指南说明:随着国务院国资委《中央企业合规管理办法》的颁发与实施,各省国资委陆续优化、升级本辖区内的国有企业合规管理办法,地方国有企业合规管理体系建设进入强化期,北京德和衡律师事务所合规与企业法治业务中心参照合规管理最佳实践模式,根据国企的业务及管理一般特点,由陶光辉律师作为执笔人,起草和修订了《国有企业合规管理体系建设指南》(2023版),以供各省、市国有企业参考。
1. 体系建设概述
1.1 国有企业合规管理体系建设是一个为有效防范合规风险,将“合规要求”嵌入到企业经营管理活动,并为之构建一个有计划、有组织的特别管理体系的过程。
1.2 国有企业合规管理体系建设的有效路径,包括评估合规风险,搭建合规组织架构,明确合规管理职责,完善合规管理制度,运行合规管控机制,组织合规能力培训,优化合规文化意识等。
1.3 本建设指南(以下简称为“指南”)基于企业角度,参考国际、国内相关的合规管理办法或标准,将国有企业建设合规管理体系分为十五个操作步骤。参考本指南进行合规管理体系建设,将有助于国企法务合规人员提升本企业合规管理体系建设工作效能。
2. 明确建设范围
2.1 建设国有企业合规管理体系,首先要划定建设范围。这是决定向合规管理体系建设工作投入相关资源的前提。相关资源包括人力资源、财务资源、外部专家资源以及组织文化资源。
2.2 明确建设范围应判断是属于集团合规管理体系,还是单个公司合规管理体系。集团合规管理体系,可以在集团总部和集团各下属公司或特定下属公司内施行。单个公司合规管理体系,仅在公司及分公司范围内施行。
2.3 明确建设范围还应判断是建“大合规“体系,还是建某一项或某几项的专项合规体系,如反垄断合规体系、反腐败合规体系、数据保护合规体系,或者是投资合规管理专项,研发合规管理专项,采购合规管理专项。
2.4 本指南中的合规管理体系建设,主包括所有专项的大合规体系。鉴于大合规体系所包含的范围非常广,一般分阶段实施,因此在新建合规管理体系时,往往会明确每个阶段的重点分别在哪几个领域展开。
2.5 在部分先行先试的国有企业,已经开展了前期的合规管理体系建设工作,后续可在实施运行、体系有效性评价、合规履职评价,合规审计等领域继续展开。
2.6 选择在哪些领域展开合规建设,可参考本企业当前合规工作的成熟度、合规风险发生的可能性、发生后的可能后果、过往发生的案例,同行发生的案例以及监管最新政策提及的合规重点等因素。
3. 制定实施方案
3.1 实施方案是国有企业内部建立健全合规管理体系的指导性文件。实施方案由企业合规部门制定,也可由外部辅导机构协助制定。
3.2 实施方案的内容主要包括合规管理工作的基本思路、主要原则、工作目标、组织领导、主要任务、实施步骤、绩效考核、监督实施等。
3.3 实施方案的制定核心是根据企业管理现状和业务情况,找到推动本企业合规体系建设的适宜抓手,以两到三个工作抓手来有效贯彻实施方案的重要内容。这样的抓手包括但不限于合规风险库、合规职责清单、合规联络员制度、合规审查机制、合规检查机制、合规流程管控清单、合规文化塑造等。
3.4 实施方法的制定要求是根据实际情况,将工作任务落实到部门、岗位,工作职责要具体,工作期限要明确,与责任人的绩效考核要挂钩。
3.5 合规管理体系实施方案可单独制定,也可以与内控体系建设方案、全面风险管理体系建设方案等合在一起制定,即法务、合规、内控与风险管理一体化实施方案。
3.6 制定合规、内控、风险一体化实施方案,应注意合规管理、法务管理、内部控制的不同发展程度,突出各自不同的价值理念。合规管理重在监督,法务管理重在效率,内部控制重在制衡,风险管理重在权衡。
4. 体系环境扫描
4.1 环境扫描是出于国企建立合规体系时往往已有一定基础而考虑的。国有企业,包括中央企业,大多数在内部已建立了类似的管控机制。如内部控制体系、全面风险管理体系、法律风险管理机制等。如新建合规管理体系,势必要与已有的管理体系进行区分与互动,甚至需要调整与变革。
4.2 合规管理体系在现发展阶段,本质上是一种风险管理体系,因此环境扫描时需要考虑企业内的业务发展与风险管控的关系。在企业目前整体战略中,风险体系目前处于何种位置,即风险文化是怎么样的,是环境扫描工作需要给出的结论。
