企业合规风险管理体系的构建研究

汤文静

摘要：“合规”一词由英文“Compliance”翻译而来，主要是指“遵从、遵守”。通常包含以下两层含义：一是遵守企业总部所在国和经营所在国的法律法规及监管规定；二是遵守企业内部规章、社会规范、诚信和道德行为准则等。本文讨论的合规范围涵盖企业应当遵守各种法律法规和监管规定，反腐败、反垄断、反欺诈、社会环境等各个方面，同时也包括强化合规经营反对商业贿赂方面的合规，因此，构建全面合规风险管理体系对企业具有重要的战略意义。文章通过对合规风险管理及其管理体系构建进行理论分析，针对其风险管理体制机智的建设提出几点建议，以供参考。

关键词：企业；风险管理；体系；构建

一、合规风险管理概述

（一）法律法规、相关监管机构规定

目前，国内针对企业合规治理的规范性文件散见于证券公司、保险行业和商业银行的合规指引。国务院国资委尚未出台专门针对中央企业合规风险管理体系构建指引性质的规范性文件。

（二）合规风险的范围

合规风险在中央企业层面主要表现在企业经营管理行为引发的法律责任、监管处罚、财务损失或者声誉损失的风险。从内涵上看，中央企业所面临的合规风险主要强调企业因自身原因违反法律法规和监管规则等儿遭受到的经济或声誉的损失。

（三）合规风险管理

合规风险管理是公司全面风险管理的一项核心内容，也是实施有效的内部控制的一项基础性工作。合规风险管理的重点在于企业如何开展经营活动，其内容包括公司治理、行业监管、法律风险防范、内部道德规范和规章制度等。合规风险管理的外部责任是保证企业依法履行其对外部利害关系人所承担的责任，如信息披露、保护公共利益、公平竞争、保护股东利益、不侵犯第三方权益等；内部任务是从整体上改善内部管理控制，进而提高企业的综合竞争力。

二、合规风险管理体系概述

（一）合规风险管理体系构建的理论基础

合规风险管理是风险管理的重要组成部分，具有代表性的全球风险管理理论包括澳大利亚-新西兰标准，美国COSO企业风险管理-整合框架，中国国资委《中央企业全面风险管理指引》，中国财政部等《企业内部控制基本规范》等理论框架。

（二）合规风险管理体系构建的基本原则

由于合规管理不同于其他风险管理，具有较强的强制性特征，因此，有效的企业合规风险管理体系的构建必须满足以下特征。一是自上而下，合规风险管理体系应由高层统筹，政策和流程具有较高效力；二是相对独立，企业应设置独立的合规职能和执行体系，避免利益冲突；三是政策务实，企业应制定切合公司生产经营实际的业务流程，并识别和梳理违规风险点；四是简明实操，企业应建立简明易懂、可操作性强的指引；五是管控平衡，企业应考虑业务运行效率与合规风险管控的平衡。

（三）基本思路

建设企业合规风险管理体系，全面借鉴风险管理理念，结合运用COSO-ERM等风险管理框架和风险评估等技术方法，以岗位职责为依托，修订相关管理制度；利用RCS工具对流程进行梳理、分析和评估，发现其中的关键合规风险点，评估其风险水平，并制定风险应对措施，通过指引、流程和操作手册等手段加以控制，建立统一、规范和有效运行的合规风险管理体系。企业合规风险管理体系的核心在于合规风险数据库、流程图、风险控制矩阵和权限指引表。

三、合规风险管理体系的构建

（一）组织体系建设

整合合规与风险管理内部控制职能，综合运用风险承担、风险规避、风险转移、风险转换、风险补偿、风险控制、风险对冲法进行管理；对强制性规范采取的方法主要是规避，通过制度、流程嵌入信息系统等手段避免合规风险的发生； 内审部门负责对公司内控、风险管理和合规风险管理等管理工作进行审计，是公司内控、风险管理和合规风险管理的最后屏障。整体来看，内控与风险管理部、合规管理部、内审部门在企业管理过程中缺一不可，必须紧密配合才能更优质的完成相应的管理工作。

