引言
2022年8月23日,国务院国有资产监督管理委员会(“国资委”)公布了《中央企业合规管理办法》(“《办法》”),对中央企业进一步深化合规管理提出明确要求,《办法》一经公布便引起广泛关注。与2018年的《中央企业合规管理指引(试行)》(“《指引》”)相比,《办法》更加突出刚性约束,内容更全、要求更高、措施更实。
其中,建立科学合理的合规管理体系有效性评价机制,是《办法》强化中央企业合规管理要求的重要方面,也是中央企业进一步完善合规管理体制机制的重点方向。相比于《指引》仅在第22条提及“定期对合规管理体系的有效性进行分析”,《办法》全方位强化了对合规管理体系有效性进行评价的要求,明确规定中央企业应当定期开展合规管理体系有效性评价,针对重点业务合规管理情况适时开展专项评价,并且要强化评价结果运用。《办法》还明确了有效性评价工作由中央企业董事会负责,授权合规管理部门具体开展,同时,国资委负责对中央企业合规管理体系建设情况及其有效性进行考核评价。2022年9月13日,国资委召开中央企业合规管理工作推进会(“工作推进会”),会议提出,国资委将按照“五年一轮全覆盖”的目标,从明年开始正式启动中央企业合规管理体系有效性评价工作。同时推动中央企业定期对子企业进行评价,并将结果纳入考核。
在此背景下,为科学评价企业合规管理体系有效性,引导企业更好地开展合规管理工作,中国企业评价协会提出并组织相关社会团体及专家学者共同参与,编制了团体标准T/CEEAS 003—2022《企业合规管理体系有效性评价指引》(“《有效性评价指引》”)。该《有效性评价指引》于2022年10月12日正式发布并实施。《有效性评价指引》结合《办法》的新规定,对此前版本的评价维度进行了调整、评价指标进行了补充,对当前中央企业研究建立合规管理体系有效性评价机制具有重要的指导意义。
基于对上述法规、政策及标准的研究,结合既往央企合规管理实务工作经验,笔者从评价指标、评价实施方法及评价结果等方面,对《有效性评价指引》进行全面解析,以期为企业合规管理体系的完善、有效性评价机制的建立提供参考。
一、《有效性评价指引》解读
(一)评价指标体系
合规管理评价标准以ISO 37301国际标准为依据,结合《办法》的具体规定,以“全员、全域、全过程”全面合规为出发点,从合规环境评估、领导作用和资源投入、合规制度与运行机制、合规文化、绩效评估改进五个维度以及党建在企业合规管理中的作用,对企业的合规管理工作进行评价。每个评价维度下具体的评价指标,以及评价指标下的主要评价条款如下:
1. 合规环境评估(150分)
(1)内外部因素
企业是否制定规范去识别内外部影响因素;是否按照规范进行识别并形成分析结果;分析结果是否作为合规义务识别、风险分析的输入,作为建立合规方针、制定合规目标的依据;是否定期对内外部因素进行评估、更新。
(2)利益相关方的需要和期望
对于利益相关方合规性要求的识别,企业是否制定规范;是否按照规范进行识别并形成证据性文件;识别的相关方合规性要求是否作为后续的合规义务识别的依据;是否按规范要求定期对相关方的合规性要求进行了评估、更新。
(3)合规管理体系的范围
企业是否在规范性文件中明确了合规管理体系的覆盖范围;确定覆盖范围时是否有明确的依据;所确定的范围是否明确阐明了合规管理体系涉及的地域边界(如跨省、跨国)、组织边界(如分公司、总部)和业务边界(产品、过程、服务)。
(4)合规义务
企业是否制定了识别合规义务的规范;企业是否按照不同层级,从不同专业领域的职能以及组织性质等方面识别其合规义务;企业是否编制合规义务清单、合规义务清单是否涵盖了企业需遵守的强制性要求(例如法律法规等)和自愿性要求(例如环境承诺等),以及与企业密切关联的市场交易、财务税收、劳务用工等方面的活动;企业是否已经将识别出的合规义务融入合规管理体系;企业是否定期更新合规义务,等等。
2. 领导作用和资源投入(230分)
