标杆案例
国有企业合规管理体系建设指南
国有企业合规管理体系建设指南
指南说明:随着各省国资委陆续颁布本辖区内的国有企业合规管理指引,地方国企合规管理体系建设进入攻坚期,北京德和衡律师事务所合规管理业务部参照合规管理最佳实践模式,根据国企的特点起草《国有企业合规管理体系建设指南》,以供各省国有企业参考。
01 体系建设概述
1.1 国企合规管理体系建设是一个为防范各种合规风险,将“对合规义务的主动遵守”融入到企业全部经营管理活动的管理体系构建过程。
1.2 国企合规管理体系建设的基本路径是识别企业合规风险,搭建合规组织架构,制定合规管理制度,运行合规管控机制,提高合规文化意识。
1.3 本国企合规管理体系建设指南(以下简称为“指南”)系立于企业实施的角度,参考国际、国内相关的合规管理指引或标准,将国有企业新建一套合规管理体系分为十四个操作步骤的方法指导。严格遵守本指南步骤进行合规管理体系建设,将得到一个完整的“国企大合规”体系。
02 明确建设范围
2.1 建设国企合规管理体系,首先要划定建设范围。这是决定向合规管理体系建设工作投入相关资源的前提。相关资源包括人力资源、财务资源、外部专家资源以及组织文化资源。
2.2 明确建设范围应判断是属于集团合规管理体系,还是单个公司合规管理体系。集团合规管理体系,可以在集团总部和集团各下属公司或特定下属公司内施行。单个公司合规管理体系,仅在公司及分公司范围内施行。
2.3 明确建设范围还应判断是建“大合规“体系,还是建某一项或某几项的专项合规体系,如反垄断合规体系、反腐败合规体系、数据保护合规体系等。
2.4 本指南中的合规管理体系建设,主要指包括所有专项的大合规体系。鉴于大合规体系所包含的范围非常广,一般分阶段实施,因此在新建合规管理体系时,往往会明确每个阶段的重点分别在哪几个领域展开。
2.5 选择在哪些领域展开合规建设,主要参考本企业合规风险发生的可能性、发生后的可能后果、过往发生的案例,同行发生的案例等因素决定。
03 制定实施方案
3.1 实施方案是国有企业内部建立健全合规管理体系的指导性文件。实施方案由企业合规部门制定,也可由外部辅导机构协助制定。
3.2 实施方案的内容主要包括合规管理工作的基本思路、主要原则、工作目标、组织领导、主要任务、实施步骤、绩效考核、监督实施等。
3.3 实施方案的制定核心是根据企业管理现状和业务情况,找到推动本企业合规体系建设的适宜抓手,以两到三个工作抓手来有效贯彻实施方案的重要内容。这样的抓手包括但不限于合规风险库、合规联络员制度、合规审查机制、合规检查机制、合规文化塑造等。
3.4 实施方法的制定要求是根据实际情况,将工作任务落实到部门、岗位,工作职责要具体,工作期限要明确,与责任人的绩效考核要挂钩。
3.5 合规管理体系实施方案可单独制定,也可以与内控体系建设方案、全面风险管理体系建设方案等合在一起制定,即法务、合规、内控与风险管理一体化实施方案。
04 体系环境扫描
4.1 环境扫描是出于国企建立合规体系时往往已有一定基础而考虑的。国有企业,包括中央企业,大多数在内部已建立了类似的管控机制。如内部控制体系、全面风险管理体系、法律风险管理机制等。如新建合规管理体系,势必要与已有的管理体系进行区分与互动,甚至需要调整与变革。
4.2 合规管理体系在现发展阶段,本质上是一种风险管理体系,因此环境扫描时需要考虑企业内的业务发展与风险管控的关系。在企业目前整体战略中,风险体系目前处于何种位置,即风险文化是怎么样的,是环境扫描工作需要给出的结论。
4.3 环境扫描须关注人的问题。在企业内支持和驱动合规管理体系建设的主要领导是什么级别的,企业现合规负责人对合规管理的认知与经验有哪些,企业的业务人员对合规管理的态度是怎样的等。
