下载掌阅APP,畅读海量书库
立即打开
不同的企业合规管理现状可谓千差万别。当进行合规体系建设时,它们的手段、侧重点、投入成本和预期效果也不尽相同。相应地,对不同的企业进行合规建设有效性评估,也应当遵循不同的思路、手段和技巧。
所谓“合规建设有效性评估”,就是对企业开展合规体系建设或专项合规建设的效果进行估测,对企业完成某一阶段合规建设后的合规管理水平和合规风险状况进行评价的行为。
对企业的合规建设进行有效性评估,不仅能够检测已完成的合规建设的成效、让企业觉得前期投入“花得值”,同时也能指出企业合规体系中仍存的漏洞,让企业换一种方式去提升,是一个分析、自查和改进的过程。
企业合规建设评估通常既包括有效性评估,还包括完整性评估。前者是为进一步指导企业完善合规体系设计,并注重对合规体系的有效实施与有效运行进行评估,适合于已建立合规管理体系的企业参考;后者则旨在指导企业建立合规体系,扩展合规管理职能及完善合规要素和合规内容。
本文主要针对已经初步建立合规管理体系的企业,通过不同实例进行分析对比,总结合规建设有效性评估的基本流程和典型做法,为企业开展合规建设及其有效性评估提供参考。
关于合规建设有效性评估的主要内容,借鉴美国评估标准的基本框架,根据ISO 37301国际标准,结合我国企业的实际情况,研究制订一套中国特色的合规管理体系有效性评估标准。
美国评估标准的基本框架是从合规管理体系的设计、执行和效果三个主要环节对合规有效性进行评估。
企业合规管理体系设计的有效性,是指根据涉案企业合规风险设计的合规管理体系具有充分性和可行性;企业合规管理体系执行的有效性,是指企业具备实施合规管理体系的条件、意识和能力,并提供了足够的资源保障;企业合规管理体系效果的有效性,则是指通过合规管理体系的实施促进了合规文化的形成、合规目标的实现、可持续发展能力的获得等。
上述三个环节的评估标准,可以借鉴ISO 37301国际标准,并进行必要的中国化改造。
1.美国模式:分类较为清晰的评价指标
实例1 美国《企业合规方案评估指南(2020)》(节录)
三、企业合规机制的有效性
1.持续性改善、定期检测和审查
●内部审计
●内控检测
●风险评估、政策、机制和程序等的持续性更新(是否基于自身不当行为和/或其他公司面临的类似风险更新企业合规机制)
●合规文化
2.不当行为的调查
●内部调查范围合理性、独立性、客观性和文件留存
●内部调查结果的跟进、应对(惩处、追责、问题发生的根源分析)
美国是最早推进企业建立合规管理体系的国家。2017年,美国司法部出台了《企业合规方案评估指南》(Evaluation of Corporate Compliance Programs),并于2019年、2020年均有修订。指南中对企业合规机制的有效性给出了一套全方位的判断标准,包括“持续性改善、定期检测和审查”“不当行为的调查”“潜在不当行为的分析和补救”等大项,在每项下面均罗列了具体要求。
可以看出,美国为合规建设的有效性评估勾勒了一套分类较为清晰、边界相对分明的评价指标。企业需要进行评估时,仅需要对指标每一项进行细化,结合企业实际设计具体的评价方案即可。
2.中国模式:原则性的评价建议
实例2 中国《GB/T 35770-2022合规管理体系 要求及使用指南》(节录)
9.2内部审核
9.2.1通则
组织应在策划的时间间隔内实施内部审核,以便为合规管理体系提供以下信息:
a)是否符合:
1)组织自身对合规管理体系的要求;
2)本文件的要求。
b)是否得到了有效地实施和维护
相较而言,国内企业的合规管理起步较晚,真正被企业重视并开展具体工作,是在2018年国资委发布《中央企业合规管理指引(试行)》后,企业特别是中央企业开始逐步建立合规管理体系,并产生合规管理有效性评估的需求。
自2022年10月开始实施的《中央企业合规管理办法》,对合规管理的有效性评价作出了明确规定,其中第二十七条规定,中央企业应当定期开展合规管理体系有效性评价,针对重点业务合规管理情况适时开展专项评价,强化评价结果运用。
