近年来,强化合规管理、防范合规风险已经成为全球企业发展的新趋势。在外部合规监管日益严格的背景下,越来越多的中国企业认识到合规管理的重要性,开始从被动的“要我合规”向主动的“我要合规”转变。目前,绝大部分企业都建立了合规管理体系。
但合规管理体系并非一套标准模板,不同企业的合规管理千差万别。随之而来的问题是,什么样的合规管理才是真正有效的合规管理?如何对企业合规管理的有效性开展评估?
市场上,针对企业合规管理发布的各种评价标准或指引受到广泛关注,但目前为止,还没有一套真正能够广泛适用且令人信服的评估指标体系出台。2021年下半年,国务院国资委针对中央企业合规管理体系建设情况制定了一套“调研”体系,含5个方面30项具体指标,应作为中央企业开展合规管理有效性评估的重要遵循。但是,该指标作为落实《中央企业合规管理指引(试行)》的一项“阶段性”调研,重在考察企业合规管理体系的“有无”,还不能真正深入具体的考察企业合规管理“是否有效”。美国联邦量刑委员会“合规黄金标准七条”、国际标准化组织(IS0)2021年4月更新的ISO 37301:2021《合规管理体系 要求及使用指南》以及有关国标(GB)体系[1],常常被企业用作合规管理有效性评估的依据。但实践表明,这些标准体系要么水土不服,要么失之粗粝和浮于表面。
结合我们在开展企业全面合规体系建设业务的多年法律实践经验,在长期与企业接触过程中,我们深深感到,经过了3年多企业合规建设的热潮,如果说3年前企业的痛点是缺少一套合规体系,现如今企业的痛点则已转化为,厚厚的合规体系文件被束之高阁无法落地。如何量身定制的开展合规管理有效性评估,据此发现和纠正合规管理运行中存在的问题,让合规管理体系“活”起来,真正发挥作用,兑现合规管理规划之初设定的目标,是本文写作的初衷。
我们深研了国际上成熟的企业合规评估方案、有效的合规与伦理方案,以及当前最广为接受的IS0评价标准,并结合我们对当前监管环境和中国企业商业管理的深入认知,创造性的形成了符合中国企业实际、并对标国际先进经验的合规有效性评估方案、流程和标准体系。从我们此前的法律实践经验来看,前述有效性评估方案已得到实践检验。现通过本文,在框架和思路层面进行初步梳理总结,明确合规管理有效性评估的几个基本问题。后续,我们还将继续分享有效性评估方案的操作经验。
一
什么是“合规管理有效性评估”?
关于“合规管理有效性评估”这一概念,目前,实践中关于合规管理的各种标准或指引针对“合规管理有效性评估”的用语表述均不相同[2],概括而言,我们认为“合规管理有效性评估”更加能表达对企业合规管理评估的目的。综合相关规定,我们认为,“合规管理有效性评估”是指企业根据监管要求或参照相关标准、依据,对合规管理活动及其所发挥的实际效用进行评估的行为。
合规管理有效性评估旨在不断提升企业合规管理的水平,促进企业合规、稳健发展,其具体目标包括:(1)识别企业在合规管理工作中存在的问题;(2)促进企业合规管理的不断优化和完善;(3)促进合规管理机制落地,有效防控企业合规风险;(4)明确下一步合规管理的工作方向。
二
哪些企业需要开展合规管理有效性评估?
对合规管理有效性评估的概念和目标加以辨析,其实践意义在于框定和明确合规管理有效性评估的范围。总体而言,有两类企业亟需开展合规管理有效性评估,而这两种评估的范围、内容和目标是不同的。
一是尚未建立全面合规体系的企业。仍有一些企业因种种原因尚未开展全面合规体系建设,对此类企业而言,亟需结合监管要求和良好合规实践,尽早开展合规管理的体检对标,通过合规管理有效性评估,客观揭示和分析企业合规管理的差距,对标同行业先进经验,高起点建设合规管理体系。
二是已经建立全面合规体系的企业。大部分企业已经或多或少地开展了全面合规管理体系建设,但是该体系运行和发挥作用几何,是否实用、管用、好用,还需要通过合规管理有效性评估,尽早进行验收和再完善,从而推动合规管理机制落地,并促进已搭建的合规体系向世界一流蜕变。
因此,对合规管理进行有效性评估,不仅需要关注企业合规管理制度或体系的“有无”,更要关注合规管理制度或体系在实际运行中发挥的“实际效用”。
三
为什么要开展合规管理有效性评估?
