摘要:2022年10月1日起施行的《中央企业合规管理办法》第二十七条规定,中央企业应当定期开展合规管理体系有效性评价,针对重点业务合规管理情况适时开展专项评价,强化评价结果运用,自此定期开展合规管理体系有效性评价成为中央企业合规管理体系建设和运行中必不可少的一个环节,是一项强制性要求。
本文拟通过将合规管理体系有效性评价所依据的评价指标体系与国有企业合规管理体系所遵循的规则和要求进行匹配和比较的方法,探讨如何更好的运用合规管理体系有效性评价来促进国有企业合规管理体系的建设和运行。
目 录
一、合规管理体系有效性评价的概念和标准
二、《管理办法》对有效性评价的设置和要求
三、《评价指引》设定的有效性评价的评价体系
四、《管理办法》与《评价指引》评价指标的匹配
五、评价指标对国有企业合规管理体系建设和运行的促进作用
六、结语
1
合规管理体系有效性评价的概念和标准
(一) 我国企业搭建合规管理体系的主要依据
目前,我国企业搭建合规管理体系的主要依据,根据适用对象的不同大体可分为以下几类:
1. 适用于国有企业
适用于国有企业的规定主要包括,国务院国资委发布的适用于中央企业的《中央企业合规管理办法》(以下简称《管理办法》)和《中央企业合规管理指引(试行)》,以及各地方国资委发布的适用于本地地方国有企业的合规管理办法和合规管理指引。
上述规定主要规定了国有企业合规管理体系的工作原则以及在组织和职责、制度建设、运行机制、合规文化、信息化建设以及监督问责等方面的相关合规管理机制和要求。由于大部分地方国资委制定的合规管理办法和合规管理指引都是参照《管理办法》而制定的,因此,《管理办法》在国有企业合规管理体系的建设和运行中具有很强的典型性和代表性。
为更好的提炼国有企业合规管理体系的内容和特点,本文仅以《管理办法》作为国有企业合规管理体系建设的指导文件样本进行分析和讨论。
2. 适用于各种企业类型
适用于各种企业类型的标准主要包括,国际标准化组织(ISO)发布的ISO 37301:2021《合规管理体系 要求及使用指南》(以下简称“ISO 37301”)以及国家市场监督管理总局与国家标准化管理委员会共同发布的国家标准GB/T 35770-2022《合规管理体系 要求及使用指南》(以下简称“GB/T 35770”)。
ISO 37301是国际上比较公认的合规管理体系标准之一。GB/T 35770等同采用ISO 37301,与ISO 37301相比, 仅在个别术语和附录做了一些最小限度的编辑性改动,即,为少量术语增加了注释并增加了附录 NA (资料性)以加强在我国的适用性。GB/T 35770的整体架构和内容与ISO 37301基本保持一致。前述标准对于合规管理体系在组织环境、领导作用、策划、支持、运行、绩效评价以及改进等方面的要求和使用指南进行了规定。
ISO 37301和GB/T 35770均可广泛适用于各类组织,包括但不限于个体经营者、公司、集团公司、商行、企事业单位、行政机构、合伙企业、慈善机构或研究机构,或上述组织的部分或组合,无论是否具有法人资格,公有或私有。
GB/T 35770与ISO 37301均为可进行认证的标准,目前已有部分在合规管理体系建设方面比较领先的国有企业完成了前述两个标准的双认证。
此外,中国工业经济联合会于2023年7月15发布了T/CFIE 001—2023《工业企业合规管理准则》团体标准,该标准采用了ISO 37301和GB/T 35770的企业合规管理体系,实施该标准既可以和国际标准ISO 37301对接,也可以和国家标准GB/T 35770对接。工业企业在实施该标准时,还应遵循该标准第11条的“工业企业合规特别规定”中的规定,逐一落实工业企业特殊的合规管理规定,从而全面实现工业企业合规管理目的。该标准既适用于工业企业,也适用于为工业企业提供服务的企业,在适用范围上与前述两个标准相比具有一定的局限性。
