专业文章
中央企业如何构建合规管理体系
2018年11月2日,国务院国有资产监督管理委员会(以下简称“国资委”)印发了《中央企业合规管理指引(试行)》(国资发法规〔2018〕106号),由各中央企业遵照执行,明确该指引。该指引第一次系统全面地对中央企业的合规管理工作进行规范,其名虽为“指引”,但明确要求“自公布之日起施行”,规定“国资委负责指导监督中央企业合规管理工作”。该指引没有罚则,但单列“合规管理保障”作为第五章,要求“把合规经营管理情况纳入对各部门和所属企业负责人的年度综合考核”、对于重大合规风险及年度报告等应“报送国资委”等。所以,中央企业应充分认识该指引的重要性,依此构建合规管理体系。
另外,国家发展和改革委员会,外交部,商务部,中国人民银行,国资委,国家外汇管理局,中华全国工商业联合会于2018年12月26日发布了《企业境外经营合规管理指引》(发改外资〔2018〕1916号),明确该指引“供企业参考”,“有关方面可以结合实际,在此基础上制定更具体的合规管理指引”。国家发展改革委有关负责人就《企业境外经营合规管理指引》答记者问中提到,该指引是政府提供的一项公共服务,供“走出去”企业参考。
在适用范围上,《企业境外经营合规管理指引》明确适用于“开展对外贸易、境外投资、对外承包工程等“走出去”相关业务的中国境内企业及其境外子公司、分公司、代表机构等境外分支机构(以下简称“企业”)”。《中央企业合规管理指引(试行)》第四条要求合规须覆盖中央企业的“各级子企业和分支机构”。
综合起来,对于开展“走出去”相关业务的中央企业,及其各级子企业和分支机构,包括境外子公司、分公司、代表机构等,首先应适用《中央企业合规管理指引(试行)》,同时根据企业的情况,参考适用《企业境外经营合规管理指引》的要求。
一建立健全合规管理体系的原则
(一) 全面覆盖
合规要求须覆盖各业务领域、各部门、各级子企业和分支机构、全体员工,贯穿决策、执行、监督全流程,体现于决策机制、内部控制、业务流程等各个方面。
(二) 强化责任
把加强合规管理作为企业主要负责人履行推进法治建设第一责任人职责的重要内容。建立全员合规责任制,明确管理人员和各岗位员工的合规责任并督促有效落实。
(三)协同联动
推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接,确保合规管理体系有效运行。
(四)客观独立
严格依照法律法规等规定对企业和员工行为进行客观评价和处理。合规管理牵头部门独立履行职责,不受其他部门和人员的干涉。
所以,企业合规管理应关注从制度设计、机构设置、岗位安排以及汇报路径等方面保证独立性。合规管理机构及人员承担的其他职责不应与合规职责产生利益冲突。
二合规管理的主体
中央企业合规管理的主体包括董事会、监事会、经理层、合规委员会、合规管理负责人、合规管理牵头部门、业务及相关部门等七个主体。七个主体又可以分为三个层次。
(一)国有企业决策管理层
董事会、监事会、经理层作为国有企业的决策管理层,从国有企业治理的角度,对合规管理的工作进行分工。
董事会的合规管理工作较为宏观与重大,职责主要包括推动完善合规管理体系,批准合规管理战略、基本制度、年度报告,决定合规管理负责人任免、合规管理牵头部门的设置与职能、合规管理有关重大事项、违规人员处理。
监事会的合规管理职责主要是监督,职责主要包括监督董事会的决策与流程的合规性、董事与高管的合规管理职责履行情况,对引发重大合规风险负有主要责任的董事、高级管理人员提出罢免建议,提出撤换公司合规管理负责人的建议。
经理层的职责偏向管理与执行,其合规管理职责主要包括健全合规管理组织架构;批准合规管理具体制度、合规管理的计划;采取措施确保合规制度得到有效执行;明确合规管理流程,确保合规要求融入业务领域;及时纠正不合规行为,追究相关人员责任,或提出处理建议;董事会授权的其他事项。