2022年国家标准《合规管理体系 要求及使用指南》中,对合规建设有效性评价的描述也是原则性、倡议性的,仅仅表达了对企业应定期安排合规管理体系审核的态度,并建议企业策划、建立、实施、维护相应的审核方案。至于具体应如何开展审核以及什么样的审核标准,文件并没有进一步说明。
基于上述原因,造成评估指标在企业间难以统一,评估框架不够严谨、科学。很多企业完全依靠书面审查的方式出具评估报告,使得有效性评估流于表面,难以对合规管理形成有效的支撑。
1.内部主体评估
(1)自发式评估
实例3 某公司《内部控制和风险管理制度建设情况报告》(节录)
3.内部控制体系
通过制定完善而严密的内部控制制度,使担保业务流程、权限、审批有章可循。不同部门之间按“审保”分离原则,明确职责与分工,互相制衡……
4.组织架构
……设立组织机构分为项目评审和风险管理两个独立的部门。
5.监督体系
首先建立了业务体系外的监督机构,直接对股东会负责,承担对风险管理系统运作的检查和监督,保证各项制度的严格执行与业务操作规范。其次是通过财务手段和流程设置来对日常工作进行监督,通过担保手续的完善、对人调查、保后监管等方式进行日常监督,防范和化解风险。
所谓“自发式评估”,就是从公司内部开始,由内而外、自上而下地进行合规建设的有效性评估。在开展评估时,方法和手段可能有不同的选择,但一般的评估结果表现形式是《制度建设报告》《项目合规报告》或《合规内部审计报告》等。
自发式评估由于具有随意性和灵活性,是企业在合规建设取得阶段性效果后,任何时间都可以开展的、较为自然的一种评价方式。但与之相对的,由于自发式评估往往依赖企业领导自觉或者合规建设部门的纪律性自查,缺少外部动力和强制性要求,也可能陷入流于形式、无法真正揭示合规建设漏洞等困境。
(2)报送式评估
实例4 某公司《合规管理工作总则》(节录)
1.合规工作传达与汇报
01.各单位应按照下管一级、逐级报告相结合的原则,建立垂直独立的传达、汇报路径。
02.股份公司下属单位合规主管部门应向上一级合规主管部门,每季度报送《合规工作季报》,每年底报送《合规工作年报》。
03.各单位每半年应至少召开一次合规工作例会,总结合规工作进展情况,对重点合规工作进行讨论部署。
与自发式评估相对应,“报送式评估”是指,企业将其合规建设情况以口头汇报或书面总结形式向上级单位(但仍属于集团内部,否则为外部主体评估)呈报,由上级单位对其合规建设的有效性进行评价。
对于进行合规建设的企业来说,报送式评估往往具有一定的被动色彩。尽管由集团公司或者其他上级机关来进行合规有效性评价,能在一定程度上保证客观、公正性,但在材料报送和合规工作传达的过程中仍然有可能出现“失真”,合规建设的有效性评价可能难以做到100%科学有效、公开透明。
2.外部主体评估
(1)检察式评估
实例5 最高检《企业合规典型案例(第二批)》(节录)
案例二:张家港S公司、雎某某销售假冒注册商标的商品案
经向上级检察机关请示并向张家港市企业合规监管委员会报告后,张家港市检察院联合公安机关对S公司启动合规监督考察程序,确定6个月的整改考察期。
2021年8月16日至18日,第三方监督评估小组对该公司合规有效性进行评估,出具了合规建设合格有效的评估报告……2021年8月20日,张家港市检察院组织公开听证……与会人员一致同意检察机关制发相关检察建议。检察机关两个月后回访发现,S公司各项经营已步入正轨,因为合规建设,两家大型企业看中S公司合规资质与其建立了长期合作关系,业务预期翻几番,发展势头强劲。
“检察式评估”是指,检察机关在决定是否起诉前,对涉案企业的合规建设情况和合规义务履行情况进行判断,对其合规建设有效性作出综合评判的行为。
一方面,对于合规体系健全、严格履行员工约束义务的企业,检察机关或法院将让其免于承担违规员工行为的连带责任(如雀巢公司“合规无罪第一案”);另一方面,对于违规程度不高、有一定改过意愿的企业,检察机关可适用“合规不起诉”,对完成合规整改的企业进行综合评估。
