务、业务等各种管理流程上存在结构性的缺陷,并直接或者间接地造成各种合规风险的发生。考虑到涉案企业的合规整改工作,通常是在行政监管部门、司法机关或国际金融机构的监督考察下展开的,因此,这些企业唯有准确全面地诊断出合规风险的结构性成因,据此进行有针对性的合规纠错和体系化的合规构建,才能通过上述机构或部门的合规评估验收。
在涉案企业的合规整改过程中,行政部门、司法机关或国际金融机构通常会责令企业承担各种带有惩罚性的义务,对其合规整改施加强大的压力,企业唯有进行实质性的整改,才能通过合规考察,获得较为宽大的处理。正因为如此,涉案企业往往能够通过全面的内部调查,揭示出自身违规行为的结构性成因,这有助于企业合规风险分析工作的有效展开。
在企业开展自主性合规的场景下,在没有行政部门、司法机关或国际金融机构外部监督考察的情况下,企业究竟应如何开展合规风险分析工作呢?
按照主流的合规管理理论,企业需要区分“合规风险源”与“合规风险情形”,后者相当于本文前述的“合规风险点”,前者则属于“潜在引起风险发生的单个或多个叠加的因素”。进行合规风险评估,除了要准确识别企业存在合规风险的管理环节和业务流程之外,还要深入探索容易促成这些风险发生的风险源头或制约因素,并制作合规风险源清单。按照一些合规管理专业人士的经验,根据众多企业所发生的违规案例的数据分析,可以总结出一种“合规风险源识别法”,也就是围绕着企业岗位职责内容,按照岗位关键权力,识别出企业内部各岗位人员所掌握的权力和权力情况,并将其作为企业的合规风险源。具体而言,各类企业在生产经营中凡是需要行使审批权、市场客服与销售权、人事权、采购权、放行权、计量权、财务资金权和拥有关键信息权等权力的场合,都属于企业的合规风险源。当然,某一部门或人员行使这些权力本身,只是造成合规风险发生的条件之一。这些部门或人员在行使这些权力过程中,只要存在不良的动机,再加上出现适当时机,就有可能导致不合规行为的发生。也即“权力+不良动机+业务机会=不合规行为的发生”。
这种“合规风险源识别理论”的提出,不仅提供了一种合规风险识别的方法,而且对于揭示合规风险的成因具有较大的参考价值。与合规整改相比,企业在自主性合规场景下开展合规风险分析活动,具有一定的局限性,也就是很难根据违法违规行为的形态和类型,来探究企业发生违规事件的“内生性结构原因”。既然违法违规事件并没有发生,那又何来因果关系追溯呢?合规理论研究者在识别具体合规风险点后,提出了上述“合规风险源识别法”,试图从企业内部权力行使和分布的角度,揭示合规风险发生的根源,从而找到企业发生合规风险的结构性原因。这显然是一种有益的理论探索。
由此,那些开展自主性合规的企业,要建立有效的合规管理体系,在探索所谓的“合规风险源识别”过程中,还可以借鉴涉案企业合规整改的经验,通过开展合规内部调查,从治理结构、管理制度、业务流程、商业模式等不同方面,找到发生合规风险的结构性原因。唯有发现这些结构性原因,企业才能进行有针对性的合规制度纠错,消除上述导致违法违规事件发生的制度因素,从根本上消除违法违规事件在同一领域中再次发生的可能性。这是走向有效合规管理的必由之路。
五
合规风险评价
针对某一领域的合规风险,企业在开展风险识别和合规风险分析之后,需要对这些合规风险作出定性或定量的评价。所谓“合规风险评价”,是合规风险评估的最后步骤,是指企业根据风险识别和风险分析的结果,从合规风险发生的可能性以及合规风险出现不良后果的概率等方面所作的综合评判。通常在经过风险识别和风险分析活动后,企业会发现即使在同一领域中也会同时存在若干不同的合规风险。例如,在反商业贿赂领域,企业可能会在决策、人事、财务、采购、销售、宴请、礼品、旅行、捐赠等多个环节存在合规风险,甚至存在“关键风险点”。那么,究竟如何对不同的合规风险作出定性或定量的评价呢?这就是合规风险评价机制所要完成的工作。
在实践中,合规风险评价通常是运用比较方法来完成的。具体而言,企业应对多种合规风险进行整合比对,既可以运用定性分析的方法,找出“关键合规风险点”,采取优先管控措施,也可以为不同风险设定不同的数量化分值,划分出不同合规风险的等级,并由此确定合规风险管控的优先顺序。
在上述定性方法之外,企业还可以运用数量化的合规风险分析方法。通常,企业合规风险可以从两个维度进行量化评价:一是确定合规风险发生的“概率”,即如果不采取任何合规管理措施,企业发生这种违法违规的情况具有多大程度的可能性?二是不合规可能带来的“影响”,也就是假如发生了上述违法违规行为,企业可能会受到哪些直接或间接的影响,会遭受哪些方面的损失?
