網(wǎng)上投稿
我國企業(yè)的合規(guī)管理體系建設(shè)自2018年--“合規(guī)元年”伊始,已進入到第七年。在這七年中,逐漸形成了從中央企業(yè)到各地方國有企業(yè)、從上市公司到大中型民營企業(yè)、從東部沿海地區(qū)到中西部地區(qū)的合規(guī)管理體系建設(shè)浪潮。而已經(jīng)建立和運行合規(guī)管理體系的企業(yè),都進入了合規(guī)管理建設(shè)的深化年或提升完善年,其中不少企業(yè)還通過了國際或國內(nèi)合規(guī)管理體系相關(guān)內(nèi)容的認證。
不管根據(jù)ISO 370301中的“PDCA”理論,亦或是我國《中央企業(yè)合規(guī)管理辦法》中對于體系建設(shè)有效性評價的規(guī)定,其根本目標(biāo)是為了讓合規(guī)管理體系能持續(xù)、有效地運行或者是能持續(xù)有效地防范合規(guī)風(fēng)險的發(fā)生。因此,隨著合規(guī)管理在我國持續(xù)的生根發(fā)芽,針對合規(guī)管理體系建設(shè)是否有效?如何評價有效?則成為了讓合規(guī)管理體系能持續(xù)、有效運行的關(guān)鍵。
一、什么是合規(guī)管理體系有效性評價?
在國內(nèi),《中央企業(yè)合規(guī)管理指引(試行)》《企業(yè)境外經(jīng)營合規(guī)管理指引》《商業(yè)銀行合規(guī)風(fēng)險管理指引》《保險公司合規(guī)管理辦法》《證券公司和證券投資基金管理公司合規(guī)管理辦法》中都提到合規(guī)管理評估、合規(guī)管理有效性評估或合規(guī)管理體系有效性評價。其主要要求定期或不定期對合規(guī)管理體系的有效性進行分析以發(fā)現(xiàn)問題、完善制度、堵塞管理漏洞、強化過程管控并持續(xù)改進提升。
2022年國務(wù)院國資委發(fā)布的《中央企業(yè)合規(guī)管理辦法》將其試行版本中“合規(guī)管理評估”的說法修改為“合規(guī)管理體系有效性評價”,要求應(yīng)當(dāng)定期開展合規(guī)管理體系有效性評價,針對重點業(yè)務(wù)合規(guī)管理情況適時開展專項評價,強化評價結(jié)果運用。
在國際上,ISO 37301:2021 提供了建立、實施和改進合規(guī)管理體系的指南,而即將發(fā)布的ISO 37302將專門針對合規(guī)管理體系的有效性評價,提出了原則、評價指標(biāo)框架、指標(biāo)體系、取值規(guī)則、評價結(jié)果得出、評估過程方法及報告的內(nèi)容等一整套邏輯方法和建議。該標(biāo)準(zhǔn)的擬發(fā)布將為此后國內(nèi)各類型企業(yè)的合規(guī)管理體系有效性評價提供最佳借鑒。
此外,美國司法部《企業(yè)合規(guī)計劃評估指南》亦提供了一個較通用的評估框架,其強調(diào)了三個核心問題:合規(guī)程序是否設(shè)計合理?是否認真實施?是否在實踐中有效?其評估領(lǐng)域包括風(fēng)險評估、政策與程序、培訓(xùn)與溝通、第三方管理等。
2023年,國務(wù)院國資委辦公廳于發(fā)布的《關(guān)于開展2023年中央企業(yè)合規(guī)管理體系有效性評價工作的通知》指出,合規(guī)管理體系有效性評價的目的是通過企業(yè)合規(guī)管理體系建設(shè)及其運行情況、合規(guī)管理重點領(lǐng)域和關(guān)鍵環(huán)節(jié)合規(guī)要求落實等情況開展評價。
因此,根據(jù)上述內(nèi)容,我們可將合規(guī)管理體系有效性評價定義為:合規(guī)管理體系有效性評價是指通過系統(tǒng)性、科學(xué)化的評估手段,對企業(yè)合規(guī)管理體系的設(shè)計合理性、實施過程及實際運行效果進行全面、客觀的分析和判斷。其核心目的是確定該體系是否能夠高效識別、評估、控制并應(yīng)對企業(yè)面臨的合規(guī)風(fēng)險,從而確保企業(yè)在法律法規(guī)、行業(yè)規(guī)范、內(nèi)部政策以及利益相關(guān)方期望的框架內(nèi)持續(xù)合規(guī)運營。這一過程不僅關(guān)注體系的設(shè)計是否適當(dāng)、充分,還應(yīng)包括其實際運行效果是否有效達到預(yù)期。
二、誰來做?