(2)专家式评估
实例6 某会计师事务所文件(节录)
5月底,张家港市检察院在办理一起虚开增值税专用发票案时,涉案企业在案发后及时补缴税款,并主动提出其名下的外省某公司也存在合规风险,愿意一并开展合规建设。
张家港市企业合规监管委员会根据企业的风险领域、规模和运营特点,通过第三方监督评估组织智能管理平台进行随机匹配。本人作为会计师被抽中,还有1名税务机关业务骨干、2名律师与我共同组成第三方监督评估小组。
……和企业负责人开展座谈,对调取的企业工商内档及财务账套进行了仔细审查。依托过去的审计工作经验,分析认定该企业存在多项管理风险,针对性地提出改变股权结构、更换记账会计、完善销售流程等建议,均获企业认可,纳入了合规整改范围。
“专家式”评估,顾名思义就是邀请外部专业人士对企业的合规建设情况及合规风险状况进行评估,就企业合规建设的有效性给出专业意见,并且有针对性地提出整改及后续管理的建议。在本案中,企业通过执行外部专家的合规整改建议,成功在3个月整改期满后,获得检察机关相对不起诉决定。
目前参与整体合规建设有效性评价的人员,以律师、会计师、管理咨询人员为主,随着“企业合规师”被纳入《中华人民共和国职业分类大典》,今后可能会出现专门的合规建设有效性评估人员,为企业提供相关服务。
(3)认证式评估
实例7 《中小企业合规管理体系有效性评价(第1稿)》(节录)
模块二:“组织架构和权力配置”
5 机构设置的评价
5.1 机构设置原则评价
5.2 机构构成评价
6职权配置的评价
6.1 治理层(或最高管理层)的职责评价
6.2 合规管理机构的职责评价
6.3 管理者责任
6.4 员工合规责任
严格来讲,“认证式评估”应属于专家式评估的一个子类。考虑到认证式评估需要企业主动报送材料,获得的评估结果为相关认证,并且其评估过程的标准化程度相对较高,将其独立作为一个类别。企业就合规建设的有效性进行认证时,实际上是依托外部专家,运用统一的手段对企业的合规建设情况和相关制度、管理组织的完善程度进行全面审查,并就评估结果以认证的方式予以确认。
1.计分式
实例8 《某银行合规工作考核办法》(节录)
第五条 考核方法 百分制和扣分制相结合,将所有考核项目分别赋予不同的分值,总分100分;
(一)制订本行的合规风险管理计划,有效组织分行及辖属支行的合规管理 (5分)
制订合规风险管理计划,内容全面细致,可操作性强的,得5分;制订合规风险管理计划,内容不够全面细致,具有可操作性的,为良好,得4分;制订合规风险管理计划,内容不全面细致,无操作性的,为一般,得3分;未制订合规风险管理计划的,为较差,得0分。
“计分式评估”的特点是,将企业合规建设和相关制度、管理流程的有效性量化为参数,以数字加总或者其他计算方式,综合呈现企业合规建设有效性的得分。其优点是清晰直观、具备可推广性,在某一集团公司的下属同类业务单位之间,均可采用一套计分标准予以考核。
缺点是前期确定分值等操作标准时的投入较大,同时标准的制订具有一定任意性,未必能够制订出客观全面、科学合理的计分体系。除此之外各个分段之间的区分度难以把握,什么样的做法应称之为“良好”“一般”,一项有瑕疵的做法与理想做法之间的差距是否严格体现为3分/5分,此类问题均需要企业予以考虑。
2.问答式
实例9 《企业合规管理体系有效性评估50问》(节录)
二、政策和流程
制定:3.企业的合规政策和流程是否会经常更新?
发布:4.是否向所有员工及相关第三方传达其政策和流程?
业务职能整合:5.是否借助于内控体系来强化合规管理的政策和流程?
三、培训与沟通
基于风险的培训:6.是否为高风险岗位和负有管理职责的员工提供定制化的合规培训?
培训的形式、内容和效果:7.是否测试员工对培训内容的掌握情况?
提供指引:8.是否提供资源来指导员工合规或做出行为指引?
