GB∕T 35770-2022《 合规管理体系 要求及使用指南》之11：“6策划-6.1应对风险和机遇的措施”解读和应用指导材料（雷泽佳编写2024B1）

““6策划-6.1应对风险和机遇的措施”解读和应用指导材料GB∕T35770-2022《合规管理体系要求及使用指南》之X：“6策划-6.1应对风险和机遇的措施”解读和应用指导材料GB∕T35770-2022GB∕T35770-2022《合规管理体系要求及使用指南》6策划6.1应对风险和机遇的措施在策划合规管理体系时，组织应根据4.1提及的因素和4.2提及的需求，并确定需要应对的风险和机遇，以便：——确保合规管理体系能够实现预期结果；——预防或减少不利影响；——实现持续改进。在策划合规管理体系时，组织应结合：——其合规目标（见6.2）；——经识别的合规义务（见4.5）；——合规风险评估结果（见4.6）。组织应策划以下活动：a） 应对这些风险和机遇的措施；b） 如何：1）将措施纳入合规管理体系过程并实施；2）评价这些措施的有效性。策划应对风险和机遇的措施本条款的目的或意图；通过综合考虑内外部因素与相关方需求，明确合规目标与义务，并依据风险评估结果，策划并实施有效的风险应对措施，以实现合规管理体系的预期成果，预防或减轻潜在的不利影响，并推动体系的持续改进。进。应对风险和机遇的措施相关术语；风险：不确定性对目标的影响。核心概念：风险在合规管理体系中指的是不确定性对组织目标实现的影响。这里的“不确定性”是核心，它指的是那些尚未发生、但有可能发生并影响组织目标实现的因素或事件；影响性质：风险的影响可以是正面的（即带来意外的好处或机遇）也可以是负面的（即导致损失或不利影响）。在合规管理体系中，我们更关注负面影响的风险，因为它们可能导致组织面临法律、经济或声誉等方面的损失；影响是对预期的偏离——正面的或负面的。风险的影响表现为对组织预期目标的偏离。这种偏离可以是好的（正面影响），也可以是坏的（负面影响）。在合规管理体系中，主要关注的是那些可能导致不利偏离的风险。不确定性的本质：不确定性是一种状态，指对某个事件、事件的后果或可能性缺乏甚至部分缺乏相关信息、理解或知识；不确定性是风险的根源。它源于我们对未来事件、事件的后果或可能性的信息掌握不足。在合规管理体系中，这种不确定性可能源于法律法规的变化、市场环境的不稳定、组织内部管理的缺陷等多种因素。风险特性描述：风险通常通过潜在事件及其可能带来的后果来描述。这些潜在事件可能是法律法规的变更、市场竞争的加剧、内部管理的失误等；而后果则可能是经济损失、法律处罚、声誉损害等。了解这些潜在事件和后果，有助于我们更准确地识别和评估风险。风险表述方式：通常，风险以某个事件的后果（包括情况的变化）及其发生的可能性的组合来表述。例如，“由于未能及时更新环保设备，组织可能面临环保处罚的风险，该风险发生的可能性为中等”。这种表述方式有助于我们更直观地理解风险的大小和紧迫性，从而采取相应的应对措施。合规管理体系策划和运行策划的区别；区分维度6.1中“合规管理体系策划”8.1中“运行策划”策划层次战略层面策划：合规管理体系的策划是在战略层面上开展的核心定位：策划活动应紧密围绕组织的总体战略目标，确保合规管理活动能够为组织的长远发展提供有力支持。全局视野：战略层面的策划要求考虑组织整体的合规需求和外部监管环境，以及内部业务流程、文化和管理架构的整合。这种策划具有全局性和前瞻性，能够引导组织在合规道路上稳步前行。运行层面策划：运行策划则是针对运行层面的策划和控制开展的具体执行：运行策划则聚焦于合规管理体系在日常运营中的具体实施和控制。它关注如何将合规要求融入组织的日常业务流程，确保合规措施的有效执行。动态调整：运行策划应根据组织内外部环境的变化进行动态调整，以确保合规管理体系的持续有效性和适应性。策划重点重点在于识别合规管理体系需应对的风险和机遇，并策划相应的措施，确保合规管理体系能够实现预期结果、预防不利影响并实现持续改进。重点在于如何策划满足合规要求及第6章所确定措施的过程，以及制定行为准则来控制可能导致不合规的情况。策划内容策划内容主要关注合规目标、合规义务和风险评估结果的结合，以及应对风险和机遇的具体措施。策划内容主要关注具体过程的设立准则和控制方式，以及制定全面的行为准则。策划时机策划时机主要是在合规管理体系建立之初，或当面临新的内外部环境变化时，进行重新策划或调整。策划时机通常是在合规管理体系的总体框架和合规目标已经确定后，进行具体运行过程的详细策划。