如何建设合规管理体系,才能保证合规管理的有效性?或者说,合规管理体系具备哪些要素,才能保障企业合规经营,满足监管要求?这是合规管理项目成功的关键。
通过分析发达国家、国际组织以及我国合规管理体系建设的国家标准和相关指引文件,我们提炼出合规管理体系的八项关键要素,以便于企业明确合规管理体系建设的方向与路径。
- 1 -
领导作用
合规管理乃是企业整体性、系统性的关键之举,对于企业领导者而言,其责任显而易见。领导者首先须深刻认识并致力于遵守法律法规,同时投入适当的资源以确保有效执行,从而实现企业的持续稳健发展。在拥有董事会的公司结构中,应任命专门负责此议题的董事。此外,应设置专业部门或专业团队(如合规官)来执行相关任务。在此过程中,合规主管或首席合规官应具备定期向企业领导者或董事会汇报合规状况的职责。
然而在实际操作中,仅凭高层声明并不足以推动合规管理。若高管对合规承诺的认知不足,甚至持相反立场,将对合规管理产生极为不利影响。比如,高管在公开场合肯定其对合规的重视,但私下却对员工纵容违规,甚至干脆鼓励某些不合规定的行为,这无疑将颠覆企业的合规文化。这种情况下,非但不能助推合规减免处罚机制的实行,反而可能致使处罚加重,提升损害赔偿成本。
- 2 -
组织机构
通常,企业需指定至少一位合规官作为合规工作的统筹者,并组建由首席执行官(CEO)、财务总监(CFO)、人力资源总监(HRD)、首席运营官(COO)等高层参与的合规委员会,负责制定重大合规策略。
企业领导阶层必须为合规官提供必要的资源授权。首先,领导者应赋予特定员工负责任务运作的职责;其次,为了更好地运作这些职责,揭示管理者应该提供充足的资源、适当的权利以及直通管理层的通道。
实践中,公司领导人将发起并成立合规委员会,集合各一线部门领导或副总裁级别的成员,为公司合规管理体系建立提供智库和资源支援,他们需要担纲策划者、倡导者甚至支持者等多种角色。同时,根据公司实情,包括适用规则、业务规模、生存阶段、人力资源等因素来决定是否设置首席合规官,或由法律事务负责人代为行使,负责领导相关部门开展合规管理工作。各个部门的精英人士将会成为合规职能团队的一员,接受合规部门的指导,确保合规管理体系的顺利实施。而在这个最高层次的合规委员会里,各一线部门领导亦有权在其擅长的领域组建更为细分的合规委员会,向更高级别领导人汇报。
此外,针对某些法律条文及行政法规含有特定行业合规与组织机构要求的部分,企业应根据具体情形,权衡自身业务现状、未来规划和资源状况作出相应部署。例如,《网络安全法》要求网络运营方须设定网络安全责任人;《数据安全法》要求对重要数据的处理者明确数据安全负责人和管理机构职位;而《个人信息保护法》则要求处理个人信息超过一定数量的个人信息处理者应指派个人信息保护责任人。
-3-
风险评估
合规风险评估构成了企业构建合规管理体系的坚实基石,它是有条不紊地分配适宜且充裕的资源,以及有效管理已经觉察到的合规风险的基础核心。
对于那些在过去积累有深厚合规经验、具备丰富合规资源的企业来说,在进行合规风险评估时,应特别注重以全生命周期管理作为评价的时间标尺,将全面业务覆盖视为评价的事件范围,同时用繁复的办理流程串联起评估、控制、归档以及审计等关键环节。在此过程中,合规事务的主要负责人或是首席合规官在评估环节或控制阶段,拥有对违规现象的一票否决权力。
然而,对于刚开始投身于合规业务建设、合规资源相对匮乏的新创企业来说,精准覆盖关键业务领域的合规评估显得尤为关键——需要明确辨识这一领域可能引发的刑事法律责任、行政法律责任及民事法律责任(尤其要重点关注是否存在潜在的其他主体提起集体诉讼的情形),准确揭示风险敞口、及时发出预警信号,并且为合规操作提供正确指引。
