您当前的位置: 首页  >  合规研究
企业合规|如何建立合规管理体系
时间:2020-05-15         来源:法务人俱乐部

国家标准GB/T 35770-2017《合规管理体系指南》于2018年7月1日正式实施。随着国际、国内企业合规事件频繁爆发,可预料未来在企业,特别是一些受到公众关注的知名企业、国有企业,其建立健全合规管理体系将成为必不可少的工作。很大一部分,落到企业法务身上。作为法务,该如何应对这份新工作呢?


《合规管理体系指南》介绍了组织环境、领导作用、策划、支持、运行、绩效评价和改进等过程。它提供了一套在企业内如何建立合规管理体系的指导。作为标准,它是非常全面的。但正因“标准”要照顾到方方面面,在实际操作中,仍有不少企业法务合规人员对于如何构建合规管理体系仍心存疑惑。



一、合规管理体系的组成:整体框架与思路 


企业合规管理体系,本质上是管理体系的一种,但核心是合规。企业管理体系,有多种。如质量管理体系、环境管理体系,信息安全管理体系等。管理体系的建立与实施,有其一般规律。管理体系是一种有规律的重复发生的活动,是基于一定目标,企业的(战略)计划、预算编制、执行和业绩评价等行为的综合。合规管理体系的重点明显应当是“合规”,且应融入到整个管理体系中,否则容易产生“合规”与“业务”两张皮的“普遍”现象。如何融入业务管理体系,成为合规管理发挥价值的出发点,也是合规管理体系的难点。它要求不仅要熟悉合规相关理论和操作,还要认识业务相关运转和特点。


合规管理体系要融入业务,且有效落地,最终离不开人的推动和执行。因此,必须有相应的合规管理组织架构。同时,对于合规管理组织中的相关人员,如公司最高层管理者、首席合规官、合规团队及业务总监等都要有一个清晰的合规职责。除了强调赋予他们相应的职权以外,更重要的是强调他们对合规管理均负有相关责任。


合规问题产生的主要原因是外部环境,特别是法律、法规的变化,还有人们商业道德价值观的变迁,使得企业行为产生不合规的风险。因此,一套有效的合规管理体系,不能简单地应对现有的法律法规,而是要适当走在法律法规的前面,即要有一定的前瞻性,才不至于被动。


个人认为一套有效的企业合规管理体系应当由以下三部分组成。首先,合规风险的识别与评估。识别和评估是合规管理的基础,也是关键。要识别合规风险,前提是找到合规义务。合规义务是合规管理中的“尺子”。有尺子,才能找到偏差。合规义务来源于四方面:一是法律、法规、部门规章;二是企业内部规章制度;三是职业操守和道德规范;四是企业与其他主体签订的协议承诺。其次,合规管理的行为。合规管理行为指将合规管理付诸实践的一切相关行为。它先是包括实施合规管理行为的组织架构,这是人的基础。然后是与合规管理有关的制度与流程,这是制度的基础。再是那些合规管理行为运行机制,最后是合规管理相关的反馈与改进行为。最后,合规文化的塑造。合规文化可保障合规管理持续、长久实施,合规文化也可降低合规管理体系运行成本。同时,合规文化又是企业合规风险防范的最后一道防线。因此,合规文化塑造也应成为合规管理体系建立的重要组成部分。


二、识别合规风险:合规管理体系建立的前提


识别合规风险,必须先识别“合规义务”。合规义务就像一把“尺子”,一把衡量企业生产经营行为正确性的尺子。有了尺子,才能度量出企业行为过程中可能出现的合规风险。根据GB/T 35770-2017《合规管理体系指南》中给出的“合规义务”的定义,合规义务包括合规要求和合规承诺。


合规要求是企业有义务遵守的要求。例如,某短视频平台及其所属企业至少必须遵守以下规定:法律《网络安全法》,行政法规《电信条例》、《信息网络传播权保护条例》、《互联网信息服务管理办法》,部门规章《互联网视听节目服务管理规定》、《互联网新闻信息服务管理规定》、《互联网直播服务管理规定》、《电信和互联网用户个人信息保护规定》等。合规要求是企业必须遵守的义务,具有强制性。


合规承诺是企业选择遵守的要求。它是企业对相对方的一种承诺,是自愿性的,如与社区团体、非政府机构签订的协议、原则或行为守则等。例如,2016年4月,北京市网络文化协会携同百度、新浪、搜狐、爱奇艺、乐视、优酷、六间房、酷我、映客、花椒等20余家从事网络表演(直播)的主要企业共同发布《北京网络直播行业自律公约》。这便是一种合规承诺。在该自律公约中有一处规定,即“网络平台对新申请主播需要人工认证,且申请者需在与审核人员视频聊天过程中回答若干问题,认证过程不得少于1分钟。审核人员认定申请者满足认证要求的予以认证,否则不予认证。认证过程视频录像永久保存备查。”这种规定便不是所有的网络直播企业都须遵守,而仅限于北京地区的主要以上直播企业。广义上讲,企业与客户、商业伙伴等所签订的全部协议及合同,也是企业的合规承诺。一旦企业签署,即应遵照执行。企业应当本着经济适宜的原则来选择确定自己的合规承诺,如很多企业向客户承诺“存在质量瑕疵的产品将100%无偿召回”。这样的承诺,说到就要做到,做不到就不要向市场承诺。


