第一步是现状评估与合规实施方案拟定。集团新建合规管理体系建设虽是说从零开始,但基于管理的连贯性,其实集团合规管理体系构建一定是在已有部分合规管控措施的基础上进行的。之前已进行的内部控制建设、全面风险管理建设、法务管理建设等工作内容,一定已包含了合规管理的一些元素。这也是很多法务人员认为,其工作实质上已经是在进行合规管理工作的原因。的确如此,但不完全是。合规管理体系作为一个体系性工作,当然不止于之前的法务或内控等工作。经过现状评估,结合合规管理体系的内容要求,体系建设第一步的成果是输出一套能覆盖未来2-3年合规工作的《合规管理体系建设实施方案》。
第二步是业务流程梳理与合规义务识别。这一步是真正的合规体系建设基础性工作。对业务流程梳理,是任何管理工作精细化的前提,包括流程重组或优化、专项管理体系建设等。如果企业的业务形式简单,业务链条短,那么在这一步的业务流程梳理可以简化。可按部门对业务进行简单拆解,我们称为模块化。如营销部门,可进一步分为营销方案制定、营销模式、市场宣传、合作营销等模块。对于合作营销,又分为合作模式选择、合作协议、款项回收等二级模块。这些工作,同时作为合规风险评估工作的对象。这部分的业务流程梳理,其实就是对业务的熟悉,最好配置相关的业务人员或行业专家共同参与。对全部的业务模块(行为)熟悉后,便需要组织法律专家对行为应适用的合规义务进行梳理。这就是合规义务识别。合规义务明显比法律、法规的要求更广,但基于现实能力和需求的考虑,一般的合规义务识别,主要还是识别业务行为应遵守的具有强制约束力的法律、法规及监管规定等。经过第二步的工作,输出的成果是企业应遵守的合规义务库。
第三步是合规风险评估。这一步可以说合规管理体系建设工作中最难的部分之一。它需要法律专家和业务专家的通力合作,也需要企业业务人员的真诚认可。一般情况下,业务人员均会认为其业务行为不存在什么合规风险。通过运用类似《合规风险评估清单》这样的表单工具,合规人员可以收集到初步的合规风险描述集合。按风险评估的三个环节,即风险识别、风险分析与风险评价,对风险进行描述、归类、分析和排序,企业可得到合规风险矩阵(合规风险库)。重点是第一个环节,即风险识别,可采取案例法、岗位权力分析法、法律责任倒推法等实践中常用的方法。但如前述,这个步骤的工作难度是巨大的。这和风险评估工作本身难度大是密切相关的。
第四步是合规组织与职责设置。对企业的合规风险有了解之后,便开始着手规划应对措施了。要进行风险应对,首先要有人员来实施。因此接下来这一步便是进行合规组织系统的落实与安排。从合规工作内容来看,需要三种人员。一种是企业高管,由他们来支持和批准合规工作。一种是合规专员,他们作为专业的合规知识拥有者,是合规体系建设的牵头推动人员。第三种是业务人员,他们是不合规行为的始作俑者,也是合规要求的遵守者,最后当然也是合规责任承担者。对这三种人员的组织与职责设计,正是本步骤的核心。正如合规工作不可能完全从零开始一样,合规职责其实也是存在于各个部门或岗位的现有职责之中,只是在新建合规管理体系时,我们需要重新梳理和强化各人员的合规职责,并将这些职责按照一定的架构进行排列,形成有效的合规组织。上至董事会专设的合规委员会,下至业务部内部设置的兼职合规联络员,都应围绕下一步的合规工作目标而展开。