4.4 环境扫描还须关注来自企业外部的力量。企业建立合规管理体系的驱动因素一般是多个的,其中之一便是来自监管部门的要求。监管部门会提出一些指导意见,这些指导意见必须贯彻到合规管理体系的建设之中。
05 业务流程分解
5.1 深入结合业务,是所有的管理体系必须解决的问题,否则可能会造成业务与管控两张皮。对于风险管控人员,要想快速了解业务,最好的办法是与业务人员一起,对业务进行流程分解。
5.2 业务流程分解的目的是建立合规风险识别的基础。合规管理体系之所以是一个管理体系,就在于有计划、系统地梳理企业的经营管理活动,并以此为对象进行下一步的风险识别、风险管控等行为。
5.3 业务流程分解的方法,可按类别、按级别进行。类别一般分为业务实施类、管理支撑类、战略发展类等。级别一般分为3-4级。如业务实施类,可分为采购业务流程、销售业务流程等。采购业务流程又根据采购模式,分为招标采购、公开采购、单一采购。招标采购根据业务操作步骤,分为项目立项、编制招标文件、发布招标文件、组成评标小组、开标、评审、定标等。每一个操作步骤,其实都是一个小的业务流程。
5.4 基于业务流程的风险识别,是以单个或单项业务流程为对象判断是否会发生风险,以及会发生什么风险。如企业业务比较简单,或处于初创阶段业务比较单一,风险比较集中,也可不按流程进行分解,直接以对业务的描述为基础进行风险识别。
06 合规架构优化
6.1 合规架构是有关合规管理过程中需要涉及的人力资源安排。大多数情况下,新建合规管理体系的国有企业已有履行合规职责的人员,但这些职员往往是兼职的,合规架构优化首先是需要将企业内负责合规职责的人员或部门用书面形式固定下来,并将其与其他人员和部门尽量分开,保持合规独立性。
6.2 合规是自上而下的。在公司董事会或高层管理层,应当有负责支持、指导、监督合规工作的人员或机构。一般的,在高层可设置一个合规委员会,可与其他风险管理委员会合署,或者保障合规负责人可进入企业最高决策团队。
6.3 在各业务部门或职能部门内部,也应当配置相关的合规对接人员(可兼职)。这部分人在履行合规职责时,须保持一定独立性,同时向合规负责人报告。
6.4 合规管理涉及的各层级机构或人员,其合规职责须书面化、制度化、明确化。尤其要区分合规职责的牵头部门和主责部门。牵头部门是合规管理的直接归口管理部门,各业务部门是合规管理的责任部门。审计部门应将合规工作开展情况纳入审计范围。
07 公布合规准则
7.1 合规管理不仅是企业内部的风险管控机制的体现,也是企业向外界宣传主动守法理念,弘扬法治文明的体现。因此,合规管理体系建设过程中需要对外表达企业的合规意识,需要对外公布企业所看中的合规文化。
7.2 合规准则,主要是面向企业外界的,同时也是面向全体员工的。可以是综合的宣传,也可以是专项的,如诚信与反腐败准则;可以是面向所有相关人员的,也可以是面向特定人群的,如商业伙伴合规准则。
7.3 综合的商业行为准则,是最常见的合规准则。一般的商业行为准则,结合企业文化,包括基本原则、工作场所、商业竞争、贸易规范、廉洁合作、利益冲突、财务税务、隐私保护、对外披露、社会责任等方面的自愿承诺。
7.4 对外公布的合规准则,一般需要企业最高领导人的亲笔签字。在形式上,也可就此专门进行一个新闻发布会。
08 合规风险评估
8.1 合规管理的目的是要防范和管控合规风险,防范和管控风险的前提是认识和评价风险。因此,合规风险评估是合规管理体系建设过程中最为重要的工作之一。按照风险管理的基本原理,我们只能管理“我们有能力管理”的风险。这里的能力,包括认知、意识、技能等。
