企業合規風險管理體系的構建研究

湯文靜

摘要：“合規”一詞由英文“Compliance”翻譯而來，主要是指“遵從、遵守”。通常包含以下兩層含義：一是遵守企業總部所在國和經營所在國的法律法規及監管規定；二是遵守企業內部規章、社會規范、誠信和道德行為準則等。本文討論的合規范圍涵蓋企業應當遵守各種法律法規和監管規定，反腐敗、反壟斷、反欺詐、社會環境等各個方面，同時也包括強化合規經營反對商業賄賂方面的合規，因此，構建全面合規風險管理體系對企業具有重要的戰略意義。文章通過對合規風險管理及其管理體系構建進行理論分析，針對其風險管理體制機智的建設提出幾點建議，以供參考。

關鍵詞：企業；風險管理；體系；構建

一、合規風險管理概述

（一）法律法規、相關監管機構規定

目前，國內針對企業合規治理的規范性文件散見于證券公司、保險行業和商業銀行的合規指引。國務院國資委尚未出臺專門針對中央企業合規風險管理體系構建指引性質的規范性文件。

（二）合規風險的范圍

合規風險在中央企業層面主要表現在企業經營管理行為引發的法律責任、監管處罰、財務損失或者聲譽損失的風險。從內涵上看，中央企業所面臨的合規風險主要強調企業因自身原因違反法律法規和監管規則等兒遭受到的經濟或聲譽的損失。

（三）合規風險管理

合規風險管理是公司全面風險管理的一項核心內容，也是實施有效的內部控制的一項基礎性工作。合規風險管理的重點在于企業如何開展經營活動，其內容包括公司治理、行業監管、法律風險防范、內部道德規范和規章制度等。合規風險管理的外部責任是保證企業依法履行其對外部利害關系人所承擔的責任，如信息披露、保護公共利益、公平競爭、保護股東利益、不侵犯第三方權益等；內部任務是從整體上改善內部管理控制，進而提高企業的綜合競爭力。

二、合規風險管理體系概述

（一）合規風險管理體系構建的理論基礎

合規風險管理是風險管理的重要組成部分，具有代表性的全球風險管理理論包括澳大利亞-新西蘭標準，美國COSO企業風險管理-整合框架，中國國資委《中央企業全面風險管理指引》，中國財政部等《企業內部控制基本規范》等理論框架。

（二）合規風險管理體系構建的基本原則

由于合規管理不同于其他風險管理，具有較強的強制性特征，因此，有效的企業合規風險管理體系的構建必須滿足以下特征。一是自上而下，合規風險管理體系應由高層統籌，政策和流程具有較高效力；二是相對獨立，企業應設置獨立的合規職能和執行體系，避免利益沖突；三是政策務實，企業應制定切合公司生產經營實際的業務流程，并識別和梳理違規風險點；四是簡明實操，企業應建立簡明易懂、可操作性強的指引；五是管控平衡，企業應考慮業務運行效率與合規風險管控的平衡。

（三）基本思路

建設企業合規風險管理體系，全面借鑒風險管理理念，結合運用COSO-ERM等風險管理框架和風險評估等技術方法，以崗位職責為依托，修訂相關管理制度；利用RCS工具對流程進行梳理、分析和評估，發現其中的關鍵合規風險點，評估其風險水平，并制定風險應對措施，通過指引、流程和操作手冊等手段加以控制，建立統一、規范和有效運行的合規風險管理體系。企業合規風險管理體系的核心在于合規風險數據庫、流程圖、風險控制矩陣和權限指引表。

三、合規風險管理體系的構建

（一）組織體系建設

整合合規與風險管理內部控制職能，綜合運用風險承擔、風險規避、風險轉移、風險轉換、風險補償、風險控制、風險對沖法進行管理；對強制性規范采取的方法主要是規避，通過制度、流程嵌入信息系統等手段避免合規風險的發生； 內審部門負責對公司內控、風險管理和合規風險管理等管理工作進行審計，是公司內控、風險管理和合規風險管理的最后屏障。整體來看，內控與風險管理部、合規管理部、內審部門在企業管理過程中缺一不可，必須緊密配合才能更優質的完成相應的管理工作。

