国际标准化组织(ISO)在2014年12月发布国际标准ISO19600《合规管理体系—指南》其中明确规定:组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。这是国际上比较规范的关于合规管理领域的标准化文件。
我国,此办法于2022年10月1日起实施。作为我国第一个合规管理方面的规章,这个办法的出台对于我国企业的合规发展具有里程碑的意义。
国务院国有资产监督管理委员会在2022年8月印发《中央企业合规管理办法》明确规定:“合规是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。降低企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。”
同时,《办法》规定:“企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。”
在内容上,企业的合规既包括法律法规、行业准则、监管制度、国际通用规则、商业惯例等外部规范要求,也包括企业章程、企业基本制度、业务指引、操作规范等内部制度。
在形成上,企业的合规具有内生性、内化性和适配性。
首先,内生性体现在将企业业务经营及管理过程中有效、有益、有用的经验、做法、惯例、操作流程、运行模式或管理要求等内生为“规”,规制企业和员工的经营管理行为。
其次,内化性体现在外规内化,一方面将法律法规、监管制度、行业规范、准则等内化为内部制度,另一方面内生的“规”要符合法律法规、监管制度等国家强制性、指导性规范要求。
最后,适配性体现在企业的“规”需要与企业性质、行业、战略、发展、规模、结构、运营等内外部实际及环境相适配。
在效果上,合规具有特定性、目的性和系统性。
首先,特定性体现在企业的“规”具有特定对象、特定范围、特定活动等方面的针对性和指向性,以企业和员工经营管理行为为规范对象,以企业经营管理为特定范围,适合有计划、有组织的企业组织活动。
其次,目的性体现在合规是以防控合规风险为主要目的,指引企业和员工规范、有序、安全、有效、稳定、高效、有价值的开展经营管理活动。
最后,系统性体现在合规是一套运营管理体系和系统,包括规范建立、执行、监督、评价等全方面管理活动。
合规确保企业和人员经营管理和行为符合“规”的要求,并建立一套合规管理体系,防控合规风险,但合规侧重于建立标准和规范、发现问题、识别风险、合规评价等方面,处于风险的前端预防、控制和管理,注重结果评价,不能从实质上、根本上解决风险问题。
合规管理的主要功能是防控企业法律风险,避免因行政处罚或者刑事责任追究而导致企业被剥夺经营资格,遭受严厉处罚。
合规管理对于企业来说具有促进企业稳健经营运行、防范违规风险、规范员工行为、防止决策失误、减少生产安全方面出现的问题等重要意义。
合规管理是一种通过体系化操作方式管控企业主体运行中违规风险漏洞的综合管理方法。是以企业主体的适用法律法规为基础覆盖至完善的商业道德与价值观的建设。合规管理强调适用性,也就是合规管理体系要适用于企业,每家企业的合规体系都应该符合企业自身所具备的行业特征与文化特征。
1、外部法律法规的变化导致企业某些原本不受限的行为,随着新法律的颁布变得不合规了,因此需要建立管理流程以识别这种变化,防范企业合规风险;
2、因竞争者、客户、供应商等不当行为给本企业带来合规风险;
3、监管部门、执法部门要求本企业建立和执行合规管理体系;
4、监管部门、执法部门对已建立合规管理体系的企业及高管实行正向激励;
5、投资者要求本企业建立合规管理体系;
6、外部审计师要求本企业建立合规管理体系;
7、合规管理成为一种市场准入门槛,没有合规体系将限制企业的某些市场行为。
1、企业内部员工为自身利益有意违规或不作为导致合规风险发生;
2、企业员工自身能力和认识不足,无意识犯错,产生合规风险;
3、企业内部代理人的放任、作假等行为,导致合规风险发生;
