合規(guī)是組織實現(xiàn)成功和持續(xù)發(fā)展的基石，合規(guī)管理可以促進組織基業(yè)長青。有效的合規(guī)管理有助于組織最大限度地降低合規(guī)風(fēng)險及相應(yīng)的成本和聲譽損失，提升第三方對組織取得持續(xù)成功的信心，增加商業(yè)機會。合規(guī)管理本質(zhì)就是合規(guī)風(fēng)險管理，而合規(guī)風(fēng)險管理一個關(guān)鍵環(huán)節(jié)是合規(guī)風(fēng)險評估。合規(guī)風(fēng)險評估是ISO 37301：2021《合規(guī)管理體系 要求及使用指南》(以下簡稱ISO 37301：2021標準)的核心要素，也是組織建立和實施合規(guī)管理體系的基礎(chǔ)。

當(dāng)前，越來越多的組織開始重視合規(guī)管理體系建設(shè)和認證，但也存在一些問題，諸如：對合規(guī)風(fēng)險評估相關(guān)概念及如何有效開展合規(guī)風(fēng)險評估理解和實施不到位、合規(guī)風(fēng)險評估與應(yīng)對敷衍了事，嚴重影響合規(guī)管理體系運行的有效性。本文探討如何有效開展合規(guī)風(fēng)險評估與應(yīng)對，希望為建立和實施合規(guī)管理體系的組織以及從事合規(guī)管理體系咨詢和認證的人員提供借鑒。

一、合規(guī)風(fēng)險概述

合規(guī)風(fēng)險是指組織及員工在經(jīng)營管理過程中因違規(guī)行為引發(fā)法律責(zé)任、造成經(jīng)濟或者聲譽損失以及其他負面影響的可能性。合規(guī)風(fēng)險是企業(yè)面臨的主要風(fēng)險之一，根據(jù)風(fēng)險來源，合規(guī)風(fēng)險可以分為內(nèi)部合規(guī)風(fēng)險和外部合規(guī)風(fēng)險。內(nèi)部合規(guī)風(fēng)險主要源于企業(yè)內(nèi)部管理不善、制度不健全等導(dǎo)致出現(xiàn)違法違規(guī)現(xiàn)象;外部合規(guī)風(fēng)險主要源于法律法規(guī)的變化和監(jiān)管要求的提高。

根據(jù)風(fēng)險性質(zhì)，合規(guī)風(fēng)險可以分為違規(guī)風(fēng)險和違法風(fēng)險。違規(guī)風(fēng)險是指企業(yè)違反了相關(guān)規(guī)章制度，但尚未觸犯法律的風(fēng)險;違法風(fēng)險則是指企業(yè)已經(jīng)觸犯了法律，可能面臨法律制裁的風(fēng)險。

根據(jù)風(fēng)險狀態(tài)，合規(guī)風(fēng)險可以分為固有合規(guī)風(fēng)險和剩余合規(guī)風(fēng)險。固有合規(guī)風(fēng)險是指在未采取任何相應(yīng)合規(guī)風(fēng)險處理措施的非受控狀態(tài)下所面臨的全部合規(guī)風(fēng)險，剩余合規(guī)風(fēng)險是指組織采用合規(guī)風(fēng)險處理措施之后仍然存在的風(fēng)險。

合規(guī)風(fēng)險評估是指組織對運營過程中可能面臨的合規(guī)風(fēng)險進行風(fēng)險識別、分析和評價的全過程。合規(guī)風(fēng)險評估是保障組織穩(wěn)健運營、防范合規(guī)風(fēng)險的重要手段。通過風(fēng)險評估，組織可以及時了解自身存在的合規(guī)風(fēng)險，為制定有效的風(fēng)險管理措施提供依據(jù)。

