二、合规管理有效性评价的内涵
合规管理有效性评价包括评价主体、评价对象和原则、标准(评价内容)等四个核心内容,本文逐步展开论述。
(一)合规管理有效性评估的定义
合规管理有效性评价是企业合规管理体系建设的重要组成部分。在《中央企业合规管理指引(试行)》、《企业境外经营合规管理指引》、《商业银行合规风险管理指引》、《保险公司合规管理办法》、巴塞尔银行监管委员会《合规与银行内部合规部门》等境内外规范称之为合规管理评估;国资委新近颁布的《中央企业合规管理办法》也多处提到合规管理体系有效性评价;《亚太经合组织高效率公司合规项目基本要素》称之为定期评估和测试(Periodic Review and Testing),并将其作为企业合规管理十一大基本要素之一。
合规管理评价是指企业根据法律法规和内部制度要求,对企业合规管理体系在识别、防范和管理合规风险中所发挥的实际效用加以评判的行为。实践中,合规管理体系评价主要是指通过相关指标体系审查被评价企业的合规管理活动是否在规定的范围内、在正常的轨道上进行;监察和督促相关行为者是否忠实地履行合规管理责任,在评估过程中通过审核检查,对照法律法规和内部制度标准,发现违规违法行为、判断合规管理体系缺陷和追究违规责任等。合规管理体系评价工作的核心是通过对公司的合规管理体系评审、反馈、再评审的过程,做出企业合规管理活动是否真实、合法,合规管理体系的运行是否有效的结论,发现并报告公司在合规管理体系建设与实施中存在的问题,提出改进建议,促进企业合规管理体系的完善。
合规管理评价的对象是企业合规管理的有效性(effectiveness of compliance management system),与合规管理评估、合规评估与测试等概念具有相似性,但更加强调有效性这一根本目标。由此,合规管理的有效性是指企业建立的合规管理体系运行过程和结果能够实现预期管理目标的程度。[1]
合规管理的有效性包括合规管理体系设计、运行以及实践效果的有效性。“合规计划设计的适宜性”是指企业根据自身的特点建立起了一套可以有效预防合规风险、监控违规行为和应对违规事件的合规管理体系。所谓“合规计划运行的充分性”,是指合规计划融入企业管理的各个方面,使之运行和落地,发挥有效的内部监管作用。而所谓“合规计划效果的有效性”,则是指企业的合规计划不仅有效地堵塞和消除了合规管理漏洞,预防企业再次发生类似的犯罪行为,最终产生了积极的合规效果。简言之,合规管理体系运行的有效性离不开设计的适宜性,如果合规管理体系在设计上存在漏洞,即使这些合规管理制度能够得到一贯地执行,那么也不能认为其运行是有效的。在现有合规管理体系己经有效执行的基础上,还需要考虑合规管理在业务开展中是否收到了良好的实施效果,也就是需要对合规管理体系持续改进的有效性进行评估,才能保证企业合规管理实践的整体有效性。
(二)合规管理的种类
合规管理根据不同的区分标准可以划分出不同的类型,其中较为常见的划分方式有如下二种。
1、专项合规管理和全面合规管理
根据合规管理所涉及的风险范围为标准,合规管理可以分为专项合规管理和全面合规管理。专项合规管理用于企业禁止特定的非法行为,尤其是防止诸如贿赂、洗钱、内幕交易、会计和银行欺诈,以及不当价格政策等垄断行为所引发的刑事和民事责任,以及属于侵权的如职场性骚扰、职业安全、隐私以及环境保护等。专项合规管理通过减少或降低员工非法行为所带来的各种风险,由此避免或减轻可企业所承担的相应责任。而全面合规管理一般会秉持与社会认可的正向价值观的一致性,国外也称为合规与正直(Compliance & Integrity),企业要求员工遵守除了法律规定之外的公司内部的管理制度和行为准则等。通过填补了正式法律规则的空白,来提升企业和员工的守法水平和守法意识,也被称为商业伦理规则或者与社会责任相关的内容。在合规管理建设的实践中,企业基于面临的不同情况和环境通常可以采取二种实施路径,一种是从专项合规风险管理逐步扩展到全面合规风险管理体系建设,另一种是从搭建全面合规风险管理体系再向专项重点风险领域做纵深推进,这两种路径都是具有一定的合理性和可行性,需要结合企业自身的需求和情况而定。
