如何识别企业合规风险

2023年10月18日，在第三届“一带一路”国际合作高峰论坛开幕式的主旨演讲中，国家主席习近平宣布，中国支持高质量共建“一带一路”的八项行动。其中提出，中方将会同合作伙伴发布《“一带一路”廉洁建设成效与展望》，推出《“一带一路”廉洁建设高级原则》，建立“一带一路”企业廉洁合规评价体系，同国际组织合作开展“一带一路”廉洁研究和培训。

2023年12月29日，第十四届全国人民代表大会常务委员第七次会议表决通过新修订的《中华人民共和国公司法》（以下简称新公司法），对公司合规经营方面的要求作出修改。新公司法第十九条规定，公司从事经营活动，应当遵守法律法规，遵守社会公德、商业道德，诚实守信，接受政府和社会公众的监督；第二十条规定，公司从事经营活动，应当充分考虑公司职工、消费者等利益相关者的利益以及生态环境保护等社会公共利益，承担社会责任，国家鼓励公司参与社会公益活动，公布社会责任报告；第一百七十七条规定，国家出资公司应当依法建立健全内部监督管理和风险控制制度，加强内部合规管理。

国务院国有资产监督管理委员会（以下简称国务院国资委）于2018年11月印发《中央企业合规管理指引（试行）》；2021年12月发布第四批中央企业合规管理系列指南；2022年8月发布《中央企业合规管理办法》（国务院国资委令第42号）。此外，国际标准ISO 37301-2021《合规管理体系要求及使用指南》（2021年4月）和国家标准GB/T 35770-2022《合规管理体系要求及使用指南》（2022年10月）相继发布。

新时代，我国各类所有制企业已经越来越重视企业合规风险控制与合规管理，并且着力探索如何建立企业有效的合规管理体系，以形成有效、管用的企业合规风险控制机制。各研究机构、大学、协会和咨询公司也在积极研究和推进企业合规管理。国际标准ISO 37301-2021和国家标准GB/T 35770-2022《合规管理体系要求及使用指南》均提出，识别合规风险是建立企业合规管理体系的基础，准确识别合规风险是决定企业合规管理体系有效性的基本前提。

实践工作中，开展合规管理的最大工作难点是如何正确识别合规风险。传统的合规风险识别方法具有较大的随机性、随意性和主观性，不同的人来识别，往往会产生不同的结果，这样的做法既不具有专业性，又不具有系统性。缺乏合规风险识别工具与技术是合规从业人员合规管理工作中的普遍痛点，如何正确识别企业合规风险，也是合规从业人员开展合规管理工作、建立有效合规管理体系的难点。笔者认为，在实践中，需要把握住三个方面的工作：一是引致合规风险的合规风险源是什么；二是确定识别合规风险源的分布情况；三是匹配合规风险源对应的“规”并定义具体合规风险点。

引致合规风险的合规风险源

权力是支配利益分配及资源调配的能力。权力寻租是指，握有权力者以权力为筹码谋求获取自身利益的一种非生产性活动的经济学术语，如权物交易、权钱交易、权权交易、权色交易等。凡权力均存在特定的权力对象，如权力承租人，反之，缺乏权力对象如权力承租人的权力，不能够称之为“权力”。2015年，笔者检索和统计了1999年—2014年的100余家企业违规、腐败案例，通过分析企业组织内部的内控失灵、舞弊问题，甚至违纪违规腐败贪污、贿赂犯罪等系列违规犯罪问题发现，96％的问题出现在有八项权力分布的业务领域和岗位。利用这八项权力中的一项或者两项甚至更多权力在生产经营活动中违规犯罪是这100多个案例能够发生的路径依赖。从这些案例案情统计分析看，权力成为引致合规风险的主要合规风险源。权力＋不良动机＋业务机会＝不合规行为发生，这成为不合规行为发生的“铁三角定律”。没有权力，不合规行为发生就缺少了第一必要条件。经过对案例的统计、分析和归纳提炼，企业组织的八项权力具体内容如下。

第一，审批权。决定做与不做的权力，是指决策、决定、批准等具有核准性质的活动，多为企业各类业务、各层级大小领导能够决定某项事务做、还是不做的决定权。行权内容包括销售、人事、采购、放行、计量、财务资金等领域的决策审批。

