文 | 張從軒 匯業(yè)律師事務(wù)所 律師
前言
2022年5月23日,中國(guó)中小企業(yè)協(xié)會(huì)發(fā)布了《中小企業(yè)合規(guī)管理體系有效性評(píng)價(jià)》T/CASMES 19—2022標(biāo)準(zhǔn)(以下簡(jiǎn)稱“標(biāo)準(zhǔn)”)���。該標(biāo)準(zhǔn)的發(fā)布順應(yīng)了中國(guó)當(dāng)下合規(guī)趨勢(shì)���,為中小微企業(yè)合規(guī)管理體系建設(shè)及其有效性評(píng)價(jià)提供指引,彌補(bǔ)了這個(gè)領(lǐng)域的空白�。匯業(yè)合規(guī)管理團(tuán)隊(duì)積極參與了該標(biāo)準(zhǔn)的起草,提出了多項(xiàng)建設(shè)性建議并被采納����。
一���、 標(biāo)準(zhǔn)內(nèi)容概述
該標(biāo)準(zhǔn)共9章,除去前5章通用內(nèi)容外���,其中第6�����、7�、8����、9章及后文附錄、表格為其主要內(nèi)容���。其主要章節(jié)內(nèi)容包含了機(jī)構(gòu)設(shè)置和職責(zé)配置�、合規(guī)風(fēng)險(xiǎn)識(shí)別�、合規(guī)風(fēng)險(xiǎn)應(yīng)對(duì)和持續(xù)改進(jìn)�、合規(guī)文化建設(shè)。對(duì)于上述四項(xiàng)內(nèi)容亦在后文所附表格中按中��、小、微型企業(yè)進(jìn)行了區(qū)分指導(dǎo)��,體現(xiàn)了科學(xué)合理性����。
與全面合規(guī)管理體系的要素構(gòu)成相比較,該標(biāo)準(zhǔn)進(jìn)行了濃縮����,即:“機(jī)構(gòu)設(shè)置和職責(zé)配置”對(duì)應(yīng)全面合規(guī)管理體系要素中的“合規(guī)管理組織”;“合規(guī)風(fēng)險(xiǎn)識(shí)別�、風(fēng)險(xiǎn)應(yīng)對(duì)和持續(xù)改進(jìn)”對(duì)應(yīng)合規(guī)管理運(yùn)行機(jī)制中的“合規(guī)風(fēng)險(xiǎn)管理”;合規(guī)文化建設(shè)對(duì)應(yīng)合規(guī)管理保障機(jī)制中的“合規(guī)文化建設(shè)”����。整體上,該標(biāo)準(zhǔn)具備了合規(guī)管理組織��、合規(guī)管理運(yùn)行機(jī)制及合規(guī)管理保障機(jī)制�����,構(gòu)成相對(duì)完善穩(wěn)固的合規(guī)管理體系框架��。這與《中央企業(yè)合規(guī)管理指引(試行)》的11要素形成了鮮明對(duì)比�,也突出體現(xiàn)了其對(duì)中小微企業(yè)的體量�、組織架構(gòu)����、人力資源、運(yùn)營(yíng)成本等的綜合考量���。
該標(biāo)準(zhǔn)還參照了ISO 37301-2021《合規(guī)管理體系 - 要求和使用指南》(以下簡(jiǎn)稱“ISO37301國(guó)際標(biāo)準(zhǔn)”)的有關(guān)規(guī)定���,充分考慮了ISO37301國(guó)際標(biāo)準(zhǔn)第4條的規(guī)定,即組織需要進(jìn)行合規(guī)管理體系建設(shè)應(yīng)考慮外部與內(nèi)部問(wèn)題以確定其體系建立包含的邊界或范圍����。
二、 評(píng)價(jià)原則
標(biāo)準(zhǔn)確立了中小微企業(yè)進(jìn)行合規(guī)管理體系有效性評(píng)價(jià)的五項(xiàng)原則����,即全面性、差異性�����、明確性�����、可證實(shí)性及引導(dǎo)性原則����。
三、 評(píng)價(jià)方法�����、流程
