企业合规管理体系建设实务——“6+N”体系建设方法
建立健全合规管理体系是我国企业立足当下新发展格局的迫切之需,本文以“6+N”合规管理体系建设方法为中心,从合规管理体系建设方法的基本架构、价值及实务路径三大维度为企业合规管理体系建设提供可行方案。
一、引言 《中央企业合规管理办法》(国务院国有资产监督管理委员会令第42号,以下简称“42号文”)开宗明义规定,合规管理是指企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。
从2014年国务院国资委在《关于推动落实中央企业法制工作新五年规划有关事项的通知》中针对中央企业提出“大力加强企业合规管理体系建设”的要求[1]到2024年党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》中指出支持引导民营企业加强企业合规建设和廉洁风险防控[2],10年间,我国企业合规管理体系建设经历了从发轫于央企、扩展到民企的历程。
目前,建立健全合规管理体系是企业进入新发展阶段、立足新发展格局、打造更优质企业管理生态的迫切现实之需。那么,企业应当如何建立更高水平、更高层次的合规管理体系呢?对此,本文将以“6+N”合规管理体系建设方法为中心,全面解析、探究企业合规管理体系应当如何建设的问题。
二、何以是:“6+N”合规管理体系建设方法的基本架构
(一)“6+N”合规管理体系建设方法的含义
“6+N”合规管理体系建设可以作为企业全面合规管理体系建设的总体规则设计。其中,“6”代表全面合规管理体系建设的基础体系架构,包括合规组织体系、合规制度体系、合规决策体系、合规人员体系、合规责任体系与合规运营保障体系。在42号文的组织体系、制度体系、运行体系、文化体系基础上,将合规管理的基础要素进行了细化和重组分类,6大体系方法要求在企业实际经营中的既有机构设置、制度制定、流程管控基础上提出合规管理需求,可以有效助力企业实现业规深度融合。
“N”代表企业独立或组合的专门业务领域的合规计划,例如反不正当竞争专项合规计划、招投标管理专项合规计划、数据安全专项合规计划等。专项合规计划与企业重要业务领域相结合,围绕企业主责主业开展,在业规融合的基础上实现专业发力,与上述6大体系共同搭建起具有实操特点的合规管理体系。
“6+N”的合规体系建设方法可以按照干枝结合的方式来理解,6大体系形成企业合规管理的基础、主干,有利于企业比较准确的抓住和总结建设重点任务;N形成各个领域的专项合规计划的管理分支,包括了业务领域、合规风险表现形式、合规风险的成因分析、合规义务来源、合规风险的应对措施、合规风险等级划分等要素,也有利于企业在特定业务中清晰的理解业务风险特点,并为合规、法务、风控、内控多维一体信息化建设预留了技术框架上的接口。
(二)“6大体系”架构解读
1、合规组织体系
企业的合规组织体系建设目标为搭建合规组织机构,厘清相互之间的权利责任关系。合规组织应包括合规管理领导机构、合规管理监督机构、合规管理执行机构三部分。在基本不改动企业治理规则的条件下,重组企业“四会一层一委”(股东会、董事会、监事会/审计委员会、职工大会、经理层、党委)在合规管理方面的具体职权和责任。包括:
(1)合规管理领导机构中有关研究、审批、完善、决定合规管理规划、合规管理制度、监督和执行机构人员的任免、合规职能部门设置、违规人员处置的职权和流程;
(2)合规管理监督机构中有关建议、监督、评价合规制度落实、合规执行人员的履职情况、合规风险管理情况以及受理合规举报的职权和流程;
(3)合规管理执行机构中有关执行、汇报、检查、考核、报告、落实合规管理基本制度的职权和流程。
实际中,国有企业还需要按照所属国资委要求设立合规委员会。合规委员会作为企业合规管理的统筹协调机构,研究解决合规管理重大事项和重点难点问题。大型集团化企业一般还在合规委员会下设合规管理办公室作为协调机构的常设办公单元,承担合规委员会日常工作以及对重大疑难的合规问题前置研究调研、数据信息收集工作,合规管理办公室本身并不做决策决定。合规管理办公室由企业合规部的负责人或指定人员兼任合规办公室主任,同时可由企业其他各部门负责人、外部律师、法务合规部工作人员共同组成。
2、合规制度体系
合规制度体系建设目标指根据外部法律法规规定、政策文件要求、主营业务所涉行业监管要求,结合企业实际,系统梳理完善内部规章制度体系,也蕴含着外规内化的业务活动和过程。
