目录
一、 从国际标准指南看风险评估最佳实践
(一) ISO风险管理标准与合规风险评估
(二) COSO风险管理框架与合规风险评估
二、 三大合规领域对风险评估的指导要求
(一) 出口管制领域
(二) 反贿赂领域
(三) 数据保护领域
三、 企业合规风险评估的优化建议
(一) 收集基本信息阶段
(二) 评估固有风险阶段
(三) 评估管控措施阶段
(四) 评估结果应用阶段
一、从国际标准指南看风险评估最佳实践
三、企业合规风险评估的优化建议
总结国际标准最佳实践以及三大合规领域风险评估指导要求的共性经验,笔者将企业合规风险评估概括为:收集基本信息-评估固有风险-评估管控措施-评估结果应用四个阶段,下文将分别论述针对各阶段的优化建议。
(一)收集基本信息阶段
1. 提升信息质量
获取完整、准确、及时的信息,是确保风险评估有效性的核心要素和先决条件。首先,提升信息完整性,需要保证信息由业务上升至风评人员的过程中不存在衰减与变化,同时要在收集信息的过程中引入更多利益相关方。企业高级管理人员、业务单位领导和业务人员对风险都有各自的理解,确保听取各方观点十分重要;其次,提升信息准确性。错误的信息将直接导致风险评估工作得到不可靠的结果,因此员工应为其提供信息的准确性负责,故意不配合或提供虚假信息可能会受到相应处罚或者绩效影响,还可以设置审核机制记录相关审核过程和意见;最后,提升信息及时性。外部环境瞬息万变,监管变动日渐频繁,业务单位应当积极响应信息需求以配合风评人员作出及时正确的风险评估,并在业务场景发生变化时第一时间通知合规部门更新风险评估。
2. 优化信息互通
沟通对于提升企业合规计划而言非常关键,只有优化信息互通,才能加速信息获取,提升风险评估效率。首先,应加强纵向信息互通,加强合规与业务的直接沟通。正如 ECCP 强调,风险评估应当基于合规部门对业务经营数据和信息的持续访问,应当确保合规风评人员能够有清晰、快捷的途径访问业务信息。可以丰富风评人员与业务单位的沟通渠道、优化业务单位的信息反馈机制,如举办业务与合规部门的定期研讨,在业务的年度总结和未来规划大会上邀请合规部门列席等;其次,应加强横向信息互通,提高业务信息流转效率。为避免业务人员疲于应对各项风险、自检和审计等类检查工作,重复提交信息导致的低效,可以在类检查工作组中形成信息共享机制,实现业务信息的高效整合与利用。
(二)评估固有风险阶段
1. 提升风评人员能力
风评人员的能力水平将直接影响风险评估工作的质量。要提升风评人员的能力,首先,应加强风险评估知识和技能培训,扩大具备风险评估能力的专业人员数量和范围;其次,合规风评人员不能脱离业务开展风评工作,需要通过加强与业务单位沟通、查阅相应规范文档熟悉业务流程,以准确识别业务的风险;最后,风评人员应当努力培养前瞻意识,可以通过系统性引导业务探讨未来情景分析,以及化被动解读政策法规变化为主动预测法律监管走向,帮助业务识别更多未来可能遇见的风险。
2. 维护合规义务清单
如前所述,ISO 37301进一步突出强调识别合规义务对开展风险评估工作的重要性,企业需要形成合规义务的文档化维护机制。业务单位可以维护各自的合规义务清单,自上而下梳理各种规范文件的要求,并区分义务的强制性与非强制性、来源、后果等,加强业务单位的风险知察能力,提高风险分类管理的能力。维护书面的合规义务清单可以帮助员工理解其合规职责、如何参与执行,如何与其它业务部门协同推进合规工作。
(三)评估管控措施阶段
1. 使用适当的技术
风险评估需要兼顾定性与定量分析,定性分析往往依靠经验,存在一定局限性,定量分析可以使分析结果更加精准量化。使用适当的技术或技术组合,可避免因风评人员的偏见或知识不足导致影响评估结果的客观性,提高风评人员对不确定事件的洞察力。可以引入业界先进的风险评估IT系统或者工具,将相关数据和标准输入后智能化生成风险地图及辅助数据分析。
2. 考虑风险的交互
识别特定业务领域的合规风险时,需要考虑不同领域的交叉性。如研发领域,也存在采购、人事招聘等业务,仅从单一研发的角度不能确保识别到整个流程的风险。不同的合规风险间亦存在交互性,如出口管制的主体扫描可能与数据保护的数据处理原则相冲突,如何在不同的合规风险中进行评估处理也对企业跨领域风险评估带来了挑战。
