随着社会主义市场经济的发展,“合规”一词越来越多常见于企业的经济交往中,并随着全面依法治国的深化而融入到企业的管理和文化之中。许多企业通过独立设置或联合办公的方式设置了合规管理部门,从而应对潜在的合规风险和不断增加的合规问题。
在合规管理中,合规审查作为企业进行合规管理的重要一环,是企业识别合规义务、评价合规风险的重要手段。合规审查具有怎样的内涵、开展合规审查包含怎样的过程、厘清合规审查和法律审查的关系,对企业合规体系的建设具有重要意义。
01 什么是合规?
什么是合规?合规=遵守法规即守规,就是企业及其员工的经营管理行为要符合国家法律、行政法规、国际条约、行业准则、商业道德以及企业内部的管理制度。刑事合规是企业合规的一个组成部分,主要是指企业内部防范刑事法律风险的规则和机制。
合规的内容是什么?可以分三个层次:一是国家层面的规则,包括国家的法律和国家间的条约;二是社会层面的规则,主要是行业规则、商业惯例以及商业道德等;三是企业层面的规则,即企业内部的规章制度、管理制度。企业合规是企业内部控制和自我约束的一种机制。它既是一个管理过程,也是一种管理结果。
当然广义的“合规”,还包括企业员工要遵守良好的职业操守和道德规范以及风俗习惯等。比如针对数据脱敏(我们最常见的火车票、医院就诊显示器(有*号的地方)、电商收货地址都会对敏感信息做处理)的合规暂时还没有规定要求(暂不存在合规依据可以直接依托),但企业基于自我约束与企业文化要求也应当做到数据脱敏。
所以在合规整改需要分3步:第一:就是确定且汇总应当遵守的规则,第二:围绕上述规则开始查摆问题(当然查摆问题的方式有二:自行查摆问题与在第三方监管人的监督下查摆问题);第三:围绕问题进行整改。
02 违规可能导致的风险
(一)承担民事责任。表现在损害赔偿和合同无效这2个与商业利益最相关方面:民事赔偿是因企业违反法定或约定义务给相对人或第三人造成损失需要承担的赔偿义务;合同无效是因企业的经营活动违反法律、行政法规的效力性规定,致使企业从事的民事法律行为无效。
(二)承担行政责任。行政罚款、没收违法所得、责令停产停业、吊销营业执照等。
(三)承担刑事责任。企业实施危害社会的行为,法律规定为单位犯罪的,企业作为犯罪主体应当负刑事责任。
在我国,行政合规与刑事合规可以基本理解一致(一般而言,剔除特殊/行政违法+数额=刑事犯罪)。若刑事合规整改只是为了预防刑事犯罪(且为专项刑事风险预防),则会大大影响整改效果(发票合规难道仅仅为了防止骗取增值税税额5万以上?不对吧,应该是禁止未来骗取任何的增值税吧!)。应使用“企业合规”的概念,涉案企业整改的目标是防止未来的行政风险与刑事风险(简单点说就是防止被执法部分检查并处罚)。
03 合规审查的主要内容
合规审查作为识别合规义务、防范合规风险的重要手段,其审查范围可以涉及到企业的方方面面。根据相关规范性文件和合规审查的内涵,我们不难看出,凡是具备合规义务的企业行为,都可以经过合规审查,避免合规风险。在企业日常经营中,除了上文提到的规章制度制定、重大事项决策、重要合同签订、重大项目运营等,企业经营中的书面函件、对外发布的企业形象宣传广告等也都蕴含着潜在的合规风险。针对可能出现风险的行为,开展合规审查对企业而言明显利大于弊。
04 合规管理体系建设具体实施步骤
一、调研企业合规管理内外部环境
通过内外部环境的分析,可以系统地识别企业所承担的合规义务,以及企业对合规义务的落实执行情况,以及构建合规管理体系的资源等。这是启动合规管理体系搭建的前期工作和基础工作。
二、制定合规管理体系实施方案
该方案在符合公司战略的情况下,应适应企业现有管理模式、管理能力以及资源投入,作为推动合规管理体系搭建工作的指导大纲。
三、梳理、分析业务流程
对公司现有业务流程、现有制度、现有风险管理体系等进行梳理,形成公司合规管理的现状诊断评估报告,作为下一步合规体系搭建工作的基础。
四、设计合规管理组织架构
可以参照风险管理的“三道防线模型”来设计。从企业最高决策层到企业的业务一线,包括决策层、管理层、业务部门、职能部门、下属单位、业务岗位等,都应有明确的合规职责分工与说明。对于每一个岗位,对其合规职责进行增设或优化,制定岗位职责说明书及由员工签署合规承诺书。
五、进行合规风险评估
在梳理企业内外部环境及业务流程的基础上,编制和完善合规义务库。在辨识合规义务的基础上,采用多种方法,归纳合规风险点,对合规风险进行分析、评价,形成合规风险清单、合规风险地图、合规风险库。
六、专项合规计划
对于重点合规风险领域,可以提出专项方案或建议,开展专项合规管理工作,协助出台专项合规管理指引,并辅之以相关培训工作。例如:数据信息安全合规指引、反商业贿赂合规指引等。
七、梳理合规制度,制订合规手册
结合企业的合规风险特点,制定全员遵守的合规准则规范,整理体系合规管理制度,最后汇编形成合规管理手册、操作指引等文件。
八、建立各项合规管理运行机制
包括但不限于:合规审查机制、合规检查机制、合规风险预警机制、合规风险隐患跟踪机制、合规风险报告机制、合规责任追究机制等。合规管理运行机制的内容可以根据本行业监管要求和企业实际来确定。
九、制订合规管理绩效制度—合规考核
制订合规管理绩效考核办法,内容包括考核对象、考核内容/考核指标、考核形式、考核结果应用。合规管理考核的难点在于考核内容与考核指标的设置。
十、合规管理体系有效性评价
合规管理运行情况评价,一般由最高管理者组织开展或委托外部机构开展。评估对象为公司董事会、监事会、高级管理人员、合规负责人、合规管理部门以及各部门、各层级分公司和全体工作人员。评估内容包括:对合规管理环境的有效性评价、对合规管理职责履行情况的评价、对合规管理制度与合规运行机制、合规保障机制建设情况的评价等内容。
十一、培育合规文化,开展合规培训
合规文化取决于一把手的合规理念。合规培训重点做好以下工作:制订合规培训计划;开发合规培训课件;培育合规师资;开展合规培训效果评价等。
结语
一个符合企业实际的、有效的合规管理体系能够实现合规管理与企业业务模式、组织架构的深度融合;满足企业内外不同监管规则的适用要求。人才云愿与社会各界一起,“强内控、防风险、促合规”,帮助企业建立起适合自身实际的合规管理体系,自发管控合规风险,来适应大环境的合法合规常规化、趋势化,继而获得健康可持续发展。
来源:企业合规项目办公室