如何用合規(guī)義務來識別合規(guī)風險

如何用合規(guī)義務來識別合規(guī)風險合規(guī)風險，在《ISO37301:2021合規(guī)管理體系要求及使用指南》中被定義為：因不符合組織合規(guī)義務而發(fā)生不合規(guī)的可能性及其后果。根據(jù)這個定義，識別合規(guī)風險的一個重要方法就是錨定合規(guī)義務——合規(guī)義務就像一枚硬幣，硬幣的正面就是合規(guī)義務；硬幣的背面就是合規(guī)風險。合規(guī)義務得到遵守就是合規(guī)；得不到遵守就是違規(guī)。因此，識別合規(guī)義務對于識別合規(guī)風險具有重大的意義。合規(guī)義務合規(guī)義務，在《ISO37301:2021合規(guī)管理體系要求及使用指南》中被定義為：組織必須遵守的要求，以及組織自愿選擇遵守的要求。根據(jù)《ISO37301:2021合規(guī)管理體系要求及使用指南》附錄A的規(guī)定，組織必須遵守的要求包括：法律法規(guī)；許可、執(zhí)照或其他形式的授權;監(jiān)管機構發(fā)布的命令、規(guī)則或指南；法院或行政法庭的判決；條約、公約和議定書。組織自愿選擇遵守的要求可以包括：與社區(qū)團體或非政府組織的協(xié)定；與公共機構和客戶的協(xié)議；組織要求，如方針和程序；自愿原則或行為守則；自愿標識或環(huán)境承諾；基于本組織的合同安排所產(chǎn)生的義務；相關組織和行業(yè)標準。在現(xiàn)實生活中，一個組織所要面對的合規(guī)義務，無論是“必須要遵守的”，還是“自愿選擇遵守的”，其數(shù)量非常龐大，導致了錨定合規(guī)義務來辨識的合規(guī)風險數(shù)量也非常龐大，導致了一些組織所識別出來的風險動輒數(shù)百項，上千項，甚至數(shù)千項，而如此龐大數(shù)量的風險讓組織及其相關人員在合規(guī)管理中疲于應付，有時干脆眉毛胡子一把抓。筆者之一在做合規(guī)項目的過程中曾經(jīng)問一個項目公司的經(jīng)理，他們是否記得并管控它們公司所識別出來的上千項風險，答案毫無疑問地是：“不記得”。這上千項的風險清單自從識別出來后就被束之高閣。公司的治理層和最高管理層在實務當中所重點關注的風險其實不超過十個。當然筆者無意說合規(guī)風險識別不重要、制定合規(guī)風險清單不重要，但制定一個實實在在接地氣、可執(zhí)行的合規(guī)風險清單可能比盲目追求風險清單上的數(shù)量更重要。禁止性合規(guī)義務v控制性合規(guī)義務合規(guī)義務，除了區(qū)分為“強制性的”和“可選擇性的”，在實務中還可以進一步區(qū)分為“禁止性合規(guī)義務”和“控制性合規(guī)義務”。這種分類方法雖然在《ISO37301:2021合規(guī)管理體系要求及使用指南》中沒有提及，但在實務中這種區(qū)分具有重大意義。在禁止性合規(guī)義務下，一個組織不得做什么或被禁止做什么（比如“不得行賄”），那么這個組織在該禁止性合規(guī)義務下什么都不做就合規(guī)了（比如“不行賄”），換言之，禁止性合規(guī)義務下應當以不作為的方式合規(guī)；在控制性合規(guī)義務下，一個組織得做點什么（比如“在廠房內(nèi)放置一定數(shù)量的滅火器”），換言之，在控制性合規(guī)義務下，一個組織得做點什么才合規(guī)，換言之，控制性合規(guī)義務下必須以作為的方式合規(guī)。無論是禁止性合規(guī)義務還是控制性合規(guī)義務，其都來自于“合規(guī)要求”與“合規(guī)承諾”，但“不得做什么”的禁止性合規(guī)義務往往更多地來自于強制性的法律法規(guī)，而“得做點什么”的控制性合規(guī)義務往往更多地來自于一個組織自主適用的標準、規(guī)范（及其他義務來源）。正如上面所說的那樣，“不得做什么”和“得做點什么”所構成的合規(guī)義務的數(shù)量非常龐大，如果說制定一個實實在在接地氣、可執(zhí)行的合規(guī)風險清單非常重要，那么被合規(guī)風險所錨定的合規(guī)義務也必須有一個實實在在接地氣的、可執(zhí)行的合規(guī)義務清單。