中小企业合规管理体系有效性评价T/CASMES19—2022(20220701)
相关推荐阅读
1、涉案企业合规建设、评估和审查办法(试行)(20220419)
3、关于建立涉案企业合规第三方监督评估机制的指导意见(试行)(20210603)
中小企业合规管理体系有效性评价T/CASMES19—2022(20220701)
《中小企业合规管理体系有效性评价》代码T/CASMES19—2022,经中国中小企业协会于2022年5月23日发布,2022年7月1日施行。
·引 言
为规范中小企业合规管理体系有效性评价活动,引导和促进其合规管理体系建设,提升合规管理能力,识别和防范合规风险,建设合规文化,根据《中小企业促进法》等相关法律和《关于促进中小企业健康发展的指导意见》《“十四五”促进中小企业发展规划》等政策,参照ISO 37301:2021《合规管理体系要求及使用指南》等规定,结合我国实际,制定本标准。
1范 围
本标准确立了中小微企业合规管理体系有效性评价的总体原则和方法,规定了评价机制和评价指本标准适用于中小微企业自身开展合规管理体系有效性评价,也适用于国家机关、行业协会、认证机构等相关方面对中小微企业合规管理体系有效性的评价。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
ISO37301合规管理体系要求及使用指南
3术语和定义
ISO37301界定的以及下列术语和定义适用于本文件。
3.1合规管理体系有效性effectiveness of compliance management system
识别、监控和处置合规风险(3.2),形成合规文化(3.6)的实效及其程度,包括合规计划制定、合规计划执行和合规计划实施结果的有效性。
3.2合规风险compliance risk
因未遵守组织合规义务(3.3)而发生不合规(3.5)的可能性及其后果。
3.3合规义务compliance obligations
组织强制性地必须遵守的要求,以及组织自愿选择遵守的要求。
3.4合规compliance
履行组织的全部合规义务(3.3)。
3.5不合规noncompliance
未履行合规义务(3.3)
3.6合规文化compliance culture
贯穿整个组织的价值观、道德规范、信仰和行为,并与组织结构和控制系统相互作用,产生有利于合规(3.4)的行为规范。
注:价值观是组织所崇尚的文化的核心,是组织行为的基本原则。
4总体原则
合规管理体系有效性评价应遵循以下原则:
a)全面性原则。评价内容和结果能够反映企业合规管理体系建设、运行的整体情况,包括建立、实施、运行、维护、持续改进等过程,这些过程依托或者包含于一套具有持续改进和自我强化能力的合规管理体系中,且与企业内的其他管理体系协同。
b)差异性原则。针对不同行业中小企业的特点,设定不同的评价内容、指标以及指标权重。权重的设置根据中小企业的合规风险、经营规模、业务范围、行业特点等因素决定。
c)明确性原则。对于每项评价内容和指标确立明确的评价准则,给出一致的评价方法,以确保评价结果的相对稳定,且具有可比性。
d)可证实性原则。所设置的评价机制和评价指标,便于理解和采集,能够通过客观的追溯方法或溯源材料得到证实,且评价的过程和结论也能够得到客观证实。
e)引导性原则。坚持缺陷查找与合规价值观引领相结合,评价结果既能反映中小企业合规管理取得的成效和存在的不足,又能引导中小企业树立良好的合规价值观,持续改进合规管理体系。
5评价方法、内容和流程
5.1评价方法
合规管理体系有效性评价可以根据评价内容和指标的具体情况,采用文件审阅、问卷调查、访谈调研、飞行检查、穿行测试、感知测试、模拟运行等评价方法。
5.2评价内容
合规管理体系有效性评价包括对合规管理机构设置和职责配置(见第6章)、合规风险识别(见第7章)、合规风险应对和持续改进(见第8章)、合规文化建设(见第9章)等方面的评价。具体评价指标见附录A、附录B和附录C。
5.3评价流程
5.3.1合规管理体系有效性评价一般包括评价准备、评价实施和评价报告三个阶段。
5.3.2在评价准备阶段,组建评价小组,制定评价方案,明确评价目的、范围、评价方法、需要收集的信息和数据、分工、进程等要求。
评价小组应由具备被评价企业所属行业的专业知识、经验和技能的人员与具备实施评价活动所需要的合规知识、经验和技能的人员组成。评价机构及其评价人员应具有相应资质。
5.3.3在评价实施阶段,评价小组按照评价机制和评价指标实施评价。
进行沟通,就相关问题进行核实。
5.3.4在评价报告阶段,评价小组根据评价实施情况,撰写评价报告。评价报告至少包括以下内容:
a)评价活动的组织者、评价小组相关信息;
b)被评价企业的基本信息;
c)评价目的、范围和依据;
d)评价的程序和方法;
e)评价所依据的信息及其来源;
f)评价结论;
g)合规管理问题和改进建议。
6机构设置和职责配置
6.1合规管理机构设置和职责配置的有效性评价应当以合规管理机构的适当性、独立性和权威性作为基本标准。
6.2企业应根据业务、规模和行业特点设置适当的合规管理机构,包括以下方面:
a)设置合规领导机构。有董事会的企业设合规管理委员会,没有董事会的企业设合规领导小组。
b)确定合规管理第一责任人。法定代表人或实际控制人是企业合规的第一责任人,并作为合规管理委员会或合规领导小组的成员。各业务部门的负责人在其领域内也负有相应的合规管理责任。
c)设置合规管理机构。中型企业一般应设合规管理部门,小微企业应配备至少一名合规专员,合规专员应由具备合规管理资质或相关专业能力的人员担任,可以聘请兼职的企业合规师或者律师等。
6.3合规领导机构确定企业合规目标,配置合理资源支持合规管理工作,监督和协调合规管理体系运行。
规管理部门或合规专员应及时有效识别企业合规义务,制订合规政策与管理流程,管控合规风险,保障合规目标的实现。
企业各业务部门应设置合规联络员,协助合规管理部门或者合规专员工作。
6.4合规领导机构履行企业合规领导职能,包括以下方面:
a)设定合规绩效指标,评价合规目标达到程度;
b)监督企业合规管理体系运行情况;
c)定期听取合规管理部门或者合规专员的专题汇报;
d)对违规行为及时作出适当的处理决定并予以公示;
e)确保合规管理部门、合规专员、合规联络员在企业内部开展合规工作不受阻碍;
f)确保合规管理部门、合规专员、合规联络员能够获取开展合规工作需要的员工信息、文件信息和所需要的数据。
6.5合规管理部门或合规专员独立履行合规管理职能,表现在以下方面:
a)合规管理部门或合规专员应获得合规领导机构的正式授权,获得必要的人员配备和经费保障;
b)合规管理部门或合规专员有权直接向合规领导机构汇报合规工作,必要时可直接向法定代表人或实际控制人汇报合规工作;
c)合规管理部门或合规专员保持合规工作的独立性。
6.6合规管理部门或合规专员应在企业内部具有一定权威,表现在以下方面:
a)在信息知情、参与决策、关键岗位控制、重点经营活动、重要经营管理文件审查等方面发挥作用;
b)企业经营的重要决策工作应经过合规评审程序,并经合规领导机构签署意见;
c)合规管理部门认为企业的重要决策存在重大风险的,有权向合规领导机构报告;
d)经营范围单一的小微企业,合规专员应当对上述事项进行审查并出具合规审查意见。
6.7合规管理部门或合规专员职责主要有以下方面:
a)合规工作的计划、执行、检查、监督、整改和报告;
b)合规义务的收集、识别、汇编、转化为内部规章制度;
c)合规风险的评估、监控、处置;
d)开展合规培训,弘扬合规文化。
6.8各业务部门的合规联络员具有明确的合规管理职责,表现在以下方面:
a)对本部门合规工作的执行情况实施监控;
b)及时向部门负责人、合规管理部门或合规专员报告疑虑或不合规行为;
c)及时向部门传递企业的合规政策及其变更。
7合规风险识别
7.1合规义务的梳理和辨别是合规风险识别的基础。
7.2合规义务识别机制,包括能够识别与企业业务活动、产品和服务相关的自愿性义务和强制性义务的机构、方法、制度和流程。
7.3合规义务识别机制的实施,包括配备人员,规定方法,落实制度,实施流程,形成识别合规义务的文件化信息。
7.4合规义务识别机制的实施保障,包括领导支持、人力资源、预算、必备物项工具,开展培训与交流等。
7.5合规义务识别机制的实施效果,包括识别出重要合规义务、合规风险,并将这些合规义务与业务活动、产品和服务相关联,确保识别合规义务的机制与管理措施更新相结合。
7.6合规风险的评估和分级机制,包括根据风险发生概率和影响程度,对合规风险进行评估和分级的机构、方法、制度和流程。
7.7合规风险评估和分级机制的实施,包括配备人员,规定方法,落实制度,实施流程,形成合规风险评估、分级的文件化信息。
7.8合规风险评估和分级机制的实施保障,包括领导支持、人力资源、预算、必备物项工具,开展合规培训与交流,关注并培育合规文化等方面。
7.9合规风险评估和分级机制的实施效果,包括确定合规风险等级和优先管理顺序,并将这些排序、分级的合规风险与业务活动、产品和服务相关联,确保合规风险评估和分级与管理措施更新相结合。
8合规风险应对和持续改进
8.1合规风险应对
8.1.1合规风险应对机制,包括企业根据合规评估和分级结果,设置合规风险应对责任人、应对措施、应对流程,记录与沟通机制、监督与检查机制,以及针对突发合规事件的应对预案。
