本指南系企业合规管理建设的指导性文件,请各企业结合本 单位实际情况,参照执行。
一、研判企业合规环境
1.企业合规管理体系建设,是为有效防范合规风险,将“合 规要求”嵌入企业经营管理活动,并为之构建一个有计划、有组 织的特别管理体系的过程。
2.建立企业合规管理体系,应结合企业自身特点,不盲目借鉴其他国有企业做法,围绕本企业重点工作开展合规建设,杜绝套路化、程式化,不搞华而不实。
3.企业合规管理体系建设的有效路径,包括评估合规风险, 搭建合规组织架构,明确合规管理职责, 完善合规管理制度, 运行合规管控机制,组织合规能力培训,强化合规文化意识等。
4.建设企业合规管理体系,首先要划定建设范围,明确建设 集团合规管理体系,还是单个公司合规管理体系(集团合规管理体系,可以在集团总部和集团各下属公司或特定下属公司内施行;单个公司合规管理体系,仅在公司及分公司范围内施行), 同时,还要明确是建“大合规”体系,还是建某一项或某几项的专项合规体系。
5.企业选择在哪些领域开展合规建设,重点参考本企业当前 合规工作的成熟度、合规风险发生的可能性、发生后的可能后果、 过往发生的案例,同行发生的案例以及监管最新政策提及的合规 重点等因素,据此确定合规建设的领域。
二、制定实施方案
1.实施方案是企业建立合规管理体系的指导性文件,既可以 由企业合规部门制定,也可聘请外部专业机构协助制定。
2.实施方案内容主要包括合规管理工作的基本思路、主要原则、工作目标、组织领导、主要任务、实施步骤、绩效考核、监 督实施等。
3.实施方案制定的核心是根据企业管理现状和业务情况,找到推动本企业合规体系建设的有效抓手(包括但不限于合规风险 库、合规职责清单、合规联络员制度、合规审查机制、合规检查 机制、合规流程管控清单、合规文化塑造等),以2-3个工作抓手作为贯彻实施方案的重要内容,推动合规管理走深走实。
4.实施方案的制定要根据实际情况,将工作任务落实到部 门、岗位,工作职责要具体,工作期限要明确,与责任人的绩效 考核要挂钩。
5.实施方案可单独制定,也可以与内控体系建设方案、全面 风险管理体系建设方案等合在一起制定,即法务、合规、内控与 风险管理一体化实施方案。
6.制定合规、内控、风险一体化实施方案,应注意合规管理、法务管理、内部控制的不同发展程度,突出各自不同的作用。合 规管理重在监督,法务管理重在效率,内部控制重在制衡,风险 管理重在权衡。
三、搭建管理架构
1.合规管理架构应该将有关合规管理过程中所涉及的人、组 织、事项统一安排,需将企业内负责合规职责的人员或部门用书面形式固定下来,并将其与其他人员和部门尽量分开,保持合规独立性。
2.合规组织架构应当自上而下搭建,建立多层级的企业合规 组织,治理层包括党委会、董事会、经理层、合规委员会,治理 层之下是“三道防线”,即,各业务部门及其职能部门是第一道防线,负责本领域的日常合规管理工作,对企业合规负首要责任;合规管理部门是防范合规风险的第二道防线,也是合规管理体系 建设的责任单位;内审和纪检监察部门在职权范围内履行第三道 防线职责,也是企业合规的最后一道防线。
3.合规管理委员会通常在董事会中设立,由具备法律、财务、 人事管理背景的董事组成,也可以与企业法治建设领导小组等合 署,还可以审计与风险管理委员会、风险管理部等形式出现。无 论以何种形式,其性质都是企业合规管理体系的最高负责机构, 负责公司合规管理的总体部署、体系建设及组织实施。
4.首席合规官是企业的合规负责人,负责企业合规管理工作 具体实施和日常监督,首席合规官的主要工作是领导企业合规部,向合规管理委员会或董事会汇报,对企业合规管理工作负首要岗位职责(岗位职责主要包括参与企业重大经营决策,提出合规审查意见和建议;领导合规部,完成主要的合规管理工作;指导业务部门和子企业的合规工作)。
5.合规管理人员是各业务部门的专职工作人员(可兼职), 负责落实各项合规工作,监督部门内部员工合规情况。这部分人 在履行合规职责时,须保持一定独立性,其履职行为应向合规负 责人报告,是保障“将合规嵌入业务”的必要条件。
