合规管理体系的运行机制包括哪些(合规管理的三道防线分别是什么)
国际合规监管趋势日趋严格,美国、英国、法国、联合国、经合组织、世界经济论坛、国际商会、世界银行等各个国家及组织密集出台反腐败、诚信合规等法规及指引,执法力度加大。伴随着中国企业走出去的浪潮,中央企业及其它国有企业海外经营风险频发,其中合规风险较为突出。中兴合规事件几乎给企业带来灭顶之灾,也给其它企业敲响了合规的警钟。
国务院国资委从2016年开始选择了中石油、中国移动、招商局、东方电气、中国铁工五家央企作为试点单位开展合规管理试点,其它少数央企也同步实施,积累了一定的经验。今年11月9日,国务院国资委印发《中央企合规管理指引(试行)》(下简称“指引”),要求中央企业应当按照全面覆盖、强化责任、协同联动、客观独立的原则加快建立健全合规管理体系,为企业开展合规体系建设和相关工作提供了政策指导。
合规定义及合规管理的重要原则
指引共包含6章31条,具体分为总则、合规管理职责、合规管理重点、合规管理运行、合规管理保障、附则。
总则包括四条,对指引颁布的意义、重要定义、合规管理原则做出了规定。其中指引第二条对合规、合规风险、合规管理的涵义进行了说明 ,强调了“合规”的范围,企业应当合什么规——外法、内规、国际规则,此条与ISO19600中的“合规要求”和“合规承诺”类似,外法、国际规则可视为合规要求,而内规则可视为“合规承诺”。同时,第二条还强调 了合规管理是一个独立的全过程管理,包括“制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等”。
指引第四条则明确了企业主要负责人进合规管理第一责任人,重申 了合规管理在法制建设中的重要地位,要求企业建立全员合规责任制,明确各层级、各岗位的合规责任并有效落实。在“协同联动”这一原则下,指引强调“风险导向”的各类职能的协同联动,尤其是法律、合规、内控、风险管理职能,着力解决两类问题:“风险导向”职能的资源分散,无法力出一孔;各类风险信息沟通不畅,无法协同实施风险应对。鉴于监察、审计的职能定位,德勤建议宜保持其相对独立性,并与上述具有“风险导向性”的职能合理衔接。德勤认为“风险导向”职能的两条生命线分别是专业、独立,合规职能亦不例外,即应当符合“客观独立”原则,在权限赋予、汇报路线、人员任命及考核方面按照“独立性”原则进行设置。
合规管理职责分配
指引第二章则明确了各层级管理机构在合规管理中的管理职责。指引要求中央企业建立健全合规管理“三道防线”,即:业务部门是防范合规风险的第一道防线,业务人员及其负责人应当承担首要合规责任;合规管理牵头部门是防控合规风险的第二道防线,同时也是合规管理体系建设和实施的责任单位;内部审计和纪检监察部门是防控合规风险的第三道防线,监督、评价公司整体风险防控措施的有效性。合规管理牵头部门既具有组织、协调和监督的职能,对于一些重要的合规事项也应当有直接参与和执行的责任,如合规培训、合规举报的调查等。
合规管理重点工作
指引第三章则主要对合规管理的重点领域进行了规定,要求中央企业在全面推进的基础上,“突出领域、重点环节和重点人员”。指引所述重点领域包括市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等领域。重点环节包括制度制定环节、决策环节、运营环节等。重点人员包括理人员、高风险岗位人员、境外人员等。
指引第十六条特别强调了海外投资经营行为的合规管理,要求企业研究和掌握投资所在国的合规要求,明确负面清单行为,完善海外投资经营管控体系,定期排查、梳理海外投资经营业务的风险 ,有效进行监控、检查。
合规管理运行机制建设
指引第四章明确了六项合规管理运行建设的重要工作:建立健全合规管理制度;建立合规风险识别预警机制;加强合规风险应对;建立健全合规审查机制;强化违规问责,畅通举报渠道;开展定期合规管理评估。其中,指引第二十条指出企业应“建立健全合规审查机制,将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序,及时对不合规的内容提出修改建议,未经合规审查不得实施”,这是一项重要的机制创新,能够使企业及时将外部有关合规要求内化为内部规章制度,避免管理要求自始存在合规瑕疵的问题。
合规管理保障与支持