开展合规管理有效性评估,是企业合规管理的应有之义。合规管理有效性评估是企业全面合规管理体系建设内容的一部分,其本身已构成企业的一项外部合规义务。《中央企业合规管理指引(试行)》第22条要求,“开展合规管理评估,定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升”。
开展合规管理有效性评估,是验收工作成果,对标先进的必要步骤。对于一个完整的全面合规体系建设项目而言,在合规体系和其他基础设施搭建完毕之后,只有开展合规管理有效性评估,才能对相关工作成果进行验收,检测合规项目规划所设定目标是否达成,从而形成项目闭环。与此同时,也只有经过合规管理有效性评估,才能够对标先进,找到差距,明确下一步努力方向。
开展合规管理有效性评估,是企业合规体系“贯标”、认证的必经途径。“贯标”,指贯彻合规管理标准。国际化标准组织2014年发布了《ISO19600合规管理体系指南(2014)》,中国参与了该标准的制定,虽然该标准是不可认证标准,但仍具有重要指导意义。2021年4月13日,ISO修订的新版《ISO37301合规管理体系认证标准》发布实施,从推荐性标准变成可认证标准。当前,国内有基于ISO19600转化的国家推荐性标准《GB\T35770-2017合规管理体系指南》,也正在推动政府采购部门、海关、检察系统等对ISO37301认证的承认[3]。对照以上指南或标准,企业经过贯标、认证,其合规管理体系的有效性和先进性将更具说服力,也更易于被商业伙伴甚至监管机构认可。当企业有贯标、认证的需要,就可以将有效性评估的对标标准设置为相关认证的标准,如此一来,合规管理有效性评估的过程就是贯标、认证的过程,通过有效性评估就可以获得认证。
合规义务、监管要求的更新发展,要求合规管理有效性评估须动态开展。国内外合规“强监管”时代已经来临,合规监管的规范性文件不断发布,监管执法力度不断加大,对企业的合规要求也在不断提高、不断细化、不断升级。对企业而言,仅仅搭建合规管理体系并无法保证企业始终合规运行,必须要基于合规监管的不断发展,对企业的合规管理体系进行动态评估、动态完善,这是一个长期持续的过程。至于更新节奏,参照当前有关机构对ISO37301认证有效期的设计,是三年。
四
开展合规管理有效性评估的基本流程和调查方法
基本流程。如前文所述,合规管理有效性评估应定期开展。其一般流程为: 作出评估决定--成立评估项目工作组--制定评估工作方案--开展具体评估工作—出具评估报告—提出改进方案。
调查方法。评估调查是一项艰巨、耗时的任务。有效的调查方法十分重要,一般而言,基本调查方法包括:文档审阅;现场审查;问卷调查(评估指标设计);调研访谈;穿透测试与试运行等。
五
合规管理有效性评估的核心环节——如何设计评估指标?
评估指标体系设计得是否科学,将直接决定一次合规管理有效性评估的成败。科学的指标体系,既能客观、深入、完整地对企业合规管理是否有效做出评估,又能能动性地对企业向更优管理实践加以引导。
评估指标体系的设计能力,也是考验一家第三方机构开展合规管理有效性评估水平的关键要素。对企业合规管理进行真正深入的有效性评估,必须量身定制,很难指望有一套评估指标适用于所有企业。评估团队必须对评估对象也就是企业合规管理体系本身有深刻的理解,也要深谙合规管理有效性评估的内在逻辑,同时需要对监管环境和商业管理有深入认知,再辅之以对中外现行评估标准的消化吸收,才能设计出符合企业实际、可操作性强、能够准确评估企业合规管理有效性的指标体系。
下文将结合国际先进合规管理评估经验和本土企业实际情况,初步介绍中国企业合规管理有效性评估指标设计的基本思路,以期为企业和评估机构提供借鉴,也希望对中国企业合规管理评估工作的规范发展有所助益。
