如何用合規義務來識別合規風險合規風險，在《ISO37301:2021合規管理體系要求及使用指南》中被定義為：因不符合組織合規義務而發生不合規的可能性及其后果。根據這個定義，識別合規風險的一個重要方法就是錨定合規義務——合規義務就像一枚硬幣，硬幣的正面就是合規義務；硬幣的背面就是合規風險。合規義務得到遵守就是合規；得不到遵守就是違規。因此，識別合規義務對于識別合規風險具有重大的意義。合規義務合規義務，在《ISO37301:2021合規管理體系要求及使用指南》中被定義為：組織必須遵守的要求，以及組織自愿選擇遵守的要求。根據《ISO37301:2021合規管理體系要求及使用指南》附錄A的規定，組織必須遵守的要求包括：法律法規；許可、執照或其他形式的授權;監管機構發布的命令、規則或指南；法院或行政法庭的判決；條約、公約和議定書。組織自愿選擇遵守的要求可以包括：與社區團體或非政府組織的協定；與公共機構和客戶的協議；組織要求，如方針和程序；自愿原則或行為守則；自愿標識或環境承諾；基于本組織的合同安排所產生的義務；相關組織和行業標準。在現實生活中，一個組織所要面對的合規義務，無論是“必須要遵守的”，還是“自愿選擇遵守的”，其數量非常龐大，導致了錨定合規義務來辨識的合規風險數量也非常龐大，導致了一些組織所識別出來的風險動輒數百項，上千項，甚至數千項，而如此龐大數量的風險讓組織及其相關人員在合規管理中疲于應付，有時干脆眉毛胡子一把抓。筆者之一在做合規項目的過程中曾經問一個項目公司的經理，他們是否記得并管控它們公司所識別出來的上千項風險，答案毫無疑問地是：“不記得”。這上千項的風險清單自從識別出來后就被束之高閣。公司的治理層和最高管理層在實務當中所重點關注的風險其實不超過十個。當然筆者無意說合規風險識別不重要、制定合規風險清單不重要，但制定一個實實在在接地氣、可執行的合規風險清單可能比盲目追求風險清單上的數量更重要。禁止性合規義務v控制性合規義務合規義務，除了區分為“強制性的”和“可選擇性的”，在實務中還可以進一步區分為“禁止性合規義務”和“控制性合規義務”。這種分類方法雖然在《ISO37301:2021合規管理體系要求及使用指南》中沒有提及，但在實務中這種區分具有重大意義。在禁止性合規義務下，一個組織不得做什么或被禁止做什么（比如“不得行賄”），那么這個組織在該禁止性合規義務下什么都不做就合規了（比如“不行賄”），換言之，禁止性合規義務下應當以不作為的方式合規；在控制性合規義務下，一個組織得做點什么（比如“在廠房內放置一定數量的滅火器”），換言之，在控制性合規義務下，一個組織得做點什么才合規，換言之，控制性合規義務下必須以作為的方式合規。無論是禁止性合規義務還是控制性合規義務，其都來自于“合規要求”與“合規承諾”，但“不得做什么”的禁止性合規義務往往更多地來自于強制性的法律法規，而“得做點什么”的控制性合規義務往往更多地來自于一個組織自主適用的標準、規范（及其他義務來源）。正如上面所說的那樣，“不得做什么”和“得做點什么”所構成的合規義務的數量非常龐大，如果說制定一個實實在在接地氣、可執行的合規風險清單非常重要，那么被合規風險所錨定的合規義務也必須有一個實實在在接地氣的、可執行的合規義務清單。禁止性合規義務下的合規風險識別正如前面所提到的那樣，在禁止性合規義務下，一個組織不得做什么或被禁止做什么（比如“不得行賄”），如果觸碰了“不得做什么”或“被禁止做什么”的合規義務，那么就會引發相關的合規風險（比如“賄賂風險”）。一般來說對禁止性合規義務的違反是立法機構及其所代表的利害相關方所不能容忍的“紅線”、“地雷”或者“高壓線”，因此禁止性合規義務下的合規風險往往會給相關組織帶來重大損害、行政處罰，甚至刑事責任。因此實務中，一個組織應當優先識別禁止性合規義務下的合規風險。在《ISO37301:2021合規管理體系要求及使用指南》下，僅僅識別合規風險還不夠，組織還應當識別“風險源”（Risksource）和“合規風險情況”（Risksituation）。“風險源”與“合規風險情況”是《ISO37301:2021合規管理體系要求及使用指南》下新設的兩個概念。根據附錄A.4.6，“合規風險識別包括合規風險源的識別和合規風險情況的界定。組織宜根據部門職責、崗位職責和不同類型的組織活動，識別各部門、職能和不同類型的組織活動中的合規風險源。組織宜定期識別合規風險源，并界定每個合規風險源對應的合規風險情況，形成合規風險源清單和合規風險情況清單。“僅就“合規風險情況”而言，以反壟斷法當中的“縱向壟斷協議”風險為例，反壟斷法第十四條明確規定一個禁止性合規義務：“禁止經營者與交易相對人達成下列壟斷協議：（一）固定向第三人轉售商品的價格；（二）限定向第三人轉售商品的最低價格；（三）國務院反壟斷執法機構認定的其他壟斷協議。”