4、企业内部设备、存货的物理或化学特征,导致资产、事故等合规风险。
1、保障企业合法权益:企业合规是一种管理方法,是确保企业能够达到合规目标,实现稳健经营的有效手段。企业合规建设不但有利于保障企业稳健经营运行,有效防范违规风险,也可以避免被别有用心之人损害企业权益,是企业保障自身合法利益的有力手段。
2、促进与大型企业商业合作:随着大型国企、外资企业的合规体系建设基本完成,很多已经完成合规建设的企业都在加强对商业伙伴的合规管理要求。合规已经成为和这些大型企业合作的基本条件,如果未达到这些大型企业的合规要求,将会在合作过程中承受巨大的损失。因此,合规体系建设更加有利于企业在竞争中脱颖而出。
3、为上市和上市后管理提供支持:合规管理是一种体系化的管理方法。对于有志于上市或上市后良好运行的企业,合规可以提供很好的帮助。避免很多企业临近上市之时发现很多难以解决的旧有问题,或者根本无法符合上市条件的情况。对于上市之后的企业,面临的监管更加复杂,也需要有更好合规管理支撑。
4、在刑事、行政责任中保护企业、企业家:对企业或企业家涉嫌刑事犯罪、行政违法行为,现有相应的合规激励,可以做到对企业、企业家不起诉、减轻从轻或免予处罚,但是这需要企业能够切实拿出有效合规管理的证据。通过合规建设可以让企业这方面的证据保留,以便获取相关合法权益。
5、树立企业良好文化形象:合规可以促使公司形成廉洁、诚信、正直的企业文化,大大减少企业内部的管理成本,避免内部腐败、欺诈等现象发生。合规可以树立企业的良好形象,减少对外交流阻碍。企业可以通过ISO 37301标准认证等方式来展示自身良好的合规基础。
6、便于企业获取补贴、奖励:企业通过完善的合规体系建设,在获取行政补贴、奖励的时候,更加容易获得监管部门的认可和接受,避免监管部门的疑虑。同时通过合规管理,在准备相关申请材料中能够做到更多有效展示。
国务院国资委于2022年8月23日出台的《中央企业合规管理办法》大致包含以下几点:
以制度建设构建合规体系突出合规管理重点领域,在合规管理基本制度要求构建分级分类合规制度体系。以制度建设取代以往的合规管理重点,并且规范制度体系的构建逻辑,合规重点领域的制定专项指南。
合规管理,管理为重——合规人员要有灵活运用管理经验的能力,随时间加强、加深、拓宽管理。并不是机械的遵循指引。
运行机制:企业首先设立风险识别预警机制,建立并且定期更新合规风险库,同时将风险嵌入业务流程,在流程中进行合规审查。
及时建立应对措施,并向相关合规部门报告,企业遇到重大合规风险事件,需要首席合规官报告国资委,一般事件由合规管理人员向首席合规官报告。同时设计相关举报平台,并发挥法务、风控、内控的协同机制,提高管理效能。
建立定期开展合规管理体系有效性评价机制,重点专项评价机制,评价结果用于合规管理体系的改进、完善。
针对违规行为,需要建立相关的规则问责机制,包括责任范围,问责标准,根据违规行为要纳入考核。
1、加强公司的合规意识,建立起公司的合规文化与价值。当前国内企业合规工作面临着挑战,经济全球化对中国公司合规的要求越来越高。管理层要加强对公司合规管理的理解与认识并广泛宣传,要让合规的观念和意识渗透到公司经营管理的每个环节。公司要把对员工进行合规教育与培训作为职业培训的主要内容之一,让合规的观念与意识普及到每位员工,在公司上下建立起完整的合规文化与价值体系。
2、建立健全公司内部的各种规章制度。结合本公司实际情况,建立一套能够落地的、有效率的、能够被广大员工认同的管理制度、机制与体系。其中最重要的一点,就是如何形成有效的管理架构,特别是要理顺合规部门与相关部门的关系。采取分工负责、齐抓共管、协同联动的方式,来解决公司运营中出现的问题。公司要把恪守商业道德,遵守法律法规,完善合规管理体系作为公司管理的目标。财务管理制度、用工管理制度、合同管理制度、审计监督管理制度等要统一纳入公司运营的具体流程中。公司要注重各个制度之间的衔接,真正做到法商融合,在开展业务的过程中,合规管理和业务紧密结合。将各个合规管理的节点纳入整个业务流程之中,一方面可以减少人为因素的干扰;另一方面也可以节省时间成本,使合规管理工作顺利进行。通过一系列公司规章制度的建立与实施,真正做到制度管人,人人合规,事事合规,有效避免、减少、及时应对公司在经营管理中的各种风险。