（二）制度体系建设

1.编制公司合规政策

企业合规政策作为合规管理的纲领性文件。管理层应当制定公司战略目标，并明确公司对合规风险的容忍度，以及公司的整体风险偏好。针对目标确定风险，并在此基础上制定合规目标。经过合规风险管理人员与企业管理层反复讨论，确定并形成的书面文件，内容包括企业合规风险管理的目标和基本原则；企业倡导的合规管理文化；董事会、高级管理人员的合规责任；公司合规管理框架和报告路线；合规管理部门的地位和职责；识别和管理合规风险的主要程序等。

2.合规风险管理文化建设

企业的合规文化包含价值观念、职业道德、企业制度、企业形象、企业环境等内容，在体系建设初期，企业应重视对各级合规管理部门专业人员进行培训，培训内容包括合规风险管理技术、合规风险管理体系建设实施方案、国际国内企业合规风险管理的最佳实践、法律法规、监管规则的最新发展和变化动态等，目的在于提高合规风险管理人员的技术水平和合规管理能力，调动合规管理人员的积极性，确保合规风险管理体系建设的顺利进展。

四、合规风险管理体制机制建设

（一）企业应制定《合规风险管理手册》，并保证其执行效果和动态优化

公司通过合规管理体系建设应当形成一份《合规管理手册》，作为合规风险管理体系总的纲领性文件，内容包括控制环境、风险评估、控制活动、信息与沟通、监督与检查等。

首先，企業应建立适时更新维护机制。动态修订，更新调整，根据经营管理实际持续拓宽执行的广度、拓展深度；其次，企业应建立监督检查机制。包括业务部门互查、监督部门监控、合规管理部门抽查、内审部门穿行测试和第三方评价监督等方面。

（二）建立沟通机制

企业合规管理部门的组织架构应以集中化管理为主，即在集团总部和子公司设置独立的合规风险管理部门，公司合规管理部门负责人向公司合规负责人汇报，合规负责人向总经理，总经理向审计委员会和董事会报告，若汇报路线的岗位人员不予受理，则报告人可以向其上级汇报，直至汇报到公司董事会。

（三）建立合规风险数据库

前文论述过合规涉及的法律法规，不但有对所有公司企业都使用的通用类法律法规，也有行业特殊的规章制度，还包括行业公约等，数量庞杂。因此，建立符合保险公司实际的风险数据库，将有助于进一步加强合规风险防范的效果。同时，合规管理部门应注重收集公司及同行业披露的合规风险情况，对于公司的经营管理人员和操作者来说，很难将相关的规章制度全部吃透并在实际工作中避免。因此，建立符合保险公司实际的风险数据库，将有助于进一步加强合规风险防范的效果。对合规相关的法律法规进行归纳、整理、储存并将与实际工作相关的规定固化到流程中，方便管理人员和操作人员查找、理解和使用。同时，合规管理部门应注重收集公司及同行业披露的合规风险情况，对上述信息进行收集、整理。

（四）绘制业务流程体系文件

此项工作可在风险管理与内部控制业务流程体系文件基础上编制，根据各企业实际情况考虑是否将合规风险管理业务流程固化于信息化办公系统，并考虑匹配权限指引表和流程说明。

（五）合规风险控制矩阵

这部分是内控审计识别内控缺陷的关键应用工具，其中的控制方式分为手工控制和自动控制。在编制控制矩阵式要特别注意识别现有的控制方式并随着信息化业务的深入适时调整。特别提醒的是，手工控制和自动控制的控制测试抽样样本量的选定有一定影响。

（六）测试评价

企业应于年底对合规风险管理系统的运行进行评价。评价小组也可增加外部中介机构人员，由评价小组采取现场检查等方式开展评价工作，最终将评价结果上报董事会。

业务活动层面控制测试通过询问、观察、检查、关键控制抽样测试等多种方式进行。关键控制抽样测试是以总公司下发的控制管理文件为标准，对业务活动层面关键控制执行的有效性进行的抽样测试。

紀检部门健全完善信访举报机制，在原信访案件受理岗的基础上，增设了由部门领导担任的信访监督岗，完善信访举报件接收、受理的初始程序，保证每一件信访举报都得到有效合理的处置。

（七）考核评价机制

公司应当制定《合规风险管理考核实施细则》，使合规管理在考核指标和经营业绩中占较大比重，以确保合规管理真正落到实处。

参考文献：

[1]财政部等五部委.《企业内部控制规范2010》及配套指引，中国财政经济出版社，2010-01.

[2]COSO委员会.风险管理：整合框架.东北财经大学出版社.