标杆案例
合规风险与企业八项权力识别模型
一、合规风险定义
对企业来说,通常的风险是指影响其总体或部门生产经营目标的不确定性。在市场经济环境中,企业的生产经营行为应该遵循合规义务,而一旦违反合规义务,便发生了合规风险。在ISO19600-2014《合规管理体系 指南》的3.12中明确指出,“合规风险是对合规目标影响的不确定性。合规风险是不符合组织合规义务的可能性和后果”在合规管理体系中,合规目标是由组织制定的,是组织行为符合组织适用的合规义务的要求一致。合规风险主要涉及不合规事件发生的可能性以及不合规导致的后果,其中,不合规是指未履行合规义务或者违反合规义务。
从这个角度出发,合规义务与合规风险之间存在一一对应关系。目前,大多数公司开展生产经营活动的过程中在面临一般性的市场风险、管理风险,如销量下降、质量或财务问题的同时,更要考虑到生产经营活动合规风险,特别是一些企业越来越多的合规风险已经连续发生。同时,监管当局也正以更大力度地宣传或颁布具体法律法规,并积极应对、打击企业的违规行为。
合规风险的存在是一个相对概念,它是比照“合规义务”是否履行的不确定性而产生的“合规风险”。假如企业没有承担“合规义务”,就无所谓“合规风险”。反之,承担“合规义务”越多,未履行或者违反合规义务而导致的“合规风险”也越多。同时,如果承担“合规义务”标准越高,企业是否能够履行就更具有不确定性,由此未能达到合规义务要求而导致的“合规风险”发生的概率也越高。
合规义务是企业追求商业行为价值观水平的综合反映。不同的企业,因为其生产经营管理水平、规模、复杂性、结构、运营的方式和市场竞争地位不同,所坚守的商业行为价值标准有高有低,从而主动承担的“合规义务”也各不同。除了强制性的合规要求以外,合规承诺的有高有低,有多有少,企业生产经营活动对应的合规风险点也相应有多有少。从有利于企业长期健康、持续发展出发,企业必须承担足够多的“合规义务”,合规经营,企业才能够基业常青。
经济全球化,国际市场的相关企业不合规事件曝光数上升,比如世界银行受到制裁的实体名单不断在增加,相关国家也相继加大各种不合规行为的执法处罚力度,开展国际业务的跨国公司管理者们共同面临着一个挑战——合规风险形势越来越严峻和复杂。在中国的“一带一路”和“走出去”的战略背景下,越来越多的中国企业走出去需要在国际业务中应对这样的挑战,“如何管理合规风险”越来越具有国际化的难度。随着企业生产经营全球化,强制性的合规要求会因为企业总部所在国和市场经营所在国的叠加而越来越复杂,合规承诺也会因为市场经营所在国的市场竞争环境不同而出现本土化调整,合规风险管理也就更加复杂化。因此,在当前全球强化合规的大环境下,中国企业走向全球化更需要建立合规管理体系,依法合规地经营,保护企业、利益相关方和雇员。中国企业的“一带一路”市场拓展和“走出去”也概莫能外,合规风险成为企业必须面对的首要管理风险。2019年4月26日上午在北京举行的第二届“一带一路”国际合作高峰论坛开幕式上,国家主席习近平出席开幕式并发表主旨演讲提出:我们要坚持开放、绿色、廉洁理念,不搞封闭排他的小圈子,把绿色作为底色,推动绿色基础设施建设、绿色投资、绿色金融,保护好我们赖以生存的共同家园,坚持一切合作都在阳光下运作,共同以零容忍态度打击腐败。我们要努力实现高标准、惠民生、可持续目标,引入各方普遍支持的规则标准,推动企业在项目建设、运营、采购、招投标等环节按照普遍接受的国际规则标准进行,同时要尊重各国法律法规。指出了中国企业的“一带一路”必须是廉洁之路、合规之路。
二、合规风险分类
有什么样的合规义务,就有什么样的合规风险。
(1)根据合规义务的内容不同,可以将合规风险分成三大类:行为不合纪律与道德规范的风险、行为不合企业合规承诺的风险、行为不合法律法规监管规定等的风险。