合规制度体系建设应当具备合规性、全面性、科学性、灵活性。从合规制度建设的具体内容来看,则包括合规组织制度、合规管理规划制度、合规风险识别制度(含业务领域、识别方法、信息来源等)、合规风险分析测评制度、合规培训宣传制度、合规管理运行保障制度(含合规考核评估、合规举报、合规调查、合规问责、合规整改等)六个方面内容。从分级分类的合规制度建设上,又可将制度体系划分为合规基本制度、合规具体制度、合规专项制度。实务中各类制度的决策程序需要对应到公司内部决策的哪一级决策机构去实施,还存在不同的认识。我们认为,按照《公司法》和42号文,对某个企业的《合规管理办法》这一基本管理制度,应由董事会进行制定和审议批准,而合规管理的具体制度(包括合规管理专项制度)则由企业的经理层(如总经理办公会)进行制定。企业内部的其他决策机构和议事机构,对合规管理的制度层面,可以进行集中的讨论、研究,提出审议意见等,但不应享有制度的制定权。
3、合规决策体系
企业的合规决策体系建设目标为构建一套存在于企业本部及其下属组织在合规管理和合规计划执行中的审查审批流程。具体包括企业合规决策的主体、决策事项、决策流程,涉及到合规战略规划、合规定期报告、合规管理制度、合规管理流程、合规人事任免、合规部门设置和组织职能、合规风险的最终评价、合规考核、合规调查问责、合规监督与改进等方面的决策内容。实务中,合规决策体系和企业流程管控紧密联系,企业需要将合规决策入岗入流程,特别是在流程管控中,对重大管控节点进行合规标记,包括该节点的合规决策前提条件、应具备的审议文件、决策依据、合规风险后果分析等,为业务流程的运行提供充分的决策保障。
4、合规人员体系
企业合规人员体系建设目标为构建以合规组织架构为抓手,从合规管理领导人员、合规管理监督责任人员、合规管理执行责任人员入手,以合规归口管理部门、合规专项部门、合规直接责任部门为基础,设置专职或兼职合规管理人员。
在企业经营管理层中设置首席合规官,统一负责管理和监督执行企业合规管理方针、政策、计划,打造一个自下而上的合规人员体系。同时,在打造专业合规人员队伍时,需要结合企业所处的行业背景,遴选具有熟悉行业监管措施和应对政府监管调查经验的专业人员,并通过制度保障其开展合规工作具有独立性和豁免权,以此推动合规管理工作的高质量开展。因42号文并没有对首席合规官的具体职权作出明确规定,而不少地方国资委颁布的合规管理办法均要求首席合规官对企业的重大决策事项提出审查意见,实际是在赋予首席合规官的合规审查权的同时,承担风险控制责任。实务中,首席合规官该对哪些事项进行审查呢?认识理解标准不一,我们认为,根据实践经验,至少应包括企业“三重一大”事项、需要三分之二以上多数表决事项、企业主责主业之外涉及的一定金额以上资产处置事项、未使用企业标准合同文本的经营事项等。另外,关于合规管理员的任职条件和资格,各级法规并没有明确规定,只是要求由业务骨干担任。我们建议在选择合规管理员时选任具备企业合规师资格、法律职业资格、本部门本业务领域的特定资格,同时具备沟通协调综合能力,对本部门业务有充分的熟悉掌握程度的人员。
5、合规责任体系
企业的合规责任体系建设目标为构建企业合规“三道防线”。其中,第一道防线为业务及职能部门,主要负责部门内部所涉及业务合规风险识别和管理、岗位合规风险梳理、合规审查、合规培训等工作;第二道防线为合规管理部门,主要负责组织开展合规风险识别和处置、对企业重点业务环节进行合规审查、更新完善企业规章制度、受理违规举报等工作;第三道防线为纪检监察机构和审计、巡视巡察、监督追责等监督部门,主要负责对企业重点领域进行专项检查、对企业违法违规事项进行监督整改和责任追究。实务中,很多企业存在合规管理工作是第二道防线合规管理部门的工作,合规管理事项与业务部门和其他职能部门没有直接关联的错误认识。首先,42号文以及各级国资委下发的所属企业合规管理办法,均明确了第一道防线中的业务部门和职能部门在合规管理中就本业务领域和本部门的合规调查、合规风险识别评估、合规应对措施梳理、合规风险报告的基本职能。其次,业务部门和职能部门是合规风险管理最为重要的守门人,对自身专业领域和部门职能中的合规风险比第二道防线的合规牵头部门更易发现、更快处置、更有效评估。再次,合规牵头部门需要就企业整体的、基础性的、全面性的合规制度建设和整体风险评价,承担着将更高级别的合规、法务、风控、内控等多维一体的管理措施进行融合的任务。
6、合规运营保障体系
企业的合规运营保障体系建设目标为完善包括外部监管与内部监督在内的企业合规保障体系,实现合规管理的“PDCA”有效循环[3]。
在外部运营监管方面,针对政府监管,企业应积极配合政府监管部门完成定期检查考核,并依据考核结果及时进行整改;针对行业监管,企业应深入研究行业相关政策规定,加强行业重点风险的识别与防范,提前准备相应应急预案,增强行业风险抵御能力。
在内部监督保障方面,企业应整合纪检、审计等内部监督力量和各项监督职能,减少重复交叉,对协同节点做出深化设计,形成职责范围、任务内容和业务专长互为补充的风控、内控、合规、法务的企业风险闭环管理新格局。同时还要将被监督对象分门别类、突出重点,科学提升监督效率,监督平台要聚合和引导各方监督力量,紧盯重大项目、关键领域、关键岗位,加强对权力集中、资金密集、资源富集、资产聚集、关键业务的重点部门和重点人员的监督与保障。同时,通过与合规协商协作机制、合规审查机制、合规风险识别预警机制、合规管理报告机制、合规风险应对机制、合规评估评价机制、合规举报与问责机制,合规培训与激励机制、合规尽职免责机制等相互结合,达到合规运营保障机制服务于整个合规体系建设的需要。
