企业如何建设合规管理体系

  • 发表时间:2021-05-20 09:52:20

  • 作者:王唯宁、黄倩、周传青、史倩君

  • 来源:星来法律智引

  • 分享到:微信新浪微博QQ空间

2021年4月13日,《ISO 37301: 2021合规管理体系要求及使用指南》(以下简称“ISO 37301”)国际标准正式发布实施。这是继2014年《ISO 19600 合规管理体系指南》(以下简称“ISO 19600”)生效之后出台的更新替代标准。

ISO 37301作为最为广泛认可的国际标准,其对企业建设合规管理体系具有重要的指导意义,同时,ISO 37301作为A类可认证标准,有助于通过认证的企业在市场竞争中获取更多商业机会。

一、ISO及ISO 37301介绍

(一)ISO及ISO出具的文件效力

ISO(International Organization for Standardization)即国际标准化组织,是独立的非政府国际组织,是当前全球范围内最大的综合性国际标准化机构。ISO出具的文件类型主要有国际标准(International Standards)、技术规范、技术报告、公共规范、国际研讨会议和指南。其中国际标准,包括测试方法类标准、实践准则类标准、指南标准和管理系统标准等类型。与国内标准区分强制适用性标准(GB)与推荐适用性标准(GB/T)不同,ISO出具的国际标准不具有强制性。

ISO发布的公认的和使用最广泛的国际标准之一是管理体系标准(Management System Standards,以下简称“MSS”)。ISO 37301即属于可认证的国际MSS标准。

依据《ISO Guide 72:2001管理体系标准的论证和制定指南》,MSS可分为三种类型:

(二)ISO文件对中国及中国企业的影响

虽然ISO文件不具有强制约束力,但由于ISO是世界上最大的综合性国际标准化机构,其制定的国际标准已经被各国广泛采用,或者通过转化为国内标准应用于生产实践,使得其在标准领域具有事实上的影响力。标准已经成为国际贸易游戏规则的重要组成部分,特别是在我国促进高水平开放、推动“一带一路”建设和中国企业加快“走出去”的当下,ISO标准对我国及我国企业的影响更加关键。我国企业必须积极采用国际标准,才能在国际竞争中处于优势地位。

(三)ISO 37301的制定背景与更新

在国际环境更为复杂的形势下,合规已经成为企业等各类组织安全、健康发展的重要条件,世界市场对合规管理的需求应运而生,国际组织积极共建合规文化。近两年,世界范围内的各个国家和地区之间建立起更为密切的互联互通,企业等各类组织在国际贸易、交流及合作等交往中发挥着重要作用。为适应全球化趋势下合规发展的现实需求,引导各类组织加强合规管理工作,确保国际交往活动健康发展。2018年年底,ISO组织开启对ISO 19600的修订工作,历时两年半,推出了ISO 37301。

二、ISO 37301对中国企业的意义

在企业合规领域,ISO 19600属于B类管理体系标准,仅就企业合规提供指南,不可用于企业合规的相关认证。新发布的ISO 37301作为A类管理体系标准,可以作为各类组织自我声明符合的依据、认证机构开展认证的依据、政府机构监管的依据以及司法机关对违规企业量刑与监管验收的依据。因此,相较于过去沿用的ISO 19600,完成ISO 37301认证可以更加有助于企业获得以下优势:

一是提升企业管理水平,助力企业稳定开展生产经营活动。企业按照ISO 37301的要求建立合规管理体系,在建设的过程中企业对照标准进行自我检视与不断调整,提升内部自查自纠能力和整体管理水平,在充分调动企业自身活力和创造力的同时实现合规要求,对于稳定开展生产经营活动具有直接意义。

二是增强企业市场竞争能力,提高企业声誉及可信度。ISO 37301发布的重要目的之一即为全球范围内企业合规管理体系认证提供通用规则,各类企业组织可以通过声明符合ISO 37301或者获得依据ISO 37301所进行的认证来证明企业具备完善的合规管理体系。这既是企业自身良好商业信誉的体现,又是提升企业信用评级的重要指标,有助于企业在竞标环节提升竞争力,获取更多商业机会。

