专栏名称: 锐思商学院

风控在线官方订阅号。风控在线是内控与内审人员的专业化平台，旨在为内控与内审人员传递权威的内控内审知识和经验。

【专栏丨樊光中】合规风险的发生原理与识别方法技术

锐思商学院 · 公众号 · · 2019-11-21 21:21

正文

合规风险识别是合规管理体系建设的基石！正确的合规风险识别直接决定合规管理体系的有效性，同时，识别合规风险也是企业建立合规管理体系的一大难点，目前在实践领域，企业合规人员缺乏行之有效的合规风险识别方法工具，多数依靠经验判断、业务讨论等传统方法。 没有正确的合规风险识别，合规管理体系的目的就会出现“打偏靶现象”。 因此，我们有必要对合规风险的发生原理进行探究。掌握合规风险发生原理是企业正确识别合规风险、设计合规风险识别方法工具模型的重要技术原理，抓住合规风险的发生原理机制是正确和科学识别合规风险的关键。

研究合规风险是如何发生的？ 我们首先来剖析是研究“谁的合规风险”。 合规管理的对象是企业员工的工作行为，包括生产经营管理行为及其向市场提供的产品、服务的行为。 我们要识别的合规风险是企业员工的工作行为不合规的可能性！ 这一点非常重要！这表明：对合规风险的发生原理进行探究，实质是探究企业员工的工作行为在什么场景下发生不合规，我们研究的问题可以调整为：企业员工为什么会做出不合规行为？这样一来，研究的问题由合规风险转向研究“人”，所有的工作行为均是人主使。

企业员工为什么会做出不合规行为，从人的行为特征来看，是基于什么理由？ 我们来讨论一下“马路边的铁皮柜受到路过行人破坏的可能性”。

在A马路边，有一A铁皮柜，如下图所示。A铁皮柜有受到路过行人破坏的可能性。

这个破坏的可能性，单独来研究是没有意义的，需要对比研究。在B马路边，有一B铁皮柜，如下图所示。B铁皮柜也有受到路过行人破坏的可能性。

B马路边的B铁皮柜上，有个标识， “有电危险” ，我们相信读者心中已经有对比答案：对比两个铁皮柜受到路过行人破坏的可能性，A高于B，理由是触碰B铁皮柜，路过行人会遇到“触电危险”！

在C马路边，还有一C铁皮柜，也有个“有电危险”标识， 同时C铁皮柜的门把手是“黄金把手” ，如下图所示。

我们要讨论的问题是如下：

我们相信读者心中已经有答案：对比三个铁皮柜受到路过行人破坏的可能性， C最高，A次之，B最小。 原因也简单：

1、对于B铁皮柜，路过行人因为害怕“ 触电危险” 而避开，不去触碰B铁皮柜；

2、对于C铁皮柜，路过行人因为发现铁皮柜门把手是 “黄金把手” ，哪怕有“触电危险”，由于利益的诱惑与驱使，会有人主动去破坏C铁皮柜。

3、对于B铁皮柜，路过行人看见B铁皮柜，无“触电危险”的恐惧，也无“黄金把手”的诱惑源，对B铁皮柜的破坏是临时和偶发的。

以上三个结果，源于人的一个本性： “趋利避害”。

按照以上讨论得出的“ABC铁皮柜破坏原理”，思考下面的问题：

1、行政办公室，从事公司行政计划和协调工作。

2、采购部，从事公司生产原材料的采购工作。

哪个部门的员工工作行为容易出现不合规？ 显然是后者， 采购部门 。因为“从事公司生产原材料的采购工作”就如同带“黄金把手”的C铁皮柜，“从事公司行政计划和协调工作”就如同A或B铁皮柜。

