雒宏伟(上海天祥质量技术服务有限公司)
摘要: 2018年11月2日国资委下发了《中央企业合规管理指引(试行)》,明确提出“中央企业应当加快建立健全合规管理体系”。为了帮助央企更好的贯彻该指引、更好的建立健全合规管理体系,本文将该指引对照 GB/T 35770-2017进行了研究,提出了按照《合规管理体系 指南》建立合规管理体系并且整合《中央企业合规管理指引(试行)》的要求的方法。
关键词:ISO19600 合规管理体系 中央企业合规管理指引
Establishmentand improvement of CMS through the implement of Central enterprises compliance managementguideline
LUO HONGWEIIntertek China
Abstract: SASAC issued Central enterprisescompliance management guideline on 2 Nov 2018, which states that centralenterprises shall speed the establishment of CMS. In order to facilitate theimplement of this guideline as well as the establishment and improvement of CMSby central enterprises, this article studies this guideline against GB/T35770-2017, and proposes the method of establishment of CMS as per the standardand integration of their requirements.
Keywords: ISO19600 Compliance Management System Central enterprises compliance managementguideline
近年来随着中国经济的快速发展、中国企业的不断壮大,尤其是“一带一路”政策的推进,越来越多的中国企业离开熟悉和舒适的国内市场,参与到全球市场竞争当中。但是很不幸的是,因为不同国家、地区有不同的市场环境和竞争规则,而一些中国企业并没有对合规给予足够的重视,没有认真的学习和适应,而是沿用在国内的习惯和做法,导致因为不合规而受到遭受制裁或处罚。例如,到目前为止有超过40家中国企业被列入过世界银行黑名单。 更重要的是,当今社会,利用对竞争对手国家的龙头企业的违规处罚或制裁以达到削弱竞争对手国家实力和竞争力的目的,已经成为大国博弈的重要手段。而作为中央企业是一些重要领域的国内甚至是全球的领导性企业,也是“一带一路”建设的主要力量,早已成为一些大国重点关注的对象。中兴通讯,一个年产值上千亿的通讯行业的骨干企业,被处罚14.9亿美元的同时,被列入美国禁售制裁名单,几乎濒临倒闭。而同样是中国通讯行业的领头羊的华为也一直受到是美国一些监管机构的调查,这为我们在合规管理方面敲响了警钟。
正是基于这些原因,早在2015年12月8日,国务院国资委《关于全面推进法治央企建设的意见》(国资发法规[2015]166号)就指出“中央企业是我国国民经济的重要支柱,是落实全面依法治国战略的重要主体。”要求“中央企业加快提升合规管理能力,到2020年,中央企业依法治企能力达到国际同行业先进水平,努力成为治理完善、经营合规、管理规范、守法诚信的法治央企。”2018年11月2日国资委下发了《中央企业合规管理指引(试行)》,明确提出“中央企业应当加快建立健全合规管理体系”。
如何贯彻该指引?如何建立健全合规管理体系?就成为央企最高管理层和合规管理部门人员需要研究和考虑的问题。其实,2012年10月,ISO就成立了ISO/PC271合规管理委员会,负责制定合规管理体系国际标准;2014年12月15日,ISO19600《合规管理体系指南》发布实施; 2017年12月29日,GB/T 35770-2017《合规管理体系 指南》国家标准也经国家质量监督检验检疫总局、国家标准化管理委员会正式批准、发布,并于2018年7月1日起实施。
