如何用合規(guī)義務(wù)來識別合規(guī)風(fēng)險

如何用合規(guī)義務(wù)來識別合規(guī)風(fēng)險合規(guī)風(fēng)險，在《ISO37301:2021合規(guī)管理體系要求及使用指南》中被定義為：因不符合組織合規(guī)義務(wù)而發(fā)生不合規(guī)的可能性及其后果。根據(jù)這個定義，識別合規(guī)風(fēng)險的一個重要方法就是錨定合規(guī)義務(wù)——合規(guī)義務(wù)就像一枚硬幣，硬幣的正面就是合規(guī)義務(wù)；硬幣的背面就是合規(guī)風(fēng)險。合規(guī)義務(wù)得到遵守就是合規(guī)；得不到遵守就是違規(guī)。因此，識別合規(guī)義務(wù)對于識別合規(guī)風(fēng)險具有重大的意義。合規(guī)義務(wù)合規(guī)義務(wù)，在《ISO37301:2021合規(guī)管理體系要求及使用指南》中被定義為：組織必須遵守的要求，以及組織自愿選擇遵守的要求。根據(jù)《ISO37301:2021合規(guī)管理體系要求及使用指南》附錄A的規(guī)定，組織必須遵守的要求包括：法律法規(guī)；許可、執(zhí)照或其他形式的授權(quán);監(jiān)管機構(gòu)發(fā)布的命令、規(guī)則或指南；法院或行政法庭的判決；條約、公約和議定書。組織自愿選擇遵守的要求可以包括：與社區(qū)團體或非政府組織的協(xié)定；與公共機構(gòu)和客戶的協(xié)議；組織要求，如方針和程序；自愿原則或行為守則；自愿標(biāo)識或環(huán)境承諾；基于本組織的合同安排所產(chǎn)生的義務(wù)；相關(guān)組織和行業(yè)標(biāo)準(zhǔn)。在現(xiàn)實生活中，一個組織所要面對的合規(guī)義務(wù)，無論是“必須要遵守的”，還是“自愿選擇遵守的”，其數(shù)量非常龐大，導(dǎo)致了錨定合規(guī)義務(wù)來辨識的合規(guī)風(fēng)險數(shù)量也非常龐大，導(dǎo)致了一些組織所識別出來的風(fēng)險動輒數(shù)百項，上千項，甚至數(shù)千項，而如此龐大數(shù)量的風(fēng)險讓組織及其相關(guān)人員在合規(guī)管理中疲于應(yīng)付，有時干脆眉毛胡子一把抓。筆者之一在做合規(guī)項目的過程中曾經(jīng)問一個項目公司的經(jīng)理，他們是否記得并管控它們公司所識別出來的上千項風(fēng)險，答案毫無疑問地是：“不記得”。這上千項的風(fēng)險清單自從識別出來后就被束之高閣。公司的治理層和最高管理層在實務(wù)當(dāng)中所重點關(guān)注的風(fēng)險其實不超過十個。當(dāng)然筆者無意說合規(guī)風(fēng)險識別不重要、制定合規(guī)風(fēng)險清單不重要，但制定一個實實在在接地氣、可執(zhí)行的合規(guī)風(fēng)險清單可能比盲目追求風(fēng)險清單上的數(shù)量更重要。禁止性合規(guī)義務(wù)v控制性合規(guī)義務(wù)合規(guī)義務(wù)，除了區(qū)分為“強制性的”和“可選擇性的”，在實務(wù)中還可以進一步區(qū)分為“禁止性合規(guī)義務(wù)”和“控制性合規(guī)義務(wù)”。這種分類方法雖然在《ISO37301:2021合規(guī)管理體系要求及使用指南》中沒有提及，但在實務(wù)中這種區(qū)分具有重大意義。在禁止性合規(guī)義務(wù)下，一個組織不得做什么或被禁止做什么（比如“不得行賄”），那么這個組織在該禁止性合規(guī)義務(wù)下什么都不做就合規(guī)了（比如“不行賄”），換言之，禁止性合規(guī)義務(wù)下應(yīng)當(dāng)以不作為的方式合規(guī)；在控制性合規(guī)義務(wù)下，一個組織得做點什么（比如“在廠房內(nèi)放置一定數(shù)量的滅火器”），換言之，在控制性合規(guī)義務(wù)下，一個組織得做點什么才合規(guī)，換言之，控制性合規(guī)義務(wù)下必須以作為的方式合規(guī)。