经过诸多的岗位职责案例统计分析，风险在企业中，岗位职责中安排的业务事项一般可以归列为以下三类工作：

一是企业员工根据其岗位职责，执行的某项业务事项无“规”，或有“规”但违反“规”不会受到处罚，形同无“规”，同时执行的该业务事项本身无“诱惑源”——象征A铁皮柜。

二是企业员工根据其岗位职责，执行的某项业务事项有“规”，并且违反“规”，会受到处罚，同时执行的该业务事项本身无“诱惑源”——象征B铁皮柜。

三是企业员工根据其岗位职责，执行的某项业务事项有“规”，并且违反“规”，会受到处罚，同时执行的该业务本身和环境存在“诱惑源”——象征C铁皮柜。

业务本身和业务内部控制环境存在“诱惑源”，我们把它定义为 合规风险源 。

合规风险源是指组织内部存在的，具有单独产生或叠加在一起产生合规风险可能性的因素。合规风险源可以是有形的或者无形的。从有无合规风险源的角度， 合规风险可以分为有源合规风险和无源合规风险。

有源合规风险 是指存在合规风险源的工作行为出现合规风险，合规风险发生时，是由一个或者多个因素组合引致工作行为违规，即C铁皮柜出现的破坏可能性情形。

无源合规风险 是指没有合规风险源引致，但存在合规义务的工作行为违规，即A、B铁皮柜出现的破坏可能性情形，对于这样的无源合规风险，通过合规义务具体内容条款的培训与告知员工，即可以化解对应的合规风险。

因此，合规风险管理的重点实质是对有源合规风险的有效管理，把分布有“黄金把手”的C铁皮柜从企业岗位职责、业务环节的工作事项中一一找出来，进行有效管控。

综上，有合规风险源与合规风险两者的分布特征存在内在的一致性：有合规风险源的地方，是可能存在合规风险的地方，是需要采取合规管控措施的地方。合规风险源分布决定和影响合规风险的分布特征。

因此，识别合规风险， 首先要辨识合规风险源在哪。 目前，合规风险识别技术模型主要是是 “八项合规风险源识别模型” 及 “八项权力识别模型” 的联合使用。 “八项合规风险源识别模型”包括八个方面的合规风险源类型，其中最重要的一个类型是“权力行使”，而“权力行使”类型的合规风险源又包括八个方面的权力，故叫“八项权力识别模型”。 “八项合规风险源识别模型”介绍如下。

1、从内部控制完善程度分析合规风险源

为实现企业运转过程中的内控目的，企业建立内部控制体系，但内部控制体系存在这里或那里的不完善，这种不完善，给合规风险的发生提供了更加多的机会，故成为合规风险源。企业内部控制不完善导致的合规风险源有以下四种情形，这四种合规风险源由于是公司内部控制不够完善导致的，因此，可以通过补充完善公司内部控制去掉合规风险发生的机会，该风险源将不复存在，这属于可消除的合规风险源。

（1）制度缺失、缺陷

企业没有对应的制度、部分缺失制度、或者制度措施没有有效控制作用。

（2）认知缺失

由于公司内部业务制度及时跟进和交底、培训不到位的缘故，员工不理解和不掌握企业现有的制度约束和控制要求。

（3）技术缺失、缺陷

企业对某产品、某业务/管理事项缺失技术标准或工作标准，或者技术标准或工作标准的参数有不足、不成熟，或者技术标准或工作标准模糊，存在比较大的自由判断空间。

（4）监控缺失、缺陷

企业对某业务/管理事项活动缺失监控，或者有监控，但是监控失效状态下，不能够起到监督控制作用。

2、从业务本身的自然属性分析合规风险源

在组织运转过程中，存在以下四种因业务本身的自然属性而产生的合规风险源，这些风险源是不可以消除的，业务在，则这类型的合规风险源在，这属于不可消除的合规风险源，只能够通过加强合规风险源的具体管控来降低合规风险发生概率。

（1）利益管理

涉及企业、个人利益得失的活动。利益管理活动是指岗位职责中，由于职责履行，存在接触、控制利益的活动。符合该定义特征的职责履行，都属于存在“利益管理”的业务活动。如岗位职责中存在负责仓库物品整理、安全、防盗管理；负责金库安全看护管理；负责人民币押运；负责货物保管等，均属于存在“利益管理”的业务活动。

（2）技术性（黑箱）操作

技术性（黑箱）操作是指企业的某个业务活动只有经办人员知道其实际实施过程且无过程痕迹，他人事后难以知道。符合该定义特征的职责履行，都属于存在“技术性（黑箱）操作”的业务活动。如岗位酒店客房清洁服务人员负责对客人离店后的酒店客房内部做清洁消毒活动；饭店的厨师炒菜活动等，都是属于存在“技术性（黑箱）操作”的活动。