標(biāo)準(zhǔn)倡導(dǎo)的評(píng)價(jià)方法包括文件審閱�����、問(wèn)卷調(diào)查���、訪談?wù){(diào)研�、飛行檢查����、穿行測(cè)試、感知測(cè)試��、模擬運(yùn)行等�����。這亦與目前業(yè)界進(jìn)行合規(guī)管理評(píng)估的方法類似。比如中國(guó)證券業(yè)協(xié)會(huì)《證券公司合規(guī)管理有效性評(píng)估指引》2021修訂第21條就提到上述評(píng)估方法����。
標(biāo)準(zhǔn)中的評(píng)價(jià)流程包括評(píng)價(jià)準(zhǔn)備、評(píng)價(jià)實(shí)施和評(píng)價(jià)報(bào)告��。標(biāo)準(zhǔn)的第8.5條對(duì)后續(xù)整改及考核評(píng)價(jià)與問(wèn)責(zé)做了進(jìn)一步規(guī)定�����,以實(shí)現(xiàn)流程閉環(huán)��。
四�、 機(jī)構(gòu)設(shè)置與職責(zé)配置
標(biāo)準(zhǔn)中的“機(jī)構(gòu)設(shè)置與職責(zé)配置” 對(duì)應(yīng)全面合規(guī)管理體系要素中的“合規(guī)管理組織”,但做了簡(jiǎn)化要求����,更能體現(xiàn)了中小企業(yè)合規(guī)管理體系的特點(diǎn),包括:
1. 合規(guī)領(lǐng)導(dǎo)機(jī)構(gòu)——合規(guī)管理委員會(huì)或合規(guī)領(lǐng)導(dǎo)小組���;
2. 合規(guī)管理第一責(zé)任人——法代或?qū)嶋H控制人及各業(yè)務(wù)部門負(fù)責(zé)人���;
3. 合規(guī)管理機(jī)構(gòu)——合規(guī)管理部門或合規(guī)專員。
此外標(biāo)準(zhǔn)中還規(guī)定了各機(jī)構(gòu)的有關(guān)合規(guī)管理職責(zé)。
而ISO37301國(guó)際標(biāo)準(zhǔn)第5.1.1條���、5.2條����、5.3條對(duì)治理機(jī)構(gòu)����、最高管理層���、合規(guī)職能部門�����、管理層����、所有人員提出了各自應(yīng)承擔(dān)的合規(guī)職責(zé)��。體現(xiàn)了從最高管理層到員工的5個(gè)合規(guī)管理組織層級(jí)����。
此外,于我們眾多案例中,我們會(huì)根據(jù)實(shí)際情況建議企業(yè)建立董事會(huì)���、監(jiān)事會(huì)����、經(jīng)理層(高級(jí)管理人員)�����、合規(guī)委員會(huì)�、合規(guī)管理負(fù)責(zé)人、合規(guī)管理牽頭部門����、業(yè)務(wù)部門、其他職能部門的八層級(jí)合規(guī)管理組織架構(gòu)����,并確定各層級(jí)的合規(guī)管理職責(zé)。而標(biāo)準(zhǔn)中規(guī)定的三層級(jí)的合規(guī)管理組織架構(gòu)符合中小微企業(yè)本身架構(gòu)不完善��、對(duì)企業(yè)運(yùn)轉(zhuǎn)效率的極高需求的特點(diǎn)�。隨著中小微企業(yè)的逐步壯大,其也應(yīng)持續(xù)完善合規(guī)管理組織層級(jí)�����,以符合全面性原則。
五�、 標(biāo)準(zhǔn)中的合規(guī)風(fēng)險(xiǎn)識(shí)別
合規(guī)風(fēng)險(xiǎn)識(shí)別是進(jìn)行合規(guī)風(fēng)險(xiǎn)管控的第一步,合規(guī)風(fēng)險(xiǎn)管控又屬于合規(guī)管理的核心���,因此準(zhǔn)確���、全面的識(shí)別合規(guī)風(fēng)險(xiǎn)對(duì)于中小微企業(yè)而言也同樣重要���。