如何用合规义务来识别合规风险
如何用合规义务来识别合规风险
合规风险,在《ISO 37301:2021 合规管理体系 要求及使用 指南》中被定义为:因不符合组织合规义务而发生不合规的 可能性及其后果。根据这个定义,识别合规风险的一个重要 方法就是锚定合规义务——合规义务就像一枚硬币,硬币的 正面就是合规义务;硬币的背面就是合规风险。合规义务得 到遵守就是合规;得不到遵守就是违规。因此,识别合规义 务对于识别合规风险具有重大的意义。
合规义务
合规义务,在《ISO 37301:2021 合规管理体系 要求及使用 指南》中被定义为:组织必须遵守的要求,以及组织自愿选 择遵守的要求。 根据《ISO 37301:2021 合规管理体系 要求及使用指南》附 录 A 的规定,组织必须遵守的要求包括:法律法规;许 可、执照或其他形式的授权;监管机构发布的命令、规则或 指南;法院或行政法庭的判决;条约、公约和议定书。
组织自愿选择遵守的要求可以包括:与社区团体或非政府组 织的协定;与公共机构和客户的协议;组织要求,如方针和 程序;自愿原则或行为守则;自愿标识或环境承诺;基于本 组织的合同安排所产生的义务;相关组织和行业标准。
在现实生活中,一个组织所要面对的合规义务,无论是“必 须要遵守的”,还是“自愿选择遵守的”,其数量非常庞大, 导致了锚定合规义务来辨识的合规风险数量也非常庞大,导 致了一些组织所识别出来的风险动辄数百项,上千项,甚至 数千项,而如此庞大数量的风险让组织及其相关人员在合规 管理中疲于应付,有时干脆眉毛胡子一把抓。笔者之一在做 合规项目的过程中曾经问一个项目公司的经理,他们是否记 得并管控它们公司所识别出来的上千项风险,答案毫无疑问 地是:“不记得”。这上千项的风险清单自从识别出来后就被 束之高阁。公司的治理层和最高管理层在实务当中所重点关 注的风险其实不超过十个。当然笔者无意说合规风险识别不 重要、制定合规风险清单不重要,但制定一个实实在在接地 气、可执行的合规风险清单可能比盲目追求风险清单上的数 量更重要。
禁止性合规义务 v 控制性合规义务
合规义务,除了区分为“强制性的”和“可选择性的”,在实务 中还可以进一步区分为“禁止性合规义务”和“控制性合规义 务”。这种分类方法虽然在《ISO 37301:2021 合规管理体系 要求及使用指南》中没有提及,但在实务中这种区分具有重 大意义。
在禁止性合规义务下,一个组织不得做什么或被禁止做什么 (比如“不得行贿”),那么这个组织在该禁止性合规义务下 什么都不做就合规了(比如“不行贿”),换言之,禁止性合 规义务下应当以不作为的方式合规;在控制性合规义务下, 一个组织得做点什么(比如“在厂房内放置一定数量的灭火 器”),换言之,在控制性合规义务下,一个组织得做点什 么才合规,换言之,控制性合规义务下必须以作为的方式合 规。
无论是禁止性合规义务还是控制性合规义务,其都来自于 “合规要求”与“合规承诺”,但“不得做什么”的禁止性合规义 务往往更多地来自于强制性的法律法规,而“得做点什么”的 控制性合规义务往往更多地来自于一个组织自主适用的标 准、规范(及其他义务来源)。
正如上面所说的那样,“不得做什么”和“得做点什么”所构成 的合规义务的数量非常庞大,如果说制定一个实实在在接地 气、可执行的合规风险清单非常重要,那么被合规风险所锚 定的合规义务也必须有一个实实在在接地气的、可执行的合 规义务清单。
禁止性合规义务下的合规风险识别
