从全面合规管理体系、ISO 37301评《中小企业合规管理体系有效性评价》

发布时间:2022-05-27

文 | 张从轩 汇业律师事务所 律师

前言

2022年5月23日,中国中小企业协会发布了《中小企业合规管理体系有效性评价》T/CASMES 19—2022标准(以下简称“标准”)。该标准的发布顺应了中国当下合规趋势,为中小微企业合规管理体系建设及其有效性评价提供指引,弥补了这个领域的空白。汇业合规管理团队积极参与了该标准的起草,提出了多项建设性建议并被采纳。

一、 标准内容概述

该标准共9章,除去前5章通用内容外,其中第6、7、8、9章及后文附录、表格为其主要内容。其主要章节内容包含了机构设置和职责配置、合规风险识别、合规风险应对和持续改进、合规文化建设。对于上述四项内容亦在后文所附表格中按中、小、微型企业进行了区分指导,体现了科学合理性。

与全面合规管理体系的要素构成相比较,该标准进行了浓缩,即:“机构设置和职责配置”对应全面合规管理体系要素中的“合规管理组织”;“合规风险识别、风险应对和持续改进”对应合规管理运行机制中的“合规风险管理”;合规文化建设对应合规管理保障机制中的“合规文化建设”。整体上,该标准具备了合规管理组织、合规管理运行机制及合规管理保障机制,构成相对完善稳固的合规管理体系框架。这与《中央企业合规管理指引(试行)》的11要素形成了鲜明对比,也突出体现了其对中小微企业的体量、组织架构、人力资源、运营成本等的综合考量。

该标准还参照了ISO 37301-2021《合规管理体系 - 要求和使用指南》(以下简称“ISO37301国际标准”)的有关规定,充分考虑了ISO37301国际标准第4条的规定,即组织需要进行合规管理体系建设应考虑外部与内部问题以确定其体系建立包含的边界或范围。

二、 评价原则

标准确立了中小微企业进行合规管理体系有效性评价的五项原则,即全面性、差异性、明确性、可证实性及引导性原则。

三、 评价方法、流程

标准倡导的评价方法包括文件审阅、问卷调查、访谈调研、飞行检查、穿行测试、感知测试、模拟运行等。这亦与目前业界进行合规管理评估的方法类似。比如中国证券业协会《证券公司合规管理有效性评估指引》2021修订第21条就提到上述评估方法。

标准中的评价流程包括评价准备、评价实施和评价报告。标准的第8.5条对后续整改及考核评价与问责做了进一步规定,以实现流程闭环。

四、 机构设置与职责配置

标准中的“机构设置与职责配置” 对应全面合规管理体系要素中的“合规管理组织”,但做了简化要求,更能体现了中小企业合规管理体系的特点,包括:

1. 合规领导机构——合规管理委员会或合规领导小组;

2. 合规管理第一责任人——法代或实际控制人及各业务部门负责人;

3. 合规管理机构——合规管理部门或合规专员。

此外标准中还规定了各机构的有关合规管理职责。

而ISO37301国际标准第5.1.1条、5.2条、5.3条对治理机构、最高管理层、合规职能部门、管理层、所有人员提出了各自应承担的合规职责。体现了从最高管理层到员工的5个合规管理组织层级。

此外,于我们众多案例中,我们会根据实际情况建议企业建立董事会、监事会、经理层(高级管理人员)、合规委员会、合规管理负责人、合规管理牵头部门、业务部门、其他职能部门的八层级合规管理组织架构,并确定各层级的合规管理职责。而标准中规定的三层级的合规管理组织架构符合中小微企业本身架构不完善、对企业运转效率的极高需求的特点。随着中小微企业的逐步壮大,其也应持续完善合规管理组织层级,以符合全面性原则。

五、 标准中的合规风险识别

合规风险识别是进行合规风险管控的第一步,合规风险管控又属于合规管理的核心,因此准确、全面的识别合规风险对于中小微企业而言也同样重要。标准中关于合规风险识别实行两步走,即首先通过识别合规义务发现合规风险,然后通过对合规风险的评估与分级进行风险排序管控。该风险识别步骤与国家标准《风险管理 风险评估计划》第4.2.1条的风险管理过程要素以及我国《中央企业全面风险管理指引》第五条的风险管理基本流程前两步基本一致。

ISO37301国际标准第4.5条提到,组织应系统地识别合规义务并评估其影响,还应通过适当的程序以确定新的和变更的合规义务,以确保持续合规。第4.6条亦要求组织应通过将其合规义务与其活动、产品、服务及运营的相关方面来识别合规风险,并进行分析、评价。还要求做到定期评估以及情况或组织环境发生重大变化时再评估。这值得中小微企业借鉴。