第五步是合规管理办法制定。大型企业不管是开展业务,还是进行管理,都是通过制度来实现的。制度是企业管控的基本工具,对于合规管理体系来说,尤其如此。通过制定和颁发《合规管理办法》及其实施细则,企业内存在一套完整的关于合规如何推动的规章制度。参考法治的原理,这一步其实是在企业内“立规”。合规管理办法一般包括一个总则和多个实施细则。它整体上是面向全体员工,讲述合规是如何与每位员工相关,而每位员工又该如何配合公司的合规要求的。总则是企业合规管理体系的纲领性文件,部分企业称之为“合规宪章”。合规实施细则,是合规总则中的部分条款规定的细化。对于下一步将出现的合规运行机制,部分也可能以合规实施细则的方式予以规定,如《合规审查实施细则》。合规审查是合规管理办法中应规定的一项具体工作,同时也是合规运行机制的一种。通过这一步骤,可输出大概十来个合规管理办法或细则,合称成“合规制度库”。
第六步是业务合规操作指引制定。与合规管理办法制定类似,这一步也是通过制定制度的方式来实施合规管控。如果说合规管理办法规定的是“如何推动合规工作”,那么业务合规操作指引规定的就是“业务如何遵守合规要求”。从劳动法的角度,两者都属于企业规章制度的制定。要有效,必须自身符合劳动法上的实体和程序规定。业务合规操作指引的内容是比较广泛的,可以业务部门的合规要求为线索,也可以法律法规上的部门法为线索。前者如建立采购部门合规管理指引、研发部门合规管理指引、投资部门合规管理指引等;后者如数据合规指引、环境保护合规指引、出口管制合规指引等。经由该步骤,可形成十余个业务合规操作指引,合称为“合规指引库”。
第七步是员工合规行为准则编制。合规管理制度或指引,是应对合规风险的主要文本。为进一步明确企业各部门、各员工的合规要求,针对性地告诉员工哪些可为,哪些不可为,还须编制员工合规行为准则。在普通的员工行为手册或员工手册中,我们看到的是对员工的各种要求。员工合规行为准则或手册,则更为精细。员工合规行为准则,在形式上可分为三个部分。一是用于对外宣传的整体行为准则,从企业角度,是一种全体员工的合规宣言。另一种是用于内部遵照执行的合规行为提示点,可用类似“合规卡片”的方式予以体现。还有一种是员工为响应合规要求而作出的合规承诺条款。这些都是员工被动或主动提出的,针对其具体行为的合规要求。从某个角度,它们是合规义务与合规制度或指引结合的具体产物。
第八步是合规运行机制设计。合规运行机制是合规管理体系实施运行过程中的方式方法,在构建体系时,要做的是机制设计,它与机制实施是两回事。任何机制实施,首先要有一个机制设计的工作。这在于企业的工作从来都是先有计划,再有执行。尽管有的计划,不是那么明显地公布出来,但正如一个的行动之前,必然有行动的想法一样,制度设计必然先于制度执行。在设计阶段,合规机制可考虑分为事前、事中、事后的机制。三类运行机制,与风险三道防线正好吻合。事前的机制可包括合规风险预警机制设计、合规风险例会机制设计,合规清单审查对照机制设计等。事中的机制可包括合规检查机制设计、合规考核机制设计等。事后的机制可包括合规举报热线、合规调查机制设计等。每一种机制,未来落地执行的方式均包括机制的书面规定(即合规制度),机制本身的过程操作等活动,在设计时需要考虑其可行性、成本效益等。
第九步是合规管理手册编制。作为新建合规管理体系的最后一步,也是合规建设的最集中的成果,就是编制合规管理手册。合规管理手册与通常说的“合规手册”不是一个概念。“合规手册”通常用于指某个业务合规指引或合规行为准则。如反腐败合规手册,实质上是反腐败领域的合规义务、合规管理制度与合规操作指引的汇编。合规手册可以有多个,但合规管理手册最好就是一个。合规管理手册的范围更广泛一些,它也是一个文件汇编。从内容上,可以包括所有可用书面表示的合规职责、合规行为准则、合规管理办法及其实施细则、业务合规指引及专项合规指引、合规举报与调查、合规培训与合规文化等等。各类合规管理指南或标准里,并没有要求企业必须编制合规管理手册。但作为对内部控制手册的模仿,合规管理手册还是较为实用,且受到企业合规推动者的重视。
010-57804780