如何用合規義務來識别合規風險

2022-04-20

合規風險，在《ISO 37301:2021合規管理體系 要求及使用指南(nán)》中被定義為(wèi)：因不符合組織合規義務而發生(shēng)不合規的可能(néng)性及其後果。根據這個(gè)定義，識别合規風險的一(yī)個(gè)重要方法就(jiù)是錨定合規義務——合規義務就(jiù)像一(yī)枚硬币，硬币的正面就(jiù)是合規義務；硬币的背面就(jiù)是合規風險。合規義務得到(dào)遵守就(jiù)是合規；得不到(dào)遵守就(jiù)是違規。因此，識别合規義務對于識别合規風險具有重大的意義。

 

合規義務

 

合規義務，在《ISO 37301:2021合規管理體系 要求及使用指南(nán)》中被定義為(wèi)：組織必須遵守的要求，以及組織自(zì)願選擇遵守的要求。

根據《ISO 37301:2021合規管理體系 要求及使用指南(nán)》附錄A的規定，組織必須遵守的要求包括：法律法規；許可、執照(zhào)或其他形式的授權;監管機(jī)構發布的命令、規則或指南(nán)；法院或行政法庭的判決；條約、公約和議定書。

組織自(zì)願選擇遵守的要求可以包括：與社區團體或非政府組織的協定；與公共機(jī)構和客戶的協議；組織要求，如方針和程序；自(zì)願原則或行為(wèi)守則；自(zì)願标識或環境承諾；基于本組織的合同安排所産生(shēng)的義務；相(xiàng)關組織和行業(yè)标準。

在現實生(shēng)活中，一(yī)個(gè)組織所要面對的合規義務，無論是“必須要遵守的”，還(hái)是“自(zì)願選擇遵守的”，其數量非常龐大，導緻了錨定合規義務來辨識的合規風險數量也非常龐大，導緻了一(yī)些組織所識别出來的風險動辄數百項，上(shàng)千項，甚至數千項，而如此龐大數量的風險讓組織及其相(xiàng)關人員(yuán)在合規管理中疲于應付，有時幹脆眉毛胡子一(yī)把抓。筆者之一(yī)在做合規項目的過程中曾經問一(yī)個(gè)項目公司的經理，他們是否記得并管控它們公司所識别出來的上(shàng)千項風險，答案毫無疑問地是：“不記得”。這上(shàng)千項的風險清單自(zì)從(cóng)識别出來後就(jiù)被束之高(gāo)閣。公司的治理層和最高(gāo)管理層在實務當中所重點關注的風險其實不超過十個(gè)。當然筆者無意說合規風險識别不重要、制定合規風險清單不重要，但制定一(yī)個(gè)實實在在接地氣、可執行的合規風險清單可能(néng)比盲目追求風險清單上(shàng)的數量更重要。

 

禁止性合規義務v控制性合規義務

 

合規義務，除了區分為(wèi)“強制性的”和“可選擇性的”，在實務中還(hái)可以進一(yī)步區分為(wèi)“禁止性合規義務”和“控制性合規義務”。這種分類方法雖然在《ISO 37301:2021合規管理體系 要求及使用指南(nán)》中沒有提及，但在實務中這種區分具有重大意義。

在禁止性合規義務下(xià)，一(yī)個(gè)組織不得做什麽或被禁止做什麽（比如“不得行賄”），那麽這個(gè)組織在該禁止性合規義務下(xià)什麽都不做就(jiù)合規了（比如“不行賄”），換言之，禁止性合規義務下(xià)應當以不作為(wèi)的方式合規；在控制性合規義務下(xià)，一(yī)個(gè)組織得做點什麽（比如“在廠房内放(fàng)置一(yī)定數量的滅火器(qì)”），換言之，在控制性合規義務下(xià)，一(yī)個(gè)組織得做點什麽才合規，換言之，控制性合規義務下(xià)必須以作為(wèi)的方式合規。