無論是禁止性合規(guī)義務(wù)還是控制性合規(guī)義務(wù)，其都來自于“合規(guī)要求”與“合規(guī)承諾”，但“不得做什么”的禁止性合規(guī)義務(wù)往往更多地來自于強制性的法律法規(guī)，而“得做點什么”的控制性合規(guī)義務(wù)往往更多地來自于一個組織自主適用的標(biāo)準(zhǔn)、規(guī)范（及其他義務(wù)來源）。正如上面所說的那樣，“不得做什么”和“得做點什么”所構(gòu)成的合規(guī)義務(wù)的數(shù)量非常龐大，如果說制定一個實實在在接地氣、可執(zhí)行的合規(guī)風(fēng)險清單非常重要，那么被合規(guī)風(fēng)險所錨定的合規(guī)義務(wù)也必須有一個實實在在接地氣的、可執(zhí)行的合規(guī)義務(wù)清單。禁止性合規(guī)義務(wù)下的合規(guī)風(fēng)險識別正如前面所提到的那樣，在禁止性合規(guī)義務(wù)下，一個組織不得做什么或被禁止做什么（比如“不得行賄”），如果觸碰了“不得做什么”或“被禁止做什么”的合規(guī)義務(wù)，那么就會引發(fā)相關(guān)的合規(guī)風(fēng)險（比如“賄賂風(fēng)險”）。一般來說對禁止性合規(guī)義務(wù)的違反是立法機構(gòu)及其所代表的利害相關(guān)方所不能容忍的“紅線”、“地雷”或者“高壓線”，因此禁止性合規(guī)義務(wù)下的合規(guī)風(fēng)險往往會給相關(guān)組織帶來重大損害、行政處罰，甚至刑事責(zé)任。因此實務(wù)中，一個組織應(yīng)當(dāng)優(yōu)先識別禁止性合規(guī)義務(wù)下的合規(guī)風(fēng)險。在《ISO37301:2021合規(guī)管理體系要求及使用指南》下，僅僅識別合規(guī)風(fēng)險還不夠，組織還應(yīng)當(dāng)識別“風(fēng)險源”（Risksource）和“合規(guī)風(fēng)險情況”（Risksituation）?！帮L(fēng)險源”與“合規(guī)風(fēng)險情況”是《ISO37301:2021合規(guī)管理體系要求及使用指南》下新設(shè)的兩個概念。根據(jù)附錄A.4.6，“合規(guī)風(fēng)險識別包括合規(guī)風(fēng)險源的識別和合規(guī)風(fēng)險情況的界定。組織宜根據(jù)部門職責(zé)、崗位職責(zé)和不同類型的組織活動，識別各部門、職能和不同類型的組織活動中的合規(guī)風(fēng)險源。組織宜定期識別合規(guī)風(fēng)險源，并界定每個合規(guī)風(fēng)險源對應(yīng)的合規(guī)風(fēng)險情況，形成合規(guī)風(fēng)險源清單和合規(guī)風(fēng)險情況清單。“僅就“合規(guī)風(fēng)險情況”而言，以反壟斷法當(dāng)中的“縱向壟斷協(xié)議”風(fēng)險為例，反壟斷法第十四條明確規(guī)定一個禁止性合規(guī)義務(wù)：“禁止經(jīng)營者與交易相對人達(dá)成下列壟斷協(xié)議：（一）固定向第三人轉(zhuǎn)售商品的價格；（二）限定向第三人轉(zhuǎn)售商品的最低價格；（三）國務(wù)院反壟斷執(zhí)法機構(gòu)認(rèn)定的其他壟斷協(xié)議。”但是，從合規(guī)管理實操的角度來看，這些法律規(guī)定不夠具體，一個組織往往需要把這些適用于所有組織的原則性的禁止性合規(guī)義務(wù)相對應(yīng)的“合規(guī)風(fēng)險情況”界定出來，比如下面某快銷品行業(yè)的企業(yè)在“轉(zhuǎn)售價格維持”相關(guān)的“縱向壟斷協(xié)議”風(fēng)險下所界定的“合規(guī)風(fēng)險情況”如下：為了避免涉嫌轉(zhuǎn)售價格維持，我們公司：?