查看原文
其他

【律师视点】合规与风控专栏 | 陶光辉:合规管理体系的运行过程——事前、事中与事后

The following article is from 法务人俱乐部 Author 陶光辉

陶光辉

德衡律师集团高级合伙人





合规管理体系的建设,简单说是以合规组织架构配置与合规职责为出发点,通过评估合规风险,制作和发布合规行为准则,形成合规管控系列制度等,最后汇编成一本合规管理手册的过程。这样一个过程,本质上是静态的,可在一个相对不长的时间段内完成。合规管理体系建设,属于设计环节,合规管理要取得效果,还须依赖于建成后的合规管理体系的运行。合规管理体系的运行,即合规管理体系的实施,是须持续的、不断改进的。理论上,只要企业存续,合规管理体系便须永久运行。合规管理体系运行效果如何,取决于两方面因素。一是合规管理体系建设时的设计水平如何,二是合规管理体系所包含的制度和机制是否真正得到贯彻实施。




 一  体系运行概述

合规管理体系是一种旨在防控合规风险的管理体系。众所周知,风险防控的经典理论,是三道防线理论。该理论将对风险的管理工作分为事前、事中、事后三个时段,每个时段分别执行风险预防、风险控制、风险应对三种职能。同时,三个时段的三种职能,又分别由业务部门、风险管理部门,审计和纪检监察部门三个部门来对应完成。三道防线理论的逻辑解释力很强,颇受监管部门和大型企业的青睐。


从监管部门发布的合规管理指引内容看,合规管理体系的建设与实施同样也受三道防线理论的影响。如洞察合规管理体系的整体运行过程,合规管理体系的有效实施可建立在如下几个方面的管控原理之上。


一是事前的制度规范。制度建设是合规管理体系建设的核心,制度实施则是合规管理体系运行的核心。通过事先制定和发布成体系的制度,可以规范合规管理的各项行为,保障可以第一时间识别合规风险,并将合规风险扼杀于萌芽之中。这就是合规管控工作的关口前移。在作出任何重大决策之前,提请进行合规审查,非经审查不决策。这同样是将对风险的感知放在前面。此类的制度和机制包括:合规审查、合规咨询、合规风险预警等。


二是事中的强化监控。很多的管理体系之所以难以落地,就在于缺少对过程的测量和监督。书面的制度易于制定,前期的雄心壮志也激励着企业各部门和员工前行。但到了期中的时候,很多事情开始走样,对于职责与标准开始放松,甚至放弃。这是人类的天性,也是组织的天性。因此,需要设置一些机制,保证期中持续有人在督促,在监控。合规管理体系的实施,同样需要强调事中的监测和监控。此类的制度和机制包括:合规检查、合规尽职调查、合规报告等。


三是事后的责任追究。风险永远不可能完全消灭。一部分不合规的风险总是会变为现实。再有效的合规管理体系也不足于杜绝一切不合规的情况,出现了不合规的事件或问题,一定要进行相应的处置,否则就会伤害合规管理体系自身。当然,也会出现那些值得鼓励的事情,这也是一个合规管理体系实施过程中必须予以重视的。此类的制度和机制包括:举报与调查、合规绩效考核、合规问责等。


 二  事前审查与预警

合规审查可能是合规管理体系运行过程中最频繁、最重要的一类活动了。前文已述,我们在合规管理体系建设环节即非常重视“合规审查制度”的制定。合规审查制度或合规审查办法,是合规管理系列制度中很重要的一项制度。在整个企业法律相关事务上,它与合同审查办法,皆是处于基础工作的位置。合规审查一般由合规部门负责。合规部根据承办部门送审事项的具体情况及疑难复杂程度指派审查人员对送审事项展开独立审查,也可委托外部律师出具审查意见。合规审查人员依据法律法规或企业内部规定,对有关事项的程序和内容是否合法合规、是否存在合规风险等合规问题进行审查,做到有理有据。特别是对于重要决策事项,重大项目、新业务、新业务方式等涉及的决策事项;规章制度和重要业务管理规定;合同、协议、章程以及出具的承诺等需要合规审查人员出具意见。但对于各业务中的专业性问题,如研发报告的行情判断、市场分析、客户分析、项目专业判断等问题,不属于合规审查范围。


合规审查是对待决策事项正式的、书面的意见。企业内很多事项,往往是先沟通,后形成书面文件或报告。因此,与书面合规审查对应的是合规咨询,即以口头及正式报告的方式向合规部门提出需求,合规部门以口头或邮件回复意见。但与书面合规审查稍有不同的一点是,合规咨询是强制咨询。即凡业务部门或职能部门对任何事项是否合规,如何合规等存有疑虑时,必须向合规部门提出请求回答的需求。