(三)“N个专项合规计划”的主要形式
“N个专项合规计划”通常会作为企业合规制度的构成部分,在合规体系架构中带有更开放、更多元、更交叉融合、更个性化的合规制度特点。其主要通过专项合规计划的形式,在六大合规体系建设基础上,从企业重点业务领域或已出现风险事件的薄弱领域、从企业制度制订环节、重要决策环节、主责主业的生产经营环节、从重要风险岗位人员、重要管理岗位人员、涉外业务岗位人员,新入职新调岗人员等方面入手开展专项合规计划建设工作,巩固和补充全面合规管理体系建设的效果。实务中,各级国资委还要求所属企业在如公司治理、市场交易、投资管理、资本运作、债务风险、融资担保、工程建设、知识产权、信息安全、数据合规、商业伙伴、礼品与商务接待、社会捐赠和赞助等二十余个重点领域制定专项合规计划。
N个专项合规计划主要以某个领域或某个环节的专项合规指引形式体现,包括从部门职责和业务流程要求中提炼业务信息;从风险领域、风险行为表述、成因分析、风险等级中归纳风险信息;从合规依据、合规义务中总结合规义务信息;从控制措施、归口部门、配合部门、责任岗位中汇总管理信息。使专项合规计划能以“一张表、一套流程、一个阶段”的形式提供给企业用“查字典”的方法去使用专项合规指引。不同于6大体系在合规体系建设中侧重于全覆盖的基础性工作任务,N个专项合规计划在合规管理体系建设中侧重于突出合规重点和难点,两者点面结合,实现企业合规体系建设中宏观与微观的统一。
三、何以要:“6+N”合规管理体系建设方法的价值
(一)为企业提供了具有可持续性的合规管理建设方案
一方面,“6+N”合规管理体系建设方法是结合42号文以及各级国资委颁发的所属企业合规办法等法规制度文件规定的建设内容,涵摄了合规组织职责、合规制度建设、合规运行机制、合规文化培育等要素。同时,企业在运用该方法中通过深入开展一次排查、研究制定一组清单、建立健全一套体系、持续营造一种合规氛围的合规方针,将ISO37301:2021《合规管理体系要求及使用指南》与GB/T 35770-2022《合规管理体系要求及使用指南》的要求内化为企业合规管理体系建设的需要,体现了企业合规管理的全面性,并通过“N个专项合规计划”针对性的建设,确保了合规信息的准确和时效,实现了企业业务发展与合规管理的有效融合。另一方面,“6+N”合规管理体系建设方法通过“6大体系”的合规基础建设工作与“N个专项合规计划”特定化合规信息梳理,为企业合规管理体系建设奠定坚固基石,避免无效、重复、多头建设问题。
(二)符合企业合规贯标认证的要求
合规贯标认证可以帮助企业提升社会信誉与公信力,塑造良好的社会形象,有利于反向促使企业提升内部管理水平,并且增强商业伙伴的信任,提高商业信誉。一方面,合规组织体系实现合规管理组织与职责层面的优化,确定合规管理领导方针;合规制度体系实现合规制度流程层面的优化;合规决策体系实现合规治理层面的优化;合规人员体系实现合规人力资源管理的优化;合规责任体系实现业务层面内控风险的优化;合规运营保障体系实现企业合规文化管理的优化,通常来讲,6大体系的建设过程在贯标中可通过四级文件(管理文件、程序文件、制度文件、记录文件)进行台账式收集处理,在进行体系建设中也就一并梳理了认证申报资料的内容,提高合规认证效率。另一方面,从“N个专项合规计划”中归纳整理出企业需要认证的业务范围和重要领域,以满足认证机构聚焦于企业具体业务领域开展合规认证的工作要求。
四、何以为:“6+N”合规管理体系建设方法的实务路径
如上文所述,在具备“6+N”合规体系建设架构之后,通过什么样的路径开展具体的工作呢。笔者建议可以分为四个步骤按阶段完成:
第一步:排查诊断企业面临的现实合规环境
一个成熟的组织往往具备一套契合自身的合规风控管理体系,同时也会设置独立的或分散的合规、风控、人力、法务部门或人员对各项业务流程及制度文件,进行把控和审核。由于组织所处行业领域、专业技术、生产规模、市场要素、发展阶段、创新空间、监管力度的不同,对合规体系的建设有不同的认识和需求。同时受限于各方面因素,既有的企业管理体系、管理规范或规章制度可能存在要素不完整、未得到有效执行的情况,因此,在合规管理体系建设之初,需要对企业面临的现实外部环境进行合规排查与诊断,并根据结果确定后续合规建设重点和方案。排查诊断可以参照42号文、《企业内部控制应用指引》和6大体系建设内容分别设计排查诊断的内容。
第二步:识别合规义务确定合规范围