禁止性合規(guī)義務下的合規(guī)風險識別正如前面所提到的那樣，在禁止性合規(guī)義務下，一個組織不得做什么或被禁止做什么（比如“不得行賄”），如果觸碰了“不得做什么”或“被禁止做什么”的合規(guī)義務，那么就會引發(fā)相關的合規(guī)風險（比如“賄賂風險”）。一般來說對禁止性合規(guī)義務的違反是立法機構及其所代表的利害相關方所不能容忍的“紅線”、“地雷”或者“高壓線”，因此禁止性合規(guī)義務下的合規(guī)風險往往會給相關組織帶來重大損害、行政處罰，甚至刑事責任。因此實務中，一個組織應當優(yōu)先識別禁止性合規(guī)義務下的合規(guī)風險。在《ISO37301:2021合規(guī)管理體系要求及使用指南》下，僅僅識別合規(guī)風險還不夠，組織還應當識別“風險源”（Risksource）和“合規(guī)風險情況”（Risksituation）?！帮L險源”與“合規(guī)風險情況”是《ISO37301:2021合規(guī)管理體系要求及使用指南》下新設的兩個概念。根據(jù)附錄A.4.6，“合規(guī)風險識別包括合規(guī)風險源的識別和合規(guī)風險情況的界定。組織宜根據(jù)部門職責、崗位職責和不同類型的組織活動，識別各部門、職能和不同類型的組織活動中的合規(guī)風險源。組織宜定期識別合規(guī)風險源，并界定每個合規(guī)風險源對應的合規(guī)風險情況，形成合規(guī)風險源清單和合規(guī)風險情況清單?！皟H就“合規(guī)風險情況”而言，以反壟斷法當中的“縱向壟斷協(xié)議”風險為例，反壟斷法第十四條明確規(guī)定一個禁止性合規(guī)義務：“禁止經(jīng)營者與交易相對人達成下列壟斷協(xié)議：（一）固定向第三人轉售商品的價格；（二）限定向第三人轉售商品的最低價格；（三）國務院反壟斷執(zhí)法機構認定的其他壟斷協(xié)議?！钡牵瑥暮弦?guī)管理實操的角度來看，這些法律規(guī)定不夠具體，一個組織往往需要把這些適用于所有組織的原則性的禁止性合規(guī)義務相對應的“合規(guī)風險情況”界定出來，比如下面某快銷品行業(yè)的企業(yè)在“轉售價格維持”相關的“縱向壟斷協(xié)議”風險下所界定的“合規(guī)風險情況”如下：為了避免涉嫌轉售價格維持，我們公司：?不得在與經(jīng)銷商、零售商的任何形式的協(xié)議中規(guī)定經(jīng)銷商、零售商應按照某一價格銷售或不得低于某一價格銷售；?不得要求（不論是書面、口頭還是暗示）經(jīng)銷商、零售商按照某一價格銷售或不得低于某一價格銷售；?不得對經(jīng)銷商、零售商的價格調(diào)整進行干涉，不得因其價格原因而停止供貨、解除合同、取消返利、折扣、費用或采取其他懲罰措施；?不得在任何內(nèi)部文件或對外文件、郵件往來中涉及對經(jīng)銷商銷售價格或零售商零售價格的控制，不得使用“破價”、“紅線價”等涉嫌價格管控的詞語；?不得在發(fā)現(xiàn)經(jīng)銷商、零售商銷售價格低于預期時，向其發(fā)出書面函件、電子郵件或進行口頭警告，不得在與經(jīng)銷商、零售商人員的對話中涉及價格控制內(nèi)容；?不得與經(jīng)銷商或零售商商定轉售價格、促銷價格或要求經(jīng)銷商或零售商在進行價格調(diào)整前取得我們組織同意；?除非獲得經(jīng)銷商書面授權且明確聲明經(jīng)銷商對價格有最終決定權，不得代經(jīng)銷商與零售商商定供貨價格；?不得因為經(jīng)銷商、零售商“破價”或“低于建議價格”銷售而對他們予以處罰；?不得強制經(jīng)銷商、零售商執(zhí)行建議轉售價格或建議零售價格或對它們施加壓力，使得它們不得不這么做（比如，反復地將建議價格發(fā)給經(jīng)銷商、零售商，以至于看起來是在威脅它們）。不得將建議轉售價格或建議零售價格變?yōu)楣潭▋r格或最低價格；?不得以設置轉售價格浮動空間、利潤率的形式固定經(jīng)銷商、零售商的銷售價格或設置價格下限。