作者:陈芊伊实习律师
阅读提示:本文共计9233字,预计阅读时长为23分钟。
国务院国有资产监督管理委员会(简称国务院国资委)发布的《中央企业合规管理办法》(国务院国有资产监督管理委员会令第42号,简称《合规办法》)将于2022年10月1日起施行。《合规办法》的发布与实施反映了国家切实推动中央企业加强合规管理,依法合规经营的思想与决心。同时,《合规办法》规定“地方国有资产监督管理机构参照本办法,指导所出资企业加强合规管理工作”。2022年9月19日国务院国资委政策法规局负责人就《合规办法》答记者问时再次强调,国务院国资委将指导各省级国资委参照《合规办法》,积极推进所出资企业合规管理工作,加快提升国有企业依法合规经营管理整体水平。因此,《合规办法》对地方国有企业也具有极其重要的参照和指导意义。
为增加企业合规管理体系结构的合理性、企业合规管理制度的可操作性,《合规办法》在第四章明确细化了对中央企业合规管理运行机制的要求,提出建立合规风险识别评估预警机制、合规风险应对机制、合规审查机制、合规风险事件报告机制、违规问题整改机制、违规举报机制、违规行为追责问责机制、合规管理协同运作机制、合规管理体系有效性评价机制等。本文笔者将重点解读企业合规运行机制中合规风险识别评估预警机制建设在企业合规管理实务操作中的相关问题。
一、何种风险属于企业合规风险?
根据《合规办法》第二十条规定,中央企业在合规风险识别评估预警机制中应全面梳理经营管理活动中的合规风险。企业合规风险的全面梳理旨在对尚未发生的风险事项进行事先识别与预防,明确企业合规风险的定义与范围是合规风险识别与预防的重要前提。
(一)合规风险的含义
《合规办法》的发布使我国对企业合规的定义有了明确的法律规定。《合规办法》第三条规定,“本办法所称合规,是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。本办法所称合规风险,是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性”。根据定义来看,笔者认为深化认识企业合规风险重点在于明确企业经营中涉及的“规定”与发现企业违规的“行为”。应当注意的是,企业合规风险不应当包含与企业及员工行为合规性无关的风险,如市场自身风险、政治风险等。
(二)合规风险的范围
《合规办法》第十八条规定,中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,制定合规管理具体制度或者专项指南。《中央企业合规管理系列指南》(简称《合规指南》)从反商业贿赂、反垄断(经营者集中)、商业秘密保护、反垄断(垄断协议、滥用市场支配地位)、PPP、个人信息保护、商业伙伴、劳动用工、出口管制、国有企业母子公司管控(法人人格否认风险)、世界银行制裁应对,共11个方面提出合规风险及控制措施的指引及意见。《中央企业全面风险管理指引》(国资发改革〔2006〕108号,简称《风险管理指引》)第二章风险管理初始信息强调,风险管理初始信息的收集应当注重战略风险、财务风险、市场风险、运营风险、法律风险等方面。
诚然,不同行业、不同业务行为受到法律法规规制的程度不同,特殊行业领域存在的特殊法律规定导致不同行业领域内的企业合规风险范围存在差异。如建设工程领域主要通过《中华人民共和国建筑法》《建筑工程安全生产管理条例》等法律法规有关规定规制企业相关的经营行为,企业在合规风险识别时会对施工企业的相关资质多加考量。笔者认为企业合规风险范围的确定应当结合企业经营的领域与经营、业务的开展流程。在企业合规风险识别评估预警机制建立过程中,可以从普遍性企业合规风险与特定企业合规风险两方面对合规风险范围进行划分。前者是指,企业经营过程中普遍存在的合规风险,主要包括反垄断、反商业贿赂、劳动用工、税务管理、数据保护、商业秘密保护、商业伙伴、知识产权等。后者是指,从事于特殊行业领域或属于特殊类型的企业在经营过程中存在的合规风险,可能包括生态环保、安全生产、出口管制、国有企业母子公司管控(法人人格否认风险)、世界银行制裁等。
二、如何进行企业合规风险识别?