根據(jù)我國現(xiàn)行有效的政策、標(biāo)準(zhǔn),進行合規(guī)管理體系有效性評價的主體不盡相同。
(1) 合規(guī)管理部門
《中央企業(yè)合規(guī)管理辦法》中第14條第1款第3項規(guī)定由合規(guī)管理牽頭部門根據(jù)董事會授權(quán)開展合規(guī)管理體系有效性評價。
(2) 相應(yīng)的治理機構(gòu)或高級管理人員
ISO 37301:2021及GB/T 35770-2022的第9.3.1條規(guī)定,治理機構(gòu)和最高管理者應(yīng)在策劃的時間間隔內(nèi)對組織的合規(guī)管理體系進行評審,以確保合規(guī)管理體系持續(xù)的適宜性、充分性和有效性。其中的治理機構(gòu)和最高管理者分別通常指董事會或其下設(shè)委員會、監(jiān)事會、董事長、總經(jīng)理或總法律顧問(首席合規(guī)官)等。
在《中央企業(yè)合規(guī)管理辦法》的第八條第3款中規(guī)定,董事會有推動完善合規(guī)管理體系并對其進行有效性評價的職責(zé)。
此外,《證券公司和證券投資基金管理公司合規(guī)管理辦法》《金融機構(gòu)合規(guī)管理辦法》中亦規(guī)定了董事會履行評估合規(guī)管理有效性的職責(zé)。
三、什么時候做?
要進行合規(guī)管理體系有效性評價的前提是必須建立并開始運行合規(guī)管理體系。同時,進行有效性評價的時機還取決于企業(yè)的規(guī)模、行業(yè)及風(fēng)險環(huán)境,但通常建議定期進行。
在國內(nèi),《中央企業(yè)合規(guī)管理辦法》要求定期開展有效性評價。《證券公司和證券投資基金管理公司合規(guī)管理辦法》要求對合規(guī)管理有效性的全面評估,每年不得少于1次。需要委托具有專業(yè)資質(zhì)的外部專業(yè)機構(gòu)的,則每3年至少進行一次。《金融機構(gòu)合規(guī)管理辦法》中未規(guī)定何時進行有效性評價。《企業(yè)境外經(jīng)營合規(guī)管理指引》要求定期對合規(guī)管理體系進行系統(tǒng)全面的評價。GB/T 35770規(guī)定應(yīng)在計劃的時間間隔內(nèi)對合規(guī)管理體系進行評價。
國際上,國際標(biāo)準(zhǔn)ISO 37301規(guī)定,應(yīng)在計劃的時間間隔內(nèi)對合規(guī)管理體系進行評價。
在實踐中,企業(yè)可以根據(jù)其規(guī)模、行業(yè)特點、風(fēng)險環(huán)境、監(jiān)管要求等確定本企業(yè)合規(guī)管理體系有效性評價的頻率。以下合規(guī)管理體系有效性評價的頻率值得參考:[1](1)全面合規(guī)管理體系有效性評價:企業(yè)建立合規(guī)管理體系后的前3年,宜每年1次;以后每2年1次;(2)專項合規(guī)管理評價:企業(yè)可以選擇各職能管理部門和業(yè)務(wù)管理部門,輪流進行專項合規(guī)管理評價,每年評價1-2個部門。
此外,在以下情況下可能需要更及時、多次的進行局部評價:
1. 法規(guī)或政策變化:如新法規(guī)出臺或現(xiàn)有法規(guī)更新。
2. 重大合規(guī)事件:如發(fā)生違規(guī)行為或外部審計發(fā)現(xiàn)問題。
3. 組織結(jié)構(gòu)調(diào)整:如并購、重組或業(yè)務(wù)擴展。
4. 風(fēng)險識別結(jié)果:高風(fēng)險領(lǐng)域需更頻繁評價。
針對前述評價時間要求梳理為表格如下:
四、評價哪些內(nèi)容?