（3）利益冲突

利益冲突是私人利益与企业利益之间存在冲突的活动，岗位职责中，职责履行客体中，存在与职责履行主体个人利益一致，却与公司利益不一致的活动。符合该定义特征的职责履行，都属于存在“利益冲突”的业务活动。如办理监察事项的监察人员负责的监察对象或者检举人是其近亲属的；负责供应商资源信用调查、评价管理的岗位，有一家供应商的老板是该岗位人员的战友、朋友、亲戚等，都是属于存在“利益冲突”的活动。

（4）权力行使

企业最大的最广泛的合规风险源是权力！经过违规案例违规事例实证统计分析发现，因为权力引致的合规风险事项发生占比违规总量的96%，从占比看，权力是合规风险源中最主要的合规风险源，也将是主要决定合规风险的分布特征。这些权力是：审批权、市场客服与销售权、人事权、采购权、放行权、计量权、财务资金权和拥有关键信息权等八项权力，密切影响行为的合规性。这八项权力即“企业八项权力识别模型”，八项权力的具体内涵如下：

审批权 是指决定事情做与不做的管理活动。 行权内容包括： 销售、人事、采购、放行、计量、财务资金等领域的决策审批活动。

市场客服与销售权是指负责与资产定价与卖出、推销产品/服务并卖给客户的业务活动。行权内容包括：向特定方介绍资产情况、向客户介绍、广告营销产品、服务功能、销售政策、价格优惠条件、销售合同签订、售后服务、维修、保养、置换等销售前、销售中、销售后的业务工作，多为市场客服与销售岗位、售后服务经办人员的主要活动。

人事权是指负责围绕企业人员管理的专业活动。 行权内容包括：雇佣、招聘、任免、考核、人员奖励与处罚、职称评定、岗位选拔、评先进、劳模等针对企业人员的管理活动，多为人力资源岗位经办人员的主要活动。

采购权是指负责购买企业生产经营、行政办公所需的业务活动。 行权内容包括：投资业务活动；确定供应商、外包商、租赁商合格名册；确定采购数量、采购方式、采购策划、制定采购文件；确定投标人、确定价格和中标人；签合同、合同变更等与选择供方、确定资产、产品、服务购买价格的业务活动，多为投资、采购相关岗位经办人员的主要活动。

放行权是指负责利用特定尺度标准进行检验、认证、判断、评价的业务活动。 放行权根据其所处的流程环节不同分为：首次验收放行权和再监督放行权。 首次验收放行权内容包括 ：理化检验、质量检验、品质控制、进出门管理、技术控制、安全控制、环境保护等一线生产经营岗位经办人员的业务活动，多为一线质检岗、技术岗、品管岗、门卫等岗位经办人的主要活动。 再监督放行权内容包括 ：技术审核、专业评审、专业认证、监督权、环境监督管理、安全监督管理等在经办人员工作后进行复核把关的管理活动。多为中层专业和职能管理岗位人员的主要管理活动。

计量权是指负责确定数量多少的业务活动。 行权内容包括：计量劳动工作量、产品、服务、物资、设备数量，如货物计数、采购结算、开计量验收单、物料领用单、消耗计量、工作量计量、分包量计量、容积测量、计时计件、财务记账等计数计量称重活动，多为供应链、物流线上的岗位和会计岗位经办人员的主要活动。

财务资金权是指负责与企业资金流全过程有关的资金/现金进、出、存、保管的活动。 行权内容包括：资金进、出、费用开支预算、计划；收款、付款、费用开支管理和负责费用报销管理、津贴福利开支管理等经手钱财进出性质的活动，多为财务、出纳、收支预算、计划、财务预算等岗位经办人员的主要活动。

拥有关键信息权是指履行岗位职责过程中能接触、掌握、或直接经手形成的，需要控制受众范围的信息的机会。包括：

【专栏丨樊光中】合规风险的发生原理与识别方法技术

正文

请到「今天看啥」查看全文