如何用合規(guī)義務(wù)來識(shí)別合規(guī)風(fēng)險(xiǎn)

如何用合規(guī)義務(wù)來識(shí)別合規(guī)風(fēng)險(xiǎn)合規(guī)風(fēng)險(xiǎn)，在《ISO37301:2021合規(guī)管理體系要求及使用指南》中被定義為：因不符合組織合規(guī)義務(wù)而發(fā)生不合規(guī)的可能性及其后果。根據(jù)這個(gè)定義，識(shí)別合規(guī)風(fēng)險(xiǎn)的一個(gè)重要方法就是錨定合規(guī)義務(wù)——合規(guī)義務(wù)就像一枚硬幣，硬幣的正面就是合規(guī)義務(wù)；硬幣的背面就是合規(guī)風(fēng)險(xiǎn)。合規(guī)義務(wù)得到遵守就是合規(guī)；得不到遵守就是違規(guī)。因此，識(shí)別合規(guī)義務(wù)對(duì)于識(shí)別合規(guī)風(fēng)險(xiǎn)具有重大的意義。合規(guī)義務(wù)合規(guī)義務(wù)，在《ISO37301:2021合規(guī)管理體系要求及使用指南》中被定義為：組織必須遵守的要求，以及組織自愿選擇遵守的要求。根據(jù)《ISO37301:2021合規(guī)管理體系要求及使用指南》附錄A的規(guī)定，組織必須遵守的要求包括：法律法規(guī)；許可、執(zhí)照或其他形式的授權(quán);監(jiān)管機(jī)構(gòu)發(fā)布的命令、規(guī)則或指南；法院或行政法庭的判決；條約、公約和議定書。組織自愿選擇遵守的要求可以包括：與社區(qū)團(tuán)體或非政府組織的協(xié)定；與公共機(jī)構(gòu)和客戶的協(xié)議；組織要求，如方針和程序；自愿原則或行為守則；自愿標(biāo)識(shí)或環(huán)境承諾；基于本組織的合同安排所產(chǎn)生的義務(wù)；相關(guān)組織和行業(yè)標(biāo)準(zhǔn)。在現(xiàn)實(shí)生活中，一個(gè)組織所要面對(duì)的合規(guī)義務(wù)，無論是“必須要遵守的”，還是“自愿選擇遵守的”，其數(shù)量非常龐大，導(dǎo)致了錨定合規(guī)義務(wù)來辨識(shí)的合規(guī)風(fēng)險(xiǎn)數(shù)量也非常龐大，導(dǎo)致了一些組織所識(shí)別出來的風(fēng)險(xiǎn)動(dòng)輒數(shù)百項(xiàng)，上千項(xiàng)，甚至數(shù)千項(xiàng)，而如此龐大數(shù)量的風(fēng)險(xiǎn)讓組織及其相關(guān)人員在合規(guī)管理中疲于應(yīng)付，有時(shí)干脆眉毛胡子一把抓。筆者之一在做合規(guī)項(xiàng)目的過程中曾經(jīng)問一個(gè)項(xiàng)目公司的經(jīng)理，他們是否記得并管控它們公司所識(shí)別出來的上千項(xiàng)風(fēng)險(xiǎn)，答案毫無疑問地是：“不記得”。這上千項(xiàng)的風(fēng)險(xiǎn)清單自從識(shí)別出來后就被束之高閣。公司的治理層和最高管理層在實(shí)務(wù)當(dāng)中所重點(diǎn)關(guān)注的風(fēng)險(xiǎn)其實(shí)不超過十個(gè)。當(dāng)然筆者無意說合規(guī)風(fēng)險(xiǎn)識(shí)別不重要、制定合規(guī)風(fēng)險(xiǎn)清單不重要，但制定一個(gè)實(shí)實(shí)在在接地氣、可執(zhí)行的合規(guī)風(fēng)險(xiǎn)清單可能比盲目追求風(fēng)險(xiǎn)清單上的數(shù)量更重要。