(二)合规管理的专业管理及执行层
合规委员会、合规管理负责人、合规管理牵头部门则属于专业管理与执行层,从专业角度履行合规管理的职责。
1、合规委员会
中央企业设立合规委员会,与企业法治建设领导小组或风险控制委员会等合署。
合规委员会在专业层中处于最高负责位置,主要进行组织领导和统筹协调工作,工作方式是召开会议,以研究决定事项、提出意见建议、指导、监督和评价工作。具体可以履行以下合规职责:(1)确认合规管理战略,明确合规管理目标;(2)建立和完善企业合规管理体系,审批合规管理制度、程序和重大合规风险管理方案;(3)听取合规管理工作汇报,指导、监督、评价合规管理工作。
2、合规管理负责人
中央企业相关负责人或总法律顾问担任合规管理负责人。合规负责人是企业合规管理工作具体实施的负责人和日常监督者,不建议同时分管与合规管理相冲突的部门。
合规管理负责人处于枢纽地位,起到承上启下的作用,主要履行的合规职责包括:(1)贯彻执行企业决策层对合规管理工作的各项要求,全面负责企业的合规管理工作,向董事会和总经理汇报合规管理重大事项。组织制订合规管理战略规划、起草年度报告,参与企业重大决策并提出合规意见。(2)协调合规管理与企业各项业务之间的关系,监督合规管理执行情况,及时解决合规管理中出现的重大问题。(3)领导牵头合规管理部门开展工作,加强合规管理队伍建设,做好人员选聘培养,监督合规管理部门认真有效地开展工作。
3、合规管理牵头部门
法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持。
合规管理牵头部门则为合规管理的专业执行部门,职责主要包括:(1)研究起草合规管理计划、基本制度与具体制度;(2)持续关注各类规则变化,组织开展合规风险识别和预警,参与企业重大事项的合规审查和风险应对,及时提供合规建议;(3)组织开展合规检查与考核,对制度和流程进行合规性评价,督促违规整改和持续改进;实施充分且具有代表性的合规风险评估和测试,查找规章制度和业务流程存在的缺陷,并进行相应的调查。对已发生的合规风险或合规测试发现的合规缺陷,应提出整改意见并监督有关部门进行整改。(4)指导所属单位合规管理工作;(5)受理职责范围内的违规举报,组织或参与对违规事件的调查,并提出处理建议;(6)组织或协助业务部门、人事部门开展合规培训;(7)积极主动识别和评估与企业境外经营相关的合规风险,并监管与供应商、代理商、分销商、咨询顾问和承包商等第三方(以下简称“第三方”)相关的合规风险。为新产品和新业务的开发提供必要的合规性审查和测试,识别和评估新业务的拓展、新客户关系的建立以及客户关系发生重大变化等所产生的合规风险,并制定应对措施;(8)推动将合规责任纳入岗位职责和员工绩效管理流程。建立合规绩效指标,监控和衡量合规绩效,识别改进需求;(9)建立合规报告和记录的台账,制定合规资料管理流程;(10)建立并保持与境内外监管机构日常的工作联系,跟踪和评估监管意见和监管要求的落实情况。
(三)业务及相关部门
《中央企业合规管理指引(试行)》特别加重了业务部门的合规管理职责,业务部门不单纯负责业务的推进,对合规管理工作负有主动、积极推进及完成的义务。
业务部门负责本领域的日常合规管理工作;按照合规要求完善业务管理制度和流程;主动开展合规风险识别和隐患排查,发布合规预警;组织合规审查;及时向合规管理牵头部门通报风险事项;妥善应对合规风险事件;做好本领域合规培训和商业伙伴合规调查等工作;组织或配合进行违规问题调查并及时整改。监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门,在职权范围内履行合规管理职责。
(四)合规管理主体的协调工作
