作者:陈立彤黄鑫淼
页数:416
出版社:中国法制出版社
出版日期:2023
ISBN:9787521631845
电子书格式:pdf/epub/txt
内容简介
为进一步把企业合规管理相关标准落到实处,本书配套ISO 37301:2021《合规管理体系要求及使用指南》《中央企业合规管理办法》,结合企业合规师、首席合规官的岗位技能要求,以及合规管理体系、合规文化、风险管理、合规审计、管理体系审核、管理评审等内容,推进企业的合规管理,进而有效地管理合规风险,为企业在国内外市场保驾护航。
作者简介
陈立彤,北京大成(上海)律师事务所高级合伙人,荣膺中国2022年度“LEGALBAND客户shou选:合规律师15强”,入选司法部“全国千名涉外律师人才名单”,入选钱伯斯、The Legal 500等知名榜单。
曾任福特汽车公司亚太区合规总监,现还担任中国企业文化促进会合规管理委员会会长、国际风险与协会副会长等。作为ISO/TC 309国际标准化组织治理技术委员会第四工作组成员,全称参与了ISO 37301 合规管理体系及相关国家标准GB/T35770-2022合规管理体系以及《企业合规师职业技能标准》的制定。
黄鑫淼,中国政法大学博士,现任职于北京大成律师事务所,曾在某中央企业负责涉外投融资业务。
深耕企业投融资、企业合规领域,已为超过二十家中央国企提供合规管理体系建设辅导,协助企业投融资规模总计超百亿元。
本书特色
中国企业联合会、中国企业家协会党委书记朱宏任推荐
ISO 37301主席、国际风险与合规协会会长马丁·托拉尔推荐
内容系统翔实:对首席合规官、企业合规师第一知识和技能作了系统阐述
结合典型案例:围绕企业合规实务典型案例指引企业管控风险、应对危机
紧扣合规标准:对照全新企业合规的国际、国内以及团体标准编写
第一操作指南:涵盖相关合规操作流程,帮助解决合规管理各类问题
目录
第一章 合规及合规技能
第一节 合规及合规管理
一、合规的四个维度
二、合规2.
三、合规3.
第二节 合规岗位
一、ISO 3731:221与合规团队
二、合规新职业:企业合规师
三、《中央企业合规管理办法》与首席合规官
四、合规不起诉与合规监督员、合规律师
第三节 为合规管理赋能需要哪些技能
第四节 合规创造价值(一)
第五节 合规创造价值(二)
第二章 企业合规师
第一节 企业合规师概述
一、企业合规师的定义
二、企业合规师的工作范围
三、企业合规师与合规岗位
四、企业合规师与风控
五、企业合规师与内控
六、企业合规师与法务
七、企业合规师与审计
八、企业合规师与财务
九、企业合规师与业务部门
第二节 职业技能等级认定
第三节 企业合规师的价值观
第四节 企业合规师级别认定标准
第五节 企业合规师对标
第三章首席合规官
第一节 首席合规官的历史沿革
第二节 首席合规官的使命
第三节 首席合规官的工作要求
一、负责企业顶层合规设计和统筹
二、领导合规管理部门组织开展相关工作,指导所属单位加强合规管理
三、就重大决策事项合规性提出明确意见,在合规审查意见上签字
四、牵头处理重大合规风险事件,妥善应对危机事件
第四节 首席合规官的能力要求
一、扎实的专业能力
二、优秀的领导能力
三、出色的危机应对能力
第五节 首席合规官的能力提升
一、教育培训
二、工作训练
三、参加相关行业组织
第六节 首席合规官对标(一)
第七节 首席合规官对标(二)
第四章 合规是对合规义务的履行
第一节 法律法规构成合规义务的核心
一、对法律法规的遵从构成合规的底层逻辑
二、合规离不开专业法律人士提供专业法律意见
三、在特定法域下保护好客户的法律特权
四、需要律师就特定法律事项提供专业服务
第二节 合规义务包括强制遵守的和自愿选择遵守的
第三节 外规内化是合规的核心环节
第四节 合规义务包括禁止性合规义务和控制性合规义务
一、禁止性合规义务
二、控制性合规义务
第五节 合规是众多合规管理体系合力的结果
第六节 合规义务重在及时识别、准确理解
第五章 合规是管理科学
第一节 风险及相关要素
一、风险与合规风险
二、风险源及其代码
三、风险情况
四、责任人
第二节 识别合规风险
一、帕累托原则
二、识别合规风险的路径
三、识别风险的工具
第三节 评价合规风险
一、评价风险的目的
二、评价风险的维度
第四节 识别并排序合规责任人
第六章 合规是管理体系
第一节 建立合规管理体系的必要性
第二节 合规管理体系概览
一、ISO 3731:221
二、《中央企业合规管理办法》
三、其他合规管理标准
第三节 从执法机构的角度看体系
一、公司的合规程序是否设计良好?