由于ISO 37301为国际上比较公认的合规管理体系标准,我国大部分类似标准的编制亦以ISO 37301的框架和内容为基础,本文将主要以ISO 37301作为适用于各类型企业(包括国有企业)的合规管理体系标准样本,进行相关分析和讨论。
3. 适用于刑事领域涉案企业
适用于刑事领域涉案企业的规定主要包括《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》《涉案企业合规建设、评估和审查办法(试行)》《<关于建立涉案企业合规第三方监督评估机制的指导意见(试行)>实施细则》等,此类规定要求涉案企业针对与涉嫌犯罪有密切联系的合规风险,建立合规管理体系,并由第三方监督评估组织对其有效性进行评估。
对于涉案企业合规建设经评估符合有效性标准的,人民检察院可以参考评估结论依法作出不批准逮捕、变更强制措施、不起诉的决定,提出从宽处罚的量刑建议,或者向有关主管机关提出从宽处罚、处分的检察意见。
对于涉案企业合规建设经评估未达到有效性标准或者采用弄虚作假手段骗取评估结论的,人民检察院可以依法作出批准逮捕、起诉的决定,提出从严处罚的量刑建议,或者向有关主管机关提出从严处罚、处分的检察意见。
目前,对于上述涉案企业合规体系有效性评估的具体评价标准、评价方法、评价指标、评价体系等暂时没有出台统一、详尽的标准、指引或规定。本文暂不对此进行分析和讨论。
4. 适用于某一特定领域企业
适用于某一特定领域企业的规定主要集中在境外经营和金融证券领域,例如《企业境外经营合规管理指引》《证券公司和证券投资基金管理公司合规管理办法(2020年修正)》《保险公司合规管理办法》《商业银行合规风险管理指引》等,此类规定通常仅针对该领域的企业而制定,不具有普适性。本文暂不对此进行分析和讨论。
(二) 合规管理体系有效性评价的概念
合规管理体系建立并运行一段时间后,管理体系的运行效果如何,是否达到了预期的目标,有哪些方面需要进行调整和改进,上述问题可统一归纳为:如何评价企业的合规管理体系有效性。
合规管理体系有效性,是指企业所建立的合规管理体系运行过程和结果实现预期目标的程度,主要体现在以下几方面:
1. 合规管理体系文件有关的规范性文件与建立该体系所依据的规定或标准要求的符合性;
2. 体系实施过程与规范性文件的符合性;
3. 体系的实施结果所实现的企业合规目标的程度;以及
4. 体系持续改进的成果。
合规管理体系有效性评价,就是按照设定的评价依据、评价标准和评价方法对合规管理体系有效性做出的判断。
(三) 合规管理体系有效性评价的标准
我国企业搭建合规管理体系所依据的规定和标准,基本上都规定了对企业已建立的合规管理体系有效性进行评价的内容,但除中国证监会发布的《证券公司合规管理有效性评估指引》之外,对于合规管理体系有效性评价的标准、方法、评价指标等均没有具体详尽的描述,也没有统一的规定或标准出台。
目前,比较普遍使用的有效性评价标准是中国企业评价协会于2022年10月12日发布的T/CEEAS 003-2022《企业合规管理体系有效性评价指引》团体标准;以及中国中小企业协会于2022年5月23日发布的T/CASMES 19-2022《中小企业合规管理体系有效性评价》团体标准。前述两个团体标准均对合规管理体系有效性评价进行了比较完整的系统化设计,规定了有效性评价的评价原则、评价内容、评价方法、评价流程等。
此外,中国工业经济联合会于2023年7月15日发布的T/CFIE 001—2023《工业企业合规管理准则》团体标准,虽然对于合规管理有效性评估参考指标也进行了简要规定,但未对评估参考指标的细分项内容进行具体描述,亦未赋予相应的分值,在可操作性方面与前两个团体标准相比存在一定的差距。
