企業(yè)合規(guī)風險識別與分析評估（下篇）

昵稱60604150 2021-12-17

展開全文

（接中篇）其次，在合規(guī)風險盡調結果基礎上，按照統(tǒng)一規(guī)范的業(yè)務、職能活動合規(guī)風險識別分析評估工具，進行各業(yè)務、職能事項合規(guī)風險辨識、分析、評價，確定合規(guī)風險系數(shù)與等級，排列出控制優(yōu)先級，形成業(yè)務、職能事項合規(guī)風險矩陣清單。

ISO37301附錄A中提了利用合規(guī)風險源來識別合規(guī)風險的方法，這是風險管理理論中的風險源理論。通過多年的違規(guī)案例大數(shù)據(jù)統(tǒng)計分析，我們獲得合規(guī)風險源識別模型和違規(guī)頻次統(tǒng)計系數(shù)，并根據(jù)該模型和系數(shù)來識別、分析、評估各業(yè)務、職能活動的合規(guī)風險。

合規(guī)風險源識別模型

合規(guī)風險源是指組織內部存在的，以單獨地或以結合疊加的形式，具有產生合規(guī)風險可能性的因素。一個風險源可以是有形的或者無形的。從有無合規(guī)風險源角度，合規(guī)風險可以分為有源合規(guī)風險和無源合規(guī)風險。有源合規(guī)風險是指存在合規(guī)風險源的合規(guī)風險，合規(guī)風險發(fā)生時，是由一個或者多個因素組合引致發(fā)生的合規(guī)風險。無源合規(guī)風險是指沒有合規(guī)風險源引致但存在合規(guī)義務的合規(guī)風險。綜上，合規(guī)風險源和合規(guī)風險分布特征存在內在的一致性，合規(guī)風險源決定和影響合規(guī)風險的分布特征。

目前，合規(guī)風險識別技術模型主要是根據(jù)合規(guī)風險源識別來間接的識別合規(guī)風險。合規(guī)風險源識別技術工具是“八項合規(guī)風險源識別模型”及“八項權力識別模型”的聯(lián)合使用。

（1）從業(yè)務本身的自然屬性分析合規(guī)風險源，在組織運轉過程中，存在四種自然屬性的合規(guī)風險源。

a、利益管理

涉及企業(yè)、個人利益得失的活動。利益管理活動是指崗位職責中，由于職責履行，存在接觸、控制利益的活動。符合該定義特征的職責履行，都屬于存在“利益管理”的業(yè)務活動。如崗位職責中存在負責倉庫物品整理、安全、防盜管理；負責金庫安全看護管理；負責人民幣押運；負責貨物保管等，均屬于存在“利益管理”的業(yè)務活動。

b、技術性（黑箱）操作

技術性（黑箱）操作是指企業(yè)的某個業(yè)務活動只有經辦人員知道其實際實施過程且無過程痕跡，他人事后難以知道。符合該定義特征的職責履行，都屬于存在“技術性（黑箱）操作”的業(yè)務活動。如崗位酒店客房清潔服務人員負責對客人離店后的酒店客房內部做清潔消毒活動；飯店的廚師炒菜活動等，都是屬于存在“技術性（黑箱）操作”的活動。

c、利益沖突

利益沖突是私人利益與企業(yè)利益之間存在沖突的活動，崗位職責中，職責履行客體中，存在與職責履行主體個人利益一致，卻與公司利益不一致的活動。符合該定義特征的職責履行，都屬于存在“利益沖突”的業(yè)務活動。如辦理監(jiān)察事項的監(jiān)察人員負責的監(jiān)察對象或者檢舉人是其近親屬的；負責供應商資源信用調查、評價管理的崗位，有一家供應商的老板是該崗位人員的戰(zhàn)友、朋友、親戚等，都是屬于存在“利益沖突”的活動。

d、權力行使

企業(yè)最大的最廣泛的合規(guī)風險源是權力！經過違規(guī)案例違規(guī)事例實證統(tǒng)計分析發(fā)現(xiàn)，因為權力引致的合規(guī)風險事項發(fā)生占比違規(guī)總量的96%，從占比看，權力是合規(guī)風險源中最主要的合規(guī)風險源，也將是主要決定合規(guī)風險的分布特征。這些權力是：審批權、市場客服與銷售權、人事權、采購權、放行權、計量權、財務資金權和擁有關鍵信息權等八項權力，密切影響行為的合規(guī)性。這八項權力即“企業(yè)八項權力識別模型”，八項權力的具體內涵如下：

審批權是指決定事情做與不做的管理活動。行權內容包括：銷售、人事、采購、放行、計量、財務資金等領域的決策審批活動。

市場客服與銷售權是指負責與資產定價與賣出、推銷產品/服務并賣給客戶的業(yè)務活動。行權內容包括：向特定方介紹資產情況、向客戶介紹、廣告營銷產品、服務功能、銷售政策、價格優(yōu)惠條件、銷售合同簽訂、售后服務、維修、保養(yǎng)、置換等銷售前、銷售中、銷售后的業(yè)務工作，多為市場客服與銷售崗位、售后服務經辦人員的主要活動。