三是降低企业及其内部员工行政、刑事处罚风险。企业在生产经营活动中必然存在大大小小的合规风险,但是依据ISO 37301建立的合规管理体系可以帮助企业在更大程度上降低合规风险。由于该标准可以成为政府机构监管的依据以及司法机关对违规企业量刑与监管验收的依据,企业的合规管理体系运行情况会成为监管机构和司法机构是否作出处罚以及衡量处罚力度的一个考量因素,因此,依据ISO 37301建设的合规管理体系有助于帮助出现合规风险的企业促成行政和解或享受刑事不起诉的政策红利。

三、企业如何认证ISO 37301

由于ISO 37301为最新发布标准,目前尚未有认证实践案例可供参考,具体的认证方式尚不明确。我们基于过去的经验以及向国内权威认证机构处获得的咨询信息,特别梳理了ISO认证的一般流程,供企业参考:

ISO 37301明确规定该标准适用于各种类型、规模及性质的组织,包括但不限于个体经营者、公司、集团、企事业单位、权力机构、合伙企业、慈善机构或研究机构等,而无论该组织是否构成法人组织、公有或是私有。因此,该标准对各类企业开展、落实合规管理工作皆具有广泛的指导意义。ISO 37301并未就企业具体的业务合规问题给出答案,但其提供了一种科学、高效、系统的合规管理方法。万变不离其宗,合规是动态的管理战略,是培育并展现企业文化的内控制度,基于ISO 37301搭建的合规管理体系可以适用在各种具体的业务合规需求中。

合规管理体系是一个框架,它包含了基本结构、策略、流程和程序,以实现期望的合规效果,并采取行动防止、识别和应对不合规的问题。合规管理体系具有连贯、严谨的组织架构,是动态、系统的管理制度,构建合规管理体系,应重点把握以下构成要素:

一、底层要素——组织及其所处的环境

所谓合规,本质上即为帮助企业更好地遵守义务、满足或平衡各方的需求和期望。了解组织及组织所处的环境有助于帮助企业了解、知悉该等义务、需求和期望。企业及其所处的环境要素是企业在制定合规管理策略前需要考虑的内、外部环境因素,这是搭建合规管理体系的基础和先决性条件。

1. 外部环境

外部要素既包括企业所处的监管环境,也包括因企业与外部利益相关方达成的协议或约定而产生的合规性义务。一方面,企业应明确“合”何种“规”,即企业所处的监管环境。监管环境可能会因企业所处的行业、所经营的业务模式发生变化,也可能会因为国家政策的调整而发生变动。通常来说,外部监管环境会考虑法律法规的要求、生效判决、国家政策、监管趋势和监管尺度等。另一方面企业还应梳理其自愿接受的义务,如与第三方合作达成的协议、自愿加入的组织、团体、以及对外披露的政策等。

2. 内部环境

另一方面,从企业内部要素而言,企业还需清晰地了解企业自身发展现状,包括企业文化、企业的经营战略与业务模式、业务性质和业务范围、企业自身内部的组织架构、管理政策、现有资源以及与合作第三方的关系。

企业应在充分了解内、外部要素的基础上,确定合规管理体系的界限和适用性,定制合规管理体系,既能帮助企业遵从外部监管要求,又能实现内部业务发展需求与合规成本的平衡。

二、顶层要素——合规目标及原则

在清楚了解底层要素(外部环境及企业自身情况)的基础上,企业应明确合规管理体系建设的目标及原则,这是贯穿于整个合规管理体系建设的指导性要素。

合规目标即合规管理体系建设需解决的问题或所追求的价值。企业制定合规目标时,既要制定总目标,例如诚信经营、构建企业文化、遵纪守法、维护良好企业声誉、体现企业社会价值、伦理道德等;又要为企业内部各职能和各级别拆分合规目标,并以可以量化结果的方式制定目标,例如管理层应每年对员工进行两次合规培训。企业所制定的合规目标应当符合合规政策、遵守适用的法律法规,具有可行性、可被评估,并根据业务发展情况可酌情进行更新。