不得在與經(jīng)銷商、零售商的任何形式的協(xié)議中規(guī)定經(jīng)銷商、零售商應(yīng)按照某一價格銷售或不得低于某一價格銷售；?不得要求（不論是書面、口頭還是暗示）經(jīng)銷商、零售商按照某一價格銷售或不得低于某一價格銷售；?不得對經(jīng)銷商、零售商的價格調(diào)整進行干涉，不得因其價格原因而停止供貨、解除合同、取消返利、折扣、費用或采取其他懲罰措施；?不得在任何內(nèi)部文件或?qū)ν馕募?、郵件往來中涉及對經(jīng)銷商銷售價格或零售商零售價格的控制，不得使用“破價”、“紅線價”等涉嫌價格管控的詞語；?不得在發(fā)現(xiàn)經(jīng)銷商、零售商銷售價格低于預(yù)期時，向其發(fā)出書面函件、電子郵件或進行口頭警告，不得在與經(jīng)銷商、零售商人員的對話中涉及價格控制內(nèi)容；?不得與經(jīng)銷商或零售商商定轉(zhuǎn)售價格、促銷價格或要求經(jīng)銷商或零售商在進行價格調(diào)整前取得我們組織同意；?除非獲得經(jīng)銷商書面授權(quán)且明確聲明經(jīng)銷商對價格有最終決定權(quán)，不得代經(jīng)銷商與零售商商定供貨價格；?不得因為經(jīng)銷商、零售商“破價”或“低于建議價格”銷售而對他們予以處罰；?不得強制經(jīng)銷商、零售商執(zhí)行建議轉(zhuǎn)售價格或建議零售價格或?qū)λ鼈兪┘訅毫?，使得它們不得不這么做（比如，反復(fù)地將建議價格發(fā)給經(jīng)銷商、零售商，以至于看起來是在威脅它們）。不得將建議轉(zhuǎn)售價格或建議零售價格變?yōu)楣潭▋r格或最低價格；?不得以設(shè)置轉(zhuǎn)售價格浮動空間、利潤率的形式固定經(jīng)銷商、零售商的銷售價格或設(shè)置價格下限。據(jù)此，該快銷品行業(yè)企業(yè)在「縱向壟斷協(xié)議風(fēng)險」下界定出10個合規(guī)風(fēng)險情況，而不必把這10個合規(guī)風(fēng)險情況都列為合規(guī)風(fēng)險。換言之，在前述這個情況下，「縱向壟斷協(xié)議風(fēng)險」是綱，「10個合規(guī)風(fēng)險情況」是目，綱舉目張下，「縱向壟斷協(xié)議風(fēng)險」的風(fēng)險及風(fēng)險情況得到了很好的分類和歸納?？刂菩院弦?guī)義務(wù)下的合規(guī)風(fēng)險在控制性合規(guī)義務(wù)下，一個組織得“得做點什么”才行，而這“得做點什么”的合規(guī)義務(wù)有的來自于組織為了做好風(fēng)險管控而自己所設(shè)置的（比如組織要求，如方針和程序），也有的來自于組織自愿選擇遵守的相關(guān)組織和行業(yè)標(biāo)準(zhǔn)（以及其他義務(wù)來源）。我們以行賄風(fēng)險為例，某組織為了防止行賄行為的發(fā)生，制定有內(nèi)控制度：凡是跟政府官員之間往來的費用都必須經(jīng)過組織的合規(guī)官審批之后才可以發(fā)生并進而報銷。這里所說的“審批”就是控制措施，把費用提交給合規(guī)官進行審批是申請人必須履行的義務(wù)；對申請事項進行審查也是合規(guī)官所必須履行的義務(wù)。沒有履行該控制性合規(guī)義務(wù)不一定會直接導(dǎo)致組織違法違規(guī)被處罰，但因為沒有履行該控制性合規(guī)義務(wù)，就會讓風(fēng)險管控失效，從而加大行賄風(fēng)險發(fā)生的可能性。