美国的合规管理有效性评估实践。美国是最早推进企业建立合规管理体系的国家,美国《联邦量刑指南》从法案层面要求企业组织制定《有效的合规与伦理方案》(Effective Compliance and Ethics Program),使得司法治理企业合规成为一项刚性制度。上述有效合规方案确定的七个检验合规管理有效性的要素被称为“合规黄金标准(Gold Standards)七条”,在世界范围内被广泛视作有效合规的基本标准。当然,随着时间的推移,“黄金七条”也在不断完善,如今已发展成为8个要素17项具体合规要求。主要包括:对不合规行为的预防、监测、回应和处置;对公司治理机构、高管人员、实权人员合规领导力和执行力的考察;合理设计、有效执行的合规方案及持续提升;周期性的合规风险评估等内容。此外,美国司法部在2017年公布了《企业合规方案评估》(Evaluation of Corporate Compliance Programs),虽侧重于反海外腐败领域,但其建立的一套评价指标得到广泛认可。
美国的合规管理有效性评估的最大特点是只提要求和指标,而不使用任何严格死板的格式来评估企业合规管理的有效性。总体而言,美国的实践倾向于从“设计、执行、效果”三维度进行评估。合规管理,在经过“是否纳入设计中、设计是否合理、是否被执行、如何执行、是否取得良好效果、效果改善”层层评估、筛选通过后,通常会被认为是有效的合规管理,但凡在任何一个环节出现问题,都不能视为充分有效。
借鉴、消化和吸收美国经验的最大考验是,如何透彻理解西方的思维方式,如何有效嫁接到国内企业,并在去伪存真、去粗取精之后使其在本土的管理和制度生态下生根发芽。
国内的合规管理有效性评估实践。相较而言,国内企业的合规管理起步较晚,虽然前期有银行、保险等领域的合规管理实践,但真正被企业重视并开展具体工作,是在2018年国资委发布《中央企业合规管理指引(试行)》后,企业特别是中央企业开始逐步建立合规管理体系,并产生合规管理有效性评估的需求。《中央企业合规管理指引(试行)》中的合规管理体系主要包含四方面内容:合规管理职责、合规管理重点、合规管理运行、合规管理保障。大多数中央企业也是参照此四方面内容进行合规管理体系建设。同样,在开展合规管理有效性评估时,也是参照此结构进行评估。此种评估结构属于纵向合规要素的评估,采用此种评估结构的优点是能够较全面地覆盖合规管理各方面内容,比较贴合中国企业合规管理体系建设的实际,易于被大多数中国企业理解、适用,且可以根据企业实际需求,纵向增加其他的重要评估要素。
但考察国内的合规管理有效性评估实践,其存在的主要问题也较为明显,主要体现在三个方面:一是部分评估指标框架不够严谨、科学。中国企业倾向于采用纵向合规要素的结构开展评估,总结的评价指标也较为原则,多集中于“是否建立了某项机制、是否进行了某项工作”层面,缺少更深入的评估内容,造成评估深度不够。二是评估调查不够深入。评估工作多数表现为书面审查,再通过访谈的形式听取企业员工描述的合规问题,直接出具评估报告,属于一种可能流于“表面”的评估,缺少对合规管理执行和实践效果的深入调查,难以发现合规管理存在的实际问题,从而难以实现评估目标。三是评估的技术手段不足。国外已存在大量的合规风险管理软件,可以提供更便利和高效的评估协助。而国内对合规风险分析和风险评级的技术还比较简单,缺少有效的合规风险适时监测和控制手段,不能对有限的信息资源进行技术处理,难以对合规风险管理形成有效的支撑。
合规管理有效性评估实践经验总结。在专门调研和学习了境内外不同合规管理有效性评估实践之后,总体上来说,我们认为在设计评估体系时,需要将以上两种评估结构进行合理整合,各取所长,兼顾评估范围的全面性和评估内容的深刻性,并在合规法律服务实践中不断检测、修正和完善。
从体系上来说,我们认为完善的评估体系主要应由评估方案体系、评估流程体系和评估指标体系组成。
评估指标体系总体上应包括纵向和横向两个维度,纵向上主要包括“组织体系、制度体系、合规运行、合规保障、其他指标”等要素,横向上主要包括“设计、执行、效果、改进”等要素。
在上述评估指标体系中,具体指标并不固定,需根据企业实际情况和项目需求量身定制,在实践中倾向于使用具有较强弹性的评估指标,充分考虑评估的阶段性特征的同时,也要兼顾评估深度和调查实操性、评估重点和全面性的平衡。一般而言,央企管理型总部的评估指标为:总部指标30-60项,子企业指标40-60项。
此外,需特别说明的是,合规管理有效性评估既包括合规管理体系的全面评估,也包括重点细分领域的专项评估。上文仅限于讨论合规体系的全面评估。
[注]