合规管理体系的建设,简单说是以合规组织架构配置与合规职责为出发点,通过评估合规风险,制作和发布合规行为准则,形成合规管控系列制度等,最后汇编成一本合规管理手册的过程。这样一个过程,本质上是静态的,可在一个相对不长的时间段内完成。合规管理体系建设,属于设计环节,合规管理要取得效果,还须依赖于建成后的合规管理体系的运行。合规管理体系的运行,即合规管理体系的实施,是须持续的、不断改进的。理论上,只要企业存续,合规管理体系便须永久运行。合规管理体系运行效果如何,取决于两方面因素。一是合规管理体系建设时的设计水平如何,二是合规管理体系所包含的制度和机制是否真正得到贯彻实施。
01体系运行概述
合规管理体系是一种旨在防控合规风险的管理体系。众所周知,风险防控的经典理论,是三道防线理论。该理论将对风险的管理工作分为事前、事中、事后三个时段,每个时段分别执行风险预防、风险控制、风险应对三种职能。同时,三个时段的三种职能,又分别由业务部门、风险管理部门,审计和纪检监察部门三个部门来对应完成。三道防线理论的逻辑解释力很强,颇受监管部门和大型企业的青睐。
从监管部门发布的合规管理指引内容看,合规管理体系的建设与实施同样也受三道防线理论的影响。如洞察合规管理体系的整体运行过程,合规管理体系的有效实施可建立在如下几个方面的管控原理之上。
一是事前的制度规范
制度建设是合规管理体系建设的核心,制度实施则是合规管理体系运行的核心。通过事先制定和发布成体系的制度,可以规范合规管理的各项行为,保障可以第一时间识别合规风险,并将合规风险扼杀于萌芽之中。这就是合规管控工作的关口前移。在作出任何重大决策之前,提请进行合规审查,非经审查不决策。这同样是将对风险的感知放在前面。此类的制度和机制包括:合规审查、合规咨询、合规风险预警等。
二是事中的强化监控
很多的管理体系之所以难以落地,就在于缺少对过程的测量和监督。书面的制度易于制定,前期的雄心壮志也激励着企业各部门和员工前行。但到了期中的时候,很多事情开始走样,对于职责与标准开始放松,甚至放弃。这是人类的天性,也是组织的天性。因此,需要设置一些机制,保证期中持续有人在督促,在监控。合规管理体系的实施,同样需要强调事中的监测和监控。此类的制度和机制包括:合规检查、合规尽职调查、合规报告等。
三是事后的责任追究
风险永远不可能完全消灭。一部分不合规的风险总是会变为现实。再有效的合规管理体系也不足于杜绝一切不合规的情况,出现了不合规的事件或问题,一定要进行相应的处置,否则就会伤害合规管理体系自身。当然,也会出现那些值得鼓励的事情,这也是一个合规管理体系实施过程中必须予以重视的。此类的制度和机制包括:举报与调查、合规绩效考核、合规问责等。
02 事前审查与预警
合规审查可能是合规管理体系运行过程中最频繁、最重要的一类活动了。前文已述,我们在合规管理体系建设环节即非常重视“合规审查制度”的制定。合规审查制度或合规审查办法,是合规管理系列制度中很重要的一项制度。在整个企业法律相关事务上,它与合同审查办法,皆是处于基础工作的位置。合规审查一般由合规部门负责。合规部根据承办部门送审事项的具体情况及疑难复杂程度指派审查人员对送审事项展开独立审查,也可委托外部律师出具审查意见。合规审查人员依据法律法规或企业内部规定,对有关事项的程序和内容是否合法合规、是否存在合规风险等合规问题进行审查,做到有理有据。特别是对于重要决策事项,重大项目、新业务、新业务方式等涉及的决策事项;规章制度和重要业务管理规定;合同、协议、章程以及出具的承诺等需要合规审查人员出具意见。但对于各业务中的专业性问题,如研发报告的行情判断、市场分析、客户分析、项目专业判断等问题,不属于合规审查范围。
合规审查是对待决策事项正式的、书面的意见。企业内很多事项,往往是先沟通,后形成书面文件或报告。因此,与书面合规审查对应的是合规咨询,即以口头及正式报告的方式向合规部门提出需求,合规部门以口头或邮件回复意见。但与书面合规审查稍有不同的一点是,合规咨询是强制咨询。即凡业务部门或职能部门对任何事项是否合规,如何合规等存有疑虑时,必须向合规部门提出请求回答的需求。
