網上投稿
我國企業的合規管理體系建設自2018年--“合規元年”伊始,已進入到第七年。在這七年中,逐漸形成了從中央企業到各地方國有企業、從上市公司到大中型民營企業、從東部沿海地區到中西部地區的合規管理體系建設浪潮。而已經建立和運行合規管理體系的企業,都進入了合規管理建設的深化年或提升完善年,其中不少企業還通過了國際或國內合規管理體系相關內容的認證。
不管根據ISO 370301中的“PDCA”理論,亦或是我國《中央企業合規管理辦法》中對于體系建設有效性評價的規定,其根本目標是為了讓合規管理體系能持續、有效地運行或者是能持續有效地防范合規風險的發生。因此,隨著合規管理在我國持續的生根發芽,針對合規管理體系建設是否有效?如何評價有效?則成為了讓合規管理體系能持續、有效運行的關鍵。
一、什么是合規管理體系有效性評價?
在國內,《中央企業合規管理指引(試行)》《企業境外經營合規管理指引》《商業銀行合規風險管理指引》《保險公司合規管理辦法》《證券公司和證券投資基金管理公司合規管理辦法》中都提到合規管理評估、合規管理有效性評估或合規管理體系有效性評價。其主要要求定期或不定期對合規管理體系的有效性進行分析以發現問題、完善制度、堵塞管理漏洞、強化過程管控并持續改進提升。
2022年國務院國資委發布的《中央企業合規管理辦法》將其試行版本中“合規管理評估”的說法修改為“合規管理體系有效性評價”,要求應當定期開展合規管理體系有效性評價,針對重點業務合規管理情況適時開展專項評價,強化評價結果運用。
在國際上,ISO 37301:2021 提供了建立、實施和改進合規管理體系的指南,而即將發布的ISO 37302將專門針對合規管理體系的有效性評價,提出了原則、評價指標框架、指標體系、取值規則、評價結果得出、評估過程方法及報告的內容等一整套邏輯方法和建議。該標準的擬發布將為此后國內各類型企業的合規管理體系有效性評價提供最佳借鑒。
此外,美國司法部《企業合規計劃評估指南》亦提供了一個較通用的評估框架,其強調了三個核心問題:合規程序是否設計合理?是否認真實施?是否在實踐中有效?其評估領域包括風險評估、政策與程序、培訓與溝通、第三方管理等。
2023年,國務院國資委辦公廳于發布的《關于開展2023年中央企業合規管理體系有效性評價工作的通知》指出,合規管理體系有效性評價的目的是通過企業合規管理體系建設及其運行情況、合規管理重點領域和關鍵環節合規要求落實等情況開展評價。
因此,根據上述內容,我們可將合規管理體系有效性評價定義為:合規管理體系有效性評價是指通過系統性、科學化的評估手段,對企業合規管理體系的設計合理性、實施過程及實際運行效果進行全面、客觀的分析和判斷。其核心目的是確定該體系是否能夠高效識別、評估、控制并應對企業面臨的合規風險,從而確保企業在法律法規、行業規范、內部政策以及利益相關方期望的框架內持續合規運營。這一過程不僅關注體系的設計是否適當、充分,還應包括其實際運行效果是否有效達到預期。
二、誰來做?
根據我國現行有效的政策、標準,進行合規管理體系有效性評價的主體不盡相同。
(1) 合規管理部門
《中央企業合規管理辦法》中第14條第1款第3項規定由合規管理牽頭部門根據董事會授權開展合規管理體系有效性評價。
(2) 相應的治理機構或高級管理人員
ISO 37301:2021及GB/T 35770-2022的第9.3.1條規定,治理機構和最高管理者應在策劃的時間間隔內對組織的合規管理體系進行評審,以確保合規管理體系持續的適宜性、充分性和有效性。其中的治理機構和最高管理者分別通常指董事會或其下設委員會、監事會、董事長、總經理或總法律顧問(首席合規官)等。
在《中央企業合規管理辦法》的第八條第3款中規定,董事會有推動完善合規管理體系并對其進行有效性評價的職責。
此外,《證券公司和證券投資基金管理公司合規管理辦法》《金融機構合規管理辦法》中亦規定了董事會履行評估合規管理有效性的職責。
三、什么時候做?
