引言:
近日,全国工商联、最高人民检察院、司法部等九部委联合印发《涉案企业合规建设、评估和审查办法(试行)》(以下简称《办法》),为涉案企业合规整改明确了方向和路径,对涉案企业合规管理体系的搭建提出了进一步标准化、规范化的要求。本文依此《办法》结合涉案企业合规整改的实践经验,提炼出涉案企业实现有效合规整改的八个基本要求,以供参考。
1停止违法违规行为,积极修复、赔偿
首先,涉案企业应当全面停止涉罪违规违法行为,积极采取退缴违规违法所得、补缴税款和滞纳金、缴纳相关罚款等方式修复受损法益、赔偿相关损失,在认罪认罚的基础上,全力配合有关主管机关、检察机关及第三方组织的相关工作。
其次,涉案企业应当坚决杜绝新的违法违规行为发生,需要注意的是,新的违法违规行为不仅是指再次发生与已涉罪行为相同的违法行为,也包括其他新的违法违规行为,例如涉嫌虚开增值税发票罪的企业,在适用涉案企业合规第三方监评机制进行合规整改期间,不仅要杜绝再次出现虚开增值税发票的违法行为,也要杜绝环境污染、虚假招投标等其他各种违法行为,否则本次合规整改将终止或整改不合格。
2设立匹配自身实际的有效合规管理组织架构与职责
涉案企业一般应当成立合规建设领导小组,由其实际控制人、主要负责人和直接负责的主管人员等组成。涉案企业应当设置与企业类型、规模、业务范围、行业特点等相适应的合规管理机构或者管理人员。
一般情况下,合规管理的组织架构至少设置两个层级,分别是决策层、执行层。其中,执行层内设“三道防线”,分别是由业务部门、职能部门组成的“第一道防线”,负责本业务领域的流程完善、日常合规审查、合规预警等相关工作;法务部门、内控部门等作为合规牵头部门,是合规管理的“第二道防线”,也是合规管理的核心,负责牵头组织开展合规检查与考核评估、起草相关制度等具体合规管理工作,由审计部门、纪检部门组成的“第三道防线”,负责对企业经营管理行为和问题整改情况进行监督、检查、调查等。
决策层作为合规管理的第一责任主体,除在重大事项、重要合同上拍板决策外,另一个重要职责则是统筹协调执行层内“三道防线”的分工,并提供充足的资金、人力等保障。
对于国有企业和大型民营企业,还可以在董事会中专门增设合规委员会及办公室,设立合规管理负责人、首席合规官等高级合规管理人员,还可以增设专门的合规管理部门承担第二道防线的职责。
对于中小微企业,则可以进一步合并架构层级,由决策层直接承担“第二道防线”职责。
3有效识别与评估涉案合规风险
梳理内部业务流程、外部合规义务是梳理涉案合规风险识别的前提,但并不意味着熟悉了业务流程和合规义务后,相关合规风险就当然可以全部被发现,它还需要依靠经验及通过访谈、问卷、案例分析、权利识别等多种形式和工具获取各种信息,加以综合识别、评估。
合规风险的识别结果,是制定合规整改计划、采取合规整改措施的基础依据,有效的合规风险识别结果应体现企业合规管理的薄弱环节、不同岗位或业务流程节点的风险等级。
需要注意的是,合规风险的评测深度和广度,并非一成不变的,需要结合企业的规模、所处行业的监管程度、自身风险状况和合规目标等,调整评测的颗粒度,同时,合规评测的结果也非一劳永逸的,这是由内部业务、外部义务的不断变化所决定的。
4监测、举报、调查、处理机制的设立与运行
企业应当建立监测、举报、调查、处理机制,保证及时发现和监控合规风险,纠正和处理违规行为。
合规监测,既包括对外部合规风险的预警,也包括对内部人员违规行为的监测。对于发现的具有趋势性、典型性、普遍性的外部合规风险,业务部门和合规部门应当出具合规风险提示书予以预警。对于内部人员违规行为的监测,要充分利用信访、巡视等渠道,接受企业内外部违规行为投诉、举报,同时企业应采取措施保护举报人。
