国药总法律顾问谈合规系列

——风险控制手段

    风险是可以避免和控制的，因为风险可以通过理性的方法进行归纳，在一定程度上进行预测，在风险发生时可以对其用客观方式进行有效的认知，所以风险可以被规避或控制。企业的合规管理体系应围绕风险的管控积极开展工作，其核心目标应该设定为“有效地防控风险”。

    为落实防控风险这一企业合规工作的核心目标，可采取下述三方面措施：

    1健全制度

    企业应健全公司各项运营管控制度，在企业内部确立自律机制，并在各部门之间形成必要的制衡。

    首先，是针对行业、业务的特点，结合企业的实际情况，以人、财、物、生产、采购、销售和信息的管理为着眼点，编订全面设计并执行企业运营的管控制度。通过事前预测、外部调研以及事后分析的方式，采集汇总运营过程中的各类风险点，并依情况和所需设置风险管控点、以及管控的流程。

    依审慎管理的原则，对风险点提炼、界定应由所有对应的业务及职能部门的确认；对同一风险点一般要设定一个以上的管控点；对管控执行的效果要订立有效的奖惩机制。

    管控手段要书面化、制度化和全员参与。

    所谓书面化，是指合规作业不仅仅要求有具体的合规作为，更要有每一步的书面记录和相关说明。

    制度化要求合规必须有制度的指引，依法合规地制订制度，切实高效地执行制度；

    全员参与则是指合规作业并非由单一的部门或单一的岗位执行，而是融入整个运营活动中，由所有涉及合规活动的部门因应其职责妥善担纲处置，且在内部进行有效的分工布局。

    花旗银行（中国）有限公司案例（由于篇幅限制，案例在下节连载）

    2长效督导

    企业在经营中应建立合规经营的长效督导检查制度，使合规经营和监督执行常态化、习惯化。

    合规管理体系无法脱离督导和检查，在企业内部，执行此项任务的主要是作为企业管理部门的内审部门和公司治理机构的监事会（或监事）。有时候法律管理部门和风险运营管理部门也会承担起督导检查的职能。合规管理需要企业时时走在符合特定经营标准的道路上，这不仅需要企业有具体合规执行的举措，更需要将督控和检查工作坚持不懈地做下去。

    合规的督导和检查不可能脱离法律视野，因为法律是合规作业最初也是最终的准绳。考量合规手段是否适当，是否符合合规的要求；评估风险的控制情况；监测合规效果是否达成目标都离不开法律视野下的评价。另一方面，合规效果的实现离不开法律控制手段，比如，当监事会（监事）直接介入合规时——监事会根据内审部门提供的报告，依照公司章程的约定，通过起诉董事、高管来防止不合规行为进一步对公司的损害时，依靠的是法律管控的力量。

    3构建合规文化

    企业在经营中应确立合规价值观和合规经营文化，使企业员工的从业行为更加规范，整体素质明显提高。

    合规文化属于组织文化、企业文化的范畴。对于合规文化，目前尚无统一的定义。最先兴起合规管理风潮的金融业对此贡献颇多，巴塞尔银行监管委员会在《合规与银行内部合规部门》中提出“合规应成为银行文化的一部分，合规并非只是专业合规人员的责任”，“合规应从高层做起，当企业文化强调诚信与正直的准则并由董事会和高级管理层做出表率时，合规才最为有效”等合规文化理念。在这样的理念的指引下，从事金融业合规研究的专家认为可以将合规文化定义为：银行机构为避免遭受法律制裁，监管处罚、重大财务损失或声誉损失，在上而下地建立起一种普遍意识、道德标准和价值取向，以从精神方面确保其各项经营活动始终符合法律法规、自律组织约定以及内部规章的要求。[ 黄毅 张晓朴 李劲松等：《合规管理原理与实务》，法律出版社2010年版，第105页。]借用他们的理念，今时今日我们完全可以将“银行”替换为一般“企业”，做出统一的判断，即合规文化的内涵包括诚实、守信、正直等职业道德与行为操守，“合规人人有责”、“合规从高层做起”、“主动合规”、“合规创造价值”、“内部合规与外部监管有效互动”等理念和行为准则，以及企业对社会负责、企业对员工负责、员工对企业负责、员工对其他员工负责等价值观念取向。