正如前面所提到的那样,在禁止性合规义务下,一个组织不 得做什么或被禁止做什么(比如“不得行贿”),如果触碰了 “不得做什么”或“被禁止做什么”的合规义务,那么就会引发 相关的合规风险(比如“贿赂风险”)。一般来说对禁止性合 规义务的违反是立法机构及其所代表的利害相关方所不能容 忍的“红线”、“地雷”或者“高压线”,因此禁止性合规义务下 的合规风险往往会给相关组织带来重大损害、行政处罚,甚 至刑事责任。因此实务中,一个组织应当优先识别禁止性合 规义务下的合规风险。 在《ISO 37301:2021 合规管理体系 要求及使用指南》下, 仅仅识别合规风险还不够,组织还应当识别“风险源”(Risk
source)和“合规风险情况”(Risk situation)。“风险源”与 “合规风险情况”是《ISO 37301:2021 合规管理体系 要求及 使用指南》下新设的两个概念。根据附录 A.4.6,“合规风险 识别包括合规风险源的识别和合规风险情况的界定。组织宜 根据部门职责、岗位职责和不同类型的组织活动,识别各部 门、职能和不同类型的组织活动中的合规风险源。组织宜定 期识别合规风险源,并界定每个合规风险源对应的合规风险 情况,形成合规风险源清单和合规风险情况清单。“
仅就“合规风险情况”而言,以反垄断法当中的“纵向垄断协 议”风险为例,反垄断法第十四条明确规定一个禁止性合规 义务:“禁止经营者与交易相对人达成下列垄断协议: (一)固定向第三人转售商品的价格;(二)限定向第三人 转售商品的最低价格;(三)国务院反垄断执法机构认定的 其他垄断协议。”但是,从合规管理实操的角度来看,这些 法律规定不够具体,一个组织往往需要把这些适用于所有组 织的原则性的禁止性合规义务相对应的“合规风险情况”界定 出来,比如下面某快销品行业的企业在“转售价格维持”相关 的“纵向垄断协议”风险下所界定的“合规风险情况”如下:
为了避免涉嫌转售价格维持,我们公司:
●不得在与经销商、零售商的任何形式的协议中规定经销 商、零售商应按照某一价格销售或不得低于某一价格销售;
●不得要求(不论是书面、口头还是暗示)经销商、零售商 按照某一价格销售或不得低于某一价格销售;
● 不得对经销商、零售商的价格调整进行干涉,不得因其价 格原因而停止供货、解除合同、取消返利、折扣、费用或采 取其他惩罚措施;
●不得在任何内部文件或对外文件、邮件往来中涉及对经销 商销售价格或零售商零售价格的控制,不得使用“破价”、 “红线价”等涉嫌价格管控的词语; ●不得在发现经销商、零售商销售价格低于预期时,向其发 出书面函件、电子邮件或进行口头警告,不得在与经销商、 零售商人员的对话中涉及价格控制内容;
● 不得与经销商或零售商商定转售价格、促销价格或要求经 销商或零售商在进行价格调整前取得我们组织同意;
●除非获得经销商书面授权且明确声明经销商对价格有最终 决定权,不得代经销商与零售商商定供货价格;
● 不得因为经销商、零售商“破价”或“低于建议价格”销售而 对他们予以处罚;
● 不得强制经销商、零售商执行建议转售价格或建议零售价 格或对它们施加压力,使得它们不得不这么做(比如,反复 地将建议价格发给经销商、零售商,以至于看起来是在威胁 它们)。不得将建议转售价格或建议零售价格变为固定价格 或最低价格; ●不得以设置转售价格浮动空间、利润率的形式固定经销 商、零售商的销售价格或设置价格下限。 据此,该快销品行业企业在「纵向垄断协议风险」下界定出 10 个合规风险情况,而不必把这 10 个合规风险情况都列为 合规风险。换言之,在前述这个情况下,「纵向垄断协议风 险」是纲,「10 个合规风险情况」是目,纲举目张下, 「纵向垄断协议风险」的风险及风险情况得到了很好的分类 和归纳。
控制性合规义务下的合规风险