(1)最高管理层参与度
最高管理者是否通过参与合规管理体系的建设(包括批准纲领性文件、合规方针等)来践行合规承诺;是否以身作则,履行合规管理职责和义务,等等。这一评价指标回应了《办法》第10条的要求,即中央企业主要负责人作为推进法治建设第一责任人,应当切实履行依法合规经营管理重要组织者、推动者和实践者的职责,积极推进合规管理各项工作。
(2)合规管理机构的职能和资源
企业是否明确了独立的合规职能部门或设立了合规管理委员会;合规职能部门是否能够直接接触到治理机构和最高管理者;是否具有不与组织结构或其他因素冲突的独立性,在行动上能够不受垂直管理者的干涉;是否具有必要的资源,例如不受其他工作干扰的专职人员、能够独立支配的物质和经费、必要的技术等;企业是否明确规定了合规职能部门的职责和权限,等等。这一评价指标的设置契合了《办法》设立合规委员会(第11条)及合规管理部门(第14条)的明确要求,并进一步强调了合规管理部门履职的独立性和必要的履职支撑保障。
(3)管理者职责与绩效
企业是否明确规定了治理机构的合规管理职责和权限;是否明确规定了各层管理者在其职责范围内的合规方面的职责和权限,等等。这一评价指标对应《办法》第二章“组织和职责”部分对于董事会、经理层、业务及职能部门、合规管理部门、监督部门等的职责分工。
(4)合规管理信息化建设
是否能够结合将合规制度、典型案例、合规培训、违规行为记录等纳入合规信息系统;是否能够运用信息化手段将合规要求和防控措施嵌入业务流程,加强关键节点的合规审查;是否将合规管理信息系统与财务、投资、采购等其他信息系统实现了互联互通和数据共用共享;是否利用大数据等技术加强了对重点领域关键环节的事实检测,并实现合规风险及时预警、快速处置。上述评价条款全部源自《办法》第六章“信息化建设”的四条规定,完全回应了《办法》对信息化建设的强调和要求。
3. 合规制度与运行机制(260分)
(1)合规管理制度体系
企业是否根据使用范围、效力层级等构建了分级分类的合规管理制度体系;合规管理基本制度是否完善,明确了总体目标、机构职责、运行机制、考核评价、监督问责等主要内容;是否针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护、国际化业务等重点领域制定了专项合规管理制度;是否根据法律法规、政策监管、风险与机遇等变化情况及时对规章制度进行修订完善,并对执行落实情况进行检查。上述评价条款来源于《办法》第三章“制度建设”的相关规定和要求。
(2)合规管理机制运行
企业是否建立合规风险识别评估预警机制;是否建立合规审查机制;是否建立合规报告制度;是否建立违规问题整改机制;是否建立违规追责问责机制;是否建立协同运作机制。上述评价条款逐一对应《办法》第四章“运行机制”提出的机制建设要求。
4. 合规文化(130分)
(1)合规理念
企业治理层和高级管理者是否塑造了合规的企业精神和价值理念;企业管理人员是否从自身做起,践行合规文化理念,带头垂范,以身作则;企业是否承诺自上而下保持一致地实施合规文化。
(2)合规文化推广
企业是否通过发布合规手册、签订合规承诺等方式,加强合规宣传,强化全员合规经营意识;企业的员工是否能从情感和理智上认同企业合规文化,并作出认同的承诺;企业是否建立常态化合规培训机制,制定年度培训计划,并将合规管理作为培训必修内容。企业在关键职能人员的招聘、晋升时,是否将合规文化作为考察评估因素,等等。这一评价指标的设置与《办法》第五章“合规文化”中提出的相关要求相对应。
(3)员工职责与绩效
企业是否明确规定了员工应履行的合规职责;是否在绩效考核体系中考虑对合规行为的评估,并将合规表现与绩效挂钩;是否对企业涉诉量下降等合规管理业绩和结果予以明确认可;是否惩戒不遵守合规文化的员工和行为。上述评价条款分别与《办法》所要求的“将合规要求纳入岗位职责”“将违规行为性质、发生次数、危害程度等作为考核评价、职级评定等工作的重要依据”等。