企业合规原则是指指导、约束企业建设合规管理体系的方针,例如:管理体系与业务融合,强调合规管理体系并非是独立的制度,而是应依托业务设计并融入到业务中;良好的治理结构,强调领导层发挥领导作用的同时,在管理体系组织架构上增加对领导层的监督约束,保障合规团队的角色职责和独立性;合规成本投入与合规风险相称,强调对企业所处的环境和合规风险进行识别、分析,确定优先级排序,依据合规需求优先级优化资源分配,平衡合规成本与合规需求;廉正,强调企业内部廉洁、诚信的企业文化,规避员工舞弊、腐败行为;透明,强调将及时报告和披露合规信息,通过举报违规行为或及时披露信息,及时采取措施应对不合规问题进而降低合规风险;问责制,强调作为企业业务管理的准则、落实合规负责人,并将合规绩效考核纳入员工绩效考核;可持续性,强调合规管理体系并非建成即一成不变,而是通过不断调整和更新推动体系建设发展。

三、核心要素——领导作用、合规治理及合规文化

领导作用、合规治理及合规文化是合规管理体系的三大核心支柱,亦是建设合规体系并维持其稳定、有效运行的关键。

1. 领导作用

领导指企业治理机构[1]和最高管理者[2],领导作用主要指企业治理机构和最高管理者作出清晰且有效的合规承诺等。由于合规管理体系的建构是“自上而下”的,领导层的率先垂范在合规管理体系的建设和运营中具有至关重要的作用。例如,华为公司的领导层就作出了“坚持诚信经营、恪守商业道德、遵守所有适用的法律法规”“通过资源的持续投入建立符合业界最佳实践的合规管理体系”等公开、清楚的承诺。

领导层表达承诺的方式有很多种,最重要的是通过积极、明确的支持以建立和维护合规管理体系。领导层和各级管理层通过其行动和决定,积极表示致力于建立、发展、实施、评价、维持和改进有效和能够迅速反应的合规管理体系;领导层以正式的方式确认合规方针;最高管理者为充分实现组织合规承诺负责;各级管理层始终如一地向员工传达(通过言语和行动证明)一个明确的信息,企业将履行其合规义务;对合规承诺以明确和令人信服的声明并辅以行动,广泛地传达给所有人员和相关方等。

2. 合规治理

合规治理是ISO 37301新设立的合规管理体系版块,它的主要作用在于明确负责合规管理的合规团队在企业内部治理架构中的地位及权力。实践中,合规团队可以单独成为部门,亦可与法务、风控合于同一部门内,但须满足下述基础原则:

合规团队与企业领导层拥有直接的联系,并应该与后者进行直接地交流,例如实践中企业设置诚信合规委员会,并由其直接向企业董事会进行汇报,合规团队派人员列席董事会等;合规团队应该保持独立性,其行动、运作不受到任何其他机构不适当的干涉;合规团队拥有实权,应该有权倡导和提出任何与合规相关的问题;合规团队拥有充分的资源来支持组织不受限制地开展合规管理体系的必要工作和承担必要职责。

3. 合规文化

合规文化指贯穿整个组织的价值观、道德准则、信念以及影响客户、员工、供应商、市场和社区最终所获的行为和做法,其与组织的结构和控制系统相互作用,产生有利于合规成果的行为准则。企业领导层及各级管理层应该积极培育、宣扬合规文化,使合规文化渗透到企业的全部人员、所有业务领域及日常管理、运营的各个维度。

支持合规文化发展的因素包括一系列清晰发布的价值观、管理层积极实施和遵守价值观及在入职培训或新员工训练中强调合规和组织价值观等。曾受世界银行集团“附解除条件的取消资格”制裁的湖南建工集团,就建立了以“讲规则、守信用、说真话、办实事”为道德尺度和行为准则的集团诚信合规文化,并要求每位员工宣读、遵守《合规宣言》。

四、执行要素——可循环推动的合规管理结构

合规管理体系首先是构建基础框架,然后通过执行政策、流程和程序使得这一体系运作,并在运作的过程中不断进行合规管理体系有效性绩效评估,进而以此作为基础进行改进。因此如前所述,合规管理体系并非是建成后即一成不变的,而是一个循环推动的管理模式。

1. 风险评估

合规风险的评估意味着识别企业可能面临的合规风险,并对合规风险待解决的优先级进行排序。在企业合规实践中,如何进行风险评估并对风险准确分类是开展合规工作的重要内容。开展合规风险评估需做好以下四个方面。

首先,需要对企业的各类风险进行识别,通过尽职调查、跨部门讨论等方式全面地了解企业的组织架构、业务流程、财务与用工制度等内容,尽可能全面地列举出企业经营过程中可能面临的实际风险。衡量和评估企业合规风险通常会从以下两个方面进行,一是风险发生概率,二是风险发生后所造成后果的严重程度。根据发生概率和后果严重程度的不同组合,可以将企业合规风险分为几类:发生概率高且发生后造成后果非常严重:此类风险应为企业合规过程中高度重视并时刻关注的风险;发生概率低但发生后造成后果非常严重:此类风险虽然发生的可能性小,但是一旦出现就会带来严重后果,企业需要重点关注如何降低此类风险带来的不利影响,并制定风险应对预案,以便发生时可以及时、有效应对;发生概率高但发生后不会带来严重后果:此类风险虽然容易发生,但一般不会影响企业的正常经营,因此实践中优先级低于前两类风险,企业可以通过合规体系建设来降低此类风险的发生概率;发生概率低且发生后不会带来严重后果:此类风险在实践中几乎可以忽略。

其次,需要对固有风险进行评估[3],通过评估风险发生概率与后果严重程度来衡量企业在面对每一项风险时的应对能力。需要注意的是,风险来源很可能会影响企业对风险概率与后果的判断,因此在评测风险概率与后果之前,企业还需要分析风险来源,即哪些事件会导致风险的发生。

第三,需要评估企业现行风险管理制度的有效性,进而衡量企业剩余风险[4],对剩余风险按照风险概率与后果的不同组合进行分类,并确定优先级,以便更高效的分配合规管理资源,降低风险对企业的不利影响。

最后,因为企业合规风险会根据政策变化、内部调整、业务模式更新等因素发生变化,所以风险评估需要定期重新按照前述流程进行,确保风险能够被有效监测并得到合理应对。

2. 规划

规划旨在帮助企业防止或减少不利后果、保证合规管理体系能达到预期效果并实现持续改进。企业规划管理体系时,应考虑企业的合规目标、确定的合规义务、合规风险的评估结果,进而规划资源分配、设计合规管理体系融入企业现有的业务活动中的方式、起草合规政策、明确合规措施、并规划评估合规管理体系有效性的措施。

合规规划应满足两个层次的要求。第一层是指根据风险评估的结果,规划应采取何种措施预防并降低合规风险,第二层则是分析企业的资源和所处的环境,帮助企业充分、高效、科学地利用资源,采取措施在有利的环境条件中受益。

合规目标的设立应以合规风险评估结果为基础,以降低整体风险为首要目的。规划如何实现合规目标时,企业应明确针对何种目的做合规、需要何种资源、由谁负责落实合规工作、何时完成(进度)以及如何评估结果。如前所述,合规目标的制定应当是可量化的,既包括合规管理体系搭建的总目标,也包括就不同具体业务场景明确的合规目的。

3. 支持

为了保障合规管理体系的有效落成和实施,企业应提供多方位的支持措施。

资源支持:企业应确定并提供合规管理体系的建立、实施、维护和持续改进所需的资源,如财务预算、基础设施等。我们建议企业首先明确可供合规管理体系建设的总资源,进而依据合规子目标的设定确定资源分配方案,保证资源的高效利用。

人才支持:企业应明确为推动合规管理体系建设,企业内部各组织和各职能所需的员工具备的必要能力,确保招聘的人才与岗位要求具备适配性,确保团队人才专业背景的多元和补充性。

合规意识培养:企业应定期组织员工进行合规培训,增强员工合规意识,了解合规政策,充分知悉合规管理工作对企业发展的重要性,并提供内部合规交流或投诉的沟通渠道。

充分沟通机制:企业应建立充分通畅的信息沟通渠道,既包括企业内部不同部门间的沟通交流,确保合规部门的独立性,还包括企业外部与内部的沟通,如与主管部门的联络,跟踪监管趋势和政策发展;消费者、用户与企业的良好沟通和反馈。此外,建立企业合规违规举报投诉通道也是必要的。