中国企业评价协会发布的T/CEEAS 003-2022《企业合规管理体系有效性评价指引》(以下简称《评价指引》)以ISO 37301作为有效性评价对标的标准,对照ISO 37301建立了评价体系,另外,在ISO 37301各项要求和指南的基础上将《管理办法》的相关内容也融入评价指标,同时,还考虑到党建在国有企业或部分非公有制企业合规管理中发挥的重要作用,将其作为附加评价指标。《评价指引》兼具ISO 37301的要求与国有企业合规管理体系的要求,比较适合国有企业进行合规管理体系有效性评价时使用。
因此,本文将主要以《评价指引》作为有效性评价指标的样本,与《管理办法》进行匹配和比较并展开分析和讨论。
2
《管理办法》对有效性评价的设置和要求
除本文开头部分提及的《管理办法》第二十七条,对合规管理体系有效性评价做出了相关要求,《管理办法》还对国资委作为监管机构以及企业内部各级组织机构在有效性评价中的职责进行了设置,即:
《管理办法》第四条规定,国资委负责指导、监督中央企业合规管理工作,对合规管理体系建设情况及其有效性进行考核评价,依据相关规定对违规行为开展责任追究。
《管理办法》第八条规定,中央企业董事会发挥定战略、作决策、防风险作用,负责推动完善合规管理体系并对其有效性进行评价。
《管理办法》第十四条规定,中央企业合规管理部门牵头负责本企业合规管理工作,负责组织开展合规风险识别、预警和应对处置,根据董事会授权开展合规管理体系有效性评价。
上述规定,为国有企业顺畅的开展合规管理体系有效性评价奠定了组织和制度基础。但由于《管理办法》并没有针对有效性评价的标准、方法、评价体系等具体内容进行规定,亦未对有效性评价应当适用哪些指引、标准或规定予以明确,导致国有企业在该项工作的推进和实际操作中面临着规范不明的困惑。
3
《评价指引》设定的有效性评价的评价体系
(一) 评价体系概述
《评价指引》构建了企业合规管理体系有效性评价的指标体系,从企业合规环境评估、领导作用和资源投入、合规制度与运行机制、合规文化、绩效评估改进等5个维度以及党建在企业合规管理中的作用这一附加项,设计了评价指标;明确了企业合规管理体系有效性评价工作的规则、流程以及报告评级等实施程序。
评价结果是通过评价打分评级体系得出,即,针对各评价指标均设定细分的评价条款,对每个评价条款设定分值,在根据设定的计算规则得到企业合规管理体系有效性得分后,根据设定的标准判定企业合规管理体系有效性评价的等级。评价等级共分为五级,分别为AAAAA、AAAA、AAA、AA和A。评级为A的企业,意味着该企业未达到评级要求。
(二) 评价指标体系
《评价指引》规定,企业合规管理体系有效性的评价指标及分值如下表:
以上共计5个评价维度及1个附加项,19个评价指标,带“★”的为重要评价指标。评价维度的分值为该维度下各项评价指标的分值之和,各项指标的分值总和为1000分,附加项50分。
(三) 评价结论
《评价指引》规定,根据计算得到的企业合规管理体系有效性得分,判定企业合规管理体系有效性评价的等级。评价等级对应的得分分值范围见下表。
*企业如存在以下情况之一,应判定为未达到评级要求:
1. 企业的合规管理体系有效得分在600及以下;
2. 标明★的重要评价指标得分没有达到该项指标的60%;
3. 存在因合规管理体系不完善或实施过程不符合造成的重大不合规行为。
(四) 使用场景
《评价指引》规定,该评价体系适用于企业合规管理体系有效性的全面性评价,既可用于企业委托第三方专业机构进行的有效性评价,也可用于企业自行组织开展的有效性评价。
