文 | 張從軒 匯業(yè)律師事務所 律師
前言
2022年5月23日���,中國中小企業(yè)協(xié)會發(fā)布了《中小企業(yè)合規(guī)管理體系有效性評價》T/CASMES 19—2022標準(以下簡稱“標準”)��。該標準的發(fā)布順應了中國當下合規(guī)趨勢�����,為中小微企業(yè)合規(guī)管理體系建設及其有效性評價提供指引��,彌補了這個領(lǐng)域的空白�����。匯業(yè)合規(guī)管理團隊積極參與了該標準的起草�,提出了多項建設性建議并被采納�。
一�����、 標準內(nèi)容概述
該標準共9章,除去前5章通用內(nèi)容外�,其中第6、7�����、8�����、9章及后文附錄��、表格為其主要內(nèi)容�。其主要章節(jié)內(nèi)容包含了機構(gòu)設置和職責配置、合規(guī)風險識別�����、合規(guī)風險應對和持續(xù)改進����、合規(guī)文化建設��。對于上述四項內(nèi)容亦在后文所附表格中按中�、小�、微型企業(yè)進行了區(qū)分指導,體現(xiàn)了科學合理性��。
與全面合規(guī)管理體系的要素構(gòu)成相比較����,該標準進行了濃縮,即:“機構(gòu)設置和職責配置”對應全面合規(guī)管理體系要素中的“合規(guī)管理組織”�����;“合規(guī)風險識別���、風險應對和持續(xù)改進”對應合規(guī)管理運行機制中的“合規(guī)風險管理”�;合規(guī)文化建設對應合規(guī)管理保障機制中的“合規(guī)文化建設”���。整體上�����,該標準具備了合規(guī)管理組織�����、合規(guī)管理運行機制及合規(guī)管理保障機制�,構(gòu)成相對完善穩(wěn)固的合規(guī)管理體系框架。這與《中央企業(yè)合規(guī)管理指引(試行)》的11要素形成了鮮明對比�,也突出體現(xiàn)了其對中小微企業(yè)的體量、組織架構(gòu)�、人力資源�、運營成本等的綜合考量。
該標準還參照了ISO 37301-2021《合規(guī)管理體系 - 要求和使用指南》(以下簡稱“ISO37301國際標準”)的有關(guān)規(guī)定�����,充分考慮了ISO37301國際標準第4條的規(guī)定���,即組織需要進行合規(guī)管理體系建設應考慮外部與內(nèi)部問題以確定其體系建立包含的邊界或范圍���。
二、 評價原則
標準確立了中小微企業(yè)進行合規(guī)管理體系有效性評價的五項原則����,即全面性、差異性�、明確性����、可證實性及引導性原則����。
三、 評價方法��、流程
標準倡導的評價方法包括文件審閱����、問卷調(diào)查、訪談調(diào)研��、飛行檢查�����、穿行測試����、感知測試、模擬運行等��。這亦與目前業(yè)界進行合規(guī)管理評估的方法類似。比如中國證券業(yè)協(xié)會《證券公司合規(guī)管理有效性評估指引》2021修訂第21條就提到上述評估方法��。
標準中的評價流程包括評價準備��、評價實施和評價報告��。標準的第8.5條對后續(xù)整改及考核評價與問責做了進一步規(guī)定�����,以實現(xiàn)流程閉環(huán)�����。
四�����、 機構(gòu)設置與職責配置
標準中的“機構(gòu)設置與職責配置” 對應全面合規(guī)管理體系要素中的“合規(guī)管理組織”���,但做了簡化要求,更能體現(xiàn)了中小企業(yè)合規(guī)管理體系的特點���,包括:
1. 合規(guī)領(lǐng)導機構(gòu)——合規(guī)管理委員會或合規(guī)領(lǐng)導小組�����;
2. 合規(guī)管理第一責任人——法代或?qū)嶋H控制人及各業(yè)務部門負責人��;
3. 合規(guī)管理機構(gòu)——合規(guī)管理部門或合規(guī)專員��。
此外標準中還規(guī)定了各機構(gòu)的有關(guān)合規(guī)管理職責�。
而ISO37301國際標準第5.1.1條、5.2條�����、5.3條對治理機構(gòu)�����、最高管理層���、合規(guī)職能部門����、管理層����、所有人員提出了各自應承擔的合規(guī)職責。體現(xiàn)了從最高管理層到員工的5個合規(guī)管理組織層級。