人事權是指負責圍繞企業(yè)人員管理的專業(yè)活動。行權內容包括：雇傭、招聘、任免、考核、人員獎勵與處罰、職稱評定、崗位選拔、評先進、勞模等針對企業(yè)人員的管理活動，多為人力資源崗位經辦人員的主要活動。

采購權是指負責購買企業(yè)生產經營、行政辦公所需的業(yè)務活動。行權內容包括：投資業(yè)務活動；確定供應商、外包商、租賃商合格名冊；確定采購數(shù)量、采購方式、采購策劃、制定采購文件；確定投標人、確定價格和中標人；簽合同、合同變更等與選擇供方、確定資產、產品、服務購買價格的業(yè)務活動，多為投資、采購相關崗位經辦人員的主要活動。

放行權是指負責利用特定尺度標準進行檢驗、認證、判斷、評價的業(yè)務活動。放行權根據(jù)其所處的流程環(huán)節(jié)不同分為：首次驗收放行權和再監(jiān)督放行權。首次驗收放行權內容包括：理化檢驗、質量檢驗、品質控制、進出門管理、技術控制、安全控制、環(huán)境保護等一線生產經營崗位經辦人員的業(yè)務活動，多為一線質檢崗、技術崗、品管崗、門衛(wèi)等崗位經辦人的主要活動。再監(jiān)督放行權內容包括：技術審核、專業(yè)評審、專業(yè)認證、監(jiān)督權、環(huán)境監(jiān)督管理、安全監(jiān)督管理等在經辦人員工作后進行復核把關的管理活動。多為中層專業(yè)和職能管理崗位人員的主要管理活動。

計量權是指負責確定數(shù)量多少的業(yè)務活動。行權內容包括：計量勞動工作量、產品、服務、物資、設備數(shù)量，如貨物計數(shù)、采購結算、開計量驗收單、物料領用單、消耗計量、工作量計量、分包量計量、容積測量、計時計件、財務記賬等計數(shù)計量稱重活動，多為供應鏈、物流線上的崗位和會計崗位經辦人員的主要活動。

財務資金權是指負責與企業(yè)資金流全過程有關的資金/現(xiàn)金進、出、存、保管的活動。行權內容包括：資金進、出、費用開支預算、計劃；收款、付款、費用開支管理和負責費用報銷管理、津貼福利開支管理等經手錢財進出性質的活動，多為財務、出納、收支預算、計劃、財務預算等崗位經辦人員的主要活動。

擁有關鍵信息權是指履行崗位職責過程中能接觸、掌握、或直接經手形成的，需要控制受眾范圍的信息的機會。內容包括：參與公司高層內部決策會議、重要商務活動、重要管理活動，知道公司內部商業(yè)秘密、商業(yè)策略、戰(zhàn)略、重要人事安排、重要工作部署、采購分包其他投標人、標底、預算等信息機會。

（2）從內部控制完善程度分析合規(guī)風險源，有四種情形的合規(guī)風險源。

a、制度缺失、缺陷

企業(yè)沒有對應的制度、部分缺失制度、或者制度措施沒有有效控制作用。

b、認知缺失

由于公司制度及時跟進和交底、培訓不到位的緣故，員工不知道企業(yè)現(xiàn)有的制度約束和控制要求。

c、技術缺失、缺陷

企業(yè)對某產品、某業(yè)務/管理事項缺失技術標準或工作標準，或者技術標準或工作標準的參數(shù)有不足、不成熟，或者技術標準或工作標準模糊，存在比較大的自由判斷空間。

d、監(jiān)控缺失、缺陷

企業(yè)對某業(yè)務/管理事項活動缺失監(jiān)控，或者有監(jiān)控，但是監(jiān)控失效狀態(tài)下，不能夠起到監(jiān)督控制作用。

從業(yè)務本身的自然屬性分析的合規(guī)風險源，識別的是固有合規(guī)風險，從內部控制完善程度分析的合規(guī)風險源，識別是剩余合規(guī)風險源。

進行合規(guī)風險識別分析評估。根據(jù)ISO37301附錄A的合規(guī)風險評估方法指南，先識別評估固有合規(guī)風險，然后分析剩余合規(guī)風險，結合上述的業(yè)務流程、崗位兩種方式，目前，也是有對應的兩種方法。

方法一：按照業(yè)務分類進行合規(guī)風險進行辨識、分析和評價，形成《業(yè)務流程固有合規(guī)風險矩陣清單》

以上的固有合規(guī)風險是假設企業(yè)在未采取相應合規(guī)風險處理措施的情況下，處于非受控狀態(tài)所面臨的全部合規(guī)風險。但是，任何一家在運行的企業(yè)都會有現(xiàn)行的管理體系，只是這些現(xiàn)行的管理體系可能存在缺失、缺陷和不足，企業(yè)現(xiàn)有的合規(guī)風險管理措施不能有效控制的合規(guī)風險，出現(xiàn)殘留的，沒有有效控制的合規(guī)風險處于暴露狀態(tài)，即剩余合規(guī)風險。在《業(yè)務流程固有合規(guī)風險矩陣清單》的基礎上，檢索企業(yè)要現(xiàn)有管理制度、措施缺失、缺陷情況，進行現(xiàn)有管理體系下的剩余合規(guī)風險分析，形成《業(yè)務流程剩余合規(guī)風險分析表》。