企业通过对上述两个维度的评价,就可以作出适当的量化分析:一是根据合规风险发生的概率,将其区分为100%、75%、50%、25%和0%的风险概率;二是根据合规风险对企业业务目标可能造成的影响后果,将不同合规风险设定为“灾难性风险”“非常严重的风险”“严重风险”“重要风险”“轻微风险”。
通过上述合规风险等级的量化分析,企业一方面可以对不同合规风险的管控设定有数据支持的优先顺序,另一方面也可以根据不同等级的合规风险投入与之相适应的合规管理资源。原则上,企业应对一切不合规行为采取零容忍的态度,并将其纳入合规风险管控的对象,即便对那些处于较低等级的合规风险,也应采取预防、监控和应对措施。但是,为了对那些发生概率较高、造成危害后果较大的合规风险作出有效的管控,避免企业遭受灾难性的损失,企业应将主要精力和资源优先投入到对高合规风险的管控上面,并最终扩展到全部合规风险的管理。
六
合规风险评估的可持续性
在界定合规风险领域的基础上,企业完成了上述合规风险评估活动,是否就可以一劳永逸了呢?答案是否定的。考虑到合规风险处于不断的发展变化之中,企业对合规风险的评估也应保持适当的连续性,以便对合规风险的变化情况加以识别,对发生这些变化的原因予以揭示,并对合规风险重新作出等级划分,调整合规风险控制的优先顺序。
在企业合规管理实践中,合规风险的变化一般体现在两个方面:一是外部监管环境的改变;二是内部经营活动的变化。
首先,企业的外部监管环境处于不断的变化之中,可能带来企业风险的改变。这种环境变化主要包括以下几个情况(类型):一是新的法律法规的实施,给企业合规管理提出诸多新的合规义务;二是原有法律法规的修订,使企业违规行为面临受到更严厉处罚的可能性;三是国际贸易、金融、经营环境的变化,使企业在参与海外经营方面面临更为严格的监管要求,增加了受到贸易制裁的风险;四是政府部门对特定行业、业务或经营活动加大监管要求,增加了执法调查的频次,加大了执法力度,使企业面临着受到严厉行政处罚的可能性,等等。
其次,企业自身治理结构、业务、产品、客户、商业活动的变化,也会带来诸多新的合规风险。这种变化可以表现在以下几个方面:一是企业开展了一种新的业务,或者对某一新产品进行了立项,或者在某一地方或某一海外地区设置了分支机构,使企业出现新的合规风险点;二是企业治理结构、组织架构或发展战略发生重大改变,如公司成功上市、组建了董事会、聘任了新的管理团队等,可能使企业在决策领域出现新的风险源;三是企业发展出新的客户,签约了新的供应商、代理商、经销商、居间商等第三方商业伙伴,或者从事重大并购活动,这给企业带来新的合规风险;四是企业出现了一些违法违规行为,或者接受了行政部门的执法调查,司法机关的刑事追诉,或者国际金融机构的执法行动,暴露出自身在合规风险管控方面的重大漏洞和缺陷,等等。
正是因为企业在外部监管环境和内部经营活动方面有可能出现上述各种新的合规风险,因此,要实现有效的合规管理,就需要对合规风险进行持续不断的评估活动。在合规管理实践中,这种持续性风险评估可分为两种方式:一是定期的风险评估;二是临时的风险评估。
