合规管理体系是一个框架,它包含了基本结构、策略、流程和程序,以实现期望的合规效果,并采取行动防止、识别和应对不合规的问题。合规管理体系具有连贯、严谨的组织架构,是动态、系统的管理制度,构建合规管理体系,应重点把握以下构成要素:所谓合规,本质上即为帮助企业更好地遵守义务、满足或平衡各方的需求和期望。了解组织及组织所处的环境有助于帮助企业了解、知悉该等义务、需求和期望。企业及其所处的环境要素是企业在制定合规管理策略前需要考虑的内、外部环境因素,这是搭建合规管理体系的基础和先决性条件。外部要素既包括企业所处的监管环境,也包括因企业与外部利益相关方达成的协议或约定而产生的合规性义务。一方面,企业应明确“合”何种“规”,即企业所处的监管环境。监管环境可能会因企业所处的行业、所经营的业务模式发生变化,也可能会因为国家政策的调整而发生变动。通常来说,外部监管环境会考虑法律法规的要求、生效判决、国家政策、监管趋势和监管尺度等。另一方面企业还应梳理其自愿接受的义务,如与第三方合作达成的协议、自愿加入的组织、团体、以及对外披露的政策等。另一方面,从企业内部要素而言,企业还需清晰地了解企业自身发展现状,包括企业文化、企业的经营战略与业务模式、业务性质和业务范围、企业自身内部的组织架构、管理政策、现有资源以及与合作第三方的关系。企业应在充分了解内、外部要素的基础上,确定合规管理体系的界限和适用性,定制合规管理体系,既能帮助企业遵从外部监管要求,又能实现内部业务发展需求与合规成本的平衡。在清楚了解底层要素(外部环境及企业自身情况)的基础上,企业应明确合规管理体系建设的目标及原则,这是贯穿于整个合规管理体系建设的指导性要素。企业所制定的合规目标应当符合合规政策、遵守适用的法律法规,具有可行性、可被评估,并根据业务发展情况可酌情进行更新。企业合规原则是指指导、约束企业建设合规管理体系的方针,例如:管理体系与业务融合,强调合规管理体系并非是独立的制度,而是应依托业务设计并融入到业务中;良好的治理结构,强调领导层发挥领导作用的同时,在管理体系组织架构上增加对领导层的监督约束,保障合规团队的角色职责和独立性。领导作用、合规治理及合规文化是合规管理体系的三大核心支柱,亦是建设合规体系并维持其稳定、有效运行的关键。合规管理体系首先是构建基础框架,然后通过执行政策、流程和程序使得这一体系运作,并在运作的过程中不断进行合规管理体系有效性绩效评估,进而以此作为基础进行改进。因此如前所述,合规管理体系并非是建成后即一成不变的,而是一个循环推动的管理模式。合规风险的评估意味着识别企业可能面临的合规风险,并对合规风险待解决的优先级进行排序。在企业合规实践中,如何进行风险评估并对风险准确分类是开展合规工作的重要内容。规划旨在帮助企业防止或减少不利后果、保证合规管理体系能达到预期效果并实现持续改进。企业规划管理体系时,应考虑企业的合规目标、确定的合规义务、合规风险的评估结果,进而规划资源分配、设计合规管理体系融入企业现有的业务活动中的方式、起草合规政策、明确合规措施、并规划评估合规管理体系有效性的措施。合规规划应满足两个层次的要求。第一层是指根据风险评估的结果,规划应采取何种措施预防并降低合规风险,第二层则是分析企业的资源和所处的环境,帮助企业充分、高效、科学地利用资源,采取措施在有利的环境条件中受益。合规目标的设立应以合规风险评估结果为基础,以降低整体风险为首要目的。规划如何实现合规目标时,企业应明确针对何种目的做合规、需要何种资源、由谁负责落实合规工作、何时完成(进度)以及如何评估结果。如前所述,合规目标的制定应当是可量化的,既包括合规管理体系搭建的总目标,也包括就不同具体业务场景明确的合规目的。资源支持:企业应确定并提供合规管理体系的建立、实施、维护和持续改进所需的资源,如财务预算、基础设施等。我们建议企业首先明确可供合规管理体系建设的总资源,进而依据合规子目标的设定确定资源分配方案,保证资源的高效利用。人才支持:企业应明确为推动合规管理体系建设,企业内部各组织和各职能所需的员工具备的必要能力,确保招聘的人才与岗位要求具备适配性,确保团队人才专业背景的多元和补充性。合规意识培养:企业应定期组织员工进行合规培训,增强员工合规意识,了解合规政策,充分知悉合规管理工作对企业发展的重要性,并提供内部合规交流或投诉的沟通渠道。充分沟通机制:企业应建立充分通畅的信息沟通渠道,既包括企业内部不同部门间的沟通交流,确保合规部门的独立性,还包括企业外部与内部的沟通,如与主管部门的联络,跟踪监管趋势和政策发展;消费者、用户与企业的良好沟通和反馈。此外,建立企业合规违规举报投诉通道也是必要的。
企业应在合规管理体系的执行层面具体策划、实施和控制实现合规方针及规划所应达至的各项程序,以保证合规管理体系的平稳、有效运行。精心设计的合规管理体系应该具备两个维度的建构。其一,应确保合规管理体系可以对合规文化产生良性影响,如制定企业行为守则并在日常运行中加以落实,使企业中的所有人员均能获悉并谨遵。其二,应对企业重点业务活动领域实施防控措施,包括企业的所有业务流程,如生产、安装、服务、维护、销售等,以及针对合同订立相对方、供应商或销售商的风险管理。若企业将部分商业运营外包,则应对第三方进行有效的尽职调查,以确定其可以满足不低于企业自身程度的合规标准及承诺。控制措施可以包括:针对重点领域、重点合作伙伴进行合规风险梳理,以此为基础制定清晰、实用且易于遵循的书面操作政策、流程和工作指引。绩效评价包括监督、测量、分析及评估四个步骤,亦包含内部审计及管理评审的内容,其主要作用在于对现存合规管理体系的有效性进行评估,并成为后续修订、改进合规管理体系的依据。有效合规绩效评价的信息来源通常包括:企业人员(例如通过举报制度、热线电话、反馈、意见箱等);顾客(例如通过投诉处理系统);第三方、供应商、合同相对方等;已存在的合规问题;不合规事项;审计及评审等合规是动态的而非一成不变的,应该根据实践效果持续不断地对已有的合规管理体系进行修订、更新,使其更加符合企业管理、运营的现状。企业须根据定期绩效评价的结果及相应改进提议,以确定是否有必要以及如何修订合规管理体系。另请注意,在对合规管理体系进行修订时,应对需要修订之处作整体影响的考虑及把控,以保持合规管理体系的完整性及有效性。