合规义务的识别,包括合规要求的识别和合规承诺的识别,应当由企业法务部、合规部及业务部门共同对企业所受管辖的法律法规及企业签署的合同或做出的声明等,归纳出企业所可能面临的所有合规义务,并形成合规义务清单文件。


识别合规风险,还要注意合规义务的维护。因为现实中,合规要求和合规承诺不是一成不变的,需要时刻关注并将新的合规要求和承诺纳入合规义务清单文件中。GB/T 35770-2017《合规管理体系指南》规定,企业宜制定适当的流程来识别新的和变更的法律、法规和规则以及其他的合规义务,以确保企业持续合规。为了获得合规义务来源变化信息,企业可采取如下措施:与监管部门会面;与法律顾问交流;跟踪监管部门的网站动态;参加行业论坛和研讨会;订阅相关信息服务;确保自己是专业组织的会员;确保自己在相关监管机构的收件人列表中。


市场总是在变、政策也在变,供求关系也在变,这些变化要求企业建立好合规义务信息沟通渠道,及时跟踪法律、法规、规范和其他合规义务的出台和变化。例如网约车市场,2016年7月《网络预约出租汽车经营服务管理暂行办法》出台后,对于已运行网约车系统的企业平台带来根本性影响,所有的网约车平台必须去改造系统、申请牌照,合规运营。如果不按新的规定执行,企业来说将寸步难行,严重者将被吊销营业执照,乃至触犯刑事法律。


至于合规风险的识别方法,可以是多样的。如基于过往案例、基于专家经验,基于归纳推理,基于头脑风暴等方式。例如,某集团法务与合规部通过对过去5年间发生的诉讼案例进行整理,归纳出集团所可能面临的所有法律诉讼的风险。这就是一种过往损失数据追踪法。如果对企业发生的诉讼案件产生的管理和经营原因如果不熟悉的话,则很可能会误判企业的法律诉讼风险点。这是基于过往案例,发现合规风险的常用方式。识别合规风险的效果取决于两方面。一是对合规义务的熟悉程度,也即对法律、法规及企业所签合同和所做承诺的熟悉。二是对企业经营管理行为的熟悉程度,也即对企业的各项流程、制度、岗位职责,乃至战略的熟悉。


三、评估合规风险:合规管理体系建立的关键


评估合规风险是在识别合规风险的基础上,对合规风险进行的分析与评价。即合规风险评估包括合规风险分析和合规风险评价两个过程。


合规风险分析是要增进对合规风险的了解,为风险评价和应对提供支持。合规风险分析是在风险识别的基础上,考虑不合规发生的原因、后果及发生可能性等因素,最后形成合规风险清单。对合规风险的分析,内容描述应包括以下内容:简单且准确地描述风险,风险可能在什么情况下以什么方式发生以及风险对既定目标的影响;明确导致风险发生的真正原因;说明风险发生后在哪些方面,以及以怎样的方式造成影响;说明风险发生的概率大小。


可以看出,合规风险分析主要包括风险触发原因分析、风险发生后果分析、风险发生可能性分析等。用于合规风险分析的方法,可以是定性的,也可以是定量,也可以是两者的组合。


后果分析是假设特定事件或情况已经出现,确定风险影响的性质和类型。后果分析形式可以灵活一些,可以是描述型的,也可以是详细的数量模型。例如,后果分析可分为严重、一般、不重要三个档位。也可分为极其严重、严重、中等、轻微、极低等五个档位。后果分析要考虑到以下因素:将风险后果与最初目标联系起来;对马上出现的后果要与那些经过一段时间可能出现的后果两种情况同等重视;不能忽视次要后果。


可能性分析的方法也有三种,可单独使用或联合使用。一是利用相关历史数据来识别那些过去发生的事情,借此推断他们在未来发生的可能性。二是利用故障树或事件树等预测可能性。三是结构化地利用专家的观点来估计可能性。对于可能性,可用定性的方法来描述。如非常高、高、中等、低。也可采取量化的数值来表述,如数字1-5,分别表示发生概率从1%到99%。但对于该数值本身如何确定,则仍必须借助定性的方法予以固定。


合规风险评价是将风险分析的结果与企业能够接受的风险水平相比较,或者在各种风险分析结果之间进行比较,以确定风险的等级。风险评价应满足风险应对的需要,否则应做进一步的风险分析。风险评价是利用风险分析过程中获得的对风险的认识,对未来的行动进行决策。最简单的风险评价,是将风险分为两种:需要应对的和无需应对的。但这样的方式难于全面反映情况,而且两类风险的界限本身也不好确定。常见的评价是依照企业对风险的容忍程度,将风险分为三个区域。一是不可接受区域。在该区域内,无论相关活动可带来什么收益,风险等级都是无法承受的,不惜一切代价进行风险应对。二是中间区域。对该区域内风险的应对要考虑应对措施的成本与收益,并衡量机遇和潜在后果。三是广泛可接受区域。该区域的风险很小,无需采取任何应对措施。


