中国企业如何开展合规管理体系有效性评价
中国企业如何开展合规管理体系有效性评价
前言
在百年未有之大变局背景下,中国企业面临的国内外运营环境和风险挑战日趋复杂严峻,国际竞争越来越体现为“规则之争”“法律之争”,企业只有谙熟规则,诚信合规,方能行稳致远,真正实现成为世界一流企业的目标。近年来,中国企业对合规的认识正在不断深入,观念也逐渐从“要我合规”的被动遵守转变为“我要合规”的主动推进。目前,我们注意到大部分中国企业已系统建立了合规管理体系,但是不同企业的合规管理方式不尽相同,每个企业合规管理体系的建设、运行情况也千差万别。究竟企业合规管理体系搭建之后能不能有效运行?能否帮助企业有效控制防范合规风险、能否实现企业的合规管理目标?这是当下每一个“合规管理进行时”的企业都需要思考和面对的问题。
近年来,中国企业主要依据国务院国资委《中央企业合规管理办法》及早期发布的《中央企业合规管理指引(试行)》、国际标准化组织(ISO)发布的ISO 37301:2021《Compliance management systems - Requirements with guidance for use》(以下简称“ISO 37301”)及早期的ISO 19600:2014等来搭建企业内部的合规管理体系。但如何评价合规管理体系的有效性,目前尚没有特别统一、明确的方法论和评价标准等。中国企业评价协会发布的《企业合规管理体系有效性评价指引》、中国中小企业协会发布的《中小企业合规管理体系有效性评价》、多部委联合发布的《涉案企业合规建设、评估和审查办法(试行)》等为企业开展有效性评价提供了参考。
我们在深研国际上成熟的合规管理体系有效性评价方案的基础上,结合我们开展企业合规管理体系建设业务的实践经验和商业管理认知,融合国资委监管要求和ISO 37301国际标准等,创造性地形成了符合中国企业实际、对标国际一流的有效性评价方案、流程和标准体系,以此协助企业发现和纠正合规管理活动中存在的问题,真正让合规管理“落地”发挥实效。我们将通过本文,初步梳理总结开展有效性评价工作的基本思路和流程,为企业开展合规管理体系有效性评价及专项评价提供参考。
一、什么是“合规管理体系有效性评价”?
近几年,“合规管理体系有效性评价”这一概念被广泛提及,实践中虽对其用语和表述不尽相同[1],但表达含义和目的是一致的。综合相关规定,我们认为“合规管理体系有效性评价”是指企业根据监管要求或参照相关标准、依据,对企业合规管理活动及其所发挥的实际效用进行评价的行为。
企业建立合规管理体系并经过一段时间的实际运行后进行有效性评价,旨在提升企业依法合规经营水平,其具体目标包括:(1)评估合规风险防控效果;(2)识别合规管理工作中存在的问题;(3)促进合规管理体系改进优化;(4)推进合规管理工作落地;(5)明确未来合规管理工作方向。
二、为什么要开展合规管理体系有效性评价?