合规风险预警也属于常用的事前管控手段。它依赖于平时对风险数据的收集及监测。其基本原理是先设置一个阈值或区间值,当传输过来的数据指标落在阈值之上或区间内,即引发内部的报警机制,随之启动下一步的应急处理。这里的关键和难题,是阈值和区间值的设置。因为合规风险,属于违反合规义务的风险。对是否违反合规义务,需要专业人员的判断,不太好数据化,更难定量化。因此,在执行合规风险预警机制之前,需要对合规风险指标、预警阈值、数据收集与传输路径等进行详实筹划。一般可能要在合规管理信息系统内实现。
03 事中检查与报告
合规检查一般由合规部门牵头,各业务部门、职能部门配合,检查的内容包括各部门遵循法律法规及规章制度的情况、合规管理机制实际运行的有效性、违规事件的整改情况等。合规检查分常规检查和专项检查。常规检查是指根据年度工作计划开展的全面合规检查工作。专项检查是按照年度工作计划、经营管理工作需要,对某项特定业务或重点领域进行的专题性合规检查。合规检查可用现场检查和非现场检查等方式。现场检查是根据合规内控或经营管理的要求,到被检查单位进行实地检查的方式。非现场检查是指要求被检查单位报送各种资料或从管理部门调阅业务档案,或运用合规管理信息系统等工具进行分析,来发现风险点和问题。合规检查可采取与党委巡察、部门督导、内控评价、体系认证审核、安全环保检查等相结合的形式。
合规尽职调查是指对企业商业伙伴的基本情况、资信状况、履约能力、以往合作情况、利益冲突、与政府官员的关系等进行信息披露和调查。商业伙伴包括供应链上下游企业、代理商、顾问、合作方等。合规尽职调查的方法与一般的尽职调查方法并无一致,通过口头交流、核对有关资料、从公开渠道获得重要信息、聘请中介机构等进行。尽职调查结束后,应由合规部门出具合规尽调评估报告。报告应对商业伙伴的合规风险进行评估分级,根据不同的风险级别分别予以处理。
合规报告根据需要,可以有多种形式。作为事中管控环节的合规报告,通常仅指发挥监测和总结作用的定期合规报告,包括年度报告、半年报告或季度报告。合规报告可以是应监管部门的要求而制定,也可能是公司董事会要求制定的。报告内容一般包括:合规管理基本情况、合规负责人及合规部门履行合规管理职责情况、违法违规行为、合规风险隐患的发现及整改情况、合规履职保障情况等。
04 事后调查与问责
合规举报管理是合规管理体系作为全面风险管理体系内的一部分,与内部控制体系等存在明显区别的一项制度或机制。合规举报是举报人用书信、电子邮件、电话、当面投诉等形式,向合规部门反映情况,提出建议、意见或者举报违反合规义务的事项,依法依规由合规部门查处的过程。举报可采取实名或匿名的方式,公司应设置鼓励举报同时又保护举报人的措施。合规部门须注意接到举报之后,参与调查处理整个过程自身的合法、合规性,应当有相应的流程,保障被举报人或利益关联方的合法权益。
合规绩效考核一般是由企业人力资源部门来主导实施,但由合规部门来具体负责考核评分以及日常管理。任何绩效考核都首先要明确考核标准,这一部分的工作由合规部门来完成。合规绩效考核必须纳入企业薪酬管理体系,以客观指标和明确的分值来评价被考核人员履行岗位合规情况。合规绩效考核的基本程序是:合规部门按考核标准,对被考评对象进行评分认定;然后将考核评分结果反馈给被考评对象。被考评对象对考核评分结果有异议的,可向合规部门提出复审申请;考核结束后,合规部门将合规绩效考核结果递交人力资源部门,由其实施绩效管理。
合规问责是指对企业高管及员工的违法、违规、违纪行为进行责任追究的活动。如涉及违反刑法或其他国家层面的法律、法规,应按规定移交给司法部门或相关政府部门。合规问责须坚持实事求是、有错必究、问责与整改相结合等原则。合规问责的信息来源,一般是合规检查或监测过程中发现的问题或者是有关人员提出的举报、内部控告或申诉等。问责措施自身须合法合规,问责程序也要有相关的法律和内部制度依据。问责事项处理后,一般应形成合规问责决议。问责决议应包括违规事实、后果及影响、责任分析、问责依据和问责措施等内容。