与其他条款关系与4（合规管理体系环境）、4.5（合规义务）、4.6（合规风险评估）等紧密相关，因为这些条款为识别和评估风险和机遇提供了基础。与第6章紧密相关，因为8.1的运行策划是基于第6章确定的措施进行的详细规划和实施。合规管理体系（应对风险和机遇的措施）策划与实施流程合规管理体系策划流程合规管理体系策划活动内容说明确定策划需求识别并理解组织内部和外部的环境因素（见4.1）：对组织的内外部环境进行全面分析，识别影响合规管理体系的关键因素。确定利益相关方的需求和期望（见4.2）：确定相关方的需求和期望，以确保合规管理体系能够满足各方的利益诉求分析风险和机遇结合组织目标、合规义务和已识别的合规风险（见4.5和4.6）评估潜在的风险和机遇对合规管理体系的影响设定合规目标根据风险评估结果和组织的战略目标，设定明确的合规目标。确保合规目标具体、可测量、可实现，并与组织的整体战略目标保持一致。策划应对措施针对识别的风险和机遇，制定具体的应对措施和实施方案确保措施与合规目标保持一致（见6.2）分配资源、明确责任，确保各项措施得到有效执行实施应对措施将策划的合规措施纳入组织的业务流程和合规管理体系，确保其在日常运营中得到有效实施。分配资源，确保措施的有效实施监视和测量绩效设定关键绩效指标（KPIs）以监视措施的有效性定期收集数据，评估措施的实施效果评价措施有效性分析收集的数据，评估措施是否达到预期效果识别任何需要改进的领域持续改进根据评价结果，调整或优化现有措施识别新的风险和机遇，为未来的策划提供输入组织在策划合规管理体系时，应如何识别、评估和应对风险与机遇，以确保合规管理体系的有效性和持续改进：基于内外因素的风险评估；内外因素考虑：组织在策划合规管理体系时，必须充分考虑4.1中提及的内外部因素。这包括但不限于组织的业务模式、法律环境、经济状况、社会文化环境以及组织自身的合规文化等。同时，组织还需关注4.2中明确的相关方需求和期望，确保合规管理体系能够充分响应这些内外部需求；风险与机遇识别：基于上述分析，组织应识别出可能影响合规管理体系建设和运行的风险因素，以及可能带来的发展机遇。这一过程需要综合考虑各种潜在的不确定性和变化因素。确保实现预期结果；目标导向：组织策划合规管理体系的首要目的是确保其能够实现预期结果。这要求组织在识别风险和机遇后，能够有针对性地制定应对措施，以确保合规管理体系的有效运行和持续改进；合规目标的实现：通过有效的风险评估和应对措施，组织可以降低不利因素对合规管理体系的影响，提高实现合规目标的概率，确保合规管理体系能够为组织带来预期的管理效益。预防或减少不利影响；预防性措施：组织应重视预防性措施在合规管理体系中的应用。通过提前识别潜在风险并制定相应的预防方案，组织可以在不利事件发生前采取行动，避免或减少其对组织造成的不利影响；风险管理机制：建立健全的风险管理机制是实现这一目标的关键。组织应确保风险管理活动贯穿于合规管理体系的全过程，包括风险的识别、评估、应对和监控等环节。实现持续改进。持续改进原则：合规管理体系的建设不是一蹴而就的，而是一个持续改进的过程。组织应通过建立持续改进机制，不断优化和完善合规管理体系，以适应内外部环境的不断变化。反馈与调整：组织应鼓励员工积极参与合规管理体系的反馈活动，及时收集和分析合规管理的运行数据，以便对管理体系进行有针对性的调整和优化。同时，组织还应定期对合规管理体系的有效性进行评估和审核，确保其能够满足组织的合规需求和战略目标。在策划合规管理体系时，组织应：结合其合规目标（见6.2）；目标导向性：合规管理体系的策划应紧密围绕组织的合规目标进行。合规目标是组织期望通过合规管理体系实现的具体结果，它指导着整个策划过程的方向；一致性要求：在策划过程中，组织需要确保所采取的应对风险和机会的措施与既定的合规目标保持一致。这意味着措施的实施应有助于推动合规目标的实现，避免偏离方向。结合经识别的合规义务（见4.5）；合规义务明确性：在策划之前，组织已经根据相关法律法规、行业标准等要求识别出了自身的合规义务（见4.5）。这些合规义务是组织必须遵守的规则和约束，也是合规管理体系策划的重要依据；针对性应对：组织在策划合规管理体系时，需要针对已识别的合规义务制定具体的应对措施。这包括建立健全的规章制度、加强员工培训、完善内部监督机制等，以确保组织能够全面履行合规义务。结合合规风险评估结果（见4.6）。风险评估的重要性：合规风险评估是识别和分析组织在合规方面可能面临的风险的过程（见4.6）。