a)行为不合纪律与道德规范的风险可能包括但不限于:违反发布的各种纪律风险、违反社会道德风险、违反社会文明约定风险、违反社区文化风俗风险等。
b)行为不合企业合规承诺风险可能包括但不限于:违反产品技术承诺风险、违反产品质量承诺风险、违反售后服务承诺风险、违反产品功能承诺风险、违反产品节能承诺风险、违反产品绿色承诺风险等。
c)行为不合法律法规监管规定等的风险包括但不限于:违反安全生产法风险、违反反垄断风险、违反商业法规风险、违反职业健康安全法规风险、违反环境法规风险等。
(2)根据合规风险可能发生的地方还可以分为:
a)可能发生在岗位上的合规风险,它是指岗位人员在履行岗位授予的职责过程中对合规目标产生影响的不确定性;
b)可能发生在流程上的合规风险,它是指在流程运行过程中,流程某环节中的人员行为对合规目标产生影响的不确定性。
事实上,合规风险一旦发生,它既存在于某个岗位上,也同时存在于某流程的某个环节。但这样分类的好处在于,从岗位定义的合规风险,适合于科层制管理体系比较健全,强调岗位管理和岗位履行职责的企业,开展基于岗位合规风险识别分析评估,建立合规管理体系;从流程定义的合规风险,适合于流程型管理体系比较完善的企业,开展基于流程合规风险识别评估,建立合规管理体系。
(3)从管理措施是否有效管理控制合规风险出发,合规风险可以分为固有合规风险(Inherent Compliance Risk)和剩余合规风险(Residual Compliance Risk)。
固有合规风险是在没有对应的合规风险管理控制措施,处于无管控状态下的全部合规风险。存在合规义务的地方,就存在不遵循和违反合规义务的不确定性,就存在合规风险,没有任何合规管理控制措施状态下,合规风险处于最大值发生状态时候即处于固有合规风险状态。固有合规风险存在原因源自于所有合规义务的不遵循和违反的可能性。比如,在企业生产经营决策流程和决策岗位上,假如对企业生产经营决策的全部合规义务有50项,在企业对生产经营决策流程和决策岗位履行职责方面没有采取任何合规风险管控的前提下,则企业生产经营决策流程和决策岗位上的合规风险也有50项,这即是决策固有合规风险全部。
剩余合规风险是在企业当前已有的合规风险管理措施管控下,仍然还有未被有效管控的部分残留合规风险。剩余合规风险是在固有合规风险基础上做了减法的合规风险。存在合规义务的地方,就存在固有合规风险,但是不一定存在剩余合规风险。有没有剩余合规风险,必须考察企业为了管理和控制固有合规风险,是否采取合规风险管理控制措施,并要证实这些合规风险管理控制措施得到落实和是否有效管理全部合规风险,减去已经有效管控的合规风险,残留剩余下来的合规风险即剩余合规风险,因此剩余合规风险可以等于零,或者小于固有合规风险。还是拿上面的决策合规风险为例。假如对企业生产经营决策的全部合规义务有50项,在企业对生产经营决策流程和决策岗位履行职责方面采取了多个决策管理控制制度进行决策合规风险管控,假设得到有效管控的合规风险有30项,则企业生产经营决策流程和决策岗位上的合规风险为50减去30项,残留剩余20项,这即是决策剩余合规风险。在一个管理制度比较完善的企业里,合规从业人员面对的是剩余合规风险识别与管理。
(四)从有无合规风险源角度,合规风险可以分为有源合规风险和无源合规风险
有源合规风险是指存在合规风险源的合规风险,合规风险发生时,是由一个或者多个因素组合引致发生的合规风险。比如企业某岗位人员负责的一项社会人员招聘工作任务,该工作任务实际是一项具体人事权力,该岗位人员就可以利用这种人事权力进行的违规,既可以主动违规,也可以被动违规,一般为主观故意违规、不合规,这时候,企业即使有比较好的制度措施,该岗位人员也会挺而冒险不顾制度措施的约束,其风险管控难度显然加大。