《合规指南》表示,风险识别是指企业查找各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险的过程。准确的企业合规风险识别是设置有效企业合规风险预警的重要基石。企业合规风险识别是指对企业内部、外部存在的合规风险、潜在的风险、风险来源以及风险产生的原因进行筛选、分析、判断,并通过梳理、加工获得的风险初始信息构建合规风险数据库,形成合规风险清单的过程。合规风险识别旨在形成“风险预警信息”,为风险预警制度提供设计方向与动力,推动企业进行准确高效地合规风险评估与预警。因此,明确企业合规风险识别路径至关重要,笔者认为企业合规风险识别的重点主要为以下两个方面:
(一)获取合规风险初始信息的途径
充分获取合规风险初始信息是形成风险预警信息的基础。通常情况下,企业通过“全面梳理经营管理活动中的合规风险”,总结、提炼具有“典型性、普遍性”的风险并进行识别和评估后才能形成“风险预警信息”。《风险管理指引》第十一条规定,“实施全面风险管理,企业应广泛、持续不断地收集与该企业风险和风险管理相关的内部、外部初始信息,包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位”。建立并定期更新风险数据库需要通过有效路径获取合规风险初始信息。鉴于此,笔者认为建立全面获取合规风险初始信息的有效途径至关重要。
1.完善本级企业合规管理部门的风险初始信息获取途径
(1)明确业务及其他职能部门的主动报告制度。根据《合规办法》第十三条规定,中央企业业务及职能部门承担合规管理主体责任,应当“开展合规风险识别评估,及时报告合规风险”;
(2)合规部门应通过内部日常履行合规审查职责对风险事项进行统计、分析;
(3)通过外部警示获取合规风险信息。企业可以根据相关的外部监管指令、市场风向和同行危机等信息获取与本单位工作相关的合规风险。
2.完善集团对所属企业的风险初始信息获取途径
中央企业一般均为集团化企业,企业集团通常系通过各级企业之间的资源整合、控股、参股、投资合作等方式进行板块业务之间的协同,打造市场竞争优势,推动效益最大化。根据《合规办法》第九条、第十二条等规定,中央企业应当指导和监督所属单位的合规管理工作。因此,集团不仅应当掌握、管理各企业的经营情况,更应当充分了解并重点关注所属企业的合规风险,发现各级企业合规风险点中的共性与特性,发挥集团统领作用,组织领导各级企业建设风险合规制度,提高各级企业风险管控决策的前瞻性。因此,笔者认为应当明确、优化集团对所属企业风险初始信息的获取途径。
(1)明确各级企业报告制度。集团可从各级企业汇报的合规风险报告中及时获取所属企业的合规风险初始信息,并且《合规办法》第二十八条规定,中央企业应当将合规管理作为法治建设重要内容,纳入对所属单位的考核评价。笔者认为集团可以将各级企业合规风险报告制度与对所属单位的考核评价机制相结合,以督促集团所属企业主动、及时报告企业存在的合规风险,推动风险报告制度的落实与执行。《合规办法》第二十五条规定,中央企业应当建立所属单位经营管理和员工履职违规行为记录制度,将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据。该机制具体运行过程中应当注意,集团不宜对下级企业直接处罚,对于责任人员的追责应通过各级企业的制度及流程,注意法人独立性,避免直接干预下级企业的决策。
(2)建立统一的信息化平台。《合规办法》第七条规定中央企业党委(党组)发挥把方向、管大局、促落实的领导作用,推动合规要求在本企业中得到严格遵循和落实。因此,笔者认为集团可加强统一信息化平台建设,通过建设的信息化平台主动了解各级企业经营过程中面临的合规风险,不断优化集团对所属企业风险初始信息的获取途径,切实落实集团各管理层级的领导、监督作用。如某央企在建立合同示范文本库,制定合同示范文本时,针对每份合同示范文本制定风险提示,并将其嵌入法律管理信息化系统之中,在供合同使用人及合同管理部门审核、签署合同使用的同时,也有助于协助合同管理部门充分关注和控制风险,更有利于集团掌握、了解各个企业经营过程中存在的合规风险。
(二)合规风险初始信息的梳理与加工
