1.3 合规管理体系的七大要素
合规管理,国际通行的全称是“道德与合规管理体系”,英文全称是Ethics & Compliance,简称为E & C。
一、体系中的“道德”
此处的道德指的是企业经营中的商业道德,即在商业活动中涉及的道德准则及行为标准。一些社会道德问题如个人作风问题等,如果并没有在商业领域中有明确的体现,那么不应当是合规管理关注的重点领域。换言之,如果这些社会道德问题与企业运营相关联,甚至如果一旦失控,会对企业运营产生一定程度的影响,如业绩下降、信用与声誉受损等,那么合规管理是有责任对其进行管辖的。
二、合规指的是什么
ISO 37301:2021《合规管理体系 要求及使用指南》对于合规的定义是:合规就是履行组织的全部合规义务。之前,我们从风险角度对合规进行了定义,即,对于违规风险发生的可能性和影响力的管理。换言之,合规是对于可能发生违规风险的预警信号的管理。
从合规的管辖范围来说,我们可以对合规的管理内容再次进行定义。
合规指:合(符合)+规(法律规范等)。
1.“规”指的是什么
其中的“规”即合规义务,ISO 37301:2021《合规管理体系 要求及使用指南》中描述的合规义务指的是组织(3.1)必须遵守的要求(3.14),以及组织(3.1)自愿遵守的要求(3.14)。合规义务涵盖:法律类义务、规范类义务及道德与承诺类义务。
其中企业规章制度大多由外法转化而来,同时也可包含企业对相关方的承诺。
2.“合”指的是什么
“合”指的是企业对外法内规的符合,多指企业采取管理手段对合规风险进行管控,是一种管理的行为,通常也被称为合规管理的方法。合规管理的方法与企业整体管理的方法类似,可通用。
企业建立合规管理体系的最低指标是什么呢?即在各个国家的法规要求,以及各个国际组织对于合规的要求中,有哪些基本要素是可以体现合规管理有效性的呢?
当前,国内外通行的合规管理体系七大要素(The Seven Essential Elements[10])可以被视为合规管理的七大基本架构。在这七大要素的作用下,企业将自身的价值观及适用的合规义务进行整合,形成每家企业独特的合规管理体系。企业合规管理体系七大要素包括:
·行为规范/制度与流程;
·合规官与合规委员会;
·教育与培训;
·监控与审计;
·举报与调查;
·执行与惩处;
·应对与预防。
不难看出,当前以良好合规管理体系管理著称的大部分企业都遵循这七大要素。这七大要素相互作用,形成合规管理闭环,如图1-12所示。
图1-12 合规管理七大要素闭环
当企业发现预警信号,就需要设立有效的政策和流程,由专业人员把控,进行培训,且时时监控与排查风险,畅通举报通道和进行调查,加强违规管理,最后做出有效的总结和预防措施。
1.3.1 行为规范/制度与流程
行为规范/制度与流程的英文全称为Standards of Conduct/Policies and Procedures。
行为规范可以指企业的《商业行为准则》等准则类文件;制度与流程,通常在企业管理中体现为制度类文件、流程类文件、指引类文件及办法类文件等。一般情况下,企业会依据自己的管理要求制定相应的管理文件,这都可以归类到制度与流程中。
准则类文件一般是对制度与流程中的重点内容进行援引和解释。
制度与流程类文件要与其合规义务和合规风险紧密结合,且通俗易懂。同时,保证各语言地区有适用于该地区的语言版本。制度与流程类文件不可通篇以法律法规的条文作为文件的内容,即使需要引用,也应当对法律法规做出解释,甚至做出案例分析,保证阅读者对于文件的理解程度。
通常,制度与流程的相关文件除了对本企业的员工适用之外,也可能适用于供应链当中的上下游供应商,所以在制定相应的内容时要同时考虑到文件对于外部合作方的适用度。
制度类文件一般可依照如下大纲进行编写,如图1-13所示。
图1-13 制度类文件的框架