2、事前合规管理和事后合规管理
以是否正在面临行政、刑事处罚情或者国际组织制裁为基准,企业合规管理可以分为事前合规和事后合规两种类型。事前合规管理也称为主动性合规或者日常性合规管理,是指在没有受到行政执法调查或刑事追诉的情况下所开展的日常性合规体系建设。事后合规管理又称被动性合规或者合规整改,也就是企业在已经被行政执法调查或刑事追诉的情况下,为获得减免处罚而开展的合规整改活动。
事前合规管理是指企业在不存在违法、违规或者犯罪的情况下,根据常态化的合规风险评估结果,为防范企业潜在的合规风险,开展合规管理体系建设,属于为提升商业竞争优势、获得更多交易机会而自主实施的加强内部合规风险防控的活动。而事后合规管理是指企业在面临行政执法调查、刑事追诉或者国际组织制裁的情况下,针对自身在管理方式、经营模式、决策机制等方面存在的管理漏洞和隐患,进行有针对性的制度修复和错误补救。事前合规管理和事后合规管理模式各有其适用对象、功能定位和制度建构等方面有所区别,但从总体上考察,这两种模式既可以相互转化,也可以相互补充和完善。
目前,我国的合规管理实践是政府主导为主和企业自主建设为辅的推动模式,其中各级国有企业是合规建设实践的主力军,这也决定了全面合规风险管理和事前合规管理是采用主要的合规管理类型,因此,大多数企业合规管理的有效性问题,不能通过司法和行政机关的执法行为来进行检验和评价,在这种情况下,构建合规管理有效性评价标准帮助企业对其合规管理的实际效果进行自我评价更具有现实意义。
三、合规管理体系有效性评价的原则
开展合规管理体系有效性评价工作需要遵循很多原则,包括全面性、差异性、独立性、符合性、及时性原则等,其中,更为基础性和技术性的原则应该是全面性、差异性原则以及符合性与有效性统一原则。某种程度上,这三个原则为其它原则提供了资源保障。
(一)全面性原则
全面性原则是指评价工作应当覆盖企业经营管理活动的全过程,评估标准应当系统、全面。合规管理体系有效性工作评价的范围应覆盖企业合规管理体系明确规定的经营管理活动的全员、全领域和全过程的所有内容,其中,全员应包括治理层、经营管理层、实施层的所有员工。全领域应包括企业合规管理制度规定范围内的所有专业领城(例如合规、法务、财务、内控、风控等)和管理领域(例如质量、环境、能源、健康安全、社会责任等)。全过程应包括产品实现或服务提供全部过程,例如生产过程、人力资源管理过程、采购过程、销售过程、售后服务等企业生产经营活动中的全部业务流程和支特性过程。全面性原则要求评价内容和结果能够反映企业合规管理体系建设、运行的整体情况,包括建立、 实施、运行、维护、持续改进等过程,这些过程依托或者包含于一套具有持续改进和自我强化能力的合规管理体系中,并且可以与企业内的其他管理体系相协同。
(二)差异性原则
根据这一原则,评价工作需要考察企业的合规管理工作是否与预期的合规目标相契合,并与企业的规模、行业特点、业务范围、合规风险、涉罪性质(如有)、等相适应。在合规整改的情形下,评价工作应增加考察企业是否承担了过度的和不必要的合规负担。
在评估内容设计层面,该原则要求针对不同行业企业规模和类型的特点,设定不同的评价内容、指标以及指标权重。权重的设置根据不同企业的合规风险、经营规模、业务范围、行业特点等因素决定。
在实际操作层面,该原则要求评价工作应考察企业是否以风险评估作为合规管理的逻辑起点和重要基础,也就是说,企业无论是建立合规机构、配备合规管理人员,还是建立针对合规风险的预防、监控和应对机制,是否考虑了企业规模、行业特点、业务范围与类型、治理结构、企业文化、涉罪性质(如有)等诸多因素,并据此做出合规风险识别和风险评估,从而建立一种与上述因素相适应的合规管理体系。在合规整改的情形下,执法机关的评价工作也需要监督企业是否建立一种与实现合规管理目标相符合的合规组织体系,按照必要性原则投入人力、物力等资源,根据比例性原则建立合规风险的防控、监控和应对管理流程。
(三)符合性与有效性相结合原则