《风险管理指引》第十七条规定,“企业对收集的初始信息应进行必要的筛选、提炼、对比、分类、组合,以便进行风险评估”。诚然,企业获取的合规风险初始信息并非均具有警示与预防价值,企业合规管理部门应在获取风险初始信息的基础上,对风险初始信息进行全面梳理,筛选对本企业具有风险警示和风险预防价值的信息,形成风险预警信息、建立合规风险数据库,并根据企业经营中发生的相关事宜定期更新,这将有利于后续的合规风险评估。并且《合规指南》强调,企业应准确识别相关的内部风险和外部风险,故笔者认为实务中企业对于合规风险初始信息的处理应当从梳理与加工两个方面考量,其中对于风险初始信息的梳理可从内部与外部两方面着手。
1. 对合规风险初始信息的梳理
(1)从“具体”到“抽象”的内部风险信息梳理
《合规办法》第十三条规定,中央企业业务及职能部门应定期梳理重点岗位合规风险,组织或者配合开展违规问题调查。笔者认为,企业可以根据各个职能部门的报告、内部风险情况的调研、经营情况的分析、内部的专项检查、以及企业已发生的法律纠纷案件与合规风险事件等事项对合规风险初始信息进行梳理。在内部具体风险事项的基础上,总结、分析、提炼具有普遍性或典型性特征的合规风险预警信息。
(2)从“抽象”到“具体”的外部风险信息梳理
相关法律法规、监管政策以及市场环境政策的变化对企业合规管理制度建设具有重要的指引作用。笔者认为,在风险信息梳理过程中,除应当考量从企业自身经营过程中获得的合规风险信息,亦应当根据相关的外部监管指令、市场政策变化和同行业危机等信息梳理与本单位工作相关的合规风险。根据法律法规、监管政策与环境等变化,结合企业实际,分析可能对自身产生的影响,将抽象的外部规定具象化,形成与企业具体业务或事项有关的、具有普遍性或典型性特征的合规风险预警信息。
2.对合规风险初始信息的加工
《合规办法》第十三条规定,中央企业业务及职能部门在合规风险识别评估预警制度构建中承担合规管理主体责任,应当通过开展合规风险识别评估、编制风险清单等事项履行职责。故企业可以将从具体风险合规事宜中分析、提炼的具有普遍性与典型性特征的合规风险信息进行分类统计,并编制风险清单,便于企业后期高效、有序地开展合规风险识别与风险评估。
三、如何进行企业合规风险评估?
根据《风险管理指引》规定,“企业应对收集的风险管理初始信息和企业各项业务管理及其重要业务流程进行风险评估”。因此企业应在对合规风险初始信息梳理、加工、提炼、形成风险预警信息的基础上,通过某些估计或测定方法,计算合规风险引发法律责任、造成企业经济或者声誉损失以及其他负面影响的可能性、造成企业损失的大小以及对企业运营影响的程度。准确的合规风险评估为企业合规风险预警与防控制度提供可靠的构建依据。笔者认为企业合规风险评估应考虑以下三个方面:
(一)企业合规风险评估的步骤
根据《风险管理指引》规定,风险评估包括风险辨识、风险分析、风险评价三个步骤。风险辨识是指查找企业各业务单元、各项重要经营活动及其重要业务流程中有无风险,有哪些风险。风险分析是对辨识出的风险及其特征进行明确的定义描述,分析和描述风险发生可能性的高低、风险发生的条件。风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
应当注意的是,风险识别与风险辨识属于不同程序,风险辨识是风险评估的具体步骤之一,而风险识别是风险评估的前置程序。风险识别旨在收集企业存在或潜在的风险信息并加以梳理、分析、总结,从而形成风险预警信息,为企业合规风险评估提供风险清单。风险辨析旨在使企业通过风险清单或风险预警信息在经营活动及重要的业务流程中辨识是否存在合规风险。
(二)企业合规风险评估定级维度
《风险管理指引》明确提供了企业风险评估可采用的方式方法,即进行风险辨识、分析、评价时,应将定性与定量方法相结合。并且《风险管理指引》明确表示在进行风险定量评估时,应统一制定各风险的度量单位和风险度量模型,并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果与实际效果对比,据此对有关参数进行调整和改进。诚然,《风险管理指引》已为各个企业提供了多种风险评估的方式方法,但笔者认为对企业合规风险的定性定量评估可以作如下考量:
1. 合规风险的定性分析
企业合规风险发布的单位主体通常为集团或各级企业,故可根据发布合规风险的单位管理层级将合规风险分为集团级、二级公司级、三级公司级等。通常情况下集团级的合规风险为普遍性合规风险,即集团及所属企业在重要经营活动及其重要业务流程中普遍存在的合规风险。而各级企业级的合规风险大多为普遍性合规风险+特定合规风险,即各级企业在经营活动与业务流程中可能存在本企业特定的合规风险。笔者认为,根据此种方式进行定性分析,区分企业合规风险的特性与共性,将更有利于企业后续对合规风险的定量分析。