禁止性合規(guī)義務(wù)v控制性合規(guī)義務(wù)合規(guī)義務(wù)，除了區(qū)分為“強(qiáng)制性的”和“可選擇性的”，在實(shí)務(wù)中還可以進(jìn)一步區(qū)分為“禁止性合規(guī)義務(wù)”和“控制性合規(guī)義務(wù)”。這種分類方法雖然在《ISO37301:2021合規(guī)管理體系要求及使用指南》中沒有提及，但在實(shí)務(wù)中這種區(qū)分具有重大意義。在禁止性合規(guī)義務(wù)下，一個(gè)組織不得做什么或被禁止做什么（比如“不得行賄”），那么這個(gè)組織在該禁止性合規(guī)義務(wù)下什么都不做就合規(guī)了（比如“不行賄”），換言之，禁止性合規(guī)義務(wù)下應(yīng)當(dāng)以不作為的方式合規(guī)；在控制性合規(guī)義務(wù)下，一個(gè)組織得做點(diǎn)什么（比如“在廠房?jī)?nèi)放置一定數(shù)量的滅火器”），換言之，在控制性合規(guī)義務(wù)下，一個(gè)組織得做點(diǎn)什么才合規(guī)，換言之，控制性合規(guī)義務(wù)下必須以作為的方式合規(guī)。無論是禁止性合規(guī)義務(wù)還是控制性合規(guī)義務(wù)，其都來自于“合規(guī)要求”與“合規(guī)承諾”，但“不得做什么”的禁止性合規(guī)義務(wù)往往更多地來自于強(qiáng)制性的法律法規(guī)，而“得做點(diǎn)什么”的控制性合規(guī)義務(wù)往往更多地來自于一個(gè)組織自主適用的標(biāo)準(zhǔn)、規(guī)范（及其他義務(wù)來源）。正如上面所說的那樣，“不得做什么”和“得做點(diǎn)什么”所構(gòu)成的合規(guī)義務(wù)的數(shù)量非常龐大，如果說制定一個(gè)實(shí)實(shí)在在接地氣、可執(zhí)行的合規(guī)風(fēng)險(xiǎn)清單非常重要，那么被合規(guī)風(fēng)險(xiǎn)所錨定的合規(guī)義務(wù)也必須有一個(gè)實(shí)實(shí)在在接地氣的、可執(zhí)行的合規(guī)義務(wù)清單。禁止性合規(guī)義務(wù)下的合規(guī)風(fēng)險(xiǎn)識(shí)別正如前面所提到的那樣，在禁止性合規(guī)義務(wù)下，一個(gè)組織不得做什么或被禁止做什么（比如“不得行賄”），如果觸碰了“不得做什么”或“被禁止做什么”的合規(guī)義務(wù)，那么就會(huì)引發(fā)相關(guān)的合規(guī)風(fēng)險(xiǎn)（比如“賄賂風(fēng)險(xiǎn)”）。一般來說對(duì)禁止性合規(guī)義務(wù)的違反是立法機(jī)構(gòu)及其所代表的利害相關(guān)方所不能容忍的“紅線”、“地雷”或者“高壓線”，因此禁止性合規(guī)義務(wù)下的合規(guī)風(fēng)險(xiǎn)往往會(huì)給相關(guān)組織帶來重大損害、行政處罰，甚至刑事責(zé)任。因此實(shí)務(wù)中，一個(gè)組織應(yīng)當(dāng)優(yōu)先識(shí)別禁止性合規(guī)義務(wù)下的合規(guī)風(fēng)險(xiǎn)。在《ISO37301:2021合規(guī)管理體系要求及使用指南》下，僅僅識(shí)別合規(guī)風(fēng)險(xiǎn)還不夠，組織還應(yīng)當(dāng)識(shí)別“風(fēng)險(xiǎn)源”（Risksource）和“合規(guī)風(fēng)險(xiǎn)情況”（Risksituation）?！帮L(fēng)險(xiǎn)源”與“合規(guī)風(fēng)險(xiǎn)情況”是《ISO37301:2021合規(guī)管理體系要求及使用指南》下新設(shè)的兩個(gè)概念。