在國內(nèi),目前尚未有通用的合規(guī)管理體系有效性評價標(biāo)準(zhǔn)。隨著ISO 37302的即將發(fā)布,這一需求可能會得到滿足。
(一)中央企業(yè)或國有企業(yè)
《中央企業(yè)合規(guī)管理辦法》中未涉及合規(guī)管理體系有效性評價的具體內(nèi)容,但2023年國務(wù)院國資委辦公廳發(fā)布的《關(guān)于開展2023年中央企業(yè)合規(guī)管理體系有效性評價工作的通知》中規(guī)定,合規(guī)管理體系有效性評價內(nèi)容包括:[2]
(1)集團及子企業(yè)合規(guī)管理體系建設(shè)及運行情況。重點評價企業(yè)集團及重要子企業(yè)合規(guī)管理組織建設(shè)、制度建設(shè)、運行機制、違規(guī)整改、信息化管控等工作推進效果情況。
(2)重點領(lǐng)域合規(guī)管理工作情況。結(jié)合企業(yè)生產(chǎn)經(jīng)營實際,圍繞反壟斷、勞動用工、信息安全、生態(tài)環(huán)保等合規(guī)風(fēng)險高發(fā)領(lǐng)域,評價合規(guī)管理工作開展情況。
(3)業(yè)務(wù)流程合規(guī)風(fēng)險管控情況。結(jié)合企業(yè)崗位職責(zé)清單和流程管控清單,圍繞投資、貿(mào)易、招標(biāo)采購等重點業(yè)務(wù)領(lǐng)域,復(fù)盤工作流程,評價合規(guī)控制節(jié)點設(shè)置、作用發(fā)揮及風(fēng)險防范應(yīng)對等情況。
(二)證券公司
中國證券業(yè)協(xié)會發(fā)布的《證券公司合規(guī)管理有效性評估指引》中對合規(guī)管理體系進行有效性評價規(guī)定了以下三個方面:[3]
(1)合規(guī)管理環(huán)境評估,重點關(guān)注公司高層是否重視合規(guī)管理、合規(guī)文化建設(shè)是否到位、合規(guī)管理制度是否健全、合規(guī)管理的履職保障是否充分等。
(2)對合規(guī)管理職責(zé)履行情況進行評估,重點關(guān)注合規(guī)咨詢、合規(guī)審查、合規(guī)檢查、合規(guī)監(jiān)測、合規(guī)培訓(xùn)、合規(guī)報告、監(jiān)管溝通與配合、信息隔離墻管理、反洗錢等合規(guī)管理職能是否有效履行。
(3)對經(jīng)營管理制度、機制建設(shè)和運行情況的評估,重點關(guān)注各項經(jīng)營管理制度和操作流程是否健全,是否與外部法律、法規(guī)和準(zhǔn)則相一致,是否能夠根據(jù)外部法律、法規(guī)和準(zhǔn)則的變化及時修訂、完善,以及是否能夠嚴格執(zhí)行經(jīng)營管理制度和操作流程,是否能夠及時發(fā)現(xiàn)并糾正有章不循、違規(guī)操作等問題。
(三)國際/國內(nèi)標(biāo)準(zhǔn)
按照ISO 37301[4]及GB/T 35770[5]的規(guī)定,合規(guī)管理體系有效性評價宜考慮以下14個方面:
(1)以前管理評估采取措施的情況;
(2)與合規(guī)管理體系相關(guān)的內(nèi)外部事項的變化;
(3)與合規(guī)管理體系有關(guān)的相關(guān)方需求和期望的變化;
(4)合規(guī)績效信息,包括以下三個方面的趨勢:①不符合、不合格與糾正措施,②監(jiān)視和測量的結(jié)果,③審核結(jié)果;
(5)持續(xù)改進的機會;
(6)合規(guī)方針的充分性;
(7)合規(guī)團隊的獨立性;