8.1.2企业合规风险应对机制的实施,包括配备人员,落实应对措施,实施应对流程或应对预案,开展第三方、雇员等相关方的合规尽职调查,形成合规风险应对的文件化信息,以及对合规风险应对机制有效性进行定期或不定期评审。
8.1.3合规风险应对机制的实施保障,包括领导支持、人力资源、预算、必备物项工具,开展合规培训与交流,关注并培育合规文化等方面。
8.1.4合规风险应对机制的实施效果,包括合规风险应对机制与业务活动、产品和服务结合,嵌入业务流程,并与企业其他机制协同,有效预防或处置了中高等级的合规风险。
8.2日常监测
8.2.1合规风险日常监测机制,包括日常监测合规风险的机构、方法、措施、频率、信息来源、结果运用、操作流程等,以及明确监控重点人员、重点岗位及重点环节。
8.2.2日常监测措施包括监控计划、预警指标、合规审计、管理层合规评审、合规调查等。
8.2.3合规风险日常监测机制的实施,包括配备人员,针对新制度和流程、新业务、新产品、新市场启动管理层合规评审,实施合规审计,对违规行为启动调查,形成日常监测的文件化信息,以及对日常监测机制的有效性进行定期或不定期评审。
8.2.4合规风险日常监测机制的实施保障,包括领导支持、人力资源、预算、必备物项工具,开展合规培训与交流,关注并培育合规文化等方面。
8.2.5合规风险日常监测机制的实施效果,包括日常监测程度与业务活动、产品和服务匹配,监控范围覆盖重点人员、重点岗位和重点环节,监控主体及时发现违规预警信号并启动合规调查,监控结果作为合规管理持续改进的依据。
8.3举报机制
8.3.1违规行为举报机制,包括受理举报的机构、举报渠道、举报信息保密制度、举报人保护制度、举报处置流程以及合规疑虑与咨询程序等。
8.3.2举报机制的实施,包括配备人员,受理并处置举报,形成举报的文件化信息,以及对举报及其处理结果进行分析,包括在未接到举报的情形下对举报机制的有效性进行分析。
8.3.3举报机制的实施保障,包括领导支持、人力资源、预算、必备物项工具,开展合规培训与交流,关注并培育合规文化等方面。
8.3.4举报机制的实施效果,包括员工信任并愿意使用举报渠道,接收到举报,通过举报发现违规行为和合规管理漏洞,并采取持续改进措施。
8.4报告机制
8.4.1合规报告机制,包括有关合规报告的对象、内容、形式、周期、流程等制度以及有关合规报告真实性、客观性和全面性的要求。
8.4.2合规报告机制的实施,包括配备人员,该人员依照制度和流程向最高管理层提交了合规报告,合规报告受到充分保护、未被篡改。
8.4.3合规报告机制的实施保障,包括领导支持、人力资源、预算、必备物项工具,开展合规培训与交流,关注并培育合规文化等方面。
8.4.4合规报告机制的实施效果,包括最高管理层收到合规报告,合规报告信息真实、客观、全面,基于合规报告信息优化合规管理。
8.5持续改进
8.5.1持续改进机制,包括制定合规整改措施和违规问责制度,指定人员跟踪和评估合规风险的变化,持续调整或更新管控措施,具备相关机制以对管控措施与合规管理目标的偏离进行原因分析,采取相应措施确保合规管理与企业的实际情况相适应。
8.5.2持续改进机制的实施,包括对具体不合规行为进行整改和问责,具有实施持续改进机制的文件化信息,定期或不定期对持续改进机制有效性进行评审。
8.5.3持续改进机制的实施保障,包括领导支持、人力资源、预算、必备物项工具,开展合规培训与交流,关注并培育合规文化等方面。
8.5.4持续改进机制的实施效果,包括具体不合规行为得到整改,违规事件责任人被问责,相同或类似的不合规事件得到有效防范、尽早发现或避免,系统性漏洞或责任缺失得到补救,公司员工及利益相关方认可企业在合规管理改善方面的尝试和努力。
9合规文化建设
9.1合规文化建设的有效性评价应以各个层级、各领域员工所具备的合规知识、合规意识、合规信念和合规行为为基本标准。
9.2主要负责人和管理层的合规承诺和表率作用对合规文化的形成和提升具有重要作用。
9.3各层级员工都作出合规承诺,并对其合规职责进行绩效考核。
9.4合规信息的沟通与传达,包括合规知识和观念的宣传、培训、沟通等。
9.5合规文化的形成,包括对不合规行为的反应、行为习惯的改变、顾客或者客户对其合规形象的印象。
·附录A
(规范性)
合规管理机构设置和职责配置评价指标
表A.1给出了合规管理机构设置与职责配置的评价指标。
律师简介
戴卫祥律师联系方式
电话:13940919059
微信号码:dailvshi8
大连市沙河口区滨河街98B号5层
辽宁瑞畅律师事务所秉承“专业、极致、责任、共赢”的执业理念,为您提供全方位的法律服务。
瑞畅律师
更多内容,敬请关注