但是，從合規管理實操的角度來看，這些法律規定不夠具體，一個組織往往需要把這些適用于所有組織的原則性的禁止性合規義務相對應的“合規風險情況”界定出來，比如下面某快銷品行業的企業在“轉售價格維持”相關的“縱向壟斷協議”風險下所界定的“合規風險情況”如下：為了避免涉嫌轉售價格維持，我們公司：?不得在與經銷商、零售商的任何形式的協議中規定經銷商、零售商應按照某一價格銷售或不得低于某一價格銷售；?不得要求（不論是書面、口頭還是暗示）經銷商、零售商按照某一價格銷售或不得低于某一價格銷售；?不得對經銷商、零售商的價格調整進行干涉，不得因其價格原因而停止供貨、解除合同、取消返利、折扣、費用或采取其他懲罰措施；?不得在任何內部文件或對外文件、郵件往來中涉及對經銷商銷售價格或零售商零售價格的控制，不得使用“破價”、“紅線價”等涉嫌價格管控的詞語；?不得在發現經銷商、零售商銷售價格低于預期時，向其發出書面函件、電子郵件或進行口頭警告，不得在與經銷商、零售商人員的對話中涉及價格控制內容；?不得與經銷商或零售商商定轉售價格、促銷價格或要求經銷商或零售商在進行價格調整前取得我們組織同意；?除非獲得經銷商書面授權且明確聲明經銷商對價格有最終決定權，不得代經銷商與零售商商定供貨價格；?不得因為經銷商、零售商“破價”或“低于建議價格”銷售而對他們予以處罰；?不得強制經銷商、零售商執行建議轉售價格或建議零售價格或對它們施加壓力，使得它們不得不這么做（比如，反復地將建議價格發給經銷商、零售商，以至于看起來是在威脅它們）。不得將建議轉售價格或建議零售價格變為固定價格或最低價格；?不得以設置轉售價格浮動空間、利潤率的形式固定經銷商、零售商的銷售價格或設置價格下限。據此，該快銷品行業企業在「縱向壟斷協議風險」下界定出10個合規風險情況，而不必把這10個合規風險情況都列為合規風險。換言之，在前述這個情況下，「縱向壟斷協議風險」是綱，「10個合規風險情況」是目，綱舉目張下，「縱向壟斷協議風險」的風險及風險情況得到了很好的分類和歸納。控制性合規義務下的合規風險在控制性合規義務下，一個組織得“得做點什么”才行，而這“得做點什么”的合規義務有的來自于組織為了做好風險管控而自己所設置的（比如組織要求，如方針和程序），也有的來自于組織自愿選擇遵守的相關組織和行業標準（以及其他義務來源）。我們以行賄風險為例，某組織為了防止行賄行為的發生，制定有內控制度：凡是跟政府官員之間往來的費用都必須經過組織的合規官審批之后才可以發生并進而報銷。這里所說的“審批”就是控制措施，把費用提交給合規官進行審批是申請人必須履行的義務；對申請事項進行審查也是合規官所必須履行的義務。沒有履行該控制性合規義務不一定會直接導致組織違法違規被處罰，但因為沒有履行該控制性合規義務，就會讓風險管控失效，從而加大行賄風險發生的可能性。我們同樣以上文中提及的某快消品企業關于禁止轉售價格維持的“縱向壟斷協議”風險為例，該企業為了避免涉嫌轉售價格維持，規定了10項禁止性合規義務。為了把這些禁止性合規義務落實到位，公司的合規部門同時設置了如下的控制措施，比如：法務必須對公司的銷售人員進行《反壟斷法》培訓，并對這10項合規義務逐條予以解釋和說明；銷售部門每一個季度都要在銷售工作會議上和每一個銷售人員一起復習這10項合規義務；法務在審查經銷合同時必須嚴格對照上述10項合規義務來審查合同。除了上述組織內部所形成的控制性合規義務之外，一個組織還可以去選擇適用賄賂風險管理、反壟斷合規風險管理相關的標準、指引來管控相應的賄賂風險、縱向壟斷協議風險。因為合規風險是因不符合組織合規義務而發生不合規的可能性及其后果，不符合控制性合規義務與不符合禁止性合規義務一樣都會觸發合規風險。但因為控制性合規義務的數量遠超禁止性合規義務的數量，要把這些義務全部列舉出來會給公司的合規管理帶來極大的負擔。那么在實務中，應當怎么去分類和歸納控制性合規義務呢？首先，以禁止性合規風險為綱來統領控制性合規義務。實務當中很多的控制性合規義務都是為了管控禁止性合規義務相關的合規風險而設的。比如上面所說的“不得行賄”的禁止性合規義務相關的“賄賂風險”既有一個組織內部所設定的控制措施來進行管控，還有組織可以選擇適用的賄賂風險管理體系標準來對賄賂風險進行管理。因此，綱舉目張下，禁止性合規義務所對應的合規風險既可以統領相應的“合規風險情況”，也可以統領“控制性合規義務”。如下圖所示：其次，以合規專項來歸口控制性合規義務管控禁止性合規義務相關的合規風險。在實務中，一個組織往往會就某個風險（比如賄賂風險）做合規專項，從而圍繞賄賂風險設計、歸口、落實合規風險管控措施。再次，以相應的合規管理體系貫標、認證來歸口控制性合規義務。很多組織雖然現在才開始有意識地搭建合規管理體系，但其實它們早就有針對各種各樣的風險進行了貫標，甚至認證，比如ISO9001質量認證體系、ISO14001環境管理體系等。這些貫標、認證的重大意義在于通過認證的組織就相關風險系統地進行了風險管控，而相應的風險管控措施也通過相關體系歸口、集結在一起。總而言之，因為識別合規風險的一個重要方法就是錨定合規義務——因此識別合規義務對于識別