开展合规管理体系有效性评价,是中央企业合规管理必做工作之一。《中央企业合规管理办法》明确规定“中央企业应当定期开展合规管理体系有效性评价,针对重点业务合规管理情况适时开展专项评价,强化评价结果运用”,此项规定正式将合规管理体系有效性评价纳入中央企业必须贯彻落实的合规管理工作事项之一。此外,中央企业如果因合规管理不到位而引发违规行为,或者应当发现但未能发现违规问题的,将可能面临责任追究。而有效性评价能够帮助企业提前发现合规管理问题,堵塞合规管理漏洞,从而大大降低中央企业及其领导人员被责任追究的可能性。
开展合规管理体系有效性评价,是企业合规管理体系的内在要求。无论是《中央企业合规管理办法》或ISO 37301国际标准[2]、国标GB/T 35770-2022[3],都将有效性评价作为合规管理体系建设内容的重点之一,并将此项要求在规定、标准正文中加以明确。在理论上,有效性评价是合规管理体系中必不可少的一个组成部分,如缺少评价机制,则合规管理体系本身是不全面、不完整的,企业的合规管理实效也会大打折扣。
开展合规管理体系有效性评价,是优化企业合规管理体系的必由之路。合规管理体系有效性评价的核心是通过对企业的合规管理体系进行全面性评审、反馈、再评审的过程,从而得出合规管理体系运行是否有效的评价结论,发现和报告企业在合规管理体系建设和运行中的问题和差距,找出合规管理体系的改进方向,促进企业合规管理体系的完善。因此,有效性评价对合规管理体系的改进优化具有十分重要的意义,也是企业合规管理体系走向世界一流实践的必由之路。
开展合规管理体系有效性评价,是企业获得合规管理体系认证的重要基础。2021年4月国际标准化组织发布的ISO 37301:2021代替ISO 19600:2014《合规管理体系 指南》标准[4],并且由原来的B类标准变更为可认证的A类标准,由此开启了合规管理体系认证之路,一张“合规管理体系认证证书”成为企业“诚信合规”的最佳凭证。经过认证的企业合规管理体系,其有效性、先进性将更具说服力,也更易得到国内外监管机构和商业伙伴的认可。企业是否建立该项机制并定期开展有效性评价是认证机构评审中的一项重要指标,如企业缺失该机制或未开展过评价工作,则企业的合规管理体系将难以被认证通过。
三、如何开展合规管理体系有效性评价?
合规管理体系有效性评价工作的具体开展,一般包含如下主要环节:组建评价工作小组、制定评价实施方案、设计有效性评价指标、收集审阅文档资料、现场调研与验证、对标与分析、编制有效性评价报告等。
1. 组建评价工作小组。企业可以聘请第三方或者自行组织开展合规管理体系有效性评价工作,组建成立评价工作小组,并明确负责人。企业应确保评价工作小组具备独立开展有效性评价工作的职权,并提供必要的资源保障,评价小组各成员也应具备相应的履职能力和实践经验。
2. 制定评价实施方案。项目正式启动前,评价工作小组应制定具体实施方案,明确评价的目的、范围、内容、流程、分工、要求、关键时间节点等内容。提前制定实施方案,有助于评价项目的顺利开展,并帮助企业获得理想的评价结果。
3. 设计合规管理体系有效性评价指标。评价工作开展的一项前提是明确评价的依据和标准,确定一套既符合国内监管要求、符合国际标准,又与企业自身高度匹配适用的评价指标体系,是评价工作开展的重要基础。
在评价指标体系的设计上,我们在参考美国《组织量刑指南》(Sentencing Guidelines for Organizations)及美国司法部《企业合规方案评估》(Evaluation of Corporate Compliance Programs)等评估实践的基础上,结合中国企业,特别是中央企业建立合规管理体系的实际,将评价指标体系划分为纵向和横向两个维度,纵向上主要包括“组织架构、制度体系、运行机制、合规保障、其他”等要素,横向上主要包括“设计、执行、效果”等要素。特别说明,在上述评价指标体系中,具体指标并不固定,需根据企业实际情况和项目需求量身定制,在实践中倾向于使用具有较强弹性的评价指标,在充分考虑评价的阶段性特征的同时,也要兼顾评价深度和实操性、评价重点和全面性的平衡。
4. 收集审阅文档资料。评价工作小组应全面收集合规管理体系建设、运行相关的文件,包括但不限于公司规章制度、合规管理政策和流程、其他相关合规文件、合规管理和运行的工作记录或证明材料等,为分析评价工作做好准备。
5. 现场调研与验证。基于文档资料收集信息工作,评价工作小组应进一步通过调查问卷、调研访谈、实地走访、个人访谈、测试验证等各种成熟调研方法深入挖掘信息,对合规管理体系进行全方位调研和验证,并将调研和访谈中涉及的重要事项进行记录,利用表格、矩阵等方式,客观、准确地反映企业当前合规管理体系设计及运行状态,为编写合规管理体系有效性评价报告提供信息支撑。
6. 对标与分析。针对前期调研和验证过程中形成的评价信息和结果,评价工作小组应将其与评价指标体系进行全面对标和分析,查找出企业在合规管理领域存在的漏洞、不足或问题。
7. 编制有效性评价报告。最终合规管理体系有效性评价的结果以书面报告的形式呈现,报告的内容一般包括:(1)评价的总体开展情况、依据、范围、程序和方法等;(2)企业合规管理体系现状;(3)评价结论;(4)企业合规管理体系存在的问题;(5)针对问题的改进完善建议或方案等。
四、如何开展重点领域合规专项评价?
