手把手教你做合规之三:企业合规风险评估
先给各位看官道一声对不住,这两天和春天有约,于是走马观花肆意狂放了一把,导致更新慢了些,还望各位海涵。
上回书讲到建立企业合规团队,今天咱们说点硬核内容——管理企业合规风险,因为既然人员已到位,就是时候开展点实际工作了。之所以说这部分内容硬核,是因为企业合规管理工作是围绕企业合规风险开展的,企业合规风险管理是企业合规管理的基础和核心内容,贯穿企业合规管理的始终,企业合规风险得以有效防控也是企业合规管理的目的。
关于企业合规风险管理的流程,有理论和实践将其列为多项内容,少有三四,多则六七。在我看来,可以去繁就简,将企业合规风险管理归纳为两大部分,一是合规风险的评估,二是合规风险的处置。因为比较硬核,咱们今天先聊聊企业合规风险的评估。
如果你不知道或忘了什么是企业合规风险,可 点击链接来一次乍见之欢抑或重温旧梦。
企业合规风险的评估包括合规风险识别、合规风险分析、合规风险评价。
1、合规风险识别
合规风险识别是指在识别合规义务的基础上,通过发现、收集、整理合规风险并列出清单,为管理合规风险明确对象和范围。
首先,要整理企业在经营中应当遵守的各类规范性文件,包括法律、法规、部门规章、行业强制标准、行业监管规则、行政许可或授权文件、行业惯例等,涉外企业还包括相关国际条约、国际规则、国外法律法规等。整理之后,再根据行业类别和企业经营情况,逐项分析,将违反之后可能带来合规风险的规范性文件条目列出,主要包括可能带来刑事处罚、严厉行政处罚、国际组织制裁的强制性规定和禁止性规定,这个过程也即识别合规义务的过程。
之后,在识别合规义务的基础上,按照企业特点,选择不同的角度或不同角度的组合,包括经营管理活动领域、部门法领域、业务领域、法律责任分类等,明确违反各项合规义务可能带来什么样的不利后果(也即合规风险),编制出初步的合规风险清单。
2、合规风险分析
合规风险分析是对经过识别所确定的合规风险产生原因、来源、发生可能性、后果影响严重程度等进行研究分析的过程,旨在为合规风险的评估和应对提供支持。其中重点是可能性与后果影响严重程度的分析。
在可能性分析中,要结合企业目前管理水平,判断各合规风险发生几率的大小或频繁程度。在后果影响程度分析中,可主要按照后果对企业经营管理和业务发展产生影响的大小进行。
上述两项分析适宜采取量化分析方式进行。例如可将后果影响程度分为大、中、小三个等级,分别赋予1-9分,采取分级打分的方式来确定影响程度。
3、合规风险评价
合规风险评估是指对分析之后的全部企业合规风险进行整体统筹,设定风险应对的优先等级,以进一步帮助企业做出合理的合规风险应对决策。
合规风险分析关注的是一项项具体的合规风险,而合规风险评价则是对全部合规风险的整体分级排序。具体评估时,通过综合考虑合规风险发生的可能性大小、后果严重程度因素,可将合规风险分为三个层次——重大合规风险、中等合规风险和较低合规风险,并明确出需要重点关注和首先解决的合规风险,以便于企业统筹应对。
附两张企业合规风险评估清单以供参考:
