来源:“威科先行法律信息库”公众号
中华人民共和国国家标准GB/T 35770-2017《合规管理体系 指南》于2017年12月29日正式发布。这份等同采用ISO 19600:2014的推荐性国标,将于2018年7月1日正式实施。随着国际、国内企业合规事件频繁爆发,可预料的是,未来若干年内,在企业,特别是一些受到公众关注的知名企业,其建立健全合规管理体系将成为必不可少的工作。
GB/T 35770-2017《合规管理体系 指南》除去适用范围和术语,论述了组织环境、领导作用、策划、支持、运行、绩效评价和改进等过程。它提供了一套在企业内如何建立合规管理体系的有效指导。作为指南,它是非常规范的;作为标准,它又是非常全面的。但正因“标准”要照顾到方方面面,在实际操作中,仍有不少企业合规运营人员对于如何完整构建一套有效的合规管理体系仍心存疑惑。结合个人心得,综合其他专家意见,本文对如何建立一套有效的合规管理体系作一简要解读。
企业合规管理体系,本质上是管理体系的一种,但核心是合规。企业管理体系,有多种。如质量管理体系、环境管理体系,信息安全管理体系等。管理体系的建立与实施,有其一般规律。管理体系是一种有规律的重复发生的活动,指基于一定目标下,企业的(战略)计划、预算编制、执行和业绩评价等行为综合。
合规管理体系的重点明显应当是“合规”,且应融入到整个管理体系中,否则容易产生“合规”与“业务”两张皮的“普遍”现象。如何融入业务管理体系,成为合规管理发挥价值的出发点,也是合规管理体系的难点。它要求不仅要熟悉合规相关理论和操作,还要认识业务相关运转和特点。
合规管理体系要有效落地,最终离不开人的推动和执行。因此,必须有相应的合规管理组织架构。同时,对于合规管理组织中的相关人员,如公司最高层管理者、首席合规官、合规团队及业务总监等都要有一个清晰的合规职责。除了强调赋予他们相应的职权以外,更重要的是强调他们对合规管理均负有相关责任。
合规问题产生的主要原因是外部环境,特别是法律、法规的变化,还有人们商业道德价值观的变迁,使得企业行为产生不合规的风险。一套有效的合规管理体系,不能简单地应对现有的法律法规,而是要适当走在法律法规的前面,即要有一定的前瞻性,才不至于被动。
企业建立合规管理体系的目的是为了持续地预防、应对合规风险,形成合规文化。建立和实施合规管理的过程,即是得企业和企业管理者及员工的行为符合合规管理体系目标的过程。
个人认为,企业合规管理体系主要由以下三部分组成。
首先,合规风险识别与评估。要识别合规风险,前提是找到合规义务。合规义务是合规管理中的“尺子”。有尺子,才能找到偏差。合规义务来源于四方面:一是法律、法规、部门规章;二是企业内部规章制度;三是职业操守和道德规范;四是企业与其他主体签订的协议承诺。
其次,合规管理行为。合规管理行为指将合规管理付诸时间的一切相关行为。它先是包括实施合规管理行为的组织架构,这是人的基础。然后是与合规管理有关的制度与流程,这是制度的基础。再是那些合规管理行为运行机制,最后是合规管理相关的反馈与改进行为。
最后,合规文化塑造。合规文化可保障合规管理持续、长久实施,合规文化也可降低合规管理体系运行成本。同时,合规文化又是企业合规风险防范的最后一道防线。因此,合规文化塑造也应成为合规管理体系建立的重要组成部分。
企业首先要系统地识别合规义务及其影响,制定合规义务清单,并在本企业内发布。合规义务清单,分别列明具有强制性的合规要求,如法律法规,监管部门发布的制度、条例或指导方针,法院或仲裁机构的裁决,条约、公约等以及企业的合规承诺,如与主管部门和客户签订的协议,自愿性原则或行为守则等。
开展权责事项清理,形成权责清单。根据企业的业务流程制度和授权制度,清理和确定各类公众职责,识别对应的权力,形成权责清单。可基于业务流程来展开,也可以基于岗位职责来展开。
最后,根据权责清单,查找合规风险点,并启动风险评估工作,包括确定合规风险等级,形成风险排序,据此再拟定风险应对计划。
1. 搭建合规管理组织架构。企业合规管理组织架构可分为三个层级。
第一层是最高负责机构,可在董事会中设合规委员会,制定合规管理的目标、方针和政策,统领公司合规管理工作。
第二层是协调机构,在合规委员会之下设合规管理协调工作小组,协调法律、审计、财务、人力资源等部门,保证企业内部资源协同。
第三层是日常工作机构,即合规管理部。企业可任命董事会成员之一担任合规管理部的负责人,即首席合规官,由他全面负责合规管理工作。
2. 制定合规管理制度。合规管理制度一般包括合规行为准则、制度规范、合规专项管理办法、合规管理流程、合规管理表单。合规管理制度及相应的处罚以书面形式记载了企业管理层和员工的合规职责,是企业施行合规管理的驱动力。
合规管理制度要制定得有效,而不流于形式,关键要融入企业的日常经营、管理活动之中。但鉴于任何风险管理制度其实都很难彻底消除风险,因此合规管理制度的意义是将企业合规风险控制在一个合理的范围,而不是盲目地制定过于严苛的管控标准,这样容易使得员工对合规管理产生抵触情绪。
3. 运行合规管理实施机制。要把合规管理落地,就必须把政策制度上的规定变为可执行的流程,把纸面上的流程变为业务中的操作流程。合规管理实施机制包括培训、考核、举报和调查等。
培训是让员工了解和熟悉政策、制度及流程。培训的内容应与员工角色和职责所涉及的合规风险及任务相符合。没有考核的管理,是产生不了结果的管理。合规考核的内容可以包括按时完成合规培训,严格执行合规政策,有无任何违反合规的行为,支持合规部门的工作,及时汇报违规行为等。
举报和调查,是合规这种管理体系较为独特的要求。举报程序安排,要根据企业的实际情况进行设置,以鼓励违规员工悬崖勒马,保护举报员工安全等为原则。合规调查,要注意本身的合法问题,调查者最好熟知相关法律法规、内部规定,以及之前发生的相似案例。
4. 进行合规处理和改进。员工违规行为一旦证实,企业必须立即处理。处理员工违规行为的方式反应了企业是否严肃对待合规,是验证企业合规管理体系是否落地的最佳方式。
出现不合规行为时应当及时处理,更应该查明违规行为的根源,对于合规管理体系进行重新审视、改进、重新设计,这样才可持续改进。如果类似违规行为多次发生,说明合规管控没有起到效果。只有及时和正确的反馈,才能将合规管理行为形成闭环。
企业文化是在企业中形成的由企业管理层倡导并为全体员工所认同且遵守的企业的宗旨、精神、价值观和理念等。相比于其他的管理手段,有合规文化的企业更具有持续的成长能力和广泛的影响力。
合规,已成为众多跨国企业普遍的核心价值观。企业合规管理要持续开展,包括启动和推行合规管理,塑造合规文化都是一本万利的事。合规文化包括全员合规、合规可创造价值、合规需要高层认可和推动等内容。
要发展合规文化,企业高层和合规管理部门,要在企业的各个层面推行一套公开发布的共同行为准则,并始终如一地进行。
首先,要有明确的价值观,要从根本上认同合规,相信合规的价值。第二,管理层率先垂范,带头遵守合规制度,行动前后一致。第三,持续地示范、指导、培训。管理层自上而下地进行讲解、传播、推广合规的价值理念。第四,持续就合规问题进行企业内、外部沟通,确保合规价值观在所有员工中得到传达,让员工了解企业合规底线。最后,建立合规表现与绩效挂钩机制。良好的合规管理行为将得到激励,不称职的管理行为将受到惩罚。
作者简介
陶光辉
一法网CEO
专注领域:企业法务与合规管理、依法治企体系建设
依法治企网首席顾问,武汉大学法学硕士,高级经济师、律师、仲裁员。大连大学法学院客座教授,中国人民大学企业法治研究所智库兼职专家,中国中小企业协会法律顾问工作委员会常务副理事长、青岛仲裁委互联网仲裁院副院长、北京创业投资法学研究会常务理事,法律出版社特邀高级策划编辑。
原国美控股集团法务总监,曾获亚洲法律杂志(ALB)2016中国最佳总法律顾问奖。著有《公司法务部》(法律出版社2016年),在《中国司法》、《中国律师》、《清华金融评论》、《法人》、《方圆律政》、《中国知识产权报》、《人力资源》、《公司法律报告》等发表若干实务论文。
中国GC36人论坛的主要发起人,法总五人谈系列沙龙的核心发起人,法务人俱乐部的创办者。
(本文来源:来源:“威科先行法律信息库”公众号。)