雒宏偉(上海天祥質量技術服務有限公司)
摘要: 2018年11月2日國資委下發了《中央企業合規管理指引(試行)》,明確提出“中央企業應當加快建立健全合規管理體系”。為了幫助央企更好的貫徹該指引、更好的建立健全合規管理體系,本文將該指引對照 GB/T 35770-2017進行了研究,提出了按照《合規管理體系 指南》建立合規管理體系并且整合《中央企業合規管理指引(試行)》的要求的方法。
關鍵詞:ISO19600 合規管理體系 中央企業合規管理指引
Establishmentand improvement of CMS through the implement of Central enterprises compliance managementguideline
LUO HONGWEIIntertek China
Abstract: SASAC issued Central enterprisescompliance management guideline on 2 Nov 2018, which states that centralenterprises shall speed the establishment of CMS. In order to facilitate theimplement of this guideline as well as the establishment and improvement of CMSby central enterprises, this article studies this guideline against GB/T35770-2017, and proposes the method of establishment of CMS as per the standardand integration of their requirements.
Keywords: ISO19600 Compliance Management System Central enterprises compliance managementguideline
近年來隨著中國經濟的快速發展、中國企業的不斷壯大,尤其是“一帶一路”政策的推進,越來越多的中國企業離開熟悉和舒適的國內市場,參與到全球市場競爭當中。但是很不幸的是,因為不同國家、地區有不同的市場環境和競爭規則,而一些中國企業并沒有對合規給予足夠的重視,沒有認真的學習和適應,而是沿用在國內的習慣和做法,導致因為不合規而受到遭受制裁或處罰。例如,到目前為止有超過40家中國企業被列入過世界銀行黑名單。 更重要的是,當今社會,利用對競爭對手國家的龍頭企業的違規處罰或制裁以達到削弱競爭對手國家實力和競爭力的目的,已經成為大國博弈的重要手段。而作為中央企業是一些重要領域的國內甚至是全球的領導性企業,也是“一帶一路”建設的主要力量,早已成為一些大國重點關注的對象。中興通訊,一個年產值上千億的通訊行業的骨干企業,被處罰14.9億美元的同時,被列入美國禁售制裁名單,幾乎瀕臨倒閉。而同樣是中國通訊行業的領頭羊的華為也一直受到是美國一些監管機構的調查,這為我們在合規管理方面敲響了警鐘。
正是基于這些原因,早在2015年12月8日,國務院國資委《關于全面推進法治央企建設的意見》(國資發法規[2015]166號)就指出“中央企業是我國國民經濟的重要支柱,是落實全面依法治國戰略的重要主體。”要求“中央企業加快提升合規管理能力,到2020年,中央企業依法治企能力達到國際同行業先進水平,努力成為治理完善、經營合規、管理規范、守法誠信的法治央企。”2018年11月2日國資委下發了《中央企業合規管理指引(試行)》,明確提出“中央企業應當加快建立健全合規管理體系”。
如何貫徹該指引?如何建立健全合規管理體系?就成為央企最高管理層和合規管理部門人員需要研究和考慮的問題。其實,2012年10月,ISO就成立了ISO/PC271合規管理委員會,負責制定合規管理體系國際標準;2014年12月15日,ISO19600《合規管理體系指南》發布實施; 2017年12月29日,GB/T 35770-2017《合規管理體系 指南》國家標準也經國家質量監督檢驗檢疫總局、國家標準化管理委員會正式批準、發布,并于2018年7月1日起實施。
GB/T 35770-2017《合規管理體系 指南》是ISO19600:2014等同轉換標準,匯集了國際上被廣泛認可的合規管理理論和最佳實踐,是通過采用被全球廣泛認可的ISO管理體系方法來管理合規問題。GB/T 35770-2017標準的發布和實施給希望加強合規管理,提升合規經營管理水平、建設合規管理體系的企業提供了全面系統的指南。雖然《中央企業合規管理指引(試行)》對央企加強合規管理、建立健全合規管理體系提出了明確的要求,但是這些只是一些重點要求,從建立合規管理體系的角度并不完善,也沒有對這些要求之間的邏輯關系和合規管理體系建立的方法進行說明。
Intertek天祥集團作為合規管理體系標準ISO19600:2014和GB/T35770-2017《合規管理體系 指南》的主要培訓和評價機構,我們致力于反賄賂管理體系和合規管理體系的研究和推廣。為了幫助央企更好的貫徹該指引、更好的建立健全合規管理體系,我們將該指引對照 GB/T 35770-2017進行了研究,試圖將《合規管理體系 指南》和《中央企業合規管理指引(試行)》的要求進行整合。為了保留GB/T 35770-2017標準的系統性同時節省篇幅,我們以GB/T35770-2017標準的條款順序為基礎,以覆蓋“指引”相關要求為目的,只摘取標準部分內容與“指引”對應內容進行比較分析以達到整合的目的。如果“指引”中沒有標準某些條款對應的相關要求時,表格中這些條款的地方是空白或注明“無”,這正說明“指引”對比GB/T 35770-2017標準存在很多空缺。現將研究成果與大家分享。
“指引”的第一章是總則,明確了一些主要術語的定義和基本原則。術語如合規、合規風險、合規管理等,盡管術語定義表述與GB/T 35770-2017標準有差異,但是內容沒有大的區別。“指引”的基本原則如:全面覆蓋、強化責任、協同聯動和客觀獨立與GB/T 35770-2017的要求是一致的。我們下面將重點討論“指引”的第二章到第五章的內容與GB/T 35770-2017要求的差異和如何實現整合,如下表所示:
| 條款 | GB/T35770-2017要求(以下簡稱“標準”) | 《中央企業合規管理指引(試行)》要求(以下簡稱“指引”) | 如何實現整合? |
| 3.1 理解組織及其背景 | 無 | ||
| 3.2 理解相關方的需求和期望 | 無 | ||
| 3.3 確定合規管理體系的范圍 | 無 | ||
| 3.4 合規管理體系和良好治理原則 | 無 | ||
| 3.5 合規義務 | 無 | ||
| 3.6 識別、分析和評價合規風險 |
組織識別合規風險,宜把合規義務和它的活動、產品、服務和運行的相關方面聯系起來,以識別可能發生不合規的場景。組織宜識別不合規的原因及后果。 組織宜通過考慮不合規的原因、來源、后果的嚴重程度、不合規及其后果能發生的可能性進行合規風險分析。 風險評價涉及組織合規風險分析過程中發現的合規風險等級與組織能夠并愿意接受的合規風險水平的比較。基于這個比較,能設定優先級,作為確定需要實施的控制及其程度的基礎(見5.1)。 發生以下情形,宜對合規風險進行周期性再評估 |
第十八條建立合規風險識別預警機制,全面系統梳理經營管理活動中存在的合規風險,對風險發生的可能性、影響程度、潛在后果等進行系統分析,對于典型性、普遍性和可能產生較嚴重后果的風險及時發布預警。 | 標準3.6的要求能夠覆蓋指引第十八條的要求,而且更加具體明確,要求對風險排列優先順序,作為實施控制和程度的基礎,并要求“進行周期性再評估”。 |
| 4.1 領導和承諾 | 無 | ||
| 4.2 合規方針 | 無 | ||
| 4.3 組織的角色、職責和權限 |
4.3.1 總則 4.3.2 組織內合規職責的分配。 許多組織由專人(如:合規官)負責日常的合規管理,有些組織由跨職能的合規委員會協調整個組織 的合規工作。 4.3.3 治理機構和最高管理者的角色和職責; 4.3.4 合規團隊; 4.3.5 管理層職責 4.3.6 員工職責 |
第五條董事會的合規管理職責 第六條監事會的合規管理職責 第七條經理層的合規管理職責 第八條合規委員會職責 第九條中央企業相關負責人或總法律顧問擔任合規管理負責人 第十條法律事務機構或其他相關機構為合規管理牽頭部門 第十一條業務部門職責 |
“指引”中的董事會和監事會是“標準”中的治理機構;指引”中的經理層是“標準”中的最高管理者; 指引”中的合規委員會的職責與“標準”中的合規委員會職責相近; “指引”中的合規管理負責人就是“標準”中的合規官;“指引”中的合規管理牽頭部門就是“標準”中的合規團隊;“指引”中的業務部門就是“標準”中的管理層; 雖然“指引”第四條明確“合規管理牽頭部門獨立履行職責,不受其他部門和人員的干涉。”但是并沒有如“標準”那樣明確提出合規團隊: 1) 具有設計合規管理體系并保持其一致性和完整性的權限和職責。 2) 有權直接接觸治理機構和最高管理者并獲得來自他們的清晰和明確的支持。 3) 使其有權接觸: ———高級決策制定者并有機會在決策制定過程初期提出意見和建議; ———組織的各個層面; ———執行合規任務所需的所有文件化信息和數據; ———關于相關法律、法規、準則和組織標準的專家建議。 4) 通過指出在相關決策過程中所有合規方面的后果,具有實施制衡權力的權限和能力。 建議按照上述分析,在“指引”第二章合規管理職責的基礎上結合企業實際情況對合規管理進行職責分配,并對照“標準”的相關角色和職責的要求進行補充完善,尤其是合規管理牽頭部門要按照標準對合規團隊職責和權限的要求進行明確。 |
| 5.1 合規風險的應對措施 |
組織進行合規管理體系策劃,宜考慮3.1提及的問題,3.2提及的要求,3.4提及的良好治理原則,3.5識別的合規義務,3.6提及的合規風險評估的結果,以確定需解決的合規風險。 組織宜策劃: a) 應對合規風險的措施。 |
第十九條加強合規風險應對,針對發現的風險制定預案,采取有效措施,及時應對處置。對于重大合規風險事件,合規委員會統籌領導,合規管理負責人牽頭,相關部門協同配合,最大限度化解風險、降低損失。 | 通過對比可以看出:標準5.1的要求可以覆蓋“指引”第十九條的要求。 |
| 5.2 合規目標和實施策劃 | 無 | ||
| 6.1 資源 | 無 | ||
| 6.2 能力和培訓 |
治理機構、管理層和具有合規義務的所有員工都宜具備有效履行合規義務的能力。 對員工的教育和培訓宜: a) 針對與員工角色和職責相關的義務和合規風險量身定制; b) 適宜時,以對員工知識和能力缺口的評估為基礎; c) 在組織成立時就提供并持續提供; d) 與組織的培訓計劃一致,并納入年度培訓計劃; |
第十五條加強對以下重點人員的合規管理: (一)管理人員。 (二)重要風險崗位人 (三)海外人員。 (四)其他需要重點關注的人員。 第二十五條建立專業化、高素質的合規管理隊伍,根據業務規模、合規風險水平等因素配備合規管理人員,持續加強業務培訓,提升隊伍能力水平。 海外經營重要地區、重點項目應當明確合規管理機構或配備專職人員,切實防范合規風險。 第二十六條重視合規培訓,結合法治宣傳教育,建立制度化、常態化培訓機制,確保員工理解、遵循企業合規目標和要求。 |
標準6.2的要求可以覆蓋“指引”第十五條、第二十五條和第二十六條的要求。但“指引”專門強調了對海外經營重要地區和重點項目的要求。 |
| 6.3 意識 |
6.3.2.3合規文化明確發展合規文化要求治理機構、最高管理者和管理層,對組織的各個領域所要求的共同的、已發布的行為標準作出積極的、可見的、一致的和持久的承諾。 例如,支持合規文化發展的因素包括: ———一系列已發布的清晰的價值觀; ———管理層積極實施和遵守價值觀; ———不論職位,處理相似措施時保持一致; ———在監視、輔導和指導過程中以身作則; ———對潛在員工進行適當的就業前評估; ———在入職培訓或新員工訓練中強調合規和組織價值觀; ———持續進行合規培訓,包括更新培訓內容; ———持續就合規問題進行溝通; ———建立績效考核體系,考慮對合規行為的評估,并將合規表現與工資掛鉤,以實現合規關鍵績效措施和結果; ———對合規管理業績和結果予以明確認可; ———對故意或因疏忽而違反合規義務的情況給予即時和適當的懲罰; ———在組織戰略和個人角色之間建立清晰的聯系,反映出合規是實現組織結果所必不可少的; ———就合規進行公開和適當的溝通。 |
第二十七條積極培育合規文化,通過制定發放合規手冊、簽訂合規承諾書等方式,強化全員安全、質量、誠信和廉潔等意識,樹立依法合規、守法誠信的價值觀,筑牢合規經營的思想基礎。 | 標準6.3.2.3合規文化的要求可以覆蓋“指引”第二十七條的要求。 |
| 第二十三條加強合規考核評價,把合規經營管理情況納入對各部門和所屬企業負責人的年度綜合考核,細化評價指標。對所屬單位和員工合規職責履行情況進行評價,并將結果作為員工考核、干部任用、評先選優等工作的重要依據。 | “指引”第二十三條對合規考核評價的要求對比標準6.3.2.3的相關要求更具體全面,建議按照“指引”第二十三條實施。 | ||