第二，市场客服与销售权。推销资产、产品、服务并卖给客户的权力。行权内容包括向客户介绍资产、产品、服务功能、销售政策、价格优惠条件、销售合同签订、售后服务、维修、保养、置换等客服、销售性质活动以及向客户所实施的营销推送活动，多为市场客服与销售岗位人员的主要活动。

第三，人事权。管理企业人员人事的权力。人事权的行权内容包括雇佣、招聘、任免、考核、人员奖励与处罚、职称评定、岗位选拔、评先进、劳模等针对人的管理活动，即多为人力资源岗位人员的主要活动。

第四，采购权。购买企业所需的权力。行权内容包括投资活动、确定供应商、外包商、租赁商合格名册、采购数量、采购方式、采购策划，编写采购文件，确定价格和中标人，签订合同、合同变更等与选择第三方合作伙伴、确定所采购的产品、服务定价有关的活动，多为采购、投资相关岗位人员的主要活动。

第五，放行权。利用某种尺度标准进行判断、对比、衡量的权力。行权内容包括质量检测、安全管理、仓储管理、品控管理、物料设备使用管理、技术审核、专业评审、专业认证、监督、环境管理、进出门管理等工作过程中间产品进出、放行、许可等专业技术复核性质的活动，多为质检岗、技术岗、现场岗、库管岗、品管岗、门卫等岗位的主要活动。

第六，计量权。确定数量多少的权力。行权内容包括计量劳动工作量、产品、服务、物资、设备计量，如货物计数、采购结算、开具验收单、物料领用、消耗计量、工作量计量、分包量计量、容积测量、计时计件、记账等计数计量称重活动，多为供应链、物流线上的岗位和会计岗位人员的主要活动。

第七，财务资金权。管理企业资金流动的权力。行权内容包括资金、费用预算、计划、收款、付款、费用开支管理和负责费用报销管理、津贴福利开支管理等经手钱财进出性质的活动，多为财务、出纳、收支计划、财务预算等岗位人员的主要活动。

第八，拥有关键信息权。履行岗位职责过程中接触、掌握、创造需控制受众范围信息的权力。权力内容包括参与公司高层内部决策会议、重要商务及管理活动，知道公司内部商业秘密、商业策略、战略、重要人事安排、重要工作部署，以及知晓采购分包中其他投标人、标底、预算等信息。

以上八个方面的权力是企业在生产经营过程中广泛行使的各项权力，在这些权力行使的过程中，极易导致腐败风险发生，从而产生违反法律法规、违反企业制度、违反企业所尊崇的道德价值准则的行为。识别了以上八个方面的权力在生产经营业务中的分布情况，就识别了合规风险源及合规风险的分布情况。存在于企业生产经营活动中的八项权力，正是引致合规风险的主要合规风险源。

如何识别合规风险源的分布情况

笔者通过梳理、分析不合规行为案例，得出不合规行为发生存在的规律，即不合规行为发生的“铁三角定律”：权力＋不良动机＋业务机会＝不合规行为。没有权力，不合规行为发生缺少了第一必要条件，合规风险就难以发生。反过来，权力存在的地方，就是合规风险高发的地方，因为权力是引致合规风险的合规风险源。如果找到了这八项权力的分布情况，就可以准确识别合规风险源的分布，找到合规风险源的分布情况，就找到了合规风险的潜在分布情况。

如何识别合规风险源的分布情况？目前有两种方法。一种是围绕岗位职责内容，识别岗位人员掌握的权力和权力内容清单；另一种是围绕业务流程每个步骤的工作任务，识别流程每个步骤环节责任执行人员掌握的权力和权力内容清单。

笔者着重介绍第一种识别合规风险源的分布方法，围绕岗位职责内容，识别岗位人员掌握的权力和权力内容清单，即基于岗位关键权力合规风险源识别法。

运用企业八项权力模型识别岗位上的权力

企业中不同的岗位有不同的职责，每项职责发生的业务频次也各有不同。在岗位职责中，有的职责对应一项权力，并且这样的权力是舞弊、腐败和商业贿赂等不廉洁高风险的主要诱因。以某公司基建部经理岗位职责为例。该基建部经理岗位职责包括以下十个方面。一是负责基建工程询价；二是负责基建工程队选择报批；三是负责基建预算报批；四是负责基建合同草签；五是负责基建施工管理；六是负责组织基建工程验收；七是负责组织基建工程结算报批；八是负责基建合同、基建档案管理；九是遵守公司的规章制度；十是完成上级交办的其他工作。