4
《管理办法》与《评价指引》评价指标的匹配
为了进一步分析和讨论《评价指引》对国有企业合规管理体系建设和运行的促进作用,笔者根据《评价指引》设定的评价指标(包括各评价指标项下的详细评价条款),将作为国有企业合规管理体系建设的主要指导文件《管理办法》以及作为国际通行的合规管理体系标准的ISO 37301与其进行了匹配,大体匹配情况如下表:
5
评价指标对国有企业合规管理体系建设和运行的促进作用
(一)《评价指引》设定的评价指标与《管理办法》相互对应的内容
通过对《评价指引》设定的评价指标及评价条款(包括各评价指标项下的详细评价条款)与《管理办法》及ISO 37301的逐项匹配,我们发现评价指标与ISO 37301的内容联系紧密,几乎是一一对应的,评价指标对于《管理办法》中的各项规定也几乎达到了全面覆盖的效果,并且在各项详细评价条款中,基本上都列举了符合一项评价条款所需具备的各类制度、文件、合规动作等的要素,对于企业的合规管理操作具有很强的借鉴和参考作用。
例如,在第三个评价维度“合规制度与运行机制”项下的评价指标“合规管理制度体系”中,其中一个评价条款规定:
“企业是否根据使用范围、效力层级等构建了分级分类的合规管理制度体系,文件化信息包括纲领性文件(例如手册、管理制度等)、流程性文件(例如程序、管理规定、管理办法等)和作业指导性文件(例如操作规程、工作流程、作业指导书等)。”
该条款以列举的方式将制度体系划分为纲领性文件、流程性文件和作业指导性文件,并对每一大类进行了具体文件的列举。与《管理办法》第十六条要求企业根据适用范围、效力层级等建立分级分类的合规管理制度体系的要求相当契合,为企业指出了一条清晰的实践操作路径。
因此,对于《评价指引》与《管理办法》相互对应的内容,可根据国有企业所处的合规管理不同发展阶段分别加以利用:
1. 处于合规管理体系起步阶段的企业
此类企业大部分仅依据《管理办法》建立了最基本的合规管理体系框架,但对于合规管理体系及其配套的各类机制、制度等具体应当如何设定并执行以及如何嵌入企业现有管理体系缺乏深刻的了解,《评价指引》可为其提供比较清晰的实践操作思路参考。
建议相关企业可根据《管理办法》的相关规定对照《评价指引》规定的评价指标和评价条款,结合本企业的管理现状找到适合本企业的合规管理操作路径。如企业组织架构和管理体系比较简单,一套结构复杂的合规管理体系可能暂不适合企业目前的管理现状,也可考虑先从《评价指引》中带有“★”的重要评价指标(详见本文第三部分“(二)评价指标体系”)入手,抓住合规管理工作的重点内容,由浅入深逐步推进合规管理体系建设。
2. 处于合规管理体系深化阶段或已取得ISO 37301和/或GB/T 35770认证的国有企业
此类企业大部分已建立了比较完善的合规管理体系并已运行了较长的一段时间,企业已对合规管理体系的运行逻辑有了比较深入的了解并积累了一定的实践经验,建议相关企业将《评价指引》中规定的评价条款作为企业查漏补缺的工具,进一步改进和完善自身的合规管理体系。
(二)《评价指引》设定的评价指标与《管理办法》未明确对应的内容
评价指标中也存在部分内容无法在《管理办法》中找到比较明确对应的条款,主要涉及以下几方面:
1. 《管理办法》未对合规环境因素的识别与分析以及合规义务清单做出明确规定
企业合规管理的基本逻辑和方法论为,企业通过对自身合规环境因素的识别与分析,结合对利益相关方需要和期望的理解,收集并梳理出企业活动、产品和服务应遵守的合规义务,并评估其对企业运行所产生的影响,最终形成合规义务清单;通过将合规义务与活动、产品、服务以及运行的相关方面关联,来识别合规风险,并对已识别的合规风险进行评估、分析和评价并制定风险应对措施,最终形成合规风险清单;在企业运行过程中根据合规风险清单对合规风险进行监测、预警、监督和检查;对于发现的问题进行沟通、协调并持续改进。