指引第五章要求企业加强合规考核评价,强化合规管理信息化建设,建立专业化、高素质的合规管理队伍,重视合规培训,培育合规文化,建立合规报告制度,为合规管理体系的有效运行提供机能保障与支持。其中,指引第二十四条要求企业使用信息化的手段优化管理流程,记录和保存相关信息,运用大数据等信息工具,开展实时在线监控和风险分析,实现信息集成与共享。德勤认为,除上述信息工具外,制度化、常态化的培训机制也可利用信息化的手段达成,尤其是海外业务丰富、分支机构复杂、管理团队多样的中央企业,利用在线培训系统/平台能够达成培训内容统一、培训参与度可跟踪、培训效果可考核、培训成本较低的目标。
德勤观点:建立两层次合规管理体系框架
合规管理体系既应具有自身完整的体系架构,亦应深入重点领域细化管控要求。合规管理体系要想充分发挥作用,与风险、内控等管理体系一样,“风险导向”、“深入业务”应是值得时刻关注的两项原则。
近年来,中国企业在合规管理方面开展了多项实践,但总体上看处于起步阶段,尤其是与合规管理体系已较为完善的跨国企业相比,存在缺乏系统性、组织性、有效性等问题。
相较于跨国企业,中国企业在开展合规管理工作时,缺少统一规划,合规职能散布于内审、财务、人事、监察等部门,重复建设和工作真空并存,合规管理体系不完整;绝大部分国内企业尚没有建立合规管理组织架构,未明确合规管理机构、配备专业合规人员;对于已探索开展合规管理的企业,管理手段匮乏、针对性和实效性不强,也是企业常常面临的难题。
企业想要建立切合经营实际、行之有效的合规管理体系,需要解决以下四个难点问题:
难点一
如何规划合规管理顶层架构
企业在设计合规管理顶层架构时,应当充分参考《指引》、国际国内标准、领先实践与企业自身实际。 2017年12月29日,由中国标准化研究院牵头制定的GB/T 35770-2017《合规管理体系 指南》(下简称《指南》)国家标准经国家质量监督检验检疫总局、国家标准化管理委员会正式批准、发布,并于于2018年8月1日起正式实施。《指南》以ISO 19600:2014 - Compliance management systems – Guidelines为蓝本,对各类组织开展合规管理体系建设和运行提供了普适性的指导意见。
按照《指南》的意见,企业应从了解组织环境、期望着手,明确合规管理体系的对象与范围,设定治理结构与原则,明确合规义务,开展合规风险评估,并对体系的运行进行持续监督。
德勤认为,在体系的各要素中,为实现合规管理体系的有效运行,以下四大支柱尤为重要:高层态度、合规文化、合规风险评估与应对机制、设置CCO并赋权。高层态度对于企业诚信文化建设以及合规经营至关重要,决定了整个企业的价值观和道德环境。合规文化,尤其是讲诚信的企业文化,对于实现经营目标,真正落实企业合规管理的相关制度和措施起到至关重要的作用。合规风险评估与应对机制,对企业实现目标的影响与日俱增,企业通过定期开展合规风险评估以有效的识别、分析和应对这些风险。为更好的维护公司声誉,应对合规风险,一流跨国企业普遍设立了首席合规官(CCO)。
难点二
合规职能与其他部门如何协作
尽管合规管理工作应做到全面覆盖,但合规管理部门并不能也不应直接参与到业务运营中的方方面面来对合规风险的防控发表意见。对于一些由合规部门直接管理效果较好或需要具有一定集中性的合规工作,应由合规职能部门直接管控,而对于其他工作则需要区分职责分工,合规部门给予配合、监督、培训等支持。
难点三
如何实施商业伙伴合规调查
从《指引》、《指南》及国际先进实践来看,企业的合规管理不是一项独善其身的工作,应当致力于建立企业的合规生态圈,以企业自身为中心向上、下游的商业伙伴延伸,将企业的合规意愿与原则传达给商业伙伴,并拒绝与存在合规问题或隐患的商业伙伴持续合作,除非其愿意进行整改。在具体实践中,对商业伙伴的合规管理主要是通过对商业伙伴的合规尽职调查完成的,并辅以必要的合同条款进行约束。
商业伙伴主要包括业务顾问、经销商、承包商、投资商、销售代理及供应商等。合作前应开展尽职调查,评估合规风险,合作过程中应对合规风险进行动态管理并定期开展风险评估。不同的商业伙伴具有不同的合规风险表现,应在合规调查中予以区别关注:
难点四
合规文化培育
合规文化的形成不是一蹴而就的,是一个长期的、潜移默化的过程,更是一个上下一致、协心同力的过程。首先,企业应当吸纳底层声音,融入管理者意图,定义一个上下认同的企业合规文化,将合规文化融入企业文化中,成为企业文化不可或缺的部分。第二,要充分宣贯企业合规文化和理念,利用各类媒介,大力宣传合规成就价值的观念,将之灌输到每位员工的内心,以期形成浓厚的合规文化氛围。第三,通过构建完备合规制度体系,形成合规文化的内涵固化、形式统一和时效延伸。第四,通过培训、积极引导等方式消除对合规文化不满者的抵抗情绪,而对于明知固犯的员工则应当采取严肃的处置手段,避免企业广大员工形成“合规可有可无,业务仍然第一”的错误认知。第五,对于新并购企业,应将企业合规文化延伸至新并购企业,新并购企业需认同和遵守集团合规文化,这也是新公司融入集团并接受集团管理的关键。
