企业合规管理体系的建设：二、风险防范体系建设指引

（一）风险识别与评估制度

1、风险识别与评估的概念和作用

风险识别和评估，早期多用于审计领域，是指注册会计师通过实施风险评估程序，识别和评估财务报表层次和认定层次的重大错报风险。企业合规管理中的风险识别和评估不仅仅局限于财务领域，是对企业所有经营管理活动实施风险评估，识别企业经营管理各环节可能面临的风险，并且评估风险发生的可能性和结果的严重性。

企业建立合规管理体系应当以风险为导向，具体管理制度应建立在风险识别与评估的基础之上，实现针对性和有效性。建立风险识别与评估制度是制定和完善各项合规管理制度的基础，使得企业经营行为符合合规义务，是合规管理体系的重要组成部分。

2、风险来源

企业在运营过程中的风险源根据划分标准不同，可分为内部风险和外部风险、经营风险和管理风险、人员风险和制度风险。外部风险主要是行业状况、法律环境和监管环境等外部因素：内部风险主要是战略规划、业务流程、意识形态等内部因素。经营风险主要集中在市场交易、产品质量、知识产权等经营环节；管理风险主要集中在劳动用工、财务税收、安全环保等管理环节。人员风险是指企业人员因业务知识或管理经验欠缺而影响业绩目标实现，遵规守法意识不强而产生违规违纪风险；制度风险是指企业建设的管理制度不够完善或者管理制度不符合法律规定和监管要求等。在建立风险识别与评估制度时，应当全面梳理风险种类，将其纳入识别和评估程序。

3、风险识别和评估主体

企业合规管理的组织体系中应当设置专门合规管理部门和管理人员，企业合规管理过程中的风险识别和评估应当由合规管理部门牵头组织实施。企业合规管理部门可以统一对企业各部门开展风险识别和评估工作，但在日常管理中，各业务部门和其他管理部门也应当主动开展风险识别和隐患排查，及时向合规管理部门通报风险事项。另外，为了确保风险识别和评估工作的独立性和专业性，企业可以聘请第三方机构如律师事务所开展此项工作，而且应当优选此种方式，毕竟合规考察时也是第三方独立监管人主导，此种方式更能确保客观性和独立性。

4、风险识别和评估程序

（1）搜集风险信息。

（2）分析风险信息。

（3）风险信息研讨。

5、通报与发布

（二）风险防范报告机制

1、风险防范报告机制的概念与作用

《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》第11条规定，涉案企业提交的合规计划，主要围绕与企业涉嫌犯罪有密切联系的企业内部治理结构、规章制度、人员管理等方面存在的问题，制定可行的合规管理规范，建设有效的合规组织体系，健全合规风险防范报告机制，弥补企业制度建设和监督管理漏洞，防止再次发生相同或者类似的违法犯罪。其中，就特别提到企业应当健全合规风险防范报告机制。

2、报告范围企业通过风险识别与评估制度已将经营管理过程中可能面临的风险进行提示和公布，各部门应当紧扣已经识别的风险类型与经营管理行为进行比照。但是，企业的经营环境是不断变化的，识别风险程序也存在一定滞后性。因而，所有企业工作人员特别是部门管理人员和合规管理人员，应当紧扣风险管理主基调，绷紧“风险弦”，不拘泥于已经识别的风险，对于新发现或者因经营环境变化新产生的风险也应当及时纳入风险防范报告。

3、报告主体

企业组织结构层级可以划分为决策层、管理层、执行层，合规是企业每位成员应尽的义务，因而毋庸置疑每个层级的成员包括决策者、管理者、普通员工都是风险防范报告的主体，风险防范报告既是权利也是义务。

4、报告职责

报告主体确认后，应当在每个岗位职责或者组织机构职责中予以明确风险防范报告的职责。

5、报告程序

风险防范报告存在常规自查报告和举报两种形式，不同的方式要求企业设立不同的信息传递渠道。

6、奖惩措施

奖惩制度的设立是风险防范报告制度有效实施的重要措施。风险防范报告既然是每位企业成员的义务，那么对于不履行或者不积极履行报告义务的部门和人员，只有进行相应的惩罚，才能保证该制度实施下去。奖励则是鼓励企业每位成员善于发现、敢于报告、勇于化解风险。

（待续）

来源：国坛管理科学研究（宁夏）中心