流程是对于制度如何执行、如何落地的描述。通常,很多企业在制度制定方面已经比较完善,但是在流程的匹配方面存在缺失,这就可能产生有了制度但无法执行的问题。通过流程的设计将制度嵌入企业经营的具体操作之中,是保证制度有效执行的关键。
流程类文件通常可依照如下大纲进行编写,如图1-14所示。
图1-14 流程类文件的框架
练习
请指出以下内容是属于制度类文件还是流程类文件。[11]
(1)范围和适用性。
(2)涉及制度的相关操作。
(3)年度审核。
(4)相关法律规范。
1.3.2 合规官与合规委员会
合规官与合规委员会的英文全称为Compliance Oficer and Compliance Committee。
通常,企业会指定至少一名合规官担任合规工作的协调人,且可以由各关键部门的负责人(如CEO、CFO、HRD、COO等高级管理人员)组成合规委员会,担任常任委员,共同商议重大合规事项。
企业领导层要授予合规官充分的资源。首先,领导层应授予组织内的特定个人承担道德与合规管理体系日常运行的责任;其次,为履行该运行责任,领导层应给予上述个人充分的资源、适当的权力,以及可直接联系管理层或管理范围内适当群体的权限。
一、合规官的汇报线
合规官必须具有独立向企业最高决策层,如董事会等汇报的途径。目前,许多企业在设置合规官汇报线时会让合规官向总法律顾问、首席财务官等管理层进行汇报。这种汇报途径可能存在一定的风险。因为,这种汇报形式在监督上有一定的疏漏,如对于总法律顾问、首席财务官等的合规监督出现了真空,一般较难要求下属对上级的合规行为进行客观的监督。比较推荐的做法是尽可能地将合规与法律、合规与财务等职能进行分离,此种分离有助于确保法律审查和财务分析的独立性和客观性。因此,由合规官直接向组织的首席执行官和/或董事会(最高决策层)汇报是理想的汇报方式。组织的规模和环境将影响合规官的汇报线,即使很难安排合规官与最高决策层之间的直线汇报,也建议在董事会或合规委员会与合规官之间至少设有虚线式或间接的汇报关系。
二、首席合规官与合规委员会
首席合规官当然属于合规委员会的成员,甚至在有些企业的首席合规官可担任合规委员会的主席。首席合规官应当牵头合规委员会处理相关的重大合规管理事务,如负责安排会议、准备议程、记录和分发会议记录及协调后续工作等。
合规委员会的职能除协助和支持合规部门的工作外,还应包括以下内容:
·分析合规管理的需求;
·了解具体合规风险管理的领域;
·定期审查和评估政策和程序的准确性和执行情况;
·协助制定行为标准、制度和流程;
·监督标准、制度和流程相关的内部体系的运行;
·定期审查外部合规环境,并将其纳入合规管理体系的管控中;
·确定适当的合规战略;
·制定投诉和问题征求、评估和应对制度;
·其他工作。
合规委员会是企业对于合规管理态度的重要体现,是对合规管理重大事件进行决策的重要机构,是各核心部门对于合规管理参与程度的映射。合规委员会的成员必须由企业内有积极合规态度的高级管理者担任,一是他们代表着企业最高的管理水平,二是他们可以给企业的合规文化做出正向的引领和表率。此外,企业各部门的骨干或关键人员也可以按需求参加合规委员会的讨论,发表个人见解,并将合规委员会形成的相关决议传达至其所在的部门。对合规官和企业的其他部门而言,合规委员会既是合规管理水平的标杆,也是合规信息的重要来源。
练习
以下哪些人员可以成为合规委员会的常任委员?[12]
(1)CEO。
(2)CFO。
(3)人事专员。
(4)合规官。
1.3.3 教育与培训
教育与培训的英文全称为Education或Education and Training。
教育与培训有时被称为沟通与培训,英文全称为Communication and Training。国内的一些企业也称之为合规宣贯、合规宣传等。教育与培训是在合规工作的预防阶段中的重要工作,甚至可以将其看作预防阶段中最重要的工作。教育与培训以其简便易行、成本低廉的优势为企业规避了大量合规风险,同时对企业的合规文化进行了持续传播。
