合规实务 | 基于流程的企业合规风险管理体系建设

Part 1「企业合规风险管理概述」

各种类型及规模的企业都会面临各种各样的风险，这些风险有可能影响到其目标的实现。这些目标可能涉及企业的各类活动，从战略计划到其运行、过程及项目，也体现在社会、技术、环境和安全结果以及商业、财务和经济措施，同时包括社会、文化、政治和声誉影响等。对组织各项活动中存在的风险应进行有效管理，通过考虑不确定性和未来事项或环境变化的可能性及其对约定目标的影响，风险管理过程有助于管理者的决策制定。

随着外部法律法规的不断变化，企业对自身的合规风险控制能力要求也在持续提升。国资委发布《中央企业全面风险管理指引》，要求企业开展风险管理工作。本文针对企业的合规风险管理，聚焦合规风险管理体系中的制度与流程的建设，研究如何以风险为导向，通过持续不断的风险识别和对关键管控点（Key Control Point，简称KCP）的识别和优化，建设和优化合规风险管理体系，以控制或降低企业合规风险。

Part 2「风险管理流程建设理论」

基于流程的合规风险控制的目标是以风险为导向，流程为纽带，打破部门的限制，识别并记录流程中存在的风险点以及关键控制活动，从而预防、发现和防范流程中存在的管理缺失、不完善、衔接不顺畅、不相容职责、运行效率低下等问题。

1.流程管理概述

流程管理（Business Process Management，简称BPM）是一种以规范化构造端到端的卓越业务流程为中心，持续提高组织业务绩效为目的的系统化方法。在20世纪90年代中期被提出后，流程管理的理论体系不断发展成熟， 并深入到国内多数大中型企业集团的业务管理中。

流程管理价值闭环管理模型（BPM生命周期）

基于流程管理闭环模型，端到端对接流程，分析业务流程中采取合规管理措施的关键节点，按照KCP的判断方法对流程中的KCP进行识别判断，确定关键管控点，嵌入合规管理要求，实现对合规风险的管理。并且从不同视角验证流程和评价流程，持续开展流程优化，从而确保合规风险管理体系的长期有效。

2.关键管控点判断方法

关键管控点KCP（Key Control Point）是企业风控领域的常用术语，其定义为：“一个能够预防和消除风险的影响或将其减少到可接受风险水平的控制措施。”聚焦合规管理， KCP的具体定义为：“对业务流程运作过程中出现的合规风险控制起关键作用的评审及检查点。”如检查、验证、评审、审核、审批、复核、决策、考核、预算、预警、分析、授权、盘点、不相容职务分离等。具有以下特点的控制活动应列为关键控制点：

1. 为落实指引要求而设立的，对合规实现有重要影响的控制活动；
2. 控制对外协议或承诺履行风险、控制舞弊风险发生、控制违反业务红线行为发生风险的控制活动；
3. 影响关键决策，涉及关键单据及文档、对外提供单据及文档、非常规交易的评审/审批的控制活动；
4. 该控制点可同时控制多条风险或该控制点对应的风险无其他控制点能够起到规避、防范作用；
5. 业务单位认定的其他直接对控制业务主要风险有重要影响的控制活动。

一个风险控制点是否是关键控制点，不仅直接影响到该风险是否能够被科学、合理和有效地予以控制，而且会影响到后期控制评价和审计阶段的测试工作量，因此控制点的判别标准在设计控制手段、制定控制措施时至关重要。

为了准确判断某个业务节点是否是KCP，可以采用以下步骤进行判断：

第一步：判断该步骤是否有风险控制措施？如果“是”，则该步骤对于风险控制是否有必要？如果没有必要，则该步骤不涉及风险关键控制点。如果有必要，则需要对该流程步骤进行修改和调整。

第二步：如果经第一步判断后，该步骤有风险控制措施，那么该步骤是否有专门用于消除风险因素或者能够将风险因素降低至可接受风险水平？如果“是”，则可确定该步骤为风险关键控制点。如果不能消除或者降低风险因素，则需要进入第三步进行判断。

第三步：判断风险因素的影响后果是否超过可接受水平，或者风险是否增加到不可接受的水平？如果不会超过可接受水平，则该步骤不是风险关键控制点。如果超过，则还要进入第四步进行判断。