(四)评估结果应用阶段
1. 有效跟进控制改进措施执行
风险评估的价值在于结果的有效运用,应当根据风险评估的结果,制定各等级风险的监控计划,明确业务单位及合规部门的风险整改职责,设定明确的绩效目标。虽然企业风险评估的最终目的是控制所有识别的风险,但同一业务单位中更高优先级的风险应当被特别关注与处理。可以结合企业项目管理工具,有效推进风险整改任务执行与闭环。
2. 完善风险评估政策流程机制
风险评估政策流程及其标准是否“定期更新”是评估一家公司的合规体系是否设计妥善和良好时的重要标准。因此,需要对风险评估工作进行定期回顾,总结经验不断提升风险评估技术水平,优化风险评估政策流程,建立健全风险评估的协同机制。在进行合规风险评估时,既要明确各业务领域的个性要求,又要抽离出各领域风险的共性,兼顾统筹各领域的风险特点,科学推进实施企业层级全面的风险评估。
脚注:
[1] https://www.ussc.gov/sites/default/files/pdf/guidelines-anual/2014/CHAPTER_8.pdf.
[2] 同上。
[3] https://www.justice.gov.uk/downloads/legislation/bribery-act-2010-guidance.pdf.
[4] ISO,国际标准化组织 (International Organization for Standardization),是世界上最大的非政府性标准化专门机构。"ISO"一词来源于希腊语isos,意为“相等”,其宗旨是“在世界上促进标准化及其相关活动的发展,以便于商品和服务的国际交换,在智力、科学、技术和经济领域开展合作。”中国于1978年加入 ISO,在2008年10月的第31届国际化标准组织大会上,中国正式成为 ISO 的常任理事国。
[5] https://www.iso.org/standard/62342.html. 题图来源:TravelHealthPro.org.uk
大型企业合规管理建设暨企业合规师职业技能提升高级研修班(北京站) (受广州疫情影响,现广州班改为在北京开)
课程内容:
第一天上午 合规管理的基本原理与体系要素:基础
1.合规管理是什么?为什么要进行合规管理?
2.合规管理体系的基本组成要素是什么?
3.合规管理体系建设的目标设定与实施路径
4.合规管理体系十大权威框架
5.合规管理体系四大实例形态
1.大型企业合规管理体系建设工作的启动
2.大型企业合规管理体系建设的施工图
3.大型企业合规管理体系建设流程:九步法
4.大型企业合规管理体系建设中的重点问题及其解决
5.大型企业合规管理体系建设成果的体现
第二天上午 基于信息化视角的合规管理运行框架实施:衔接
1.合规管理运行机制的设计
2.从合规审查、合规检查到合规有效性评价
3.管理信息系统开发一般过程及合规管理体系中的可信息化部分
4.合规管理系统的模块组成与功能运用
5.合规管理系统开发的外包
第二天下午 企业合规师的基本职业素养及技能提升:成长
1.作为一种新职业的企业合规师之基本素养:基于国家职业技能标准
2.企业合规师的知识结构与技能要求
3.合规思维与法务思维的不同点及从法务到合规的转变
4.企业合规人员的工作清单及工作方式
5.企业合规建设与合规人才培养及企业合规师成长
课程时间:
2021年6月26日-27日(两天)
课程地点:
北京(某5星酒店,具体地址,另行通知)
课程导师:
陶光辉律师,企业合规管理实务培训与咨询集大成者,德衡律师集团管委会成员(2021),高级合伙人,一法网创始人。武汉大学法学硕士,高级经济师,曾任500强法务总监,获ALB2016中国最佳总法律顾问称号,担任大连大学法学院客座教授,北京大学全球高端法商人才计划未来领袖授课专家,中国人民大学企业法治研究所兼职研究员,青岛仲裁委互联网仲裁院副院长,北京律师协会企业法律顾问专业委员会副主任等职务,著有《公司法务部》、《法务之道》、《合规管理十论》等。
课程价格:
5800元/位
扫码报名:
010-57804780