無論是禁止性合規義務還(hái)是控制性合規義務，其都來自(zì)于“合規要求”與“合規承諾”，但“不得做什麽”的禁止性合規義務往往更多(duō)地來自(zì)于強制性的法律法規，而“得做點什麽”的控制性合規義務往往更多(duō)地來自(zì)于一(yī)個(gè)組織自(zì)主适用的标準、規範（及其他義務來源）。

正如上(shàng)面所說的那樣，“不得做什麽”和“得做點什麽”所構成的合規義務的數量非常龐大，如果說制定一(yī)個(gè)實實在在接地氣、可執行的合規風險清單非常重要，那麽被合規風險所錨定的合規義務也必須有一(yī)個(gè)實實在在接地氣的、可執行的合規義務清單。

 

禁止性合規義務下(xià)的合規風險識别

 

正如前面所提到(dào)的那樣，在禁止性合規義務下(xià)，一(yī)個(gè)組織不得做什麽或被禁止做什麽（比如“不得行賄”），如果觸碰了“不得做什麽”或“被禁止做什麽”的合規義務，那麽就(jiù)會(huì)引發相(xiàng)關的合規風險（比如“賄賂風險”）。一(yī)般來說對禁止性合規義務的違反是立法機(jī)構及其所代表的利害相(xiàng)關方所不能(néng)容忍的“紅(hóng)線”、“地雷”或者“高(gāo)壓線”，因此禁止性合規義務下(xià)的合規風險往往會(huì)給相(xiàng)關組織帶來重大損害、行政處罰，甚至刑事(shì)責任。因此實務中，一(yī)個(gè)組織應當優先識别禁止性合規義務下(xià)的合規風險。

在《ISO 37301:2021合規管理體系 要求及使用指南(nán)》下(xià)，僅僅識别合規風險還(hái)不夠，組織還(hái)應當識别“風險源”（Risk source）和“合規風險情況”（Risk situation）。“風險源”與“合規風險情況”是《ISO 37301:2021合規管理體系 要求及使用指南(nán)》下(xià)新設的兩個(gè)概念。根據附錄A.4.6，“合規風險識别包括合規風險源的識别和合規風險情況的界定。組織宜根據部門(mén)職責、崗位職責和不同類型的組織活動，識别各部門(mén)、職能(néng)和不同類型的組織活動中的合規風險源。組織宜定期識别合規風險源，并界定每個(gè)合規風險源對應的合規風險情況，形成合規風險源清單和合規風險情況清單。“

僅就(jiù)“合規風險情況”而言，以反壟斷法當中的“縱向壟斷協議”風險為(wèi)例，反壟斷法第十四條明确規定一(yī)個(gè)禁止性合規義務：“禁止經營者與交易相(xiàng)對人達成下(xià)列壟斷協議：（一(yī)）固定向第三人轉售商品的價格；（二）限定向第三人轉售商品的最低(dī)價格；（三）國(guó)務院反壟斷執法機(jī)構認定的其他壟斷協議。”但是，從(cóng)合規管理實操的角度來看(kàn)，這些法律規定不夠具體，一(yī)個(gè)組織往往需要把這些适用于所有組織的原則性的禁止性合規義務相(xiàng)對應的“合規風險情況”界定出來，比如下(xià)面某快銷品行業(yè)的企業(yè)在“轉售價格維持”相(xiàng)關的“縱向壟斷協議”風險下(xià)所界定的“合規風險情況”如下(xià)：