无源合规风险是指没有合规风险源引致但存在合规义务的合规风险。当合规风险发生时,当事人一般为客观无意违规、不合规,原因往往是因为当事人员不了解合规义务导致,未告知、未接受对应合规义务培训导致。这样的合规风险,我们进行合规风险管控方法比较简单,一个新的合规义务出来,或者发生变化调整,企业合规管理部门及时组织相关人员进行合规义务内容宣传、培训和每年一次的合规义务内容知识考试通过就可以了。
区分有源合规风险、无源合规风险,目的在于风险管理控制措施的区分对待,最大限度的降低合规管控成本。经过合规义务内容宣传、培训和考试后,合规管理部门主要面对的合规风险基本就是有源合规风险,因此在没有特别说明的时候,我们谈到的合规风险识别时候,实际指的是有源合规风险的识别。只有这样的合规风险,企业管理层才需要投入一定的人力物力去进行管理控制的,仅进行合规义务内容宣传、培训和考试是没有风险控制效果。
三、合规风险分布特征
由于合规风险与合规义务是一一对应关系,而合规风险是未履行或违反合规义务的不确定性导致的,所以合规义务分布在哪,这种不确定性就在哪,合规风险就源于哪。因此,合规义务的分布特征同时也是合规风险分布特征。
那么,合规义务的分布是否有特征?根据多年的对不合规案例事实的研究发现,合规义务主要是用来规范和约束存在合规风险源的活动,凡是可能引起行为失范、不履行社会责任、破坏公正公平正义、违背事务客观规律、引起人身安全、环境破坏等的地方,均需要合规义务来进行规范和约束。这些引起行为失范、不履行社会责任、破坏公正公平正义、违背事务客观规律、引起人身安全、环境破坏等现象的地方没有合规风险源的地方,往往是合规风险源存在的地方。不存在这些现象的地方,从社会运行成本和效率角度看,一定程度上,是没有必要制定合规义务对其行为进行约束和规范。比如权力,权力是指支配利益分配或资源调配的强制性力量。行使权力的过程实质是分配利益、调配资源的过程,利益分配、调配资源过程就可能存在利益纷争与不公平公正分配利益、调配资源的情形,也是引起腐败的重要根源,是组织的一个重要合规风险源。为约束与规范这种分配利益、调配资源的过程,监管机构就会出台有关强制性的规范和约束权力行使的合规要求,所以有权力的地方,合规义务就存在。没有权力等合规风险源的地方,合规义务的存在就失去意义了。由此可见,合规义务在哪是由是否有合规风险源来决定的。
综上,合规风险源、合规义务和合规风险存在内在的一致性。合规风险源决定和影响合规义务的分布特征。
四、合规风险源
合规风险源是指组织活动中可能引发合规风险发生的内在的要素和组合叠加的要素。
在对100多个违规案例涉及186人违规事例统计分析发现,因为权力引致的合规风险事项发生占比是96%,从这占比看,权力是合规风险源中最主要的合规风险源,也将是主要决定合规风险的分布特征。根据对这些不合规案例事实的检索统计分析,审批权、市场客服与销售权、人事权、采购权、放行权、计量权、财务资金权和拥有关键信息权等八项权力,密切影响行为的合规性。这八项权力即“企业八项权力识别模型”,八项权力的具体内涵如下:
第一项权力——审核权。审核权是是负责决定做与不做的活动。审批权力组织里最重要的一项权力。分布于组织内部各个管理科层的大大小小的“领导”岗位,决定一件事情做还是不做、现在做还是推迟到以后做、同意还是不同意、赞同还是不赞同等方面的权力叫审核权,它是组织最高管理层对权力在组织内部各个管理科层的一个逐级授予的权力,各岗位的“领导”在授权范围内代表组织行使签字的权力,也可以叫签字权。如企业的市场客服与销售、人事、采购、放行、计量、财务资金收支等具体业务工作开展前的是否值得做的预判、或者形成的工作方案、或者形成的阶段工作结果、或者形成的最终工作结果需要得到组织的认可,则需要在授权范围的各级“领导”审核认可。审核权在于掌握组织是否做正确的事情。审核权是组织里最大的权力,审核权力能够对组织内各级的领导分管业务范围的市场客服与销售、人事、采购、放行、计量、财务资金收支等具体业务经办权力产生实质影响,这也是组织各级的领导成为不合规问题发生得多的一个直接原因。