《管理办法》对于上述合规管理逻辑和方法论,特别是如何识别合规环境因素并形成合规义务清单,进而建立合规风险清单(数据库)的过程没有明确规定,仅在第二十条关于风险识别评估预警机制的规定中提及了合规风险数据库,即,中央企业应当建立合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库,对风险发生的可能性、影响程度、潜在后果等进行分析,对典型性、普遍性或者可能产生严重后果的风险及时预警。
对于处在合规管理体系建设起步阶段的国有企业来说,在如何建立合规风险清单(数据库)以及风险识别评估预警机制的工作上,可能存在一定的困惑。企业不了解作为合规风险数据库的前提基础是合规义务清单,亦不了解合规义务清单具体是何种文件、如何形成,因此无法确定应当按照怎样的方法论组织和开展工作。
《评价指引》在第一个评价维度“合规环境评估”中根据上述合规管理逻辑和方法论,设定了内外部因素、利益相关方的需要和期望以及合规管理体系的范围、合规义务等4个评价指标,在其项下的评价条款中规定了内外部环境因素包括哪些、相关分析文件应包含哪些要素、利益相关方包括哪些、合规义务清单应当包含哪些关键因素等。
例如,评价条款“合规义务”规定:
“义务清单:企业是否依据规定编制合规义务清单,合规义务清单是否涵盖了企业需遵守的强制性要求(例如法律法规;许可、执照或其他形式的授权;监管机构发布的命令、条例或指南;法院的判决或行政决定;条约、公约和协议;签署合同所产生的义务;上级单位的要求等)和自愿性要求(例如与社会团体、非政府组织、公共权利机构和客户签订的协议;企业的要求;自愿的原则或规程;自愿性标志或环境承诺;相关团体或产业的标准等),以及与企业密切关联的市场交易、财务税收、劳务用工、投融资、招投标、产品质量、安全环保、节能减排、知识产权、商业伙伴等方面的活动。”
此外,根据ISO 37301的规定,企业的合规环境因素包括影响其实现合规管理体系预期结果的能力的内部事项和外部事项,包括但不限于业务模式;与第三方业务关系的性质和范围;法律和监管环境;经济状况;社会、文化、环境背景;企业内部结构、方针、过程、程序和资源,包括技术;企业自身的合规文化。
利益相关方主要指,可能影响合规管理体系、受合规管理体系影响或自认为受合规管理体系影响的人或组织,包括但不限于外部相关方(例如,政府和政府机构;监管机构;客户;承包商;供应商;第三方中介机构;所有者、股东、投资者;业务伙伴等)和内部相关方(例如,治理机构;管理层;员工;风险管理、内部控制、内部审核、人力资源等内部职能等)。
因此,建议国有企业根据上述合规管理逻辑和方法论,参考《评价指引》及ISO 37301的规定,结合企业自身情况,建立合规义务与合规风险清单(数据库)的形成机制,为本企业量身定做合规义务清单以及合规风险清单(数据库),并定期更新。
2.《管理办法》未对合规管理部门应保持独立性进行明确规定
根据《管理办法》第十四条规定,合规管理部门负责牵头本企业合规管理工作,负有合规审查、开展合规管理体系有效性评价、受理违规举报并调查等职责。由于前述合规管理职责均具有一定的企业内部审查监督功能,与被审查监督的部门或人员及其在企业内部的上级部门或领导存在一定的利益冲突,因此,赋予合规管理部门工作的独立性,即,赋予该部门可以不受任何不当干扰和/或压力的的开展工作的权利和地位,是保证其充分有效开展工作的重要前提条件。此外,在ISO 37301中,也将合规管理部门的独立性作为一项重要的合规治理要求,但《管理办法》对此并未明确指出。