GB/T 35770-2017《合规管理体系 指南》是ISO19600:2014等同转换标准,汇集了国际上被广泛认可的合规管理理论和最佳实践,是通过采用被全球广泛认可的ISO管理体系方法来管理合规问题。GB/T 35770-2017标准的发布和实施给希望加强合规管理,提升合规经营管理水平、建设合规管理体系的企业提供了全面系统的指南。虽然《中央企业合规管理指引(试行)》对央企加强合规管理、建立健全合规管理体系提出了明确的要求,但是这些只是一些重点要求,从建立合规管理体系的角度并不完善,也没有对这些要求之间的逻辑关系和合规管理体系建立的方法进行说明。
Intertek天祥集团作为合规管理体系标准ISO19600:2014和GB/T35770-2017《合规管理体系 指南》的主要培训和评价机构,我们致力于反贿赂管理体系和合规管理体系的研究和推广。为了帮助央企更好的贯彻该指引、更好的建立健全合规管理体系,我们将该指引对照 GB/T 35770-2017进行了研究,试图将《合规管理体系 指南》和《中央企业合规管理指引(试行)》的要求进行整合。为了保留GB/T 35770-2017标准的系统性同时节省篇幅,我们以GB/T35770-2017标准的条款顺序为基础,以覆盖“指引”相关要求为目的,只摘取标准部分内容与“指引”对应内容进行比较分析以达到整合的目的。如果“指引”中没有标准某些条款对应的相关要求时,表格中这些条款的地方是空白或注明“无”,这正说明“指引”对比GB/T 35770-2017标准存在很多空缺。现将研究成果与大家分享。
“指引”的第一章是总则,明确了一些主要术语的定义和基本原则。术语如合规、合规风险、合规管理等,尽管术语定义表述与GB/T 35770-2017标准有差异,但是内容没有大的区别。“指引”的基本原则如:全面覆盖、强化责任、协同联动和客观独立与GB/T 35770-2017的要求是一致的。我们下面将重点讨论“指引”的第二章到第五章的内容与GB/T 35770-2017要求的差异和如何实现整合,如下表所示:
| 条款 | GB/T35770-2017要求(以下简称“标准”) | 《中央企业合规管理指引(试行)》要求(以下简称“指引”) | 如何实现整合? |
| 3.1 理解组织及其背景 | 无 | ||
| 3.2 理解相关方的需求和期望 | 无 | ||
| 3.3 确定合规管理体系的范围 | 无 | ||
| 3.4 合规管理体系和良好治理原则 | 无 | ||
| 3.5 合规义务 | 无 | ||
| 3.6 识别、分析和评价合规风险 |
组织识别合规风险,宜把合规义务和它的活动、产品、服务和运行的相关方面联系起来,以识别可能发生不合规的场景。组织宜识别不合规的原因及后果。 组织宜通过考虑不合规的原因、来源、后果的严重程度、不合规及其后果能发生的可能性进行合规风险分析。 风险评价涉及组织合规风险分析过程中发现的合规风险等级与组织能够并愿意接受的合规风险水平的比较。基于这个比较,能设定优先级,作为确定需要实施的控制及其程度的基础(见5.1)。 发生以下情形,宜对合规风险进行周期性再评估 |
第十八条建立合规风险识别预警机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。 | 标准3.6的要求能够覆盖指引第十八条的要求,而且更加具体明确,要求对风险排列优先顺序,作为实施控制和程度的基础,并要求“进行周期性再评估”。 |
| 4.1 领导和承诺 | 无 | ||
| 4.2 合规方针 | 无 | ||
| 4.3 组织的角色、职责和权限 |
4.3.1 总则 4.3.2 组织内合规职责的分配。 许多组织由专人(如:合规官)负责日常的合规管理,有些组织由跨职能的合规委员会协调整个组织 的合规工作。 4.3.3 治理机构和最高管理者的角色和职责; 4.3.4 合规团队; 4.3.5 管理层职责 4.3.6 员工职责 |
第五条董事会的合规管理职责 第六条监事会的合规管理职责 第七条经理层的合规管理职责 第八条合规委员会职责 第九条中央企业相关负责人或总法律顾问担任合规管理负责人 第十条法律事务机构或其他相关机构为合规管理牵头部门 第十一条业务部门职责 |
