企业合规管理全解析：上篇流程与下篇要点及风险把控

东莞莞城律师获悉

这篇文章分成两个部分,上半部分着重讲述公司合规风险管理的步骤。下半部分则主要讲述公司怎样实施合规风险管理,合规风险的三道关卡,合规风险和其它风险的关联,以及实际操作中容易犯的错误。

企业合规管理的目标在于有效预防合规风险，其核心内容包含合规风险管理与合规审查，同时需要组织保障、制度保障、运行机制保障、信息化保障作为支撑。合规风险管理是企业合规管理的核心，也是其主要内容，始终贯穿于企业合规管理的全过程。

企业合规风险管控的各个步骤之间相互关联，呈现逐步深入的内在联系，每一步骤都建立在前一步骤之上。任何步骤出现遗漏或偏差，都可能引发后续步骤的偏差或失误。

一、企业合规风险

不合规风险源于违背机构合规责任，可能引发不良后果，这一界定依据国际标准2021版，以及我国国家标准GB/:2022《合规管理体系　要求及使用指南》第3.24条的规定。公司治理方面的问题隐患是公司及其成员在处理事务环节中，由于违反规定而可能导致的承担法律责任、造成财务或名誉损害等情况的发生（《中央企业合规管理办法》第3条第2款）。

合规风险具有明确的、即时的、纯粹的、独立的性质。公司若违背合规要求，将面临法律惩处，涵盖刑事、行政及民事赔偿，并需承担相应责任，包括刑事、行政及民事层面。因此，合规管控属于基础性或原则性管理，旨在确保公司及其职员不违反合规基本要求，不跨越合规原则界限。

二、企业合规风险管理

依据国家规范《风险管理风险评估技术》第四四二一章节的要求，风险管控流程涵盖若干方面：须界定外部条件详情，需实施风险评定，应制定应对策略，要执行监视通报，得开展检验审核，须进行信息互通。

依照国际规范及中国国家标准《合规管理体系　要求及使用指南》第四条，合规风险管控的步骤能够归纳为：首先需要认识机构及其周边状况，其次要了解利益相关者的诉求和愿望，接着要明确合规管理体系的涵盖领域，包括实际界限、组织界限、区域界限以及机构整体范畴，然后要找出所有合规责任，再进行合规风险评价，最后要落实管控措施，对合规风险进行管理和处置。

国资委发布的《中央企业合规管理办法》里，没有把合规风险管理集中写明，而是分别在不同条款里说明。二零一九年十月十九日，国务院国资委发布《关于强化中央企业内部控制系统构建与监督工作的指导意见，强调以内部控制为根基，以风险防控为方向，以合规监督为核心，需将风险防控和合规监督的规范融入各项业务环节，推动公司依照法规合法进行所有业务动作，达成强化内部管控、防止出现风险、提升合规水平的治理目的。二零二三年三月二日，国资委主导中央公司推进法治化进程，强化合规管理运作，指示各公司需梳理合规风险点，明确岗位责任范围，规范业务执行环节。整理这些规章制度，我国中央企业和国有企业合规风险管理要点包括：首先，明确业务环节和岗位责任，形成业务环节记录表和岗位责任记录表，其次，实施合规风险评定，拟定合规风险排查记录，再次，落实合规风险处置，把合规规范融入业务环节和岗位责任，设立业务环节合规控制记录表与岗位合规责任记录表，最后，执行合规风险监控和预先警示。

对相关规范制度进行梳理归纳，企业合规风险管控涉及确定外部条件、明确法定要求以及风险分析评估、处理处置、跟踪提示、检查审核、联络沟通，不断循环，不断优化。企业合规风险管控步骤涵盖：