4.3 环境扫描须关注人的问题。在企业内支持和驱动合规管理体系建设的主要领导是什么级别的,企业现合规负责人对合规管理的认知与经验有哪些,企业的业务人员对合规管理的态度是怎样的等。
4.4 环境扫描还须关注来自企业外部的力量。企业建立合规管理体系的驱动因素一般是多个的,其中之一便是来自监管部门的要求。监管部门会提出一些指导意见,这些指导意见必须贯彻到合规管理体系的建设之中。
4.5 环境扫描的结果应当运用到合规管理具体实施当中,不能光有扫描动作而无后续实际运用,应形成合规管理现状报告,并与管理层沟通,指出下一步合规管理工作的重点。
5. 业务事项梳理
5.1 深入结合业务,是所有的管理体系必须解决的问题,否则可能会造成业务与管控两张皮。对于风险管控人员,要想快速了解业务,最好的办法是与业务人员一起,对业务进行事项梳理。
5.2 业务事项梳理的目的是建立合规风险识别的基础。合规管理体系之所以是一个管理体系,就在于有计划、系统地梳理企业的经营管理活动,并以此为对象进行下一步的风险识别、风险管控等行为。
5.3 业务事项梳理的方法,可按类别、按级别进行。类别一般分为业务实施类、管理支撑类、战略发展类等。级别一般分为3-4级。如业务实施类,可分为采购业务流程、销售业务流程等。采购业务流程又根据采购模式,分为招标采购、公开采购、单一采购。招标采购根据业务操作步骤,分为项目立项、编制招标文件、发布招标文件、组成评标小组、开标、评审、定标等。每一个操作步骤,其实都是一个小的业务流程。
5.4 基于业务流程的风险识别,是以单个或单项业务流程为对象判断是否会发生风险,以及会发生什么风险。如企业业务比较简单,或处于初创阶段业务比较单一,风险比较集中,也可不按流程进行分解,直接以对业务的描述为基础进行风险识别。
5.5 业务事项梳理的结果,是为合规风险评估、合规职责明确以及合规管控流程做准备的,应当将该阶段成果与后续工作紧密结合起来,同时也要注意与内控体系中的事项梳理进行融合,尽量合并进行。
6. 管理架构优化
6.1 合规管理架构是有关合规管理过程中需要涉及的人力资源统一安排。大多数情况下,新建合规管理体系的国有企业已有履行合规职责的人员,但这些职员往往是兼职的,合规管理架构优化首先是需要将企业内负责合规职责的人员或部门用书面形式固定下来,并将其与其他人员和部门尽量分开,保持合规独立性。
6.2 合规是自上而下的。在公司董事会或高层管理层,应当有负责支持、指导、监督合规工作的人员或机构。一般的,在董事会设置一个合规管理委员会,可与其他风险管理委员会合署,或者保障合规负责人可进入企业最高决策团队。
6.3 在各业务部门或职能部门内部,也应当配置相关的合规对接人员(可兼职)。这部分人在履行合规职责时,须保持一定独立性,同时向合规负责人报告。
6.4 合规管理涉及的各层级机构或人员,其合规职责须书面化、制度化、明确化。尤其要区分合规职责的牵头部门和主责部门。牵头部门是合规管理的直接归口管理部门,各业务部门是合规管理的责任部门。审计部门应将合规工作开展情况纳入审计范围。
6.5 明确合规风险管理三道防线,是绝大多数国企合规管理建设的“必须”动作。对于业务部门的合规职责,应明确其作为第一道防线;牵头部门是合规管理的第二道防线,在大型国企里,包括但不限于合规部门、法务部门、内控部门、风控部门等;审计监察部门是合规管理的第三道防线。在实践中,对于各部门的合规职责,往往以“合规职责清单”或“合规职责卡片”的方式体现。
7. 公布合规准则
7.1 合规管理不仅是企业内部的风险管控机制的体现,也是企业向外界宣传主动守法理念,弘扬法治文明的体现。因此,合规管理体系建设过程中需要对外表达企业的合规意识,需要对外公布企业所推行的合规文化。
7.2 合规准则,主要是面向企业外界的,同时也是面向全体员工的。可以是综合的宣传,也可以是专项的,如诚信与反腐败准则;可以是面向所有相关人员的,也可以是面向特定人群的,如商业伙伴合规准则。常见的合规准则表现形式,是诚信合规手册、企业合规行为手册等。
7.3 商业行为准则,是最常见的合规准则。其内容条款,须结合企业文化,主要包括基本原则、工作场所、商业竞争、贸易规范、廉洁合作、利益冲突、财务税务、隐私保护、对外披露、社会责任等方面。
7.4 对外公布的合规准则,一般需要企业最高领导人,即公司董事长或总经理的亲笔签字。在形式上,也可就此专门进行一个新闻发布会。实践中,与合规管理体系建设项目启动会、合规管理培训会等结合。