合规风险预警也属于常用的事前管控手段。它依赖于平时对风险数据的收集及监测。其基本原理是先设置一个阈值或区间值,当传输过来的数据指标落在阈值之上或区间内,即引发内部的报警机制,随之启动下一步的应急处理。这里的关键和难题,是阈值和区间值的设置。因为合规风险,属于违反合规义务的风险。对是否违反合规义务,需要专业人员的判断,不太好数据化,更难定量化。因此,在执行合规风险预警机制之前,需要对合规风险指标、预警阈值、数据收集与传输路径等进行详实筹划。一般可能要在合规管理信息系统内实现。


 三  事中检查与报告

合规检查一般由合规部门牵头,各业务部门、职能部门配合,检查的内容包括各部门遵循法律法规及规章制度的情况、合规管理机制实际运行的有效性、违规事件的整改情况等。合规检查分常规检查和专项检查。常规检查是指根据年度工作计划开展的全面合规检查工作。专项检查是按照年度工作计划、经营管理工作需要,对某项特定业务或重点领域进行的专题性合规检查。合规检查可用现场检查和非现场检查等方式。现场检查是根据合规内控或经营管理的要求,到被检查单位进行实地检查的方式。非现场检查是指要求被检查单位报送各种资料或从管理部门调阅业务档案,或运用合规管理信息系统等工具进行分析,来发现风险点和问题。合规检查可采取与党委巡察、部门督导、内控评价、体系认证审核、安全环保检查等相结合的形式。


合规尽职调查是指对企业商业伙伴的基本情况、资信状况、履约能力、以往合作情况、利益冲突、与政府官员的关系等进行信息披露和调查。商业伙伴包括供应链上下游企业、代理商、顾问、合作方等。合规尽职调查的方法与一般的尽职调查方法并无一致,通过口头交流、核对有关资料、从公开渠道获得重要信息、聘请中介机构等进行。尽职调查结束后,应由合规部门出具合规尽调评估报告。报告应对商业伙伴的合规风险进行评估分级,根据不同的风险级别分别予以处理。


合规报告根据需要,可以有多种形式。作为事中管控环节的合规报告,通常仅指发挥监测和总结作用的定期合规报告,包括年度报告、半年报告或季度报告。合规报告可以是应监管部门的要求而制定,也可能是公司董事会要求制定的。报告内容一般包括:合规管理基本情况、合规负责人及合规部门履行合规管理职责情况、违法违规行为、合规风险隐患的发现及整改情况、合规履职保障情况等。


 四  事后调查与问责

合规举报管理是合规管理体系作为全面风险管理体系内的一部分,与内部控制体系等存在明显区别的一项制度或机制。合规举报是举报人用书信、电子邮件、电话、当面投诉等形式,向合规部门反映情况,提出建议、意见或者举报违反合规义务的事项,依法依规由合规部门查处的过程。举报可采取实名或匿名的方式,公司应设置鼓励举报同时又保护举报人的措施。合规部门须注意接到举报之后,参与调查处理整个过程自身的合法、合规性,应当有相应的流程,保障被举报人或利益关联方的合法权益。


合规绩效考核一般是由企业人力资源部门来主导实施,但由合规部门来具体负责考核评分以及日常管理。任何绩效考核都首先要明确考核标准,这一部分的工作由合规部门来完成。合规绩效考核必须纳入企业薪酬管理体系,以客观指标和明确的分值来评价被考核人员履行岗位合规情况。合规绩效考核的基本程序是:合规部门按考核标准,对被考评对象进行评分认定;然后将考核评分结果反馈给被考评对象。被考评对象对考核评分结果有异议的,可向合规部门提出复审申请;考核结束后,合规部门将合规绩效考核结果递交人力资源部门,由其实施绩效管理。


合规问责是指对企业高管及员工的违法、违规、违纪行为进行责任追究的活动。如涉及违反刑法或其他国家层面的法律、法规,应按规定移交给司法部门或相关政府部门。合规问责须坚持实事求是、有错必究、问责与整改相结合等原则。合规问责的信息来源,一般是合规检查或监测过程中发现的问题或者是有关人员提出的举报、内部控告或申诉等。问责措施自身须合法合规,问责程序也要有相关的法律和内部制度依据。问责事项处理后,一般应形成合规问责决议。问责决议应包括违规事实、后果及影响、责任分析、问责依据和问责措施等内容。