6.合规管理涉及的各层级机构或人员,其合规职责须以适当 形式予以明确。要区分合规职责的牵头部门和主责部门。牵头部 门是合规管理的直接归口管理部门,各业务部门是合规管理的责任部门。
四、评估合规风险
1.合规管理的前提要认识和评价风险,企业要建立和坚持合 规风险评估制度,搭建涵盖收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进等工作闭环,实现风险识别、分析、评价、处置一揽子目标。
2.合规风险评估要重点把握风险识别、风险分析、风险评价 三个环节。风险识别的结果要形成合规风险信息库;风险分析要 对合规风险发生的原因、来源、发生可能性、发生影响后果等四 个方面进行定性或定量的分析,形成合规风险分析表;风险评价要对经过定性或定量分析过的风险进行排序、分级,形成合规风 险矩阵及底线合规风险清单。
3.合规风险识别,是发现、收集、确认、描述合规风险以及 整理和存储合规风险信息的过程,包括对风险根源、风险成因、 风险事件及潜在后果的识别。
4.合规风险评估的成果,应形成一套完整的企业合规风险 库。合规风险库应根据合规工作的发展不断完善、不断修正,同 时要定期维护更新。
5.合规风险评估工作要明确由谁或哪个部门负责,一般应由 业务部门或风险产生部门先自行识别各自合规风险,然后由合规管理部门进行鉴定、归纳和总结。
6.合规风险评估在合规管理体系建设中,可作为一项专门的 工作来执行,也可与其他合规管理体系建设阶段工作同步进行,如业务事项梳理、合规制度制定等。
五、制定合规制度(合规手册)
1.合规管理制度是合规体系建设的重要抓手,合规管理制度 包括合规管理的一般性规定,即合规管理办法或合规管理实施细 则等,也包括为推动合规运行的专项规定,无论是大合规还是专 项合规,都宜采取制定合规制度(手册) 的形式。
2.合规手册是企业关于遵守所适用的法律、法规等规范要求 的总体性、纲领性、概括性的规范性文件,旨在向企业全体员工 传达企业的合规遵从态度、合规原则,为员工提供企业合规工作的全景图,员工能够依据合规手册中的内容及指引,掌握基本的 合规知识,指导企业合规工作的开展,确保业务开展合法合规。
3.合规手册作为指导企业合规工作开展的基本文件,有必要 与风险管理、内控管理、财务管理等企业管理基本制度规范做合 理的分工与衔接, 融合转化,使企业面临的风险都能得到有效管理,合规手册必须与企业业务相结合,在业务开展所依据的流程上,要嵌入合规手册中规定的合规管控点,将合规管理要求转化为流程中的要求,明确流程中各方的合规管理职责。
4.大合规是企业都要制定的合规管理制度及其实施细则, 一般由本制度的目标和适用范围、相关的组织架构和岗位职责、合规工作程序、合规工作评价、考核与监督问责等模块组成。专项合规包括按业务条线进行拟定的规定和按部门法域进行拟定的规定,需要与业务流程及规章制度的适用结合起来,杜绝脱离业 务操作、与业务运行不关联,宜由熟悉业务流程的合规工作人员与熟悉合规工作的业务人员相互配合制定。专项合规根据企业需要制定,需要一个制定一个,成熟一个颁布一个,不一定所有的都要一次全部制定齐全。
4.1 劳动用工合规管理。劳动用工的合规风险主要体现在劳动合同的签订、履行和解除三个环节,签订过程中的主要风险为签订无固定期限劳动合同的风险,履行过程的主要风险为职工调岗的风险,解除的风险主要是发生劳动争议。合规管理重点是要合理确定签订劳动合同的期限、完善落实调岗程序、依法解除劳动合同、严格履行程序性规定、预防疫情相关的劳动争议等。
4.2 安全生产合规管理。安全生产的合规风险主要是出现安全事故、造成人员伤亡和财产损失、违反安全法律规章制度等。合规管理重点是制定企业安全生产管理制度、开展安全生产培训、强化物防人防技防措施、识别处置安全隐患、建立安全闭环管理等。
