【星来合规】新一代企业竞标利器——企业如何建设合规管理体系|ISO 37301系列文章(下)
目
录
一、底层要素——组织及其所处的环境
二、顶层要素——合规目标及原则
三、核心要素——领导作用、合规治理及合规文化
四、执行要素——可循环推动的合规管理结构
本文共6273字,建议阅读时长12分钟
一、底层要素——组织及其所处的环境
1. 外部环境
2. 内部环境
二、顶层要素——合规目标及原则
合规目标即合规管理体系建设需解决的问题或所追求的价值。企业制定合规目标时,既要制定总目标,例如诚信经营、构建企业文化、遵纪守法、维护良好企业声誉、体现企业社会价值、伦理道德等;又要为企业内部各职能和各级别拆分合规目标,并以可以量化结果的方式制定目标,例如管理层应每年对员工进行两次合规培训。企业所制定的合规目标应当符合合规政策、遵守适用的法律法规,具有可行性、可被评估,并根据业务发展情况可酌情进行更新。
管理体系与业务融合:强调合规管理体系并非是独立的制度,而是应依托业务设计并融入到业务中;
良好的治理结构:强调领导层发挥领导作用的同时,在管理体系组织架构上增加对领导层的监督约束,保障合规团队的角色职责和独立性;
合规成本投入与合规风险相称:强调对企业所处的环境和合规风险进行识别、分析,确定优先级排序,依据合规需求优先级优化资源分配,平衡合规成本与合规需求;
廉正:强调企业内部廉洁、诚信的企业文化,规避员工舞弊、腐败行为;
透明:强调将及时报告和披露合规信息,通过举报违规行为或及时披露信息,及时采取措施应对不合规问题进而降低合规风险;
问责制:强调作为企业业务管理的准则、落实合规负责人,并将合规绩效考核纳入员工绩效考核;
可持续性:强调合规管理体系并非建成即一成不变,而是通过不断调整和更新推动体系建设发展。
三、核心要素——领导作用、合规治理及合规文化
1. 领导作用
领导层和各级管理层通过其行动和决定,积极表示致力于建立、发展、实施、评价、维持和改进有效和能够迅速反应的合规管理体系;
领导层以正式的方式确认合规方针;
最高管理者为充分实现组织合规承诺负责;
各级管理层始终如一地向员工传达(通过言语和行动证明)一个明确的信息,企业将履行其合规义务;
对合规承诺以明确和令人信服的声明并辅以行动,广泛地传达给所有人员和相关方等。
2. 合规治理
合规团队与企业领导层拥有直接的联系,并应该与后者进行直接地交流,例如实践中企业设置诚信合规委员会,并由其直接向企业董事会进行汇报,合规团队派人员列席董事会等;
合规团队应该保持独立性,其行动、运作不受到任何其他机构不适当的干涉;
合规团队拥有实权,应该有权倡导和提出任何与合规相关的问题;
合规团队拥有充分的资源来支持组织不受限制地开展合规管理体系的必要工作和承担必要职责。
3. 合规文化
四、执行要素——可循环推动的合规管理结构
1. 风险评估
首先,需要对企业的各类风险进行识别,通过尽职调查、跨部门讨论等方式全面地了解企业的组织架构、业务流程、财务与用工制度等内容,尽可能全面地列举出企业经营过程中可能面临的实际风险。衡量和评估企业合规风险通常会从以下两个方面进行:一是风险发生概率,二是风险发生后所造成后果的严重程度。根据发生概率和后果严重程度的不同组合,可以将企业合规风险分为以下几类:
发生概率高且发生后造成后果非常严重:此类风险应为企业合规过程中高度重视并时刻关注的风险;
发生概率低但发生后造成后果非常严重:此类风险虽然发生的可能性小,但是一旦出现就会带来严重后果,企业需要重点关注如何降低此类风险带来的不利影响,并制定风险应对预案,以便发生时可以及时、有效应对;
发生概率高但发生后不会带来严重后果:此类风险虽然容易发生,但一般不会影响企业的正常经营,因此实践中优先级低于前两类风险,企业可以通过合规体系建设来降低此类风险的发生概率;
发生概率低且发生后不会带来严重后果:此类风险在实践中几乎可以忽略。
第三,需要评估企业现行风险管理制度的有效性,进而衡量企业剩余风险[4],对剩余风险按照风险概率与后果的不同组合进行分类,并确定优先级,以便更高效的分配合规管理资源,降低风险对企业的不利影响。