二、该程序是否得到有效实施?
三、在实践中“公司的合规程序是否有效”?
第四节 合规管理体系制度建设
第七章 合规是合规文化
第一节 什么是合规文化
第二节 合规文化有什么价值
一、合规文化是生产力,也是金色盾牌
二、合规文化让合规成为“下意识”,从“要我合规”转变到“我要
合规”
三、合规文化是抵制“潜规则”的利器
四、合规是底线,文化无上限
五、合规是百年老店最大的智慧
六、帮助中国企业用“合规”的面貌走向世界
七、营造公平的竞争环境,杜绝“劣币驱逐良币”
第三节 如何建立推广合规文化
一、ISO 3731:221下对合规文化的培育
二、《中央企业合规管理办法》下对合规文化的建设
第四节 合规文化建设对标
第八章 风险管理
第一节 “风险管理”知识框架
第二节 “风险管理”的风险
一、按风险因素的性质划分
二、按风险形成的原因划分
三、按风险的范围划分
四、按风险程度划分
五、按风险存在的方式划分
六、按风险控制的程度划分
七、按企业经营类型划分
八、按风险效应来划分
九、按风险责任承担来划分
十、按风险的内容划分
十一、按决策要求划分
第三节 “风险管理”的目标
一、风险管理在战略上应与战略目标保持一致
二、风险管理在技术上与企业的重大目标相关联
第四节 “风险管理”的筹划
一、为什么要做风险筹划?
二、风险筹划面对的风险有哪些?
三、合规风险筹划风险解决路径
四、工作方案
第五节 “风险管理”的外规内化
第六节 “风险管理”的体系化管理
第九章 控制、风险控制与内部控制
第一节 控制
第二节 风险控制
第三节 内部控制
第四节 风险管理、内部控制与合规管理的关系
第五节 合规管理下的控制与风险控制
一、控制的节点
二、控制要素
三、控制的要求
第六节 合规管理与法务管理、内部控制、风险管理协同运作
一、合规管理与法务管理、内部控制、风险管理协同运作的目的
二、合规管理与法务管理、内部控制、风险管理协同运作的基础
三、合规管理与法务管理、内部控制、风险管理协同运作的核心
四、合规管理与法务管理、内部控制、风险管理协同运作的路径
第十章 风控措施实际运用
第一节 中国企业国际化进程中触发风险的原因
一、在国际化进程中面临他国监管,但应对措施失当
二、被监管时遭遇选择性执法
三、入乡不随俗,风险敞口加大
四、对第三方合规管理不重视,导致商业伙伴和自身的风险加大
五、面对美国《反海外腐败法》,不经意间触犯风险
六、监管机构推行举报制度,违法违规更易查处
第二节 企业行贿风险
一、风险源引发企业行贿风险的频率
二、风险造成的危害结果:巨大
三、企业行贿风险发生的可能性:极高
四、风险管控
第三节 企业员工舞弊风险
一、企业员工舞弊风险
二、风险源引发员工舞弊风险的频率
三、员工舞弊风险造成的危害结果:很大
四、员工舞弊风险发生的可能性:很高
第四节 企业员工渎职风险
一、企业员工渎职风险
二、风险源引发风险频率
三、员工渎职风险造成的危害结果:巨大
四、员工渎职风险发生可能性:较高
五、风险管控
第五节 反垄断合规风险
一 、反垄断合规风险
二、风险源引发风险的频率
三、反垄断合规风险造成的危害结果:巨大
四、反垄断合规风险发生的可能性:较高
五、风险管控
第十一章 合规审计
第一节 合规审计概述
一、审计
二、财务审计
三、合规审计
四、审计与审核的比较
第二节 合规审计要素
一、合规审计的原则
二、合规审计的目的
三、合规审计的核心
四、合规审计范围
五、合规审计专业人员
六、专业的合规审计测试
第三节 合规审计的流程
一、证据的收集
二、证据的评价
三、审计报告
