如何建立一个有效运作的GB/T35770-2017 / ISO19600:2014企业合规管理体系
本文从《企业合规管理办法》九章26节对应《合规管理体系指南》标准的条款,对比美国司法部刑事局《企业合规方案(体系)有效性评价》对一个企业有效的合规管理体系的若干要求,作一个简单的索引,给企业合规管理从业人员一个理解和掌握《企业合规管理办法》九章26节内容实质、读懂标准、借鉴中西的路径指引,算是回答该问题——如何建立一个有效运作的企业合规管理体系?
一、合规文化管理
对应GB/T35770-2017/ISO19600:2014 4.1、4.2、 6.3、6.4
基本要求:合规文化进企业文化
1、企业合规方针
2、企业董监高合规承诺书
3、企业董监高合规工作领导与合规示范行为准则
4、企业员工合规行为准则
5、企业合规文化建设与合规宣传管理
●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求:
高层和中层管理层的承诺
高层的行为
高级领导人如何通过其言行鼓励或阻碍合规行为,包括调查中涉及的不当行为?
他们采取了哪些具体行动,以彰显在合规和补救努力方面的领导力?
他们如何为下属树立得体的行为榜样?
在开拓新业务或追求更高收入的过程中,管理者是否容忍默许了更大的合规风险?
管理者是否鼓励员工为实现业务目标而做出不道德的行为,或者阻碍合规人员有效地履行其职责?
共同的承诺
高层领导和中层管理相关者(例如,业务及营运经理、财务、采购、法律、人力资源部门)采取了哪些行动表明他们对合规或合规人员的承诺,包括他们在补救方面做出的努力?
面对存在竞争的利益或商业目标,他们是否信守承诺?
监督
董事会中有多少合规专家?
董事会及/或外聘审计师是否与合规和控制管理职能部门召开过执行会议或非公开会议?
董事会和高级管理人员在执行对不当行为发生领域的监督时,审查了哪些类型的信息?
合规文化
企业每隔多久以及如何衡量其合规文化?
企业是否向各级员工征询意见,以确定他们是否理解高级和中级管理层对合规的承诺?
企业采取了什么方法对合规文化的衡量?
不当行为的沟通
高级管理层采取了什么措施让员工了解企业对不当行为的立场?
当员工因不遵守企业的政策、流程和控制程序(例如:对导致纪律处分的不当行为类型的匿名举报)而被解雇或受到纪律处分时,通常会进行什么样的沟通?
二、合规要求(义务)管理
对应GB/T35770-2017/ISO19600:20143.5
基本要求:合规义务对应到岗位,合规义务对应到业务流程
6、企业合规义务识别管理要求、方法与合规义务责任人管理
●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求:
未有具体的要求。
三、合规风险识别分析评价
对应GB/T35770-2017/ISO19600:2014 3.6
基本要求:合规风险识别分析评价对应到岗位,合规风险识别分析评价对应到业务流程,合规风险识别分析评价对应到合作伙伴
7、企业合规风险识别、分析、评价管理
8、企业合作伙伴合规风险尽职调查(对应GB/T35770-2017/ISO19600:2014 7.3)
●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求:
风险管理流程
企业采取何种方法识别、分析、应对其面临的特定风险?
企业收集、利用了哪些信息或指标,以帮助检测存在问题的不当行为类型?
这些信息或指标如何影响企业的合规方案(体系)?
风险特定的资源配置
企业是否把过多的时间花在监管低风险领域而非高风险领域,例如:支付给第三方咨询企业的可疑账款、可疑交易活动、或给予经销商和分销商过多的折扣?
企业是否依照约定和要求对高风险交易(例如:与高风险国家的政府机构签订大额合同)进行了更严格的审查,而不是把重点放在更温和、更常规的接待和娱乐活动方面?
更新和修订
风险评估是否现行有效并定期审查?
根据经验教训,是否对政策和流程进行了更新?
这些更新是否对不当行为或合规方案(体系)的其他问题发现的风险做出了解释?