最后,因为企业合规风险会根据政策变化、内部调整、业务模式更新等因素发生变化,所以风险评估需要定期重新按照前述流程进行,确保风险能够被有效监测并得到合理应对。
2. 规划
合规目标的设立应以合规风险评估结果为基础,以降低整体风险为首要目的。规划如何实现合规目标时,企业应明确针对何种目的做合规、需要何种资源、由谁负责落实合规工作、何时完成(进度)以及如何评估结果。如前所述,合规目标的制定应当是可量化的,既包括合规管理体系搭建的总目标,也包括就不同具体业务场景明确的合规目的。
3. 支持
资源支持:企业应确定并提供合规管理体系的建立、实施、维护和持续改进所需的资源,如财务预算、基础设施等。我们建议企业首先明确可供合规管理体系建设的总资源,进而依据合规子目标的设定确定资源分配方案,保证资源的高效利用;
人才支持:企业应明确为推动合规管理体系建设,企业内部各组织和各职能所需的员工具备的必要能力,确保招聘的人才与岗位要求具备适配性,确保团队人才专业背景的多元和补充性;
合规意识培养:企业应定期组织员工进行合规培训,增强员工合规意识,了解合规政策,充分知悉合规管理工作对企业发展的重要性,并提供内部合规交流或投诉的沟通渠道;
充分沟通机制:企业应建立充分通畅的信息沟通渠道,既包括企业内部不同部门间的沟通交流,确保合规部门的独立性,还包括企业外部与内部的沟通,如与主管部门的联络,跟踪监管趋势和政策发展;消费者、用户与企业的良好沟通和反馈。此外,建立企业合规违规举报投诉通道也是必要的;
信息文件化:企业应落实合规管理工作信息留痕机制,创建明确的合规管理制度和文件,并对合规工作开展过程中产生的业务沟通、合规研究、合规举报、合规风险应对等信息进行记录和保存。
4. 执行
精心设计的合规管理体系应该具备两个维度的建构。其一,应确保合规管理体系可以对合规文化产生良性影响,如制定企业行为守则并在日常运行中加以落实,使企业中的所有人员均能获悉并谨遵。其二,应对企业重点业务活动领域实施防控措施,包括企业的所有业务流程,如生产、安装、服务、维护、销售等,以及针对合同订立相对方、供应商或销售商的风险管理。若企业将部分商业运营外包,则应对第三方进行有效的尽职调查,以确定其可以满足不低于企业自身程度的合规标准及承诺。
针对重点领域、重点合作伙伴进行合规风险梳理,以此为基础制定清晰、实用且易于遵循的书面操作政策、流程和工作指引;
划分重点合规事项,设立审批制度;
制定年度合规计划;
针对合规管理体系进行定期、不断的有效性评估,等等。
5. 绩效评价
有效合规绩效评价的信息来源通常包括:
企业人员(例如通过举报制度、热线电话、反馈、意见箱等);
顾客(例如通过投诉处理系统);
第三方、供应商、合同相对方等;
已存在的合规问题;
不合规事项;
审计及评审,等。
最终,企业合规管理体系有效性绩效评价的结果以及相应改进提议应该形成一份书面报告,并定期(通常是每年)提供给企业领导层。
6. 改进
另请注意,在对合规管理体系进行修订时,应对需要修订之处作整体影响的考虑及把控,以保持合规管理体系的完整性及有效性。
结 语
可认证的ISO 37301适用于各类企业,企业应该乘势而为,依据ISO 37301搭建、更新合规管理体系,率先拿得认证。这对企业来说是发展的重要机遇,也将有助于企业应对后续更为严格、复杂的合规要求。
注释:
[1] 对组织的活动、治理和政策负有最终责任和权力的个人或多人,最高管理者向其报告并对其负责。
[2] 在最高层级指导和控制组织的个人或多人。
[3] 固有风险是指企业在没有对应的合规风险管理控制措施,处于无管控状态下的全部合规风险。
[4] 剩余风险是在企业当前已有的合规风险管理措施管控下,仍然还有未被有效管控的部分残留合规风险。
【星来合规】新一代企业竞标利器——可认证的国际合规管理标准ISO 37301(上)
2021.05.18
从ISO 19600到ISO 37301——企业合规管理标准修订变化解读
2021.04.30
声 明
《星来法律智引》所刊登的文章仅代表作者本人观点,不得视为星来律师事务所或其律师出具的正式法律意见或建议。本文仅供个人学习、探讨企业合规管理所用,不涉及其他商业用途。如任何单位或个人认为本文涉及侵犯其合法权益的,请及时与我们联系,我们将立即采取措施予以解决。