风险评价后,需要进行决策。决策时应包括的内容有:某个风险是否需要应对;风险的应对优先秩序;应该采取哪种途径。决策要参考法律、财务、道德等因素。


合规风险评估工作最后的落地是一份全面的合规风险评估报告。报告人应该是一个集体,包括法律专家和非法律专家,同时还要业务经理的参与。报告可分为定期评估报告、专项评估报告。


合规风险评估报告的内容应包括合规风险评估实施概况、合规风险基本评价、存在的合规风险、原因及可能的公司损失,处置建议和应对措施等。具体如下:合规风险评估工作实施概况:风险评估背景、范畴、评估方法、实施过程等;合规风险基本评价:已识别的合规风险领域、风险分级、整体评价结论等;存在的合规风险:需要处理的风险类型、风险清单等;合规风险发生的原因分析:风险发生的系统性原因、直接原因、局部原因、特别原因等;合规风险发生可能导致的公司损失:风险发生可能给公司带来的损失预测等;合规风险应对建议:风险应对的措施和建议等。


四、开展合规管理行为:合规管理体系的落地 


在识别和评估合规风险之后,即着手进行应对了,但企业的合规管理是一整套、长期的行为,必须投入资源和热情。完整的合规管理行为,包括人的问题、制度的问题、实施机制的问题和改进的问题。


首先,为搭建体系的合规管理组织架构,可从三个层面来设计和组织。第一层是最高负责机构,可在董事会中设合规委员会,制定合规管理的目标、方针和政策,统领公司合规管理工作。第二层是协调机构,在合规委员会之下设合规管理协调工作小组,协调法律、审计、财务、人力资源等部门,保证企业内部资源协同。第三层是日常工作机构,即合规管理部。企业可任命董事会成员之一担任合规管理部的负责人,即首席合规官,由他全面负责合规管理工作。


其次,要制定合规管理制度。合规管理制度一般包括合规行为准则、制度规范、合规专项管理办法、合规管理流程、合规管理表单。合规管理制度及相应的处罚以书面形式记载了企业管理层和员工的合规职责,是企业施行合规管理的驱动力。合规管理制度要制定得有效,而不流于形式,关键要融入企业的日常经营、管理活动之中。但鉴于任何风险管理制度其实都很难彻底消除风险,因此合规管理制度的意义是将企业合规风险控制在一个合理的范围,而不是盲目地制定过于严苛的管控标准,这样容易使得员工对合规管理产生抵触情绪。


再次,持续运行合规管理机制。要把合规管理落地,就必须把政策制度上的规定变为可执行的流程,把纸面上的流程变为业务中的操作流程。合规管理实施机制包括培训、考核、举报和调查等。培训是让员工了解和熟悉政策、制度及流程。培训的内容应与员工角色和职责所涉及的合规风险及任务相符合。没有考核的管理,是产生不了结果的管理。合规考核的内容可以包括按时完成合规培训,严格执行合规政策,有无任何违反合规的行为,支持合规部门的工作,及时汇报违规行为等。举报和调查,是合规这种管理体系较为独特的要求。举报程序安排,要根据企业的实际情况进行设置,以鼓励违规员工悬崖勒马,保护举报员工安全等为原则。合规调查,要注意本身的合法问题,调查者最好熟知相关法律法规、内部规定,以及之前发生的相似案例。


最后,要进行合规处理和持续改进。员工违规行为一旦证实,企业必须立即处理。处理员工违规行为的方式反应了企业是否严肃对待合规,是验证企业合规管理体系是否落地的最佳方式。出现不合规行为时应当及时处理,更应该查明违规行为的根源,对于合规管理体系进行重新审视、改进、重新设计,这样才可持续改进。如果类似违规行为多次发生,说明合规管控没有起到效果。只有及时和正确的反馈,才能将合规管理行为形成闭环。


五、塑造合规文化:合规管理体系的可持续


企业文化是在企业中形成的由企业管理层倡导并为全体员工所认同且遵守的企业的宗旨、精神、价值观和理念等。相比于其他的管理手段,有合规文化的企业更具有持续的成长能力和广泛的影响力。


合规,已成为众多跨国企业普遍的核心价值观。企业合规管理要持续开展,包括启动和推行合规管理,塑造合规文化都是一本万利的事。合规文化包括全员合规、合规可创造价值、合规需要高层认可和推动等内容。


要发展合规文化,企业高层和合规管理部门,就必须要在企业的各个层面推行一套公开发布的共同行为准则,并始终如一地进行。


第一,要有明确的价值观,要从根本上认同合规,相信合规的价值。第二,管理层率先垂范,带头遵守合规制度,行动前后一致。第三,持续地示范、指导、培训。管理层自上而下地进行讲解、传播、推广合规的价值理念。第四,持续就合规问题进行企业内、外部沟通,确保合规价值观在所有员工中得到传达,让员工了解企业合规底线。最后,建立合规表现与绩效挂钩机制。良好的合规管理行为将得到激励,不称职的管理行为将受到惩罚。