实例9为金诚同达律师事务所与威科先行共同推出的企业合规体系有效性评估问题清单。清单在设计上主要覆盖三大部分内容——“合规体系的设计是否完善”“合规体系是否有效实施”“合规体系是否有效运行”,并在每一项下作出细分(如培训与沟通、举报和调查程序、第三方商业伙伴管理等),针对细分后的领域提出问题。
“问答式评估”的优点是通过全面的问题网络,基本覆盖合规建设有效性的关键领域,同时避免采用计分形式时评价维度过于单一的问题。值得注意的是,很多时候人们所提的“合规审计报告”“合规内部审计清单”,在本质上也常常是一系列合规问答的集合(有少数采取计分式形式),可以归入问答式的范畴之中。
3.评价式
实例10 某资产管理集团合规建设文件(节录)
浙江分公司对1103份不良资产行业的法律法规、规章制度、地方监管政策进行全面梳理,筛选业务中使用频率较高的29篇规范性法律文件,精心编制《合规手册》……帮助全体员工充分了解行业发展历程,扫清合规知识盲点,持续提升防范化解风险能力,为分公司稳健发展提供重要支撑和坚实保障。
上海分公司严把客户准入关、项目立项关,项目前期加强研讨研判,安排风险管理人员与项目组共同参与项目尽职调查,推进期间通过专业委员会、项目论证会等机制把控尽调重点和风控关键点。
北京分公司将合规文化作为企业文化建设的重要内容,召开案件风险防控专题会议,组织全员踊跃参加北京银保监局“非银机构合规知识问答”。
“评价式”就是不对合规建设有效性的指标进行分类、量化,而是直接对目标公司合规体系的建设情况进行概括性的点评。相比于计分式和问答式,评价式的有效性评估方法“轻评估、重评论”,其情报来源通常是母公司的检查、巡视或者子公司向上级公司进行的情况说明。
因此,这是相对较为随意的一种评估形式,常见于母公司对下属公司的合规建设情况进行评论。如果母公司缺乏对子公司情况的全面调查和把握,没有严格的前期分析、论证、资料收集过程,一般只是选取某个切面进行点评;如果母公司在发布评论前进行了相关调查、辅以相应的有效性评估手段,其评估意见可较为真实、全面地反映子公司合规建设的有效性情况。
合规风险识别分析评估是有效的合规管理体系不可或缺的组成部分,无论是自上而下还是自下而上地执行,合规风险识别分析评估都是必需的。不管采用何种办法,在设置和定义合规管理措施之前,建立系统的风险识别分析和评估流程,始终根据业务开展所在国家的法律和监管环境规范自身生产经营行为至关重要。
合规风险识别是对合规风险进行分析评估的前提。实践中,合规风险识别常见有以下方法:
1.识别访谈法
识别访谈法是指通过访谈员和受访人面对面地交谈来了解受访人的心理和行为的心理学基本研究方法,是指通过对可能存在法律风险的对象,进行的目的是了解其潜在的观点和认知,确定其是否真的存在法律风险的一种识别方法。
2.问卷调查法
问卷调查法是指对企业可能存在的法律风险,通过制作一系列的问题进行度量,从而收集到可靠的资料并进行研判的一种方法。问卷调查方法标准化程度高,效率高且匿名性强,能在短时间内获取大量资料,相对于访谈法更适合在企业内部大范围内进行。
3.案例分析法
案例分析法是指企业根据自身以往的合规风险案例或者其他企业相同或类似的合规风险案例,通过研究分析、总结,以提升企业合规风险识别和预防能力的方法。
4.权力识别法
权力识别法是指通过识别不同岗位上不同的权力内容,再通过权力内容来定位合规风险的一种方法。权力识别法是一种基于岗位的识别方法,即围绕岗位的职责内容、工作特点、人数规模等信息来判断其存在合规风险的可能性。
5.监督举报机制
企业还可以建立举报机制,鼓励举报人通过信函、电话、电子邮件、网络留言等形式对企业可能存在的合规风险进行举报;企业可以增设举报奖励,以提高举报人的积极性。
举报机制建立后,企业还要配套建立相应的调查机制,及时对举报的合规风险进行调查、分析并采取风险化解和处置措施。
6.调查回访
对于企业的外部商业合作伙伴而言,可以通过尽职调查和回访来了解外部带来的合规风险。
