浅论构建企业合规管理体系之要点

浅论构建企业合规管理体系之要点

于恒兵  ,时伟

广州理工学院企业合规研究中心 510640东莞铭普光磁股份公司 510640

                         摘 要

根据合规管理体系的国际标准、国家标准，一个完整、有效的合规管理体系至少包含七块内容，本文探析了实现上述架构要求在操作层面需要重视的十个要点，并从企业治理实务的角度出发，提出了构建合规管理体系需要关注的六个重要方面。本文立足理论与实践结合，重在解决实际问题，为企业管理者提供了构建合规体系的一个新视角。

关键词：企业合规 管理体系  建设  要点

1993年11月，党十四届三中全会提出了以“产权清晰、权责明确、政企分开、管理科学”16字为目标的新型企业制度改革，为社会主义市场经济制度的确立夯实了基础。公司治理能力的不断提升为企业效益的提升提供了保障，而企业合规管理体系的建立是公司治理能力日趋完善的显著标志。关于企业合规管理体系如何创建的话题，学界有很多理论成果，企业界也有不少成功的做法。笔者认为，不同所有制的企业、企业发展的不同阶段对合规体系的要求是不同的，但是提供一套基本可循的框架性思路也是非常必要的，本文尝试在这方面作一个粗浅探讨。

一、合规管理体系的总体要求

根据国际标准《合规管理体系——要求及使用指南》（ISO/37301-2021）、国家标准《合规管理体系指南》（GB/T 35770-2017 ），一个完整的合规管理体系至少包含以下内容：高层领导的重视和承诺，合规方针，合规组织的角色、职责、权限，合规风险的应对措施，合规目标和实施策划，支持合规管理的资源，确认员工有合规能力的方案及实施记录、培训，员工对合规及不合规后果的认识、沟通，合规管理体系运行的策划和控制，内控流程，外包过程，绩效评价，管理评价，不合规事件发生的纠正措施、持续改进等。国际标准和国家标准是一种指导指南，非强制执行，企业的体量规模、发展的不同阶段、企业业务类型、企业价值取向都会对合规体系建设的具体内容产生影响，因此，实践中，合规体系建设要讲求“量体裁衣”，适合企业需求的才是最好的。

《合规管理体系——要求及使用指南》（ISO/37301-2021）明确有效性是指“策划的活动得以实现的程度和策划的结果得以达到的程度”。通过该定义可以看出，有效性包含两个层面的含义，其一是策划的活动实现的程度，其二是策划的结果达到的程度。因此，在衡量合规管理体系有效性时，需要同时考虑策划的活动和策划的结果两个层面的实现程度。实际上，策划是对组织建立、实施、评价和持续改进合规管理体系的策划，是在战略层面，通过调研和分析组织的内外部环境，正确理解相关方的需求与期望，开展合规风险识别、分析、评价基础上的组织合规管理顶层设计和安排。由此引出，合规管理体系的有效性，应当是所策划的建立、实施、评价和持续改进合规管理体系的活动按照既定方案实现的程度，和策划的合规管理体系预期结果实现的程度。预期结果指组织最初确立的合规管理体系要达到的目标，即组织要控制的合规风险和形成合规文化，通过合规管理体系的建立、实施、评价和持续改进活动，最终是否实现了有效控制合规风险并形成合规文化的目标。

关于企业合规体系建设，专业学者进行了许多有益的探索。各种解构与分析丰富多彩，摘其要者简介如下。（1）一个引擎说：这个观点认为不同企业的合规目标是有差别的，在建立合规体系前，先着眼于聚集企业的核心合规目标，并将这个核心目标作为引擎，推动整个合规体系中各种合规要素的聚集；（2）两轮驱动说：以合规价值观为基础，以合规制度为载体，同时推动和优化企业合规体系建设，此观点强调了合规价值观在合规体系建设中的作用，有利于合规制度建立后得到全员主动有效地执行；（3）三个关键说：此观点指出构建合规体系关键在于人财物三要素，此观点在于强调支持合规管理的资源有匹配与保障，务实性较强，但是人财物只是构建合规体系的保障，而不是合规体系本身；（4）四根柱子说：即把合规管理体系分解成组织体系、制度体系、运行体系、保障体系四个方面，这是从理论上对合规体系要素的归类，有一定的思维价值；（5）五要素说：即认为合规管理体系包括领导力、组织环境、风险评估、举报与调查、培训与交流，这个观点基本接近国际标准和国家标准提供的合规建设指南；（6）六个步骤说：即认为合规体系建设的过程按风险识别、组建团队、建立制度、运行流程、评审改进、培育文化六步走，对建立企业合规体系指导性较强；（7）七个及时说：指出企业合规体系建设应坚持内外环境及时认知、合规义务及时识别、合规风险及时评估、应对措施及时策划、公司制度及时跟进、苗头风险及时处置、合规体系及时改进七个原则。