標(biāo)準(zhǔn)中關(guān)于合規(guī)風(fēng)險(xiǎn)識(shí)別實(shí)行兩步走��,即首先通過(guò)識(shí)別合規(guī)義務(wù)發(fā)現(xiàn)合規(guī)風(fēng)險(xiǎn)�,然后通過(guò)對(duì)合規(guī)風(fēng)險(xiǎn)的評(píng)估與分級(jí)進(jìn)行風(fēng)險(xiǎn)排序管控��。該風(fēng)險(xiǎn)識(shí)別步驟與國(guó)家標(biāo)準(zhǔn)《風(fēng)險(xiǎn)管理 風(fēng)險(xiǎn)評(píng)估計(jì)劃》第4.2.1條的風(fēng)險(xiǎn)管理過(guò)程要素以及我國(guó)《中央企業(yè)全面風(fēng)險(xiǎn)管理指引》第五條的風(fēng)險(xiǎn)管理基本流程前兩步基本一致���。
ISO37301國(guó)際標(biāo)準(zhǔn)第4.5條提到�����,組織應(yīng)系統(tǒng)地識(shí)別合規(guī)義務(wù)并評(píng)估其影響�,還應(yīng)通過(guò)適當(dāng)?shù)某绦蛞源_定新的和變更的合規(guī)義務(wù),以確保持續(xù)合規(guī)���。第4.6條亦要求組織應(yīng)通過(guò)將其合規(guī)義務(wù)與其活動(dòng)����、產(chǎn)品�、服務(wù)及運(yùn)營(yíng)的相關(guān)方面來(lái)識(shí)別合規(guī)風(fēng)險(xiǎn),并進(jìn)行分析��、評(píng)價(jià)���。還要求做到定期評(píng)估以及情況或組織環(huán)境發(fā)生重大變化時(shí)再評(píng)估�。這值得中小微企業(yè)借鑒�。
而要完成上述合規(guī)風(fēng)險(xiǎn)的識(shí)別工作具有一定專業(yè)性,中小微企業(yè)應(yīng)至少有一位專業(yè)的合規(guī)管理人員開(kāi)展上述工作�����,或者需要借助外部專業(yè)機(jī)構(gòu)的支持����。
六、合規(guī)風(fēng)險(xiǎn)應(yīng)對(duì)和持續(xù)改進(jìn)
合規(guī)風(fēng)險(xiǎn)識(shí)別�、合規(guī)風(fēng)險(xiǎn)應(yīng)對(duì)和持續(xù)改進(jìn)皆屬于合規(guī)風(fēng)險(xiǎn)管理的重要流程�����。
(一)合規(guī)風(fēng)險(xiǎn)應(yīng)對(duì)與持續(xù)改進(jìn)
合規(guī)風(fēng)險(xiǎn)應(yīng)對(duì)和持續(xù)改進(jìn)在我們實(shí)踐中是通過(guò)與有關(guān)各部門共同進(jìn)行合規(guī)風(fēng)險(xiǎn)評(píng)估后確立的風(fēng)險(xiǎn)應(yīng)對(duì)和改進(jìn)措施����。我們一般將識(shí)別出的合規(guī)風(fēng)險(xiǎn)進(jìn)行低����、中、高三級(jí)劃分����,并將對(duì)應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)和改進(jìn)措施融入各部門日常業(yè)務(wù)的辦理流程���,要求有中高風(fēng)險(xiǎn)的業(yè)務(wù)部門對(duì)于識(shí)別出的中高風(fēng)險(xiǎn)要保持持續(xù)跟蹤關(guān)注����,并根據(jù)實(shí)際情況定期進(jìn)行檢查更新����。
標(biāo)準(zhǔn)第8.1合規(guī)風(fēng)險(xiǎn)應(yīng)對(duì)和8.2條日常監(jiān)測(cè),從機(jī)制建立���、機(jī)制實(shí)施�、實(shí)施保障、實(shí)施效果四個(gè)方面保證了合規(guī)風(fēng)險(xiǎn)應(yīng)對(duì)及日常監(jiān)測(cè)的運(yùn)行有效性�����。