根據(jù)附錄A.4.6，“合規(guī)風(fēng)險(xiǎn)識(shí)別包括合規(guī)風(fēng)險(xiǎn)源的識(shí)別和合規(guī)風(fēng)險(xiǎn)情況的界定。組織宜根據(jù)部門職責(zé)、崗位職責(zé)和不同類型的組織活動(dòng)，識(shí)別各部門、職能和不同類型的組織活動(dòng)中的合規(guī)風(fēng)險(xiǎn)源。組織宜定期識(shí)別合規(guī)風(fēng)險(xiǎn)源，并界定每個(gè)合規(guī)風(fēng)險(xiǎn)源對(duì)應(yīng)的合規(guī)風(fēng)險(xiǎn)情況，形成合規(guī)風(fēng)險(xiǎn)源清單和合規(guī)風(fēng)險(xiǎn)情況清單。“僅就“合規(guī)風(fēng)險(xiǎn)情況”而言，以反壟斷法當(dāng)中的“縱向壟斷協(xié)議”風(fēng)險(xiǎn)為例，反壟斷法第十四條明確規(guī)定一個(gè)禁止性合規(guī)義務(wù)：“禁止經(jīng)營(yíng)者與交易相對(duì)人達(dá)成下列壟斷協(xié)議：（一）固定向第三人轉(zhuǎn)售商品的價(jià)格；（二）限定向第三人轉(zhuǎn)售商品的最低價(jià)格；（三）國(guó)務(wù)院反壟斷執(zhí)法機(jī)構(gòu)認(rèn)定的其他壟斷協(xié)議?！钡牵瑥暮弦?guī)管理實(shí)操的角度來看，這些法律規(guī)定不夠具體，一個(gè)組織往往需要把這些適用于所有組織的原則性的禁止性合規(guī)義務(wù)相對(duì)應(yīng)的“合規(guī)風(fēng)險(xiǎn)情況”界定出來，比如下面某快銷品行業(yè)的企業(yè)在“轉(zhuǎn)售價(jià)格維持”相關(guān)的“縱向壟斷協(xié)議”風(fēng)險(xiǎn)下所界定的“合規(guī)風(fēng)險(xiǎn)情況”如下：為了避免涉嫌轉(zhuǎn)售價(jià)格維持，我們公司：?不得在與經(jīng)銷商、零售商的任何形式的協(xié)議中規(guī)定經(jīng)銷商、零售商應(yīng)按照某一價(jià)格銷售或不得低于某一價(jià)格銷售；?不得要求（不論是書面、口頭還是暗示）經(jīng)銷商、零售商按照某一價(jià)格銷售或不得低于某一價(jià)格銷售；?不得對(duì)經(jīng)銷商、零售商的價(jià)格調(diào)整進(jìn)行干涉，不得因其價(jià)格原因而停止供貨、解除合同、取消返利、折扣、費(fèi)用或采取其他懲罰措施；?不得在任何內(nèi)部文件或?qū)ν馕募⑧]件往來中涉及對(duì)經(jīng)銷商銷售價(jià)格或零售商零售價(jià)格的控制，不得使用“破價(jià)”、“紅線價(jià)”等涉嫌價(jià)格管控的詞語；?不得在發(fā)現(xiàn)經(jīng)銷商、零售商銷售價(jià)格低于預(yù)期時(shí)，向其發(fā)出書面函件、電子郵件或進(jìn)行口頭警告，不得在與經(jīng)銷商、零售商人員的對(duì)話中涉及價(jià)格控制內(nèi)容；?不得與經(jīng)銷商或零售商商定轉(zhuǎn)售價(jià)格、促銷價(jià)格或要求經(jīng)銷商或零售商在進(jìn)行價(jià)格調(diào)整前取得我們組織同意；?除非獲得經(jīng)銷商書面授權(quán)且明確聲明經(jīng)銷商對(duì)價(jià)格有最終決定權(quán)，不得代經(jīng)銷商與零售商商定供貨價(jià)格；?不得因?yàn)榻?jīng)銷商、零售商“破價(jià)”或“低于建議價(jià)格”銷售而對(duì)他們予以處罰；?