合规管理主体众多,合规管理的协调凸显重要。
首先,在内部上,合规管理部门应注意与业务部门、其他监督部门的分工协作。(1)合规管理需要合规管理部门和业务部门密切配合。境外经营相关业务部门应主动进行日常合规管理工作,识别业务范围内的合规要求,制定并落实业务管理制度和风险防范措施,组织或配合合规管理部门进行合规审查和风险评估,组织或监督违规调查及整改工作。(2)合规管理部门与其他监督部门也应分工协作。合规管理部门与其他具有合规管理职能的监督部门(如审计部门、监察部门等)应建立明确的合作和信息交流机制,加强协调配合,形成管理合力。企业应根据风险防控需要以及各监督部门的职责分工划分合规管理职责,确保各业务系统合规运营。
其次,企业应注意外部的沟通协调。(1)企业与外部监管机构沟通协调。企业应积极与境内外监管机构建立沟通渠道,了解监管机构期望的合规流程,制定符合监管机构要求的合规制度,降低在报告义务和行政处罚等方面的风险。(2)企业与第三方沟通协调。企业与第三方合作时,应做好相关的国别风险研究和项目尽职调查,深入了解第三方合规管理情况。企业应当向重要的第三方传达自身的合规要求和对对方的合规要求,并在商务合同中明确约定。
三合规管理的事务
《中央企业合规管理指引(试行)》与《企业境外经营合规管理指引》对“合规”的定义类似,可归纳为:企业及其员工的经营管理行为,符合法律法规、监管规定、行业准则、商业惯例、道德规范和企业章程、规章制度以及国际条约、规则等要求。依此定义,企业及其员工的所有经营管理行为,均应在合规管理的事务范围内。
《中央企业合规管理指引(试行)》与《企业境外经营合规管理指引》对一些合规管理中的要点事务提出了明确要求。《中央企业合规管理指引(试行)》对重点领域、重点环节、重点人员,以及海外投资经营行为,提出了明确的合规管理的要求。《企业境外经营合规管理指引》对对外贸易、境外投资、对外承包工程提出了合规要求。
对进行境外经营业务的中央企业来说,对重点领域、重点环节、重点人员,以及对外贸易、境外投资、对外承包工程,应分别遵守、参考相关的合规要求。具体内容可参考两个指引的规定,不再赘述。
四如何构建合规管理架构
(一)建立合规管理制度
1、制定全员普遍遵守的合规行为规范
合规行为规范或准则是最重要、最基本的合规制度,是其他合规制度的基础和依据,适用于所有境外经营相关部门和员工,以及代表企业从事境外经营活动的第三方。
合规行为规范可以规定境外经营活动中必须遵守的基本原则和标准,包括但不限于企业核心价值观、合规目标、合规的内涵、行为准则的适用范围和地位、企业及员工适用的合规行事标准、违规的应对方式和后果等。
2、针对重点领域制定专项合规管理制度
企业可以在合规行为规范的基础上,针对特定主题或特定风险领域制定具体的合规管理制度,包括但不限于礼品及招待、赞助及捐赠、利益冲突管理、举报管理和内部调查、人力资源管理、税务管理、商业伙伴合规管理等内容。
企业还可以针对特定行业或地区的合规要求,结合企业自身的特点和发展需要,制定相应的合规风险管理制度。例如金融业及有关行业的反洗钱及反恐怖融资政策,银行、通信、医疗等行业的数据和隐私保护政策等。
3、根据法律法规变化和监管动态,及时将外部有关合规要求转化为内部规章制度
《中央企业合规管理指引(试行)》的这项要求,除了存在更新普遍性的合规管理制度、专项合规管理制度的可能外,还可能因法律法规和监管的变化,需要制定新的合规管理制度或专项合规管理制度。企业对此也应高度重视。
4、 根据需要,制定合规操作流程
《企业境外经营合规管理指引》的这一参考意见,可以增强企业合规管理的可操作性。企业可结合境外经营实际,就合规行为准则和管理办法制定相应的合规操作流程,进一步细化标准和要求;也可将具体的标准和要求融入到现有的业务流程当中,便于员工理解和落实,确保各项经营行为合规。