5. 绩效评估改进(230分)
(1)监视、测量、分析和评价
企业是否制定了合规监测方案;企业是否建立合规反馈机制、建立并维护相应信息渠道;企业是否制定相应指标,以评估合规目标实现程度;企业是否定期评审合规指标内容,以确保其适宜性和有效性,等等。
(2)内部审核
企业是否制定相应规范建立内部审核机制;是否按规范要求实施内部审核;内部审核是否并形成明确的审核结果,应用于相应问题的整改及管理体系的改进,等等。
(3)管理评审
企业是否建立了管理评审机制;是否定期针对上一年度合规管理措施实施情况报告、风险评估报告、合规目标评估结果、目标完成情况分析、内控总结报告、年度合规计划等内容开展管理评审并有明确的评审结果,等等。
(4)体系持续改进
企业是否建立了合规管理工作改进机制;是否根据企业的合规报告结果或管理评审结果推动合规管理体系持续改进,并形成证据性文件;是否对持续改进的效果进行了评估,等等。
(5)不符合和纠正措施
企业在发生不合规时,是否已对不合规的原因进行分析并制定应对措施;是否对应对措施的有效性进行评估,制定应对无效的补救措施,等等。
6. 附加项:党建在企业合规管理中的作用(50分)
企业合规管理工作是否能够坚持党的领导,充分发挥企业党委(党组)领导作用;党委(党组)是否发挥把方向、管大局、促落实的领导作用,推动合规要求在本企业得到严格遵循和落实,不断提升依法合规经营管理水平;企业是否严格遵守党内法规制度,企业党建工作机构能否在党委(党组)领导下按照有关规定履行相应职责,推动相关党内法规制度有效贯彻落实;企业是否将合规管理纳入党委(党组)法治专题学习,推动企业领导人员强化合规意识,带头依法依规开展经营管理活动。上述评价条款均来源于《办法》的明确要求,体现了《办法》在企业合规管理中强化党的领导的重要精神。
(二) 评价实施及结果
《有效性评价指引》中的评价标准既可用于第三方评价,也可用于企业自我评价。企业可在全面梳理企业合规管理体系的规范性文件(如公司章程、管理手册、管理办法、部门规章制度、作业指导书、操作规程等)和证据性文件(如各种记录、工作日志等)基础上,通过日常监测/自我检查、内部审核/交叉检查、管理评审/年度工作总结等方式,开展自我评价。第三方评价时可采用问卷调查、访谈调研、现场走访等方法对企业提供的资料进行现场核证,核实企业提供的资料的真实性。
《有效性评价指引》中的评价指标体系总分值为1000分,另外附加项50分。根据企业合规管理体系有效性得分,可判定企业合规管理体系有效性评价的等级。评价等级共分为五级,分别为5A、4A、3A、2A和1A,对应的得分分值范围分别是901分及以上、801-900分、701-800分、601-700分和600分及以下。其中被判定为1A级的企业,需根据评价报告进行整改后,重新进行评价。
第三方评价机构提供的评价报告可以列明下列内容:a)评价机构基本信息;b)被评价企业的基本信息;c)评价依据;d)评价过程描述;e)评价基准日和评价报告日;f)评价数据及其来源;g)合规管理体系有效性得分;h)评价结论及改进的建议。
二、 结语
开展有效性评价,对企业合规管理体系的完善和优化十分必要,当前也受到了国资委的关注和重视。无论是近期施行的《办法》还是召开的工作推进会,都对中央企业进行合规管理体系有效性评价提出了明确要求并进行了相应的工作部署。中央企业应积极落实相关规定,积极探索建立并完善合规管理体系有效性评价机制,在此过程中,可以借鉴《有效性评价指引》中的评价指标、实施方法等,并结合企业自身情况加以调整。
此外,值得关注的是,国家标准计划《合规管理体系有效性评价》已于2020年12月24日下达,由中国标准化研究院起草,项目周期为24个月,这意味着《合规管理体系有效性评价》的国家标准可能将于2022年年底公开征求意见,我们也会对此进行持续关注。