《评价指引》在第二个评价维度“领导作用和资源投入”的平评价指标“合规管理机构的职能与资源”中,从两个角度对于独立性进行了评价,即,独立部门:企业是否明确了独立的合规职能部门或设立了合规管理委员会,专职合规人员数量不低于公司人员数量的3%;独立性:合规职能部门是否具有不与组织结构或其他因素冲突的独立性,在行动上能够不受垂直管理者的干涉。
建议国有企业结合自身现有的组织结构和管理架构,参考《评价指引》的规定,从人力资源配置、部门及人员岗位职责等方面尽可能为合规管理部门赋予独立性。
3.《评价指引》未对绩效评估改进相关工作进行明确的系统性规定
ISO 37301采用了PDCA循环理念(计划-执行-检查-改进)贯穿其对合规管理体系建设、运行、维护和改进的全过程规定中,从合规管理逻辑的角度来看,绩效评估改进工作是形成合规管理体系闭环运行的重要环节。合规管理体系需要持续不断地对已建立的体系进行检查,并根据检查结果对出现的问题不断更新和改进,使得企业的合规管理体系始终保持活力并贴合企业的经营管理现状。
对此,《管理办法》的相关规定仅集中在违规整改以及违规举报方面,对于合规管理体系整体的评估改进工作,仅在第二十七条规定,企业应当定期开展合规管理体系有效性评价,强化评价结果运用。在绩效评估改进工作方面,《管理办法》的规定略显薄弱。已建立合规管理体系并运行的企业,特别是处于合规管理建设起步阶段的企业,可能会忽略绩效评估改进工作的重要性,不利于企业合规管理体系运行的有效性和稳定性。
关于绩效评估改进工作,《评价指引》将其设定为单独的一个评价维度,并细分了5个工作模块,即,监视、测量、分析和评价;内部审核;管理评审;体系持续改进;不符合和纠正措施等5个评价指标。针对每个工作模块设定了多个评价角度,合计包含20个评价条款,相关评价角度主要体现在以下方面:
(1) 监视、测量、分析和评价:证据性文件、监测方案、反馈机制、信息渠道、指标评估、有效性、合规义务变化;
(2) 内部审核:规范性文件、规范执行、审核结果;
(3) 管理评审:规范性文件、定期评估、证据性文件;
(4) 体系持续改进:改进机制、改进执行、效果评估;
(5) 不符合和纠正措施:负面规范、原因分析及应对、应对措施的有效性、信息管理。
鉴于绩效评估改进工作对于合规管理体系持续运行的重要性,建议已建立合规管理体系并运行的企业,参考《评价指引》中评价维度“绩效评估改进工作”的具体评价条款,结合自身管理现状,制定繁简适当的评估改进机制,并定期组织开展相关工作。
(三) 其他有效性评价标准的评价指标
除《评价指引》外,中国中小企业协会发布的T/CASMES 19-2022《中小企业合规管理体系有效性评价》在评价指标中对于中型企业和小微企业的评价内容是加以区分的,即,针对小微企业组织结构和管理模式相对简单、从业人员少的特点,在保留合规管理体系基本要求的前提下相应简化合规管理体系的评价标准,使其更加贴近小微企业的管理实际,更具可操作性;对于中型企业,其评价标准与《评价指引》相比也有一定的简化。该评价指标对处于合规管理体系建设起步阶段的国有企业,也有一定的参考意义,可以帮助企业更好的理解并抓住合规管理体系的基本要求和操作。
6
结语
随着国有企业合规管理工作的不断深入,未来会出现更多关于合规管理体系有效性评价的规定、规则或标准,希望国有企业能够善用这些评价标准和评价指标,取长补短,以促进自身合规管理体系的不断优化改进和稳定运行。
作者简介
周晶
国浩天津律师
业务领域:企业投资并购、PPP项目、企业合规
邮箱:zhoujingtj@grandall.com.cn
【 特别声明:本篇文章所阐述和说明的观点仅代表作者本人意见,仅供参考和交流,不代表本所或其律师出具的任何形式之法律意见或建议。】