教育与培训可以采取多种多样的形式来保证其有效性,如领导人发言、宣传图画、培训课程、日常举办的合规竞赛等。其不拘泥于形式,目的在于通过教育和培训的方式使员工和合作方了解企业所倡导的合规文化,从而以正向的意识引导自身做出正确的行为。
在各国的司法实践中已有先例将合规教育与培训的相关证明性文件作为衡量企业合规工作的指标。
练习
以下属于合规教育与培训工作内容的有:[13]
(1)合规在线课程;
(2)合规招贴画;
(3)企业领导人公开谈合规;
(4)向商业伙伴发放企业的合规制度。
1.3.4 监控与审计
监控与审计的英文全称为Monitoring and Auditing。
监控与审计指的是对于企业在业务过程中可能产生的合规风险进行监督与防控,以及在行为完成后利用合规审计的方法倒查风险。通常,监控行为可以指在业务行为发生前、后对于预警信号的判断和消除,在以合规管理著称的一些大型企业中,会将监控的行为嵌套至运营流程之中,即在业务行为发生前对相关合规要素进行审批和审查。审查行为是衡量合规管理体系是否有效落地的关键性指标,是区分是否是“纸面合规”的重要因素。所以把审查行为与业务流程行为进行有效的结合,是合规工作能够付之于实践的关键。
此处的审计指的是合规审计,合规审计与一般性审计工作不同,更专注于由合规义务所引起的审计行为,如对于制度设计的合理性、制度和流程执行的符合性、人员的合规意识性等的审计。传统审计工作涉及财务方面的内容大多不在合规审计的工作范围之内。
练习
以下哪些工作属于合规审计的范畴?[14]
(1)对于成本的审计。
(2)对于制度执行情况的审计。
(3)对于制度设计合理性的审计。
(4)对于人员合规意识的审计。
1.3.5 举报与调查
举报与调查的英文全称为Reporting and Investigating。
举报也可被称为疑虑举报或问题反馈,英文全称为Raising Concern;调查的全称为内部调查,英文全称为Internal Investigation。
举报与调查是衡量合规管理体系有效性的一项重要指标。在前端预防工作正常进行的情况下,依然可能会出现一些违反合规管理要求的漏网之鱼,这时就需要发挥举报与调查的作用,对合规风险进行严密的防范。
举报工作是发动内外部人员共同对违规的预警信号进行监督的工作,内部人员多指的是内部员工,外部人员可以涵盖商业合作伙伴、第三方机构等范畴。企业倡导公开、透明的合规文化,是使举报工作发挥最大作用的关键。通常,仅仅依靠合规人员无法随时发现业务末端的风险,发动群众才是有效的途径。通过向员工进行宣传与教育,让相关人员认识到违规后果的严重性及合规管理人人有责,使每位员工和合作伙伴都能成为合规人员的“眼睛”。
接到举报之后要展开一系列的内部调查。如果企业疏于发现问题,之后又无法通过自查行为找出问题原因和解决问题,导致相关违规问题被外部曝光,那么企业所面临的风险和损失是不可控的。所以,及时从内部发现并解决问题是企业化解风险的经济有效的方式方法,举报与调查是将风险弱化的有效方式。
练习
以下哪些人员可以成为违规预警信号的举报人?[15]
(1)企业员工。
(2)供应商。
(3)合规人员。
(4)高管人员。
1.3.6 执行与惩处
执行与惩处的英文全称为Enforcement and Discipline。
执行与惩处是在企业发现违规问题,进行相关调查后对该问题进行点对点处理的方式方法。执行的标准应当遵循企业已有的制度和流程,要保障公平性、公正性和一致性。其中,应当针对相关的处理流程和违规结果对员工进行提前的宣贯,即保证员工对违规行为的惩处有一定的认知,并且该认知应当得到员工的书面确认。比如,在《员工手册》或《商业行为准则》等文件中明确规定各项违规行为所对应的处理方法,一旦发现员工涉及违规行为,按其严重性可以采取的具体措施包括口头警告、停职、取消相关权限、解聘,或酌情给予经济处罚等。针对各项违规行为的处理方法,合规人员应在相应的培训中对员工进行明确的讲解,员工在充分理解后需要签署对应的确认函。