05 合规管理有效性评价
合规管理体系建成并运行一段时间以后,有必要对其实施效果进行验证。这种按照规定的原则、方式、程序和标准对合规管理体系及合规管理相关人员和工作的有效性进行检验、评价,就是合规管理有效性评价。其目的,就是评估各个层面的合规管理工作,推动公司合规制度体系和管理机制的健全完善和有效执行,培育良好的合规文化。
合规管理有效性评价一般一年至少一次。评估对象为公司董事会、监事会、高级管理人员、合规总监、合规管理部门以及各部门、各层级子公司和全体工作人员;评价内容包括合规管理环境的有效性评价、合规管理职责履行的有效性评价和经营管理活动的有效性评价等;评价程序为一般为:(1)成立评价小组;(2)制定评价方案和评价计划;(3)开展评价活动;(4)评价小组与评价对象认定评价发现的合规管理缺失、遗漏或薄弱环节,并提出整改建议;(5)形成年度合规管理有效性评价报告;(6)按规定的审批权限和程序报公司董事会合规委员会审议批准年度合规管理有效性评价报告。
对合规管理环境的有效性评价,应当重点关注公司高层是否重视合规管理、合规文化建设是否到位、合规管理制度是否健全、合规管理的履职保障是否充分等;对合规管理职责履行情况的评价,应当重点关注合规咨询、合规审查、合规检查、合规监测、合规培训、合规报告、监管沟通与配合等合规管理职能是否有效履行;对经营管理制度与机制建设情况的评价,应当重点关注各项经营管理制度和操作流程是否健全,是否与外部法律、法规和准则相一致,是否能够根据外部法 律、法规和准则的变化及时修订、完善;对经营管理制度与机制运行状况的评价,应当重点关注是否能够严格执行经营管理制度和操作流程,是否能够及时发现并纠正有章不循、违规操作等问题。
合规管理有效性评价结果,一般根据评价内容及标准,采用定性或定量的方法,评定为优秀、良好、合格、不合格等几个等级。全部达标的为优秀级别,在评价项目中 90%以上为达标的,且不存在可能影响公司合规管理有效性的情形为良好等级,以此类推。
对评价结果为“合格”等级的评价对象,公司应对其主要负责人采取强化培训,对其所在部门采取进驻指导等措施;对评价结果为“不合格”等级的评价对象,公司可对其主要负责人采取约见谈话,予以通报批评等措施,同时将派驻合规管理工作人员全面检查其部门合规管理工作,出现合规风险的,追究其负责人和直接责任人的责任,由合规总监提出合规问责和年度绩效考核扣分意见。同时,要求其整改,并对整改情况进行跟踪落实,且对整改的有效性进行验证。
合规管理体系的运行机制
作者简介
陶光辉,大型企业合规管理体系建设咨询与培训集大成者。
现任职务:北京德和衡律师事务所高级合伙人,北京大学全球高端法商人才计划未来领袖授课专家,大连大学法学院客座教授等。
职业资格:律师,仲裁员,高级经济师,同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。
职业经历:武汉大学法学硕士,前后18年企业法律工作经验。其中,8年企业法务经历,曾任中国100强集团法务总监,获ALB2016中国最佳企业总法律顾问称号;3年法律创业经历,系知名法务教育平台(一法网)的创始人;7年执业律师经历,现任德衡律师集团副总裁。
学术成果:著有《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)、《合规管理十论》(内部出版)。在合规管理体系建设领域,陶律师创建“DHH合规内控风险一体化建设五环模型”。
服务客户:中广核新能源、中国新时代、中国纸业、中交规院、河钢集团、泰康健投、京煤集团、长城汽车、北京供销社、北京昌平国资委、北京建工、北京地铁、上海企业法律顾问协会、上海铁路局、上海杨浦国资委、青岛地铁、青岛港、国网江西电力、桂林交投、深圳投资控股、深圳航空、聊城信发、甘肃地矿、北京大学法学院、中国政法大学网络学院、上海海关学院、北京联合大学法学院等。