2022-04-12风险识别——从管理要求看风险点
尽职调查过程中要做到目的清晰、标准明确。首先要调研相关规则并从中细分出具体的管理要求,尤其是带有惩罚措施的管理要求,以制作尽职调查清单供调查取证及识别风险之用。
1.建议参照2017.12国标《GB/T35770——2017/ISO19600:2014合规管理体系指南》开展工作。这一标准较早提出了合规管理体系的建设要点,对合规风险识别给出了建议。本《指南》为推荐性标准,有指引作用。
1.1合规要求。《指南》中合规义务的重要来源。合规要求包括:法律和法规;许可执照或其它形式的授权;监管机构发布的命令、条例或指南;法院判决或行政决定;条约、惯例和协议。
1.2合规承诺。《指南》中合规义务的另一来源。合规承诺包括:与社会团体或非政府组织签订的协议;与公共权力机构和客户签订的协议;组织要求、如方针和程序;自愿原则或规程;自愿性标志或环境承诺;与组织签署合同产生的义务;相关组织的和产业的标准。
1.3合规维护。《指南》中要求组织要时刻关注新的和变更的法律、法规、准则和其他合规义务,识别新要求后及时变更相应的制度和流程,以确保持续合规。
1.4合规风险识别、分析和评价。比对合规义务与组织的活动、产品、服务和运行的相关方面,识别可能发生不合规的场景。考虑不合规的原因、来源、后果等将各种风险排列出优先级,作为确定需要控制及其程度的基础。当发生企业内外重大非法规改变时,也要进行再评估。
2.国有企业必需遵守、非国有企业有指导意义的《中央企业合规管理指引(试行)》(2018)。这是依据《公司法》和“国有资产管理法”的相关要求的指导性部门规范性文件。
2.1《指引》要求职责明确。明确规定了董、监、高、合规委员会、合规管理负责人、合规管理牵头部门、业务部门和相关部门的合规职责。《指引》强调管理体系建设、明确企业机构职责。企业一定要改变以历史形成的习惯在运行的做法,做好制度化、流程化建设,促进包括合规管理在内的各类风险管理能力、管理水平的提升。
2.2《指引》要求加强重点。强调要对重点领域、重点环节、重点人员、海外投资经营加强合规管理。《指引》要求企业根据外部环境变化,结合自身实际,在全面推进合规管理的基础上做好上述重点工作。其中,市场交易、安全环保、产品质量、劳动用工、 财务税收、知识产权、商业伙伴属于重点领域;制度制定、经营决策和生产经营属于重点环节;管理人员、重要岗位、海外员工属于重点人员;海外经营涉及所在国的禁止性规定和国际规则等。
2.3《指引》运行风险。从合规管理角度对合规机制的设立及维护方面提出:一是建立健全合规管理制度,普遍的合规行为规范、重点的专项合规管理制度、动态的将外部合规要求转化为内部规章制度;二是建立合规风险识别和预警机制;三是加强合规风险应对,制定相应预案;四是建立健全合规审查机制,制度未经合规审查不得实施;五是强化违规问责机制,惩罚分明、举报畅通、及时调查和严肃追责;六是定期开展合规评估,对反复出现的风险深入查找根源,完善并堵塞管理漏洞,持续改进提升。
2.4《指引》合规保障。从物质基础、管理机制等方面为合规管理的真正落实提供保障。纳入考核、合规信息化及信息共享、合规报告制度是引进合规管理的监督机制并直接与个人业绩挂钩,为企业落实合规管理制度提供了推动力。
3.《中央企业全面风险管理指引》(2006年)属于规范性文件。全面风险管理指引中基本流程五项:收集风险管理初始信息——进行风险评估——制定风险管理策略——提出和实施风险管理解决方案——风险管理的监督与改进。其中风险管理策略属于战略层面,风险管理解决方案属于战术层面。该指引的内容大部分已经纳入2018年的《指引》中,其可做为参考。