四、密级的标注及处理流程
五、利益冲突
六、合规整改方案
七、合规工作底稿的整理与保存
第十二章 管理体系审核
第一节 审核及其分类
一、审核的定义
二、审核的分类
第二节 审核原则
第三节 审核方案的管理
一、确立审核方案的目标
二、确定和评价审核方案的风险和机遇
三、建立审核方案
四、实施审核方案
第四节 实施审核
一、总则
二、审核的启动
三、审核活动的准备
四、审核活动的实施
五、审核报告的编制和分发
六、审核的完成
七、审核后续活动的实施
第十三章 调查
第一节 内部调查与外部调查对比
第二节 调查、合规审计与体系审核对比
第三节 内部调查
一、接受举报或案件线索
二、调查团队案头研究
三、访谈
四、文件审阅
五、电子文档下载、保存、分析
六、得出结论
七、出具报告
第四节 外部调查:双反尽调
一、双反尽调的意义
二、双反尽调的重点
第五节 外部调查:做空调查
一、查阅资料
二、调查关联方
三、公司实地调研
四、调查供应商
五、调研客户
六、倾听竞争对手
七、请教行业专家
八、重估公司价值
第六节 大数据下的分析调查
第七节 调查与合规
一、侵害信息安全的非法调查行为
二、中介机构调查“走过场”
第十四章 管理评审
第一节 管理评审的目标
第二节 管理评审的流程
第三节 管理评审输入
第四节 管理评审输出
第十五章 应对危机
第一节 应对政府调查危机的基本原则:监管和解
一、监管和解
二、监管围猎
三、用调解达成和解
第二节 事前预防
一、文字管理
二、文档管理
三、证据管理
第三节 事中管理
一、应对预案和方案
二、做好危机公关工作
三、拿起法律分析的武器为自己辩护
第四节 事后恢复
第十六章 合规管理信息化、数字化与数智化
第一节 合规管理信息化
一、信息化
二、合规管理信息化
第二节 合规管理数字化
一、数字化
二、合规管理数字化
第三节 合规管理信息化与数字化的比较
一、合规管理信息化与数字化的相似性
二、合规管理信息化与数字化的不同
第四节 数智化及其挑战
一、所采集的公共大数据关系到国计民生,应用不当会对国家
和公民个体造成损害
二、公共大数据有很多是人工统计数据,需要保障准确性
三、人工智能将给大数据保护带来挑战
四、大数据带来的合规风险
五、数智化为企业合规师带来科技上的挑战
第十七章 环境、社会和公司治理(ESG)
第一节ESG下的合规义务
第二节ESG评估指标
第三节ESG评估/信息披露指南
节选
第一节合规及合规管理
合规或合规管理以风险管理为基础,其目的是通过建立一套行之有效的管理机制,使公司能够有效地识别、评估和控制合规风险,主动避免违法、违规事件的发生。
一、合规的四个维度
合规可以从四个维度来理解。合规的第一个维度是对合规义务的遵守(如对法律法规的遵守)。合规在这个维度上把合法的概念包括进来了。但是,合规仅停留在第一个维度是不够的,如用出具法律意见书定性对错的方法做“合规”其实“不合规”。因为要做好合规,还必须进入第二个维度,即,合规是一门管理科学。
合规这门管理科学的核心是风险的识别、评价与控制。就拿反垄断法来说,卖汽车的和卖巧克力的企业都适用反垄断法,但是风险场景因行业的不同而不同,风险值也因企业的大小不同而不同,因此各个企业必须有效地识别各自的风险与风险源,对识别出来的风险进行评价并进行有效管控。
合规的第三个维度是合规管理体系。做好合规管理,必须满足很多必要条件,不成体系的合规不堪一击。
合规的第四个维度是合规文化。以道德与诚信为内核的合规才能让合规融入企业的文化基因当中去,合规对于员工来说才能达到这个效果:合规是一种自发的习惯,不是要我合规,而是我要合规。