我們同樣以上文中提及的某快消品企業(yè)關(guān)于禁止轉(zhuǎn)售價格維持的“縱向壟斷協(xié)議”風(fēng)險為例，該企業(yè)為了避免涉嫌轉(zhuǎn)售價格維持，規(guī)定了10項禁止性合規(guī)義務(wù)。為了把這些禁止性合規(guī)義務(wù)落實到位，公司的合規(guī)部門同時設(shè)置了如下的控制措施，比如：法務(wù)必須對公司的銷售人員進行《反壟斷法》培訓(xùn)，并對這10項合規(guī)義務(wù)逐條予以解釋和說明；銷售部門每一個季度都要在銷售工作會議上和每一個銷售人員一起復(fù)習(xí)這10項合規(guī)義務(wù)；法務(wù)在審查經(jīng)銷合同時必須嚴(yán)格對照上述10項合規(guī)義務(wù)來審查合同。除了上述組織內(nèi)部所形成的控制性合規(guī)義務(wù)之外，一個組織還可以去選擇適用賄賂風(fēng)險管理、反壟斷合規(guī)風(fēng)險管理相關(guān)的標(biāo)準(zhǔn)、指引來管控相應(yīng)的賄賂風(fēng)險、縱向壟斷協(xié)議風(fēng)險。因為合規(guī)風(fēng)險是因不符合組織合規(guī)義務(wù)而發(fā)生不合規(guī)的可能性及其后果，不符合控制性合規(guī)義務(wù)與不符合禁止性合規(guī)義務(wù)一樣都會觸發(fā)合規(guī)風(fēng)險。但因為控制性合規(guī)義務(wù)的數(shù)量遠(yuǎn)超禁止性合規(guī)義務(wù)的數(shù)量，要把這些義務(wù)全部列舉出來會給公司的合規(guī)管理帶來極大的負(fù)擔(dān)。那么在實務(wù)中，應(yīng)當(dāng)怎么去分類和歸納控制性合規(guī)義務(wù)呢？首先，以禁止性合規(guī)風(fēng)險為綱來統(tǒng)領(lǐng)控制性合規(guī)義務(wù)。實務(wù)當(dāng)中很多的控制性合規(guī)義務(wù)都是為了管控禁止性合規(guī)義務(wù)相關(guān)的合規(guī)風(fēng)險而設(shè)的。比如上面所說的“不得行賄”的禁止性合規(guī)義務(wù)相關(guān)的“賄賂風(fēng)險”既有一個組織內(nèi)部所設(shè)定的控制措施來進行管控，還有組織可以選擇適用的賄賂風(fēng)險管理體系標(biāo)準(zhǔn)來對賄賂風(fēng)險進行管理。因此，綱舉目張下，禁止性合規(guī)義務(wù)所對應(yīng)的合規(guī)風(fēng)險既可以統(tǒng)領(lǐng)相應(yīng)的“合規(guī)風(fēng)險情況”，也可以統(tǒng)領(lǐng)“控制性合規(guī)義務(wù)”。如下圖所示：其次，以合規(guī)專項來歸口控制性合規(guī)義務(wù)管控禁止性合規(guī)義務(wù)相關(guān)的合規(guī)風(fēng)險。在實務(wù)中，一個組織往往會就某個風(fēng)險（比如賄賂風(fēng)險）做合規(guī)專項，從而圍繞賄賂風(fēng)險設(shè)計、歸口、落實合規(guī)風(fēng)險管控措施。再次，以相應(yīng)的合規(guī)管理體系貫標(biāo)、認(rèn)證來歸口控制性合規(guī)義務(wù)。很多組織雖然現(xiàn)在才開始有意識地搭建合規(guī)管理體系，但其實它們早就有針對各種各樣的風(fēng)險進行了貫標(biāo)，甚至認(rèn)證，比如ISO9001質(zhì)量認(rèn)證體系、ISO14001環(huán)境管理體系等。這些貫標(biāo)、認(rèn)證的重大意義在于通過認(rèn)證的組織就相關(guān)風(fēng)險系統(tǒng)地進行了風(fēng)險管控，而相應(yīng)的風(fēng)險管控措施也通過相關(guān)體系歸口、集結(jié)在一起。總而言之，因為識別合規(guī)風(fēng)險的一個重要方法就是錨定合規(guī)義務(wù)——因此識別合規(guī)義務(wù)對于識別