為(wèi)了避免涉嫌轉售價格維持，我們公司：

●不得在與經銷商、零售商的任何形式的協議中規定經銷商、零售商應按照(zhào)某一(yī)價格銷售或不得低(dī)于某一(yī)價格銷售；

●不得要求（不論是書面、口頭還(hái)是暗(àn)示）經銷商、零售商按照(zhào)某一(yī)價格銷售或不得低(dī)于某一(yī)價格銷售；

● 不得對經銷商、零售商的價格調整進行幹涉，不得因其價格原因而停止供貨、解除合同、取消返利、折扣、費(fèi)用或采取其他懲罰措施；

●不得在任何内部文件(jiàn)或對外文件(jiàn)、郵件(jiàn)往來中涉及對經銷商銷售價格或零售商零售價格的控制，不得使用“破價”、“紅(hóng)線價”等涉嫌價格管控的詞語；

●不得在發現經銷商、零售商銷售價格低(dī)于預期時，向其發出書面函件(jiàn)、電(diàn)子郵件(jiàn)或進行口頭警告，不得在與經銷商、零售商人員(yuán)的對話中涉及價格控制内容；

● 不得與經銷商或零售商商定轉售價格、促銷價格或要求經銷商或零售商在進行價格調整前取得我們組織同意；

●除非獲得經銷商書面授權且明确聲明經銷商對價格有最終決定權，不得代經銷商與零售商商定供貨價格；

● 不得因為(wèi)經銷商、零售商“破價”或“低(dī)于建議價格”銷售而對他們予以處罰；

● 不得強制經銷商、零售商執行建議轉售價格或建議零售價格或對它們施加壓力，使得它們不得不這麽做（比如，反複地将建議價格發給經銷商、零售商，以至于看(kàn)起來是在威脅它們）。不得将建議轉售價格或建議零售價格變為(wèi)固定價格或最低(dī)價格；

●不得以設置轉售價格浮動空間、利潤率的形式固定經銷商、零售商的銷售價格或設置價格下(xià)限。

據此，該快銷品行業(yè)企業(yè)在「縱向壟斷協議風險」下(xià)界定出10個(gè)合規風險情況，而不必把這10個(gè)合規風險情況都列為(wèi)合規風險。換言之，在前述這個(gè)情況下(xià)，「縱向壟斷協議風險」是綱，「10個(gè)合規風險情況」是目，綱舉目張下(xià)，「縱向壟斷協議風險」的風險及風險情況得到(dào)了很好的分類和歸納。

 

控制性合規義務下(xià)的合規風險

 

在控制性合規義務下(xià)，一(yī)個(gè)組織得“得做點什麽”才行，而這“得做點什麽”的合規義務有的來自(zì)于組織為(wèi)了做好風險管控而自(zì)己所設置的（比如組織要求，如方針和程序），也有的來自(zì)于組織自(zì)願選擇遵守的相(xiàng)關組織和行業(yè)标準（以及其他義務來源）。

我們以行賄風險為(wèi)例，某組織為(wèi)了防止行賄行為(wèi)的發生(shēng)，制定有内控制度：凡是跟政府官員(yuán)之間往來的費(fèi)用都必須經過組織的合規官審批之後才可以發生(shēng)并進而報(bào)銷。這裡(lǐ)所說的“審批”就(jiù)是控制措施，把費(fèi)用提交給合規官進行審批是申請人必須履行的義務；對申請事(shì)項進行審查也是合規官所必須履行的義務。沒有履行該控制性合規義務不一(yī)定會(huì)直接導緻組織違法違規被處罰，但因為(wèi)沒有履行該控制性合規義務，就(jiù)會(huì)讓風險管控失效，從(cóng)而加大行賄風險發生(shēng)的可能(néng)性。

我們同樣以上(shàng)文中提及的某快消品企業(yè)關于禁止轉售價格維持的“縱向壟斷協議”風險為(wèi)例，該企業(yè)為(wèi)了避免涉嫌轉售價格維持，規定了10項禁止性合規義務。為(wèi)了把這些禁止性合規義務落實到(dào)位，公司的合規部門(mén)同時設置了如下(xià)的控制措施，比如：法務必須對公司的銷售人員(yuán)進行《反壟斷法》培訓，并對這10項合規義務逐條予以解釋和說明；銷售部門(mén)每一(yī)個(gè)季度都要在銷售工(gōng)作會(huì)議上(shàng)和每一(yī)個(gè)銷售人員(yuán)一(yī)起複習這10項合規義務；法務在審查經銷合同時必須嚴格對照(zhào)上(shàng)述10項合規義務來審查合同。