(8)合規(guī)目標(biāo)的達成度;
(9)資源的充分性;
(10)合規(guī)風(fēng)險評估的充分性;
(11)現(xiàn)有控制和績效指標(biāo)的有效性;
(12)與提出疑慮的人員、相關(guān)方溝通,含反饋和投訴;
(13)調(diào)查;
(14)報告機制的有效性。
(四)三者關(guān)系
合規(guī)管理體系有效性評價通常涵蓋多個關(guān)鍵要素,以確保體系能夠全面有效地防范和應(yīng)對合規(guī)風(fēng)險。其評價內(nèi)容不僅可能因行業(yè)和法規(guī)要求而異,還會因每家企業(yè)的獨特性而有所不同。通過前文對《關(guān)于開展2023年中央企業(yè)合規(guī)管理體系有效性評價工作的通知》、《證券公司合規(guī)管理有效性評估指引》、ISO 37301及GB/T 35770的梳理我們可以發(fā)現(xiàn)三者存在一致性、差異性及互補性的關(guān)系。
一致性:三項政策均關(guān)注合規(guī)管理體系的組織基礎(chǔ)、風(fēng)險防控、運行效果及持續(xù)改進,反映了有效性評價的核心目標(biāo)是確保體系能持續(xù)有效防范風(fēng)險。
差異性:中央企業(yè)更注重重點領(lǐng)域和流程的合規(guī)管理,強調(diào)信息化管控。證券業(yè)協(xié)會的規(guī)定聚焦職責(zé)履行和制度執(zhí)行,特別關(guān)注監(jiān)管溝通和反洗錢等金融行業(yè)特性。ISO 37301及GB/T 35770則提供通用框架,強調(diào)指標(biāo)體系和相關(guān)方溝通,適用性更廣。
互補性:中央企業(yè)和證券業(yè)協(xié)會的規(guī)定更具行業(yè)和企業(yè)性質(zhì)針對性,ISO/GB標(biāo)準(zhǔn)則提供了理論和方法論指導(dǎo),三者結(jié)合可形成較全面的評價體系。
(五)建議
基于前述觀點,我們認為合規(guī)管理體系有效性評價應(yīng)考慮包括但不限于以下通用因素:
(1)合規(guī)管理體系的建設(shè)與運行
評估合規(guī)管理組織架構(gòu)、制度體系及運行機制的有效性等。
(2)合規(guī)管理職責(zé)的履行
檢查合規(guī)咨詢、審查、檢查、培訓(xùn)、報告等職能的執(zhí)行情況及效果等。
(3)合規(guī)風(fēng)險的評估與管控
針對重點領(lǐng)域和業(yè)務(wù)流程,評價合規(guī)義務(wù)、合規(guī)風(fēng)險識別、合規(guī)管控節(jié)點設(shè)置及應(yīng)對措施的有效性等。
(4)合規(guī)文化與高層支持
評估高層對合規(guī)的重視程度及合規(guī)文化的建設(shè)與宣傳情況等。
(5)制度與流程的健全性
審查合規(guī)管理制度和操作流程的完備性及其與外部法規(guī)的一致性等。
(6)持續(xù)改進與整改
評估違規(guī)整改機制、持續(xù)改進措施及對內(nèi)外部變化的適應(yīng)能力等。
(7)資源保障與信息化支持
檢查合規(guī)管理所需人力、物力及信息化資源的充分性等。
(8)合規(guī)績效與監(jiān)控
評估合規(guī)目標(biāo)達成度、不符合事項的糾正情況及監(jiān)視測量結(jié)果等。
(9)溝通與報告機制
評價內(nèi)部溝通、報告機制的有效性及與相關(guān)方的互動情況等。
(10)獨立性與問責(zé)機制
評估合規(guī)團隊的獨立性及問責(zé)機制的有效性。
五、有哪些評價方法?