 五  合规管理有效性评价

合规管理体系建成并运行一段时间以后,有必要对其实施效果进行验证。这种按照规定的原则、方式、程序和标准对合规管理体系及合规管理相关人员和工作的有效性进行检验、评价,就是合规管理有效性评价。其目的,就是评估各个层面的合规管理工作,推动公司合规制度体系和管理机制的健全完善和有效执行,培育良好的合规文化。


合规管理有效性评价一般一年至少一次。评估对象为公司董事会、监事会、高级管理人员、合规总监、合规管理部门以及各部门、各层级子公司和全体工作人员;评价内容包括合规管理环境的有效性评价、合规管理职责履行的有效性评价和经营管理活动的有效性评价等;评价程序为一般为:(1)成立评价小组;(2)制定评价方案和评价计划;(3)开展评价活动;(4)评价小组与评价对象认定评价发现的合规管理缺失、遗漏或薄弱环节,并提出整改建议;(5)形成年度合规管理有效性评价报告;(6)按规定的审批权限和程序报公司董事会合规委员会审议批准年度合规管理有效性评价报告。


对合规管理环境的有效性评价,应当重点关注公司高层是否重视合规管理、合规文化建设是否到位、合规管理制度是否健全、合规管理的履职保障是否充分等;对合规管理职责履行情况的评价,应当重点关注合规咨询、合规审查、合规检查、合规监测、合规培训、合规报告、监管沟通与配合等合规管理职能是否有效履行;对经营管理制度与机制建设情况的评价,应当重点关注各项经营管理制度和操作流程是否健全,是否与外部法律、法规和准则相一致,是否能够根据外部法 律、法规和准则的变化及时修订、完善;对经营管理制度与机制运行状况的评价,应当重点关注是否能够严格执行经营管理制度和操作流程,是否能够及时发现并纠正有章不循、违规操作等问题。


合规管理有效性评价结果,一般根据评价内容及标准,采用定性或定量的方法,评定为优秀、良好、合格、不合格等几个等级。全部达标的为优秀级别,在评价项目中 90%以上为达标的,且不存在可能影响公司合规管理有效性的情形为良好等级,以此类推。


对评价结果为“合格”等级的评价对象,公司应对其主要负责人采取强化培训,对其所在部门采取进驻指导等措施;对评价结果为“不合格”等级的评价对象,公司可对其主要负责人采取约见谈话,予以通报批评等措施,同时将派驻合规管理工作人员全面检查其部门合规管理工作,出现合规风险的,追究其负责人和直接责任人的责任,由合规总监提出合规问责和年度绩效考核扣分意见。同时,要求其整改,并对整改情况进行跟踪落实,且对整改的有效性进行验证。    


合规管理体系的运行机制

事前事中事后
合规审查合规检查合规举报管理
合规咨询合规尽职调查合规绩效考核
合规风险预警合规报告合规问责
合规联席会议合规风险监测合规有效性评价



或许您还想看

合规与风控专栏 | 陶光辉:合规管理体系的搭建流程:十步法

合规与风控专栏 | 陶光辉:合规管理的基本原理:涵义、价值与要素

陶光辉:国有企业合规管理体系建设指南

陶光辉 :央、国企建立“企业法治中心”的时代要求、框架设计与流程重组

陶光辉:以合规管理为核心的企业法治运行

陶光辉:合规、内控、风险一体化管理体系的构建

陶光辉:DHH法务、合规、内控与风险一体化管理体系 建设服务方案

陶光辉 | 合规四库:合规管理落地清单

陶光辉:企业合规管理的八个基本问题

陶光辉:以风险管理为导向的企业内控与合规

陶光辉:“三三制”企业合规管理指引

陶光辉:如何构建一套完整的企业合规管理体系?



作者简介

陶光辉

德衡律师集团高级合伙人

陶光辉,德衡律师集团高级合伙人、集团合规与企业法治业务中心总监。法学硕士,高级经济师,曾任500强法务总监,获ALB2016中国最佳总法律顾问称号,目前担任“北大全球高端法商人才计划”(PKUGLBE)未来领袖授课专家,大连大学法学院客座教授,中国人民大学企业法治研究所研究员,青岛仲裁委互联网仲裁院副院长等社会职务,出版《公司法务部》、《法务之道》等书籍。陶律师专注国企合规与风控、法治管理等领域,为多家大型央、国企提供合规管理体系方面的培训与讲座,并发表多篇关于企业合规的文章。


手机:18201002170

邮箱:taoguanghui@deheng.com


质控人简介

王琳琳

合伙人

合规与企业法治业务中心执行总监

wanglinlin@deheng.com


✦本文仅代表作者观点,如需转载、节选,请在后台留言




继续滑动看下一个
德衡律师集团
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存