信息文件化:企业应落实合规管理工作信息留痕机制,创建明确的合规管理制度和文件,并对合规工作开展过程中产生的业务沟通、合规研究、合规举报、合规风险应对等信息进行记录和保存。

4. 执行

企业应在合规管理体系的执行层面具体策划、实施和控制实现合规方针及规划所应达至的各项程序,以保证合规管理体系的平稳、有效运行。

精心设计的合规管理体系应该具备两个维度的建构。其一,应确保合规管理体系可以对合规文化产生良性影响,如制定企业行为守则并在日常运行中加以落实,使企业中的所有人员均能获悉并谨遵。其二,应对企业重点业务活动领域实施防控措施,包括企业的所有业务流程,如生产、安装、服务、维护、销售等,以及针对合同订立相对方、供应商或销售商的风险管理。若企业将部分商业运营外包,则应对第三方进行有效的尽职调查,以确定其可以满足不低于企业自身程度的合规标准及承诺。控制措施可以包括:针对重点领域、重点合作伙伴进行合规风险梳理,以此为基础制定清晰、实用且易于遵循的书面操作政策、流程和工作指引;划分重点合规事项,设立审批制度;制定年度合规计划;针对合规管理体系进行定期、不断的有效性评估,等等。

此外,企业应该考虑建立一种允许匿名或保密的举报制度,企业的员工和代理人可以通过畅通的渠道,向最高管理者和企业治理机构(包括相关委员会)进行举报或寻求指导,而不必担心遭受报复。伴随该举报制度,企业应该就针对企业人员或有关第三方任何不当行为的指控或怀疑,设立及时、彻底的调查程序,并落实文件信息化,将企业的回应、调查结果、企业所采取的惩罚与补救措施,以及以此为基础对合规管理体系的修订、更新进行文件化的留痕。

5. 绩效评价

绩效评价包括监督、测量、分析及评估四个步骤,亦包含内部审计及管理评审的内容,其主要作用在于对现存合规管理体系的有效性进行评估,并成为后续修订、改进合规管理体系的依据。

有效合规绩效评价的信息来源通常包括:企业人员(例如通过举报制度、热线电话、反馈、意见箱等);顾客(例如通过投诉处理系统);第三方、供应商、合同相对方等;已存在的合规问题;不合规事项;审计及评审等。

企业应该特别注意建立合规报告制度,合规报告制度已成为评价合规管理体系的重要信息来源之一,因为即使是一个小的问题也可能透露当前流程和合规管理体系存在严重的缺陷。如果不及时报告,可能会导致企业认为小问题无关紧要,并可能使这种小问题演变为系统性的大问题。

最终,企业合规管理体系有效性绩效评价的结果以及相应改进提议应该形成一份书面报告,并定期(通常是每年)提供给企业领导层。

6. 改进

合规是动态的而非一成不变的,应该根据实践效果持续不断地对已有的合规管理体系进行修订、更新,使其更加符合企业管理、运营的现状。企业须根据定期绩效评价的结果及相应改进提议,以确定是否有必要以及如何修订合规管理体系。另请注意,在对合规管理体系进行修订时,应对需要修订之处作整体影响的考虑及把控,以保持合规管理体系的完整性及有效性。

结 语

2021年3月,十三届全国人大四次会议表决通过了关于“十四五“规划的决议。“十四五”规划明确提出引导走出去企业“加强合规管理”,并“推动民营企业守法合规经营”,企业合规建设的范围从国有企业扩大到民营企业。至此,企业合规管理已被提升到国家战略层面。可以预见的是,落实企业合规管理,既是时代趋势,亦为符合国家战略的必然要求。可认证的ISO 37301适用于各类企业,企业应该乘势而为,依据ISO 37301搭建、更新合规管理体系,率先取得认证。这对企业来说是发展的重要机遇,也将有助于企业应对后续更为严格、复杂的合规要求。

(0)

相关推荐