如何用合规义务来识别合规风险
合规风险,在《ISO 37301:2021合规管理体系 要求及使用指南》中被定义为:因不符合组织合规义务而发生不合规的可能性及其后果。根据这个定义,识别合规风险的一个重要方法就是锚定合规义务——合规义务就像一枚硬币,硬币的正面就是合规义务;硬币的背面就是合规风险。合规义务得到遵守就是合规;得不到遵守就是违规。因此,识别合规义务对于识别合规风险具有重大的意义。
合规义务
合规义务,在《ISO 37301:2021合规管理体系 要求及使用指南》中被定义为:组织必须遵守的要求,以及组织自愿选择遵守的要求。
根据《ISO 37301:2021合规管理体系 要求及使用指南》附录A的规定,组织必须遵守的要求包括:法律法规;许可、执照或其他形式的授权;监管机构发布的命令、规则或指南;法院或行政法庭的判决;条约、公约和议定书。
组织自愿选择遵守的要求可以包括:与社区团体或非政府组织的协定;与公共机构和客户的协议;组织要求,如方针和程序;自愿原则或行为守则;自愿标识或环境承诺;基于本组织的合同安排所产生的义务;相关组织和行业标准。
在现实生活中,一个组织所要面对的合规义务,无论是“必须要遵守的”,还是“自愿选择遵守的”,其数量非常庞大,导致了锚定合规义务来辨识的合规风险数量也非常庞大,导致了一些组织所识别出来的风险动辄数百项,上千项,甚至数千项,而如此庞大数量的风险让组织及其相关人员在合规管理中疲于应付,有时干脆眉毛胡子一把抓。笔者之一在做合规项目的过程中曾经问一个项目公司的经理,他们是否记得并管控它们公司所识别出来的上千项风险,答案毫无疑问地是:“不记得”。这上千项的风险清单自从识别出来后就被束之高阁。公司的治理层和最高管理层在实务当中所重点关注的风险其实不超过十个。当然笔者无意说合规风险识别不重要、制定合规风险清单不重要,但制定一个实实在在接地气、可执行的合规风险清单可能比盲目追求风险清单上的数量更重要。
禁止性合规义务v控制性合规义务
合规义务,除了区分为“强制性的”和“可选择性的”,在实务中还可以进一步区分为“禁止性合规义务”和“控制性合规义务”。这种分类方法虽然在《ISO 37301:2021合规管理体系 要求及使用指南》中没有提及,但在实务中这种区分具有重大意义。
在禁止性合规义务下,一个组织不得做什么或被禁止做什么(比如“不得行贿”),那么这个组织在该禁止性合规义务下什么都不做就合规了(比如“不行贿”),换言之,禁止性合规义务下应当以不作为的方式合规;在控制性合规义务下,一个组织得做点什么(比如“在厂房内放置一定数量的灭火器”),换言之,在控制性合规义务下,一个组织得做点什么才合规,换言之,控制性合规义务下必须以作为的方式合规。
无论是禁止性合规义务还是控制性合规义务,其都来自于“合规要求”与“合规承诺”,但“不得做什么”的禁止性合规义务往往更多地来自于强制性的法律法规,而“得做点什么”的控制性合规义务往往更多地来自于一个组织自主适用的标准、规范(及其他义务来源)。
正如上面所说的那样,“不得做什么”和“得做点什么”所构成的合规义务的数量非常庞大,如果说制定一个实实在在接地气、可执行的合规风险清单非常重要,那么被合规风险所锚定的合规义务也必须有一个实实在在接地气的、可执行的合规义务清单。
禁止性合规义务下的合规风险识别
正如前面所提到的那样,在禁止性合规义务下,一个组织不得做什么或被禁止做什么(比如“不得行贿”),如果触碰了“不得做什么”或“被禁止做什么”的合规义务,那么就会引发相关的合规风险(比如“贿赂风险”)。一般来说对禁止性合规义务的违反是立法机构及其所代表的利害相关方所不能容忍的“红线”、“地雷”或者“高压线”,因此禁止性合规义务下的合规风险往往会给相关组织带来重大损害、行政处罚,甚至刑事责任。因此实务中,一个组织应当优先识别禁止性合规义务下的合规风险。
在《ISO 37301:2021合规管理体系 要求及使用指南》下,仅仅识别合规风险还不够,组织还应当识别“风险源”(Risk source)和“合规风险情况”(Risk situation)。“风险源”与“合规风险情况”是《ISO 37301:2021合规管理体系 要求及使用指南》下新设的两个概念。根据附录A.4.6,“合规风险识别包括合规风险源的识别和合规风险情况的界定。组织宜根据部门职责、岗位职责和不同类型的组织活动,识别各部门、职能和不同类型的组织活动中的合规风险源。组织宜定期识别合规风险源,并界定每个合规风险源对应的合规风险情况,形成合规风险源清单和合规风险情况清单。“
仅就“合规风险情况”而言,以反垄断法当中的“纵向垄断协议”风险为例,反垄断法第十四条明确规定一个禁止性合规义务:“禁止经营者与交易相对人达成下列垄断协议:(一)固定向第三人转售商品的价格;(二)限定向第三人转售商品的最低价格;(三)国务院反垄断执法机构认定的其他垄断协议。”但是,从合规管理实操的角度来看,这些法律规定不够具体,一个组织往往需要把这些适用于所有组织的原则性的禁止性合规义务相对应的“合规风险情况”界定出来,比如下面某快销品行业的企业在“转售价格维持”相关的“纵向垄断协议”风险下所界定的“合规风险情况”如下:
为了避免涉嫌转售价格维持,我们公司:
●不得在与经销商、零售商的任何形式的协议中规定经销商、零售商应按照某一价格销售或不得低于某一价格销售;