二、合規(guī)風(fēng)險評估基本要求

合規(guī)風(fēng)險評估是建立和實施合規(guī)管理體系的一項基礎(chǔ)性工作。ISO 37301：2021標準4.6條款對“合規(guī)風(fēng)險評估”提出了如下要求：“組織應(yīng)基于合規(guī)風(fēng)險評估，識別、分析和評價其合規(guī)風(fēng)險。組織應(yīng)通過將其合規(guī)義務(wù)與活動、產(chǎn)品、服務(wù)以及運行的相關(guān)方面關(guān)聯(lián)，來識別合規(guī)風(fēng)險。組織應(yīng)評估與外包的第三方的過程相關(guān)的合規(guī)風(fēng)險。組織應(yīng)定期評估合規(guī)風(fēng)險，并在組織環(huán)境發(fā)生重大變化時進行評估。組織應(yīng)保留有關(guān)合規(guī)風(fēng)險評估和應(yīng)對合規(guī)風(fēng)險措施的文件化信息”。ISO 31000：2018《風(fēng)險管理 指南》(以下簡稱ISO 31000：2018標準)為管理各種類型的風(fēng)險提供了一種通用方法，這種方法也適用于合規(guī)風(fēng)險管理。依據(jù)ISO 37301：2021標準和ISO 31000：2018標準要求，組織在開展合規(guī)風(fēng)險評估時，應(yīng)特別關(guān)注如下基本要求：

（一）明確職責(zé)和過程

為有效開展合規(guī)管理，治理機構(gòu)和最高管理者應(yīng)組建合規(guī)團隊，明確合規(guī)管理負責(zé)人(如任命首席合規(guī)官)和牽頭部門(如設(shè)立法律合規(guī)部)，配備合規(guī)專員或合規(guī)管理員，為合規(guī)管理體系建立和實施提供組織保障。依據(jù)ISO 31000：2018標準要求，合規(guī)風(fēng)險管理過程可參見圖1所示，在合規(guī)風(fēng)險評估方面，組織應(yīng)建立并實施合規(guī)風(fēng)險識別評估預(yù)警機制。通常，由合規(guī)管理牽頭部門組織開展合規(guī)風(fēng)險評估、預(yù)警和應(yīng)對處置;業(yè)務(wù)及職能部門承擔(dān)合規(guī)管理的主體責(zé)任，建立健全本部門業(yè)務(wù)合規(guī)管理制度和流程;開展合規(guī)風(fēng)險評估，編制風(fēng)險清單和應(yīng)對預(yù)案;定期梳理重點崗位合規(guī)風(fēng)險，將合規(guī)要求納入崗位職責(zé)。董事會應(yīng)行使合規(guī)風(fēng)險監(jiān)督職責(zé)。

（二）界定范圍

明確合規(guī)風(fēng)險評估的范圍，通常應(yīng)考慮職能邊界、合規(guī)領(lǐng)域及業(yè)務(wù)邊界。合規(guī)風(fēng)險評估覆蓋的職能邊界應(yīng)考慮是針對整個組織還是某個部門或業(yè)務(wù)線;合規(guī)風(fēng)險評估覆蓋的合規(guī)領(lǐng)域應(yīng)考慮如反壟斷、反商業(yè)賄賂、生態(tài)環(huán)保、安全生產(chǎn)、勞動用工、稅務(wù)管理、數(shù)據(jù)保護等重點合規(guī)領(lǐng)域;合規(guī)風(fēng)險評估覆蓋的業(yè)務(wù)邊界通常應(yīng)考慮合規(guī)管理體系覆蓋的風(fēng)險較高的業(yè)務(wù)，如某企業(yè)確定的合規(guī)管理體系覆蓋范圍描述為“國際及國內(nèi)工程總承包、進出口貿(mào)易、××產(chǎn)品的生產(chǎn)和銷售涉及的合規(guī)管理”。

（三）識別環(huán)境和合規(guī)義務(wù)

合規(guī)風(fēng)險管理應(yīng)在對組織所處的內(nèi)外部環(huán)境充分認知的基礎(chǔ)上開展。因此，組織應(yīng)對與宗旨相關(guān)的并影響實現(xiàn)合規(guī)管理體系預(yù)期結(jié)果的能力的各種內(nèi)部和外部因素進行識別。重點應(yīng)考慮：組織業(yè)務(wù)經(jīng)營所在地法律和監(jiān)管環(huán)境、業(yè)務(wù)模式，內(nèi)部結(jié)構(gòu)、方針、過程、程序和資源;組織自身的合規(guī)文化，與第三方業(yè)務(wù)關(guān)系的性質(zhì)和范圍，客戶、股東、員工、商業(yè)合作伙伴等利益相關(guān)方的意見。