    合规文化体现了价值取向。一个成熟发展的企业，对于违法行为应持“零容忍”的态度，使人们从心里上默认并重视法律与规章制度的存在，并形成对自我行为的后果预期。这种价值判断一旦形成，便会在日常的经营活动中通过各种形式，“无孔不入”地渗透到员工的思想中，潜移默化地影响着员工的行为模式，从而使合规意识和合规制度有机地结合起来，达到制度约束和自我约束的统一。

    法律在构建合规文化中的作用是无法忽略的，这是由于合规文化的核心就是法律意识。法律意识是人们关于法律现象的思想、观念、知识、心理的总称，它是公民主动守法遵规的心理基础。根据意识主体的不同，法律意识可分为个人法律意识、群体法律意识和社会法律意识。企业倡导合规文化，首先要求企业作为社会组织、企业公民，必须具有群体法律意识，在市场经济活动中严格依法办事，守法经营。同时，重要关键企业，如银行和国有大型企业、中央企业，上市公司的从业人员必须具有良好的个人法律意识，自觉按规章制度进行业务操作。只有通过这样，才能够确保企业的良心始终符合企业应尽的社会责任的要求，树立良好的企业形象，从而给企业的长治久安打下基础。

国药总法律顾问谈合规系列

——合规策略

    开展风险评估

    风险评估是风险防控过程不可或缺的手段，它是认识、评断风险，并由此推导处置手段最直接的策略方法。风险评估主要经过目标设定、风险识别、风险分析和风险应对四个基本程序，其一般程序和方法如下：

    1、目标设定

    2、风险识别

    风险识别是指，在目标设定之后，查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。风险识别的主要方法包括小组讨论、访谈、问卷调查、案例分析、参考专业机构咨询意见和征求专家意见。

    风险识别可以分别从公司层面和业务层面动态地展开，识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定因素。其中公司层面识别指的是从公司战略发展的角度识别公司面临的所有重大不利因素和有利因素，从而甄别风险，发现机遇。这些因素既有来自于外部的政治、经济、社会、自然因素，也有产生于公司内部的员工、流程、技术和设施等因素。而业务层面识别是通过根据一定的规范、采用一定的方法对业务流程进行描述。在业务流程描述的基础上，以业务流程步骤为主线，全面识别影响目标实现的相关因素，比如以公司财务报表、审计报告的记载为出发点进行的识别。

    风险的识别亦无法脱离其时的法律环境，尤指法律的强行性规定；社会道德层面的一般认知亦会给带来识别带来影响，如企业的声誉风险往往是与社会倡导价值观方向紧密相连的。

    3、风险分析

    进入风险分析阶段，要从风险发生的可能性和对公司目标的影响两个角度进行评判，设定统一标准对各个风险发生的可能性和影响程度分别进行定量的评分，按风险值（风险可能性分值×风险影响分值）对风险进行排序，作出符合企业自身情况的风险热力图。

图5 风险热力图

注：上图仅为一般示例，不具普适性，不覆盖所有类型企业的风险特点

    决策者可根据风险热力图所示，确定风险的重要性水平，以决定投入的关注程度或实施风险应对的力度和时间。对于重要性水平为低和较低的风险，由于其发生的可能性和影响程度均小，如财务风险和声誉风险，公司可以在此种情况下先忽略不予关注。对于重要性水平为中的风险，诸如人力资源风险和法律风险，公司将此类风险确定为一般风险给予一般关注。对于重要性水平高的关键风险，如市场风险、环保风险和欺诈风险，要重点防范。需要说明的有两点，以上是根据广义上的风险管理工具作出的风险释明，这些所有风险并非都能够通过本文所述的合规管理体系进行管控，这里所说的只是一种对风险认知、评估的方法；在公司不同的发展时期，并结合不同的社会环境因素，风险发生的可能性和影响程度指标会发生不确定的变化，以上图示中的风险划分并非一成不变。

    4、风险应对

    风险应对是指选择和运用具体管理措施对风险进行管理的过程，即在风险识别和风险分析完成后，公司确定应如何应对风险，并将方案付诸实施。风险应对的目的是将剩余风险控制在风险承受度内，利用现有的资源，分不同情况采取风险管理措施。