(二)建立合规风险识别预警机制
经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析评估,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。
为识别合规风险,企业可以:1、建立必要的制度和流程,识别新的和变更的合规要求;2、围绕关键岗位或者核心业务流程,通过合规咨询、审核、考核和违规查处等内部途径识别合规风险,也可通过外部法律顾问咨询、持续跟踪监管机构有关信息、参加行业组织研讨等方式获悉外部监管要求的变化,识别合规风险;3、对于企业境外分支机构,可通过聘请法律顾问、梳理行业合规案例等方式动态了解掌握业务所涉国家(地区)政治经济和法律环境的变化,及时采取应对措施,有效识别各类合规风险。
为评估合规风险,合理发布预警,企业可以:1、通过分析违规或可能造成违规的原因、来源、发生的可能性、后果的严重性等进行合规风险评估。2、根据企业的规模、目标、市场环境及风险状况确定合规风险评估的标准和合规风险管理的优先级。3、企业进行合规风险评估后应形成评估报告,供决策层、高级管理层和业务部门等使用。评估报告内容包括风险评估实施概况、合规风险基本评价、原因机制、可能的损失、处置建议、应对措施等。
(三)加强合规风险应对或处置
1、针对发现的风险制定预案,采取有效措施,及时应对处置。
2、对于重大合规风险事件,合规委员会统筹领导,合规管理负责人牵头,相关部门协同配合,最大限度化解风险、降低损失。必要时,应及时报告有关监管机构。
(四)建立健全合规审查机制
将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序,及时对不合规的内容提出修改建议,未经合规审查不得实施。
为建立健全合规审查机制,企业可考虑做到以下几个方面:1、企业及其员工在履职过程中遇到合规风险事项,应及时主动寻求合规咨询或审核支持。2、企业应针对高合规风险领域规定强制合规咨询范围。在涉及重点领域或重要业务环节,比如规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为,业务部门应主动咨询合规管理部门意见。3、合规管理部门应在合理时间内答复或启动合规审核流程。4、对于复杂或专业性强且存在重大合规风险的事项,合规管理部门应按照制度规定听取法律顾问、公司律师意见,或委托专业机构召开论证会后再形成审核意见。
(五)强化违规问责
完善违规行为处罚机制,明晰违规责任范围,细化惩处标准。畅通举报渠道,针对反映的问题和线索,及时开展调查,严肃追究违规人员责任。
具体说来,企业可明确合规信息举报与调查体系,并建立合规问责机制,即:
1、企业应根据自身特点和实际情况建立和完善合规信息举报体系。员工、客户和第三方均有权进行举报和投诉,企业应充分保护举报人。
2、合规管理部门或其他受理举报的监督部门应针对举报信息制定调查方案并开展调查。形成调查结论以后,企业应按照相关管理制度对违规行为进行处理。
3、建立全面有效的合规问责制度,明晰合规责任范围,细化违规惩处标准,严格认定和追究违规行为责任。
(六)开展合规管理评估
定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。
企业开展合规管理评估,可分为两个部分。一方面对企业合规管理体系进行评估或评价,另一方面根据评估结果,持续改进合规管理体系。
企业合规管理体系评估的工作主要应注意两个方面:1、企业定期对合规管理体系进行系统全面的评估或评价,发现和纠正合规管理贯彻执行中存在的问题,促进合规体系的不断完善。合规管理体系的评估或评价可由企业合规管理相关部门组织开展或委托外部专业机构开展。2、企业在开展效果评价时,应考虑企业面临的合规要求变化情况,不断调整合规管理目标,更新合规风险管理措施,以满足内外部合规管理要求。