此外����,于我們眾多案例中,我們會根據(jù)實際情況建議企業(yè)建立董事會�����、監(jiān)事會���、經(jīng)理層(高級管理人員)��、合規(guī)委員會����、合規(guī)管理負責人�、合規(guī)管理牽頭部門�����、業(yè)務部門�、其他職能部門的八層級合規(guī)管理組織架構(gòu),并確定各層級的合規(guī)管理職責��。而標準中規(guī)定的三層級的合規(guī)管理組織架構(gòu)符合中小微企業(yè)本身架構(gòu)不完善、對企業(yè)運轉(zhuǎn)效率的極高需求的特點�����。隨著中小微企業(yè)的逐步壯大�,其也應持續(xù)完善合規(guī)管理組織層級,以符合全面性原則��。
五����、 標準中的合規(guī)風險識別
合規(guī)風險識別是進行合規(guī)風險管控的第一步,合規(guī)風險管控又屬于合規(guī)管理的核心��,因此準確�、全面的識別合規(guī)風險對于中小微企業(yè)而言也同樣重要。標準中關(guān)于合規(guī)風險識別實行兩步走�����,即首先通過識別合規(guī)義務發(fā)現(xiàn)合規(guī)風險����,然后通過對合規(guī)風險的評估與分級進行風險排序管控。該風險識別步驟與國家標準《風險管理 風險評估計劃》第4.2.1條的風險管理過程要素以及我國《中央企業(yè)全面風險管理指引》第五條的風險管理基本流程前兩步基本一致�。
ISO37301國際標準第4.5條提到�,組織應系統(tǒng)地識別合規(guī)義務并評估其影響����,還應通過適當?shù)某绦蛞源_定新的和變更的合規(guī)義務,以確保持續(xù)合規(guī)�����。第4.6條亦要求組織應通過將其合規(guī)義務與其活動�����、產(chǎn)品����、服務及運營的相關(guān)方面來識別合規(guī)風險,并進行分析���、評價��。還要求做到定期評估以及情況或組織環(huán)境發(fā)生重大變化時再評估。這值得中小微企業(yè)借鑒��。
而要完成上述合規(guī)風險的識別工作具有一定專業(yè)性�,中小微企業(yè)應至少有一位專業(yè)的合規(guī)管理人員開展上述工作�,或者需要借助外部專業(yè)機構(gòu)的支持��。
六���、合規(guī)風險應對和持續(xù)改進
合規(guī)風險識別�、合規(guī)風險應對和持續(xù)改進皆屬于合規(guī)風險管理的重要流程��。
(一)合規(guī)風險應對與持續(xù)改進
合規(guī)風險應對和持續(xù)改進在我們實踐中是通過與有關(guān)各部門共同進行合規(guī)風險評估后確立的風險應對和改進措施��。我們一般將識別出的合規(guī)風險進行低���、中��、高三級劃分�,并將對應的風險應對和改進措施融入各部門日常業(yè)務的辦理流程����,要求有中高風險的業(yè)務部門對于識別出的中高風險要保持持續(xù)跟蹤關(guān)注,并根據(jù)實際情況定期進行檢查更新�。
標準第8.1合規(guī)風險應對和8.2條日常監(jiān)測,從機制建立�����、機制實施、實施保障����、實施效果四個方面保證了合規(guī)風險應對及日常監(jiān)測的運行有效性。
ISO37301國際標準第6.1條指出����,在建立合規(guī)管理體系時,應考慮�、確定需要解決的風險以確保合規(guī)管理體系能實現(xiàn)預期結(jié)果,并實現(xiàn)持續(xù)改進��。6.1條還進一步提出需要將識別出的風險及其應對行動措施整合進合規(guī)管理流程中�,并持續(xù)評估這些應對行動措施的有效性,這也是標準第8.1.2條所要求的����。
此外,ISO37301國際標準第6.3條“變更計劃”指出��,當組織確定需要對合規(guī)管理體系進行變更時�,變更應有計劃地進行。因此����,在中小微企業(yè)的合規(guī)管理體系面臨需求或目標的變更進而需要進行合規(guī)管理體系的優(yōu)化、升級或變更時��,應積極考慮變更的目的及其潛在后果�、合規(guī)管理體系的設計和運行有效性、是否有足夠資源支持����、職責和權(quán)限是否需要重新界定及分配等情況。
