查看原文
其他

【星来合规】新一代企业竞标利器——企业如何建设合规管理体系|ISO 37301系列文章(下)

星来合规中心 星来律师 2022-09-24

一、底层要素——组织及其所处的环境

二、顶层要素——合规目标及原则

三、核心要素——领导作用、合规治理及合规文化

四、执行要素——可循环推动的合规管理结构

本文共6273字,建议阅读时长12分钟


ISO 37301明确规定该标准适用于各种类型、规模及性质的组织,包括但不限于个体经营者、公司、集团、企事业单位、权力机构、合伙企业、慈善机构或研究机构等,而无论该组织是否构成法人组织、公有或是私有。因此,该标准对各类企业开展、落实合规管理工作皆具有广泛的指导意义。ISO 37301并未就企业具体的业务合规问题给出答案,但其提供了一种科学、高效、系统的合规管理方法。万变不离其宗,合规是动态的管理战略,是培育并展现企业文化的内控制度,基于ISO 37301搭建的合规管理体系可以适用在各种具体的业务合规需求中。


合规管理体系是一个框架,它包含了基本结构、策略、流程和程序,以实现期望的合规效果,并采取行动防止、识别和应对不合规的问题。合规管理体系具有连贯、严谨的组织架构,是动态、系统的管理制度,构建合规管理体系,应重点把握以下构成要素:


一、底层要素——组织及其所处的环境


所谓合规,本质上即为帮助企业更好地遵守义务、满足或平衡各方的需求和期望。了解组织及组织所处的环境有助于帮助企业了解、知悉该等义务、需求和期望。企业及其所处的环境要素是企业在制定合规管理策略前需要考虑的内、外部环境因素,这是搭建合规管理体系的基础和先决性条件。


1. 外部环境


外部要素既包括企业所处的监管环境,也包括因企业与外部利益相关方达成的协议或约定而产生的合规性义务。一方面,企业应明确“合”何种“规”,即企业所处的监管环境。监管环境可能会因企业所处的行业、所经营的业务模式发生变化,也可能会因为国家政策的调整而发生变动。通常来说,外部监管环境会考虑法律法规的要求、生效判决、国家政策、监管趋势和监管尺度等。另一方面企业还应梳理其自愿接受的义务,如与第三方合作达成的协议、自愿加入的组织、团体、以及对外披露的政策等。


2. 内部环境


另一方面,从企业内部要素而言,企业还需清晰地了解企业自身发展现状,包括企业文化、企业的经营战略与业务模式、业务性质和业务范围、企业自身内部的组织架构、管理政策、现有资源以及与合作第三方的关系。


企业应在充分了解内、外部要素的基础上,确定合规管理体系的界限和适用性,定制合规管理体系,既能帮助企业遵从外部监管要求,又能实现内部业务发展需求与合规成本的平衡。


二、顶层要素——合规目标及原则


在清楚了解底层要素(外部环境及企业自身情况)的基础上,企业应明确合规管理体系建设的目标及原则,这是贯穿于整个合规管理体系建设的指导性要素。
合规目标即合规管理体系建设需解决的问题或所追求的价值。企业制定合规目标时,既要制定总目标,例如诚信经营、构建企业文化、遵纪守法、维护良好企业声誉、体现企业社会价值、伦理道德等;又要为企业内部各职能和各级别拆分合规目标,并以可以量化结果的方式制定目标,例如管理层应每年对员工进行两次合规培训。企业所制定的合规目标应当符合合规政策、遵守适用的法律法规,具有可行性、可被评估,并根据业务发展情况可酌情进行更新。


企业合规原则是指指导、约束企业建设合规管理体系的方针,例如:


  • 管理体系与业务融合:强调合规管理体系并非是独立的制度,而是应依托业务设计并融入到业务中;


  • 良好的治理结构:强调领导层发挥领导作用的同时,在管理体系组织架构上增加对领导层的监督约束,保障合规团队的角色职责和独立性;


  • 合规成本投入与合规风险相称:强调对企业所处的环境和合规风险进行识别、分析,确定优先级排序,依据合规需求优先级优化资源分配,平衡合规成本与合规需求;


  • 廉正:强调企业内部廉洁、诚信的企业文化,规避员工舞弊、腐败行为;


  • 透明:强调将及时报告和披露合规信息,通过举报违规行为或及时披露信息,及时采取措施应对不合规问题进而降低合规风险;