这种概括尽管不一定适用于所有企业,也不一定适用于同一企业的所有经营场景,却可以为企业开展临时性风险评估提供一种可行的思路。企业发生的紧急事件一般分为两种类型:一是外部合规事件,二是内部合规事件。前者主要是指企业的外部监管环境发生了变化,后者则是指企业的内部经营活动出现了改变。只不过,这种变化和改变来得比较突然,企业来不及通过定期风险评估来加强合规管理。其中,对企业影响最大的突发性事件,应当是企业发生了危机事件,也就是行政部门针对本企业启动了执法调查,司法机关启动了刑事追诉程序或是国际金融机构开始了执法行动。这种突发性事件一旦发生,企业既不应采取被动应对的态度,也不应实施任何违规应对的行为,而应建立并实施一种“危机应对计划”,将临时性风险评估作为危机应对的具体举措。根据有效合规管理的基本要求,企业不仅应建立并运行针对合规风险的防范流程和监控流程,还应针对违法违规事件确立有效的“应对机制”。针对违法违规事件的临时性风险评估,就是这种应对机制的一部分。在此情况下,临时性的合规风险评估,就可以将作为应对机制的“合规内部调查”“反舞弊调查”纳入其中了。
经验表明,任何企业即便建立了较为完善的合规机制,都难以彻底避免发生违法违规行为的风险。有效的合规计划要求企业针对企业的经营情况和所面临的外部环境,进行定期的和临时的合规风险评估,以便对原有的合规政策和程序作出及时的完善和改进。合规风险评估的根本目的,还在于通过持续不断地识别、分析和评价合规风险,适时更新企业的专项合规政策、标准和流程,使其在管控合规风险方面具有更大的针对性和有效性,从而保证合规管理体系与时俱进,在防范合规风险、监控合规管理和应对违规事件等方面发挥可持续的效力。
七
以合规风险评估为基础的合规管理
合规风险评估是企业开展合规管理的一项基础性工作。在企业合规理论和实践中,企业的合规管理甚至直接被称为“合规风险管理”或“合规风险管控”。根据以风险为导向的基本理念,按照所界定、识别和评定出来的合规风险,企业可以设定合规管理的基本目标,贯彻成比例或相称性的原则,建立或完善合规管理体系,并对合规管理的有效性作出科学的评价。据此,可对合规风险评估与合规管理的关系作简要总结。
其一,作为合规风险评估前提的风险领域界定,可以为专项合规计划的确立奠定基础。原则上,企业一旦发现了存在合规风险的法律领域,就应针对这一领域建立相对应的专项合规计划。所谓专项合规计划,是指企业针对特定合规风险领域所建立的专门性合规管理体系。经过风险领域界定活动,企业如果确认在反商业贿赂、数据保护、反洗钱、知识产权保护、税收、进出口或者安全生产领域存在重大合规风险,就可以考虑据此建立相应的反商业贿赂合规计划、数据保护合规计划、反洗钱合规计划、知识产权保护合规计划、税收合规计划、进出口合规计划或者安全生产合规计划。不过,考虑到企业所能投入的合规管理资源的有限性,也基于有效管控合规风险的考虑,企业对专项合规计划的确定,一般都应遵循缓步推进的原则,先将可能带来重大损失的合规风险领域作为合规管理的优选选择,然后再根据合规风险评估的结果,逐步扩大专项合规管理的范围。
其三,针对合规风险评估结果,企业可以贯彻相称性原则,根据所识别的风险点和所评定的合规等级,来确定合规风险管控的优先顺序,确定所要投入的合规管理资源,确定合规领导和组织机构,确定合规管理的制度体系。例如,如果经过风险评估,企业发现自身治理结构的缺陷和财务管理流程的漏洞在各种合规风险中居于较高的风险级别,就可以考虑将完善治理结构和改进财务管理作为合规管理的优先事项,加强董事会的监督制约作用,弱化法定代表人、实际控制人或其他高管的财务审批权限,强化企业法人人格的独立性,废止“设立账外资金”或“小金库”的做法,加强对公司账目的内部和外部审计,激活针对财务管理的合规性审查机制,等等。