1.明确环境信息（其中包括梳理业务流程和岗位职责）；

2.识别合规义务；

3.合规风险评估；

4.合规风险应对；

5.合规风险监测预警；

6.监督检查；

7.沟通协调；

8.持续改进。

（一）明确环境信息

企业合规风险管控极具专门性跟繁难性，具体表现在若干层面：它要求专门的知识跟技能东莞莞城律师，它涉及诸多关联环节，它需要持续的监测跟评估，它关系到企业的长远发展。

各个领域内的公司必须遵循该领域特有的规范责任来源，同时也要履行关联的规范责任。

这家公司在世界各地开展业务，必须遵循各地不同的法律条文和道德标准。即便是在中国境内，各省市区的地方性法规，以及政府部门的规章和监管要求，还有相应的合规责任，这些方面也可能存在一些区别。

各类企业必须遵循其所有制类型所对应的专门法规,具体规定不容忽视,务必严格执行。

公司的外部法规和内部规章持续不断地建立、修订和废止，公司必须遵守的合规责任以及可能遭遇的合规风险，也处在不断变化的状态。

公司被分成不同的业务板块和职能部门，同时也有不少管理层级，各个部门和管理层级都必须遵循各自相关的专业法规条例，因此它们承担的合规风险也不尽相同。

公司内部各个部门的不同职位，例如财务部门里的会计、税务、出纳等，都必须遵循与其工作内容密切相关的专业法规条文，并且各自要承担不同的合规性挑战。职位是企业履行合规责任以及对应合规风险最基础的组织单元。

企业的合规责任和相关风险要详细落实到各项业务及管理环节中去，包括具体的管理步骤和控制点等。业务环节是企业合规责任和相关风险最基础的活动平台。公司在进行合规风险管控、界定环境状况时，需要调查、系统化、清晰化以下方面：

（1）企业性质；

（2）产品种类、业务模式及经营的行业；

（3）经营所在的国家和地区；

（4）内、外部合规义务渊源框架；

（5）监管环境；

组织架构和任务划分，以及职位安排及职位任务（为制定职位合规任务清单提供依据）；

梳理工作体系与操作步骤，为制定流程合规监督文件提供依据，

以往在纪律检查、巡视检查、审计工作、不合规举报、法律争议中发现的合规方面的问题，还有集团内其他机构以及同领域公司曾经遭遇的重大合规方面事故

（9）自身的合规文化；

（10）社会、文化、环境背景等。

依据合规管理环境的基本情况，参照业务流程以及组织架构莞城律师，制定合规风险控制的内部管理基础信息表格。

（二）识别合规义务

请参考汇业观察刊登的另一篇署名《企业合规义务管理》的文章，该文阐述了如何先找出合规责任，然后依据合规风险管控内部体系的基础资料，来拟定一份合规责任明细表。

（三）合规风险评估

依据风险管理方面的规范、措施和说明，合规风险评估由三个环节构成，分别是识别合规风险，分析合规风险，以及评定合规风险。

1.合规风险识别

合规风险探查涉及搜寻、汇集、核实、说明、归类、梳理合规风险，对其成因、波及层面、可能影响等进行剖析汇总，最后形成公司合规风险目录，为后续合规风险的分析和评定界定目标与界限。

2.合规风险分析

依照国际规范以及我国规范《风险管理 原则与实施指南》第5.3.3条、《合规管理体系 要求及使用指南》第A.4.6条的要求，合规风险剖析是企业针对未合规的起因、源头、影响等级、未合规及其影响的概率进行考察和探究，对已发现的合规风险实施性质化、数量化的剖析，为合规风险的评估和处置提供依据。

合规风险出现的几率，是在企业当前的管理状态下衡量的，它既指风险实际发生的可能性，也包含风险出现的频繁度。

合规风险造成的影响范围，体现为该风险对于企业日常运作及未来拓展造成阻碍的轻重程度。

3.合规风险评价

依照国际规范及我国规范《风险管理　原则与实施指南》第5.3.3条、《合规管理体系要求及使用指南》第A.4.6条的要求，合规风险评定是依据合规风险研判的成效，对合规风险级别与企业可承受且愿意接受的合规风险限度进行衡量。经由剖析评判，能够得出合规风险指标，此指标为合规风险出现概率与后果深度的相乘值。依据风险等级标准，划分合规风险的先后次序，为机构制定风险管理策略提供指引。