| 第二十一條強化違規問責,完善違規行為處罰機制,明晰違規責任范圍,細化懲處標準。 | 標準6.3.2.3 合規文化中對處罰進行了要求,但沒有“指引”第二十一條明確,建議企業可以按照第二十一條的要求實施。 | ||
| 6.4 溝通 | 無 | ||
| 6.5 文件化信息 | 無 | ||
| 7.1 運行的策劃和控制 |
組織宜策劃、實施和控制滿足合規義務必需的過程,并實施5.1確定的措施,通過: ———確定過程的目標; ———確立過程的準則; ———根據準則實施過程控制; |
第十二條中央企業應當根據外部環境變化,結合自身實際,在全面推進合規管理的基礎上,突出重點領域、重點環節和重點人員,切實防范合規風險。 第十三條加強對以下重點領域的合規管理: (一)市場交易 (二)安全環保。 (三)產品質量 (四)勞動用工。 (五)財務稅收 (六)知識產權 (七)商業伙伴 (八)其他需要重點關注的領域 第十四條加強對以下重點環節的合規管理: (一)制度制定環節。 (二)經營決策環節 (三)生產運營環節 (四)其他需要重點關注的環節。 第十六條強化海外投資經營行為的合規管理: (一)深入研究投資所在國法律法規及相關國際規則,全面掌握禁止性規定,明確海外投資經營行為的紅線、底線; (二)健全海外合規經營的制度、體系、流程,重視開展項目的合規論證和盡職調查,依法加強對境外機構的管控,規范經營管理行為; (三)定期排查梳理海外投資經營業務的風險狀況,重點關注重大決策、重大合同、大額資金管控和境外子企業公司治理等方面存在的合規風險,妥善處理、及時報告,防止擴大蔓延。 |
“指引”第十二條、第十三條、第十四條、第十六條都是“指引”明確提出需要加強合規管理的重點領域和重點環節,并明確了具體控制措施。雖然這些是企業需要重點關注的,但是每個企業的內外部環境不同,合規義務不同、合規風險有很大差異,所以應在重點關注這些領域和環節的同時,要基于內外部環境的分析、相關方要求的識別、合規義務的識別和合規風險的識別和評價,找出企業自身的重點領域和環節,采取對合規風險有針對性的措施進行控制,而不是機械的套用。 |
| 7.2 建立控制和程序 |
采取有效的控制措施確保滿足合規義務,能夠預防或發現不合規事件并糾正。充分而嚴格的設計各類、各層次的控制措施,以促進組織的活動和運行環境實現合規義務。在合理的情況下,這些控制措施宜植入常規的組織過程。 示例:控制包括: ———清晰、實用并易于遵循的文件化運行方針、程序、過程和操作指示; ———系統和異常報告; ———審批; ———劃分有沖突的角色和職責; ———自動化過程; ———年度合規計劃; ———員工績效計劃; ———合規評估和審核; ———管理層的承諾和以身作則和促進合規行為的其他措施; ———對預期的員工行為(標準、價值觀和行為準則)進行主動、公開并經常的溝通。 |
第十七條建立健全合規管理制度,制定全員普遍遵守的合規行為規范,針對重點領域制定專項合規管理制度,并根據法律法規變化和監管動態,及時將外部有關合規要求轉化為內部規章制度。 第二十條建立健全合規審查機制,將合規審查作為規章制度制定、重大事項決策、重要合同簽訂、重大項目運營等經營管理行為的必經程序,及時對不合規的內容提出修改建議,未經合規審查不得實施。 |
通過對比可以看出:標準7.2的要求可以覆蓋“指引”第十七條和第二十條的要求。標準7.2示例中的“ 文件化運行方針、程序、過程和操作指示; ”對應“指引”的第十七條的要求;標準7.2 示例中的合規評估和審核對應“指引”中的第二十條。 |
| 7.3 外包過程 | 無 | ||
| 8.1 監視、測量、分析和評價 | 8.1.3組織宜建立、實施、評價和維護用以尋求和接收合規績效反饋信息的程序。合規績效反饋來源 包括: ———員工,如通過舉報工具、熱線電話、反饋、意見箱; | 第二十一條暢通舉報渠道,針對反映的問題和線索,及時開展調查,嚴肅追究違規人員責任。 | 標準8.1.3的要求明確了舉報渠道,但是沒有對開展調查的要求,這是標準的缺失,建議按照“指引”第二十一條實施。 |
| 8.1.5對信息的有效分類和管理至關重要。 宜建立信息的分類、存儲和檢索系統。 信息管理系統宜同時收集問題和投訴,并對合規相關的信息進行分類和分析。 | 第二十四條強化合規管理信息化建設,通過信息化手段優化管理流程,記錄和保存相關信息。運用大數據等工具,加強對經營管理行為依法合規情況的實時在線監控和風險分析,實現信息集成與共享。 | 標準8.1.5的要求可以覆蓋“指引”第二十四條的要求。 | |