    风险应对策略一般包括风险规避、风险降低、风险分担和风险承受四种。

    图6 风险应对措施图

    （1）风险规避：放弃或者停止与该风险相关的业务活动，如撤销项目、抛售股票、放弃市场和禁止高风险活动。

    （2）风险降低：采取适当的控制措施降低风险或者减轻损失，如风险分散管理和隔离控制等。

    （3）风险分担：借助依靠他人力量控制风险，如购买保险和通过签订合同转移风险等。

    （4）风险承受：不采取控制措施降低风险或者减轻损失，对于风险承受度之内的，或为了实现战略目标而不可摆脱的固有的、稳定的风险，可选择做好准备，调集资金和其他资源正面应对。

    无论采取何种方式应对风险，均无法脱离法律上的认知。当下有一种颇为流行的观点，将违法作业的风险实现后果作成本化考量，认为如果违法行为可以满足、增益一定程度的收益指标，同时违法作业的风险后果可以“被接受”（多为罚金类责任），则不应排除主动违法的处置倾向，甚至应该主动追求、实现违法经营。这样的认知虽然符合公司经营利益最大化的原则，但会造成企业社会责任的倾覆，对于企业自身、乃至国家经济和社会的持续稳定健康发展将造成极其恶劣的影响。

    开展四方面的风险控制体系建设

    按照风险及控制所作用层面的不同，实施风险控制体系可以分为公司层面控制、IT一般控制、业务层面控制和IT应用控制四个方面的建设。它们的关系如图7所示。

图7 各层面控制的关系

    其中，公司层面的控制建设内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素。

    内部环境要素是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。具体包括：诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、公司治理结构、人力资源政策与措施、员工胜任能力和反舞弊机制等内容。

    风险评估是识别及分析影响公司目标实现的风险的过程，是风险管理的基础。该项内容具体见本节第一部分，不再赘述。

    控制活动是确保管理层关于风险应对方案得以贯彻执行的政策和程序。控制活动存在于公司所有级别的分支机构和智能部门，包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保全措施等活动。

    信息与沟通的构成要素包括信息、沟通、IT一般控制、IT应用控制和信息披露等。其中IT一般控制指的是内部控制中对信息系统相关部分的控制，保证信息系统支持的流程控制可靠、生成数据和报告可信，其内容包括控制环境、信息安全、信息系统日常运作和系统变更管理等；IT应用控制则是指通过具体的IT应用系统实施的控制管理活动。

    内部监督是管理层对于公司内部控制体系有效性进行持续评估的过程，包括持续监督、独立评估和缺陷报告三要素。

    而业务层面控制建设的主要内容是针对业务活动层面风险，以公司层面控制政策为导向，规范业务流程，制定业务活动层面风险控制措施。

    推行《企业内部控制基本规范》下的控制执行机制

    2008年6月，财政部、审计署、证监会、银监会、保监会联合颁布了《企业内部控制基本规范》，该规范被要求自2009年7月1日在上市公司执行，并鼓励非上市大中型企业执行。根据该规范，公司内部的控制执行机制可见图8。

图8 内部控制组织体系及职责权限

    需要说明的是，该执行机制融合了一般意义上公司治理结构的诉求，以及国有大中型企业内控标准的要求。

    企业合规体系的建设对于创建具有持续发展力、国际竞争力的优质中国企业有着无可取代的功能，而法律辨识和法律管控的手段在这一体系的构建中亦有着举足轻重的作用。合规与法律本来就密不可分。合规的标准来源于企业内部控制的要求，也来源于法律的直接规制，同时也是人类现代社会伦理、道德上的良好追求。合规的目的在于构建稳定坚实的经济环境，以利于经济的长久持续发展。合规是一个内部性的作业过程，却也无时不刻地受到外部环境的影响。我们要擅用合规的手段管理企业，也要善用法律的方式构建合规。我们应该将企业的各个经营层面用合规的、法律的方式加以解构，用合理的制度串接，并用上进的文化激励、浸润、打造一个适合所有企业发展的合规管理体系。

    作者：李智明 国药控股股份有限公司执行董事兼总裁。原国药控股股份有限公司总法律顾问。