二、合规2.0
合规管理的基本目标是控制合规风险,从而减少不确定因素对企业实现其目标所造成的负面影响,但合规管理在各个企业中的发展是不均衡的,合规理念同样如此。有的企业对合规的理解还处在非常基础的层面,但有的企业对合规的理解、对合规管理的要求或者实施已经进入2.0时代。
1.实时识别风险
2.0时代的合规与1.0时代的区别表现在很多方面,但2.0时代的合规要求对风险的识别越实时或者越及时越好。建立实时(或近似实时)的风险识别机制是合规2.0时代的迫切需求,举例如下。
某银行贷款给一个私营企业。该银行在贷款的时候,除了录入该私营企业的有关情况,以及该企业法定代表人的有关情况外,还有意识地收集了该企业以及其他更多的信息,如该法定代表人家属的有关信息。贷出款项之后,该银行基于大数据分析平台进行实时性的信贷风险识别与监控,每天都会用网络爬虫在网上就大数据分析平台里的一些关键词作舆情搜索。有一天,该网络爬虫发现并预警了一条有关赌博的消息,说某某因为在境外赌场赌博输了很多钱——这则新闻中某某的名字和这个私营企业法定代表人的儿子名字相同。银行在接到信息平台的报警后,就派工作人员进行调查,发现这个新闻中的主人公恰恰是这个私营企业法定代表人的儿子。于是银行就想办法让这个私营企业提前还贷,而且不再发放其他贷款。结果是,这个私营企业在其他银行的贷款出现了坏账,而进行实时性风险识别的银行则先人一步避免了坏账。这个例子告诉我们,一方面,有时候风险识别不实时本身就可能带来风险;另一方面,实时识别风险在技术上不是不可能的。
当然,这里所说的“实时”是相对的——相对于“尽调(尽职调查)一次管三年”更加贴近实时。另外,实时识别风险(及风险源)不可避免地会增加企业合规成本,因此不是所有的企业或者一个企业不是对所有风险的识别都要(或者能够)做到实时。但是“实时识别”应当成为风险识别的新概念。
2.数字化管控风险
对风险不仅要识别,还要控制。合规管理三道防线仅靠纸面推演已然不够,尤其是针对复杂的、系统性的风险;企业应当适时地引进数字化解决方案,我们从下面的例子可以略见一斑。
一家德国企业通过其在中国的全资子公司进口、销售机器并提供售后服务。但在市场上同时提供售后服务(包括提供真真假假零部件)的还包括形形色色的、如假不包换的“李鬼”。企业对“李鬼”当然要打假,但处理不好如下风险:(1)客户的最终用户常常到客户之外的维修网点寻求性价比更高的售后维修服务(当然,出现一些小修小补也是正常的);(2)客户的售后服务出现“飞单”,但客户对此似乎束手无策;(3)第三方售后服务网点所使用的配件有可能是平行进口配件,抑或进口整机后拆机销售的维修配件,甚至是假配件;(4)客户售后服务销售收入远远没有达到预期水平……
对此,我们固然可以建议客户用常规的方法和途径打假,但还可以用数字化的方式通过使用经销商、售后服务云平台系统链接厂家、各级代理商、各地售后服务中心及各地市特约维修网点,从而使得该客户实现从销售线索到汇款、渠道经销商、售后服务的全程监控,构建完备透明、从销售到售后服务的一体化互联网管理体系,使企业和客户的利益得到全面保障。用数字化云平台的方式,通过系统中的货品唯一序列号,该企业可以查出各地市场的串货和假货。同时,企业通过主动管理渠道商的所有客户,一方面,主动发起售后服务流程和360度客户满意度分析,从而渐次打消最终用户到第三方维修点去维修的需求和冲动;另一方面,渐渐迫使假配件或者平行进口配件难以对客户的真配件、原厂配件构成不正当竞争,使得售后变成二次营销的开始,详见下图。图1-1一体化管理体系图示3.合规管理嵌入公司业务流程形成闭环