企业合规管理体系的持续改进也分为两种情况:一方面,企业应根据合规审计和体系评价情况,进入合规风险再识别和合规制度再制定的持续改进阶段,保障合规管理体系全环节的稳健运行。另一方面,企业应积极配合监管机构的监督检查,并根据监管要求及时改进合规管理体系,提高合规管理水平。
五合规管理的保障
(一) 加强合规考核评价
把合规经营管理情况纳入对各部门和所属企业负责人的年度综合考核,细化评价指标。对所属单位和员工合规职责履行情况进行评价,并将结果作为员工考核、干部任用、评先选优等工作的重要依据。
合规考核应全面覆盖企业的各项管理工作。合规考核结果应作为企业绩效考核的重要依据,与评优评先、职务任免、职务晋升以及薪酬待遇等挂钩。
境外经营相关部门和境外分支机构可以制定单独的合规绩效考核机制,也可将合规考核标准融入到总体的绩效管理体系中。考核内容包括但不限于按时参加合规培训,严格执行合规管理制度,积极支持和配合合规管理机构工作,及时汇报合规风险等。
(二) 强化合规管理信息化建设
通过信息化手段优化管理流程,记录和保存相关信息。运用大数据等工具,加强对经营管理行为依法合规情况的实时在线监控和风险分析,实现信息集成与共享。
(三)建立专业化、高素质的合规管理队伍
根据业务规模、合规风险水平等因素配备合规管理人员,持续加强业务培训,提升队伍能力水平。海外经营重要地区、重点项目应当明确合规管理机构或配备专职人员,切实防范合规风险。
(四)重视合规培训
结合法治宣传教育,建立制度化、常态化培训机制,确保员工理解、遵循企业合规目标和要求。
企业应将合规培训纳入员工培训计划,培训内容需随企业内外部环境变化进行动态调整。境外经营相关部门和境外分支机构的所有员工,均应接受合规培训,了解并掌握企业的合规管理制度和风险防控要求。决策层和高级管理层应带头接受合规培训,高风险领域、关键岗位员工应接受有针对性的专题合规培训。合规培训应做好记录留存。
(五)积极培育合规文化
通过制定发放合规手册、签订合规承诺书等方式,强化全员安全、质量、诚信和廉洁等意识,树立依法合规、守法诚信的价值观,筑牢合规经营的思想基础。
企业应将合规文化作为企业文化建设的重要内容。企业决策层和高级管理层应确立企业合规理念,注重身体力行。企业应践行依法合规、诚信经营的价值观,不断增强员工的合规意识和行为自觉,营造依规办事、按章操作的文化氛围。
合规文化除了需要培育,也需要推广。企业应将合规作为企业经营理念和社会责任的重要内容,并将合规文化传递至利益相关方。企业应树立积极正面的合规形象,促进行业合规文化发展,营造和谐健康的境外经营环境。
推广合规文化,不仅是正面宣传及积极形象树立的需要,也是合规风险控制的要求。利益相关方依法合规、守法诚信经营,与企业签署合规承诺书等,客观上减少企业合规风险的发生。
(六)建立合规报告制度
1、合规负责人和合规管理牵头部门应享有通畅的合规汇报渠道。
2、发生较大合规风险事件,合规管理牵头部门和相关部门应当及时向合规管理负责人、分管领导报告。对于重大合规风险事件,合规负责人或合规牵头管理部门应当及时向决策层和高级管理层汇报,提出风险警示,并采取纠正措施;同时,应当向国资委和有关部门报告。
3、合规管理牵头部门应当定期向决策层和高级管理层汇报合规管理情况,特别是应于每年年底全面总结合规管理工作情况,起草年度报告,经董事会审议通过后及时报送国资委。
汇报内容一般包括但不限于合规风险评估情况,合规培训的组织情况和效果评估,发现的违规行为以及处理情况,违规行为可能给组织带来的合规风险,已识别的合规漏洞或缺陷,建议采取的纠正措施,合规管理工作的整体评价和分析等。