8.2 合规风险评估分为风险识别、风险分析、风险评价三个环节。风险识别系形成合规风险信息库的过程,可采用业务流程法、案例检索法、岗位法、合规义务倒推法等,需要业务专家与法律专家的共同努力。不同的方法,可能适用不同的风险识别场景。
8.3 风险分析是对合规风险发生的原因、来源、发生可能性、发生影响后果等四个方面进行定性或定量的分析,形成合规风险分析表。风险评价是对经过定性或定量分析过的风险进行排序、分级,形成风险地图及底线风险列表。
8.4 合规风险评估的成果,是形成一套完整的企业合规风险清单(合规风险库)。这是下一步采取针对性合规管控措施的基础。合规风险库是一个不断完善,不断修正的过程,同时也必须定期的维护、更新。
8.5 合规风险评估还需要注意风险评估工作由谁或哪个部门负责。一般认为应当由业务部门或风险产生部门先自行识别各自合规风险,然后由合规管理部门进行鉴定、归纳和总结。
8.6 合规风险评估在合规管理体系建设中,可作为一项专门的工作来执行,也可与其他合规管理体系建设阶段工作同步进行,如业务流程分解、合规制度制定等。
09 合规制度拟定
9.1 合规体系是一种管控型管理体系,必须依赖于企业内的规章制度才得以落地实施。合规管理制度体系是合规管理体系中最为关键的子体系,也是合规管理工作中最为“有形化”的部分。
9.2 合规制度包括合规管理的一般性规定,即合规管理办法或合规管理实施细则等;也包括为推动合规运行的专项规定,如合规风险评估办法、合规审查办法、合规检查办法、合规考核办法、合规有效性评价办法、举报与调查管理办法;还包括落实合规管控的专项制度,如反贿赂反腐败合规管理办法、数据保护与网络安全合规管理办法、劳动用工合规管理办法等。这些用于专项合规管控的制度,与专项的合规管理指引可以合并,也可以单独制定。
9.3 合规制度一般由本制定的目标和适用范围、相关的组织架构和岗位职责、合规工作程序、合规工作评价、考核与监督问责等模块组成。
9.4 合规制度可视企业需要,需要一个制定一个,成熟一个颁布一个,不是所有的都要一次全部制定齐全。
10 合规指引拟定
10.1 合规管理指引本质上是合规管理规章制度的一种。本指南之所以把合规指引与合规制度区别出来,并更为强调合规指引的拟定,主要因为合规指引是关于业务如何遵守合规义务的规章制度,而合规制度是关于合规工作如何开展的规章制度。前者强调以图文表达为主,后者当然是文字表达为主。
10.2 合规指引包括按业务条线进行拟定的规定和按部门法域进行拟定的规定。前者如采购合规管理指引、销售合规管理指引、投资合规管理指引、市场宣传合规管理指引,后者如反垄断合规指引、商业伙伴合规指引、数据保护与网络安全合规指引、环境保护合规管理指引等。
10.3 合规指引的结构包括指引的目的和适用范围、合规义务概述、不合规后果、典型的不合规行为举例说明、合规应对操作说明、合规义务来源等。
10.4 合规指引最为需要结合企业的业务流程情况,如果不熟悉业务风险或不熟悉合规义务,合规指引的拟定将成为一个难题。鉴于各企业存在不相同的业务,建议参考一些行业专家对风险案例的总结。
11 合规机制设计
11.1 合规管理机制是贯穿于企业合规管理过程中的一些最佳做法。可以说,合规机制是动态的、局部的合规制度或合规指引。
11.2 合规机制包括合规联席会议机制、合规强制咨询机制、合规风险报告机制、合规风险跟踪机制、合规岗位履职监控机制、合规第三方尽职调查机制等。
11.3 对于合规机制的表现形态,可以专门拟定规章制度或规定在某一合规制度内,也可就是一些日常做法或表单流程。
11.4 合规机制是合规制度或合规指引在企业内实施的必要补充,要灵活设计,并按管理理论的基本办法保障其在企业内能得到真正实施。
12 风险指标设定
