第21讲-合规风险评估及其控制策略（一）.pdf

第21讲

合规风险评估及其控制策略（一）

学习目标

1.了解合规风险评估的流程；

2.学习合规风险识别与度量方法；

3.掌握合规风险控制的基本手法。

预防是解决危机的最好方法。

——迈克尔·里杰斯特

方正讲堂

一、合规风险评估

1.基本概念

体系化的合规风险管理

涵盖重要的合规风险类别

注重合规与业务流程结合

2.风险评估的对象

合规风险评估

（1）策略风险

合规体系管控模式的缺陷

业务体系管控模式的缺陷

（2）执行风险

事先识别合规风险点

事中合规风险预警（风险度量）

控制措施力度（控制评价）

3.合规管理中的策略风险

企业的发展/竞争战略决定了企业的商业模式（盈利模式+营销模式+业务

模式+风控模式），这些模式最终是由规则构成的。

规则的建立是一种决策或策略，而经营管理中的决策或策略的落实必然要形

成规则而要求人们去执行，因而就形成了关于规则的风险。

合规管理体系的策略风险主要是指合规管理不达标而可能涉及到的业务流

程选择、总体控制模型、合规风险（执行风险）控制模式的恰当性。

内部的经营风险来自于业务体系管控模式的缺陷，本质上是规则的短缺以及

所建立规则的不满足性或不恰当性。

合规管理“质疑规则还是不质疑规则”是一个分界岭！

（主要是指大合规下的内法内规）

当企业的上述业务系统在风险评估中暴露出明显的缺陷时，有可能不是对业

务规则的执行有问题，而是现有的开展业务的规则体系有短缺以及规则不恰当。

4.风险产生的原理

惯性原理：任何事件在其发展过程中，都有从过去到现在及延伸到将来的可

能性。

量变到质变原理：风险事件从潜在危机到形成损失，一般存在风险因素发生

和积累从量变到质变的规律。（例如经营风险的累积导致财务报表造假）

多米诺骨牌原理：风险的发生是由一系列“事故”的第次反应导致的，这些事

故可以形象地看作立着的多米诺骨牌，一个骨牌倒下会引起连锁反应；每一个因

素依赖于前面的因素。

能量释放原理：也称为“压力释放原理”，即风险的产生是因为对财产和

人员施加的压力超过其可以承受的极限，能量失去控制所至。能量失控导致火灾、

事故、工业伤害和其他损失发生的情形。（例如资产安全的欺诈行为和财务报表

造假行为）

5.合规风险来源

风险来自于利益相关者的核心诉求不能满足

6.风险识别的原则方法

根据风险三要素识别风险：损失/转机；风险事件；风险因素。

7.风险识别的基本路径

目标导向风险识别：组织或项目小组有目标。任何可能危及部分目标获得的

事件都被识别为风险。目标导向是COSO的基础。

情景导向风险识别：在情景分析中，创造出不同的情境。情景可以是达到目

的的不同方式，或作用力交互作用的分析。如市场、战争。任何触发不希望情景

的事件都被识别为风险。

分类导向风险识别：此处的分类是可能风险源的一个事故结果。依据分类和

实践的知识，编辑一个问题集合。对问题的回答反映出风险。

经验导向风险识别：经验化为知识库，如对常见风险做成检查表，进行对照。

在一些行业，可以列出已知风险。表中的每项风险可以有相应的对策。

流程导向风险识别：对企业或组织的主要业务流程进行分解，发现每个流程

的，各个环节是否存在风险因素，可同时进行业务流程优化。

事件导向风险识别：基于已发生事件（基于理赔、专项调查），针对风险事

件的资料情况，找出共性的风险因素。专业机构或专门组织分析完成，需大量占

有事件资料。（例如大宗商品贸易合同风险管控）

8.流程导向的风险识别示例

知识加油站

合规风险识别

合规风险识别是指在识别合规义务的基础上，通过发现、收集、整理合规风

险并列出清单，为管理合规风险明确对象和范围。

首先，要整理企业在经营中应当遵守的各类规范性文件，包括法律、法规、

部门规章、行业强制标准、行业监管规则、行政许可或授权文件、行业惯例等，

涉外企业还包括相关国际条