第四步：判断后续步骤是否可以消除或者降低风险发生的影响？如果后面步骤不能实现，则该步骤为风险关键控制点，否则该步骤即不是风险关键控制点。

通过上述四个步骤，我们对一个风险控制点是否为关键控制点已经可以进行科学判断，为进一步增强该判断模型的适用性，我们可以在应用上述判断树模型进行风险关键控制点判别时，结合以下传统风险关键控制点判别方法一起使用，即：（1）该控制点规避高风险，与控制点相关风险如果发生，对公司的生产经营、财务信息质量和合规责任影响重大。（2）该控制点涉及关键单据及文档的审批。（3）该控制点对应的风险无其他控制点能够起到规避、防范作用。（4）该控制点涉及非常规交易的操作与审批等。

合规管理作为企业内部控制的重要内容，其管理体系的建设同样适用企业风险内部控制相关理论和方法。KCP的嵌入是以风险为导向的合规体系建设的重要一环，在业务流程中嵌入KCP有助于系统性防控合规风险，同时也是合规融于业务的体现。

Part 3「合规风险管理体系建设」

1.合规风险评估

以风险为导向的合规管理体系，是企业将风险治理前置以避免僵化遵从规则，也是企业更好地适应不断变化的外部环境，防范风险、稳健经营并实现可持续增长的重要保障。

通过合规风险评估，深入了解企业的经营现状及存在的合规风险，采取分类化和模块化的合规管理动作，针对性地进行风险管理。推动风险治理前移，通过将后端合规风险管理升级为前端合规风险治理，从业务活动开展的前端避免重大合规经营风险的产生，从根本上改变合规管理疲于风险/危机应对的局面。通过推动规则的场景化、判例化，有效推进合规规则与具体业务的深度融合，形成契合业务实际的合规管理体系。正如体检是定期进行的，企业应按一定周期开展风险评估，一方面，公司经营所处的内外部环境在不断变化，由此引发的合规风险也是动态变化的，因此风险评估并非一劳永逸。另一方面，定期开展风险评估有助于判断风险是否扩大或者减少，进而对应调整合规管理动作及其宽严程度，结合合规检查、审计等其他举措，实现持续优化的针对性治理。

2.合规规则体系建设

外部法律法规和内部合规规则是在业务流程中合规管理的依据，建立合规规则体系也是以风险为导向的合规体系建设的第一步。从法律法规到原则性规范，再到场景化指引，合规管理要求与公司业务实际的结合愈加紧密，对业务单位的指导性也逐步增强。合规规则体系应当具备清晰的效力位阶：由不同主体制定的政策、原则性规范和场景化指引等文件在规则体系中自上而下位处不同层级，在效力、修改频次、受众、理解难易程度等方面也存在差异。一个公司的合规规则体系包括政策、手册、指导性文件，其在规则体系中的位置如下图示：

（1）董事会确定公司风险偏好，明确公司经营中所需遵从的“红线”和合规政策，形成规则金字塔架构的第一级。公司政策在合规规则体系中具有最高效力，需要在相当长一段时间内保持其稳定性。同时，因其整体适用于公司全体员工，内容和形式上应更容易为员工所理解和记忆；

（2）合规部门基于外部法律法规的要求，并结合公司政策制定本领域的原则性规范，形成“规则金字塔”架构的第二级。原则性规范通常包括合规手册总册和其他基本规范。总册是特定合规领域的纲领性文件，也是合规规则体系中的“根本法”，为了保持严肃性和稳定性，其制定应相对严谨和审慎，修改频次也相对较低。此外，合规部门通常还会制定其他基本规范，作为总册的补充或延伸，需要依据外部法律法规的变化而作相应调整；

（3）业务单位合规团队结合实际业务情况，依据原则性规范制定不同业务领域的合规分册和场景化指引，形成“规则金字塔”结构的第三级。贴合业务场景的特性决定了，如果业务场景发生变化，分册和指引也需要作出相应的调整，因此实践中分册和指引的修改频次相对较高。此外，为了降低理解门槛、强化可落地性，也可以采取场景化案例等易于业务单位理解的形式。

从政策、原则性规范到场景化指引的金字塔式规则体系层层递进且相互援引，为KCP嵌入提供了制度依据。

3.合规管理要求嵌入流程

规则体系可以引导合规部门识别业务流程中应嵌入合规管理要求的KCP节点。通过梳理KCP及其合规管理措施，对规则体系进行拆解和模块化，旨在促进规则与业务场景的深入融合，进一步降低理解和使用门槛。