合規(guī)管理體系有效性評價宜采用多種方法,結(jié)合定性和定量分析,確保全面評估體系的運行效果。
[6]參考中國證券業(yè)協(xié)會發(fā)布的《證券公司合規(guī)管理有效性評估指引》,合規(guī)管理體系有效性評價的方法包括采取訪談、文本審閱、問卷調(diào)查、知識測試、抽樣分析、穿行測試、系統(tǒng)及數(shù)據(jù)測試等。
(一)抽樣分析
合規(guī)管理體系有效性評價團隊可以根據(jù)合規(guī)管理體系有效性評價所關(guān)注的重點,對業(yè)務(wù)與管理事項進行抽樣分析,按照業(yè)務(wù)發(fā)生頻率、重要性及合規(guī)風(fēng)險的高低,從確定的抽樣總體中抽取一定比例的樣本,并對樣本的符合性作出判斷。
(二)穿行測試
合規(guī)管理體系有效性評價團隊可以對具體業(yè)務(wù)處理流程開展穿行測試,檢查與其相關(guān)的原始文件,并根據(jù)文件上的業(yè)務(wù)處理蹤跡,追蹤流程,對相關(guān)管理制度與操作流程的實際運行情況進行驗證。
(三)系統(tǒng)及數(shù)據(jù)測試
合規(guī)管理體系有效性評價團隊可以對涉及企業(yè)業(yè)務(wù)進行系統(tǒng)及數(shù)據(jù)測試,重點檢查相關(guān)業(yè)務(wù)系統(tǒng)中權(quán)限、參數(shù)設(shè)置的合規(guī)性,并調(diào)取相關(guān)業(yè)務(wù)數(shù)據(jù),將其與相應(yīng)的業(yè)務(wù)憑證或其他工作記錄相比對,以驗證相關(guān)業(yè)務(wù)是否按規(guī)則運行。
國際上,美國司法部《企業(yè)合規(guī)計劃評估指南》建議通過定期測試和審查,確保合規(guī)程序在實踐中有效。而即將發(fā)布的 ISO 37302 將進一步提供標(biāo)準(zhǔn)化的評價流程和指標(biāo)。
六、有哪些評價程序?
