文章來源:上海律協
風險評估工作將對企業在經營活動過程中的風險敞口進行客觀、結構化的分析,透過矩陣闡述風險敞口的發生頻率和嚴重性,並在考慮激發風險的因素的前提下,制定應對風險的措施,從而形成一份切實可行的行動方案。通常情況下,合規風險評估工作應當分成五步進行。
第一步:風險辨識
合規風險評估工作的第一步是辨識企業的固有風險,盡可能全面地列出企業所可能面臨的所有風險。所要辨識的風險不能是理論上的風險,而應該是企業生產經營活動中可能遭遇的實際風險敞口,對於特定風險的描述必須準確、詳盡並且是書面的。
企業在經營過程中,會面臨不同種類的風險,比如戰略風險、合規風險、營運風險、財務風險及商譽風險等等。僅僅就合規風險而言,不同行業、經營活動涉及不同地域的企業所面臨的合規風險種類也各有不同,因此,每家企業應當根據其自身情況,辨識其自身所面臨的風險種類。
要想準確辨識企業的風險敞口,就要求風險評估人員對企業狀況進行評估前盡職調查,透過調查,深入了解企業的組織架構、管理層級、業務模式、行銷推廣、采購招標、投標流程、生產或施工流程、財務制度、用工、業務部門與業務部門之間以及業務部門與管理部門之間的協作方式、第三方夥伴關系(包括主要供應商、主要客戶以及代理商和外部顧問)等等。
在風險辨識工作上,僅有外部顧問/律師的努力是不夠的,還需要企業內部成員(從最高管理層、部門經理與主管、部門骨幹到前線員工)積極參與。企業內部主要團隊成員,可以透過開會討論(有時候是跨部門間,包括IT、戰略規劃、投資、營運、法務、人力資源、安保、財務、合規等部門)的方式,頭腦風暴一下,主要按照三個標準來羅列各自工作範圍內所意識到的合規風險:(1)與企業活動相關聯,(2)影響到企業的財務狀況,以及(3)能夠與其他風險區分開來管控。
通常情況下,作為外部顧問,我們會透過面談、召開引導會議或者組建跨職能工作小組的方式,讓企業內部成員參與到合規風險辨識的工作中來。面談通常適用於工作時間安排比較忙碌的企業領導、高管、董事會成員或者部門的高級經理等。引導會議則可以在相同職能部門成員之間召開,有利於透過相互提醒辨識出確切的風險種類。至於跨職能工作小組,舉例而言,在辨識與資訊保安相關的合規風險上,我們可能會將企業技術部門、法務及合規部門、公共關系部門、業務部門、戰略規劃部門以及行政管理部門的成員聚合在一起,這些不同職能部門的成員就有可能從不同角度,對與資訊保安相關的合規風險的成因、後果、可能性及互動作用,提供不同的情報,從而有利於準確地描述、記錄相對應的合規風險。
當我們所服務的是超大型、結構復雜並且在地域上呈分布式的企業時,我們也可以采取標準化問卷調查的方式進行合規風險辨識。這種問卷調查通常采用哥特曼量表(GuttmanScale)問卷的形式開展。但受限於匿名問卷調查形式本身的固有局限性,所收集到的資訊的品質可能較低,因此,在有可能的情況下,問卷方式還是要與跨職能工作小組的方式相結合來使用。
第二步,固有風險評估
第二步工作是評測企業在前述每一項風險面前的脆弱性(vulnerability),透過評測,我們可以看到企業的「毛」風險敞口(「gross」riskexposure)。
透過對風險可能性與影響大小的評測,制作風險矩陣圖。在評測風險可能性與影響之前,我們還需要分析風險因素或風險源(risksources):是否高危險國家或行業,營運性質,新產品,高價值或超復雜合約,涉及第三方協作,業務壓力,內控無力,高競爭環境,並購,進入或結束市場,資產處置,新的戰略合作關系,設立銷售目標,等等。換言之,我們需要弄清楚到底是哪些內部或外部的事件導致這些風險的產生。對於風險源進行分析的結果將影響到我們對風險可能性級別及影響級別的評測。
