企业合规管理评估刍议
发布时间:2019-04-08
文 | 郭青红 汇业律师事务所 合伙人
企业合规管理评估是企业合规组织(主要是企业治理机构和企业合规管理部门)对企业合规管理体系的适当性、有效性和充分性,进行自我审查、评价、监督和持续改进。
一、企业合规管理评估与企业合规审计
(一)相同点
企业合规管理评估与企业合规审计有诸多相同的地方,也容易被混淆。
1、内容基本相同
2、方法基本相同
3、目的基本相同
都是为了及时发现合规管理体系运行过程中存在的问题和不足,并进行整改和持续改进,确保企业合规管理体系持续的适用性、充分性和有效性。
(二)不同点
企业合规管理评估与合规审计不同。
1、负责部门不同
2、性质不同
二、合规管理评估之称谓
合规管理评估在英文中称为“Compliance Management Review”,或者“Compliance Assessment”。我国国家标准ISO 19600《合规管理体系 指南》在第8.3条将其翻译为合规管理评审。
《亚太经合组织高效率公司合规项目基本要素》称之为定期评估和测试(Periodic Review and Testing),并将其作为企业合规管理十一大基本要素之一。
巴塞尔银行监管委员会《合规与银行内部合规部门》、我国《中央企业合规管理指引(试行)》、《企业境外经营合规管理指引》、《商业银行合规风险管理指引》、《保险公司合规管理办法》以及《证券公司和证券投资基金管理公司合规管理办法》称之为管理评估。
我们倾向于后一种称谓,即“合规管理评估”,以更能反映其目的和内容,并使之更容易与“合规审查”、“合规审计”等相区别。
三、合规管理评估之机构
(一)合规管理评估机构
梳理从有关企业合规管理的国际组织标准、指引以及我国国家标准、指引和办法,合规管理评估机构包括:
1、合规管理部门
巴塞尔银行监管委员会《合规与银行内部合规部门》第39条规定,合规部门应该评估银行各项合规程序和指引的适当性,立即深入调查任何已识别的缺陷,如有必要,系统地提出修改建议。
我国保监会《商业银行合规管理办法》第十八条第(五)款规定,合规管理部门评估合规管理程序和合规指南的适当性,为员工恰当执行法律、规则和准则提供指导。
2、合规委员会
我国《中央企业经营合规管理指引(试行)》第八条规定,中央企业设立合规委员会,与企业法治建设领导小组或风险控制委员会等合署,承担合规管理的组织领导和统筹协调工作,定期召开会议,研究决定合规管理重大事项或提出意见建议,指导、监督和评价合规管理工作。
我国《企业境外经营合规管理指引》也有类似的规定。
3、高级管理人员
世界银行集团《诚信合规指南摘要》第3条规定,高管人员应采用系统的方法监督合规计划,定期检查合规计划在预防、发现、调查和应对各种不当行为方面的适用性、充分性和有效性。
巴塞尔银行监管委员会《合规与银行内部合规部门》在“定期评估与测试”这一合规管理基本要素中规定,企业高级管理人员应监督合规管理项目,定期评估项目的适用性、充分性和有效性,并实施适当的改进措施。
国际标准暨我国国家标准ISO19600《企业合规管理 指南》第8.3条规定,最高管理者宜按计划定期评审组织的合规管理体系,以确保其持续的适用性、充分性和有效性。
4、董事会
我国证监委《证券公司和证券投资基金管理公司合规管理办法》第七条规定,“证券基金经营机构董事会决定本公司的合规管理目标,对合规管理的有效性承担责任,履行下列合规管理职责:……(六)评估合规管理有效性,督促解决合规管理中存在的问题。”
(二)合规管理评估小组
1、合规管理评估具有很强的专业性。合规管理评估机构宜组建合规管理评估小组开展合规管理评估。
中国证券业协会2012年2月12日《证券公司合规管理有效性评估指引》第五条就规定,证券公司开展合规管理有效性评估,应当由董事会、监事会或董事会授权管理层组织评估小组或委托外部专业机构进行。
2、宜由企业合规负责人担任合规管理评估小组组长,并由合规管理部门、相关职能部门(如内控、审计、财务等)以及外聘的专业中介机构(如外部律师)等委派人员共同组成合规管理评估小组。