合规义务的识别是合规管理体系建设的前提,只有正确识别了需要履行的义务,才能全面、准确梳理合规风险。对于合规义务的识别是建立、制定、实施、评价、维护和改进合规管理体系时的重要依据。
合规义务是企业在建立、制定、实施、评价、维护和持续改进管理体系时必须遵守的规则和准则,包括强制性合规要求(宏观/外部),以及自愿性合规承诺(微观/内部)两个层次。前者主要包括法律法规、部门规章、地方性法规、地方政府规章、地方政府部门监管规定、行业准则等外部规范所确定的义务,此类义务具有强制性、不可选择性。后者是指各类合规义务主体为满足所在区域、行业、市场的要求主动制定的内部规范,包括:章程、自愿承诺、廉洁承诺、管理办法、保密制度等。在该步骤的工作内容中,企业应根据自身规模结构和运营模式的方式来确定与主责主业相关的合规义务。实践中,怎么将合规义务设计的外法转化为内规,是合规从业人员或合规律师应当着重研判的内容,不能简单的照搬照抄,而需要紧扣六大体系内容,将外法在责任机构、人员要求、权利义务方面的内容吸纳入内规规定之中。确定合规范围中的合规义务主体还需要特别注意集团化管理的组织中,下级组织对合规义务的遵守和内规的执行,不能简单沿用和直接适用上级企业或集团的合规义务,而应该识别本级组织特定合规义务范围。
第三步:合规风险的识别与管理
合规管理的核心就是对合规风险的控制,因此合规风险识别与管理是整个合规管理体系的重中之重。在此步骤工作中,企业可通过使用岗位职责清单中的岗位合规要求和岗位权责划分以及合规风险表现形式对主责主业领域所设置的业务流程进行分析,识别重点岗位和关键业务流程的合规风险,然后对已识别出的风险依照对企业合规管理工作总体目标、业务发展目标的影响程度及发生频次进行量化评估,分析其违规后果及影响,整理确定合规管理的优先顺序,对企业潜在合规风险进行分类分级管理。实务中,还需要注意合规风险管理与法务风险、内控识别、风控管理进行融合,可以优化和交叉设计统一的流程或表单,整合不同体系的共同点,突出差异点,形成一体化的风险识别管理清单。
第四步:合规管理有效性评价
在完成合规运行环境的排查诊断、合规义务识别与范围划定、合规风险识别与管理的基础上,企业可围绕合规管理体系要素全面性和运行有效性两个方面对自身合规管理体系的有效性进行评价。有效性评价可采用问题导向的模式,以法律法规、政策要求以及ISO37301:2021《合规管理体系要求及使用指南》与GB/T 35770-2022《合规管理体系要求及使用指南》要求为标准,对企业合规管理组织体系、制度体系、决策体系、人员体系、责任体系、运营保障体系以及专项合规计划进行考评检查。实务中,可以在合规管理机制中以样本检查、专项测试、统计分析、运行报告等工具对“6+N”的合规体系建设成果实施检测,发现既有合规管理体系建设的待提升内容,作为合规管理体系建设的后续工作目标。
五、结语
各级企业都在试图追寻和探讨组织如何建立起合规管理体系的基础设施,能在企业的业务领域中贯彻和执行合规经营底线。“6+N”合规管理体系建设方法为企业提供了一套建设实践的路径,其出发点和落脚点在于能够保障企业合规管理体系建设成果满足法律法规、政策文件以及符合ISO37301:2021《合规管理体系要求及使用指南》、GB/T 35770-2022《合规管理体系要求及使用指南》的要求,又为企业实现业规融合,切实防范化解合规风险提供有效的支撑。
[注]
[1] 《关于推动落实中央企业法制工作新五年规划有关事项的通知》:二、全面落实新五年规划各项重点任务 (四)大力加强企业合规管理体系建设。
[2] 《中共中央关于进一步全面深化改革 推进中国式现代化的决定》:二、构建高水平社会主义市场经济体制 坚持致力于为非公有制经济发展营造良好环境和提供更多机会的方针政策。制定民营经济促进法。深入破除市场准入壁垒,推进基础设施竞争性领域向经营主体公平开放,完善民营企业参与国家重大项目建设长效机制。支持有能力的民营企业牵头承担国家重大技术攻关任务,向民营企业进一步开放国家重大科研基础设施。完善民营企业融资支持政策制度,破解融资难、融资贵问题。健全涉企收费长效监管和拖欠企业账款清偿法律法规体系。加快建立民营企业信用状况综合评价体系,健全民营中小企业增信制度。支持引导民营企业完善治理结构和管理制度,加强企业合规建设和廉洁风险防控。加强事中事后监管,规范涉民营企业行政检查。
[3] PDCA 循环理论又称戴明环法, 是全面质量管理所应遵循的科学程序。全面质量管理活动的全部过程, 就是质量计划的制订和组织实现的过程, 这个过程就是按照PDCA 循环周而复始地运转。PDCA 循环不仅适用于质量管理体系, 也适用于一切循序渐进的管理工作。PDCA 循环理论以阶段性划分管理, 包括计划(Plan)、实施(Do)、检查( Check)、处理( Action) 4 个部分 。ISO37301:2021《合规管理体系要求及使用指南》的建立运行基于PDCA的理念搭建,将质量管理的PDCA循环的四个阶段,即计划(plan)、执行(do)、检查(check)、处理(action),也运用在了合规管理体系。