評測的具體作法是,評測各項風險發生的可能性,並予以打分,以10分為例,對極不可能發生的風險打1分,而極有可能發生的風險則可打10分。再評測如果一項風險發生,其對企業或計畫可能造成的影響。對風險辨識列表中的每一項風險都要進行影響評測,並予以打分,以10分為例,對影響極小的風險打1分,對災難性影響的風險打10分。最後將評測後的各項風險放入風險矩陣圖中予以顯示。
在計量「毛」風險敞口時,所使用的公式是「‘毛’風險敞口=可能性系數*影響系數」。最後企業可以針對不同風險敞口,制定策略並采取措施進行管控。
第三步,現有風險管理措施有效性評估
這一步的目的在於評估企業現有的合規風險管理措施的有效性,進而計量出企業的剩余風險敞口(residualriskexposure)或「凈」風險敞口(「net」riskexposure)。剩余風險敞口=采取現有管理措施後的風險可能性系數*采取現有管理措施後的風險影響系數。
與「毛」風險敞口相對應的,我們會把剩余風險敞口系數顯示在同一個風險矩陣圖上,並以箭頭形式標識特定風險在矩陣圖上的遷徙路徑,從而可以用視覺化的形式觀察到現有風險管理措施的有效性。
在具體實踐中,我們會在收集與辨識企業風險敞口的同時,收集相對應的現有風險管理措施,而那些目前尚未采取管理措施的則標識為「無」。二者的工作方法有較多重疊。
第四步,剩余風險優先化的行動方案
剩余風險確定後,我們對其進行優先級排序,從而能夠將那些現有內控制度已經可以有效管控的風險與那些還需要更好地管理、更強地控制的風險區分開來。對應到風險矩陣圖上,剩余風險如果位於矩陣圖左下角(低可能性/低影響),通常可以忽略不計,而如果位於右上角(高可能性/高影響),則提示企業必須十分註意,並投入足夠的時間、人力和財力進行管控與治理。
剩余風險優先化的意義在於企業可以最高效率地分配合規資源,把有限的人力、物力、財力和時間,按風險的優先級別,進行分配,從而盡可能地降低風險對企業的影響與傷害。
在優先化的基礎上,企業必須制定出相對應的行動方案,列出執行行動方案的時間表與工作流程,以及相應的監督與問責辦法,並不遺余力地推動行動方案的實施。
第五步,定期更新風險評估
風險評估的工作必須以書面形式開展,所有的工作記錄、底稿和最終形成的矩陣圖和報告,均需妥善保管與歸檔。在此基礎上,由於風險會演化,其所能造成的影響也會變化,所以風險評估應當定期重做,風險矩陣圖也應該定期重估,以確保主要風險均能被有效監督與控制。
通常而言,風險評估可以一年更新一次。但如果企業發生下列情形,則應立即更新風險評估:商業模式變更、采用新的生產工藝或生產工藝變化、影響企業的重大變化(例如大的組織架構調整、兼並收購)以及法律或經濟環境的重大變化。除此之外,當企業的業務進入一個全新的地理區域時,例如中央企業在一個陌生的國家開展新的海外投資時,更新風險評估也成為必須要進行的一項重要工作。
透過以上五步工作,企業的合規風險評估基本完成。但合規工作遠未完成。企業合規工作是一項系統工程,需要多方面的努力,投入必要的時間、人力和財力。具體到合規風險辨識與評估工作,企業從最高管理層到普通員工都應該在一定程度上參與進來。不同層級的同事之間,在分工與責任上有別不同。最高管理層,例如董事長、董事會成員以及總經理等,需要秉持堅定的反腐敗立場,在企業內部弘揚合規文化,並確保企業分配充分的人力與財力資源到合規工作上來。最高管理層直接任命首席合規官,首席合規官在職能上應該具有獨立性,負責監督合規體系的建設與執行,包括合規風險的評估工作,可以直接向最高管理層匯報。