通过风险评估，组织可以了解自身在合规管理方面的薄弱环节和潜在风险点；策略制定依据：在策划合规管理体系时，组织应充分参考合规风险评估的结果。根据风险评估揭示的风险类型和程度，组织可以更有针对性地制定应对策略和措施，以提高合规管理体系的有效性和针对性。组织应策划以下活动：策划应对风险和机遇的措施；识别与评估：首先，组织需要全面识别和评估其面临的合规风险和潜在的机遇。这通常涉及对外部环境（如法律法规、市场环境变化）和内部环境（如组织结构、业务流程）的综合分析；针对性措施：基于风险评估结果，组织应策划具体、可行的应对措施来应对已识别的合规风险，并抓住潜在的合规机遇。这些措施应具体、可操作，并能直接针对风险源或机遇点。将措施纳入合规管理体系并实施；融入机制：组织应将策划好的应对措施有效地融入合规管理体系中。这包括将措施转化为具体的合规目标和运行控制程序，以及确保这些目标和程序得到全体员工的理解和执行；实施路径：融入过程可以通过多种途径实现，如通过设定明确的合规目标来指导日常运营；通过制定和执行严格的运行控制程序来规范业务活动；以及通过资源配置和能力建设来保障措施的顺利实施；具体条款：在实施过程中，组织还应关注资源规定和能力要求等具体条款的落实情况。确保有足够的资源支持措施的实施，并提升员工的专业能力和合规意识。评价措施的有效性。监视与测量：组织应建立有效的监视和测量机制来评估应对措施的实施效果。这可以通过定期的检查、审计和评估来实现，以确保措施能够按预期发挥作用；技术手段：利用现代技术手段（如数据分析、自动化工具等）来提高监视和测量的准确性和效率。这些技术手段可以帮助组织及时发现问题、识别风险，并采取相应的改进措施；内部审核与管理评审：定期进行内部审核和管理评审是评估措施有效性的重要环节。通过这些活动，组织可以全面了解合规管理体系的运行状况，发现存在的问题和不足，并制定相应的改进措施。应对措施合规风险应对措施具体内容1事前控制措施1.1岗位职责分拆，直接降低风险（特定措施）针对超高风险等级的岗位，可以将该岗位里的某一个、两个职责移到另一个岗位，直接降低该岗位的固有风险1.2设定风险预警阈值，到线预警可以设定工作事项实施在一定时间区间内，违反制度规定的次数上限，比如事不过三，违反制度出现3次为上限，达到3次上限，即启动由公司内部纪检监察等部门落实组织的专门监督检查1.3设定业务管理控制目标，目标监测可以设定工作事项所在的业务流程上的管理控制目标，也叫考核目标。当目标没有实现的时候，业务主管部门落实应查找目标没有实现的原因，并排除因为贿赂舞弊原因引起的目标未实现情形，主要防控那些引起业务管理控制目标都不能够实现的重大贿赂舞弊事件发生1.4场景投入监控设施（特定措施）比如是看管库房，就可以装监控摄像头。比如收购原材料现场可以安装监控摄像头1.5业务过程透明化措施，如全程留痕、全程记录模板等制定工作表单模板，将权力行使全过程均记录下来，记录的方式可以是机器自动记录，可以是全程摄像。也可以是文字、数字记录等1.6工作事项分解、多人制衡可以将工作事项再细分，由2人，或多人前后配合完成，或者不再分解一件事由2人，或多人同时见证完成1.7制定利益分配、资源调配程序和分由于该工作事项的实施结果是将利益分配给某人。或将资源调配给某方因此要把这种是否分配给某人、是否调配给某方的“评判工作标准”明确最大限度地避免执行人自立标准、主观评判、臆断的“评判工作标准”客观性，或最大限度地提高“否”的“评判工作标准”客观性。同时，明确行使权力的时间长度.并考虑是否适应再增加复核、1.8制定工作方式方法由于该工作事项的实施结果是将利益分配给某人，或将资源调配给某方因此要把这种利益分配给某人、资源调配给某方的“工作方式方法”明确最大限度地避免执行人主观地做。包括明确工作依据、组织形式、方法技巧施）涉及利益管理活动的工作事项，比如出纳管理现金业务事项，究竟具体如何管理。应很仔细地描述。以防止现金管理舞弊、贪污等问题。这样的具体管理方法包括：明确利益活动管理的工作日记录：明确交接班具体规则和标准；明确盘点工作规范等1.10制定利益冲突应当规定清楚如何处理出现的利益冲突、比如在出现利益冲突时，明确当事人自我申报，填写《利益冲突事项回避申请表》1.11签订廉洁承诺书，或廉洁协议书核心是明确廉洁责任，一旦发生，采取对应的处罚标准，就可以廉洁承诺书或廉洁协议书为凭据1.12教育可以建立教育制度，并且定期教育提醒，比如参观监狱等1.13