编者荐语:
国企合规管理的“合规三清单”包含合规风险清单、流程管控清单和岗位合规职责清单,“合规三清单”的合规管理作用需要通过合规管理体系来实现,并通过IT系统固化成果、提升效率。本文系对“合规三清单”外规内化的具体操作建议,以供相关人士参考。
1、“合规三清单”的定义
合规三清单即“合规风险清单”、“流程管控清单”和“岗位合规职责清单”,是国资委一个关键抓手,从管理上来说,重点抓这三个方面没有问题,但是从实际效果来说,还需要其它配套措施一起实施,才能将合规落到实处!
ISO 37301 <Compliance management systems - Requirements with guidance for use> 中对合规义务、合规风险、合规进行了定义:
Compliance Risk: likelihood of occurrence and the consequences of noncompliance with the organization's compliance obligations.
Compliance Obligations: requirements that an organization mandatorily has to comply with as well as those that an organization voluntarily chooses to comply with.
Compliance: meeting all the organization's compliance obligations.
从上面的定义不难看出,满足了企业的合规义务,即实现了“合规”;否则,就出现了“合规风险”。因此,合规风险清单来源于合规义务清单,是企业开展合规工作的第一步。
2、体系化开展合规管理
为提升管理效率,合规义务清单至少需包含以下内容:
法律/法规要求:呈现法律/法规原文,避免被错误解读。
合规要求:对法律/法规要求解读,翻译为便于业务人员理解的内容。此处需将不同法律/法规关于同一内容的要求进行整合。
涉及流程:该合规要求涉及的流程,为合规义务落地(外规内化)做准备。
涉及业务/部门:该合规要求涉及的业务领域或部门,为合规义务落地(外规内化)做准备。
完成合规风险清单梳理之后,就要开始合规管理的第二阶段——外规内化,制作三张清单中的“流程管控清单”和“岗位合规职责清单”。这两个清单对应“铁打的营盘流水的兵”,其中的“铁打的营盘”是指流程、制度,流水的兵自然是指人了。
将合规义务在业务流程中落地,确保业务人员在流程执行过程中满足合规要求,这就是制作“流程管控清单”的目的。
从上图不难看出,流程管控清单是在合规义务/风险清单的基础上制定的,因此,该清单除去要包含合规义务/风险清单的关键内容之外,还需包含流程架构、流程名称、流程活动、流程管控要求等内容,以确保合规要求真正地在流程中落地。
虽然在上图中是将“流程管控清单”和“岗位合规清单”是同步制作的,但在实际操作中,“岗位合规清单”的制作还是对“流程管控清单”有一定依赖的,这主要体现在岗位与流程角色、流程活动的对应关系上。
理论上来说,完成流程管控清单之后,可以生成“岗位合规清单”,但现实世界总有各种各样的“不理想”,比如岗位与流程角色、流程活动的对应关系不完善,角色命名不规范等问题,所以“岗位合规清单”还是需要大量的人工操作的!
3、落地“合规三清单”
以上这些工作完成之后,合规“三清单”的Paper Work就基本完成了,也可以说体系化开展合规管理的第一步已经迈出,接下来就要落地合规三清单。
岗位合规清单:针对人的清单,就要让该知道的人清楚要求,培训、考试、签署承诺书这三板斧。在合规风险发生时,这三板斧是区分该合规风险到底是个人原因还是企业原因的关键依据。
流程管控清单:流程的重点在于落实,通过流程遵从性测试、流程检查等工作,确保流程执行到位,并对流程不遵从情况分析根因,优化流程,对违规人员进行问责等。
合规义务/风险清单:这个清单虽然不需要执行,但是这个清单是另两个清单的源头,需要持续更新,并触发其它两个清单的刷新。这就需要例行审视外部法律法规的更新和内部业务的变化,并例行刷新合规义务/风险清单,这个例行建议是“季度”。
说完这些落地之后,不难看出工作量很大!!尤其是例行的维护。
这时候就需要开发合规信息化系统:
一个好的法律数据库监控外部法律的更新,一个聪明又务实的AI工具帮我们读法律、法规,总结合规义务;一个好的合规应用架构关联三张清单以及流程管理系统、法律数据库等,在法律/法规变化或者业务变化时,刷新流程管控要求和合规岗位清单,并刷新落地要求,如重新培训、考试、签署承诺书。
部分来源:合规风
本文仅作分享,作品版权归原作者及机构所有,如有侵权请联系,我们立即更正/删除
-----------------------
合规网信息化服务
合规网可为企业量身定制合规风险数据库并嵌入其内部管理网站平台,运用信息化手段将合规要求和风险防控措施嵌入流程,贴合企业现有的工作场景和一线管理诉求,利用合规网大数据信息,可以支撑赋能企业现有的信息化平台,将合规数据融入/应用于业务流程管控和相关功能模块,助力企业实施合规信息化建设,提升企业合规管理能力。同时将适用法规标准、典型案例等纳入系统,并根据企业自身情况,定期推送合规义务清单及合规资讯文档,在线管理合规数据,提高工作效率。
企业案例:https://mp.weixin.qq.com/s/cUcDJKsVx5biV08WHTITWw
自主竣工验收
清洁生产审核
排污许可核查