四、合规管理评估之内容
合规管理评估在于评估合规管理的适当性、充分性和有效性。
(一)评估合规管理的适当性和有效性
评估合规管理的适当性和有效性,其内容与合规审计中审计合规管理的适当性和有效性趋同,笔者在上篇《合规审计怎么做?》中已经详细阐述,此处不再赘述。
(二)合规管理的充分性
充分性即英文中的“adequacy”。
合规管理的充分性是合规管理“全面性”原则的基本要求,即企业合规管理应覆盖企业各业务领域、各部门、各级子企业和分支机构、全体员工,贯穿决策、执行、监督全流程,并体现于决策机制、内部控制、业务流程等各个方面。
企业合规管理的充分性要求:
1、向合规管理配置充分的资源,包括充分的人力、物力、财力、技术支持和保障;
2、配备充分的合规管理人员,并为其履行合规管理职责提供充分条件;
3、保障合规管理人员履职所需充分的自主权、知情权和调查权;
4、合规管理部门与合规管理人员应与其他职能管理部门和业务部门充分沟通协调;
5、应确保企业全体员工充分了解和理解企业的合规方针、合规承诺即合规要求;
6、鼓励和支持充分和坦诚报告的文化;
7、对违规举报人给予充分的保护;
8、建立全面、充分、有效的违规问责机制。
五、合规管理评估须考虑的因素
按照国际标准暨我国国家标准ISO19600《企业合规管理 指南》第8.3条,合规管理评估宜考虑以下几个方面:
1、以前管理评估措施的状态;
2、合规方针的充分性;
3、合规目标实现的程度;
4、资源的充分性;
5、与合规管理体系相关的内外部问题的变化;
6、合规绩效信息,包括以下各项体现的趋势:(1)不合格、纠正措施和解决的时间表;(2)监视和测量的结果;(3)与相关方的沟通,包括投诉;审核的结果。
7、持续改进的机会。
六、合规管理评估之程序
按照国际标准暨我国国家标准ISO19600《企业合规管理 指南》第8.3条,参考中国证券业协会《证券公司合规管理有效性评估指引》,合规管理评估一般包括五个阶段,即评估准备、评估实施、评估报告、后续整改以及考核评价与问责。
(一) 评估准备
合规管理评估准备包括:
1、成立评估小组,进行职责分工,并对评估小组成员开展必要的培训。
企业须确保评估小组具备独立开展合规管理评估的权力,确保评估小组成员具备相应的胜任能力。
2、制定评估实施方案,明确评估目的、范围、内容、分工、进程和要求,制作评估底稿等评估工作文件。
(二)评估实施
合规管理评估实施包括以下几个方面:
1、各部门自评
合规管理评估小组组织各部门(评估对象)开展合规自评,由各部门如实填写评估底稿,提交评估相关材料。
2、收集内外部资料,明确评估重点
合规管理评估小组收集评估期内外部监管检查意见、审计报告、合规报告、投诉、举报、媒体报道等资料,明确评估重点。
3、复核各部门自评底稿,进行合规管理评估
评估小组对各部门自评底稿进行复核,并采取合规管理评估方法,针对评估期内发生的合规风险事项开展重点评估,查找合规管理缺陷,分析问题产生原因,提出整改建议。
4、复核
评估小组应当在评估工作结束前,与被评估部门就合规管理有效性评估的内容和结果进行必要沟通,就评估发现的问题进行核实。被评估部门应积极配合,并及时反馈意见。
(三)合规管理评估报告
1、起草合规管理评估报告
合规管理评估部门开展合规管理评估,应起草合规管理评估报告,至少应包括:评估依据、评估范围和对象、评估程序和方法、评估内容、发现的问题及改进建议、前次评估中发现问题的整改情况等。
合规管理评估报告总的改进建议宜包括以下方面:(1)合规方针以及与它相关的目标、体系、结构和人员所需的改变;(2)合规过程的改变以确保与运行实践和体系有效整合;(3)需监视的未来潜在不合规的区域;(4)与不合规相关的纠正措施;(5)当前合规体系和长期持续改进的目标之间的差距和缺陷;(6)认可组织内的示范性合规行为。
2、按企业内部规定程序,履行报批程序。
(四)后续整改
1、制定整改方案
合规管理评估报告经批准后,对于合规管理评估发现的问题,合规管理评估小组或者企业相关权力机构要求的其他部门应制定整改方案,明确整改责任部门、整改内容、整改目标和时间表。