“指引”中的董事会和监事会是“标准”中的治理机构;指引”中的经理层是“标准”中的最高管理者; 指引”中的合规委员会的职责与“标准”中的合规委员会职责相近; “指引”中的合规管理负责人就是“标准”中的合规官;“指引”中的合规管理牵头部门就是“标准”中的合规团队;“指引”中的业务部门就是“标准”中的管理层; 虽然“指引”第四条明确“合规管理牵头部门独立履行职责,不受其他部门和人员的干涉。”但是并没有如“标准”那样明确提出合规团队: 1) 具有设计合规管理体系并保持其一致性和完整性的权限和职责。 2) 有权直接接触治理机构和最高管理者并获得来自他们的清晰和明确的支持。 3) 使其有权接触: ———高级决策制定者并有机会在决策制定过程初期提出意见和建议; ———组织的各个层面; ———执行合规任务所需的所有文件化信息和数据; ———关于相关法律、法规、准则和组织标准的专家建议。 4) 通过指出在相关决策过程中所有合规方面的后果,具有实施制衡权力的权限和能力。 建议按照上述分析,在“指引”第二章合规管理职责的基础上结合企业实际情况对合规管理进行职责分配,并对照“标准”的相关角色和职责的要求进行补充完善,尤其是合规管理牵头部门要按照标准对合规团队职责和权限的要求进行明确。 |
| 5.1 合规风险的应对措施 |
组织进行合规管理体系策划,宜考虑3.1提及的问题,3.2提及的要求,3.4提及的良好治理原则,3.5识别的合规义务,3.6提及的合规风险评估的结果,以确定需解决的合规风险。 组织宜策划: a) 应对合规风险的措施。 |
第十九条加强合规风险应对,针对发现的风险制定预案,采取有效措施,及时应对处置。对于重大合规风险事件,合规委员会统筹领导,合规管理负责人牵头,相关部门协同配合,最大限度化解风险、降低损失。 | 通过对比可以看出:标准5.1的要求可以覆盖“指引”第十九条的要求。 |
| 5.2 合规目标和实施策划 | 无 | ||
| 6.1 资源 | 无 | ||
| 6.2 能力和培训 |
治理机构、管理层和具有合规义务的所有员工都宜具备有效履行合规义务的能力。 对员工的教育和培训宜: a) 针对与员工角色和职责相关的义务和合规风险量身定制; b) 适宜时,以对员工知识和能力缺口的评估为基础; c) 在组织成立时就提供并持续提供; d) 与组织的培训计划一致,并纳入年度培训计划; |
第十五条加强对以下重点人员的合规管理: (一)管理人员。 (二)重要风险岗位人 (三)海外人员。 (四)其他需要重点关注的人员。 第二十五条建立专业化、高素质的合规管理队伍,根据业务规模、合规风险水平等因素配备合规管理人员,持续加强业务培训,提升队伍能力水平。 海外经营重要地区、重点项目应当明确合规管理机构或配备专职人员,切实防范合规风险。 第二十六条重视合规培训,结合法治宣传教育,建立制度化、常态化培训机制,确保员工理解、遵循企业合规目标和要求。 |
标准6.2的要求可以覆盖“指引”第十五条、第二十五条和第二十六条的要求。但“指引”专门强调了对海外经营重要地区和重点项目的要求。 |
| 6.3 意识 |
6.3.2.3合规文化明确发展合规文化要求治理机构、最高管理者和管理层,对组织的各个领域所要求的共同的、已发布的行为标准作出积极的、可见的、一致的和持久的承诺。 例如,支持合规文化发展的因素包括: ———一系列已发布的清晰的价值观; ———管理层积极实施和遵守价值观; ———不论职位,处理相似措施时保持一致; ———在监视、辅导和指导过程中以身作则; ———对潜在员工进行适当的就业前评估; ———在入职培训或新员工训练中强调合规和组织价值观; ———持续进行合规培训,包括更新培训内容; ———持续就合规问题进行沟通; ———建立绩效考核体系,考虑对合规行为的评估,并将合规表现与工资挂钩,以实现合规关键绩效措施和结果; ———对合规管理业绩和结果予以明确认可; ———对故意或因疏忽而违反合规义务的情况给予即时和适当的惩罚; ———在组织战略和个人角色之间建立清晰的联系,反映出合规是实现组织结果所必不可少的; ———就合规进行公开和适当的沟通。 |
第二十七条积极培育合规文化,通过制定发放合规手册、签订合规承诺书等方式,强化全员安全、质量、诚信和廉洁等意识,树立依法合规、守法诚信的价值观,筑牢合规经营的思想基础。 | 标准6.3.2.3合规文化的要求可以覆盖“指引”第二十七条的要求。 |
| 第二十三条加强合规考核评价,把合规经营管理情况纳入对各部门和所属企业负责人的年度综合考核,细化评价指标。对所属单位和员工合规职责履行情况进行评价,并将结果作为员工考核、干部任用、评先选优等工作的重要依据。 | “指引”第二十三条对合规考核评价的要求对比标准6.3.2.3的相关要求更具体全面,建议按照“指引”第二十三条实施。 | ||
| 第二十一条强化违规问责,完善违规行为处罚机制,明晰违规责任范围,细化惩处标准。 | 标准6.3.2.3 合规文化中对处罚进行了要求,但没有“指引”第二十一条明确,建议企业可以按照第二十一条的要求实施。 | ||