12.1 风险永远是动态的,现状被认为是风险,未来不一定仍是风险;关键是现在被认为是安全的,未来很可能会发生实际的风险。为保障合规管理体系对风险变化的适应性,有必要设定一些指标,保持对风险的动态关注,这是保证合规管理体系持续有效的重要手段。
12.2 合规风险指标的设定要考虑三方面的变化。一是合规义务,主要是法律、法规的变化带来的合规风险变化;第二个是业务流程发生变化带来的合规风险变化;三是外部环境或第三方带来的对企业经营管理的影响而产生的合规风险变化。
12.3 合规风险指标,可以是定性的,也可以是定量的,同时要按所监控的合规领域进行设定。如反腐败合规风险指标设定时,可判断企业发生的招待费、公关费、宣传费等在相同时期内是否发生了明显的异常为监测对象。
12.4 合规风险指标设定不以追求数量为目的,关键是要有能真实反映情况的数据来源和渠道,不管是经由人工收集的,还是经由信息系统收集的。
13 举报途径设置
13.1 合规管理体系的一个重要功能是可以发现、惩治不合规的行为,否则就是一个不完整的合规体系。如何发现不合规行为,通过关系人的举报,是一个重要的线索来源。这是那些运行良好的合规管理体系所必不可少的安排。
13.2 常见的举报途径包括热线电话、电子邮箱、信件等。对于举报,应制定专门的举报管理办法,保护举报人的利益,包括鼓励举报。
13.3 对于举报,应配套对应的调查程序和调查方法。对举报的受理和处理,都应该要有透明或公正的机制。对于调查人员自身的调查、约谈和证据收集等行为,自身要在合法、合理的范围内进行。
14 合规文化培训
14.1 合规培训对于宣传合规文化,强化合规意识,保留合规有效性证据等,都是必不可少的。
14.2 合规培训的对象与内容包括对全体员工的“普法式”合规培训,对合规部门人员的合规技能培训,对于重点领域或特定领域人员的合规意识或合规风险案例培训。合规培训的形式,可以是多样的。既可以是专家讲授,也可以是考试式的,还可以是模拟场景式的。合规培训应当与合规文化宣传工作同时进行。
14.3 合规培训的频率,根据企业需要,应定期举行,并每次培训都应留存记录。
15 合规管理手册
15.1 合规管理手册是国有企业合规管理体系建设的集大成之标志性成果。如同内控管理手册,合规管理手册其实是一个汇编文件。
15.2 合规管理手册的内容,建议包括手册说明、合规理念、合规管理组织与职责、合规行为准则、合规管理制度、合规风险评估、合规运行机制、合规保障机制、合规培训与合规文化等。
15.3 完整的合规管理工作,在编制合规管理手册之后,还有合规体系有效性评价、合规运行报告、合规改进,合规与内控、风险管理一体化等工作。这些工作属于建立健全合规管理体系之后的合规体系运行实践,暂未包含在本指南内。
作者简介
陶光辉,北京德和衡律师事务所高级合伙人,德衡律师集团管委会成员,一法网创始人。武汉大学法学硕士,高级经济师,曾任500强法务总监,获ALB2016中国最佳总法律顾问称号,担任北京大学全球高端法商人才计划未来领袖授课专家,中国人民大学企业法治研究所兼职研究员,大连大学法学院客座教授,青岛仲裁委互联网仲裁院副院长,北京律师协会企业法律顾问专业委员会副主任等职务,著有《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)、《合规管理十论》(内部出版)等。
在合规管理体系建设领域,陶律师创建了 “DHH合规内控风险一体化建设五环模型”,并发表如下论文:《构建效率与合规并进的法务风控体系》、《以风险管理为导向的企业内控与合规》、《合规、内控、风险一体化管理体系:基于流程与统一架构》、《以合规管理为核心的企业法治运行》等。