4.3 知识产权合规管理。知识产权的合规风险主要是研发风 险(如,未进行全面检索、合作研发权属约定不明)、申请及维护风险、专利商标权效力风险、权利人不明确风险、商业秘密泄露风险、侵犯知识产权风险。合规管理的重点是建立完善的知识产权制度、借鉴行业规范指导本企业知识产权建设、加强对员工的知识产权培训及管理、在日常业务中关注知识产权保护避免产生争议。
4.4 环境保护合规管理。环境保护的合规风险主要是涉及大 气水固定废物污染、环境污染犯罪、环境侵权(如,破坏历史风貌)等。合规管理的重点是有效识别企业所在地对生产经营的环 保义务要求、做好项目环保可行性研究、制定环保合规管理制度、建立有效运行的环保生产机制、加强环保生产文化建设、控制主要污染物总量、落实“双碳”战略等。
4.5 招标投标合规管理。招投标的合规风险主要是不具备招 标条件进行招标、应招未招、排斥或限制潜在投标人、资格预审 不合理限制、招标人擅自终止招标、招标单位人员泄露保密信息、虚假招标等。合规管理的重点是加强招标人道德教育增强风险意识、加强前期项目审查把关、建立科学的招投标合同管理体系、控制好合同履行风险、招标形式以公开招标为原则邀请招标为例 外、把好招标文件制定关、遵守招标程序等。
4.6 税务合规管理。税务合规的合规风险主要是缺乏健全的 税收风险内控机制、税收法律法规政策更新快导致各地执行标准 不统一、并购重组关联交易等复杂交易导致的风险、征收方式演 变导致的风险等。合规管理的重点是建立健全税收风险管理体制、加强员工税务知识培训、建立税务内部评价与反馈机制、选择适合公司业务的财务管理系统、建立完善的公司财务制度等。
4.7 网络安全与数据合规管理。网络安全与数据的合规风险 主要是网络安全与数据安全体系不完备、数据处理流程不够规 范、个人信息保护不充分、数据安全保障能力不足等。合规管理的重点是完善组织结构及职责、规范数据处理、强化个人信息保护、提高数据安全保障能力等。
4.8 反商业贿赂合规管理。反商业贿赂的合规风险主要是各种商业贿赂行为,通常有给付货币类、交付实物类、提供财产性权益类等典型表现方式,商业贿赂既可能是违法行为,也可能是犯罪行为。合规管理的重点是建立反商业贿赂合规管理机构,明确国有企业主要负责人、党委和纪检监察机构、首席合规官、合规管理部门的反商业贿赂职责,建立健全商业贿赂举报、风险事件报告、业务招待规格明细、员工反商业贿赂管理定期培训、反商业贿赂财务和非财务控制制度等。
4.9 国有企业并购合规管理。国有企业并购的合规风险主要 是未履行审批程序、未履行审计评估程序、未通过产权交易机构 进行产权交易等。合规管理的重点是建立企业并购类制度、建立 投资并购类机构、规范企业并购流程、严格把好参股与控股关、强化投资并购合规培训等。
4.10 反垄断合规管理。反垄断的合规风险主要是签订垄断 协议、滥用市场支配地位、违反规定实施经营者集中等。合规管理的重点是对内建立企业反垄断合规制度、机构、队伍以及内部 举报奖惩制度,开展反垄断合规培训,对外建立承诺制度、宽大制度,积极配合开展反垄断调查等。
六、搭建管控机制
1.合规管控机制是合规管理的重要机制保障,是形成和贯穿于企业合规管理过程中的各种管理控制手册,合规机制应成为动态的、局部的合规制度。
2.合规管控机制包括合规联席会议机制、合规咨询机制、合规审查机制、合规检查机制、举报受理与调查机制、合规报告机制、合规风险跟踪机制、合规岗位履职监控机制、合规第三方尽职调查机制等。
3.对于合规管控机制的表现形式,可以专门拟定系列规章制度或体现在某一合规管理基本制度内,也可体现为日常的合规工作或合规表单及流程。在具体操作中,也可将多个管控机制进行联合,形成合规管控流程清单。
4.合规管控机制要确保合规制度或合规指引在企业内实施的动态贯彻,应精心设计,并按管理控制理论的基本办法,保障其在企业内能得到真正实施。
5.管控机制的设计应当与后续的实施相对应,关键在于推动机制有效实施,设计时应充分考虑企业当前实际的管理手段和管理文化,建立符合企业自身实际、可操作便执行的管控机制。
七、设置举报途径
1.合规管理的一个重要功能是能够发现、惩治不合规的行 为,故应建立高效的不合规问题举报受理制度和处理程序,拓展问题发现渠道,及时调查处置不合规行为。