| 6.4 沟通 | 无 | ||
| 6.5 文件化信息 | 无 | ||
| 7.1 运行的策划和控制 |
组织宜策划、实施和控制满足合规义务必需的过程,并实施5.1确定的措施,通过: ———确定过程的目标; ———确立过程的准则; ———根据准则实施过程控制; |
第十二条中央企业应当根据外部环境变化,结合自身实际,在全面推进合规管理的基础上,突出重点领域、重点环节和重点人员,切实防范合规风险。 第十三条加强对以下重点领域的合规管理: (一)市场交易 (二)安全环保。 (三)产品质量 (四)劳动用工。 (五)财务税收 (六)知识产权 (七)商业伙伴 (八)其他需要重点关注的领域 第十四条加强对以下重点环节的合规管理: (一)制度制定环节。 (二)经营决策环节 (三)生产运营环节 (四)其他需要重点关注的环节。 第十六条强化海外投资经营行为的合规管理: (一)深入研究投资所在国法律法规及相关国际规则,全面掌握禁止性规定,明确海外投资经营行为的红线、底线; (二)健全海外合规经营的制度、体系、流程,重视开展项目的合规论证和尽职调查,依法加强对境外机构的管控,规范经营管理行为; (三)定期排查梳理海外投资经营业务的风险状况,重点关注重大决策、重大合同、大额资金管控和境外子企业公司治理等方面存在的合规风险,妥善处理、及时报告,防止扩大蔓延。 |
“指引”第十二条、第十三条、第十四条、第十六条都是“指引”明确提出需要加强合规管理的重点领域和重点环节,并明确了具体控制措施。虽然这些是企业需要重点关注的,但是每个企业的内外部环境不同,合规义务不同、合规风险有很大差异,所以应在重点关注这些领域和环节的同时,要基于内外部环境的分析、相关方要求的识别、合规义务的识别和合规风险的识别和评价,找出企业自身的重点领域和环节,采取对合规风险有针对性的措施进行控制,而不是机械的套用。 |
| 7.2 建立控制和程序 |
采取有效的控制措施确保满足合规义务,能够预防或发现不合规事件并纠正。充分而严格的设计各类、各层次的控制措施,以促进组织的活动和运行环境实现合规义务。在合理的情况下,这些控制措施宜植入常规的组织过程。 示例:控制包括: ———清晰、实用并易于遵循的文件化运行方针、程序、过程和操作指示; ———系统和异常报告; ———审批; ———划分有冲突的角色和职责; ———自动化过程; ———年度合规计划; ———员工绩效计划; ———合规评估和审核; ———管理层的承诺和以身作则和促进合规行为的其他措施; ———对预期的员工行为(标准、价值观和行为准则)进行主动、公开并经常的沟通。 |
第十七条建立健全合规管理制度,制定全员普遍遵守的合规行为规范,针对重点领域制定专项合规管理制度,并根据法律法规变化和监管动态,及时将外部有关合规要求转化为内部规章制度。 第二十条建立健全合规审查机制,将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序,及时对不合规的内容提出修改建议,未经合规审查不得实施。 |
通过对比可以看出:标准7.2的要求可以覆盖“指引”第十七条和第二十条的要求。标准7.2示例中的“ 文件化运行方针、程序、过程和操作指示; ”对应“指引”的第十七条的要求;标准7.2 示例中的合规评估和审核对应“指引”中的第二十条。 |
| 7.3 外包过程 | 无 | ||
| 8.1 监视、测量、分析和评价 | 8.1.3组织宜建立、实施、评价和维护用以寻求和接收合规绩效反馈信息的程序。合规绩效反馈来源 包括: ———员工,如通过举报工具、热线电话、反馈、意见箱; | 第二十一条畅通举报渠道,针对反映的问题和线索,及时开展调查,严肃追究违规人员责任。 | 标准8.1.3的要求明确了举报渠道,但是没有对开展调查的要求,这是标准的缺失,建议按照“指引”第二十一条实施。 |
| 8.1.5对信息的有效分类和管理至关重要。 宜建立信息的分类、存储和检索系统。 信息管理系统宜同时收集问题和投诉,并对合规相关的信息进行分类和分析。 | 第二十四条强化合规管理信息化建设,通过信息化手段优化管理流程,记录和保存相关信息。运用大数据等工具,加强对经营管理行为依法合规情况的实时在线监控和风险分析,实现信息集成与共享。 | 标准8.1.5的要求可以覆盖“指引”第二十四条的要求。 | |