ISO37301國(guó)際標(biāo)準(zhǔn)第6.1條指出��,在建立合規(guī)管理體系時(shí)�����,應(yīng)考慮���、確定需要解決的風(fēng)險(xiǎn)以確保合規(guī)管理體系能實(shí)現(xiàn)預(yù)期結(jié)果��,并實(shí)現(xiàn)持續(xù)改進(jìn)�。6.1條還進(jìn)一步提出需要將識(shí)別出的風(fēng)險(xiǎn)及其應(yīng)對(duì)行動(dòng)措施整合進(jìn)合規(guī)管理流程中����,并持續(xù)評(píng)估這些應(yīng)對(duì)行動(dòng)措施的有效性,這也是標(biāo)準(zhǔn)第8.1.2條所要求的�����。
此外,ISO37301國(guó)際標(biāo)準(zhǔn)第6.3條“變更計(jì)劃”指出�,當(dāng)組織確定需要對(duì)合規(guī)管理體系進(jìn)行變更時(shí),變更應(yīng)有計(jì)劃地進(jìn)行�����。因此����,在中小微企業(yè)的合規(guī)管理體系面臨需求或目標(biāo)的變更進(jìn)而需要進(jìn)行合規(guī)管理體系的優(yōu)化、升級(jí)或變更時(shí)��,應(yīng)積極考慮變更的目的及其潛在后果���、合規(guī)管理體系的設(shè)計(jì)和運(yùn)行有效性����、是否有足夠資源支持�、職責(zé)和權(quán)限是否需要重新界定及分配等情況�。
標(biāo)準(zhǔn)的第8.5條持續(xù)改進(jìn)作為合規(guī)管理體系閉合環(huán)節(jié),對(duì)整個(gè)合規(guī)管理體系的長(zhǎng)期有效運(yùn)行具有重要作用����。標(biāo)準(zhǔn)通過(guò)建立合規(guī)整改措施和違規(guī)問(wèn)責(zé)制度對(duì)發(fā)現(xiàn)的合規(guī)問(wèn)題��、合規(guī)風(fēng)險(xiǎn)����、合規(guī)漏洞進(jìn)行及時(shí)的整改��、處置�、補(bǔ)救能很好的促進(jìn)合規(guī)管理體系的良性循環(huán)。
對(duì)于“持續(xù)改進(jìn)”�, ISO37301國(guó)際標(biāo)準(zhǔn)第10章也作出了明確的要求。比如在發(fā)生不符合行為時(shí)(不符合行為并不必然是不合規(guī)行為)�,組織應(yīng)積極作出反應(yīng)以糾正它,并評(píng)估不符合行為的原因及采取糾正行為的必要性以防止不符合行為的再次發(fā)生�,且若有必要,則需對(duì)合規(guī)管理體系進(jìn)行更改�、完善。
(二)舉報(bào)機(jī)制
標(biāo)準(zhǔn)第8.3的舉報(bào)機(jī)制包含了舉報(bào)的機(jī)構(gòu)�、舉報(bào)渠道、舉報(bào)信息保密制度��、舉報(bào)人保護(hù)制度�、舉報(bào)處置流程以及合規(guī)疑慮與咨詢程序。
ISO37301國(guó)際標(biāo)準(zhǔn)第8.3條“提出質(zhì)疑”要求組織應(yīng)建立����、實(shí)施和維護(hù)一個(gè)流程機(jī)制��,以鼓勵(lì)和允許報(bào)告(在有合理理由相信信息為真的情況下)企圖�、懷疑或?qū)嶋H違反合規(guī)政策或合規(guī)義務(wù)的行為��,并表示該機(jī)制:
1. 應(yīng)在整個(gè)組織中是易見(jiàn)和可訪問(wèn)的�����;
2. 應(yīng)對(duì)舉報(bào)進(jìn)行保密處理���;
3. 應(yīng)接受匿名舉報(bào)���;
4. 應(yīng)保護(hù)舉報(bào)人免遭報(bào)復(fù);
5. 應(yīng)使人員能獲得建議�����。
我們認(rèn)為舉報(bào)機(jī)制還應(yīng)包括相應(yīng)的激勵(lì)措施����。相較于國(guó)有企業(yè)而言��,中小微企業(yè)對(duì)于舉報(bào)激勵(lì)措施的提出可以有更多樣化的方式��,比如對(duì)于舉報(bào)員工可給予因其舉報(bào)行為及時(shí)防止了公司重大損失的1%作為獎(jiǎng)勵(lì),這從合規(guī)文化培育角度而言亦具有良好的促進(jìn)作用���。