合规管理嵌入公司业务流程,实现合规管理与公司业务的深度整合,也是合规2.0的特点之一。以无人驾驶安全出行中的风险控制为例,随着人工智能时代的到来,无人驾驶被视为AI(人工智能)最重要的落地场景。传统汽车巨头、跨国科技巨头和互联网新势力纷纷加码智能互联和汽车共享,抢滩无人驾驶的未来。但还有一个重要问题需要解决,那就是无人驾驶的安全出行问题。如何让无人驾驶出行更加安全?如何识别、评价并控制风险?对此,我们通过风险管控三原则将风控措施融入业务流程。
(1)风险穿透原则
无人驾驶涉及的产业领域广阔,从雷达传感,再到AI算法、汽车制造,一些原本毫无关联的产业、平台和企业被智能网联这一根线串联了起来,并开展多方合作。而无人驾驶肇事的风险源也变得更加分散和难以识别,包括车辆本身存在质量问题(如制动装置不合格)、传感设备(如雷达和摄像头)突然失灵、AI算法不够先进(在特殊场景下的错误决策)、系统有安全漏洞(如被黑客攻击、劫持),甚至是驾驶员注意力不集中等,都可能引发一起严重的事故。
这些风险既可能存在于直接参与无人车生产的企业(我们称其为“直接利害关系人”)中,也可能存在于那些本身不参与无人车研发与生产,但是其产品、技术应用其中的下游供应商(我们称其为“间接利害关系人”)。直接利害关系人的重要性不言自明,但我们认为无人驾驶的风险控制工作不能局限于直接利害关系人,而应穿透到间接利害关系人,其原因在于:间接利害关系人提供的技术、产品、服务等也是无人驾驶肇事的风险源。
因此,无人驾驶安全风险控制的首要原则应当是“风险穿透”——无人驾驶业务中的合规管理和风险控制尤其应实现与整个业务流程的深度地、穿透式地整合,将合规管理嵌入地图及软件集成、核心部件供应、整车制造和运营服务提供的方方面面。
(2)主动管理原则
目前,无人驾驶项目主要采用的风险应对措施大多集中于事故发生后的补救和责任分担,如向保险公司购买事故责任保险、事先约定事故责任分担方式等。但这些风险分担、转嫁措施的效果实际上是有限的,因为除了民事赔偿责任,利害关系人还可能面临行政处罚,甚至被追究刑事责任,而后两种风险都无法通过协议或保险加以规避。
另外,无人驾驶肇事风险还将引发公关危机,由此引发的负面影响同样难以事后补救。就以Uber(优步)事故为例,即使Uber不必为事故承担法律责任,“世界第一起无人车肇事致人死亡事件”引发的社会影响也迫使Uber暂停了无人车测试。
因此,与其将重点放在事故发生后的责任分担、被动“等待”事故的发生上,不如选择主动出击,构建无人驾驶风险管理体系,尽可能降低事故发生的可能性,把风险管控于萌芽之中。
(3)联合管理原则
在以上两点原则的基础上,我们提出联合管理原则,即无人驾驶项目的各个利害关系人应共同建立跨行业、跨平台、跨企业的风险管理体系,而非各方“单打独斗”。原因有二:首先,基于风险穿透原则,单靠内部风险管理制度,即使再严格,也无法保证其他环节不出错;其次,为了防止无人驾驶肇事,各利害关系人的目标是一致的,都希望尽可能控制无人驾驶风险,因此都有动力搭建风险管理体系。
在实际操作中,我们建议搭建双层风险管理架构:与无人驾驶项目具有强相关性的直接利害关系人构成第一层,各方组建统一领导机构,制定风险管理政策、设计风险管理流程、明确各方义务并制定罚则;与无人驾驶项目相关性相对较弱的间接利害关系人则构成第二层,领导机构可对其提供的产品、服务、技术提出要求,并由与其直接关联的直接利害关系人负责落实,落实的情况应及时向领导机构反馈,同时接受其他直接利害关系人的监督。此架构既可保证风险管理体系的强制力,又避免了因参与方过多导致的效率低下、成本过高等不足。