不得強(qiáng)制經(jīng)銷商、零售商執(zhí)行建議轉(zhuǎn)售價(jià)格或建議零售價(jià)格或?qū)λ鼈兪┘訅毫?，使得它們不得不這么做（比如，反復(fù)地將建議價(jià)格發(fā)給經(jīng)銷商、零售商，以至于看起來是在威脅它們）。不得將建議轉(zhuǎn)售價(jià)格或建議零售價(jià)格變?yōu)楣潭▋r(jià)格或最低價(jià)格；?不得以設(shè)置轉(zhuǎn)售價(jià)格浮動(dòng)空間、利潤(rùn)率的形式固定經(jīng)銷商、零售商的銷售價(jià)格或設(shè)置價(jià)格下限。據(jù)此，該快銷品行業(yè)企業(yè)在「縱向壟斷協(xié)議風(fēng)險(xiǎn)」下界定出10個(gè)合規(guī)風(fēng)險(xiǎn)情況，而不必把這10個(gè)合規(guī)風(fēng)險(xiǎn)情況都列為合規(guī)風(fēng)險(xiǎn)。換言之，在前述這個(gè)情況下，「縱向壟斷協(xié)議風(fēng)險(xiǎn)」是綱，「10個(gè)合規(guī)風(fēng)險(xiǎn)情況」是目，綱舉目張下，「縱向壟斷協(xié)議風(fēng)險(xiǎn)」的風(fēng)險(xiǎn)及風(fēng)險(xiǎn)情況得到了很好的分類和歸納?？刂菩院弦?guī)義務(wù)下的合規(guī)風(fēng)險(xiǎn)在控制性合規(guī)義務(wù)下，一個(gè)組織得“得做點(diǎn)什么”才行，而這“得做點(diǎn)什么”的合規(guī)義務(wù)有的來自于組織為了做好風(fēng)險(xiǎn)管控而自己所設(shè)置的（比如組織要求，如方針和程序），也有的來自于組織自愿選擇遵守的相關(guān)組織和行業(yè)標(biāo)準(zhǔn)（以及其他義務(wù)來源）。我們以行賄風(fēng)險(xiǎn)為例，某組織為了防止行賄行為的發(fā)生，制定有內(nèi)控制度：凡是跟政府官員之間往來的費(fèi)用都必須經(jīng)過組織的合規(guī)官審批之后才可以發(fā)生并進(jìn)而報(bào)銷。這里所說的“審批”就是控制措施，把費(fèi)用提交給合規(guī)官進(jìn)行審批是申請(qǐng)人必須履行的義務(wù)；對(duì)申請(qǐng)事項(xiàng)進(jìn)行審查也是合規(guī)官所必須履行的義務(wù)。沒有履行該控制性合規(guī)義務(wù)不一定會(huì)直接導(dǎo)致組織違法違規(guī)被處罰，但因?yàn)闆]有履行該控制性合規(guī)義務(wù)，就會(huì)讓風(fēng)險(xiǎn)管控失效，從而加大行賄風(fēng)險(xiǎn)發(fā)生的可能性。我們同樣以上文中提及的某快消品企業(yè)關(guān)于禁止轉(zhuǎn)售價(jià)格維持的“縱向壟斷協(xié)議”風(fēng)險(xiǎn)為例，該企業(yè)為了避免涉嫌轉(zhuǎn)售價(jià)格維持，規(guī)定了10項(xiàng)禁止性合規(guī)義務(wù)。為了把這些禁止性合規(guī)義務(wù)落實(shí)到位，公司的合規(guī)部門同時(shí)設(shè)置了如下的控制措施，比如：法務(wù)必須對(duì)公司的銷售人員進(jìn)行《反壟斷法》培訓(xùn)，并對(duì)這10項(xiàng)合規(guī)義務(wù)逐條予以解釋和說明；銷售部門每一個(gè)季度都要在銷售工作會(huì)議上和每一個(gè)銷售人員一起復(fù)習(xí)這10項(xiàng)合規(guī)義務(wù)；法務(wù)在審查經(jīng)銷合同時(shí)必須嚴(yán)格對(duì)照上述10項(xiàng)合規(guī)義務(wù)來審查合同。