为了及时发现特定领域的合规管理问题,协助企业防范重点领域的合规风险,企业应对重点业务领域合规管理情况开展专项评价。
一方面,随着企业合规管理的普及与深入,“管业务必须管合规”的要求也更加明确,企业在建立合规管理体系后,合规工作重点也将必然会向重要业务领域进一步延伸。针对中央企业而言,《中央企业合规管理办法》也明确规定中央企业应当针对重点业务合规管理情况适时开展专项评价。另一方面,企业在经营管理和发展过程中,往往会因特定领域的不合规行为,引发一些与行业、企业特点相关的重大风险事件,甚至面临严重的行政处罚或刑事责任等。例如,数家互联网巨头都曾因反垄断、数据安全等违规行为而被罚款近百亿元。
基于此,为了保障企业的长久稳定运营,针对重要业务领域或风险高发领域开展合规专项评价就十分有必要。专项评价可以与合规管理体系有效性评价同时开展,也可以单独开展。合规专项评价的工作方法和流程,与合规管理体系有效性评价基本相似,均包含以下主要环节:组建评价工作小组、制定评价实施方案、设计评价指标、收集审阅文档资料、现场调研与验证、对标与分析、编制专项评价报告等。但相比而言,专项评价更侧重深度,专业性更强,与业务贴合更密切,在具体工作时,应重点关注如下事项:
1. 评价人员方面,评价小组成员除包含企业或第三方的合规专业人员外,特别是针对网络安全、数据保护、医疗、海关贸易等技术性、专业性较强的领域,相关领域的专业律师、专家或技术人员也应当共同参与。
2. 评价依据和标准方面,除企业建立合规管理体系依据的ISO 37301或《中央企业合规管理办法》外,企业开展专项评价时应重点关注该专项领域特有的评价依据、标准或规范性文件等。如反商业贿赂专项评价中,企业可以重点参考ISO 37001《反贿赂管理体系 要求及使用指南》;在生态环保专项评价中,企业可以重点参考ISO 14001《环境管理体系 要求及使用指南》;在网络数据及个人信息安全专项评价中,企业应重点关注GB/T 35273-2020《信息安全技术 个人信息安全规范》《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》等更为具体的规范性文件。
3. 评价内容方面,一方面需要评价企业在该专项领域的合规管理情况,如企业的合规管理体系能否全面覆盖被评价的专项领域、企业的合规管理要求在该领域是否得到了全面贯彻落实。具体评价内容包括合规人员配置、人员履职,管理制度的制定及执行落实情况,合规管理运行等。另一方面,重点领域的专项评价应深入到企业的经营管理行为中,具体分析并判断企业相关经营管理行为是否存在合规风险或违法违规情形,针对常发的合规风险是否采取了有效的风险防控措施,针对企业自行发现的违规问题,是否采取了有效的整改措施等。
4. 评价结果方面,重点领域的专项评价同样以评价报告的方式呈现,但同时也会具体阐述企业在该领域存在的具体问题,如:在安全生产专项评价中,企业未如实记录安全生产教育和培训情况;未定期组织事故应急演练等,并结合企业发展运营实际,提出可行的解决建议。
结语
开展合规管理体系有效性评价,对中国企业合规管理体系的完善和优化具有重要意义。基于国资委《中央企业合规管理办法》和ISO 37301的要求,企业,特别是中央企业更应重视有效性评价工作,并严格按照要求落实相关规定,积极开展合规管理体系有效性评价,针对重点领域合规管理情况适时开展专项评价。针对评价中发现的问题,通过健全规章制度、优化业务流程、采取有效风险防控措施等方式,及时优化整改,确保合规管理体系的有效运行,最大程度地实现企业合规管理目标,为企业长久稳健发展保驾护航。
[注]