其四,根据合规风险评估结果,企业应确立合规管理的两个步骤,也就是有针对性的制度纠错和体系化的制度构建。企业无效合规的表现之一,就是不考虑合规风险的具体情况,热衷于合规计划的搭建和规章制度的发布。为避免这种“纸面合规”和形式化合规的情况发生,企业应围绕着合规风险评估结果,采取有针对性的合规管控措施:一是针对合规风险分析的结果,采取必要措施,将那些造成合规风险发生的结构性原因逐一加以消除,如消除治理结构的缺陷,堵塞合规管理的漏洞,消除业务流程的隐患,实现经营方式和商业模式的“去违法化”或“去犯罪化”。二是针对合规风险评定的结果,搭建与合规风险相适应的专项合规管理体系,引入包括事先防范、事中监控和事后应对在内的合规风险控制体系,确保企业在建立基础性合规管理平台的基础上,搭建必要的专门性合规管理要素。
其五,企业应针对企业合规风险评估结果,开展合规计划有效性的评价活动,围绕着合规计划制定的有效性、合规计划执行的有效性以及合规计划结果的有效性,来展开合规管理有效性的评估。所谓“合规计划制定的有效性”,是指企业针对其所识别、分析和评定的合规风险,制定有针对性的制度纠错方案,承诺建立体系化的管理制度。所谓“合规计划执行的有效性”,是指企业所承诺的制度纠错和体系搭建,都得到了落实和运行,包括合规风险管控措施被嵌入企业的决策、经营、业务、管理等各个工作流程之中;企业原来发生合规风险的业务活动,得到了及时的合规性审查;企业发生违法违规行为的业务或经营活动,被及时否决或终止;那些实施违法违规行为的员工、管理人员、分支机构人员、第三方合作伙伴等,受到了及时的纪律惩戒。所谓“合规计划结果的有效性”,则是指企业原来存在的合规风险得到了有效管理和控制,实现了事先预防、事中监控和事后补救的合规管理目标。
结语
合规管理是一种以风险为导向的管理活动。为开展有效的合规管理,需要建立一种科学的合规风险评估机制。合规风险评估应建立在合规风险领域界定的前提之下,确保企业首先发现合规风险所发生的法律适用领域,由此限定合规风险评估的基本范围。在此基础上,合规风险评估可以包括合规风险识别、分析和评价等三个基本环节,企业在这些环节上完成合规风险点的确认、合规风险原因的揭示以及合规风险等级的划定等工作,并科学地确定合规风险管理的优先顺序。企业运用合规风险评估的结果,可以贯彻成比例原则,建立一套基于合规风险的风险预防、监控和应对体系,达到有效控制合规风险、防范违法违规行为发生的合规管理目标。
合规风险评估是一项实践性很强的管理活动。企业在这管理过程中创造了诸多有价值的风险管控经验。未来,企业合规理论研究者可以分析这些管理经验,对其进行“去粗取精”“去伪存真”的工作,将其中具有规律性的经验进行理论上的提炼和总结,从而提出具有生命力的合规管理理论。无论如何,企业风险与决策风险、经营风险和财务风险一样,都属于企业不得不投入充足资源加以管控的战略风险。而合规管理也属于企业内部的三大战略风险控制活动之一,为开展有效的合规管理,企业需要从涉案企业合规整改中总结合规风险评估的经验,并将其适用到企业自主性合规管理之中,以提高合规风险评估的科学性和准确性。