| 8.1.1 总则 组织宜确定: a) 需要被监视和测量的内容和原因; b) 监视、测量、分析、评价的方法(如适用),以确保有效的结果; c) 何时宜进行监视和测量; d) 何时宜分析、评价和报告监视和测量的结果。 组织宜评价合规管理体系的绩效和合规管理体系的有效性。 | 第二十二条开展合规管理评估,定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。 | 标准对合规管理评估包括三级:8.1日常的监视和测量;8.2定期对合规管理体系有效性的审核;8.3最高管理者主持的定期对合规管理体系适用性、充分性和有效性的评审。因此标准8.1、8.2和8.3可以覆盖“指引”第二十二条的要求。 | |
| 8.2 审核 | 组织宜至少在计划的时间间隔内安排审核,以提供信息,确定合规管理体系是否: a) 符合: 1) 组织自身的准则; 2) 本标准的建议。 b) 有效实施和维护。 | ||
| 8.3 管理评审 | 最高管理者宜按计划定期评审组织的合规管理体系,以确保其持续的适用性、充分性和有效性 | ||
| 9.1 不合格、不合规和纠正措施 | 9.1.2 上报 宜采用并宣传清晰、及时的上报过程,以确保所有不合规都能被提出、报告并最终上报给相关管理层,并确保合规团队得到通知并能够为上报提供支持。在适当的情况下,宜向最高管理者和治理机构上报,其中包括相关委员会。该过程宜详细说明报告的对象、方式和时间以及内部和外部报告的时间表。 当组织需按法律要求报告不合规时,需根据适用法规或其他商定方式,通知监管机构。 | 第二十八条建立合规报告制度,发生较大合规风险事件,合规管理牵头部门和相关部门应当及时向合规管理负责人、分管领导报告。重大合规风险事件应当向国资委和有关部门报告。 合规管理牵头部门于每年年底全面总结合规管理工作情况,起草年度报告,经董事会审议通过后及时报送国资委。 | 标准9.1.2上报的要求可以覆盖“指引”第二十八条的要求,但“指引”第二十八条的要求更明确具体。 |
| 9.2 持续改进 | 无 |
综上所述,虽然《中央企业合规管理指引(试行)》对比GB/T 35770-2017 《合规管理体系 指南》更加明确具体,但是GB/T 35770-2017更加系统全面。我们应该明白合规管理体系建设不同与合规管理制度建设。按照GB/T 35770-2017 《合规管理体系 指南》建立的合规管理体系是一个以合规义务为中心、基于风险、主动预防、持续改进的管理体系,标准要求企业根据内外部环境的变化动态识别更新合规义务、评价合规风险,并针对重大合规风险制定控制措施,并将合规义务要求和重大合规风险的控制措施整合在企业的业务过程中和外包控制过程中,并对措施的有效性进行监视和测量,对发现不合规或不符合进行纠正或制定纠正措施,然后重新进行内外部环境分析开始新一轮的循环。因此合规管理体系最重要的是拥有一个动态的、自我发现、自我完善的持续改进机制,不是若干的合规管理制度。合规管理制度如果不能根据内外部环境的变化、风险的变化及时进行修订,或者我们只关注制度的数量和控制的严密性,而忽视了合规管理要与风险程度相适应,必将影响企业管理的效率和业绩。因此按照GB/T 35770-2017建立和完善合规管理体系可以帮助企业在短时间内提升管理水平,使企业能够更好地防范合规风险。
同时作为全球公认的合规管理体系国际标准,通过按照ISO19600:2014或者其等同转换的GB/T 35770-2017的要求建立合规管理体系并通过第三方的符合性评估,为中国企业在面临监管机构处罚时提供有力的抗辩证据,可以达到尽职免责的目的。
因此,我们建议中央企业企业参照上表的说明,以GB/T 35770-2017《合规管理体系 指南》为基础建立合规管理体系,并同时考虑《中央企业合规管理指引(试行)》的要求,这样不单能达到国资委所要求的“建立健全合规管理体系”建的目的,能够同时能够为央企在海外市场竞争提供护身符。
参考文献
【1】 ISO,ISO19600:2014 Compliance management system –Guidelines
【2】 SAC, GB/T 35770-2017 《合规管理体系 指南》
【3】 SASAC, 《中央企业合规管理指引(试行)》2018
作者简介
雒宏伟,工商管理博士。研究方向:反贿赂管理、合规管理、资产管理、道路交通安全管理 。INTERTEK集团上海天祥质量技术服务有限公司ISO37001、ISO19600、ISO39001和ISO55001项目经理。
粤ICP备08001533号-1
Copyright © 2006-2021 Intertek