首先,企业在与商业伙伴合作前,应该对商业伙伴开展全面的尽职调查,对商业伙伴的行业特点、资金情况、违法违规情况等进行充分的了解,综合判断与该商业伙伴合作的法律风险,避免自身牵涉商业伙伴的违法行为,而承担法律责任。
其次,企业可以在与商业伙伴合作后开展合作回访,通过合作伙伴的信息反馈,了解到此次合作过程中各环节可能存在的法律风险,尤其是识别企业员工在此次合作中是否存在串通投标、商业贿赂等法律风险。
对于上述六种方法,企业应采用哪种方法,可以结合自己的行业特点和合规需求,选择不同的识别方法,比如金融行业可以针对关键岗位采用访谈法,互联网行业可以通过网络的形式开展问卷调查法,医疗行业可以采取权力识别法。
此外,上述几种识别方法并不是非此即彼或者相互对立的,且实践中通常可以融合采用。企业可以同时采取多种识别方法,这样往往会事半功倍。比如在采用访谈法时,可以通过调查问卷法筛选访谈对象;也可以在使用权力识别法之后,针对个别权力的行使,采用调查问卷法或者访谈法找出具体的合规风险。
为保证企业合规风险识别的客观性、全面性和系统性,在运用上述识别方法时,可同时从多个角度对合规风险进行分析梳理,确定合规风险等级,并根据合规风险等级采取对应的风险化解、应对措施。
识别合规风险后,确定合规风险评估的流程时,可以通过以下步骤进行:
第一步:确定需要加强合规风险管理的关键业务或岗位范围,进行企业合规风险形势评审。
一般依据企业每年的年度风险管理计划定期进行合规风险形势评审,合规管理员联系业务部门以座谈、个别访谈、集体讨论、专家咨询和内部纪检监察、审计、内控测试报告、与合规问题相关信息统计计算分析等方式,进行合规风险形势评审,可以采取定性与定量相结合的方法。
合规风险形势评审内容一般包括:企业生产经营是否出现新的或更改的活动、产品或服务;企业的结构或战略是否发生变更;是否发生重要的企业外部变化,如金融经济环境、市场情况、负债和客户关系;企业是否有合规义务的变化;企业内部是否发生不合规行为,又如是否发生违反公司制度的行为,是否发生违反合规要求的从业行为,是否发生违反合规承诺的从业行为,企业内控测试是否存在不合格项,公司专项审计是否存在问题;公司合规目标是否实现;等等。
第二步:明确企业合规目标,制定开展某业务合规风险识别评估的工作方案。
企业只有依据明确的合规目标,才能确定与企业实际情况、生存发展需求相对应的确切风险环境,并据此制定方案。工作方案包括合规风险识别评估范围、工作机构与分工、合规风险识别评估方法、需要完成的工作事项与时间要求等方面的内容。
依据合规风险形势评审结果,企业合规管理员起草合规风险识别评估方案,报合规部负责人审核,报区域合规官审批后即可实施。
第三步:开展权责事项清理,形成“权责清单”。
根据企业业务流程制度规定和部门业务分工、岗位职责和授权,全面清理和确定对管理和服务对象承担的各类工作职责,识别对应的权力,形成“权责清单”。
权责清理方法以关键业务流程为单元,或者以岗位为单元。其中,前者依据业务流程制度规定的工作步骤、责任部门、责任岗位和工作任务,形成每个关键业务流程的“权责清单”,后者则依据岗位职责说明书规定的工作任务形成每个岗位的“权责清单”。
第四步:制作合规风险地图,查找合规风险点。
根据识别的“权责清单”具体内容识别企业风险,彻底的风险识别将提高合规风险透明度,同时也是企业意愿改善经营方式的有力证明。工作方法上,在所列出的风险清单中,以小组讨论、头脑风暴、案例启发、业务座谈等形式,查找对应的可能触发的风险类型。
第五步:对不合规行为的原因及后果进行分析。
根据可能触发的风险类型,推断不合规风险发生可能产生的后果,进行不合规原因、来源查找,并根据以往业务执行情况判断该业务发生的频率,以评估不合规风险发生的机会。
第六步:评估已识别的风险,确定合规风险等级。
根据发生的可能性和潜在的消极后果/物质损失评估企业风险,确定合规风险等级,从而形成风险排序。合规风险等级评估可以采取目标影响评估法,在不合规后果与分析的基础上,评估不合规后果对业务目标的影响,同时评估对合规目标的影响。
