合规风险管理与法律风险管理如何相融协同

2019年12月26日，国务院国资委加急发布的《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》，明确要求整合优化内控、风险管理和合规管理监督工作，将风险、合规管理制度建设及实施情况纳入内控体系监督评价范畴，统筹推进内控、风险和合规管理的监督评价工作。

合规风险管理与法律风险管理的相融协同，需要从相关从业人员的思想认识、管理文化上取得认同，在组织机构、制度流程、项目内容上作整合，在职能权责、资源互通、信息共享上重新设计，真正达到相融协同。

（一）组织机构整合

当前，大多数企业的合规风险管理和法律风险管理都成立了相应的组织机构，名称不一，不外乎企业合规委员会和法律风险管理委员会等类似的名称。有的是将合规风险管理委员会隶属于董事会之下，将企业法律风险管理委员会隶属于企业全面风险管理委员会然后置于董事会之下，有的直接将法律风险管理领导机构与企业依法治企领导小组合并，归属于总经理直接领导。根据两大风险管理的性质，首先，将企业法律风险管理委员会与合规委员会合二为一，统一接受企业董事会的授权，对企业合规和法律两类风险管理进行统一领导、管理和协调。其次，将两类风险的管理职能，由一个部门（合规部门）统一归口，归口有困难的，可以建立密切协作、统一协调的合规风险管理办公室、合规风险管理小组或者联席会议，由合规风险管理办公室、合规风险管理小组或者联席会议对企业合规风险管理和法律风险管理进行统一扎口。再次，建设一体化的企业合规风险、法律风险管理队伍，培训、提高从业人员的专业知识和能力，在开展企业合规风险管理和法律风险管理时，这支队伍由合规部统一调度和管理。

具体来说，在董事会下依次设合规委员会、合规总监、合规部门，合规部下设合规管理专员；在二级单位设立合规部并配备合规专员、各业务部门设立兼职合规管理员；在三级单位设立合规管理专员。合规管理一般设置三道防线，第一道防线，业务部门的合规职责是风险评估、风险治理、落地执行、自我改进；第二道防线，合规部门的职责是明确责任、风险评估、制定标准、推进整改、完善体系、定期报告；第三道防线，审计监督部门的合规职责是监督检查、违规追责。合规委员会主任由董事长兼任，统领企业的合规风险与法律风险管理工作；合规总监由总法律顾问兼任；合规部下设合规管理岗，业务部门设置兼职合规员，由合规部统一指导合规管理工作。

（二）项目与内容的整合

合规风险管理对象是企业内部行为的规范性，法律风险管理对象是企业行为和企业员工行为的合法性，合规风险管理的工作内容主要有合规管理制度建设、合规审查和检查、合规监测、合规报告、合规文化建设、合规信息系统建设、合规考核、合规问责等，法律风险管理的工作内容有法律风险环境信息搜集、法律风险评估、法律风险应对、监督和检查、沟通和记录、法律风险管理的组织职能、法律风险管理的资源配置、法律风险管理文化等。通过两大风险管理的对象、内容和方式方法，我们也可以对其进行优化整合。鉴于法律风险从属于合规风险的特质，我们可以考虑直接将法律风险管理项目完全融入合规风险管理项目，即合规风险管理项目完全涵盖法律风险管理项目。(www.xing528.com)

（三）制度与流程融合统一

根据《中央企业合规管理指引（试行）》《关于全面推进法治央企建设的意见》等相关规范性指导文件，我们可以梳理出，合规风险管理流程主要是：识别合规义务、合规风险评估、合规风险应对、沟通和协调、风险监测和预警、监督检查和持续改进，法律风险管理流程主要是：搜集法律风险环境信息、法律风险评估、法律风险应对、信息与沟通、风险监测和预警、监督和检查。很显然两大风险管理流程有着非常相似的制度设计^[15]。因此，我们应积极探索合规风险管理与法律风险管理制度与流程的一体化，由合规部牵头，对企业现有各个风险管理制度与流程进行检查、分析和研究，对现有风险管理制度与流程进行修改补充，或者重新制定统一的企业风险管理制度，对风险源搜集分析、风险识别、风险评估、风险应对、信息与沟通、风险监测与预警、监督检查和持续改进等作统一要求，实现企业风险管理制度与流程的一体化。

（四）借助大数据与信息化，支撑两大风险管理融合

合规风险管理和法律风险管理的每个环节，都应嵌入信息化，用技术手段控制风险。流程中的风险源搜集分析、风险识别、风险评估、风险应对、信息与沟通、风险监测与预警、监督检查和持续改进均可以通过不同模块的设计，将各项功能通过模块的设置来实现，各模块功能既相互独立，又相互联系，共同构成一个有机整体。

设计不同功能的模块：综合管理模块，将规范要求、典型案例、行业最新要求、风险管理格式文件等纳入该模块；风险管理模块，发布风险管理项目方案，收集风险管理基础信息，提供风险评估的技术方法和程序，更新风险清单，发布风险应对整改计划和方案，对风险的应对整改进行跟踪和监督检查，提供风险管理沟通与协调平台；风险制度流程模块，发布风险管理制度与流程及其修改、补充，跟踪监督风险管理制度与流程的执行，收集风险管理制度和流程执行情况的信息和意见等；风险审查模块，实现线上统一风险审查和审批；风险监测模块，确定监测范围、收集数据，开展监测识别，对风险异动进行处理，实时风险预警，风险提示，提示法律介入和处置，完善监测内容和形式、完善监测信息化工具；风险管理计划与报告模块，收集风险管理计划、风险报告信息资料和意见，修改、提交、审批风险管理计划与报告，跟踪、监督风险管理计划、报告的执行。

充分运用大数据挖掘并运用信息化手段，分析违规原因和管理中的薄弱环节，并反溯至企业经营管理全过程，总结经验教训，查找企业运营管理的薄弱环节，检测企业运营管理环节的潜在风险，对制度和流程进行合规性评价，督促违规整改和持续改进，保障企业健康持续发展。