要進行合規管理體系有效性評價的前提是必須建立并開始運行合規管理體系。同時,進行有效性評價的時機還取決于企業的規模、行業及風險環境,但通常建議定期進行。
在國內,《中央企業合規管理辦法》要求定期開展有效性評價。《證券公司和證券投資基金管理公司合規管理辦法》要求對合規管理有效性的全面評估,每年不得少于1次。需要委托具有專業資質的外部專業機構的,則每3年至少進行一次。《金融機構合規管理辦法》中未規定何時進行有效性評價。《企業境外經營合規管理指引》要求定期對合規管理體系進行系統全面的評價。GB/T 35770規定應在計劃的時間間隔內對合規管理體系進行評價。
國際上,國際標準ISO 37301規定,應在計劃的時間間隔內對合規管理體系進行評價。
在實踐中,企業可以根據其規模、行業特點、風險環境、監管要求等確定本企業合規管理體系有效性評價的頻率。以下合規管理體系有效性評價的頻率值得參考:[1](1)全面合規管理體系有效性評價:企業建立合規管理體系后的前3年,宜每年1次;以后每2年1次;(2)專項合規管理評價:企業可以選擇各職能管理部門和業務管理部門,輪流進行專項合規管理評價,每年評價1-2個部門。
此外,在以下情況下可能需要更及時、多次的進行局部評價:
1. 法規或政策變化:如新法規出臺或現有法規更新。
2. 重大合規事件:如發生違規行為或外部審計發現問題。
3. 組織結構調整:如并購、重組或業務擴展。
4. 風險識別結果:高風險領域需更頻繁評價。
針對前述評價時間要求梳理為表格如下:
四、評價哪些內容?
在國內,目前尚未有通用的合規管理體系有效性評價標準。隨著ISO 37302的即將發布,這一需求可能會得到滿足。
(一)中央企業或國有企業
《中央企業合規管理辦法》中未涉及合規管理體系有效性評價的具體內容,但2023年國務院國資委辦公廳發布的《關于開展2023年中央企業合規管理體系有效性評價工作的通知》中規定,合規管理體系有效性評價內容包括:[2]
(1)集團及子企業合規管理體系建設及運行情況。重點評價企業集團及重要子企業合規管理組織建設、制度建設、運行機制、違規整改、信息化管控等工作推進效果情況。
(2)重點領域合規管理工作情況。結合企業生產經營實際,圍繞反壟斷、勞動用工、信息安全、生態環保等合規風險高發領域,評價合規管理工作開展情況。
(3)業務流程合規風險管控情況。結合企業崗位職責清單和流程管控清單,圍繞投資、貿易、招標采購等重點業務領域,復盤工作流程,評價合規控制節點設置、作用發揮及風險防范應對等情況。
(二)證券公司
中國證券業協會發布的《證券公司合規管理有效性評估指引》中對合規管理體系進行有效性評價規定了以下三個方面:[3]
(1)合規管理環境評估,重點關注公司高層是否重視合規管理、合規文化建設是否到位、合規管理制度是否健全、合規管理的履職保障是否充分等。
(2)對合規管理職責履行情況進行評估,重點關注合規咨詢、合規審查、合規檢查、合規監測、合規培訓、合規報告、監管溝通與配合、信息隔離墻管理、反洗錢等合規管理職能是否有效履行。