国资委发布的《指引》不仅为中央企业开展合规管理体系建设明确了工作要求与标准,更为广大中国企业,尤其是那些志在开拓全球业务版图的企业提供了如何开展合规管理工作的政策指导。在《指引》中重点领域也往往是企业在国内外业务经营和发展中承受最大监管压力、潜在风险最高,甚至出现过较大损失案例的业务环节,企业应当在开展合规体系建设过程中予以充分的重视。
合规九要素:企业全面合规的系统方法
商业贿赂、舞弊、洗钱等腐败犯罪行为正逐渐成为全球性问题。各国监管机构及国际机构为维护市场公平竞争秩序、建设廉洁的营商环境,进一步提高了企业的合规经营管理要求。
自1999年起,世界银行宣布不给“黑名单”内任何涉嫌贪污受贿的国际公司以投标资格,禁止其参与由该行自主的所有项目,目前中国已有44家企业进入该名单,如葛洲坝集团、湖南建设集团、中国水利电力对外公司等。
十八届四中全会通过的《中共中央关于全面推进依法治国若干重大问题的决定》,开启了中国法治建设的新时代。2016年初国务院国资委印发《关于全面推进法治央企建设的意见》,对我国企业增强依法合规管理能力,推动合规管理体系建设提出更高层面的要求。
近年来,因违反市场公平竞争、反舞弊与反腐败、环保标准、质量要求等合规监管规定而受到相关监管机构严厉处罚的案例层出不穷,这些案件无一不给企业带来巨额经济损失。
- 2016年初,荷兰电信巨头VimpelCom因其在乌兹别克斯坦向政府官员行贿,受到SEC和DOJ共计7.95亿美元的经济处罚;
- 2016年12月,上汽通用因垄断被上海市物价局罚款2.01亿。这是继奥迪、奔驰、克莱斯勒及东风日产后国内又一家因垄断被处罚的整车企业;
- 2016年11月,纽约州金融服务局以违反反洗钱法、掩盖可疑金融交易为由对中国某银行纽约分行处以2.15亿美元的罚款;
- 2015年9月,美国环境保护署指控大众汽车集团生产的部分柴油发动机利用“失效保护器”规避尾气排放监测。大众最终以147亿美元与监管机构达成部分和解协议。
德勤合规管理模型以合规文化为核心,由人员、技术、程序支撑,分为治理与领导力、风险评估与尽职调查、标准政策与程序、培训与沟通、员工报告、案件管理与调查、测试与监控、第三方合规、持续改进九个要素,通过体系设计、运行、评估实现合规管理。
合规管理体系核心——道德与合规文化
- 道德与合规文化:合规文化包括企业合规价值观以及来自高层领导的积极支持和承诺。
合规管理体系三项关键支柱
- 人员:企业应安排具备合规经验的人员设计、运营和维护合规管理体系,并依据该体系框架管理法律、政策、道德风险;
- 技术:先进的技术工具有利于促进合规管理体系的设计、运营;完善的技术平台能有效整合各类风险,并帮助企业预防、监测道德合规风险,实现事后快速响应;
- 制度:企业应制定适当的制度保证合规管理体系以合规风险为导向,并通过优化业务流程提高合规管理效率,降低管理成本。
合规管理体系九要素
- 治理与领导力:合规管理需要治理层、管理层、合规专业人员的设计、运行、维护和监督,并通过组织结构的合理设置确保合规体系的独立性和权威性;
- 风险评估与尽职调查:风险评估是合规管理的基础,有助于企业明确合规管理和尽职调查的重点;
- 标准、政策与程序:合规管理标准、政策、流程应清晰可执行,能有效控制企业的关键合规风险;
- 培训与沟通:为增强员工合规意识,提高员工履行合规义务的能力,企业应制定系统的、以风险为导向的培训沟通制度,并向各层级人员宣传合规要求;
- 员工报告:员工报告制度应为员工提出合规问题、报告潜在合规事项提供安全、顺畅的渠道,提高合规管理的效果;
- 案件管理与调查:企业应明确各类合规案件的分类、优先级、管理职责和调查程序;
- 测试与监控:企业应定期测试合规管理体系的设计有效性和控制执行有效性,并持续监控关键合规风险,在风险暴露初期采取相应行动;
- 第三方合规:企业的合规管理应延伸至第三方合作伙伴的合规管理,实现合作伙伴关键风险领域全流程风险筛查;
- 持续改进:为保证合规风险闭环管理,企业应明确合规管理改进政策,定期评估合规管理体系的有效性,并将测试监控的成果纳入改进工作。
来源:法务人俱乐部