合规风险管理机制
国资委合规管理指引对建立合规风险识别预警机制、加强合规风险应对进行了明确规范,国家七部委指引对合规风险识别、合规风险评估和合规风险处置也进行了明确规范。结合国资委2006年发布的《全面风险管理指引》[1],具体的合规风险管控机制主要包括如下几个方面内容:
1.合规风险识别机制
①在战略合规风险方面,企业应广泛收集国内外企业战略合规风险失控导致企业蒙受损失的案例,并至少收集国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;本企业主要客户、供应商及竞争对手的有关情况;本企业发展战略和规划、投融资计划、年度经营目标、经营战略,以及编制这些战略、规划、计划、目标的有关依据。
②在财务合规风险方面,企业应广泛收集国内外企业财务合规风险失控导致危机的案例,并至少收集与本企业相关的行业会计政策、会计估算、与国际会计制度的差异与调节(如退休金、递延税项等)等信息。
③在市场合规风险方面,企业应广泛收集国内外企业忽视市场合规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集主要客户、主要供应商的信用情况;税收政策和利率、汇率、股票价格指数的变化;潜在竞争者、竞争者及其主要产品、替代品情况。
④在运营合规风险方面,企业应至少收集与本企业、本行业相关的企业组织效能、管理现状、企业文化,高、中层管理人员和重要业务流程中专业人员的知识结构、专业经验;期货等衍生产品业务中曾发生或易发生失误的流程和环节;质量、安全、环保、信息安全等管理中曾发生或易发生失误的业务流程或环节;因企业内、外部人员的道德风险致使企业遭受损失或业务控制系统失灵;给企业造成损失的自然灾害以及除上述有关情形之外的其他纯粹风险;对现有业务流程和信息系统操作运行情况的监管、运行评价及持续改进能力;企业风险管理的现状和能力。
⑤在法律合规风险方面,企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的国内外与本企业相关的政治、法律环境;影响企业的新法律法规和政策;员工道德操守的遵从性;本企业签订的重大协议和有关贸易合同;本企业发生重大法律纠纷案件的情况;企业和竞争对手的知识产权情况。
企业需要对收集的上述初始信息进行必要的筛选、提炼、对比、分类、组合,根据企业建立的合规风险管理信息库,对当期的新增的合规风险进行有效的辨识,以便进行合规风险评估。
2.合规风险评估机制
企业应对收集的合规风险管理初始信息和企业各项业务管理及其重要业务流程进行合规风险评估。合规风险评估主要包括合规风险分析、合规风险评价工作。合规风险评估应由企业组织有关职能部门和业务单位实施,也可聘请有资质、信誉好、风险管理专业能力强的中介机构协助实施。合规风险分析是对辨识出的合规风险及其特征进行明确的定义描述,分析和描述合规风险发生可能性的高低、合规风险发生的条件。合规风险评价是评估风险对企业实现目标的影响程度、风险的价值等。
合规风险评估应将定性与定量方法相结合。其中定性方法可采用问卷调查、集体讨论、专家咨询、情景分析、政策分析、行业标杆比较、管理层访谈、由专人主持的工作访谈和调查研究等;定量方法可采用统计推论、计算机模拟、失效模式与影响分析、事件树分析等。
合规风险定量评估时,应统一制定各合规风险的度量单位和合规风险度量模型,并通过测试等方法,确保评估系统的假设前提、参数、数据来源和定量评估程序的合理性和准确性。要根据环境的变化,定期对假设前提和参数进行复核和修改,并将定量评估系统的估算结果与实际效果对比,据此对有关参数进行调整和改进。
合规风险分析应包括合规风险之间的关系分析,以便发现各风险之间的自然对冲、风险事件发生的正负相关性等组合效应,从风险策略上对合规风险进行统一集中管理。企业在评估多项合规风险时,应根据对合规风险发生可能性的高低和对目标的影响程度的评估,绘制风险坐标图,对各项合规风险进行比较,初步确定对各项合规风险的管理优先顺序和策略。
企业应对合规风险管理信息实行动态管理,定期或不定期实施合规风险分析、评价,以便对新的合规风险和原有合规风险的变化重新评估。
3.合规风险预警机制