四、合规控制与策划
对应GB/T35770-2017/ISO19600:2014 5、7
基本要求:合规管控对应到岗位,合规管控对应到业务流程,合规管控对应到合作伙伴
9、企业合规目标管理
10、企业合规风险应对措施策划管理
11、企业重点业务、重点环节、重点岗位的专项合规管理指引,如出口合规操作指引、收购并购合规操作指引、海外投资合规指引、数据保护合规操作指引等。
12、企业合作伙伴持续合规监控
●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求:
设计
企业设计和实施新政策和流程的程序是什么?
此程序是否随着时间的推移而改变?
谁参与了政策和流程的设计?
在推出新业务部门之前,是否征询过他们的意见?
全面性
企业在监控和执行反映、处理其面临的风险范围(包括法律和监管领域的变化)的政策和流程方面做了哪些努力?
运作整合责任
谁负责整合政策和流程?
这些政策和流程的推行方式是否确保了员工对政策的理解?
以何种具体方式通过企业内部控制系统对合规政策和流程进行强化?
把关人
对控制过程中的关键把关人(如:具有审批权限或认证责任的人员)提供了什么样的指导和培训(如有)?
他们知道要注意什么不当行为吗?
他们知道何时、如何上报问题吗?
第三方管理
基于风险的、经整合的的流程
企业的第三方管理流程如何与企业识别的风险性质和水平相对应?
该流程如何被整合到相关的采购和供应商管理流程中?
恰当的管控
企业如何确定存在适当的商业理由使用第三方?
如果第三方涉及潜在的不当行为,那么使用这些第三方的商业理由是什么?
存在哪些机制来确保合同条款明确描述了将要履行的服务、支付条款是否合适、所述合同工作是否得以完成,以及薪酬是否与所提供的服务相称?
关系管理
企业如何考量、分析应对合规风险的第三方的薪酬和激励机制?
企业如何监控其第三方?
企业是否拥有查阅分析第三方账簿和账目的审计权利,
企业过去是否行使过这些权利?企业如何对第三方关系经理进行合规风险培训,以及如何管理第三方经理?
企业如何激励第三方的合规和道德行为?
实际行动与结果
企业是否跟踪在第三方尽职调查中发现的危险信号,以及如何处理这些危险信号?
企业是否保留未通过尽职调查或已被终止服务的第三方的记录?
且是否采取措施确保这些第三方日后不会被聘用或重新聘用?
如果第三方曾卷入不当行为的调查,尽职调查时或雇佣第三方后企业是否发现了这些危险信号,这些问题是如何解决的?
是否有类似的第三方由于合规问题而被暂停、终止服务或接受审计?
兼并和收购(并购)
尽职调查流程
在尽职调查期间是否发现了不当行为或潜在不当行为的风险?
谁负责对收购/合并实体进行风险审查?
风险审查是如何开展的?
并购尽职调查的流程是什么?
并购过程中的整合
合规职能是如何纳入兼并、收购和整合过程中的?
连接尽职调查与实施执行的流程
企业采用何种流程跟踪和纠正尽职调查过程中发现的不当行为或不当行为风险?
企业采用了何种流程以在新实体中实施合规政策和程序?
五、合规培训
对应GB/T35770-2017/ISO19600:2014 6.2
基本要求:合规培训对应到岗位,合规培训对应到业务流程,合规培训对应到合作伙伴
13、企业合规培训管理
14、企业合作伙伴合规培训管理
●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求:
基于风险的培训
拥有相关控制职能的员工接受过哪些培训?
企业是否为高风险和控制岗位的员工提供了量身定制的培训,包括针对不当行为发生领域的风险的培训?
主管人员是否接受过其他或补充培训?
企业进行了什么样的分析来决定谁应该接受培训,培训的科目是什么?
培训形式/内容和有效性
培训的形式和语言是否适合听众?
提供在线培训,还是现场培训(或者两者都提供)?
企业选择培训方式的理由是什么?
培训是否涉及从以前的合规事件中吸取的经验教训?
企业如何评估培训的有效性?
是否对员工的所学知识进行了测试?
企业如何处理所有或部分测试不合格的员工?
指导的适用性
为员工提供了哪些有关合规政策指导的资源?