第二项权力——市场客服与销售权。市场客服与销售权是负责推销资产、产品、服务并卖给客户的活动。市场客服与销售权是具有销售活动的盈利组织一项重要的业务权力。企业需要把自己生产的产品、服务卖给特定的客户的过程即市场客服与销售权。将企业某个资产作价卖出也是销售活动。企业是供应者,特定客户是需求者,在市场上,若干的同类产品供应者和同样需求的客户,两者组成供应和需求力量对比关系。如供应大于需求时候,供方处于定价和被选择的谈判弱势地位,需求方处于定价和选择的谈判强势地位,对于供方来说,市场客服与销售权如何获得客户的选择和确定销售价格是关键;如供应小于需求时候,供方处于定价和被选择的谈判谈判强势,需求方处于定价和选择的谈判弱势地位,对于供方来说,市场客服与销售权如何获得比较高的销售价格是关键。市场客服与销售权是企业生产的产品、服务变现和实现收入的关键权力。
第三项权力——人事权。人事权是负责企业人员管理的活动。人事权是企业人力资源管理的专门权力,但是有人事权力的地方未必是人力资源部门。人事权是指专门负责组织正常运行所需要的人力资源开发、管理和运用过程。人力作为企业组织正常生产经营所需要的生产要素而进行的专门管理和协调工作。组织里,所有与人有关联关系的工作内容都与人之间的利益分配有关系,人事权的本质是决定组织内部人员生存空间、环境、质量的变量。人是组织里最活跃的生产经营要素,人具有感情动物,时刻受人感情活动的影响是人事权力的最大特征。
第四项权力——采购权。采购权是负责购买企业所需的活动。采购权在组织里普遍存在,是组织从组织以外获得生存持续补给的工作方法。采购权是组织,特别是企业组织正常生产活动需要从社会、大自然获得各类生产要素的基本经济活动。企业的投资行为也是一种特别的采购活动。企业作为供应者需要为特定客户提供产品,那么供应者需要在市场上获得生产特定客户所需产品的原始生产要素,这种生产要素也分布在市场上,也存在需求和供应力量对比关系。如需求大于供应时候,需求方处于需求定价和选择供方的谈判弱势地位,供应方处于定价和选择需求方的谈判强势地位,对于需求方来说,确定采购价格和找到对应价格的供应商是关键;如需求小于供应时候,需求方处于定价和选择的谈判谈判强势,供应方处于定价和选择的谈判弱势地位,对于需求方来说,采购权如何获得比较低的采购价格和有供应能力的供应方是关键。采购权往往是企业现金变为原材料产品后形成价格成本的关键权力。
第五项权力——放行权。放行权是负责利用某尺度标准进行判断、对比、衡量的活动。放行权是采购以后的后续重要业务权力。采购来的产品是否能够满足企业生产经营需要,应该经过质量、技术、安全等等方面的把关,按照国家和行业的标准,或者组织拟定的特定标准,检验评价采购来的产品是合格的,才能够放行。放行权是采购的产品能够进入企业生产环节的关键权力。
第六项权力——计量权。计量权是负责确定数量多少的活动。计量权是放行权后面紧跟的一项业务权力。计量权是对所采购的经过检验等放行把关后的产品,形成组织对供应方的应付款项的过程。计量权往往是企业现金变为原材料产品后形成数量成本的关键权力。当然,也可以单独的计量权,比如,仓库物资的定期盘点,与放行权力无关。
第七项权力——财务资金权。财务资金权是负责企业资金流管理的活动。财务资金权是企业里掌握资金流动的最重要权力。凡是与影响企业财务资金运动方向、大小、速度、停留时间长短的有关预算、计划、保管、直接收支支配等业务内容,均为财务资金权。