二、企业合规管理体系的主要内容

（一）《合规管理体系指南》的规范框架要求

根据国际标准《合规管理体系——要求及使用指南》（ISO/37301-2021）、国家标准《合规管理体系指南》（GB/T 35770-2017 ），建立并持续改进合规管理体系其基本框架包括如下七个方面要求：一是企业建立和运行什么样的合规管理体系；二是企业合规管理领导机制与职责分工；三是合规策划（合规计划）；四是实施计划；五是合规绩效管理；六是合规体系持续改进；七是合规管理体系运行保障。

（二）将上述架构要求重新组合丰富为十个要点

1.理解组织所处的内外环境。首先要了解和掌握企业生产经营所处的国家法治情况、文化、风俗、经济等，以及企业自己的活动内容、产品、服务等；其次要了解和掌握与企业密切联系的相关方和他们的要求和期望，然后确定企业合规管理体系覆盖的范围和建立什么样的合规管理体系。
    2.建立合规方针。合规方针是企业实现合规生产经营管理的总原则和合规行动承诺，源于企业适用的合规义务，企业确立的合规方针应与企业的核心价值观、目标、战略保持一致，以通俗易懂的语言表达，便于企业所有员工都能够容易地理解。它是企业合规管理体系建设要实现的总体目标。后面的各要素均为此目标而设计。
    3.识别合规义务。企业推进合规管理体系要通过合规管理活动来实现，从企业的发展战略、产品服务、市场范围去识别企业需要遵循的合规义务及其影响，并且根据企业外部合规义务的更新、企业合规承诺的调整，与时俱进的动态维护企业需要遵循的合规义务范围。
    4.评价合规风险。这是企业建立合规管理体系的基础，将合规义务与企业的生产经营活动、产品、服务和运营的相关方面联系起来，识别不合规的来源、场景，分析原因、后果和发生可能性，确定合规风险处理的优先级，合规风险的识别、分析、评价是策划需要实施的控制及其程度的基础，并且根据企业外部合规义务、第三方变化和企业内部战略、组织结构、产品服务、生产经营活动变化等情形，企业对合规风险进行再评估。
    5.合规领导与组织。通过推进企业合规管理体系的核心和顶层设计，建立有效的合规管理体系离不开企业治理机构和最高管理者的直接领导和积极承诺。合规组织是从治理机构、最高管理者、合规管理部门、业务管理部门、员工的合规职责、角色的安排，实现全员、全专业、全领域的合规责任覆盖。
    6.合规风险控制策划。实现合规方针、控制合规风险的合规风险防控策划，设定与合规方针一致、可测量的合规目标，对应合规风险优先级，策划合规风险防控措施、措施效果评价，并落实责任人。
    7.建立控制程序与运行。此乃企业实现履行合规义务与防控合规风险的过程。为保证企业生产经营管理行为遵循合规义务，落实合规策划，将合规义务转化内化，整合到业务制度，将合规风险防控措施植入企业业务管理体系，并被执行起来，实现预期的合规目标。
    8.合规效果监测评估。这是动态管理合规管理体系是否有效和合规目标实现的关键环节，合规效果监测评估包括监视、测量、分析、评估、合规审核、管理评审等内容，目的在于时刻关注合规管理体系对企业合规情况管理的控制效果和实现合规目标的情况。
    9.管理不合规并持续改进。作为合规管理体系持续有效的重要工作方法，对发现的不合格和发生的不合规，及时采取纠正措施，并在企业内部保持畅通的向上报告至最高管理者、治理机构、合规管理委员会的报告机制，及时识别合规效果改进机会，持续保持合规管理体系的适用性、充分性和有效性。
    10.合规工作保障。提供企业实现合规的所有支持，这样的支持包括财务、人力资源、外部建议、专业技能、组织基础设施、合规知识资料，开展合规能力建设和培训，培养合规意识，最高管理者支持，培育合规文化，加强内外沟通与宣传，制定必要的合规管理制度文件、合规管理记录等。

三、构建合规管理体系需要关注的重要问题

在探索合规管理体系的基本路径方面，risk-doctor（2021）提出了“合规管理体系建设12步法”的思路；丁继华（2020）归纳了合规管理体系建设“六步法”；岳亮＆何如（2020）提出合规体系建设要围绕决策、制度、生产三个环节进行。国标指南不仅在合规建设内容上具有灵活性，在路径上，企业也可以根据自身需要进行选择。为此，笔者认为构建合规管理体系必然在战略上予以重视，以科学而又完整的制度体系、运行体系、纠偏体系、保障体系作为支撑，才能保证合规管理体系实现既定从价值目标