-4-
制度流程
在日常企业管理工作中的各个领域,能见到诸如制度类文件、流程类文件、指引类文件以及办法类文件等等不同类型的管理文件,这些文件共同构成了制度与流程体系,为企业的正常运转提供了必要的支持与保障。每一份由企业依据其独特的管理需求所制定的规章制度,皆可被纳入到这一庞大的框架之中进行统一管理与监管。
在进行制度与流程设计时,务必关注与实现企业义务和面临风险之间的密切关联,同时应确保文件的通俗易懂性。绝不能将法律法规的全部条款完全照搬至文件内容之中,尽管必要地引用是允许的,但仍需对相关法规进行详细阐述乃至事例分析,从而确保广大阅读者能够深入理解并掌握文件的各项内容。
通常而言,制度与流程文件不仅针对企业内部员工,还可能对其供应链中的上下游供应商产生影响,因此在起草各类相关文档时,务必要充分考虑到文件对外界合作方的适应性及其实际效力。
在实践操作过程中,企业可根据自身经营状况在全公司层级和各部门/业务单元阶层分别拟定相应的合规管理制度,同时以动态管理模式进行调整优化,即根据外部法律法规的变动、执行力度以及企业内部业务发展趋势进行适时调整与改进。
-5-
培训宣贯
教育与培训可采用多种方式确保实效性,如领导讲话、宣传海报制作、定制化培训项目及定期举行的合规比赛等。此举旨在通过教育培训传递公司推崇的合规理念,以正面态度引领员工及合作伙伴做出符合法规要求的行为。
实施策略方面,公司主动邀请外部权威机构进行合规培训,既满足内部人员能力提升的期望,亦能体现高管团队的合规承诺,如应急处置合规事件时,这便是减轻或避免处罚的有利因素。
持续开展合规培训,且不断更新升级,可划清普通合规管理和优秀合规管理之间的界限。具体而言,可以设立合规文化推进月、合规文化宣传周甚至合规文化体验日;通过屏幕保护程序展示合规知识要点;在外发电子邮件中强调合规承诺;发起合规培训课程设计比赛,激发全员参与活力;明确统一认识。
具备相应实力的企业,可以尝试在公司与上下游合作伙伴的定期会议(如年度渠道大会)上设置合规专题讲座,解答关于合规的困扰,同心协力共建合规环境。
值得重视的是,合规培训宣贯应以闭环式的合规考试考评为保障。若只采取单向的公司向员工传授内容,却缺乏对员工学习情况的反馈响应,合规培训效果将难以达到预期,不利于加深对于合规的理解及其文化建设。鉴于企业规模及用工现状各异,建议合理运用移动互联工具完成合规培训与考试,同步跟踪培训考试进展,鼓励相关工作者完善优化执行过程。
合规培训考试应对企业各部门管理工作全方位覆盖。考试结果将被视为衡量员工业绩的关键要素,影响到晋升、奖励等权益以及薪资待遇高低,从而激励人们更加重视合规问题。
-6-
合规审计
监控与审计旨在防范和管控企业因业务活动引发的违规风险,同时在风险事件发生后借助合规审计予以追溯。在部分重视合规管理的大型企业中,已有将监控嵌入运营流程的先例,即在业务活动之前通过审批和审查相关合规要素来预防和规避风险。而合规审查作为衡量合规管理体系有效性的主要参考指标,亦是辨识“纸面合规”的关键因素。因此,实现审查行为与业务流程良好融合,方能真正落实施规管理工作。
相较于一般的审计工作,合规审计更为专注于源于合规义务的审计行为,例如审核制度设计的合理性、制度及流程的执行情况、员工的合规意识等等,财务领域的内容并不占据中心地位。