除了上(shàng)述組織内部所形成的控制性合規義務之外，一(yī)個(gè)組織還(hái)可以去選擇适用賄賂風險管理、反壟斷合規風險管理相(xiàng)關的标準、指引來管控相(xiàng)應的賄賂風險、縱向壟斷協議風險。因為(wèi)合規風險是因不符合組織合規義務而發生(shēng)不合規的可能(néng)性及其後果，不符合控制性合規義務與不符合禁止性合規義務一(yī)樣都會(huì)觸發合規風險。但因為(wèi)控制性合規義務的數量遠(yuǎn)超禁止性合規義務的數量，要把這些義務全部列舉出來會(huì)給公司的合規管理帶來極大的負擔。那麽在實務中，應當怎麽去分類和歸納控制性合規義務呢(ne)？

首先，以禁止性合規風險為(wèi)綱來統領控制性合規義務。

實務當中很多(duō)的控制性合規義務都是為(wèi)了管控禁止性合規義務相(xiàng)關的合規風險而設的。比如上(shàng)面所說的“不得行賄”的禁止性合規義務相(xiàng)關的“賄賂風險”既有一(yī)個(gè)組織内部所設定的控制措施來進行管控，還(hái)有組織可以選擇适用的賄賂風險管理體系标準來對賄賂風險進行管理。因此，綱舉目張下(xià)，禁止性合規義務所對應的合規風險既可以統領相(xiàng)應的“合規風險情況”，也可以統領“控制性合規義務”。

如下(xià)圖所示：

其次，以合規專項來歸口控制性合規義務管控禁止性合規義務相(xiàng)關的合規風險。

在實務中，一(yī)個(gè)組織往往會(huì)就(jiù)某個(gè)風險（比如賄賂風險）做合規專項，從(cóng)而圍繞賄賂風險設計、歸口、落實合規風險管控措施。

再次，以相(xiàng)應的合規管理體系貫标、認證來歸口控制性合規義務。

很多(duō)組織雖然現在才開(kāi)始有意識地搭建合規管理體系，但其實它們早就(jiù)有針對各種各樣的風險進行了貫标，甚至認證，比如ISO 9001質量認證體系、ISO14001環境管理體系等。這些貫标、認證的重大意義在于通(tōng)過認證的組織就(jiù)相(xiàng)關風險系統地進行了風險管控，而相(xiàng)應的風險管控措施也通(tōng)過相(xiàng)關體系歸口、集結在一(yī)起。

總而言之，因為(wèi)識别合規風險的一(yī)個(gè)重要方法就(jiù)是錨定合規義務——因此識别合規義務對于識别合規風險而言非常重要。因為(wèi)合規義務數量非常龐大，實務當中會(huì)導緻被識别出來的合規風險數量也會(huì)非常龐大，我們固然可以通(tōng)過風險評價的方式來對風險賦值，從(cóng)而科學地分配組織的人财物(wù)資源管控風險，但如果不對禁止性合規義務和控制性合規義務進行區分，不以禁止性合規義務/風險為(wèi)風險識别的主攻方向，卻錨定不能(néng)窮盡的控制性合規義務來識别風險，勢必會(huì)導緻組織在合規義務和合規風險識别時眉毛胡子一(yī)把抓，極大地增大組織的合規管理負擔，讓合規創造價值成為(wèi)一(yī)句空話。

聲明：轉載出于傳播更多(duō)行業(yè)資訊之目的，不代表本公衆号觀點，如涉及作品内容、版權和其它問題，請留言聯系我方。

來源：法務人俱樂部

作者：王萍 徐莎 等