第八项权力——拥有关键信息权。拥有关键信息权是指履行岗位职责过程中能接触、掌握、形成需控制受众范围的信息的机会。拥有关键信息是前面七项权力在行使过程中衍生出来的一项独特的权力。拥有关键信息以组织之间和组织内部信息不对称为基本出发点,形成的上面七项权力行使过程中,权力行使者自然掌握的有利信息和不利信息。由于利益相关方想获得不对称的重要信息,提高自己的竞争力,而产生利益与关键信息的不正当相互交换关系,这就是关键信息的价值魅力所在。
以上八个方面的权力是企业在生产经营过程中行使的各类型权力,它们广泛分布于企业各岗位和流程里,并且职位越高的岗位和越核心的业务流程,被授予这八项权力其中的权力也就越多越重要,引致不合规行为的可能性就越高,合规风险也越多。因此,在这些权力行使的过程中,最容易导致不合规风险发生,最容易产生违反法律法规、违反企业合规承诺、违反企业尊崇的纪律与道德价值准则的行为,这些权力在岗位和流程的分布的地方,也是存在有源合规风险的地方,这就是基于岗位和流程的“企业八项权力识别模型”来识别有源合规风险的理论基础。只要我们识别了以上八个方面的权力在生产经营业务中岗位和流程中的分布情况,并逐一标识出来,就能够识别到企业分布各业务岗位和流程上的因为权力风险源引起的合规风险点。
除了上面的权力风险源以外,在我们的实践总结和研究中,发现还有其他的合规风险源。到目前为止,包括权力在内,我们已经发现八类合规风险源。包括但不限于存在制度缺陷、认知缺失、技术缺陷、监控缺失的地方和组织运转过程中存在的利益管理、权力行使、技术性操作、利益冲突的活动等一切可能引起与合规义务不一致的行为的要素,都是合规风险源。
(一)从内部控制完善程度分析合规风险源
有四种情形的合规风险源。
1、制度缺陷
企业没有对应的制度、部分缺失制度、或者制度措施没有有效控制作用。
2、认知缺失
员工不知道企业现有的制度约束和控制要求。
3、技术缺陷
企业对某产品、某方面的技术标准、参数有不足、不成熟。
4、监控缺失
企业对某业务活动由于某种原因,监督控制基本处于缺失的状态下。
(三)从业务本身的自然属性分析合规风险源
组织运转过程中有四种属性的合规风险源
1、利益管理
涉及企业、个人利益得失的活动。利益管理活动是指岗位职责中,由于职责履行,存在接触、控制利益的活动。符合该定义特征的职责履行,都属于存在“利益管理”的业务活动。如岗位职责中存在负责仓库物品整理、安全、防盗管理;负责金库安全看护管理;负责人民币押运;负责货物保管等,均属于存在“利益管理”的业务活动。
2、技术性(黑箱)操作
技术性(黑箱)操作是指企业的某个业务活动只有经办人员知道其实际实施过程且无过程痕迹,他人事后难以知道。符合该定义特征的职责履行,都属于存在“技术性(黑箱)操作”的业务活动。如岗位酒店客房清洁服务人员负责对客人离店后的酒店客房内部做清洁消毒活动;饭店的厨师炒菜活动等,都是属于存在“技术性(黑箱)操作”的活动。
3、利益冲突
利益冲突是私人利益与企业利益之间存在冲突的活动,岗位职责中,职责履行客体中,存在与职责履行主体个人利益一致,却与公司利益不一致的活动。符合该定义特征的职责履行,都属于存在“利益冲突”的业务活动。如办理监察事项的监察人员负责的监察对象或者检举人是其近亲属的;负责供应商资源信用调查、评价管理的岗位,有一家供应商的老板是该岗位人员的战友、朋友、亲戚的等,都是属于存在“利益冲突”的活动。
4、权力行使
企业最大的最广泛的合规风险源!前面已专门阐述。
(来源:企业合规风险控制与效能管理研究)
(作者:樊光中)
小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。