第三节　合规风险

一个组织为什么要搞合规？为什么建立合规管理体系？这涉及合规的价值问题。各种版本的合规指引、规范无一例外都把合规的价值和意义归结为防范不合规的风险。

一、合规风险是造成负面影响或纯粹损失的可能性

《合规管理体系：指南》（GB/T 35770—2017/ISO 19600：2014）将合规风险解释为“不确定性对合规目标的影响”“影响是指偏离预期，可以是正面的或负面的”。《合规管理体系：要求及使用指南》（ISO 37301：2021）将合规风险定义为“因不符合组织合规义务而发生不合规的可能性及其后果”。国务院国资委印发的《中央企业合规管理办法》明确规定：“本办法所称合规风险，是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。”

风险是指组织和人的行为与特定目标发生偏离、不一致的可能性。从某种意义上讲，风险本身既不是贬义词也不是褒义词，而是中性的。所以，风险既可以逐渐演变成隐患，最终爆发成事件、事故，甚至成为灾难，也可以转化为机遇，也就是化危为机。所以，风险的正负双面性将其分为损失性风险和机会性风险。损失性风险是纯粹会带来损失的可能性，如自然灾害风险、飞行事故风险等。机会性风险既会带来收益的可能性，也会带来损失的可能性。

监管机构多数倾向于将合规风险界定为负面损失性风险。2006年10月，原中国银行业监督管理委员会发布的《商业银行合规风险指引》第三条规定：“本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。”2016年12月原中国保险监督管理委员会发布的《保险公司合规管理办法》第二条、2017年6月中国证券监督管理委员会发布的《证券公司和证券投资基金管理公司合规管理办法》第二条、国务院国资委《中央企业合规管理办法》第三条关于合规风险的解释，都强调合规风险是引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。说明监管部门制定的合规管理办法中的合规风险，指的是纯粹损失性风险，从而更加突出了合规管理在管控风险方面的价值和作用。

二、合规风险与风险管理相结合

合规的作用和价值在于控制不合规导致的纯粹损失性风险，因此决定了合规与风险管理存在着密不可分的天然联系。风险是合规管理的导向，合规是风险管理的内容。国务院国资委2006年发布的《中央企业全面风险管理指引》中规定：“本指引所称企业风险，指未来的不确定性对企业实现其经营目标的影响。”《中央企业全面风险管理指引》首次把企业风险分为五大类，即战略风险、财务风险、市场风险、运营风险和法律风险。因各种风险的性质和关联关系，决定这五大风险最终都与合规风险相伴随，甚至会演变为合规风险。

企业在投资决策中，违反了国家的节能减排和生态环境保护的法律法规、禁止性投资产业政策和负面清单，不仅面临战略风险，而且面临严重的合规风险。

企业的财务风险不仅表现为利率、汇率变动对经营效益的影响，并且会伴随资产负债率的变动、适当履行纳税义务的合规风险。少数企业为了规避利率、汇率等财务风险给企业经营效益造成的负面影响，编造虚假会计信息，从而面临会计、资本市场、税务的合规风险。

市场风险是企业最常见的风险，产品更新换代、市场占有率、市场价格都会给企业效益和价值带来直接影响。如果企业在应对市场风险挑战时，采取以次充好、短斤缺两等侵害消费者权益的营销手段，实施诋毁竞争对手的不正当竞争行为，甚至达成垄断协议和滥用市场支配地位，都会形成严重的市场竞争合规风险。

运营风险中，最常见的有企业安全生产、生态环境保护、员工劳动保护合规要求。这些合规要求是对国家法律法规的遵守、遵从和符合，也有很多是对企业自身安全生产、生态环境保护、员工劳动保护规章制度的执行。

法律风险是指企业面临的国际组织如世界银行的调查及处罚、国家监管机构的行政调查和处罚、民事违约和法律责任、刑事调查和刑事处罚风险。战略风险、财务风险、市场风险、运营风险最终演变的后果、责任，最为严厉的、具有强制执行力的正是合规法律责任。