实际操作中,合规审计既可由管理者发起,也可应法律或法规要求进行。例如,根据《个人信息保护法》,个人信息处理者需定期进行合规审计,以检验其处理个人信息是否合法、合规。对公司而言,确保合规审计的独立性和公正性至关重要。审计员应核实公司层面和某些特定业务能否制定出识别现行法律法规、政策、标准等各类适用规则的制度;评估各项控制措施是否普遍遵循或应用;最终给出被审对象是否合规的明确结论。若有条件,采用数字化工具和自动化技术辅助审计,以提升审计结果的精确度和公信力十分必要。
在面对审计发现时,企业应充分加以利用,將其视为合规管理持续完善的抓手,及时整治存在风险的业务领域,检查和补充制度流程中的不足之处,并对相关责任人进行问责。经过谨慎处理的审计发现案例,还可作为公司合规宣贯素材,以增强员工的代入感和接受程度。
-7-
违规举报
举报与调查乃是评断合规管理体系效益的核心标准。即使前端预防措施充分,亦难防偶尔出现违反合规要求的现象。因此,举报与调查机制显得至关重要,撑起坚实防线抵御合规风险。
举报工作旨在动员全体员工以及所有外部合作伙伴参与识别违规警告。所谓内部员工,即为公司雇员;而外部营商合作伙伴及第三方组织皆属于此范围之内。公开且透明的合规文化至关重要,有助于举报作用的发挥最大化。通常情况下,仅凭内部合规团队难以察觉业务末端的潜在风险,故全民参与方显诚意。通过强化职员教育,让他们明晰违规后果的严重性及合规责任,以便每位职工及合作伙伴均能监督合规实施。
接获举报后须立即启动内部调查程序。如若公司疏于察觉问题,待外部揭露后再行自查纠正,风险与损失则无法控制。尽早从内部找出问题,解决问题方为有效对策。举报与调查正好为此提供了解决之道。
实际操作中,必须构建报告与举报机制及完善通道,保证通报与举报的顺畅与安全,这既保证了合规要素的实效性,也侧面反映出公司高层对于合规承诺的执行成效。
公司应以官方网站公告或其他便于理解的形式公示举报路径。同时,通过合规培训、屏幕保护动画、审计部门邮箱签名以及宣传海报等手段,展开全面宣传。
如有条件,建议公司设立专项基金,根据案情对于提升合规管理水平的贡献程度,对证据确凿的举报者给予适当奖励,并公开奖励制度与执行流程。
-8-
激励处罚
在发现违规事项之际,企业须对其进行详细审核和研究,同时实施相应的处理策略,以确保公平、公正以及一致原则的贯彻。执行过程中,需严格按照既定的规章制度和工作流程进行。例如,可及时向员工宣传禁止行为及其对应的惩戒措施,以此确保员工对违规行为的后果有清晰的认识,并要求书面加以确认。对于各类违纪情况及处理方法的明确,应在内部培训课程中提供详细解释,让员工全面了解且进行签字确认。
在对涉事员工进行处分时,合规部门需与其人力资源部门通力合作,参考已有的惩罚政策和程序作为犯规行为的参照。在形成处理决定前,必须严格遵守企业规定的处置流程,给予当事方正当申诉机会,并与人力资源部门共同完成整个决策过程,留下完整的记录。
值得强调的是,实施合规惩罚并非充当对付员工的工具或者"备用方案",而是必须结合相关人员的违纪程度予以评估,并依据此评估结果作出相应的决定。倘若发现诸如重要滥用职权等严重违规行为,应立即解除相关人等的职务,甚至移交警方刑事追究。对于大多数轻微级别甚至非故意的违规行为,则可以采用教育提升或投入更多培训等途径进行处理。
实践证明,缺乏严格的追踪和处罚机制的合规管理,犹如无牙老虎,无法有效发挥作用。倘若责任者未受相应惩罚,将会对整体合规管理体系带来损害。
坚决根据合规制度落实相应的激励与处罚,及时就正面反面案例进行宣贯(对必要信息进行脱敏),不仅保障了激励与处罚这一合规要素的有效性,也从另一方面强化了公司合规培训与宣贯以及高层承诺的有效性。