转载自北京市中伦律师事务所 罗洪川,樊俊贤
从2014年国务院国资委在《关于推动落实中央企业法制工作新五年规划有关事项的通知》中针对中央企业提出“大力加强企业合规管理体系建设”的要求[1]到2024年党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》中指出支持引导民营企业加强企业合规建设和廉洁风险防控[2],10年间,我国企业合规管理体系建设经历了从发轫于央企、扩展到民企的历程。
目前,建立健全合规管理体系是企业进入新发展阶段、立足新发展格局、打造更优质企业管理生态的迫切现实之需。那么,企业应当如何建立更高水平、更高层次的合规管理体系呢?对此,本文将以“6+N”合规管理体系建设方法为中心,全面解析、探究企业合规管理体系应当如何建设的问题。
(一)“6+N”合规管理体系建设方法的含义
“6+N”合规管理体系建设可以作为企业全面合规管理体系建设的总体规则设计。其中,“6”代表全面合规管理体系建设的基础体系架构,包括合规组织体系、合规制度体系、合规决策体系、合规人员体系、合规责任体系与合规运营保障体系。在42号文的组织体系、制度体系、运行体系、文化体系基础上,将合规管理的基础要素进行了细化和重组分类,6大体系方法要求在企业实际经营中的既有机构设置、制度制定、流程管控基础上提出合规管理需求,可以有效助力企业实现业规深度融合。
“N”代表企业独立或组合的专门业务领域的合规计划,例如反不正当竞争专项合规计划、招投标管理专项合规计划、数据安全专项合规计划等。专项合规计划与企业重要业务领域相结合,围绕企业主责主业开展,在业规融合的基础上实现专业发力,与上述6大体系共同搭建起具有实操特点的合规管理体系。
“6+N”的合规体系建设方法可以按照干枝结合的方式来理解,6大体系形成企业合规管理的基础、主干,有利于企业比较准确的抓住和总结建设重点任务;N形成各个领域的专项合规计划的管理分支,包括了业务领域、合规风险表现形式、合规风险的成因分析、合规义务来源、合规风险的应对措施、合规风险等级划分等要素,也有利于企业在特定业务中清晰的理解业务风险特点,并为合规、法务、风控、内控多维一体信息化建设预留了技术框架上的接口。
(二)“6大体系”架构解读
1、合规组织体系
企业的合规组织体系建设目标为搭建合规组织机构,厘清相互之间的权利责任关系。合规组织应包括合规管理领导机构、合规管理监督机构、合规管理执行机构三部分。在基本不改动企业治理规则的条件下,重组企业“四会一层一委”(股东会、董事会、监事会/审计委员会、职工大会、经理层、党委)在合规管理方面的具体职权和责任。包括:
(1)合规管理领导机构中有关研究、审批、完善、决定合规管理规划、合规管理制度、监督和执行机构人员的任免、合规职能部门设置、违规人员处置的职权和流程;
(2)合规管理监督机构中有关建议、监督、评价合规制度落实、合规执行人员的履职情况、合规风险管理情况以及受理合规举报的职权和流程;
(3)合规管理执行机构中有关执行、汇报、检查、考核、报告、落实合规管理基本制度的职权和流程。
实际中,国有企业还需要按照所属国资委要求设立合规委员会。合规委员会作为企业合规管理的统筹协调机构,研究解决合规管理重大事项和重点难点问题。大型集团化企业一般还在合规委员会下设合规管理办公室作为协调机构的常设办公单元,承担合规委员会日常工作以及对重大疑难的合规问题前置研究调研、数据信息收集工作,合规管理办公室本身并不做决策决定。合规管理办公室由企业合规部的负责人或指定人员兼任合规办公室主任,同时可由企业其他各部门负责人、外部律师、法务合规部工作人员共同组成。
2、合规制度体系
合规制度体系建设目标指根据外部法律法规规定、政策文件要求、主营业务所涉行业监管要求,结合企业实际,系统梳理完善内部规章制度体系,也蕴含着外规内化的业务活动和过程。
合规制度体系建设应当具备合规性、全面性、科学性、灵活性。从合规制度建设的具体内容来看,则包括合规组织制度、合规管理规划制度、合规风险识别制度(含业务领域、识别方法、信息来源等)、合规风险分析测评制度、合规培训宣传制度、合规管理运行保障制度(含合规考核评估、合规举报、合规调查、合规问责、合规整改等)六个方面内容。从分级分类的合规制度建设上,又可将制度体系划分为合规基本制度、合规具体制度、合规专项制度。实务中各类制度的决策程序需要对应到公司内部决策的哪一级决策机构去实施,还存在不同的认识。我们认为,按照《公司法》和42号文,对某个企业的《合规管理办法》这一基本管理制度,应由董事会进行制定和审议批准,而合规管理的具体制度(包括合规管理专项制度)则由企业的经理层(如总经理办公会)进行制定。企业内部的其他决策机构和议事机构,对合规管理的制度层面,可以进行集中的讨论、研究,提出审议意见等,但不应享有制度的制定权。
