企业合规,谁是企业合规的直接受益人?无疑,企业合规的最直接受益人就是企业的法定代表人。其次,是企业的股东,第三是企业的员工,特别是目前国资委要求的国企深化改革,推进企业法制化建设的要求,合规对受益人,更是能够有“立竿见影”的效果。 第一 识别清单 第二 建立清单 第四 清单落地 ISO37301 使用指南“运行和策划”提出了,一个设计良好的合规管理体系包括各种措施(如政策、流程、程序),这些措施既能为合规文化提供内容,又能产生效果。它们旨在解决降低合规风险评估流程中确定的风险。 运行控制的一个基本要素是行为准则,其中规定了本组织对相关合规义务的充分承诺。行为准则应适用于所有人员,并可供他们所用。根据行为准则及其延伸,合规措施应纳入组织的日常运行中,以期培养合规文化。 在与业务流程相关的情况下,如果缺少此类控制,可能会导致偏离合规政策或违反合规义务,则需要进行运营控制。这些情况可能与所有业务情况、活动或过程(如生产、安装、维修、维护)有关,也可能与承包商、供应商或销售商有关。 控制的程度不同取决于几个因素,如所执行职能的重要性或复杂性、不合规的潜在后果或所涉及或可用的技术支持。当运行控制失败时,有必要采取措施来解决任何不良结果或影响。 除了具备设计良好的合规管理措施以外,合规关键清单的落地,还需要把关注点放在责任主体上。即以岗位为单元,将合规职责、合规义务、合规风险识别、合规评价等都落实到岗位上,合规管控落实到岗位上,合规培训落实到岗位上。同理,再将落实到岗位上的所有内容,同步落实到业务合规流程中去。 第五 小结 综上,国资委提出的合规管理办法,关键之三是要制作好本文探讨的“三张清单”,具有现实意义:通过风险识别清单,可以找到合规风险;岗位合规职责清单,可以落实合规管理的岗位和人员;流程管控清单,用来确定不同合规风险应对和处理方法,进而实现目标清晰、责任到位、措施落实。
《中央企业合规管理办法》(以下简称《办法》)第十三条、十四条、十五条中,明确建立了三道防线,企业合规的第一责任人是企业的业务部门及职能部门,要对本部门的合规管理流程编制风险清单和岗位职责清单;第二道防线是合规管理部门,负责起草制定合规的基本制度和各种规章制度,展开合规管理的有效性评价和违规调查,建立起合规流程嵌入企业经营的防线;第三道防线,是纪检监察机构和审计、巡检、监督追责部门,负责对合规落实进行监督。
以上的合规管理办法对合规责任主体的各自责任进行了厘清。然而,责任主体的各自职责如何做到依序履行,将合规落地,就需要制作以下三张合规关键清单:
第一张“清单”是风险识别清单。这是合规管理工作的基础,通过各个业务部门和管理部门逐项梳理自己的工作内容,结合各项必须遵循的法律法规和政策文件,确定工作中的合规风险点,把这些风险点按照风险程度和发生概率排列出来,形成风险识别清单。
第二张“清单”是岗位合规职责清单。每个岗位都有清晰的岗位职责,对照这些岗位职责,将每个职责中的合规审核、合规管理、合规动作都反映出来,对于本岗的合规职责就能凸显并汇总为合规职责清单。
第三张“清单”是流程管控清单。是指所有企业的业务流程和管理流程中,通过识别合规风险,都要设置关键风控点,并增加合规审查环节,每个流程管控环节依次确认,就形成流程管控清单。 合规风险识别清单、岗位职责清单、流程管控清单,是《中央企业合规管理办法》明确企业必须建立的关键清单,其内部逻辑是功能彼此衔接,工作顺序层层递进,直到形成完整闭环。当然在此之中,配合这三张关键清单落地的还需要其他的内容配合,如法律法规清单,或者合规义务清单等。
《办法》第二十条明确:中央企业应当建立合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库,对风险发生的可能性、影响程度、潜在后果等进行分析,对典型性、普遍性或者可能产生严重后果的风险及时预警。
风险识别,基本上以各业务部门或职能部门为主,在梳理各自部门履职流程过程中,出现未履职或未正确履职的后果,即是风险。
可以这样说,“岗位合规职责清单”与“风险识别合规清单”其实是一件事务的两个面,如果没有按照岗位职责履职尽责,则会启动对应的风险识别清单内的风险点,同样会启动合规流程中的关联环节,自然启动合规流程:要求违规岗位责任人做出调整、改正,直至合规。
其实,这样的合规改正环节的启动引发的一系列流程和动作,又是合规流程清单的具体表现。 牵一发而动全身。整个合规体系中,无法割裂任何一个合规清单,使其在合规体系中独立启动,发挥作用。合规审查是合规体系的关键环节,任何一个合规审查的启动,都是从各部门自行提起申请,到相关部门进行专项内容合规审查,再到法律部门合规审查,最后到合规管理部门的合规规范的审查,整个期间流程的任何一个环节,如果出现不符合合规,均要从头启动。
所以,本文讨论三张关键的合规清单,在内容上、形式上、流程上一定是相互满足、相互制约、又相互监督的一套体系性文件。这一整套文件的建立和更新,也同样,任何一个点的细微变动,均要做出其他清单的相应变更。虽然,风险评估清单和岗位职责清单在流程层面上基本是相辅相成,但不代表这两张清单在内容方面是正反一致的。是因为,风险来源,既有来自于公司之外的,也有公司内部产生的。公司面临的合规风险进行识别分析评价,才能形成公司合规风险清单。
第三 制作关键清单
岗位职责的完整是后续合规风险评估覆盖的基础。如果岗位职责发生遗漏,则企业就会存在对应的合规风险。
梳理岗位职责的业务清单,目标是穷尽。
岗位合规清单,包含岗位职责义务和岗位风险。梳理方法有两种,可以从岗位职责入手,梳理履职业务活动清单,也可以从部门职责内容入手。根据业务内容清单,检索每一个业务对应需要遵守的合规义务,合规义务包括公开的法律法规强制性标准制度,也包括政策性法律法规和国际性文件,还有上级主管单位的监管文件,按照业务归口,建立起部门职责的合规业务清单。
风险识别清单,同样可以按照岗位或者部门主责两个方面入手。都是通过对员工的岗位职责,和部门主责的业务内容范围,对照企业制度中确定的职责说明,梳理出对应的履职事项,进行合规风险源识别、对应的风险情形描述,进行风险分析与风险评估分级,列出风险识别清单。
所以,做好合规流程的嵌入,还需编制公司层面由首席合规官进行合规审查的业务环节清单。同样,各业务和职能部门,需编制自己部门合规审查的环节清单。
最后,合规管理部门需针对企业合规体系,还是以业务管理为中心,将涉及该业务适用的合规义务实质性要求、制度化的合规风险应对措施单独制定成《业务合规管理指南》,并对应形成《业务流程合规管控清单》。同样,也是与业务管理制度相对独立,业务经办人员在按照业务管理制度执行业务的同时,也按照《业务合规管理指南》执行业务。
合规管理,是把合规审查标准、流程、重点等,定期对审查情况开展后评估等用制度规范好,并且将上面的公司层面、部门层面的两级合规审查业务环节事项清单作为附件共同执行。