8. 合规风险评估
8.1 合规管理的目的是要防范和管控合规风险,防范和管控风险的前提是认识和评价风险。合规风险评估是合规管理体系建设过程中最为重要的工作之一。按照风险管理的基本原理,企业主体只能管理“有能力管理”的风险。因此,辨识风险是前提。有能力,包括认知、意识、技能等能力。
8.2 合规风险评估分为风险识别、风险分析、风险评价三个环节。风险识别系形成合规风险信息库的过程,可采用业务事项假设法、案例检索法、合规要求倒推法等,借助访谈、问卷、研讨会等形式,需要业务专家与法律专家的共同努力。不同的方法,可能适用不同的风险识别场景。
8.3 风险分析是对合规风险发生的原因、来源、发生可能性、发生影响后果等四个方面进行定性或定量的分析,形成合规风险分析表。风险评价是对经过定性或定量分析过的风险进行排序、分级,形成合规风险矩阵及底线合规风险清单。
8.4 合规风险评估的成果,是形成一套完整的企业合规风险清单(合规风险库)。这是下一步采取针对性合规管控措施的基础。合规风险库是一个不断完善,不断修正的过程,同时也必须定期的维护、更新。
8.5 合规风险评估还需要注意风险评估工作由谁或哪个部门负责。一般认为应当由业务部门或风险产生部门先自行识别各自合规风险,然后由合规管理部门进行鉴定、归纳和总结。此处,需要合规管理部门进行解释和鉴别的是,合规风险与其他风险,例如内控风险、外部环境变化引起的市场风险、战略风险等的区别。
8.6 合规风险评估在合规管理体系建设中,可作为一项专门的工作来执行,也可与其他合规管理体系建设阶段工作同步进行,如业务事项梳理、合规制度制定等。
9. 合规制度拟定
9.1 合规管理体系是一种管控型管理体系,必须依赖于企业内的规章制度才得以落地实施。合规管理制度体系是合规管理体系中最为关键的子体系,也是合规管理工作中最为“有形化”的部分。
9.2 合规管理制度包括合规管理的一般性规定,即合规管理办法或合规管理实施细则等;也包括为推动合规运行的专项规定,如合规风险评估办法、合规审查办法、合规检查办法、合规考核办法、合规有效性评价办法、举报与调查管理办法;还包括落实合规管控的专项制度,如反贿赂反腐败合规管理办法、数据保护与网络安全合规管理办法、劳动用工合规管理办法等。这些用于专项合规管控的制度,与专项的合规管理指南可以合并,也可以单独制定。
9.3 合规管理制度的内容,一般由本制度的目标和适用范围、相关的组织架构和岗位职责、合规工作程序、合规工作评价、考核与监督问责等模块组成。
9.4 合规管理制度及其实施细则,可视企业需要,需要一个制定一个,成熟一个颁布一个,不是所有的都要一次全部制定齐全。
10. 专项指南拟定
10.1 专项合规指南本质上是合规管理制度的一种。之所以把合规指南与合规制度区别出来,并更为强调合规指南的拟定,主要因为合规指南是关于业务如何遵守合规义务的规章制度,而合规制度是关于合规工作如何开展的规章制度。前者强调以图文表达为主,后者当然是文字表达为主。
10.2 专项合规指南包括按业务条线进行拟定的规定和按部门法域进行拟定的规定。前者如采购专项合规指南、销售专项合规指南、投资专项合规指南、市场宣传专项合规指南,后者如反垄断合规管理指南、商业伙伴合规管理指南、数据保护与网络安全合规管理指南、环境保护专项合规管理指南等。
10.3 专项合规指南的内容,包括指南的目的和适用范围、合规义务概述、不合规后果、典型的不合规行为举例说明、合规应对操作说明、合规义务来源等。
10.4 专项合规指南最为需要结合企业的业务流程情况,如果不熟悉业务风险或不熟悉合规义务,合规指南的拟定将成为一个难题。鉴于各企业存在不相同的业务,建议参考一些行业专家对合规风险案例的总结。
10.5 专项合规指南的制作,需要与业务流程及规章制度的适用结合起来,忌脱离业务操作的指南或与业务运行不关联,那样的指南只是合规部门的学习资料,而非业务部门的操作指引。
11. 管控机制设计
11.1 合规管控机制是贯穿于企业合规管理过程中的一些管理控制手册。可以说,合规机制是动态的、局部的合规制度。
11.2 合规管控机制包括合规联席会议机制、合规咨询机制、合规审查机制、合规检查机制、举报与调查机制、合规报告机制、合规风险跟踪机制、合规岗位履职监控机制、合规第三方尽职调查机制等。