3、合规决策体系
企业的合规决策体系建设目标为构建一套存在于企业本部及其下属组织在合规管理和合规计划执行中的审查审批流程。具体包括企业合规决策的主体、决策事项、决策流程,涉及到合规战略规划、合规定期报告、合规管理制度、合规管理流程、合规人事任免、合规部门设置和组织职能、合规风险的最终评价、合规考核、合规调查问责、合规监督与改进等方面的决策内容。实务中,合规决策体系和企业流程管控紧密联系,企业需要将合规决策入岗入流程,特别是在流程管控中,对重大管控节点进行合规标记,包括该节点的合规决策前提条件、应具备的审议文件、决策依据、合规风险后果分析等,为业务流程的运行提供充分的决策保障。
4、合规人员体系
企业合规人员体系建设目标为构建以合规组织架构为抓手,从合规管理领导人员、合规管理监督责任人员、合规管理执行责任人员入手,以合规归口管理部门、合规专项部门、合规直接责任部门为基础,设置专职或兼职合规管理人员。
在企业经营管理层中设置首席合规官,统一负责管理和监督执行企业合规管理方针、政策、计划,打造一个自下而上的合规人员体系。同时,在打造专业合规人员队伍时,需要结合企业所处的行业背景,遴选具有熟悉行业监管措施和应对政府监管调查经验的专业人员,并通过制度保障其开展合规工作具有独立性和豁免权,以此推动合规管理工作的高质量开展。因42号文并没有对首席合规官的具体职权作出明确规定,而不少地方国资委颁布的合规管理办法均要求首席合规官对企业的重大决策事项提出审查意见,实际是在赋予首席合规官的合规审查权的同时,承担风险控制责任。实务中,首席合规官该对哪些事项进行审查呢?认识理解标准不一,我们认为,根据实践经验,至少应包括企业“三重一大”事项、需要三分之二以上多数表决事项、企业主责主业之外涉及的一定金额以上资产处置事项、未使用企业标准合同文本的经营事项等。另外,关于合规管理员的任职条件和资格,各级法规并没有明确规定,只是要求由业务骨干担任。我们建议在选择合规管理员时选任具备企业合规师资格、法律职业资格、本部门本业务领域的特定资格,同时具备沟通协调综合能力,对本部门业务有充分的熟悉掌握程度的人员。
5、合规责任体系
企业的合规责任体系建设目标为构建企业合规“三道防线”。其中,第一道防线为业务及职能部门,主要负责部门内部所涉及业务合规风险识别和管理、岗位合规风险梳理、合规审查、合规培训等工作;第二道防线为合规管理部门,主要负责组织开展合规风险识别和处置、对企业重点业务环节进行合规审查、更新完善企业规章制度、受理违规举报等工作;第三道防线为纪检监察机构和审计、巡视巡察、监督追责等监督部门,主要负责对企业重点领域进行专项检查、对企业违法违规事项进行监督整改和责任追究。实务中,很多企业存在合规管理工作是第二道防线合规管理部门的工作,合规管理事项与业务部门和其他职能部门没有直接关联的错误认识。首先,42号文以及各级国资委下发的所属企业合规管理办法,均明确了第一道防线中的业务部门和职能部门在合规管理中就本业务领域和本部门的合规调查、合规风险识别评估、合规应对措施梳理、合规风险报告的基本职能。其次,业务部门和职能部门是合规风险管理最为重要的守门人,对自身专业领域和部门职能中的合规风险比第二道防线的合规牵头部门更易发现、更快处置、更有效评估。再次,合规牵头部门需要就企业整体的、基础性的、全面性的合规制度建设和整体风险评价,承担着将更高级别的合规、法务、风控、内控等多维一体的管理措施进行融合的任务。
6、合规运营保障体系
企业的合规运营保障体系建设目标为完善包括外部监管与内部监督在内的企业合规保障体系,实现合规管理的“PDCA”有效循环[3]。
在外部运营监管方面,针对政府监管,企业应积极配合政府监管部门完成定期检查考核,并依据考核结果及时进行整改;针对行业监管,企业应深入研究行业相关政策规定,加强行业重点风险的识别与防范,提前准备相应应急预案,增强行业风险抵御能力。
在内部监督保障方面,企业应整合纪检、审计等内部监督力量和各项监督职能,减少重复交叉,对协同节点做出深化设计,形成职责范围、任务内容和业务专长互为补充的风控、内控、合规、法务的企业风险闭环管理新格局。同时还要将被监督对象分门别类、突出重点,科学提升监督效率,监督平台要聚合和引导各方监督力量,紧盯重大项目、关键领域、关键岗位,加强对权力集中、资金密集、资源富集、资产聚集、关键业务的重点部门和重点人员的监督与保障。同时,通过与合规协商协作机制、合规审查机制、合规风险识别预警机制、合规管理报告机制、合规风险应对机制、合规评估评价机制、合规举报与问责机制,合规培训与激励机制、合规尽职免责机制等相互结合,达到合规运营保障机制服务于整个合规体系建设的需要。
(三)“N个专项合规计划”的主要形式