(3)對經營管理制度、機制建設和運行情況的評估,重點關注各項經營管理制度和操作流程是否健全,是否與外部法律、法規和準則相一致,是否能夠根據外部法律、法規和準則的變化及時修訂、完善,以及是否能夠嚴格執行經營管理制度和操作流程,是否能夠及時發現并糾正有章不循、違規操作等問題。
(三)國際/國內標準
按照ISO 37301[4]及GB/T 35770[5]的規定,合規管理體系有效性評價宜考慮以下14個方面:
(1)以前管理評估采取措施的情況;
(2)與合規管理體系相關的內外部事項的變化;
(3)與合規管理體系有關的相關方需求和期望的變化;
(4)合規績效信息,包括以下三個方面的趨勢:①不符合、不合格與糾正措施,②監視和測量的結果,③審核結果;
(5)持續改進的機會;
(6)合規方針的充分性;
(7)合規團隊的獨立性;
(8)合規目標的達成度;
(9)資源的充分性;
(10)合規風險評估的充分性;
(11)現有控制和績效指標的有效性;
(12)與提出疑慮的人員、相關方溝通,含反饋和投訴;
(13)調查;
(14)報告機制的有效性。
(四)三者關系
合規管理體系有效性評價通常涵蓋多個關鍵要素,以確保體系能夠全面有效地防范和應對合規風險。其評價內容不僅可能因行業和法規要求而異,還會因每家企業的獨特性而有所不同。通過前文對《關于開展2023年中央企業合規管理體系有效性評價工作的通知》、《證券公司合規管理有效性評估指引》、ISO 37301及GB/T 35770的梳理我們可以發現三者存在一致性、差異性及互補性的關系。
一致性:三項政策均關注合規管理體系的組織基礎、風險防控、運行效果及持續改進,反映了有效性評價的核心目標是確保體系能持續有效防范風險。
差異性:中央企業更注重重點領域和流程的合規管理,強調信息化管控。證券業協會的規定聚焦職責履行和制度執行,特別關注監管溝通和反洗錢等金融行業特性。ISO 37301及GB/T 35770則提供通用框架,強調指標體系和相關方溝通,適用性更廣。
互補性:中央企業和證券業協會的規定更具行業和企業性質針對性,ISO/GB標準則提供了理論和方法論指導,三者結合可形成較全面的評價體系。
(五)建議
基于前述觀點,我們認為合規管理體系有效性評價應考慮包括但不限于以下通用因素:
(1)合規管理體系的建設與運行
評估合規管理組織架構、制度體系及運行機制的有效性等。
(2)合規管理職責的履行
檢查合規咨詢、審查、檢查、培訓、報告等職能的執行情況及效果等。
(3)合規風險的評估與管控
針對重點領域和業務流程,評價合規義務、合規風險識別、合規管控節點設置及應對措施的有效性等。
(4)合規文化與高層支持
評估高層對合規的重視程度及合規文化的建設與宣傳情況等。
(5)制度與流程的健全性
審查合規管理制度和操作流程的完備性及其與外部法規的一致性等。
(6)持續改進與整改
評估違規整改機制、持續改進措施及對內外部變化的適應能力等。
(7)資源保障與信息化支持
檢查合規管理所需人力、物力及信息化資源的充分性等。
(8)合規績效與監控
評估合規目標達成度、不符合事項的糾正情況及監視測量結果等。
(9)溝通與報告機制
評價內部溝通、報告機制的有效性及與相關方的互動情況等。
(10)獨立性與問責機制
評估合規團隊的獨立性及問責機制的有效性。
五、有哪些評價方法?