合規(guī)管理牽頭部門及各業(yè)務(wù)職能部門應(yīng)對內(nèi)部和外部環(huán)境的相關(guān)信息進行監(jiān)視和評審，評估內(nèi)外部環(huán)境的變化帶來的合規(guī)風(fēng)險，及時采取必要的應(yīng)對措施。

評估合規(guī)風(fēng)險時，組織必須識別與活動、產(chǎn)品、服務(wù)以及運行相關(guān)的合規(guī)義務(wù)，即組織強制性遵守的要求以及組織自愿選擇遵守的要求。合規(guī)義務(wù)的識別應(yīng)全面考慮與合規(guī)風(fēng)險評估相關(guān)的重點合規(guī)領(lǐng)域，確定合規(guī)義務(wù)清單，建立收集渠道并維持更新。

（四）界定風(fēng)險準則

合規(guī)風(fēng)險準則是評估合規(guī)風(fēng)險重要性的依據(jù)。風(fēng)險準則宜反映組織的價值觀、合規(guī)目標和資源，并考慮組織的合規(guī)義務(wù)和相關(guān)方意見。合規(guī)風(fēng)險的嚴重程度主要根據(jù)可能性和影響進行評估。可采用定性、半定量或定量的方式評估合規(guī)風(fēng)險大小，確定風(fēng)險等級。以下表1、表2、表3、表4是依據(jù)《合規(guī)風(fēng)險管理指南——應(yīng)用COSO企業(yè)風(fēng)險管理框架(2020年)》確定的合規(guī)風(fēng)險準則，可供參考。

三、合規(guī)風(fēng)險評估過程

合規(guī)風(fēng)險評估包括風(fēng)險識別、風(fēng)險分析和風(fēng)險評價3個步驟。合規(guī)風(fēng)險評估宜系統(tǒng)性、循環(huán)地、協(xié)作性地開展，并充分考慮利益相關(guān)方的觀點，通過收集各種內(nèi)部和外部信息，例如，企業(yè)內(nèi)部規(guī)章制度、業(yè)務(wù)流程、員工行為等最佳可用信息，必要時可以進一步調(diào)查加以補充。組織應(yīng)評估與外包的和第三方過程相關(guān)的合規(guī)風(fēng)險。

(一)風(fēng)險識別

合規(guī)風(fēng)險識別是發(fā)現(xiàn)、確認并描述影響組織實現(xiàn)合規(guī)目標的風(fēng)險。識別合規(guī)風(fēng)險的方法，是把合規(guī)義務(wù)與組織的活動、產(chǎn)品和服務(wù)(組織的經(jīng)營管理行為)聯(lián)系起來，運用一些具體手段，如基于過往案例、專家經(jīng)驗、歸納推理和頭腦風(fēng)暴等方式，發(fā)現(xiàn)和列舉出組織存在的合規(guī)風(fēng)險，建立合規(guī)風(fēng)險清單并實施動態(tài)管理。合規(guī)風(fēng)險結(jié)構(gòu)化的描述應(yīng)考慮四要素，即風(fēng)險源、事件、原因及后果。風(fēng)險源是指可能單獨或共同引發(fā)風(fēng)險事件的內(nèi)在要素。組織可以根據(jù)職責(zé)權(quán)限和不同類型的組織活動、產(chǎn)品、服務(wù)，識別與組織運行相關(guān)的合規(guī)風(fēng)險源，如招標采購、勞動用工、生產(chǎn)制造、市場營銷、工程建設(shè)、安全環(huán)保、數(shù)據(jù)保護、財務(wù)稅收等合規(guī)領(lǐng)域相關(guān)的活動，其后果包括可能造成人身傷害、財產(chǎn)損失、監(jiān)管處罰、名譽損失、影響日常運行、影響戰(zhàn)略目標實現(xiàn)等情況。