总之,无人驾驶从研发、落地到生产、销售,安全出行是一个必须完成的任务,而科学地识别、评价并控制风险才能帮助无人驾驶产业链上的方方面面一起完成这个貌似不可能完成的任务并真正实现无人驾驶安全出行与风险管控的闭环管理。
三、合规3.0
制度是给人定的,三分制度七分执行;没有执行力,所有的制度都是无用的。如果说合规2.0是借助高科技手段来提升合规管理效率,那么合规3.0还得回归到人本身——通过合规管理能力的提升为合规管理赋能,以危机管理为例。
危机管理是企业为应对各种危机情境所进行的规划决策、动态调整、化解处理及员工培训等活动过程,其目的在于消除或降低危机所带来的威胁和损失。通常可将危机管理分为两大部分:危机爆发前的预防管理和危机爆发后的应急善后管理。根据《危机管理》一书的作者菲克普曾对《财富》杂志排名前500强的大企业董事长和CEO所做的专项调查表明,80%的被调查者认为,现代企业面对危机,就如同人们必然面对死亡一样,已成为不可避免的事情。其中有14%的人承认曾经受到严重的危机挑战。因此应对危机管理的能力就是企业合规师,尤其是高级企业合规师必须具备的能力。
第二节合规岗位
如上所述,制度是给人定的,三分制度七分执行——执行制度的人需要通过合规管理能力的提升为合规管理赋能。那么,执行制度的人是谁?不同的标准、规范有不同的名称和要求。
一、ISO 37301:2021与合规团队
ISO 37301:2021《合规管理体系 要求及使用指南》(以下简称“ISO 37301:2021”),是由国际标准化组织ISO/TC309技术委员会编制,由国际标准化组织在2021年4月13日发布和实施,适用于全球任何类型、规模、性质和行业的组织。ISO 37301现已经等同转换为中华人民共和国国家标准GB/T 35770—2022/ISO 37301:2021《合规管理体系 要求及使用指南》。该国家标准经国家市场监督管理总局、国家标准化管理委员会于2022年10月12日发布并实施。因为GB/T 35770—2022/ISO 37301:2021等同转换于ISO 37301:2021,因此该国家标准与国际标准ISO 37301:2021在正文与附录A的内容完全一致。所不同的是该国家标准增加了一个附录NA作为补充使用指南。因此除了本书中所明确提到的附录NA内容外,其他所有的有关ISO 37301:2021内容都与GB/T 35770—2022一致,从这个角度来说,本文提及ISO 37301:2021也就是提及了GB/T 35770—2022。
作为A类管理体系标准,ISO 37301:2021标准发布后,替代了ISO 19600:2014《合规管理体系 指南》(以下简称“ISO 19600:2014”,对应的中国标准为GB/T 35770—2017)。两项 ISO 标准均基于相同的架构、以风险导向为基础的方法,并注重整体的合规管理系统,但是,只有 ISO 37301:2021可以用作第三方认证的准则。
ISO 37301:2021规定了组织建立、运行、保持和改进合规管理体系的要求,并提供了使用指南,为各类组织提高自身的合规管理能力提供系统化方法。它采用的PDCA[Plan(计划)、Do(执行)、Check(检查)、Act(改进)]理念完整覆盖了合规管理体系建立、运行、保持和改进的全流程,基于合规治理原则,为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。