进行涉事员工的问题处理时,合规人员要与人力资源部门的人员紧密协作,可以将人力资源部门已有的惩罚政策和程序作为处理违规行为的依据。在形成处理决议前,合规人员一定要遵守企业相应的处理流程,并且给予当事人相应的申诉权利,与人力资源部门的人员一起完成形成决议的所有步骤,并进行详尽的记录。
要特别注意,合规惩罚措施不应当成为变相处理员工的工具,也不应当成为处理员工的“兜底条款”,惩罚措施一定要与相关人员违规行为的程度相匹配。若发现严重的行为,如巨额的贪污腐败等,需要立即将相关人员解聘或移送司法机关。大多数违规行为相对较轻,且大多属于非故意行为,此类问题可以通过教育或额外培训等方式处理。
练习
某企业规定,接受外部礼品无论价值大小都应当向合规部申报。员工李红因忘记申报接受的供应商价值100元的礼品而违规,下列哪种处理方式更合适?[16]
(1)开除。
(2)严重警告。
(3)口头警告且加强培训。
(4)不做任何处理。
1.3.7 应对与预防
应对与预防的英文全称为Response and Prevention。
企业一旦通过内部调查或其他方式发现合规管理体系的管理有疏漏,需要及时采取应对措施以预防违规行为发生。对于漏网的预警信号或违规风险视而不见只会给企业带来更大的隐患,一旦涉及诉讼,则可能直接给企业合规文化的根基带来冲击。
发现合规管理的漏洞后的应对措施如下。第一步,合规人员可以集结相关部门或外部顾问共同对管理漏洞进行风险评估,评估该风险可能给企业造成的隐患。第二步,共同制定相应的改进措施,且需要依照风险的程度决定是否需要引入合规委员会进行共同决策。第三步,完成新制度和流程的制定后,针对文件的适用范围对相关人员进行教育和培训,对与新文件相关性高的部门进行深度培训。若新文件对整个企业均适用,则需要启动覆盖全体员工甚至合作方的全面合规培训。第四步,合规人员应当在企业相关的经营环节中设置符合新文件的管控节点,进行监控与审计,同时利用举报途径对新文件的执行进行再次的监督。总之,对于发现的合规管理疏漏,合规人员同样要遵循预防—监控—应对的管理方法进行管理。
练习
以下属于合规管理体系七大要素的是:[17]
(1)教育与培训;
(2)企业领导人对合规管理的态度;
(3)监控与审计;
(4)合规人员的一票否决原则。
[1]答案:(1)违规行为;(2)预警信号;(3)违规行为;(4)预警信号。
[2]答案:(1)合规主题领域;(2)经营管理领域;(3)合规管理框架;(4)经营管理领域。
[3]答案:(1)预防阶段;(2)监控阶段;(3)应对阶段;(4)预防阶段。
[4]答案:(1)境内合规义务;(2)境内合规义务;(3)境外合规义务;(4)境外合规义务。
[5]答案:(1)合规管理;(2)法务管理;(3)法务管理;(4)合规管理。
[6]COSO制定发布.企业风险管理:整合框架[M].方红星,王宏,译.2版.大连:东北财经大学出版社,2017:4.
[7]答案:(2)(3)。
[8]答案:(1)业务审查;(2)合规审查;(3)业务审查;(4)合规审查与业务审查。
[9]答案:(1)(3)。
[10]资料来源:International Compliance 101–SCCE。
[11]答案:(1)制度类文件;(2)流程类文件;(3)流程类文件;(4)制度类文件。
[12]答案:(1)(2)(4)。
[13]答案:(1)(2)(3)(4)。
[14]答案:(2)(3)(4)。
[15]答案:(1)(2)(3)(4)。
[16]答案:(3)。
[17]答案:(1)(3)。