“N个专项合规计划”通常会作为企业合规制度的构成部分,在合规体系架构中带有更开放、更多元、更交叉融合、更个性化的合规制度特点。其主要通过专项合规计划的形式,在六大合规体系建设基础上,从企业重点业务领域或已出现风险事件的薄弱领域、从企业制度制订环节、重要决策环节、主责主业的生产经营环节、从重要风险岗位人员、重要管理岗位人员、涉外业务岗位人员,新入职新调岗人员等方面入手开展专项合规计划建设工作,巩固和补充全面合规管理体系建设的效果。实务中,各级国资委还要求所属企业在如公司治理、市场交易、投资管理、资本运作、债务风险、融资担保、工程建设、知识产权、信息安全、数据合规、商业伙伴、礼品与商务接待、社会捐赠和赞助等二十余个重点领域制定专项合规计划。
N个专项合规计划主要以某个领域或某个环节的专项合规指引形式体现,包括从部门职责和业务流程要求中提炼业务信息;从风险领域、风险行为表述、成因分析、风险等级中归纳风险信息;从合规依据、合规义务中总结合规义务信息;从控制措施、归口部门、配合部门、责任岗位中汇总管理信息。使专项合规计划能以“一张表、一套流程、一个阶段”的形式提供给企业用“查字典”的方法去使用专项合规指引。不同于6大体系在合规体系建设中侧重于全覆盖的基础性工作任务,N个专项合规计划在合规管理体系建设中侧重于突出合规重点和难点,两者点面结合,实现企业合规体系建设中宏观与微观的统一。
(一)为企业提供了具有可持续性的合规管理建设方案
一方面,“6+N”合规管理体系建设方法是结合42号文以及各级国资委颁发的所属企业合规办法等法规制度文件规定的建设内容,涵摄了合规组织职责、合规制度建设、合规运行机制、合规文化培育等要素。同时,企业在运用该方法中通过深入开展一次排查、研究制定一组清单、建立健全一套体系、持续营造一种合规氛围的合规方针,将ISO37301:2021《合规管理体系要求及使用指南》与GB/T 35770-2022《合规管理体系要求及使用指南》的要求内化为企业合规管理体系建设的需要,体现了企业合规管理的全面性,并通过“N个专项合规计划”针对性的建设,确保了合规信息的准确和时效,实现了企业业务发展与合规管理的有效融合。另一方面,“6+N”合规管理体系建设方法通过“6大体系”的合规基础建设工作与“N个专项合规计划”特定化合规信息梳理,为企业合规管理体系建设奠定坚固基石,避免无效、重复、多头建设问题。
(二)符合企业合规贯标认证的要求
合规贯标认证可以帮助企业提升社会信誉与公信力,塑造良好的社会形象,有利于反向促使企业提升内部管理水平,并且增强商业伙伴的信任,提高商业信誉。一方面,合规组织体系实现合规管理组织与职责层面的优化,确定合规管理领导方针;合规制度体系实现合规制度流程层面的优化;合规决策体系实现合规治理层面的优化;合规人员体系实现合规人力资源管理的优化;合规责任体系实现业务层面内控风险的优化;合规运营保障体系实现企业合规文化管理的优化,通常来讲,6大体系的建设过程在贯标中可通过四级文件(管理文件、程序文件、制度文件、记录文件)进行台账式收集处理,在进行体系建设中也就一并梳理了认证申报资料的内容,提高合规认证效率。另一方面,从“N个专项合规计划”中归纳整理出企业需要认证的业务范围和重要领域,以满足认证机构聚焦于企业具体业务领域开展合规认证的工作要求。
如上文所述,在具备“6+N”合规体系建设架构之后,通过什么样的路径开展具体的工作呢。笔者建议可以分为四个步骤按阶段完成:
第一步:排查诊断企业面临的现实合规环境
一个成熟的组织往往具备一套契合自身的合规风控管理体系,同时也会设置独立的或分散的合规、风控、人力、法务部门或人员对各项业务流程及制度文件,进行把控和审核。由于组织所处行业领域、专业技术、生产规模、市场要素、发展阶段、创新空间、监管力度的不同,对合规体系的建设有不同的认识和需求。同时受限于各方面因素,既有的企业管理体系、管理规范或规章制度可能存在要素不完整、未得到有效执行的情况,因此,在合规管理体系建设之初,需要对企业面临的现实外部环境进行合规排查与诊断,并根据结果确定后续合规建设重点和方案。排查诊断可以参照42号文、《企业内部控制应用指引》和6大体系建设内容分别设计排查诊断的内容。
第二步:识别合规义务确定合规范围
合规义务的识别是合规管理体系建设的前提,只有正确识别了需要履行的义务,才能全面、准确梳理合规风险。对于合规义务的识别是建立、制定、实施、评价、维护和改进合规管理体系时的重要依据。