ISO 37301:2021在ISO 19600:2014的基础上进行了修订,增加了一些要求(如针对雇佣的具体要求、针对合规举报和调查的要求等)。如果企业已经按照ISO 19600:2014搭建合规体系,还需要进一步对照ISO 37301:2021的要求进一步完善合规体系,方可满足认证要求。 中国标准化研究院:《ISO 37301:2021〈合规管理体系 要求及使用指南〉国际标准解读》,《质量与认证》杂志社,2021年4月15日。
合规 (Compliance) 在ISO 37301:2021中被定义为:“履行组织的全部合规义务”。 ISO 37301:2021《合规管理体系 要求及使用指南》第3.26条。
合规团队在ISO 37301:2021中被称为Compliance function,也有的翻译为“合规岗位”,在ISO 37301:2021下被定义为:“对合规管理体系运行负有职责、享有权限的一个人或一组人。” ISO 37301:2021《合规管理体系 要求及使用指南》第3.23条。
二、合规新职业:企业合规师
2021年3月18日,人力资源和社会保障部等部门联合发布“企业合规师”新职业。《中华人民共和国职业分类大典》(2022年版)中,“企业合规师”的职业编码为2-06-07-14。
企业合规师被定义为:“从事企业及企业内部成员行为符合法律法规、监管要求、行业规定和道德规范等合规管理和监督的工作人员。”
企业合规师的主要工作任务为:
1.制订企业合规管理战略规划和管理计划;
2.识别、评估合规风险与管理企业的合规义务;
3.制订并实施企业内部合规管理制度和流程;
4.开展企业合规咨询、合规调查,处理合规举报;
5.监控企业合规管理体系运行有效性,开展评价、审计、优化等工作;
6.处理与外部监管方、合作方相关的合规事务,向服务对象提供相关政策解读服务;
7.开展企业合规培训、合规考核、合规宣传及合规文化建设。
无论是ISO 37301:2021下的合规团队或合规岗位,还是合规新职业企业合规师,它们都是对实践中合规相关岗位、职位等所做的总结,而这些合规相关岗位、职位在ISO 37301:2021被颁布之前,在企业合规师作为一个职业面世之前,早就存在了,如2017年10月1日起实施的《证券公司合规管理实施指引》里面就明确设置了“合规总监”这个职务,并赋予其高度职责。比如,合规总监不得兼任业务部门负责人及具有业务职能的分支机构负责人,不得分管业务部门及具有业务职能的分支机构,不得在下属子公司兼任具有业务经营性质的职务。证券公司不得向合规总监、合规部门及其他合规管理人员分配或施加业务考核指标与任务。《证券公司合规管理实施指引》第12条。证券公司在对高级管理人员和下属各单位进行考核时,应当要求合规总监出具书面合规性专项考核意见,合规性专项考核占绩效考核结果的比例不得低于15%;对于重大合规事项,可制定一票否决制度。《证券公司合规管理实施指引》第19条。
三、《中央企业合规管理办法》与首席合规官
2022年8月23日,国务院国有资产监督管理委员会(以下简称国务院国资委)令第42号公布《中央企业合规管理办法》,自2022年10月1日起施行。在该管理办法第12条中,国务院国资委设置了一个新的职位“首席合规官”,但其实“首席合规官”的职位最早可追溯到于2010年3月8日发布的《融资性担保公司管理暂行办法》,其第24条第2款明确要求“跨省、自治区、直辖市设立分支机构的融资性担保公司应当设立首席合规官和首席风险官……”另外,2018年由国家发展改革委、外交部、商务部、人民银行、国资委、外汇局、全国工商联共同印发的《企业境外经营合规管理指引》中也设置了“首席合规官”,其第11条规定:“……企业可结合实际任命专职的首席合规官,也可由法律事务负责人或风险防控负责人等担任合规负责人。