3、建立和完善公司内部的考核机制和监督检查机制。公司要逐渐完善考核机制,增加合规和风险考核的内容,实行效率与安全并重。如果一味地追求业务指标,而忽视合规和风险指标,毫无疑问会增加公司的运营风险。一旦风险发生,势必增大公司的运营成本。业务指标和合规指标并重的考核机制,才是完善的公司考核机制。合规风险的有效管控应与公司主要领导及管理人员的个人考评挂钩,真正做到合规管理责任到人。为避免违规行为再次发生,公司要建立起完善的监督检查制度及违规罚则,要建立起严格的责任追究制度。要明确审计部门与其他部门之间的职责划分,各负其责。在公司日常运营过程中,对于不合规的公司管理人员、员工,公司要及时予以纠正、处罚。上述制度的建立和实施,不仅可以罚当其则,增强相关人员的合规意识,而且也能够对公司的其他管理人员和员工起到很好的警示作用。
ISO37301:2021《合规管理体系要求及使用指南》是由ISO/TC技术委员会编制,于2021年4月发布和实施,适用于全球任何类型规模性质行业的组织。
而ESG是从环境、社会和公司治理三个维度,评估企业经营的可持续性与对社会价值观念的影响。
ISO37301规定了组织建立运行保持和改进合规管理体系的要求,并提供实用指南,为各类组织提高自身的合规管理能力提供系统方法。采用PDCA理念覆盖了合规管理体系建立、运行、保持和改进全流程,基于合规治理原则为组织建立并运行合规管理体系,传播积极的合规文化,提供了整套解决方案。
ESG评级的工作流程主要由三部分组成,一是数据采集和信息归纳,二是指标设置、评分评级和形成评级结果,三是将评级结果指数化,从而形成服务投资的产品。
合规管理体系与ESG评价体系是相辅相成的,2022年6月1日起正式实施的国内首个企业ESG披露标准内专门有关于合规管理的部分,如供应商管理、商业道德等内容,均可与将ESG与合规管理做出相关连接。
企业在确定合规重点领域时,可以先对本企业面临的各类风险进行优先级排序,将(1)风险较大的业务活动、(2)治理层所关心的重要领域以及(3)经营管理活动中面临的首要问题作为合规重点领域。
在划定合规管理重点领域范围的基础上,对于合规风险高、影响范围大、合规管理空白的领域应优先制定完善合规管理制度及管控措施。企业应根据风险识别情况结合企业类型、所处行业等因素确定符合企业合规管理要求的其他重点领域。
企业应建立定期的合规风险识别评估机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,并进行分级分类管理。对于典型性、普遍性、可能产生严重后果或影响范围大的风险应纳入合规重点领域并及时发布预警。
合规《行为准则》主要是指员工在日常经营行为中应遵守并满足坚持诚信合规、维护公平竞争、防止腐败贿赂、禁止内幕交易、回避利益冲突、保守商业秘密等方面的合规要求。
合规《行为准则》是纲领性文件,在合规体系中有着类似“根本法”的独特地位。它对所有合规相关工作都具有指导性,对组织的全体成员都具有约束力(包括管理层,员工,甚至供应商等)。
因此,在制定《行为准则》时组织应综合考虑企业文化、核心价值观、公司业务范围等内部因素,同时还应认真研究行业情况,相关法律法规政策等外部环境,在内容中还应体现出公司最高管理级别的合规态度、承诺和要求,以及相关违反的处理、后果等。
合规行为准则在合规制度体系中占据着重要地位。
合规管理制度总体上包括两部分:管理规范和行为规范。前者主要体现为合规工作管理办法及配套实施细则,具体内容是明确部门及其职责、具体工作内容和要求、相应奖惩机制等等。后者主要是作为行为总规范的合规准则及重点领域的合规指引文件等。
所以也可以说,合规行为准则是合规管理制度体系的一部分!