  • 问责制:强调作为企业业务管理的准则、落实合规负责人,并将合规绩效考核纳入员工绩效考核;


  • 可持续性:强调合规管理体系并非建成即一成不变,而是通过不断调整和更新推动体系建设发展。


三、核心要素——领导作用、合规治理及合规文化


领导作用、合规治理及合规文化是合规管理体系的三大核心支柱,亦是建设合规体系并维持其稳定、有效运行的关键。


1. 领导作用


领导指企业治理机构[1]和最高管理者[2],领导作用主要指企业治理机构和最高管理者作出清晰且有效的合规承诺等。由于合规管理体系的建构是“自上而下”的,领导层的率先垂范在合规管理体系的建设和运营中具有至关重要的作用。例如,华为公司的领导层就作出了“坚持诚信经营、恪守商业道德、遵守所有适用的法律法规”“通过资源的持续投入建立符合业界最佳实践的合规管理体系”等公开、清楚的承诺。


领导层表达承诺的方式有很多种,最重要的是通过积极、明确的支持以建立和维护合规管理体系:


  • 领导层和各级管理层通过其行动和决定,积极表示致力于建立、发展、实施、评价、维持和改进有效和能够迅速反应的合规管理体系;


  • 领导层以正式的方式确认合规方针;


  • 最高管理者为充分实现组织合规承诺负责;


  • 各级管理层始终如一地向员工传达(通过言语和行动证明)一个明确的信息,企业将履行其合规义务;


  • 对合规承诺以明确和令人信服的声明并辅以行动,广泛地传达给所有人员和相关方等。


2. 合规治理


合规治理是ISO 37301新设立的合规管理体系版块,它的主要作用在于明确负责合规管理的合规团队在企业内部治理架构中的地位及权力。实践中,合规团队可以单独成为部门,亦可与法务、风控合于同一部门内,但须满足下述基础原则:


  • 合规团队与企业领导层拥有直接的联系,并应该与后者进行直接地交流,例如实践中企业设置诚信合规委员会,并由其直接向企业董事会进行汇报,合规团队派人员列席董事会等;


  • 合规团队应该保持独立性,其行动、运作不受到任何其他机构不适当的干涉;


  • 合规团队拥有实权,应该有权倡导和提出任何与合规相关的问题;


  • 合规团队拥有充分的资源来支持组织不受限制地开展合规管理体系的必要工作和承担必要职责。


3. 合规文化


合规文化指贯穿整个组织的价值观、道德准则、信念以及影响客户、员工、供应商、市场和社区最终所获的行为和做法,其与组织的结构和控制系统相互作用,产生有利于合规成果的行为准则。企业领导层及各级管理层应该积极培育、宣扬合规文化,使合规文化渗透到企业的全部人员、所有业务领域及日常管理、运营的各个维度。


支持合规文化发展的因素包括一系列清晰发布的价值观、管理层积极实施和遵守价值观及在入职培训或新员工训练中强调合规和组织价值观等。曾受世界银行集团“附解除条件的取消资格”制裁的湖南建工集团,就建立了以“讲规则、守信用、说真话、办实事”为道德尺度和行为准则的集团诚信合规文化,并要求每位员工宣读、遵守《合规宣言》。


四、执行要素——可循环推动的合规管理结构


合规管理体系首先是构建基础框架,然后通过执行政策、流程和程序使得这一体系运作,并在运作的过程中不断进行合规管理体系有效性绩效评估,进而以此作为基础进行改进。因此如前所述,合规管理体系并非是建成后即一成不变的,而是一个循环推动的管理模式。


1. 风险评估


合规风险的评估意味着识别企业可能面临的合规风险,并对合规风险待解决的优先级进行排序。在企业合规实践中,如何进行风险评估并对风险准确分类是开展合规工作的重要内容。开展合规风险评估需做好以下四个方面:
首先,需要对企业的各类风险进行识别,通过尽职调查、跨部门讨论等方式全面地了解企业的组织架构、业务流程、财务与用工制度等内容,尽可能全面地列举出企业经营过程中可能面临的实际风险。衡量和评估企业合规风险通常会从以下两个方面进行:一是风险发生概率,二是风险发生后所造成后果的严重程度。根据发生概率和后果严重程度的不同组合,可以将企业合规风险分为以下几类:


  • 发生概率高且发生后造成后果非常严重:此类风险应为企业合规过程中高度重视并时刻关注的风险;


  • 发生概率低但发生后造成后果非常严重:此类风险虽然发生的可能性小,但是一旦出现就会带来严重后果,企业需要重点关注如何降低此类风险带来的不利影响,并制定风险应对预案,以便发生时可以及时、有效应对;


  • 发生概率高但发生后不会带来严重后果:此类风险虽然容易发生,但一般不会影响企业的正常经营,因此实践中优先级低于前两类风险,企业可以通过合规体系建设来降低此类风险的发生概率;


  • 发生概率低且发生后不会带来严重后果:此类风险在实践中几乎可以忽略。


其次,需要对固有风险进行评估[3],通过评估风险发生概率与后果严重程度来衡量企业在面对每一项风险时的应对能力。需要注意的是,风险来源很可能会影响企业对风险概率与后果的判断,因此在评测风险概率与后果之前,企业还需要分析风险来源,即哪些事件会导致风险的发生。
第三,需要评估企业现行风险管理制度的有效性,进而衡量企业剩余风险[4],对剩余风险按照风险概率与后果的不同组合进行分类,并确定优先级,以便更高效的分配合规管理资源,降低风险对企业的不利影响。
最后,因为企业合规风险会根据政策变化、内部调整、业务模式更新等因素发生变化,所以风险评估需要定期重新按照前述流程进行,确保风险能够被有效监测并得到合理应对。


2. 规划


规划旨在帮助企业防止或减少不利后果、保证合规管理体系能达到预期效果并实现持续改进。企业规划管理体系时,应考虑企业的合规目标、确定的合规义务、合规风险的评估结果,进而规划资源分配、设计合规管理体系融入企业现有的业务活动中的方式、起草合规政策、明确合规措施、并规划评估合规管理体系有效性的措施。


合规规划应满足两个层次的要求:第一层是指根据风险评估的结果,规划应采取何种措施预防并降低合规风险,第二层则是分析企业的资源和所处的环境,帮助企业充分、高效、科学地利用资源,采取措施在有利的环境条件中受益。
合规目标的设立应以合规风险评估结果为基础,以降低整体风险为首要目的。规划如何实现合规目标时,企业应明确针对何种目的做合规、需要何种资源、由谁负责落实合规工作、何时完成(进度)以及如何评估结果。如前所述,合规目标的制定应当是可量化的,既包括合规管理体系搭建的总目标,也包括就不同具体业务场景明确的合规目的。


3. 支持


为了保障合规管理体系的有效落成和实施,企业应提供多方位的支持措施:


  • 资源支持:企业应确定并提供合规管理体系的建立、实施、维护和持续改进所需的资源,如财务预算、基础设施等。我们建议企业首先明确可供合规管理体系建设的总资源,进而依据合规子目标的设定确定资源分配方案,保证资源的高效利用;


  • 人才支持:企业应明确为推动合规管理体系建设,企业内部各组织和各职能所需的员工具备的必要能力,确保招聘的人才与岗位要求具备适配性,确保团队人才专业背景的多元和补充性;


  • 合规意识培养:企业应定期组织员工进行合规培训,增强员工合规意识,了解合规政策,充分知悉合规管理工作对企业发展的重要性,并提供内部合规交流或投诉的沟通渠道;


  • 充分沟通机制:企业应建立充分通畅的信息沟通渠道,既包括企业内部不同部门间的沟通交流,确保合规部门的独立性,还包括企业外部与内部的沟通,如与主管部门的联络,跟踪监管趋势和政策发展;消费者、用户与企业的良好沟通和反馈。此外,建立企业合规违规举报投诉通道也是必要的;


  • 信息文件化:企业应落实合规管理工作信息留痕机制,创建明确的合规管理制度和文件,并对合规工作开展过程中产生的业务沟通、合规研究、合规举报、合规风险应对等信息进行记录和保存。


4. 执行


企业应在合规管理体系的执行层面具体策划、实施和控制实现合规方针及规划所应达至的各项程序,以保证合规管理体系的平稳、有效运行。
精心设计的合规管理体系应该具备两个维度的建构。其一,应确保合规管理体系可以对合规文化产生良性影响,如制定企业行为守则并在日常运行中加以落实,使企业中的所有人员均能获悉并谨遵。其二,应对企业重点业务活动领域实施防控措施,包括企业的所有业务流程,如生产、安装、服务、维护、销售等,以及针对合同订立相对方、供应商或销售商的风险管理。若企业将部分商业运营外包,则应对第三方进行有效的尽职调查,以确定其可以满足不低于企业自身程度的合规标准及承诺。