首席合规官或合规负责人是企业合规管理工作具体实施的负责人和日常监督者,不应分管与合规管理相冲突的部门……”可以说,“首席合规官”这个职位的设置把《中央企业合规管理办法》与《企业境外经营合规管理指引》在合规团队或合规岗位如何设置这个问题上高度地统一起来了。 《中央企业合规管理办法》对“首席合规官”的设置可与该办法对合规、合规管理,以及其他合规职能和合规岗位的规定和设置结合起来解读。如果我们结合解读这些规定和设置,就可以看到“首席合规官”在《中央企业合规管理办法》中既是一个重要职位,也是三道合规防线中的其中一道;我们在解读“首席合规官”这个重要职位和防线的同时,还要关注其他防线和合规岗位在合规管理中的作用,唯此,我们才能全面理解《中央企业合规管理办法》下的“首席合规官”。
合规在《中央企业合规管理办法》中被定义为:“企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。” 《中央企业合规管理办法》第3条。
与ISO 37301:2021不同,《中央企业合规管理办法》还对“合规管理”进行了定义,其是指“企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动” 《中央企业合规管理办法》第3条。。
《中央企业合规管理办法》对合规岗位从三道防线的角度进行了设置,并对其职能进行了规范,在一定程度上完成了国务院国资委在中央企业“合规管理强化年”的工作部署。表1-1《中央企业合规管理办法》合规岗位设置
0首席合规官与企业合规师实务第一章合规及合规技能0条款职位描述第10条企业主要负责人作为推进法治建设第一责任人,应当切实履行依法合规经营管理重要组织者、推动者和实践者的职责,积极推进合规管理各项工作。第11条合规委员会可以与法治建设领导机构等合署办公,统筹协调合规管理工作,定期召开会议,研究解决重点难点问题。第12条首席合规官由总法律顾问兼任,对企业主要负责人负责,领导合规管理部门组织开展相关工作,指导所属单位加强合规管理。第13条企业业务及职能部门承担合规管理主体责任,主要履行以下职责:(一)建立健全本部门业务合规管理制度和流程,开展合规风险识别评估,编制风险清单和应对预案。(二)定期梳理重点岗位合规风险,将合规要求纳入岗位职责。(三)负责本部门经营管理行为的合规审查。(四)及时报告合规风险,组织或者配合开展应对处置。(五)组织或者配合开展违规问题调查和整改。第13条合规管理员在业务及职能部门设置,由业务骨干担任,接受合规管理部门业务指导和培训。第14条企业合规管理部门牵头负责本企业合规管理工作,主要履行以下职责:(一)组织起草合规管理基本制度、具体制度、年度计划和工作报告等。(二)负责规章制度、经济合同、重大决策合规审查。(三)组织开展合规风险识别、预警和应对处置,根据董事会授权开展合规管理体系有效性评价。(四)受理职责范围内的违规举报,提出分类处置意见,组织或者参与对违规行为的调查。(五)组织或者协助业务及职能部门开展合规培训,受理合规咨询,推进合规管理信息化建设。中央企业应当配备与经营规模、业务范围、风险水平相适应的专职合规管理人员,加强业务培训,提升专业化水平。第15条企业纪检监察机构和审计、巡视巡察、监督追责等部门依据有关规定,在职权范围内对合规要求落实情况进行监督,对违规行为进行调查,按照规定开展责任追究。
……