企业如何评估员工是否知道何时寻求建议,以及他们是否愿意这样做?
六、合规管理架构
对应GB/T35770-2017/ISO19600:2014 4.3、6.1
基本要求:合规组织与职责对应到岗位
15、合规组织管理
15.1合规治理结构
15.2合规管理机构
15.3岗位合规职责:企业董监高、管理部门、合规部门、员工的各岗位职责描述中增加“合规职责”
16、企业合规管理员队伍建设
●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求:
(合规部门)自主权和资源
架构
合规职能设置在企业内部的哪个机构(例如,法律部门、下属某一业务功能、或向首席执行官和/或董事会汇报的独立职能部门)?
合规部门向谁报告工作?
合规部门是由指定的首席合规官负责,还是由企业内的另一位高管负责,此人在企业内是否有其他职责?
合规人员是否仅专注于合规职责,又或他们在企业内部是否有其他非合规业务的职责?
企业出于什么原因选择了现有的合规结构?
资历和地位
合规部门与企业其他战略部门在地位、薪酬水平、级别/头衔、汇报程序、资源和与关键决策者接触方面有何不同?
合规及相关控制部门 人员的流动率是多少?
合规在企业的战略和运营决策中扮演了什么样的角色?
在合规人员提出应关注的问题时,企业如何应对这些具体情况?
是否存在因为合规问题而被停止、整改或进一步审查的事务或交易?
经验和资质
合规和控制从业人员是否具有与其角色和职责相适应的经验和资质?
随着时间的推移,承担这些职责的人员的经验和资质水平是否发生了变化?
谁负责评审合规部门的绩效表现?评审流程是什么?
资金和资源
是否为合规人员配备了充足的人力,以进行有效的审计、记录、分析和合规工作的成果运用?
企业是否为此提供了充足的资金保障?
是否有过拒绝合规和控制部门的资源申请的情况?如有,则是基于什么原因?
自主权
合规和相关控制部门是否可直接向董事会和/或审计委员会的任何人汇报工作?
他们与董事们的会谈多久一次?
高级管理人员是否出席这些会议?
企业如何确保合规和控制人员的独立性?
外包的合规职能
企业是否将其全部或部分合规职能外包给了外部企业或顾问?
如果是,原因是什么,谁负责监督或联系外部企业或顾问?
外部企业或顾问对企业信息的访问权限级别是什么?
如何评估外包流程的有效性?
七、合规绩效管理
对应GB/T35770-2017/ISO19600:2014 8
基本要求:绩效管理对应到企业绩效管理,绩效管理对应到员工个人绩效管理。
17、企业合规绩效考核与激励管理
18、企业员工合规绩效考核与激励管理(对应GB/T35770-2017/ISO19600:20144.3.5i))
19、企业合规问题投诉、举报、调查与问责管理
20、合规统计报告
20.1企业合规工作报表统计管理
20.2企业合规报告与报告线管理(对应GB/T35770-2017/ISO19600:2014 9.1.2)
21、企业合规审计管理
●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求:
人力资源流程
谁参与做出纪律处分决定,包括存在问题的不当行为的类型?
每一例不当行为是否都遵循相同的流程,如果没有,为什么?
是否向员工传达纪律处分的实际原因?如果没有,为什么?
是否存在限制信息传达的相关法律或调查原因,或是否提供了“托词式”的原因,保护企业免受指控揭发或外部审查?
一致应用
是否在整个组织中公平、一致地应用、实施纪律处分和奖励措施?
是否存在被区别对待的不当行为的类似案例,如有,为什么?
激励机制
企业是否衡量过激励和奖励对合规工作的影响?
企业如何激励合规和道德行为?
是否有过出于合规和伦理方面的考虑而采取行动的具体例子(例如,晋升或奖励被拒绝)?
谁来决定包括奖金在内的薪酬,以及合规人员的纪律处分和晋升事宜?
保密报告结构和调查过程
举报机制的有效性
企业是否有匿名举报机制?
如果没有,为什么没有?
如何向企业员工宣传报告机制?
有人用过吗?
企业如何评估其收到的指控的严重性?