2、监督与报告
合规管理部门应当对评估发现问题的整改情况进行持续关注和跟踪,指导并监督相关部门全面、及时完成整改。整改责任部门应当及时向公司管理层报告整改进展情况。
(五)考核评价与问责
1、考核评价
企业应当将合规管理评估结果纳入企业管理层、合规管理部门、各业务部门和分支机构及其工作人员的绩效考核范围。
2、问责
对合规管理有效性评估中新发现的违法、违规行为,企业应当及时对责任人采取问责措施。
对在合规管理有效性评估过程中出现拒绝、阻碍和隐瞒的,企业应当采取相应的问责措施。
七、合规管理评估方法
参考中国证券业协会《证券公司合规管理有效性评估指引》,合规管理评估的方法包括采取访谈、文本审阅、问卷调查、知识测试、抽样分析、穿行测试、系统及数据测试等。
(一)关于抽样分析
评估小组可以根据合规管理评估所关注的重点,对业务与管理事项进行抽样分析,按照业务发生频率、重要性及合规风险的高低,从确定的抽样总体中抽取一定比例的样本,并对样本的符合性做出判断。
(二) 关于穿行测试
评估小组可以对具体业务处理流程开展穿行测试,检查与其相关的原始文件,并根据文件上的业务处理踪迹,追踪流程,对相关管理制度与操作流程的实际运行情况进行验证。
(三) 关于系统及数据测试
评估小组可以对涉及企业业务进行系统及数据测试,重点检查相关业务系统中权限、参数设置的合规性,并调取相关业务数据,将其与相应的业务凭证或其他工作记录相比对,以验证相关业务是否按规则运行。
八、合规管理评估之分类
合规管理评估可以从不同角度进行分类。
(一)全面合规管理评估与专项合规管理评估
按照中国证券业协会《证券公司合规管理有效性评估指引》,从合规管理评估的范围和内容上分析,可以划分为全面合规管理评估与专项合规管理评估。
1、全面合规管理评估
全面合规管理评估是对企业整个合规管理体系进行评估,是以合规风险为导向,合规管理评估覆盖合规管理各环节,重点关注可能影响合规目标实现的关键业务及管理活动,客观揭示合规管理状况。
2、专项合规管理评估
专项合规管理评估是针对某一具体部门,某一业务领域,或者某一重大或反复出现的合规风险和违规问题,进行专门的合规管理评估。
(二)定期评估、临时评估和反复评估
按照合规管理的频率,可以划分为定期评估、临时评估和反复评估。
1、定期评估
我国证监委《证券公司和证券投资基金管理公司合规管理办法》第三十一条规定, 证券基金经营机构应当组织内部有关机构和部门或者委托具有专业资质的外部专业机构对公司合规管理的有效性进行评估,及时解决合规管理中存在的问题。对合规管理有效性的全面评估,每年不得少于1次。委托具有专业资质的外部专业机构进行的全面评估,每3年至少进行1次。
企业可以根据自己业务规模、行业特点、合规风险情况、行业监管要求等,确定本企业合规管理评估的频率。以下合规管理评估的频率值得参考:
(1)全面合规管理评估:企业建立合规管理体系后的前三年,宜每年一次;以后每两年一次;
(2)专项合规管理评估:企业可以选择针各职能管理部门和业务管理部门,轮流进行专项合规管理评估,每年评估一至两个部门。
2、临时评估
对某一突发合规风险事件,或者按照治理机构的指示,或者依照自我决定,合规管理评估机构可以进行临时合规管理评估。
3、反复评估
对重大或反复出现的合规风险和违规问题,宜进行再评估和多次评估。
(三)级别评估
按照评估机构的级别来划分,可以划分为集团评估、同级评估和自我评估。
集团评估是指集团合规管理部门对各子公司进行合规管理评估。
同级评估是指合规管理部门对其他职能管理部门和业务部门进行的合规管理评估。
自我合规管理评估,是指合规组织对自我合规管理进行的评估。
九、合规管理评估制度和流程
合规管理评估是企业合规管理体系的重要构成要素,是合规管理运行的重要内容。企业有必要结合自身实际情况,制定本企业合规管理评估工作的具体合规管理制度,对评估组织形式、评估范围、评估内容、评估程序和方法、评估报告、评估问责等作出明确规定。