一般按照直接影响、间接影响和不影响三个程度进行评估,即按照高、中、低及其对应的直接影响、间接影响、不影响确定合规风险等级,并确定组织愿意接受合规风险等级和待处理的合规风险。
第七步:风险排序,确定风险应对计划。
通过对已识别的企业内部风险进行排序,确定待处理的合规风险点,进而确定企业年度合规应对计划的重点工作领域,也可以据此拟订风险应对计划。
第八步:风险应对措施制定。
根据合规风险点所在的不同业务步骤、岗位和合规风险等级,依据企业制度规定的工作目标、工作步骤、工作责任主体、工作任务、工作记录、工作标准和工作方法,结合合规要求、合规承诺,有针对性地制定合规风险管理措施。对不同等级合规风险的应对措施应区别制定,重点加强对高合规风险点的防控。
第九步:风险应对措施植入流程制度。
根据制定的风险应对措施,修改完善对应的公司流程制度并发布执行。
根据合规风险识别和评估情况,合规风险评估工作最后的落地,应当是一份全面的合规风险评估报告。合规风险评估报告一般可分为定期报告、专项报告。
合规风险评估报告的内容应当包括:合规风险评估实施概况、合规风险评价、存在的合规风险、原因及可能的公司损失、处置建议和应对措施等。具体内容展开如下:
1.合规风险评估工作实施概况
合规风险评估工作的实施概况方面,一般有以下三个方面内容:
(1)合规风险评估立项选择的背景和工作目的;
(2)开展合规风险评估的相关准备工作,包括工作小组、评估范围、使用的识别评估工作方法、工作步骤及时间安排、工作要求等;
(3)合规风险评估实施过程的具体工作情况。
2.合规风险评价
合规风险评价,是将风险分析的结果与企业能够接受的风险水平相比较,或者在各种风险分析结果之间进行比较,以确定风险的等级。
合规风险评价应满足风险应对的需要,否则应做进一步的风险分析。风险评价是利用风险分析过程中获得的对风险的认识,设定合规风险的优先等级,对未来的行动进行决策。
3.合规风险点列明
通过合规风险识别评估,把识别出来的需要采取风险管理措施的合规风险点详细地列出,这是合规风险评估报告的核心内容,也是企业未来制订和采取合规风险整改和应对管理措施时认可的主要依据。
4.合规风险发生的原因分析
合规风险的产生原因,也称为企业风险源。合规风险源基本包括如下几个方面:
(1)利益追逐:因为存在重大利益,企业及其员工明知违规、违法仍然主动为之,从而引发合规风险,给企业带来潜在或者明确的风险。这是当下市场竞争环境下非常普遍的情况。
(2)监控缺失:因为企业内部控制措施缺失或监控措施实施不到位,导致企业高级管理人员或员工能够有机可乘,在为自己逐利的同时损害企业的利益,从而产生合规风险。
(3)认知不足:因为企业及其员工缺乏合规认识或工作能力不足,不知道行为的违法违规,虽有过失之嫌但事实已经违法违规。
(4)制度缺陷:因为企业自身缺少合规规章制度或合规规章制度的设计存在明显的不合规缺陷,导致企业高级管理人员或员工经营行为存在有意识的违规。
(5)违法成本较低:国家法律、行业监管规章制度或者其他法规要求针对的不合规行为对应的相关惩罚机制的威慑力不够强,企业违规违法收益明显大于违规违法成本,导致企业合规风险的发生。
5.合规风险发生可能导致的企业损失
合规风险作为对合规义务的违反而给企业带来法律责任、经济损失及声誉损失的可能性。合规风险可能给企业导致的损失,通常包括法律责任承担、商业声誉损害和商业利益减少。其中,合规风险导致的法律责任承担,主要包括行政制裁和处罚责任、民事赔偿责任和刑事法律责任。
6.合规风险处置建议与应对措施
根据合规风险分析与评价结果,确定风险应对措施和解决方案,制定风险应对措施清单并落实执行。
合规风险应对措施通常包括:制定和执行整改及防控目标和计划;制定、修改和完善企业内部合规规范;与存在重大合规风险的部门管理层商谈,明确合规风险应对措施和职责,纳入绩效考核指标;对相关业务模式、业务流程进行整改和完善;开展专项合规培训与合规活动;严格问责,对违规行为进行违规调查和处置;等等。