外规内化是指将外部有关合规要求转化为内部规章制度的一种行为。要求企业动态、及时更新完善企业规章制度,按照合规管理的要求,不断完善以企业章程为核心的企业制度体系。
企业根据外部法规环境变化的情况,不断修订完善企业规章制度是企业外规内化的关键环节,企业应把梳理的内外部合规要求落实在具体的规章制度中。
企业在运营过程中对于存在的或可能发生的风险源进行分析、研判,并收集整理、辨别对应的风险事件或所有风险点,形成合规风险列表,并对风险列表加以描述、评估,以进一步对合规风险进行监测和控制的系统性活动就是风险识别活动。
企业的风险识别活动是企业合规体系建设的基础性条件,反过来说,合规管理活动主要是针对识别出来的风险点来进行控制的。
合规风险的识别以合规义务为基础,合规风险识别、风险更新应从风险发生可能性、风险发生后果严重程度两个维度进行,通过收集梳理相关合规风险点、分析合规风险形成或产生的原因、对合规风险进行分类评估。
(1)头脑风暴法。是将一些人聚集起来,通过彼此的沟通交流、想法、建议、意见的表达等让大家的思想发生碰撞,为团队工作找出问题和机会,从而产生 1+1>2 的效果。
(2)专家调查法。会有相应的风险小组,挑选一些相关领域的专家,征求专家的意见,然后综合汇总整理再反馈给专家,再次征求意见,反复进行4~5轮,最终专家们的意见会趋于一致,达成共识。
(3)情景分析法。通过对公司内外相关问题,进行系统分析,设计出多种可能的未来情景。基于设计的场景识别关键影响因素,基于该因素可能发生的场景,进行场景内容的分析,进而发现风险可能造成的后果。
(4)核对表法。将项目范围、目标、成本、质量要求、进度、类似项目成功或失败的原因等列在一张表上,进行一一核对。这种方法可以识别到进度风险、成本风险、质量风险等。
(5)流程图法。流程图需要建立项目的全链路流程图以及各子域流程图,可涵盖项目的整体流程以及分支细节。再通过将实际情况与流程图一一对比,便可识别风险。
(6)财务报表法。通过分析三大财务报表可以识别项目中是否存在财务风险、人事风险等,这些对企业来说都是至关重要的。
(7)SWOT分析法。SWOT分析法是一种系统分析工具,通过识别企业面临的优势、劣势、机会以及成本,从多角度对公司面临的风险进行定性识别。
(8)事故树分析法。是系统安全分析中最重要的定量分析方法之一,运用逻辑推理对企业各种系统的危险点进行辨识和评价,不仅能分析出发生事故的直接原因,而且能深入地揭示事故发生的潜在原因。
合规联席会议是指企业为充分沟通合规风险信息,由合规管理负责人负责召集和主持,并联合多部门围绕合规风险内容,通过定期会议等形式研究、协商、指导、共享、部署跨部门的合规管理各项工作的会议。
合规联席会议不是一个决策机构,而是一个沟通机构,通过定期召开联席会议的方式,将多个涉及合规的部门集中在一起,就合规管理中出现的问题进行统一协商、共同研究、征求意见、工作协调的一种机制。
合规联席会议的讨论结果,为企业合规体系的建设、完善、优化提供依据,是合规管理的重要一环。
第一,确定联席会议的参与部门及人员名单。一般来看,涉及到企业管理各个层面的部门以及相关高层领导都属于合规联席会议的成员。但是企业可以根据每次合规主题的不同,选择不同的部门与人员参与某次联席会议。
第二,明确联席会议的主要职责。由于联席会议主要是讨论、协商、参谋机构,联席会议的名称也大致表明了联席会的主要职责中没有决策。因此,联席会的主要职责应该将除决策之外的其他职责明确出来,这样参与部门与参与人员在会前都会有所准备。
第三,明确联席会议的工作规则。由于联席会议的讨论、协商与参谋特征,因此联席会议的工作规则要根据这几类功能分别确定工作规则。需要注意的是,联席会议的工作规则包括会议规则与休会规则。其中,会议规则是会议召开过程中对相关合规问题讨论、协商的基本程序与过程。休会规则是在未召开会议期间,各个参与部门与成员应该承担的相关责任。
第四,确定各部门合规工作职责范围,加强协同配合。应该说,企业不同部门在联席会议中的职责范围是不同的,业务部门、风控部门、法律部门都应该在各自合规工作范围内,确定自己在合规联席会议中的职责范围。
合规风险应对是指企业及各下属企业针对发现的合规风险制定风险控制预案,充分调动各相关部门要求其协同配合,采取有效控制措施,及时应对处置,最大限度化解风险、降低企业损失的行为。
合规风险应对主要有五种措施,包括:规避风险、降低风险、转移风险、接受风险、对冲风险等措施。
规避风险。是一种有意识的避免某种特定风险发生的一种决策。比如,如果一个人怕出门遇到车祸,那么就干脆不出门了。规避的风险在企业中属于重大风险,比如法律风险就如此,企业绝对不能做违法的事情。