2.公司应制定统筹合规举报工作的管理办法,并将合规举报 途径融入其他合规管理领域,管理办法应对举报定义、举报途径、举报的行为范围、举报处理流程、举报奖惩、举报的保密保护和反打击报复,以及恶意举报等内容进行规定,并将合规举报人信息保护作为关键合规控制点,在具体流程和系统设计上将举报人信息保护作为首要原则。
3.常见的举报途径包括热线电话、电子邮箱、信件等,为实现举报行为的有效执行,应对举办线索筛选并进行分类管理,加强举报日常宣贯和咨询,做好对举报人保护和反打击报复工作。
4.对于举报,应配套对应的调查程序和调查方法,调查要坚持独立性、保密性、合法性三个基本原则,采取文件审阅、实地调查、信息检索、合规访谈等灵活多样的调查方法,若发现违规 行为,则应给予相应处罚、采取纠正措施、制定整改方案,确保调查闭环管理。
八、开展合规考核评估
1.对企业合规管理体系的有效性进行评价,也是企业的合规义务,通过对既有合规制度的目的、执行过程、效益、作用和影响所进行的系统且客观的分析,以确定预期的目标是否达到、规划是否合理有效、通过分析评价找出成功失败的原因和总结经验教训,不仅是完善企业合规制度的必由之路,也是企业合规建设的必然要求。
2.应制定合规管理绩效考核办法,内容包括考核对象、考核内容或考核指标、考核形式、考核结果应用,形成考核工作闭环,推动合规管理在实施中改进、在改进中提升。
3.合规管理运行情况评价,一般由股东会组织开展或委托外 部机构开展。评估对象为公司董事会、监事会、高级管理人员、合规负责人、合规管理部门以及各部门、各层级分公司和全体工作人员。
4.合规管理评估内容包括对合规管理环境的有效性评价、对合规管理职责履行情况的评价、对合规管理制度与合规运行机制、合规保障机制建设情况的评价等内容。
九、建设合规化
1.合规文化是企业文化的重要组成部分,是实施合规管理的基础和载体,合规文化建设致力于促进员工自觉自愿的建设企业合规体系,构建科学的合规体系并培养合规意识,有助于员工养成合规化的习惯,避免合规风险。
2.企业应对合规文化建设进行顶层设计,对合规文化形成的实现形式进行全面策划,营造浓厚的合规文化氛围。
3.要加强合规文化培育,充分利用企业党委理论中心组学习、开展“八五”普法工作、经营层专题研究法务会议等载体,定期开展合规管理专题学习。同时,建立新入职职工合规知识学习和考核制度,在干部任前谈话、工作述职、任期考核等环节设定相应的合规方面的内容。
4.可通过定期制发合规倡议,重要节点、重点工作签署合规 承诺书,组织相关人员举行合规宣誓等方式,不断增强合规意识,提高合规自觉性。
5.要加强合规宣传工作,将合规宣传融入企业宣传工作规划,通过有效的合规宣传达到企业内部人人关心合规工作、自觉遵守合规制度,企业外部了解企业合规文化的目的。
十、建设合规信息系统
1.企业要建立高效的合规管理信息系统,合规管理信息系统可以开发单独的系统,也在现有管理信息系统中增加合规管理模块。
2.合规管理信息系统可包括静态的合规制度、合规义务与合规要求清单、合规风险清单等,也应包括动态的合规培训、合规审查流程、合规检查流程、合规履职状态记录等,同时,合规管理信息系统应逐步实现合规风险的动态监测,合规履职的自动化评价,合规报告的自动生成等功能。
3.要建立数字化信息库,如:构建合规风险数据库、合规制度库、典型案例库等,使合规管理有数据可查,是模型运作、大 数据分析的基础,为合规管理提供数据支撑。
4.要把合规管控信息嵌入流程,加强与业务部门信息系统有机融合,围绕监管规则和制度要求,将违规风险点内化为系统控制规则,将合规管理信息化系统与其他业务信息系统互联互通,各取所需,推动一道防线自查自纠、自我完善,使合规分析按条 线、分模块进行,提高合规分析的精准度。
5.建立动态监测预警系统,对重点领域、关键节点,特别是合规风险事件频发领域,通过高级算法和模型进行实时动态监测,挖掘大数据信息,实现精准洞察和提前化解违规风险。