中联研究中央企业合规专题之三：《中央企业合规管理办法》之“合规风险识别评估预警机制”

之“合规风险识别评估预警机制”本文共计9233字，预计阅读时长为23分钟。国务院国有资产监督管理委员会(简称国务院国资委)发布的《中央企业合规管理办法》(国务院国有资产监督管理委员会令第42号，简称《合规办法》)将于2022年10月1日起施行。的发布与实施反映了国家切实推动中央企业加强合规管理，依法合规经营的思想与决心。同时，《合规办法》规定“地方国有资产监督管理机构参照本办法，指导所出资企业加强合规管理工作”。2022年9月19日国务院国资委政策法规局负责人就《合规办法》答记者问时再次强调，国务院国资委将指导各省级国资委参照《合规办法》,积极推进所出资企业合规管理工作，加快提升国有企业依法合规经营管理整体水平。因此，《合规办法》对地方国有企业也具有极其重要的参为增加企业合规管理体系结构的合理性、企业合规管理制度的可操作性，《合规办法》在第四章明确细化了对中央企业合规管理运行机制的要求，提出建立合规风险识别评估预警机制、合规风险应对机制、合规审查机制、合规风险事件报告机制、违规问题整改机制、违规举报机制、违规行为追责问责机制、合规管理协同运作机制、合规何种风险属于企业合规风险?根据《合规办法》第二十条规定，中央企业在合规风险识别评估预警机制中应全面梳理经营管理活动中的合规风险。企业合规风险的全面梳理旨在对尚未发生的风险事项进行事先识别与预防，明确企业合规风险的定义与范围是合规风险识别与预防的重要前提。(一)合规风险的含义《合规办法》的发布使我国对企业合规的定义有了明确的法律规定。《合规办法》第三条规定，“本办法所称合规，是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则，以及公司章程、相关规章制度等要求。本办法所称合规风险，是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性”。根据定义来看，笔者认为深化认识企业合规风险重点在于明确企业经营中涉及的“规定”与发现企业违规的“行为”。应当注意的是，企业合规风险不应当包含与企业及员工行为合规性无关的风险，如市场自身风险、(二)合规风险的范围《合规办法》第十八条规定，中央企业应当针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南。《中央企业合规管理系列指南》(简称《合规指南》)从反商业贿赂、反垄断(经营者集中)、商业秘密保护、反垄断(垄断协议、滥用市场支配地位)、PPP、个人信息保护、商业伙伴、劳动用工、出口管制、国有企业母子公司管控(法人人格否认风险)、世界银行央企业全面风险管理指引》(国资发改革〔2006〕108号，简称《风险管理指引》)第二章风险管理初始信息强调，风险管理初始信息的诚然，不同行业、不同业务行为受到法律法规规制的程度不同，保护、商业伙伴、知识产权等。后者是指，从事于特殊行业领域或属安全生产、出口管制、国有企业母子公司管控(法人人格否认风险)、二如何进行企业合规风险识别?《合规指南》表示，风险识别是指企业查找各业务单元、各项重要经营活动及其重要业务流程中有无风险，有哪些风险的的企业合规风险识别是设置有效企业合规风险预警的重要基石。企业加工获得的风险初始信息构建合规风险数据库，形成合规风险清单的过程。合规风险识别旨在形成“风险预警信息”,为风险预警制度提(一)获取合规风险初始信息的途径充分获取合规风险初始信息是形成风险预警信息的基础。通常情况下，企业通过“全面梳理经营管理活动中的合规风险”,总结、提炼具有“典型性、普遍性”的风险并进行识别和评估后才能形成“风理，企业应广泛、持续不断地收集与该企业风险和风险管理相关的内部、外部初始信息，包括历史数据和未来预测。应把收集初始信息的职责分工落实到各有关职能部门和业务单位”。建立(1)明确业务及其他职能部门的主动报告制度。根据《合规办法》第十三条规定，中央企业业务及职能部门承担合规管理主体责任，应(2)合规部门应通过内部日常履行合规审查职责对风险事项进行统计、分析；(3)通过外部警示获取合规风险信息。