前述控制措施可以包括:


  • 针对重点领域、重点合作伙伴进行合规风险梳理,以此为基础制定清晰、实用且易于遵循的书面操作政策、流程和工作指引;


  • 划分重点合规事项,设立审批制度;


  • 制定年度合规计划;


  • 针对合规管理体系进行定期、不断的有效性评估,等等。


此外,企业应该考虑建立一种允许匿名或保密的举报制度,企业的员工和代理人可以通过畅通的渠道,向最高管理者和企业治理机构(包括相关委员会)进行举报或寻求指导,而不必担心遭受报复。伴随该举报制度,企业应该就针对企业人员或有关第三方任何不当行为的指控或怀疑,设立及时、彻底的调查程序,并落实文件信息化,将企业的回应、调查结果、企业所采取的惩罚与补救措施,以及以此为基础对合规管理体系的修订、更新进行文件化的留痕。


5. 绩效评价


绩效评价包括监督、测量、分析及评估四个步骤,亦包含内部审计及管理评审的内容,其主要作用在于对现存合规管理体系的有效性进行评估,并成为后续修订、改进合规管理体系的依据。
有效合规绩效评价的信息来源通常包括:


  • 企业人员(例如通过举报制度、热线电话、反馈、意见箱等);


  • 顾客(例如通过投诉处理系统);


  • 第三方、供应商、合同相对方等;


  • 已存在的合规问题;


  • 不合规事项;


  • 审计及评审,等。


企业应该特别注意建立合规报告制度,合规报告制度已成为评价合规管理体系的重要信息来源之一,因为即使是一个小的问题也可能透露当前流程和合规管理体系存在严重的缺陷。如果不及时报告,可能会导致企业认为小问题无关紧要,并可能使这种小问题演变为系统性的大问题。
最终,企业合规管理体系有效性绩效评价的结果以及相应改进提议应该形成一份书面报告,并定期(通常是每年)提供给企业领导层。


6. 改进


合规是动态的而非一成不变的,应该根据实践效果持续不断地对已有的合规管理体系进行修订、更新,使其更加符合企业管理、运营的现状。企业须根据定期绩效评价的结果及相应改进提议,以确定是否有必要以及如何修订合规管理体系。
另请注意,在对合规管理体系进行修订时,应对需要修订之处作整体影响的考虑及把控,以保持合规管理体系的完整性及有效性。


结 语


2021年3月,十三届全国人大四次会议表决通过了“十四五规划”。“十四五规划”明确提出引导走出去企业“加强合规管理”,并“推动民营企业守法合规经营”,企业合规建设的范围从国有企业扩大到民营企业。至此,企业合规管理已被提升到国家战略层面。可以预见的是,落实企业合规管理,既是时代趋势,亦为符合国家战略的必然要求。
可认证的ISO 37301适用于各类企业,企业应该乘势而为,依据ISO 37301搭建、更新合规管理体系,率先拿得认证。这对企业来说是发展的重要机遇,也将有助于企业应对后续更为严格、复杂的合规要求。


注释:

[1] 对组织的活动、治理和政策负有最终责任和权力的个人或多人,最高管理者向其报告并对其负责。

[2] 在最高层级指导和控制组织的个人或多人。

[3] 固有风险是指企业在没有对应的合规风险管理控制措施,处于无管控状态下的全部合规风险。

[4] 剩余风险是在企业当前已有的合规风险管理措施管控下,仍然还有未被有效管控的部分残留合规风险。


【星来合规】新一代企业竞标利器——可认证的国际合规管理标准ISO 37301(上)

2021.05.18


从ISO 19600到ISO 37301——企业合规管理标准修订变化解读

2021.04.30


声  明

《星来法律智引》所刊登的文章仅代表作者本人观点,不得视为星来律师事务所或其律师出具的正式法律意见或建议。本文仅供个人学习、探讨企业合规管理所用,不涉及其他商业用途。如任何单位或个人认为本文涉及侵犯其合法权益的,请及时与我们联系,我们将立即采取措施予以解决。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存