除了上述組織內(nèi)部所形成的控制性合規(guī)義務(wù)之外，一個(gè)組織還可以去選擇適用賄賂風(fēng)險(xiǎn)管理、反壟斷合規(guī)風(fēng)險(xiǎn)管理相關(guān)的標(biāo)準(zhǔn)、指引來管控相應(yīng)的賄賂風(fēng)險(xiǎn)、縱向壟斷協(xié)議風(fēng)險(xiǎn)。因?yàn)楹弦?guī)風(fēng)險(xiǎn)是因不符合組織合規(guī)義務(wù)而發(fā)生不合規(guī)的可能性及其后果，不符合控制性合規(guī)義務(wù)與不符合禁止性合規(guī)義務(wù)一樣都會(huì)觸發(fā)合規(guī)風(fēng)險(xiǎn)。但因?yàn)榭刂菩院弦?guī)義務(wù)的數(shù)量遠(yuǎn)超禁止性合規(guī)義務(wù)的數(shù)量，要把這些義務(wù)全部列舉出來會(huì)給公司的合規(guī)管理帶來極大的負(fù)擔(dān)。那么在實(shí)務(wù)中，應(yīng)當(dāng)怎么去分類和歸納控制性合規(guī)義務(wù)呢？首先，以禁止性合規(guī)風(fēng)險(xiǎn)為綱來統(tǒng)領(lǐng)控制性合規(guī)義務(wù)。實(shí)務(wù)當(dāng)中很多的控制性合規(guī)義務(wù)都是為了管控禁止性合規(guī)義務(wù)相關(guān)的合規(guī)風(fēng)險(xiǎn)而設(shè)的。比如上面所說的“不得行賄”的禁止性合規(guī)義務(wù)相關(guān)的“賄賂風(fēng)險(xiǎn)”既有一個(gè)組織內(nèi)部所設(shè)定的控制措施來進(jìn)行管控，還有組織可以選擇適用的賄賂風(fēng)險(xiǎn)管理體系標(biāo)準(zhǔn)來對(duì)賄賂風(fēng)險(xiǎn)進(jìn)行管理。因此，綱舉目張下，禁止性合規(guī)義務(wù)所對(duì)應(yīng)的合規(guī)風(fēng)險(xiǎn)既可以統(tǒng)領(lǐng)相應(yīng)的“合規(guī)風(fēng)險(xiǎn)情況”，也可以統(tǒng)領(lǐng)“控制性合規(guī)義務(wù)”。如下圖所示：其次，以合規(guī)專項(xiàng)來歸口控制性合規(guī)義務(wù)管控禁止性合規(guī)義務(wù)相關(guān)的合規(guī)風(fēng)險(xiǎn)。在實(shí)務(wù)中，一個(gè)組織往往會(huì)就某個(gè)風(fēng)險(xiǎn)（比如賄賂風(fēng)險(xiǎn)）做合規(guī)專項(xiàng)，從而圍繞賄賂風(fēng)險(xiǎn)設(shè)計(jì)、歸口、落實(shí)合規(guī)風(fēng)險(xiǎn)管控措施。再次，以相應(yīng)的合規(guī)管理體系貫標(biāo)、認(rèn)證來歸口控制性合規(guī)義務(wù)。很多組織雖然現(xiàn)在才開始有意識(shí)地搭建合規(guī)管理體系，但其實(shí)它們?cè)缇陀嗅槍?duì)各種各樣的風(fēng)險(xiǎn)進(jìn)行了貫標(biāo)，甚至認(rèn)證，比如ISO9001質(zhì)量認(rèn)證體系、ISO14001環(huán)境管理體系等。這些貫標(biāo)、認(rèn)證的重大意義在于通過認(rèn)證的組織就相關(guān)風(fēng)險(xiǎn)系統(tǒng)地進(jìn)行了風(fēng)險(xiǎn)管控，而相應(yīng)的風(fēng)險(xiǎn)管控措施也通過相關(guān)體系歸口、集結(jié)在一起?？偠灾?yàn)樽R(shí)別合規(guī)風(fēng)險(xiǎn)的一個(gè)重要方法就是錨定合規(guī)義務(wù)——因此識(shí)別合規(guī)義務(wù)對(duì)于識(shí)別