企业可以根据相关的外部监管指令、市场风向和同行危机等信息获取与本单位中央企业一般均为集团化企业，企业集团通常系与特性，发挥集团统领作用，组织领导各级企业建设风险合规制度，(1)明确各级企业报告制度。集团可从各级企业汇报的合规风险《合规办法》第二十五条规定，中央企业应当建立所属单位经营管理党委(党组)发挥把方向、管大局、促落实的领导作用，推动合规要行必要的筛选、提炼、对比、分类、组合，以便进行风险评估”。诚《合规办法》第十三条规定，中央企业业务及职能部门应定期梳险事件等事项对合规风险初始信息进行梳理。在内部具体风险事(2)从“抽象”到“具体”的外部风险信息梳理理制度建设具有重要的指引作用。笔者认为，在风险信息梳理过程中三如何进行企业合规风险评估?根据《风险管理指引》规定，"企业应对收集的风险管理初始信企业经济或者声誉损失以及其他负面影响的可能性、造成企业损(一)企业合规风险评估的步骤性的高低、风险发生的条件。风险评价是评估风险对企业实现目应当注意的是，风险识别与风险辨识属于不同程序，风险辨识是识别旨在收集企业存在或潜在的风险信息并加以梳理、分析、总结，(二)企业合规风险评估定级维度《风险管理指引》明确提供了企业风险评估可采用的方式方法，险的度量单位和风险度量模型，并通过测试等方法，确保评估系企业合规风险发布的单位主体通常为集团或各级企业，故可根据笔者认为，根据此种方式进行定性分析，区分企业合规风险的特性与不同类型的企业合规风险对企业运营的影响存在差异，对合规风关于影响程度的计算，司法实务中有研究者提出了经济损失预估有研究者提出了合规风险系数法，即根据维度因素之间的传导关系，将某种类型合规风险对业务目标的影响、对合规目的业务管理事项发生频率等因素按照影响程度分为1(低)、2(中)、3(高)三个系数，对应的合规风险系数为几种维度系数的连乘积，再优点在于多种维度系数的考量对于合规风险影响评估更全面、系统，险5个风险等级；中国五冶集团有限公司设定“蓝、黄、橙、红、黑”在企业合规评估过程中程序的明确与实体评级制度的明确同样重层级的基础上新增了党委(党组)、新增首席合规官、专职合规管理人员和合规管理员，将组织层级调整为6个层级。笔者企业合规风险级别确定评估程序，即一般企业合规风险由各级企业合规管理部进行评估定级，较高企业合规风险由各级企业首席合评估定级进行审批确认，重大企业合规风险由各级企业合规委应当注意的是，同一类型的合规风险对不同类型的企业的影响亦存在差异，故针对集团发布的普遍性、典型性风险，各级企业可结合自身情况进行二次评估定级，“因企制宜”,在保证风险评估标准统一性的基础上充分尊重各单位的实际情况和自主权，避免“一刀切”四企业合规风险预警应如何设置?(一)合规风险预警制度的设置合规风险预警信息的发布是企业重要的合规风险内控措施。关于企业在完成合规风险识别评估后应根据不同业务特点统一确定风度是指企业应明确愿意承担哪些风险，并明确风险的最低限度和不能超过的最高限度。笔者认为，企业在明确风险偏好与风险承受度时应业要正确认识和把握风险与收益的平衡，防止和纠正忽视风险，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法；企业在对合规风险进行定性定量分析、明确企业风险偏好与风险承受度后，应当设置风险预警上限，并对超过合规风险预警上限的重企业应根据不同的风险预警制定相应的风险应对措施。在制定相应风险应对措施时，企业应明确风险管理成本的资金的组织体系、人力资源、应对措施等总体安排，从而制定面对实时修订、变化的相关法律法规、监管规定、行业准则、国策略的有效性和合理性，结合实际对其不断修订和完管理指引》强调，在结合实际不断修订、完善风险预警制度时应重点检查依据风险偏好、风险承受度和风险控制预警线实施的结果是否有(二)建立合规风险数据库办法》第二十条规定，中央企业应当建立合规风险识别评估预警机制，全面梳理经营管理活动中的合规风险，建立并定期更新合规风险数据成过程中相关数据的集合。显然，建设广义的合规风险数据库更有利的合规行为可能存在违规的风险，则企业需按外部规则对内部已(如最近三年或五年)发生的风险事项进行分析、总结，对其他央企、同行业典型性合规风险案例进行梳理、分析、总