（二）制度體系建設

1.編制公司合規政策

企業合規政策作為合規管理的綱領性文件。管理層應當制定公司戰略目標，并明確公司對合規風險的容忍度，以及公司的整體風險偏好。針對目標確定風險，并在此基礎上制定合規目標。經過合規風險管理人員與企業管理層反復討論，確定并形成的書面文件，內容包括企業合規風險管理的目標和基本原則；企業倡導的合規管理文化；董事會、高級管理人員的合規責任；公司合規管理框架和報告路線；合規管理部門的地位和職責；識別和管理合規風險的主要程序等。

2.合規風險管理文化建設

企業的合規文化包含價值觀念、職業道德、企業制度、企業形象、企業環境等內容，在體系建設初期，企業應重視對各級合規管理部門專業人員進行培訓，培訓內容包括合規風險管理技術、合規風險管理體系建設實施方案、國際國內企業合規風險管理的最佳實踐、法律法規、監管規則的最新發展和變化動態等，目的在于提高合規風險管理人員的技術水平和合規管理能力，調動合規管理人員的積極性，確保合規風險管理體系建設的順利進展。

四、合規風險管理體制機制建設

（一）企業應制定《合規風險管理手冊》，并保證其執行效果和動態優化

公司通過合規管理體系建設應當形成一份《合規管理手冊》，作為合規風險管理體系總的綱領性文件，內容包括控制環境、風險評估、控制活動、信息與溝通、監督與檢查等。

首先，企業應建立適時更新維護機制。動態修訂，更新調整，根據經營管理實際持續拓寬執行的廣度、拓展深度；其次，企業應建立監督檢查機制。包括業務部門互查、監督部門監控、合規管理部門抽查、內審部門穿行測試和第三方評價監督等方面。

（二）建立溝通機制

企業合規管理部門的組織架構應以集中化管理為主，即在集團總部和子公司設置獨立的合規風險管理部門，公司合規管理部門負責人向公司合規負責人匯報，合規負責人向總經理，總經理向審計委員會和董事會報告，若匯報路線的崗位人員不予受理，則報告人可以向其上級匯報，直至匯報到公司董事會。

（三）建立合規風險數據庫

前文論述過合規涉及的法律法規，不但有對所有公司企業都使用的通用類法律法規，也有行業特殊的規章制度，還包括行業公約等，數量龐雜。因此，建立符合保險公司實際的風險數據庫，將有助于進一步加強合規風險防范的效果。同時，合規管理部門應注重收集公司及同行業披露的合規風險情況，對于公司的經營管理人員和操作者來說，很難將相關的規章制度全部吃透并在實際工作中避免。因此，建立符合保險公司實際的風險數據庫，將有助于進一步加強合規風險防范的效果。對合規相關的法律法規進行歸納、整理、儲存并將與實際工作相關的規定固化到流程中，方便管理人員和操作人員查找、理解和使用。同時，合規管理部門應注重收集公司及同行業披露的合規風險情況，對上述信息進行收集、整理。

（四）繪制業務流程體系文件

此項工作可在風險管理與內部控制業務流程體系文件基礎上編制，根據各企業實際情況考慮是否將合規風險管理業務流程固化于信息化辦公系統，并考慮匹配權限指引表和流程說明。

（五）合規風險控制矩陣

這部分是內控審計識別內控缺陷的關鍵應用工具，其中的控制方式分為手工控制和自動控制。在編制控制矩陣式要特別注意識別現有的控制方式并隨著信息化業務的深入適時調整。特別提醒的是，手工控制和自動控制的控制測試抽樣樣本量的選定有一定影響。

（六）測試評價

企業應于年底對合規風險管理系統的運行進行評價。評價小組也可增加外部中介機構人員，由評價小組采取現場檢查等方式開展評價工作，最終將評價結果上報董事會。

業務活動層面控制測試通過詢問、觀察、檢查、關鍵控制抽樣測試等多種方式進行。關鍵控制抽樣測試是以總公司下發的控制管理文件為標準，對業務活動層面關鍵控制執行的有效性進行的抽樣測試。

紀檢部門健全完善信訪舉報機制，在原信訪案件受理崗的基礎上，增設了由部門領導擔任的信訪監督崗，完善信訪舉報件接收、受理的初始程序，保證每一件信訪舉報都得到有效合理的處置。

（七）考核評價機制

公司應當制定《合規風險管理考核實施細則》，使合規管理在考核指標和經營業績中占較大比重，以確保合規管理真正落到實處。

參考文獻：

[1]財政部等五部委.《企業內部控制規范2010》及配套指引，中國財政經濟出版社，2010-01.

[2]COSO委員會.風險管理：整合框架.東北財經大學出版社.