●不得要求(不论是书面、口头还是暗示)经销商、零售商按照某一价格销售或不得低于某一价格销售;
● 不得对经销商、零售商的价格调整进行干涉,不得因其价格原因而停止供货、解除合同、取消返利、折扣、费用或采取其他惩罚措施;
●不得在任何内部文件或对外文件、邮件往来中涉及对经销商销售价格或零售商零售价格的控制,不得使用“破价”、“红线价”等涉嫌价格管控的词语;
●不得在发现经销商、零售商销售价格低于预期时,向其发出书面函件、电子邮件或进行口头警告,不得在与经销商、零售商人员的对话中涉及价格控制内容;
● 不得与经销商或零售商商定转售价格、促销价格或要求经销商或零售商在进行价格调整前取得我们组织同意;
●除非获得经销商书面授权且明确声明经销商对价格有最终决定权,不得代经销商与零售商商定供货价格;
● 不得因为经销商、零售商“破价”或“低于建议价格”销售而对他们予以处罚;
● 不得强制经销商、零售商执行建议转售价格或建议零售价格或对它们施加压力,使得它们不得不这么做(比如,反复地将建议价格发给经销商、零售商,以至于看起来是在威胁它们)。不得将建议转售价格或建议零售价格变为固定价格或最低价格;
●不得以设置转售价格浮动空间、利润率的形式固定经销商、零售商的销售价格或设置价格下限。
据此,该快销品行业企业在「纵向垄断协议风险」下界定出10个合规风险情况,而不必把这10个合规风险情况都列为合规风险。换言之,在前述这个情况下,「纵向垄断协议风险」是纲,「10个合规风险情况」是目,纲举目张下,「纵向垄断协议风险」的风险及风险情况得到了很好的分类和归纳。
控制性合规义务下的合规风险
在控制性合规义务下,一个组织得“得做点什么”才行,而这“得做点什么”的合规义务有的来自于组织为了做好风险管控而自己所设置的(比如组织要求,如方针和程序),也有的来自于组织自愿选择遵守的相关组织和行业标准(以及其他义务来源)。
我们以行贿风险为例,某组织为了防止行贿行为的发生,制定有内控制度:凡是跟政府官员之间往来的费用都必须经过组织的合规官审批之后才可以发生并进而报销。这里所说的“审批”就是控制措施,把费用提交给合规官进行审批是申请人必须履行的义务;对申请事项进行审查也是合规官所必须履行的义务。没有履行该控制性合规义务不一定会直接导致组织违法违规被处罚,但因为没有履行该控制性合规义务,就会让风险管控失效,从而加大行贿风险发生的可能性。
我们同样以上文中提及的某快消品企业关于禁止转售价格维持的“纵向垄断协议”风险为例,该企业为了避免涉嫌转售价格维持,规定了10项禁止性合规义务。为了把这些禁止性合规义务落实到位,公司的合规部门同时设置了如下的控制措施,比如:法务必须对公司的销售人员进行《反垄断法》培训,并对这10项合规义务逐条予以解释和说明;销售部门每一个季度都要在销售工作会议上和每一个销售人员一起复习这10项合规义务;法务在审查经销合同时必须严格对照上述10项合规义务来审查合同。
除了上述组织内部所形成的控制性合规义务之外,一个组织还可以去选择适用贿赂风险管理、反垄断合规风险管理相关的标准、指引来管控相应的贿赂风险、纵向垄断协议风险。因为合规风险是因不符合组织合规义务而发生不合规的可能性及其后果,不符合控制性合规义务与不符合禁止性合规义务一样都会触发合规风险。但因为控制性合规义务的数量远超禁止性合规义务的数量,要把这些义务全部列举出来会给公司的合规管理带来极大的负担。那么在实务中,应当怎么去分类和归纳控制性合规义务呢?
首先,以禁止性合规风险为纲来统领控制性合规义务。
实务当中很多的控制性合规义务都是为了管控禁止性合规义务相关的合规风险而设的。比如上面所说的“不得行贿”的禁止性合规义务相关的“贿赂风险”既有一个组织内部所设定的控制措施来进行管控,还有组织可以选择适用的贿赂风险管理体系标准来对贿赂风险进行管理。因此,纲举目张下,禁止性合规义务所对应的合规风险既可以统领相应的“合规风险情况”,也可以统领“控制性合规义务”。
如下图所示:
其次,以合规专项来归口控制性合规义务管控禁止性合规义务相关的合规风险。
在实务中,一个组织往往会就某个风险(比如贿赂风险)做合规专项,从而围绕贿赂风险设计、归口、落实合规风险管控措施。
再次,以相应的合规管理体系贯标、认证来归口控制性合规义务。
很多组织虽然现在才开始有意识地搭建合规管理体系,但其实它们早就有针对各种各样的风险进行了贯标,甚至认证,比如ISO 9001质量认证体系、ISO14001环境管理体系等。这些贯标、认证的重大意义在于通过认证的组织就相关风险系统地进行了风险管控,而相应的风险管控措施也通过相关体系归口、集结在一起。
总而言之,因为识别合规风险的一个重要方法就是锚定合规义务——因此识别合规义务对于识别合规风险而言非常重要。因为合规义务数量非常庞大,实务当中会导致被识别出来的合规风险数量也会非常庞大,我们固然可以通过风险评价的方式来对风险赋值,从而科学地分配组织的人财物资源管控风险,但如果不对禁止性合规义务和控制性合规义务进行区分,不以禁止性合规义务/风险为风险识别的主攻方向,却锚定不能穷尽的控制性合规义务来识别风险,势必会导致组织在合规义务和合规风险识别时眉毛胡子一把抓,极大地增大组织的合规管理负担,让合规创造价值成为一句空话。