按照國際標(biāo)準(zhǔn)及我國國家標(biāo)準(zhǔn),參考《證券公司合規(guī)管理有效性評估指引》,并結(jié)合國際最佳實踐,我們認為一個科學(xué)、完整、閉環(huán)的評價程序應(yīng)包含以下5個階段:
(一) 計劃階段
確定評價范圍和目標(biāo):根據(jù)企業(yè)類型、行業(yè)特點和監(jiān)管要求,明確評價的范圍(如合規(guī)文化、風(fēng)險管理)和預(yù)期目標(biāo)。
組建評價團隊:選擇有專業(yè)背景的人員組成評價團隊,必要時聯(lián)合外部審計機構(gòu)或?qū)I(yè)顧問,確保評價的專業(yè)性和獨立性。
制定評價計劃:包括時間表、資源分配、評價方法(如問卷、訪談)和使用工具,確保程序有序推進。
(二) 準(zhǔn)備階段
收集相關(guān)文件和數(shù)據(jù):整理合規(guī)政策、流程文件、培訓(xùn)記錄、風(fēng)險評估報告、內(nèi)部審計結(jié)果等,作為評價的基礎(chǔ)資料。
設(shè)計評價工具:開發(fā)問卷調(diào)查表、訪談提綱、檢查清單等,確保數(shù)據(jù)收集的全面性和一致性。
(三) 實施階段
執(zhí)行評價活動。
文檔審查:檢查合規(guī)管理體系的設(shè)計是否符合法規(guī)和標(biāo)準(zhǔn)要求。
問卷調(diào)查:收集員工和管理層對合規(guī)體系運行效果的反饋。
訪談:與關(guān)鍵崗位人員(如合規(guī)負責(zé)人、業(yè)務(wù)部門領(lǐng)導(dǎo))深入交流,了解實際執(zhí)行情況。
現(xiàn)場檢查:針對高風(fēng)險領(lǐng)域(如安全生產(chǎn)、數(shù)據(jù)保護)進行實地考察,驗證合規(guī)應(yīng)對措施落實情況。
數(shù)據(jù)分析:利用信息化工具分析合規(guī)數(shù)據(jù),評估體系的有效性。
(四) 分析和報告階段
數(shù)據(jù)分析:整合評價活動中收集的信息,識別體系的優(yōu)勢和不足。
撰寫評價報告:記錄評價過程、主要發(fā)現(xiàn)、存在問題及改進建議,形成書面報告。
溝通結(jié)果:向董事會、管理層或監(jiān)管機構(gòu)匯報評價結(jié)果,確保透明度并推動責(zé)任落實。
(五) 改進階段
制定改進計劃:根據(jù)評價結(jié)果,提出具體改進措施并設(shè)定實施時間表。
實施改進措施:執(zhí)行改進計劃,優(yōu)化合規(guī)管理體系的設(shè)計和運行。
跟蹤監(jiān)控和復(fù)審:持續(xù)跟蹤改進措施的效果,必要時進行復(fù)審,確保體系持續(xù)有效。
合規(guī)管理體系有效性評價是企業(yè)治理體系中的戰(zhàn)略性支柱,其核心價值在于通過系統(tǒng)性檢視與科學(xué)分析,為企業(yè)提供風(fēng)險防控的堅實保障與持續(xù)優(yōu)化的動力源泉。
在全球化浪潮與數(shù)字化轉(zhuǎn)型的雙重驅(qū)動下,企業(yè)合規(guī)環(huán)境正經(jīng)歷前所未有的復(fù)雜性與動態(tài)性挑戰(zhàn)。合規(guī)管理體系有效性評價作為閉環(huán)管理的關(guān)鍵環(huán)節(jié),不僅能夠精準(zhǔn)識別體系運行中的潛在漏洞,更能為企業(yè)提供前瞻性洞見,助力其在快速變化的商業(yè)格局中保持戰(zhàn)略定力與合規(guī)韌性。
展望未來,隨著ISO 37302等國際標(biāo)準(zhǔn)體系的發(fā)布,以及國內(nèi)監(jiān)管框架的不斷精進,合規(guī)管理體系有效性評價將邁向更高的科學(xué)化與智能化境界。
腳注:
[1] 郭青紅.企業(yè)合規(guī)管理體系實務(wù)指南.第三版.北京:法律出版社,2025:153
[2] 郭青紅.企業(yè)合規(guī)管理體系實務(wù)指南.第三版.北京:法律出版社,2025:149
[3] 郭青紅.企業(yè)合規(guī)管理體系實務(wù)指南.第三版.北京:法律出版社,2025:148-149
[4] ISO 37301:2021
[5] GB/T 35770--2022
滬公網(wǎng)安備 31010402007129號