11.3 对于合规管控机制的表现形态,可以专门拟定系列规章制度或体现在某一合规管理基本制度内,也可体现为日常的合规工作或合规表单及流程。在实践中,可将多个管控机制进行联合,形成合规管控流程清单。
11.4 合规管控机制是合规制度或合规指引在企业内实施的动态贯彻,应灵活设计,并按管理控制理论的基本办法,保障其在企业内能得到真正实施。
11.5 管控机制的设计应当与后续的实施相对应,关键在于机制的实施,因此设计时应考虑企业当前的管理手段和管理文化。
12. 举报途径设置
12.1 举报与调查是合规管控机制中的重要一环。合规管理体系的一个重要功能是可以发现、惩治不合规的行为,否则就是一个不完整的合规体系。如何发现不合规行为,通过关系人的举报,是一个重要的线索来源。这是那些运行良好的合规管理体系所必不可少的安排。
12.2 常见的举报途径包括热线电话、电子邮箱、信件等。对于举报,应制定专门的举报管理办法,保护举报人的利益,包括鼓励举报。
12.3 对于举报,应配套对应的调查程序和调查方法。对举报的受理和处理,都应该要有透明或公正的机制。对于调查人员自身的调查、约谈和证据收集等行为,自身要在合法、合理的范围内进行。
13. 风险指标设定
13.1 风险永远是动态的,现状被认为是风险,未来不一定仍是风险;关键是现在被认为是安全的,未来很可能会发生实际的风险。为保障合规管理体系对风险变化的适应性,有必要设定一些指标,保持对风险的动态关注,这是保证合规管理体系持续有效的重要手段。
13.2 合规风险指标的设定要考虑三方面的变化。一是合规义务,主要是法律、法规的变化带来的合规风险变化;第二个是业务流程发生变化带来的合规风险变化;三是外部环境或第三方带来的对企业经营管理的影响而产生的合规风险变化。
13.3 合规风险指标,可以是定性的,也可以是定量的,同时要按所监控的合规领域进行设定。如反腐败合规风险指标设定时,可判断企业发生的招待费、公关费、宣传费等在相同时期内是否发生了明显的异常为监测对象。
13.4 合规风险指标设定不以追求数量为目的,关键是要有能真实反映情况的数据来源和渠道,不管是经由人工收集的,还是经由信息系统收集的。
13.5 合规风险指标的设定,是为合规风险预警服务的。在合规管理信息建设过程中,应围绕合规风险指标进行风险信息采集,并在系统上设定警报机制。
14. 合规管理手册
14.1 合规管理手册是国有企业合规管理体系建设的集大成之标志性成果。如同内控管理手册,合规管理手册其实是一个汇编文件。
14.2 合规管理手册的内容,建议包括手册说明、合规理念、合规管理组织与职责、合规行为准则、合规管理制度、合规风险评估、合规运行机制、合规保障机制、合规培训与合规文化等。
14.3 完整的合规管理工作,在编制合规管理手册之后,还有合规体系有效性评价、合规运行报告、合规改进,合规与内控、风险管理一体化等工作。这些工作属于建立健全合规管理体系之后的合规体系运行实践,暂未包含在本指南内。
15. 合规文化培训
15.1 合规培训对于宣传合规文化,强化合规意识,保留合规有效性证据等,都是必不可少的。
15.2 合规培训的对象与内容包括对全体员工的“普法式”合规培训,对合规部门人员的合规技能培训,对于重点领域或特定领域人员的合规意识或合规风险案例培训。合规培训的形式,可以是多样的。既可以是专家讲授,也可以是考试式的,还可以是模拟场景式的。合规培训应当与合规文化宣传工作同时进行。
15.3 合规培训的频率,根据企业需要,应定期举行,并每次培训都应留存记录。
16. 合规信息系统
16.1 国企合规管理体系建设落地与否,一方面取决于管理体系设计与实施的有效性,另一方可能在于是否有一个配套的合规管理信息系统。合规管理信息系统可以是单独的系统,也可是现有管理信息系统中的模块深化和升级。
16.2 合规管理信息系统可包括静态的合规制度、合规义务与合规要求清单、合规风险清单、合规履职状态记录等;也应包括动态的合规培训、合规审查流程、合规检查流程等。
16.3 合规管理信息系统应逐步实现合规风险的动态监测,合规履职的自动化评价,合规报告的自动生成等功能。
联系我们
北京德和衡律师事务所合规与企业法治业务中⼼由精通公司治理、法律管理、合规管理、内部控制、全⾯⻛险管理等领域的资深律师和咨询专家组成。