據(jù)此，該快銷品行業(yè)企業(yè)在「縱向壟斷協(xié)議風險」下界定出10個合規(guī)風險情況，而不必把這10個合規(guī)風險情況都列為合規(guī)風險。換言之，在前述這個情況下，「縱向壟斷協(xié)議風險」是綱，「10個合規(guī)風險情況」是目，綱舉目張下，「縱向壟斷協(xié)議風險」的風險及風險情況得到了很好的分類和歸納?？刂菩院弦?guī)義務下的合規(guī)風險在控制性合規(guī)義務下，一個組織得“得做點什么”才行，而這“得做點什么”的合規(guī)義務有的來自于組織為了做好風險管控而自己所設置的（比如組織要求，如方針和程序），也有的來自于組織自愿選擇遵守的相關組織和行業(yè)標準（以及其他義務來源）。我們以行賄風險為例，某組織為了防止行賄行為的發(fā)生，制定有內(nèi)控制度：凡是跟政府官員之間往來的費用都必須經(jīng)過組織的合規(guī)官審批之后才可以發(fā)生并進而報銷。這里所說的“審批”就是控制措施，把費用提交給合規(guī)官進行審批是申請人必須履行的義務；對申請事項進行審查也是合規(guī)官所必須履行的義務。沒有履行該控制性合規(guī)義務不一定會直接導致組織違法違規(guī)被處罰，但因為沒有履行該控制性合規(guī)義務，就會讓風險管控失效，從而加大行賄風險發(fā)生的可能性。我們同樣以上文中提及的某快消品企業(yè)關于禁止轉售價格維持的“縱向壟斷協(xié)議”風險為例，該企業(yè)為了避免涉嫌轉售價格維持，規(guī)定了10項禁止性合規(guī)義務。為了把這些禁止性合規(guī)義務落實到位，公司的合規(guī)部門同時設置了如下的控制措施，比如：法務必須對公司的銷售人員進行《反壟斷法》培訓，并對這10項合規(guī)義務逐條予以解釋和說明；銷售部門每一個季度都要在銷售工作會議上和每一個銷售人員一起復習這10項合規(guī)義務；法務在審查經(jīng)銷合同時必須嚴格對照上述10項合規(guī)義務來審查合同。除了上述組織內(nèi)部所形成的控制性合規(guī)義務之外，一個組織還可以去選擇適用賄賂風險管理、反壟斷合規(guī)風險管理相關的標準、指引來管控相應的賄賂風險、縱向壟斷協(xié)議風險。因為合規(guī)風險是因不符合組織合規(guī)義務而發(fā)生不合規(guī)的可能性及其后果，不符合控制性合規(guī)義務與不符合禁止性合規(guī)義務一樣都會觸發(fā)合規(guī)風險。但因為控制性合規(guī)義務的數(shù)量遠超禁止性合規(guī)義務的數(shù)量，要把這些義務全部列舉出來會給公司的合規(guī)管理帶來極大的負擔。那么在實務中，應當怎么去分類和歸納控制性合規(guī)義務呢？首先，以禁止性合規(guī)風險為綱來統(tǒng)領控制性合規(guī)義務。實務當中很多的控制性合規(guī)義務都是為了管控禁止性合規(guī)義務相關的合規(guī)風險而設的。比如上面所說的“不得行賄”的禁止性合規(guī)義務相關的“賄賂風險”既有一個組織內(nèi)部所設定的控制措施來進行管控，還有組織可以選擇適用的賄賂風險管理體系標準來對賄賂風險進行管理。因此，綱舉目張下，禁止性合規(guī)義務所對應的合規(guī)風險既可以統(tǒng)領相應的“合規(guī)風險情況”，也可以統(tǒng)領“控制性合規(guī)義務”。如下圖所示：其次，以合規(guī)專項來歸口控制性合規(guī)義務管控禁止性合規(guī)義務相關的合規(guī)風險。在實務中，一個組織往往會就某個風險（比如賄賂風險）做合規(guī)專項，從而圍繞賄賂風險設計、歸口、落實合規(guī)風險管控措施。再次，以相應的合規(guī)管理體系貫標、認證來歸口控制性合規(guī)義務。很多組織雖然現(xiàn)在才開始有意識地搭建合規(guī)管理體系，但其實它們早就有針對各種各樣的風險進行了貫標，甚至認證，比如ISO9001質量認證體系、ISO14001環(huán)境管理體系等。這些貫標、認證的重大意義在于通過認證的組織就相關風險系統(tǒng)地進行了風險管控，而相應的風險管控措施也通過相關體系歸口、集結在一起?？偠灾驗樽R別合規(guī)風險的一個重要方法就是錨定合規(guī)義務——因此識別合規(guī)義務對于識別