| 8.1.1 總則 組織宜確定: a) 需要被監視和測量的內容和原因; b) 監視、測量、分析、評價的方法(如適用),以確保有效的結果; c) 何時宜進行監視和測量; d) 何時宜分析、評價和報告監視和測量的結果。 組織宜評價合規管理體系的績效和合規管理體系的有效性。 | 第二十二條開展合規管理評估,定期對合規管理體系的有效性進行分析,對重大或反復出現的合規風險和違規問題,深入查找根源,完善相關制度,堵塞管理漏洞,強化過程管控,持續改進提升。 | 標準對合規管理評估包括三級:8.1日常的監視和測量;8.2定期對合規管理體系有效性的審核;8.3最高管理者主持的定期對合規管理體系適用性、充分性和有效性的評審。因此標準8.1、8.2和8.3可以覆蓋“指引”第二十二條的要求。 | |
| 8.2 審核 | 組織宜至少在計劃的時間間隔內安排審核,以提供信息,確定合規管理體系是否: a) 符合: 1) 組織自身的準則; 2) 本標準的建議。 b) 有效實施和維護。 | ||
| 8.3 管理評審 | 最高管理者宜按計劃定期評審組織的合規管理體系,以確保其持續的適用性、充分性和有效性 | ||
| 9.1 不合格、不合規和糾正措施 | 9.1.2 上報 宜采用并宣傳清晰、及時的上報過程,以確保所有不合規都能被提出、報告并最終上報給相關管理層,并確保合規團隊得到通知并能夠為上報提供支持。在適當的情況下,宜向最高管理者和治理機構上報,其中包括相關委員會。該過程宜詳細說明報告的對象、方式和時間以及內部和外部報告的時間表。 當組織需按法律要求報告不合規時,需根據適用法規或其他商定方式,通知監管機構。 | 第二十八條建立合規報告制度,發生較大合規風險事件,合規管理牽頭部門和相關部門應當及時向合規管理負責人、分管領導報告。重大合規風險事件應當向國資委和有關部門報告。 合規管理牽頭部門于每年年底全面總結合規管理工作情況,起草年度報告,經董事會審議通過后及時報送國資委。 | 標準9.1.2上報的要求可以覆蓋“指引”第二十八條的要求,但“指引”第二十八條的要求更明確具體。 |
| 9.2 持續改進 | 無 |
綜上所述,雖然《中央企業合規管理指引(試行)》對比GB/T 35770-2017 《合規管理體系 指南》更加明確具體,但是GB/T 35770-2017更加系統全面。我們應該明白合規管理體系建設不同與合規管理制度建設。按照GB/T 35770-2017 《合規管理體系 指南》建立的合規管理體系是一個以合規義務為中心、基于風險、主動預防、持續改進的管理體系,標準要求企業根據內外部環境的變化動態識別更新合規義務、評價合規風險,并針對重大合規風險制定控制措施,并將合規義務要求和重大合規風險的控制措施整合在企業的業務過程中和外包控制過程中,并對措施的有效性進行監視和測量,對發現不合規或不符合進行糾正或制定糾正措施,然后重新進行內外部環境分析開始新一輪的循環。因此合規管理體系最重要的是擁有一個動態的、自我發現、自我完善的持續改進機制,不是若干的合規管理制度。合規管理制度如果不能根據內外部環境的變化、風險的變化及時進行修訂,或者我們只關注制度的數量和控制的嚴密性,而忽視了合規管理要與風險程度相適應,必將影響企業管理的效率和業績。因此按照GB/T 35770-2017建立和完善合規管理體系可以幫助企業在短時間內提升管理水平,使企業能夠更好地防范合規風險。
同時作為全球公認的合規管理體系國際標準,通過按照ISO19600:2014或者其等同轉換的GB/T 35770-2017的要求建立合規管理體系并通過第三方的符合性評估,為中國企業在面臨監管機構處罰時提供有力的抗辯證據,可以達到盡職免責的目的。
因此,我們建議中央企業企業參照上表的說明,以GB/T 35770-2017《合規管理體系 指南》為基礎建立合規管理體系,并同時考慮《中央企業合規管理指引(試行)》的要求,這樣不單能達到國資委所要求的“建立健全合規管理體系”建的目的,能夠同時能夠為央企在海外市場競爭提供護身符。
參考文獻
【1】 ISO,ISO19600:2014 Compliance management system –Guidelines
【2】 SAC, GB/T 35770-2017 《合規管理體系 指南》
【3】 SASAC, 《中央企業合規管理指引(試行)》2018
作者簡介
雒宏偉,工商管理博士。研究方向:反賄賂管理、合規管理、資產管理、道路交通安全管理 。INTERTEK集團上海天祥質量技術服務有限公司ISO37001、ISO19600、ISO39001和ISO55001項目經理。