合规风险预警是指运用多种信息渠道,对合规风险管理过程中的预警信号或合规预警阈值指标异常进行识别,分析、衡量其合规风险状况,并及时采取适当的应对措施,以化解初始合规风险的主动性、动态管理过程。
合规风险预警机制应遵循全面预警原则、及时报告原则、快速反应原则。对识别出的预警信号必须采取应对行动,企业相关业务管理部门应立即核实,并评估判断预警信号,并制定紧急应对处置方案,合规风险管理部门应协助配合评估并完善相关处置方案,同时向企业相关负责人进行报告。
4.合规风险监控机制
企业应以重大合规风险、重大合规事件和重大合规决策、重要合规管理及业务流程为重点,对合规风险管理初始信息、合规风险评估、合规风险管理策略、关键合规管理控制活动及合规风险管理解决方案的实施情况进行监控,采用压力测试、返回测试、穿行测试以及合规风险控制自我评估等方法对合规风险管理的有效性进行检验,根据变化情况和存在的缺陷及时加以改进。企业应建立贯穿于整个合规风险管理基本流程,连接各上下级、各部门和业务单位的合规风险管理信息沟通渠道,确保信息沟通的及时、准确、完整,为合规风险监控奠定基础。
5.合规风险应对机制
合规风险管理策略,是指企业根据自身条件、外部环境、与企业相关的各项法律法规要求,围绕企业发展战略,确定合规风险偏好、合规风险承受度、合规风险管理有效性标准,选择合规风险承担、合规风险规避、合规风险转移、合规风险转换、合规风险对冲、合规风险补偿、合规风险控制等适合的合规风险管理工具的总体策略,并确定合规风险管理所需人力和财力资源的配置原则。
一般情况下,对战略、财务、运营和法律方面的合规风险,可采取合规风险承担、合规风险规避、合规风险转换、合规风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的合规风险,可以采用合规风险转移、合规风险对冲、合规风险补偿等方法。
企业应根据不同业务特点统一确定合规风险偏好和合规风险承受度,即企业愿意承担哪些合规风险,明确合规风险的最低限度和不能超过的最高限度,并据此确定合规风险的预警线及相应采取的对策。确定合规风险偏好和合规风险承受度,要正确认识和把握合规风险与合规收益(含合规间接效益)的平衡,防止和纠正忽视合规风险,片面追求企业收益而不讲条件、范围,认为合规风险越大、合规收益越高的观念和做法;同时,也要防止单纯为规避合规风险而放弃发展机遇。
企业应根据合规风险与合规收益(含合规间接效益)相平衡的原则以及各合规风险在风险坐标图上的位置,进一步确定合规风险管理的优选顺序,明确合规风险管理成本的资金预算(或投入资源计划)和控制合规风险的组织体系、人力资源、应对措施等总体安排。
企业应定期总结和分析已制定的合规风险管理策略的有效性和合理性,结合实际不断修订和完善。其中,应重点检查依据合规风险偏好、合规风险承受度和合规风险控制预警线实施的结果是否有效,并提出定性或定量的有效性标准。
6.合规风险报告机制
企业各有关部门和业务单位应定期对合规风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门。企业合规风险管理职能部门应定期对各部门和业务单位合规风险管理工作实施情况和有效性进行检查和检验,尤其是对跨部门和业务单位的合规风险管理解决方案进行评价,提出调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管合规风险管理工作的高级管理人员。企业内部审计部门应至少每年一次对包括合规风险管理职能部门在内的各有关部门和业务单位能否按照有关规定开展合规风险管理工作及其工作效果进行监督评价,监督评价报告应直接报送董事会或董事会下设的合规风险管理委员会和审计委员会。
另外,企业可聘请有资质、信誉好、风险管理专业能力强的中介机构对企业合规风险管理工作进行评价,出具合规风险管理评估和建议专项报告。报告一般应包括以下几方面的实施情况、存在缺陷和改进建议:
(1)合规风险管理基本流程与合规风险管理策略。
(2)企业重大合规风险、重大合规事件和重要合规管理及业务流程的合规风险管理及内部控制系统的建设。
(3)合规风险管理组织体系与信息系统。
(4)合规风险管理总体目标。