【企业合规成果】钻石行业合规系列（三）企业如何开展合规风险评估

引言

合规风险评估作为合规管理体系关键要素之一，是建立合规管理体系的基础，是衡量企业是否建立有效合规制度的重要参考要素。本文将以深圳市钻石行业合规整改项目中的合规风险评估工作为切口，探讨企业如何开展合规风险评估工作。

依据ISO 37301:2021 合规管理体系指南[2]组织应基于合规风险评估，识别、分析、评价自身合规风险。

基于ISO 73:2009 及ISO 37301:2021 标准化规定，我们认为合规风险评估应当包含合规风险识别、合规风险分析、合规风险评价三个要素。

（一）合规风险识别：

企业在梳理合规义务的基础上，通过将企业合规义务与企业活动、产品服务和业务联系起来，识别可能发生不合规的事项，形成合规风险事项描述，便于进一步对合规风险进行监测和控制等系统性活动。

（二）合规风险分析：

对上述已识别出的合规风险进行成因分析，以达到追踪溯源，为合规计划提供依据的目的。

（三）合规风险评价：

在合规风险识别基础上，测定不合规事项可能导致法律制裁、监管处罚、重大财务损失和声誉损失等相关风险损失的可能性和对企业产生影响的程度。

企业通过合规风险识别、分析、评价，最终形成合规风险清单，并以此为依据确定开展合规管理的重点业务领域。

图2：合规风险清单

二．如何开展合规风险评估工作

合规风险评估的目标是识别企业可能面临的风险，并建立保护措施以控制这些风险。合规风险评估工作流程如下：

图3：合规风险评估工作流程

（一）识别企业合规义务

识别企业合规义务是企业合规风险评估的前提。依据ISO 37301:2021[3]企业强制性合规义务来源：

✔ 法律法规；

✔ 许可、执照或其他形式的授权；

✔ 监管机构发布的制度、条例或指导方针；

✔ 法院或行政法庭的裁决；

✔ 条约、公约和条款。

除了必须遵守以上强制性合规义务，企业自愿选择遵守的要求可以包括：

✔与社区团体或非政府组织的协定；

✔与公共机构和客户的协议；

✔组织要求，如方针和程序；

✔自愿原则或行为守则；

✔自愿标识或环境承诺；

✔基于本组织的合同安排所产生的义务；

✔相关组织和行业标准。

自从接手钻石行业刑事合规整改项目，我们研究了走私犯罪法律法规、税务发票法律规定、钻石行业制度规定、上钻所交易规则等，明确钻石行业企业应当遵守的合规义务，为合规风险识别提供前提。

（二）识别、分析、评价企业合规风险

在刑事合规整改案件中，由于检察院已经完成案件定性，确定了违规风险事项并作出评价，因此合规整改工作的重点应当围绕检察院确定的方向展开。亦即，针对刑事合规整改，企业在制定合规计划前不需要做全面合规风险识别与评价，而是应当聚焦在对违规行为的成因分析上。

以钻石行业反走私整改工作为例，企业开展合规整改工作之初，检察机关已经对走私发生原因进行了分析，“行业频繁走私发生的原因有四点：一是经营者法律意识淡薄，生产流程不规范，不注重企业管理和刑事风险防控......”

虽然检察机关已经对走私行为进行了成因分析，但是企业制定合规计划之前仍需要全面梳理公司业务流程，对可走私行为发生进行根因分析，进而制定合规整改计划，采取措施预防走私违规行为的发生。

针对钻石行业走私合规整改项目，我们根据行业企业自身业务特点，绘制了企业产品进口关键节点流程图，全面剖析产品交易产业链，对走私成因进行根因分析，从而为制定全面合理的合规计划提供基础依据。

（三）定期更新合规风险清单

企业合规风险随着企业合规义务的变化而变化，所以合规风险评估是动态的、变化的。当出现以下情况时，企业应定期更新合规风险清单：

▶出现新的产品、服务或者产品、服务进行了更新迭代；

▶重要的外部变化，如重要法律、法规、规章发生重大变化；

▶企业认为需要更新合规风险清单的情形。

 

三．结语

由于本次合规风险评估是以刑事合规案件为依托，与非刑事案件在合规风险评估方面最大的不同是本次反走私合规整改案件中合规风险评估聚焦在违规行为成因分析，通过根因分析，进而采取针对改善措施，防止违法、违规行为再次发生。

提醒企业做非刑事企业合规风险评估时，仍需要按照行业惯例，开展合规风险评估流程操作：识别企业合规义务、合规风险识别、合规风险分析、合规风险评价，实现全面合规风险评估。

【注释】

[1]参阅ISO 31000 Risk Management

[2]参阅ISO 37301:2021 Compliance management systems —

Requirements with guidance for use 4.6 Compliance Risk Management

[3]参阅ISO 37301:2021 Compliance management systems —

Requirements with guidance for use 4.5 Compliance Obligations