（一）科学的决策和明确的战略安排是前提

国资监管部门通过层级式的《合规管理指引》，可以要求其所出资企业强制执行，但就国企之外的其他主体而言，并无强制性的合规体系建设的要求。企业原有法务、风险、内控等部门许多已运行多年，现在再建设合规体系，是否需要建设？如何处理与原有职能部门的关系？都需要有一个前置的决策，且兹事体大，往往还应该纳入企业的中长期战略规划进行统筹考虑。决策的主体是放在经营层层面，还是上升到董事会层面，也会直接影响合规体系建设的有效性。

（二）组织机构和专业人员的到位是保障

包括以下几个层面：一是领导机构的确定。国际上经常的做法在董事会下设合规委员会，我国央企之前以总法律顾问牵头法务工作，向企业主要负责人汇报工作，一段时间曾提升了企业法务工作的重要性。现在的合规工作，是设置首席合规官，还是由原法务、风险等负责人兼任，各企业由于领导体制的不同也会有所区别。二是合规机构的确定。是成立专门的合规部，还是与原有的法务等部门整合职能合并办公这也是需要考虑的现实问题。三是专业工作团队数量和质量匹配，这是基本的保障。

（三）职能和机制到位是条件

在合规体系建设快速推进的社会形势下，企业内部的合规职能将会得到充分重视，合规的职能与原有其他“防火墙”部门的职责如何划分是合规体系建设需要优先解决和明确的问题。源于金融部门的“三道防线”已越来越被普遍接受（三道防线：第一道防线是核心业务部门作为风险管控的第一责任机构，第二道防线是包括合规、法务、风控、财务、人力、质量、安全等支持职能部门，第三道防线是指审计、监察等保证职能部门），可以作为合规体系分层职能确定的参考。

（四）对合规现状的全面诊断、合规义务的梳理是重点

收集汇总现有合规文件，全面排查业务合规情况，梳理企业合规义务。组成专门工作班子全面调查企业合规管理现状，对标优秀企业初步提出合规建设优化的方向；从业务制度和流程入手，识别和诊断企业现有的业务流程和控制标准，分析其合规的有效性程度。本阶段的工作成果以《合规诊断报告书》体现。

合规义务是指企业强制性地遵守的需求，以及企业自愿选择遵守的需求。企业宜将合规义务作为确立、制定、实施、评价、维护和改进其合规管理体系的基础。强制性遵守的要求包括：法律法规；许可、执照或其他形式的授权；监管机构发布的命令、条例或指南；法院判决、指导性案例和司法解释或行政决定；强制性标准；条约、公约和协议；本企业应遵循的价值标准等。在适当的情况下，工作专班应建立并维护一个单独文件或汇总表报，列出其所有合规义务，并建立定期更新、报告该文件的动态变化过程。

（五）内外部培训和宣传是合规文化生长的土壤

合规培训和宣传应贯穿合规体系建设的始终，也是企业合规体系建设的有效手段和组成部分。合规培训不仅促进了企业合规文化的培养，也会使合规体系建设的成果及时到达全员。合规培训可以分为四个层次：针对全员的合规基础培训、针对中高层的合规责任培训、针对具体业务领域的专项合规培训、针对业务伙伴的第三方合规培训。培训的形式要求多样化、灵活便捷。合规宣传应结合公司的具体业务和产品，落实部门和人员责任，注重实效，并建立考核和激励机制，纳入合规体系有效性评估的范围。

（六）有效性评估是纠偏、改进的必要环节

有效性评估可以用来衡量合规体系建设投入与产出、期待价值与实际实现价值匹配情况的标准，起到及时纠偏、持续改进的目的。有效性评估主要有合规监控、审计、管理层评审三种方式。评估指标体系总体上应包括纵向和横向两个维度，纵向上主要包括“组织体系、制度体系、合规运行、合规保障、其他指标”等要素，横向上主要包括“设计、执行、效果、改进”等要素。目前部分评估指标框架不够严谨、科学，评估调查不够深入，评估的技术手段不足。除央企和金融部门有一套相对完整的评估体系外，全社会层面的有合规有效性评估体系还有待建立。

参考文献：

［1］谢惠敏.国有企业建立合规管理路径中应抓好四个关键点［J］.全国流通经济，2018，（17）：34-36.

［2］张宝增.企业合规管理体系的建设探究［J］.中外企业家，2020，（10）： 41-42.

［3］郭丽娜.关于完善现代企业制度体系建设的实践与研究［J］.全国流通经济，2020，（30）：40-42.

［4］耿丹，孙江东.企业合规制度探析［J］.中国市场，2022，（10）：98- 100+103.

作者简介：一作：于恒兵，1966.06.25；广州理工学院企业合规研究中心主任，博士，高级经济师，研究方向：公司治理，企业合规

二作：时伟，1986.09.01；东莞铭普光磁股份公司大客户销售总监，硕士，高级合规师，研究方向：企业营销，企业合规