標準的第8.5條持續(xù)改進作為合規(guī)管理體系閉合環(huán)節(jié)���,對整個合規(guī)管理體系的長期有效運行具有重要作用��。標準通過建立合規(guī)整改措施和違規(guī)問責制度對發(fā)現(xiàn)的合規(guī)問題����、合規(guī)風險�、合規(guī)漏洞進行及時的整改、處置���、補救能很好的促進合規(guī)管理體系的良性循環(huán)����。
對于“持續(xù)改進”�����, ISO37301國際標準第10章也作出了明確的要求。比如在發(fā)生不符合行為時(不符合行為并不必然是不合規(guī)行為)����,組織應積極作出反應以糾正它,并評估不符合行為的原因及采取糾正行為的必要性以防止不符合行為的再次發(fā)生��,且若有必要�����,則需對合規(guī)管理體系進行更改��、完善�。
(二)舉報機制
標準第8.3的舉報機制包含了舉報的機構(gòu)、舉報渠道���、舉報信息保密制度�����、舉報人保護制度�����、舉報處置流程以及合規(guī)疑慮與咨詢程序��。
ISO37301國際標準第8.3條“提出質(zhì)疑”要求組織應建立�����、實施和維護一個流程機制�,以鼓勵和允許報告(在有合理理由相信信息為真的情況下)企圖�、懷疑或?qū)嶋H違反合規(guī)政策或合規(guī)義務的行為,并表示該機制:
1. 應在整個組織中是易見和可訪問的���;
2. 應對舉報進行保密處理���;
3. 應接受匿名舉報;
4. 應保護舉報人免遭報復�;
5. 應使人員能獲得建議。
我們認為舉報機制還應包括相應的激勵措施�。相較于國有企業(yè)而言,中小微企業(yè)對于舉報激勵措施的提出可以有更多樣化的方式�����,比如對于舉報員工可給予因其舉報行為及時防止了公司重大損失的1%作為獎勵,這從合規(guī)文化培育角度而言亦具有良好的促進作用��。
(三)合規(guī)報告
標準第8.4的報告機制包含了合規(guī)報告的對象��、內(nèi)容�、形式、周期�����、流程等制度以及有關(guān)合規(guī)報告真實性�����、客觀性和全面性的要求�。
ISO37301國際標準第9.1.4條也要求組織應建立、實施和維護合規(guī)報告流程機制���。在我們的實踐中��,合規(guī)報告一般分為合規(guī)年度報告�����、專項合規(guī)報告�����、重大合規(guī)風險報告����。而對于中小微企業(yè),我們認為中小微企業(yè)應至少將合規(guī)報告機制細化建立合規(guī)年度報告����、重大合規(guī)風險報告機制�。
年度合規(guī)報告能有助于企業(yè)高層判斷合規(guī)管理體系有效性,并對下一年度的合規(guī)管理工作進行安排��。重大合規(guī)風險報告則是屬于專項合規(guī)報告中的一種��,即在發(fā)現(xiàn)重大合規(guī)風險后��,及時向企業(yè)管理層報告�,以及時的應對重大合規(guī)風險,防止損失進一步擴大�。
七、 合規(guī)文化建設
合規(guī)文化作為合規(guī)管理保障機制中的重要環(huán)節(jié)具有非常重要的意義�。企業(yè)從合規(guī)意識的萌芽到成長再到形成共通的合規(guī)文化需要長時間的培育。在打造企業(yè)法治文化��、推進法治文化建設、建立更完善健康的法治營商環(huán)境背景中�,中小微企業(yè)在成立之初就應該將依法合規(guī)經(jīng)營的理念融入企業(yè)文化之中。這不僅要求企業(yè)管理層帶頭��,更需要各層級��、各部門�、各員工具有良好的合規(guī)意識。該標準對企業(yè)負責人�����、管理層���、各層級員工提出了合規(guī)要求�,并通過合規(guī)績效考核��、合規(guī)培訓予以落實�����。
ISO37301國際標準第5.1.2條要求治理結(jié)構(gòu)�����、最高管理層、管理層應積極�����、持續(xù)的踐行承諾�,并鼓勵創(chuàng)造支持合規(guī)行為,不容忍非合規(guī)性行為�。這都是合規(guī)從最高層做起的文化舉措。
八���、 結(jié)語
《中小企業(yè)合規(guī)管理體系有效性評價》標準是在綜合考慮中小微企業(yè)各項特質(zhì)后對全面合規(guī)管理體系的高度濃縮���,蘊含了全面合規(guī)管理體系核心要素�����,對我國中小微企業(yè)具有較高的貼合度����。面對內(nèi)外部監(jiān)管環(huán)境逐漸嚴格的趨勢,中小微企業(yè)更應積極主動地開展并強化合規(guī)管理���,有效預防和管控合規(guī)風險�。