合規管理體系有效性評價宜采用多種方法,結合定性和定量分析,確保全面評估體系的運行效果。
[6]參考中國證券業協會發布的《證券公司合規管理有效性評估指引》,合規管理體系有效性評價的方法包括采取訪談、文本審閱、問卷調查、知識測試、抽樣分析、穿行測試、系統及數據測試等。
(一)抽樣分析
合規管理體系有效性評價團隊可以根據合規管理體系有效性評價所關注的重點,對業務與管理事項進行抽樣分析,按照業務發生頻率、重要性及合規風險的高低,從確定的抽樣總體中抽取一定比例的樣本,并對樣本的符合性作出判斷。
(二)穿行測試
合規管理體系有效性評價團隊可以對具體業務處理流程開展穿行測試,檢查與其相關的原始文件,并根據文件上的業務處理蹤跡,追蹤流程,對相關管理制度與操作流程的實際運行情況進行驗證。
(三)系統及數據測試
合規管理體系有效性評價團隊可以對涉及企業業務進行系統及數據測試,重點檢查相關業務系統中權限、參數設置的合規性,并調取相關業務數據,將其與相應的業務憑證或其他工作記錄相比對,以驗證相關業務是否按規則運行。
國際上,美國司法部《企業合規計劃評估指南》建議通過定期測試和審查,確保合規程序在實踐中有效。而即將發布的 ISO 37302 將進一步提供標準化的評價流程和指標。
六、有哪些評價程序?
按照國際標準及我國國家標準,參考《證券公司合規管理有效性評估指引》,并結合國際最佳實踐,我們認為一個科學、完整、閉環的評價程序應包含以下5個階段:
(一) 計劃階段
確定評價范圍和目標:根據企業類型、行業特點和監管要求,明確評價的范圍(如合規文化、風險管理)和預期目標。
組建評價團隊:選擇有專業背景的人員組成評價團隊,必要時聯合外部審計機構或專業顧問,確保評價的專業性和獨立性。
制定評價計劃:包括時間表、資源分配、評價方法(如問卷、訪談)和使用工具,確保程序有序推進。
(二) 準備階段
收集相關文件和數據:整理合規政策、流程文件、培訓記錄、風險評估報告、內部審計結果等,作為評價的基礎資料。
設計評價工具:開發問卷調查表、訪談提綱、檢查清單等,確保數據收集的全面性和一致性。
(三) 實施階段
執行評價活動。
文檔審查:檢查合規管理體系的設計是否符合法規和標準要求。
問卷調查:收集員工和管理層對合規體系運行效果的反饋。
訪談:與關鍵崗位人員(如合規負責人、業務部門領導)深入交流,了解實際執行情況。
現場檢查:針對高風險領域(如安全生產、數據保護)進行實地考察,驗證合規應對措施落實情況。
數據分析:利用信息化工具分析合規數據,評估體系的有效性。
(四) 分析和報告階段
數據分析:整合評價活動中收集的信息,識別體系的優勢和不足。
撰寫評價報告:記錄評價過程、主要發現、存在問題及改進建議,形成書面報告。
溝通結果:向董事會、管理層或監管機構匯報評價結果,確保透明度并推動責任落實。
(五) 改進階段
制定改進計劃:根據評價結果,提出具體改進措施并設定實施時間表。
實施改進措施:執行改進計劃,優化合規管理體系的設計和運行。
跟蹤監控和復審:持續跟蹤改進措施的效果,必要時進行復審,確保體系持續有效。
合規管理體系有效性評價是企業治理體系中的戰略性支柱,其核心價值在于通過系統性檢視與科學分析,為企業提供風險防控的堅實保障與持續優化的動力源泉。
在全球化浪潮與數字化轉型的雙重驅動下,企業合規環境正經歷前所未有的復雜性與動態性挑戰。合規管理體系有效性評價作為閉環管理的關鍵環節,不僅能夠精準識別體系運行中的潛在漏洞,更能為企業提供前瞻性洞見,助力其在快速變化的商業格局中保持戰略定力與合規韌性。
展望未來,隨著ISO 37302等國際標準體系的發布,以及國內監管框架的不斷精進,合規管理體系有效性評價將邁向更高的科學化與智能化境界。
腳注:
[1] 郭青紅.企業合規管理體系實務指南.第三版.北京:法律出版社,2025:153
[2] 郭青紅.企業合規管理體系實務指南.第三版.北京:法律出版社,2025:149
[3] 郭青紅.企業合規管理體系實務指南.第三版.北京:法律出版社,2025:148-149
[4] ISO 37301:2021
[5] GB/T 35770--2022
滬公網安備 31010402007129號