设计评价内容和评价指标体系应该既要考虑合规管理过程中各项制度、文件、措施等的符合性,又要考虑合规管理实施所产生的结果,例如合规管理目标的实现情况等。一般通过三个方面来评价合规管理的符合性与有效性,合规管理体系的规范性文件是否符合有关法律规定和国际和国内合规标准的要求,合规管理工作实施过程的证据性文件是否符合企业规范性文件的要求,其证据性文件的各项内容是否能够真实反应其合规管理工作的有效性,以及合规管理工作是否根据组织环境的变化得到了持续改进。
当然,其它评价原则也有其重要作用,是不容忽视的。例如,独立性原则,是指履行合规管理职责的牵头部门以及相关人员应当独立客观,不受其他内、外因素干扰。及时性原则,是指评价工作的开展频率首先应当满足外部监管要求,并根据企业自身实际情况及时进行调整。
四、方法论基础
戴明环是企业全面质量管理的思想基础,其核心就是PDCA循环,即:将质量管理分为四个阶段,即Plan(计划)、Do(执行)、Check(检查)和 Action(处理)。计划是指,在质量管理之初,首先是在调查研究的基础上,结合内外部资源条件,制定合理的管理计划。此计划包括目标、以及为了实现目标方针所采取的规划,面临的问题,在时间、地点、人物,方法、预算等层面进行深入思考与系统布局,形成对应的计划书和计划表。执行是指组织资源,执行目标,根据事先制定的管理计划,具体安排专人在合适的时间地点进行执行,落实计划的每一项内容,并且做好相应在的记录。或有问题,及时再协调沟通,予以更新完善。检查是指,在执行过程中,或执行结束后,企业需要将实际执行情况,与原先的计划进行对照管理,检查结果是否为预期达标,并落实到检查表或考核评估表中,并将结果反馈给有关管理方。改进是指,针对本此轮循环中存在问题或者未达标的内容进行分析总结原因,从而采取针对性的措施进行纠正和预防,肯定成绩、改进不足。以此纳入下一个PDCA循环之中,持续改进,从过去、现在,实现未来的提升。以上四个过程不是运行一次就结束,而是周而复始的持续进行。当一个循环结束,解决了一些问题,那些未解决的问题将被列入进入下一个循环,如此企业逐步实现质量管理的阶梯式飞跃。
从国外和国内的实践经验看,企业合规管理作为企业管理的一个分支,也遵循这样的规律。借助于质量管理的方法论,国际标准化组织(ISO)发布的ISO 37301:2021《Compliance management systems - Requirements with guidance for use》中指出,合规管理的常见要素(Common Elements)包括四部分内容,分别是目标(Objects)、原则(Principles)、组织及其环境(Organization & Context),居于核心地位仍然是戴明环,即PDCA。在此基础上,国际标准化组织对PDCA的每一个阶段按照合规管理的需要提出了进一步细化的要求,构建了合规管理领域的PDCA循环。合规管理评价作为次环的一个重要组成部分,同样地基于PDCA循环作为重要的构成要素来开展相关工作。
注释:
[1]中国企业评价协会的《企业合规管理体系有效性评价指引》中规定,合规管理体系有效性(effcctiveness of compliance managcment system)是指组织所建立的合规管理体系运行过程和结果实现预期目标的程度,包括合规管理体系文件有关的规范性交件与IS0 37301要求的符合性、实施过程与规范性文件的符合性、实施结果实现企业合规目标的程度和持续改进的效果。
或许您还想看
陈宇:欧盟国际采购工具法案(IPI)对中国工程企业参与欧盟公共采购项目的影响与应对
作者简介
陈宇
北京德和衡律师事务所高级联席合伙人
陈宇律师获得中国人民大学法学博士,对外经济贸易大学法学硕士,美国匹斯堡大学访问学者。陈律师擅长国际能源工程招投标和建设、国际、国内公司合规体系建设、国际反腐败合规、网络安全和数据隐私、跨国投资和并购、国际和国内仲裁以及其它诉讼业务,中国和香港上市公司常年法律顾问。
邮箱:chenyu@deheheng.com