而要完成上述合规风险的识别工作具有一定专业性,中小微企业应至少有一位专业的合规管理人员开展上述工作,或者需要借助外部专业机构的支持。

六、合规风险应对和持续改进

合规风险识别、合规风险应对和持续改进皆属于合规风险管理的重要流程。

(一)合规风险应对与持续改进

合规风险应对和持续改进在我们实践中是通过与有关各部门共同进行合规风险评估后确立的风险应对和改进措施。我们一般将识别出的合规风险进行低、中、高三级划分,并将对应的风险应对和改进措施融入各部门日常业务的办理流程,要求有中高风险的业务部门对于识别出的中高风险要保持持续跟踪关注,并根据实际情况定期进行检查更新。

标准第8.1合规风险应对和8.2条日常监测,从机制建立、机制实施、实施保障、实施效果四个方面保证了合规风险应对及日常监测的运行有效性。

ISO37301国际标准第6.1条指出,在建立合规管理体系时,应考虑、确定需要解决的风险以确保合规管理体系能实现预期结果,并实现持续改进。6.1条还进一步提出需要将识别出的风险及其应对行动措施整合进合规管理流程中,并持续评估这些应对行动措施的有效性,这也是标准第8.1.2条所要求的。

此外,ISO37301国际标准第6.3条“变更计划”指出,当组织确定需要对合规管理体系进行变更时,变更应有计划地进行。因此,在中小微企业的合规管理体系面临需求或目标的变更进而需要进行合规管理体系的优化、升级或变更时,应积极考虑变更的目的及其潜在后果、合规管理体系的设计和运行有效性、是否有足够资源支持、职责和权限是否需要重新界定及分配等情况。

标准的第8.5条持续改进作为合规管理体系闭合环节,对整个合规管理体系的长期有效运行具有重要作用。标准通过建立合规整改措施和违规问责制度对发现的合规问题、合规风险、合规漏洞进行及时的整改、处置、补救能很好的促进合规管理体系的良性循环。

对于“持续改进”, ISO37301国际标准第10章也作出了明确的要求。比如在发生不符合行为时(不符合行为并不必然是不合规行为),组织应积极作出反应以纠正它,并评估不符合行为的原因及采取纠正行为的必要性以防止不符合行为的再次发生,且若有必要,则需对合规管理体系进行更改、完善。

(二)举报机制

标准第8.3的举报机制包含了举报的机构、举报渠道、举报信息保密制度、举报人保护制度、举报处置流程以及合规疑虑与咨询程序。

ISO37301国际标准第8.3条“提出质疑”要求组织应建立、实施和维护一个流程机制,以鼓励和允许报告(在有合理理由相信信息为真的情况下)企图、怀疑或实际违反合规政策或合规义务的行为,并表示该机制:

1. 应在整个组织中是易见和可访问的;

2. 应对举报进行保密处理;

3. 应接受匿名举报;

4. 应保护举报人免遭报复;

5. 应使人员能获得建议。

我们认为举报机制还应包括相应的激励措施。相较于国有企业而言,中小微企业对于举报激励措施的提出可以有更多样化的方式,比如对于举报员工可给予因其举报行为及时防止了公司重大损失的1%作为奖励,这从合规文化培育角度而言亦具有良好的促进作用。

(三)合规报告

标准第8.4的报告机制包含了合规报告的对象、内容、形式、周期、流程等制度以及有关合规报告真实性、客观性和全面性的要求。

ISO37301国际标准第9.1.4条也要求组织应建立、实施和维护合规报告流程机制。在我们的实践中,合规报告一般分为合规年度报告、专项合规报告、重大合规风险报告。而对于中小微企业,我们认为中小微企业应至少将合规报告机制细化建立合规年度报告、重大合规风险报告机制。

年度合规报告能有助于企业高层判断合规管理体系有效性,并对下一年度的合规管理工作进行安排。重大合规风险报告则是属于专项合规报告中的一种,即在发现重大合规风险后,及时向企业管理层报告,以及时的应对重大合规风险,防止损失进一步扩大。

七、 合规文化建设

合规文化作为合规管理保障机制中的重要环节具有非常重要的意义。企业从合规意识的萌芽到成长再到形成共通的合规文化需要长时间的培育。在打造企业法治文化、推进法治文化建设、建立更完善健康的法治营商环境背景中,中小微企业在成立之初就应该将依法合规经营的理念融入企业文化之中。这不仅要求企业管理层带头,更需要各层级、各部门、各员工具有良好的合规意识。该标准对企业负责人、管理层、各层级员工提出了合规要求,并通过合规绩效考核、合规培训予以落实。

ISO37301国际标准第5.1.2条要求治理结构、最高管理层、管理层应积极、持续的践行承诺,并鼓励创造支持合规行为,不容忍非合规性行为。这都是合规从最高层做起的文化举措。

八、 结语

《中小企业合规管理体系有效性评价》标准是在综合考虑中小微企业各项特质后对全面合规管理体系的高度浓缩,蕴含了全面合规管理体系核心要素,对我国中小微企业具有较高的贴合度。面对内外部监管环境逐渐严格的趋势,中小微企业更应积极主动地开展并强化合规管理,有效预防和管控合规风险。

返回列表