通过合规风险识别、分析和评价，建立合规风险识别清单。

（四）合规风险应对

处理风险是在评估风险之后，挑选并实施一种或多种调整风险的方案，涉及调整风险发生的概率和/或影响，同时针对合规风险制定对策以根除合规风险或者将合规风险维持在组织可接受的界限之内。

合规风险处置涵盖审视当前合规风险处置状况，选定合规风险处置办法，拟定合规风险处置详细行动，构建合规风险处置方案，执行合规风险处置办法与方案等步骤。

根据合规风险排查目录，针对重大及一般性质的合规风险点，制定相应的处置方法。

（五）合规风险监测预警

依照合规风险目录，针对已发现的合规风险——特别是高等级、中等级别的风险——实施日常跟踪管理。

合规风险监控运用特定技术手段，对相关风险进行持续观察和评估，能够提前发出风险提示，同时为优化风险处置措施提供参考数据。开展风险监控工作，首先需要明确要监控的具体风险种类，然后制定详细的工作方案，包括确定检查周期和项目时限等细节。接着要设定监控标准数值，组建专门的工作团队并落实每个成员的任务，最后撰写监控工作总结报告。

公司能够依据自身的具体情况和可用条件，决定是否构建重大合规风险监测系统，依据对内外部合规风险形势的动态观察，适时发出合规风险警示通报，并拟定配套的应急处理方案。

（六）监督检查

对合规风险处理办法与方案的落实情况开展监督复核，保证合规风险处理办法与方案得到切实履行，针对暴露的不足之处，对合规风险治理工作不断优化完善。

公司采取合规风险处置手段后，需要判断剩余风险是否能够接受。倘若难以接受，必须修正或拟定新的合规风险处置手段与应对方案，接着考核新手段的作用，持续进行，直至剩余风险变得可以接受。

（七）沟通协调

企业合规风险管理是一项艰巨、庄重的任务，牵涉到各个不同层级的负责人以及所有相关业务部门及职能单位及其职员，他们或许持有迥异的观念、目标、预设、见解和重视事项，其对于合规风险的倾向性以及对于合规风险管理的期待或许不尽相同，这些因素对于合规风险管理的抉择和实施具有关键作用。

合规管理部门和合规风险管理项目小组，在合规风险管理流程的各个步骤，都需与其进行有效交流，同时记录下相关内容，确保彼此协调一致，以便他们能全面掌握企业所面临的合规风险，以及这些风险可能造成的影响，正确领会企业合规风险管理决策的出发点，认识到开展合规风险管理对企业的重要性，积极支持合规风险管理工作，并依据所得信息，做出合理判断，有效实施合规风险应对方案。

（八）持续改进

合规风险管控属于一种不断演进且持续的治理活动，并非能够立刻完成。公司随着成长，其合规管理的外部条件与内部条件总在变动，这就迫使企业必须反复地、不间断地开展合规风险管控工作。

依据国际规范及我国国家标准《合规管理体系　要求及使用指南》第A.4.6条之说明，当出现下列情况时，应对合规风险实施周期性复核：（1）出现新的活动、产品或服务，或者现有内容发生变动；（2）组织架构或战略方向进行调整；（3）外部环境出现显著变动，包括金融经济状况、市场条件、债务状况以及客户关系等；（4）合规性要求发生变更；（5）实施企业并购；（6）存在不合规行为或近乎不合规情形。

公司借助反复进行的合规风险管控，周而复始，促使风险管理的各个步骤构成一个完整的流程，并且持续优化和提升合规管控能力，能够有效识别和处置合规风险，保障公司稳定运行。

（待续）

莞城律师?敬请于评论区发表高见，并对本文予以点赞及转发，以助广大读者把握法律与正义的界限。