那么，该基建部经理在工作过程中可能发生的不合规高风险有哪些？也就是说，他工作过程中有什么权力？这就需要识别该基建部经理到底可以行使哪些权力，才能够知道其岗位面临的合规风险有哪些。

怎么识别岗位职责中的各种权力？首先需要知道权力的内容具体清单。笔者对照企业生产经营活动中的八项权力（以下简称企业八项权力模型），识别该基建部经理的岗位关键权力（见表1）。

表1　岗位关键权力识别表

据表1识别出的四项权力11项具体权力内容清单可知，基建部经理岗位职责中的涉及企业八项权力模型的权力、行权内容清单，即合规风险源。

形成企业内部权力分布地图

按照表1和岗位关键权力合规风险源识别法，运用企业八项权力模型识别岗位职责内容中授予的具体权力内容清单，企业内部其他各岗位人员也可按照其岗位的职责内容，识别各岗位上拥有的权力，形成权力内容清单。完成后，企业合规管理部门进行统计汇总。

企业合规管理部负责将各岗位报送的岗位权力识别情况进行汇总，形成企业各岗位关键权力分布统计表（见表2）。

表2　企业各岗位关键权力识别统计表

表2所示的企业各岗位关键权力分布统计表如同企业内部各岗位关键权力分布地图。按照权力—合规风险源—合规风险的逻辑对应关系，岗位关键权力分布地图是企业合规风险源分布地图，也是企业合规风险点的分布地图。

匹配合规风险源对应的“规”并定义具体合规风险

匹配合规风险源对应的“规”

匹配合规风险源对应的“规”，即根据表1岗位人员掌握的权力和权力内容清单，找到企业总部和经营所在国家、监管机构、行业协会等制定的针对对应权力规范行使的法律法规、社会公序良俗、道德规范和企业的合规承诺。每一项权力内容清单匹配对应的“规”。

一般来说，企业内部日常已经建立和持续维护一个合规义务数据库，其包括三个子数据库。一是与本企业生产经营适用的国家、部委、行业协会发布的法律法规、条例、行业自律规定等，是对企业的行为硬约束，具有强制性；二是企业总部和经营所在国家、社区需要遵循的公序良俗、道德规范、文化习惯等，是对企业的行为具有软约束，依然具有强制性的合规要求；三是企业自愿向客户、监管方、合作伙伴、企业员工等主动作出的产品、服务的技术、质量、绿色等方面的合规承诺。这三个方面的合规要求和合规承诺构成了企业的全部合规义务。

匹配合规风险源对应的“规”，即某一项权力的正确行使过程受到哪些合规义务约束与规范，形成如表3所示的岗位关键权力匹配合规义务梳理表。

表3　岗位关键权力匹配合规义务梳理表

通过表3发现，企业在其内部岗位、岗位职责、八项权力、合规义务之间建立了一一对应的逻辑关系。

定义具体合规风险

通过上述合规风险源及对应合规风险源要合的“规”，可以找出企业的某项业务执行过程中可能会遇到的合规风险，即可以定义具体的合规风险内容。准确定义合规风险，能够帮助企业管理者制订科学的合规风险控制措施。岗位关键权力具体合规风险如表4所示。

表4　岗位关键权力具体合规风险定义表

表4中“定义具体合规风险”即该岗位对应的“具体合规风险”清单。在企业生产经营活动中，企业各岗位上分布的关键权力会由岗位上的责任人频繁反复行使，这意味着合规风险源会时时激活对应的合规风险，即表4“定义具体合规风险”清单。

企业各岗位履职过程中可能出现的具体合规风险被定义出来后，企业合规管理人员可以对照具体的合规风险内容，根据企业自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险应对总体策略，并确定风险管理所需人力和财力资源的配置原则，有针对性地确定应对合规风险控制策略，并制订具体的事前、事中、事后不同的控制措施。

（作者系国家市场监督管理总局认证认可技术研究中心企业合规师工作能力验证核心授课老师，首批北京市和西城区涉案企业合规第三方监督评估机制专业人员，ISO37301：2021《合规管理体系要求及使用指南》全程制定中国专家组成员）