2022年10月1日正式实施的《中央企业合规管理办法》(以下简称《办法》)第13-15条中,明确合规战略,守护合规价值,明确了建立三道防线。
《办法》第二十条明确:中央企业应当建立合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库,对风险发生的可能性、影响程度、潜在后果等进行分析,对典型性、普遍性或者可能产生严重后果的风险及时预警。
以上的合规管理办法对合规责任主体的各自责任进行了厘清。责任主体的各自职责履行,合规落地,就需要制作以下三张合规关键清单:
第一张“清单”:风险识别清单。
合规管理工作的基础,通过各个业务部门和管理部门逐项梳理各自工作内容,结合必须遵循的法律法规和政策文件,确定工作中的合规风险点,把这些风险点按照风险程度和发生概率排列出来,从而形成风险识别清单。
第二张“清单”:岗位合规职责清单。
第三张“清单”:流程管控清单。
三张清单的内部逻辑是功能彼此衔接,工作顺序层层递进,直到形成完整闭环。除此之外,配合落地的还有其他,诸如法律法规清单、规章制度清单等。建立三张清单
风险识别,主要以各业务职能部门为主,各自梳理履职流程过程中,出现未履职或未正确履职的后果,这些不确定性就是风险。
其实,“岗位合规职责清单”与“风险识别合规清单”其实是一体两面,如果没有按照岗位职责履职尽责,则会启动对应的风险识别清单内的风险点;同样会启动合规流程中的关联环节,从而启动合规流程:要求违规岗位责任人做出调整、纠正,直至合规为止。
如此合规改正环节的启动引发的一系列流程和动作,又是合规流程清单的具体表现。牵一发而动全身。整个合规体系中,无法割裂任何一个合规清单,使其在合规体系中独立启动,发挥作用。
合规审查是合规体系的关键环节,任何一个合规审查的启动,都是从各部门自行提起申请,到相关部门进行专项内容合规审查,再到法律部门合规审查,最后到合规管理部门的合规规范的审查,整个期间流程的任何一个环节,如果出现不符合合规,均要从头启动。
因此,我们讨论三张合规清单,在内容上、形式上、流程上一定是相互满足、相互制约、又相互监督的一套体系性文件。三张表相辅相成,形成联动更新。
制作关键清单
1)梳理所有岗位涉及业务范围的合规事项清单,确保完整、准确。
三张清单落地执行 ISO37301 合规管理体系要求及使用指南“运行和策划”提出了,一个设计良好的合规管理体系包括各种措施(如政策、流程、程序),这些措施既能为合规文化提供内容,又能产生效果。它们旨在解决降低合规风险评估流程中确定的风险。行为准则应适用于所有人员,根据行为准则及其延伸,合规措施应纳入组织的日常运行中,以期培养合规文化。 在与业务流程相关的情况下,如果缺少此类控制,可能会导致偏离合规政策或违反合规义务,则需要进行运营控制。这些情况可能与所有业务情况、活动或过程(如生产、安装、市场、维护)有关,也可能与供应商或销售商等有关。当运行控制失败时,有必要采取措施来解决任何不良结果或影响。 除了具备设计良好的合规管理措施以外,合规关键清单的落地,还需要把关注点放在责任主体上。即以岗位为基本单元,将合规职责、合规义务、合规风险识别、合规评价等都落实到岗位上,合规管控落实到岗位上,合规培训落实到岗位上。同理,再将落实到岗位上的所有内容,同步落实到业务合规流程中去。 综上,中央合规管理办法的合规落实关键就是要制作好“三张清单”,具有现实意义: (1)风险识别清单,找到合规风险; (2)岗位合规职责清单,落实合规管理的岗位和人员执行到位; (3)流程管控清单,确定不同合规风险应对和处理方法,实现目标清晰、责任到位、措施落实。
梳理岗位职责的业务清单,应列尽列。
岗位合规清单,包含岗位职责义务和岗位风险。梳理方法有两种,可以从岗位职责入手,梳理履职业务活动清单,也可以从部门职责内容入手。根据业务内容清单,检索每一个业务对应需要遵守的合规义务,合规义务包括公开的法律法规强制性标准制度,也包括政策性法律法规和国际性文件,还有上级主管单位的监管文件,按照业务归口,建立起部门职责的合规业务清单。
风险识别清单,同样可以按照岗位或者部门主责两个方面入手。都是通过对员工的岗位职责,和部门主责的业务内容范围,对照企业制度中确定的职责说明,梳理出对应的履职事项,进行合规风险源识别、对应的风险情形描述,进行风险分析与风险评估分级,列出风险识别清单。
3)当发生业务变更,或者新规出来等其他重要的变化,则需及时和定期进行合规风险再识别、再分析和再评估,每年需要全员、全领域、全过程至少一次。
《办法》中明确的重点专项领域,如针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,风险识别清单要制定及时预警机制。
合规管理办法中涉及的第一关键人物“首席合规官”,第二关键环节“合规审查”均做了相应的解读。
所以,做好合规流程的嵌入,还需编制公司层面由首席合规官进行合规审查的业务环节清单。同样,各业务和职能部门亦然。
最后,合规管理部门需针对企业合规体系,还是以业务管理为中心,将涉及该业务适用的合规义务实质性要求、制度化的合规风险应对措施单独制定成《业务合规管理指南》,并对应形成《业务流程合规管控清单》。
合规管理,就是把合规审查标准、流程、重点等,定期对审查情况开展后评估等用制度规范好,在公司层面与部门层面的两级合规审查业务环节事项清单作为附件共同执行。