为使合规管理真正嵌入业务、杜绝管理漏洞，需要以公司整体目标作为风险管控的整体目标，拉通各领域的业务流程，按照KCP的判断方法，确定哪些业务节点是合规KCP。管理要求落地涉及管控方式的确定，是采取线下管控还是线上系统管控，是自动化管控还是人工管控，其次是管控工具的选择，可能涉及风险评估工具、扫描工具、尽职调查工具等，无论是管控方式还是合规工具，都需要结合企业当前业务管理状况，结合资源状况和经济成本，制定合理有效的合规管理落地方案。

对于KCP梳理而言，如果没有规则体系作为基础，将难以全面判断哪些业务场景中需要得到合规管理；而如果没有全面梳理、横向拉通各业务领域中涉及的场景，又难以保证KCP的全面性和完整性。而将合规KCP的合规管理要求进行有效落地，避免合规和业务两张皮，是合规风险管理得以实时的保障。通过KCP的全面准确的识别和合规管理要求的合理嵌入，最终将合规要求有效嵌入业务，达到润物细无声的效果。

Part 4「合规风险管理体系优化」

1.风险管控常见问题

随着企业外部法律法规的变化、内部业务的发展，必然会产生新的合规风险，同时业务流程及其管控系统的变化也会导致僵化不变的合规要求不能与之完全匹配。总结合规管控体系中常见的问题有如下几类：

（1）管控措施与风险不匹配：体现在两个方面，一方面环境和业务的改变带来的新的风险没有被及时识别和管控；另一方面，针对风险降级或概率较低的风险，其管控措施过于严格，管控成本高；

（2）管控与业务流程不匹配：随着业务流程和IT系统的变更，部分业务管理方式已发生变更，导致合规管控要求与业务实际流程不匹配。

（3）管控冗余：比如同一业务流程对相同的风险在不同阶段多次嵌入管控要求；

（4）管控规则不统一：业务场景相似但风险相同的同类业务场景，嵌入管控要求差异较大，管理逻辑混乱。

分析这些问题存在的原因，总结为以下几方面：

（1）未能及时跟踪外部的政策变化和内部新业务的发展；

（2）未能从企业的发展战略与管理提升目标出发，对流程管理及风险控制的进行统筹安排，合规管理的目标是企业或公司整体目标的实现，而不是某一个部门或领域的目标，如果将目标仅局限于小范围内部，势必会导致与企业战略方向和提升目标不一致，造成偏离，同时还增加控制成本。

（3）风险控制体系未能与流程管理要求协同，也就是流程管理和风险管理“两张皮”，这必然导致风险管理不能真正落地，或者落地后不能实现预期的管理目标，从而无法实现管理有效性。

（4）业务的高速发展，对其管理体系效率也提出了新的要求，比如纯手工的文档填写势必会导致效率低下，影响业务的开展，而数字化的发展也为风险管控的实现的高效性提供了有效途径，在合规体系的建设的进阶过程中将起到决定性作用。

2.环境驱动，自上而下匹配法规变化

合规的工作本质上就是由规则牵引企业内部治理，实现对外法律法规遵从状态。优化是在整体规则体系有效运行、有效防范企业系统性风险的基础上，为避免合规规则的僵化执行带来的低效、差协同，驱动员工从单纯肌肉记忆的规则执行状态到理解合规原则和运行机理，以更有效、高效地适应不断变化的外部环境，助力企业有质量的增长。

依托规则审查三原则开展规则优化：

• 必要性：复盘规则与风险之间的差距，确定哪些规则是冗余的，哪些风险还没有被覆盖，即可增可减的逻辑。
• 合理性：审视管控要求是否与业务实际相匹配，管控落地是否与业务执行相一致；看管理成本，即管理成本的大小，是否能够实现效能最优，复盘涉及人员范围、系统管控/人工管控、执行频次等。
• 有效性：审视所有管控设置是否有效，包括管理有效性和执行有效性。

按照规则优化原则，通过系统性地审视规则金字塔体系，从合规政策-原则性规范-流程性规范-KCP，全面梳理管控原则、流程规范和管控KCP，找到制度中漏点、堵点和盲点。具体按照如下三步进行：

第一步：梳理合规政策：1）外规：梳理外部法律法规；2）企业风险偏好：针对合规风险，企业做了哪些前置策略及具体内容，前置策略如风险规避、风险控制、风险承担、风险转移等。

第二步：梳理原则性规范：1）合规风险：从合规政策入手梳理合规风险；2）管控要求：针对合规风险，对应的原则性管控要求。

第三步：梳理流程性规范：1）业务活动：梳理各业务领域涉及的业务活动；2）业务活动中合规风险：基于原则性规范，梳理业务活动中涉及的具体合规风险；3）业务活动中管控要求：针对业务活动中的合规风险，梳理具体的合规管控要求。