合规部门是否完全有权获得举报和调查信息?
由有权力的人员进行适当范围的调查
企业如何确定哪些投诉或危险信号值得进一步调查?
企业如何确保调查的范围是适当的?
企业采取了哪些步骤来确保调查是独立的、客观的、适当地进行和适当地记录的?
企业如何决定谁应该负责进行调查,谁来做决定?
调查响应
企业是否应用时间指标来确保响应能力?
企业是否有监控调查结果,并确保对任何调查结果或建议的回应负责的程序?
资源和结果跟踪
举报和调查机制的资金是否充足?
企业如何从其举报机制中收集、跟踪、分析和使用信息?
企业是否定期对举报或调查结果进行分析,以确定不当行为的模式或合规弱点的其他危险信号?
内部审计
确定在何处、多长时间开展内部审计的流程是什么?
基于什么理由制定该流程?
如何开展审计工作?
什么类型的审计能发现与不当行为相关的问题?
是否进行过此类审计,结果如何?
定期向管理层及董事会报告过哪些种类的相关审计结果及补救进展?
管理层和董事会如何跟进?
内部审计多久对高风险领域进行一次评估?
控制程序测试
企业是否在与不当行为有关的领域对合规方案(体系)进行了审核?
一般而言,企业会进行哪些控制测试、合规数据的收集和分析,以及对员工和第三方的采访?
如何报告结果、跟踪实施项目?
调查(结果)应用
企业的调查是否被用来确定根本原因、系统漏洞和责任缺失(包括监督主管经理及高级管理人员)?
应用调查结果的流程是什么?
调查结果在企业内部可传达至怎样高的层级?
可追究性
企业针对不当行为采取了什么纪律措施?
这些措施处理是否及时?
管理人员是否对在其监管范围内发生的不当行为负责?
企业否考虑对因监督不力而采取纪律处分?
企业对员工纪律的记录(如纪律处分的数量及种类)与所涉及的行为类别有何关系?
企业是否曾因员工不当行为而解雇或以其他方式对其进行处罚(减少或取消奖金、发出警告信等)?
八、合规体系持续改进
对应GB/T35770-2017/ISO19600:2014 9
基本要求:持续有效实现合规方针与合规目标
22、企业合规管理评审
23、企业不合规不合格与纠偏管理
24、企业合规管理持续改进管理
●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求:
持续更新
企业多久一次更新其风险评估,并审查其合规政策、流程和实践?
企业是否进行了偏离分析,以确定在政策、控制或培训中是否未充分关注特定的风险领域?
企业采取了哪些方法来确定(合规)政策/流程/实践是否对特定的业务部门/子公司有实际意义?
任何潜在不当行为的分析和补救
公司对问题中的不当行为的根本原因分析是什么?
是否发现了任何系统性问题?
公司里谁参与了分析?
之前的薄弱环节分析
什么控制措施失败了?
如果政策或流程本应禁止不当行为的,它们是否得到了有效执行?
这些政策和流程主管部门是否被追究责任?
支付体系
存在问题的不当行为是如何获得资金的(例如,采购订单、员工报销、折扣、零用现金)?
哪些流程可以防止或检测到对这些资金的不当使用?
这些流程是否得到了改进?
供应商管理
若不当行为牵涉进供应商,选择供应商的流程是什么?
供应商是否参与了这流程?
早期迹象
是否有机会事先发现存在问题的不当行为?如审计报告确定的相关控制措施失败或指控、投诉或调查。
企业对“为什么错过那样的机会”的分析结果是什么?
补救措施
企业采取了哪些具体的改变以减少未来发生相同或类似问题的风险?
采取了哪些具体的补救措施以解决从根本原因分析和错失的机会分析中确定的问题?
九、合规证据管理
对应GB/T35770-2017/ISO19600:2014 6.5、8.1.9
基本要求:有效、受控
25、企业合规制度管理
26、企业合规记录管理
●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求:
可获得性
企业如何向所有员工和相关第三方传达其政策和流程?
如果企业有外国子企业,是否存在语言或其他障碍,影响外国员工对政策和流程的获取?