(三)合規(guī)報(bào)告
標(biāo)準(zhǔn)第8.4的報(bào)告機(jī)制包含了合規(guī)報(bào)告的對(duì)象����、內(nèi)容���、形式�����、周期���、流程等制度以及有關(guān)合規(guī)報(bào)告真實(shí)性、客觀性和全面性的要求�����。
ISO37301國(guó)際標(biāo)準(zhǔn)第9.1.4條也要求組織應(yīng)建立��、實(shí)施和維護(hù)合規(guī)報(bào)告流程機(jī)制����。在我們的實(shí)踐中����,合規(guī)報(bào)告一般分為合規(guī)年度報(bào)告�、專項(xiàng)合規(guī)報(bào)告、重大合規(guī)風(fēng)險(xiǎn)報(bào)告��。而對(duì)于中小微企業(yè)�����,我們認(rèn)為中小微企業(yè)應(yīng)至少將合規(guī)報(bào)告機(jī)制細(xì)化建立合規(guī)年度報(bào)告�、重大合規(guī)風(fēng)險(xiǎn)報(bào)告機(jī)制。
年度合規(guī)報(bào)告能有助于企業(yè)高層判斷合規(guī)管理體系有效性��,并對(duì)下一年度的合規(guī)管理工作進(jìn)行安排�����。重大合規(guī)風(fēng)險(xiǎn)報(bào)告則是屬于專項(xiàng)合規(guī)報(bào)告中的一種���,即在發(fā)現(xiàn)重大合規(guī)風(fēng)險(xiǎn)后��,及時(shí)向企業(yè)管理層報(bào)告�����,以及時(shí)的應(yīng)對(duì)重大合規(guī)風(fēng)險(xiǎn)��,防止損失進(jìn)一步擴(kuò)大��。
七��、 合規(guī)文化建設(shè)
合規(guī)文化作為合規(guī)管理保障機(jī)制中的重要環(huán)節(jié)具有非常重要的意義�。企業(yè)從合規(guī)意識(shí)的萌芽到成長(zhǎng)再到形成共通的合規(guī)文化需要長(zhǎng)時(shí)間的培育����。在打造企業(yè)法治文化、推進(jìn)法治文化建設(shè)��、建立更完善健康的法治營(yíng)商環(huán)境背景中����,中小微企業(yè)在成立之初就應(yīng)該將依法合規(guī)經(jīng)營(yíng)的理念融入企業(yè)文化之中。這不僅要求企業(yè)管理層帶頭�,更需要各層級(jí)、各部門�����、各員工具有良好的合規(guī)意識(shí)。該標(biāo)準(zhǔn)對(duì)企業(yè)負(fù)責(zé)人����、管理層、各層級(jí)員工提出了合規(guī)要求�����,并通過(guò)合規(guī)績(jī)效考核����、合規(guī)培訓(xùn)予以落實(shí)。
ISO37301國(guó)際標(biāo)準(zhǔn)第5.1.2條要求治理結(jié)構(gòu)�����、最高管理層�、管理層應(yīng)積極、持續(xù)的踐行承諾����,并鼓勵(lì)創(chuàng)造支持合規(guī)行為,不容忍非合規(guī)性行為����。這都是合規(guī)從最高層做起的文化舉措�����。
八��、 結(jié)語(yǔ)
《中小企業(yè)合規(guī)管理體系有效性評(píng)價(jià)》標(biāo)準(zhǔn)是在綜合考慮中小微企業(yè)各項(xiàng)特質(zhì)后對(duì)全面合規(guī)管理體系的高度濃縮,蘊(yùn)含了全面合規(guī)管理體系核心要素���,對(duì)我國(guó)中小微企業(yè)具有較高的貼合度���。面對(duì)內(nèi)外部監(jiān)管環(huán)境逐漸嚴(yán)格的趨勢(shì),中小微企業(yè)更應(yīng)積極主動(dòng)地開(kāi)展并強(qiáng)化合規(guī)管理�,有效預(yù)防和管控合規(guī)風(fēng)險(xiǎn)。