2. 合规风险的定量分析
不同类型的企业合规风险对企业运营的影响存在差异,对合规风险先“定性”分析后“定量”分析更有利于对不同类型的企业合规风险进行评估定级。笔者认为,对于合规风险的定量分析可以主要考虑合规风险对企业运营状态或经济状态等方面的影响程度,并将合规风险分为一般、较高、重大或黄、橙、红等级别。
关于影响程度的计算,司法实务中有研究者提出了经济损失预估法,即通过大量样本计算出某种类型的合规风险发生后导致的经济损失率,从而根据业务或管理事项全年执行结果涉及的金额,计算合规风险发生后企业产生经济损失的预估值。笔者认为该评估方法的优点在于可以直接根据合规风险发生导致的经济损失来判断合规风险级别,缺点在于合规风险种类过多、通过大量样本计算经济损失率的成本过高,但可以考虑适用该方法对普遍性企业合规风险进行评估定级。亦有研究者提出了合规风险系数法,即根据维度因素之间的传导关系,将某种类型合规风险对业务目标的影响、对合规目标的影响以及对应的业务管理事项发生频率等因素按照影响程度分为1(低)、2(中)、3(高)三个系数,对应的合规风险系数为几种维度系数的连乘积,再根据计算得出的合规风险系数将合规风险划分一般、较高、重大或黄、橙、红三个评级。笔者认为企业在风险评估时可以采用该种计算方式,优点在于多种维度系数的考量对于合规风险影响评估更全面、系统,缺点在于集团及各个企业之间维度系数选择标准难以统一。
应当注意的是,企业风险等级层数的设置应当适中,建议3-5级为宜,企业可借鉴部分央企的风险等级评价机制,如中国铁建股份有限公司设定特别重大风险、重大风险、较大风险、一般风险和其他风险5个风险等级;中国五冶集团有限公司设定“蓝、黄、橙、红、黑”五个预警等级。
(三)按照企业合规风险级别确定评估程序
在企业合规评估过程中程序的明确与实体评级制度的明确同样重要。《风险管理指引》第十九条规定,风险评估应由企业组织有关职能部门和业务单位实施,也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。鉴于,《合规办法》在《风险管理指引》已有的董事会、经理层、合规委员会、业务部门和监督部门4个组织层级的基础上新增了党委(党组)、新增首席合规官、专职合规管理人员和合规管理员,将组织层级调整为6个层级。笔者认为可以按照企业合规风险级别确定评估程序,即一般企业合规风险由各级企业合规管理部进行评估定级,较高企业合规风险由各级企业首席合规官对评估定级进行审批确认,重大企业合规风险由各级企业合规委员会对评估定级进行审批确认,以此有利于保证风险评估定级的准确性与权威性。
应当注意的是,同一类型的合规风险对不同类型的企业的影响亦存在差异,故针对集团发布的普遍性、典型性风险,各级企业可结合自身情况进行二次评估定级,“因企制宜”,在保证风险评估标准统一性的基础上充分尊重各单位的实际情况和自主权,避免“一刀切”式的风险评估定级。
四、企业合规风险预警应如何设置?
(一)合规风险预警制度的设置
合规风险预警信息的发布是企业重要的合规风险内控措施。关于风险预警制度的设置企业可作如下考量:
1.明确风险偏好和风险承受度
企业在完成合规风险识别评估后应根据不同业务特点统一确定风险偏好和风险承受度。《风险管理指引》表明,风险偏好和风险承受度是指企业应明确愿意承担哪些风险,并明确风险的最低限度和不能超过的最高限度。笔者认为,企业在明确风险偏好与风险承受度时应坚持风险与收益相平衡原则。《风险管理指引》第二十八条强调,企业要正确认识和把握风险与收益的平衡,防止和纠正忽视风险,片面追求收益而不讲条件、范围,认为风险越大、收益越高的观念和做法;同时,也要防止单纯为规避风险而放弃发展机遇。
2.确定风险的预警线
企业在对合规风险进行定性定量分析、明确企业风险偏好与风险承受度后,应当设置风险预警上限,并对超过合规风险预警上限的重大风险实施信息报警。
3.明确风险预警后采取的相应对策
企业应根据不同的风险预警制定相应的风险应对措施。在制定相应风险应对措施时,企业应明确风险管理成本的资金预算和控制风险的组织体系、人力资源、应对措施等总体安排,从而制定合理的、符合实际的、具有可操作性的风险应对措施。
4.定期对风险预警制度自查