合规调查,应由不存在利益冲突的人员独立进行,并通过调查笔录、调查报告等形式确保调查过程的完整性、调查结果的公正性,必要时可以聘请公司外部机构开展。
对于发现的违规人员、违规情况,应当按照公司有关制度,分别由各相关部门负责追究问责。
5合规绩效评价机制的建立与运行
涉案企业应当建立合规绩效评价机制,引入合规指标对企业主要负责人、经营管理人员、关键技术人员等进行考核。
常见的合规绩效指标包括参加合规培训的数量和效果、监管机构的处罚次数或联系频率、发布合规预警数量、举报反馈情况、供应商采购方等第三方反馈、挽回损失金额等。[1]
此外,绩效评价机制还应当设置评价方法、评价标准、评价时间等。对于评价结果,还可以引入“不合规一票否决制”或“合规免责”的考核方式。
6持续整改机制的建立与运行
涉案企业应当建立持续整改、定期报告等机制,保证合规管理制度机制根据企业经营发展实际不断调整和完善。
整改机制作为监督处置机制和绩效评价机制的延续,将最终形成两个结果。其一,当监测、举报、调查、处理机制经绩效评价认为可以有效降低合规风险时,整改机制将固化整改措施成为标准,并持续循环适用;其二,当监测、举报、调查、处理机制经绩效评价认为并未有效降低合规风险时,整改机制将持续调整整改措施直至奏效。
7合规文化的建立
合规管理体系持续良好运行,离不开全体员工的合规意识。合规意识,对大多数人来说,必须不断地提醒、重复,方可养成或提高,而建立合规文化的核心目标就在于提升员工的合规意识,尤其是企业管理人员、重要岗位、高风险岗位及新入职人员。只有当员工将企业的合规理念、合规价值观、合规目标等内化于心,才能更好遵守外部的合规义务及企业内部制度等。
首先,领导重视是合规文化建立的基础。这就需要企业实际控制人、主要负责人必须作出合规承诺并明确宣示:合规是企业的优先价值,对违规违法行为采取零容忍的态度,确保合规融入企业的发展目标、发展战略和管理体系。同时领导重视的外在表现,即为合规管理制度机制的有效运行提供必要的人员、培训、宣传、场所、设备和经费等人力物力保障。
其次,全员合规承诺。员工签订《合规承诺书》旨在提醒员工认识自身岗位合规风险、遵守合规管理制度和各项合规准则、不触犯合规红线和底线的重要形式。
最后,合规培训常态化。合规培训的内容应当包含两个方面,第一是培训相关法律、法规等合规义务知识,第二是培训合规管理的技能方法,指导如何有效运转各项机制。唯此,员工方有能力将合规风险纳入到考量、决策因素中,进而影响到合规行为。
8制定合规管理制度
合规管理制度是企业开展合规管理的根本依据,是企业全体人员应当共同遵守的行动准则。制度的制定应当根据风险识别的结果,以公司业务流程为线索,结合企业自身实际,突出重点领域、关键岗位和薄弱环节。
合规管理制度的主要内容应当涵盖本文前述各项基本要求,也即在明确合规管理组织架构和职责的基础上,重点强调监督处置机制、绩效评价机制等合规管理运行机制,以及保障各项机制有效运行的配套措施。
上述八个要求遵循了“制定——执行——评价——改进”循环管理的经典流程,亦被《办法》明确为合规评估的重点内容。在完成八个基本要求的过程中,笔者认为涉案企业还应当注意两个方面:
第一,以全面合规为目标。涉案企业以专项合规为重点,但不能忽略全面合规的目标,不论是风险识别的更新,还是监测、评估、处理、绩效评价、改进等机制的循环运行,企业都应当根据规模、业务范围、行业特点等因素变化,逐步增设必要的专项合规计划,以推动实现全面合规。
第二,整改过程的留痕。务必重视制作和收集合规培训、合规承诺以及调查、考核等合规运行过程中的合规管理活动资料,及时留存相关的信息、数据,这是合规管理体系真实性、有效性的有力证据之一。
参考文献:
[1] ISO37301:2021合规管理体系要求及使用指南9.1.6
撰稿人:刘文忠、张雨