降低风险。指采取各种措施减少风险实现的概率及经济损失的程度。这种行动可以在损失发生之前、之中和之后采取。还是举刚才那个案例,如果一个人怕出门遇到交通事故,但是又不得不出门,那么他就可以通过遵守交通规则、不闯红灯、不横穿马路等行为,降低交通事故发生的概率。
转移风险。指的是风险的承担者通过若干经济和技术手段将风险转移给他人承担。比如说企业如果认为持有一件资产存在贬值的风险,那么就会倾向于将资产卖掉。或者通过购买财产保险,以备将来发生火灾时,将风险转移给保险公司。
接受风险。指的是风险暴露者自己承担风险并以自身财产来弥补损失。这种选择可以理解为,明知道做这件事有风险,但是觉得自己可以接受这种风险,因此对这种风险的可能发生,并不采取任何应对措施。
对冲风险。指的是通过投资组合的多元化来分散投资风险。风险对冲的原则就是使整体风险最小而收益最大。
企业合规审查,是指为保证企业经营管理活动的合规性,对企业的经营管理活动是否合规进行审核检查,包括对违规整改、合规持续改进情况的审查。它不仅是执法机关、司法机关(我国现阶段主要是检察机关)在办理案件中,对企业合规整改情况考察的重要手段,更是企业在主动合规过程中,确保合规管理效果的重要内容。
合规审查虽然是执法机关、司法机关在办理案件中的主要手段,但是它与法律审查并不能完全划等号。二者的不同主要集中在:
(1)合规审查强调对企业经营活动的全面审查,其范围要远远广于法律审查,并包括法律审查;
(2)合规审查是对企业所有合规规范予以审查,但法律审查仅在法律法规实务领域审查。
合规管理应覆盖的重点环节主要包括制度制订环节、决策环节、生产运营环节以及企业认定的其他重点环节。
制度制定环节:主要包括制度体系能否覆盖企业的所有决策管理环节(全面性)、制度体系是否符合行业特征以及企业特征(适合性)、制度制定过程是否符合企业制度管理的要求(程序性)。
决策环节:主要指企业四会一层在决策过程中是否符合法定程序、企业决策事项(三重一大)是否清晰。
生产运营环节:主要是指生产运营过程是否符合制度管理中的程序要求、是否在作业中符合行业规定或者公司制定的作业标准。
其他重点环节:企业认为其他可能给企业带来重大不合规行为的环节,都应该制定相应的合规规定,并遵照执行。
企业合规管理的重点环节应覆盖企业合规管理的重点人员,主要包括决策管理人员、重要风险岗位人员、海外人员以及企业认定的其他重点人员。
专项合规管理制度是针对重点领域制定的管理制度,如反垄断合规制度、反腐败合规制度、数据保护合规制度、安全生产合规制度、劳动用工合规制度、税务管理合规制度等。
在全面合规体系建立之前,企业可以就本企业已经发生、或者可能发生、或者发生后影响较大的重点领域,单独建设合规管理体系,通过合规管理制度、合规管理组织的方式,予以控制,避免不合规事项的发生或者再次发生。
结合我国企业近年合规体系建设的实践经验,《合规办法》对于合规管理的内容有了更清晰的分类表达,包括“建立合规制度、完善运行机制、培育合规文化、强化监督问责”等方面。
建立健全合规管理制度,可以参考以下几项原则:
风险导向:合规管理制度建设的重点作用是规避风险,针对可能发生不合规的领域,建设基于风险管理的制度体系。因此也可以说,建立合规制度之前,首先就要识别与分析企业决策经营过程中的风险点。
公正公开:制度的建设就是要适合企业特征,另外还需要在企业内执行。因此制度制定前、制定中一定要公开征求各方面意见,不能搞私下主义、更不能搞一言堂,必要时还要征求外部专家的意见。在制度颁发后,更要公开制度,主动开展培训宣贯,推动制度的落地实施。
实用有效:企业制度一定要符合行业特征要求、更要适合于企业运营实际,因此一定要注意,在企业制度建设过程中不要照抄照搬,不能把其他企业的先进制度简单的搬过来,只有这样才能满足对企业管理的实用性与有效性。
通俗易懂:制度是给人看的,要能保证公司内大多数员工能够读懂制度、理解制度。因此编写制度的语言一定要通俗易懂、简单明了,让每位员工都能理解制度的具体要求与内涵。
适度合理:企业的风险是随时存在的,如果要在没有任何风险的情况下开展决策经营,那么企业为了控制风险的成本就会无限扩大,并不符合企业经营风险的基本原则。因此企业制度一定要适度合理,不能为了过分控制风险而无限制提高运营成本、降低决策效率。
与时俱进:与时俱进的意思是制度建设并不是建完以后就一直沿用下去,还应该根据外部的政策环境变化、企业内部的组织流程变革、企业管理水平的提高,不断的对制度进行更新与完善,这样才能符合企业合规管理的要求。
版权说明:本网站图片源于站酷海洛版权图片,已获得使用授权。网站内容未经许可,不得复制、转载及其他商业应用。