面对实时修订、变化的相关法律法规、监管规定、行业准则、国际条约及规则等外部规则,企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际对其不断修订和完善。并且《风险管理指引》强调,在结合实际不断修订、完善风险预警制度时应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。
(二)建立合规风险数据库
合规数据库是合规风险预警信息筛选、发布的重要来源。《合规办法》第二十条规定,中央企业应当建立合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库。笔者认为,从狭义角度来看合规风险数据库应为企业合规风险信息的集合,而广义的合规风险数据库可以理解为企业合规风险信息形成过程中相关数据的集合。显然,建设广义的合规风险数据库更有利企业将合规风险识别、评估、预警阶段的所有数据汇总,有助于企业合规风险体系的建立与完善。笔者建议企业合规风险数据库在包含合规风险信息的基础上可以增加以下几个方面:
1.法律法规库
企业合规风险识别评估预警需要实时跟踪相关法律法规、监管规定、行业准则、国际条约及规则等外部规则修订及规则适用变化的情况,并对照企业自身的经营管理情况,分析外部规则变化可能给企业具体业务或事项造成的影响。如相关外部规则发生变化后,企业原本的合规行为可能存在违规的风险,则企业需按外部规则的变化补强相关合规措施、需按修订的规定修正相关合规风险措施及机制等,从而有助于企业实时更新风险预警信息。
2.企业规章制度库
企业规章制度是合规管理的基础,亦是风险预警信息发布的重要依据之一。企业依照规章制度经营管理,企业制度的合规性是企业首要的合规风险,制度不合规,合规管理无从谈起。故企业在实时关注外规变化的基础上,应定期更新内规。建立企业规章制度库,有助于企业“外规内化,下承上规”,保证风险预警信息准确性与可靠性。
3.内部风险事项案例库
对内部已(如最近三年或五年)发生的风险事项进行分析、总结,有助于企业在汇总风险预警信息时提炼具有普遍性、典型性的合规风险。
4.外部风险事项案例库
对其他央企、同行业典型性合规风险案例进行梳理、分析、总结,有助于企业对照公司自身情况提炼适于己用的合规风险信息。
五、企业风险预警制度的实施与跟踪管理
(一)合规风险预警制度的实施
《风险管理指引》 规定,“企业应定期总结和分析已制定的风险管理策略的有效性和合理性,结合实际不断修订和完善”。风险预警的设置应具有合理性与可操作性,避免企业合规风险运行机制的形式化、盲目化。一项风险事件发生可能有多种成因,但关键成因往往只有几种。企业可通过定期对关键风险指标变化的管理、更新,推动合规风险预警制度的实施。根据《风险管理指引》的规定,笔者认为具体操作步骤可以如下:
(二)合规风险预警跟踪管理
《风险管理指引》规定在重大风险预警制度中不仅要根据对重大风险持续监测的情况及时发布预警信息,制定应急预案,更应根据情况变化调整风险预警信息,调整风险控制措施。
关于合规风险预警跟踪管理,企业应建立合规风险动态监测、管理的制度和机制,明确风险等级调整与解除的条件以及程序,保证风险识别始终符合实际情况,风险控制措施始终具有针对性,科学利用和调配管理资源。如在合同合规风险管理过程中,若企业发现合同相对方合规状态发生变化,应立即重新评估和调整合同相对方合规风险等级,重新设定“合规风险预警信号”,采取要求合同相对方或相关方整改、出具书面承诺、提供有效担保、追究合同相对方违约责任、中止/终止合作等管控措施,将合同相对方的合规风险控制在可承受的范围内。应当注意的是,在原有合规风险事项消失后,企业应及时在风险预警系统中解除相应的风险预警,以避免产生无用、无效的合规风险预警。
总之,企业合规风险运行机制的明确设置有助于企业实现有效防控合规风险的目的,产生提高企业依法合规经营管理水平的效果,有利于进一步完善企业合规制度,增强企业合规制度的可操作性,完备性,各企业在建设、完善企业合规风险体系或制度时,应重视合规风险运行机制在合规风险体系中的地位与作用,并在企业实务中注重注合规风险运行机制的落实与实施。
【特别说明】
编者按:本文系本所企业合规法律服务团队就《中央企业合规管理办法》展开讨论系列专题的完结篇。本文重点解读企业合规运行机制中合规风险识别评估预警机制建设在企业合规管理实务操作中的相关问题,供各位参考。如能对地方国有资产监督管理机构及其出资的国家出资企业合规管理起到增益作用,我们将倍感荣幸与鼓舞。