在上述过程中，通过自上而下的梳理检查输入和输出的逻辑关系，发现当前规则体系中存在的问题。

3.业务驱动，自下而上实现运营目标

以风险为导向的合规规则体系通过对合规底层思维的理解和掌握，推动自下而上规则的场景化，有效推进合规规则与具体业务的深度融合，形成契合业务实际的合规规则体系。

合规管理体系的有效性，来源于业务合规关键人员对管控要求的认可和规范执行。随着企业发展，业务场景的不断变化和业务管理的深化改革，必然出现不能与之相匹配的合规管理要求。业务单位作为合规风险管理的第一责任人，也会成为合规管理无效的首要发现者。通过向业务单位人员收集合规体系优化建议，是快速识别合规优化需求的有效途径。

从不同视角验证流程和评价流程，分析业务流程中采取合规管理措施的关键节点，按照KCP判断方法对流程中的KCP重新识别，确定新的关键管控点，开展流程优化。对于KCP的优化，结合KCP分析结论，可以清除、简化、整合相应的管理要求。

（1）清除：对于不是KCP的一般风险管控点，可以进行清除，就是要确保每项业务实现最大化增值，尽可能减少无效的或不增值的活动。各项流程之间要尽可能实现单点接触，避免多头管理，减少多头对接，保证流程的顺畅。清除可以从改变多点接触、避免重复环节、缩短等待时间、减少不必要的步骤等方面入手，不断清除冗余流程，实现高效运作，高水平运转，降低沟通成本，减少等待时间。

（2）简化对于KCP的管控方式，要做到简单、规范和明确。随着管理水平的发展，每个流程都有一个从简单到复杂，再到简单的过程。刚开始建立流程时，由于我们对业务流程不太熟悉，有些流程可能制定得比较简单。在执行过程中，会出现这样或那样的问题。为解决这些问题，我们会对流程进行不断丰富，增加一些必要的环节。但随着业务流程不断成熟，特别是随着内外部环境和形势发生变化，我们要对所有过于复杂的流程进行简化，包括形式上的、程序上的、沟通渠道上的简化。

通常，对一些正常业务，要做到变“复杂”为“简单”；对于一些例外事件，要变“灰色”为“规范”。在流程执行方面，要变“模糊”为“明确”。明确各个活动负责部门和岗位人员的职责和权限，同时要对流程执行过程进行必要的监督和监控，保证流程的贯彻与执行。通过简化，使职责更加明确，程序更加规范，流程更加清晰，沟通更加顺畅。简化的过程是一个不断提高、不断升华的过程。

（3）整合：流程控制的最终目标是实现企业的整体目标，所以需要从全面管理的角度出发，同步开展多项活动，打破部门间的界限，增加互相沟通的机会，减少多次监督和审核。

对现有流程进行整合，建立相互协调的协作沟通机制，减少部门壁垒，消除沟通障碍，实现多头联动，有助于提高工作效率，减少管理成本，增加经济和社会效益。

4.数字化提升合规风险管理效率

通过建设统一开放的合规IT平台，推进企业基础业务流程。比如对物项的管理，国内生产、国际货运、海外当地运输等各个业务环节可视、可查、可分析，那么物项的转移风险就大大降低，这需要整个业务流向的管理都在系统上实现，不能存在断点，一旦存在断点，数据不通，管理不通，也就无法有效监控，所以合规要能到达领先的程度，业务流程的数字化是基础。

业务流程数字化以后，要结合风险分析来评估KCP管控是否到位，比如物项从装箱到交付到客户是否都可被追踪，是否都有管辖信息，最终用户/用途通过什么方法可以得到验证等等。业务交易的风险可以实时报警，及时拦截。实现自动化、信息化、智能化，是企业管理的必然趋势，也是合规体系建设的必然选择。

通过本研究，我们可以看到在当前国内国际形势下，新的风险带来的新的管理要求，业务发展和业务场景的持续变化也要求合规管理体系必须匹配公司发展的目标，所以合规管理体系的优化将是一个持续的过程，合规风险管理的理论研究以及合规管理体系建设方法和时间的探讨是值得不断深入学习和研究的课题，非常希望本研究对当前企业的风险管理能起到一定的积极作用。

来源：合规小叨客

编辑：Yoyo