合规义务是企业在建立、制定、实施、评价、维护和持续改进管理体系时必须遵守的规则和准则,包括强制性合规要求(宏观/外部),以及自愿性合规承诺(微观/内部)两个层次。前者主要包括法律法规、部门规章、地方性法规、地方政府规章、地方政府部门监管规定、行业准则等外部规范所确定的义务,此类义务具有强制性、不可选择性。后者是指各类合规义务主体为满足所在区域、行业、市场的要求主动制定的内部规范,包括:章程、自愿承诺、廉洁承诺、管理办法、保密制度等。在该步骤的工作内容中,企业应根据自身规模结构和运营模式的方式来确定与主责主业相关的合规义务。实践中,怎么将合规义务设计的外法转化为内规,是合规从业人员或合规律师应当着重研判的内容,不能简单的照搬照抄,而需要紧扣六大体系内容,将外法在责任机构、人员要求、权利义务方面的内容吸纳入内规规定之中。确定合规范围中的合规义务主体还需要特别注意集团化管理的组织中,下级组织对合规义务的遵守和内规的执行,不能简单沿用和直接适用上级企业或集团的合规义务,而应该识别本级组织特定合规义务范围。
第三步:合规风险的识别与管理
合规管理的核心就是对合规风险的控制,因此合规风险识别与管理是整个合规管理体系的重中之重。在此步骤工作中,企业可通过使用岗位职责清单中的岗位合规要求和岗位权责划分以及合规风险表现形式对主责主业领域所设置的业务流程进行分析,识别重点岗位和关键业务流程的合规风险,然后对已识别出的风险依照对企业合规管理工作总体目标、业务发展目标的影响程度及发生频次进行量化评估,分析其违规后果及影响,整理确定合规管理的优先顺序,对企业潜在合规风险进行分类分级管理。实务中,还需要注意合规风险管理与法务风险、内控识别、风控管理进行融合,可以优化和交叉设计统一的流程或表单,整合不同体系的共同点,突出差异点,形成一体化的风险识别管理清单。
第四步:合规管理有效性评价
在完成合规运行环境的排查诊断、合规义务识别与范围划定、合规风险识别与管理的基础上,企业可围绕合规管理体系要素全面性和运行有效性两个方面对自身合规管理体系的有效性进行评价。有效性评价可采用问题导向的模式,以法律法规、政策要求以及ISO37301:2021《合规管理体系要求及使用指南》与GB/T 35770-2022《合规管理体系要求及使用指南》要求为标准,对企业合规管理组织体系、制度体系、决策体系、人员体系、责任体系、运营保障体系以及专项合规计划进行考评检查。实务中,可以在合规管理机制中以样本检查、专项测试、统计分析、运行报告等工具对“6+N”的合规体系建设成果实施检测,发现既有合规管理体系建设的待提升内容,作为合规管理体系建设的后续工作目标。
各级企业都在试图追寻和探讨组织如何建立起合规管理体系的基础设施,能在企业的业务领域中贯彻和执行合规经营底线。“6+N”合规管理体系建设方法为企业提供了一套建设实践的路径,其出发点和落脚点在于能够保障企业合规管理体系建设成果满足法律法规、政策文件以及符合ISO37301:2021《合规管理体系要求及使用指南》、GB/T 35770-2022《合规管理体系要求及使用指南》的要求,又为企业实现业规融合,切实防范化解合规风险提供有效的支撑。
[注]
[1] 《关于推动落实中央企业法制工作新五年规划有关事项的通知》:二、全面落实新五年规划各项重点任务 (四)大力加强企业合规管理体系建设。
[2] 《中共中央关于进一步全面深化改革 推进中国式现代化的决定》:二、构建高水平社会主义市场经济体制 坚持致力于为非公有制经济发展营造良好环境和提供更多机会的方针政策。制定民营经济促进法。深入破除市场准入壁垒,推进基础设施竞争性领域向经营主体公平开放,完善民营企业参与国家重大项目建设长效机制。支持有能力的民营企业牵头承担国家重大技术攻关任务,向民营企业进一步开放国家重大科研基础设施。完善民营企业融资支持政策制度,破解融资难、融资贵问题。健全涉企收费长效监管和拖欠企业账款清偿法律法规体系。加快建立民营企业信用状况综合评价体系,健全民营中小企业增信制度。支持引导民营企业完善治理结构和管理制度,加强企业合规建设和廉洁风险防控。加强事中事后监管,规范涉民营企业行政检查。
[3] PDCA 循环理论又称戴明环法, 是全面质量管理所应遵循的科学程序。全面质量管理活动的全部过程, 就是质量计划的制订和组织实现的过程, 这个过程就是按照PDCA 循环周而复始地运转。PDCA 循环不仅适用于质量管理体系, 也适用于一切循序渐进的管理工作。PDCA 循环理论以阶段性划分管理, 包括计划(Plan)、实施(Do)、检查( Check)、处理( Action) 4 个部分 。ISO37301:2021《合规管理体系要求及使用指南》的建立运行基于PDCA的理念搭建,将质量管理的PDCA循环的四个阶段,即计划(plan)、执行(do)、检查(check)、处理(action),也运用在了合规管理体系。
转载自北京市中伦律师事务所 罗洪川,樊俊贤
上一篇:已经是第一篇下一篇:管理人在破产案件中的履职智慧
本文2024-10-24 06:55:44发表“律法实务”栏目。
本文链接:https://www.cmprt.cn/article/2c680e016d5ee677.html
您需要登录后才可以发表评论, 登录 或者 注册
最新文档
最新实务