(二)風(fēng)險分析

風(fēng)險分析是了解合規(guī)風(fēng)險性質(zhì)、特征及風(fēng)險發(fā)生的可能性和后果，以便對風(fēng)險大小進行評估并確定風(fēng)險等級，為風(fēng)險評價和風(fēng)險應(yīng)對提供信息輸入。風(fēng)險分析過程包括對不確定性、風(fēng)險源、可能性、事件、情境、現(xiàn)有控制措施及其有效性的分析。為確保風(fēng)險分析全面、客觀和科學(xué)，從事合規(guī)風(fēng)險評估的人員應(yīng)熟悉合規(guī)義務(wù)，了解組織現(xiàn)有的合規(guī)風(fēng)險管理措施和資源。合規(guī)管理牽頭部門應(yīng)組織必要的合規(guī)風(fēng)險評估專題培訓(xùn)，以確保風(fēng)險評估人員準確理解和實施風(fēng)險準則。風(fēng)險分析最常見的方法有因果分析、情景分析、風(fēng)險矩陣分析等。

(三)風(fēng)險評價

風(fēng)險評價是指對比風(fēng)險分析結(jié)果和風(fēng)險準則，以確定風(fēng)險或其大小是否可以接受或者容忍的過程。風(fēng)險評價有助于風(fēng)險應(yīng)對決策，組織可根據(jù)風(fēng)險分析的結(jié)果來繪制合規(guī)風(fēng)險圖譜，用紅色、黃色、綠色來分別表示合規(guī)風(fēng)險等級及大小，以便確定風(fēng)險應(yīng)對的優(yōu)先順序。風(fēng)險評價可促成組織作出以下決定，如：不采取進一步行動、需增加合規(guī)風(fēng)險控制措施、需開展進一步分析，以便全面了解合規(guī)風(fēng)險、維持現(xiàn)有的合規(guī)風(fēng)險控制措施或重新考慮合規(guī)目標。合規(guī)風(fēng)險評價的結(jié)果宜予以記錄、溝通，然后在組織適當(dāng)層級予以確認。

四、合規(guī)風(fēng)險應(yīng)對

合規(guī)風(fēng)險應(yīng)對的目的是選擇和實施風(fēng)險處理方案。風(fēng)險應(yīng)對遵循PDCA循環(huán)提升的過程，包括制定和選擇合規(guī)風(fēng)險應(yīng)對方案(P)，計劃和實施合規(guī)風(fēng)險應(yīng)對措施(D)，評估合規(guī)風(fēng)險應(yīng)對措施的成效(C)，確定剩余風(fēng)險是否可接受、若不可接受則采取進一步應(yīng)對措施(A)。

合規(guī)風(fēng)險應(yīng)對不僅應(yīng)考慮風(fēng)險等級大小，還應(yīng)考慮經(jīng)濟因素、合規(guī)義務(wù)、利益相關(guān)方要求，采取一種或多種有利于實現(xiàn)合規(guī)目標的措施方案。通常，合規(guī)風(fēng)險應(yīng)對措施可參考圖2所示進行方案選擇。常見的應(yīng)對措施可分為預(yù)防類措施、檢查監(jiān)督類措施、糾正類措施3種類型。預(yù)防類措施可包括完善制度、加強培訓(xùn)、倡導(dǎo)合規(guī)文化和意識、開展合規(guī)咨詢等;檢查監(jiān)督類措施可包括加強合規(guī)審查與審計、開展合規(guī)績效考核、組織合規(guī)內(nèi)審、鼓勵違規(guī)舉報等;糾正類措施可包括違規(guī)調(diào)查、違規(guī)糾正、責(zé)任追究等措施，如圖2.

結(jié)語

合規(guī)風(fēng)險評估是合規(guī)風(fēng)險管理最重要的環(huán)節(jié)，也是影響組織合規(guī)管理體系運行有效性的一項重要因素，為了有效開展合規(guī)風(fēng)險評估，需要廣大從事合規(guī)管理的組織及相關(guān)人員加深對ISO：37301標準的學(xué)習(xí)和理解，也需要廣大從事合規(guī)管理的人員準確理解ISO：31000風(fēng)險管理概念和原理，熟悉合規(guī)義務(wù)，結(jié)合組織業(yè)務(wù)涉及的合規(guī)領(lǐng)域開展合規(guī)風(fēng)險評估，不斷完善合規(guī)風(fēng)險評估報告，并采取有效措施進行合規(guī)風(fēng)險應(yīng)對，才能真正實現(xiàn)合規(guī)風(fēng)險的有效控制，將提升組織合規(guī)管理體系的有效性落到實處。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/news/202511/xwif_57363.html