在控制性合规义务下,一个组织得“得做点什么”才行,而这 “得做点什么”的合规义务有的来自于组织为了做好风险管控 而自己所设置的(比如组织要求,如方针和程序),也有的
来自于组织自愿选择遵守的相关组织和行业标准(以及其他 义务来源)。
我们以行贿风险为例,某组织为了防止行贿行为的发生,制 定有内控制度:凡是跟政府官员之间往来的费用都必须经过 组织的合规官审批之后才可以发生并进而报销。这里所说的 “审批”就是控制措施,把费用提交给合规官进行审批是申请 人必须履行的义务;对申请事项进行审查也是合规官所必须 履行的义务。没有履行该控制性合规义务不一定会直接导致 组织违法违规被处罚,但因为没有履行该控制性合规义务, 就会让风险管控失效,从而加大行贿风险发生的可能性。
我们同样以上文中提及的某快消品企业关于禁止转售价格维 持的“纵向垄断协议”风险为例,该企业为了避免涉嫌转售价 格维持,规定了 10 项禁止性合规义务。为了把这些禁止性 合规义务落实到位,公司的合规部门同时设置了如下的控制 措施,比如:法务必须对公司的销售人员进行《反垄断法》 培训,并对这 10 项合规义务逐条予以解释和说明;销售部 门每一个季度都要在销售工作会议上和每一个销售人员一起 复习这 10 项合规义务;法务在审查经销合同时必须严格对 照上述 10 项合规义务来审查合同。
除了上述组织内部所形成的控制性合规义务之外,一个组织 还可以去选择适用贿赂风险管理、反垄断合规风险管理相关 的标准、指引来管控相应的贿赂风险、纵向垄断协议风险。 因为合规风险是因不符合组织合规义务而发生不合规的可能 性及其后果,不符合控制性合规义务与不符合禁止性合规义 务一样都会触发合规风险。但因为控制性合规义务的数量远 超禁止性合规义务的数量,要把这些义务全部列举出来会给 公司的合规管理带来极大的负担。那么在实务中,应当怎么 去分类和归纳控制性合规义务呢?
首先,以禁止性合规风险为纲来统领控制性合规义务。
实务当中很多的控制性合规义务都是为了管控禁止性合规义 务相关的合规风险而设的。比如上面所说的“不得行贿”的禁 止性合规义务相关的“贿赂风险”既有一个组织内部所设定的 控制措施来进行管控,还有组织可以选择适用的贿赂风险管 理体系标准来对贿赂风险进行管理。因此,纲举目张下,禁 止性合规义务所对应的合规风险既可以统领相应的“合规风 险情况”,也可以统领“控制性合规义务”。
如下图所示:
其次,以合规专项来归口控制性合规义务管控禁止性合规义 务相关的合规风险。
在实务中,一个组织往往会就某个风险(比如贿赂风险)做 合规专项,从而围绕贿赂风险设计、归口、落实合规风险管 控措施。
再次,以相应的合规管理体系贯标、认证来归口控制性合规 义务。
很多组织虽然现在才开始有意识地搭建合规管理体系,但其 实它们早就有针对各种各样的风险进行了贯标,甚至认证, 比如 ISO 9001 质量认证体系、ISO14001 环境管理体系等。 这些贯标、认证的重大意义在于通过认证的组织就相关风险 系统地进行了风险管控,而相应的风险管控措施也通过相关 体系归口、集结在一起。
总而言之,因为识别合规风险的一个重要方法就是锚定合规 义务——因此识别合规义务对于识别合规风险而言非常重 要。因为合规义务数量非常庞大,实务当中会导致被识别出 来的合规风险数量也会非常庞大,我们固然可以通过风险评 价的方式来对风险赋值,从而科学地分配组织的人财物资源 管控风险,但如果不对禁止性合规义务和控制性合规义务进 行区分,不以禁止性合规义务/风险为风险识别的主攻方向,却锚定不能穷尽的控制性合规义务来识别风险,势必会 导致组织在合规义务和合规风险识别时眉毛胡子一把抓,极 大地增大组织的合规管理负担,让合规创造价值成为一句空 话。