隨著社會主義市場經濟的發展,“合規”一詞越來越多常見于企業的經濟交往中,并隨著全面依法治國的深化而融入到企業的管理和文化之中。許多企業通過獨立設置或聯合辦公的方式設置了合規管理部門,從而應對潛在的合規風險和不斷增加的合規問題。
在合規管理中,合規審查作為企業進行合規管理的重要一環,是企業識別合規義務、評價合規風險的重要手段。合規審查具有怎樣的內涵、開展合規審查包含怎樣的過程、厘清合規審查和法律審查的關系,對企業合規體系的建設具有重要意義。
1、什么是合規?
什么是合規?合規=遵守法規即守規,就是企業及其員工的經營管理行為要符合國家法律、行政法規、國際條約、行業準則、商業道德以及企業內部的管理制度。刑事合規是企業合規的一個組成部分,主要是指企業內部防范刑事法律風險的規則和機制。
合規的內容是什么?可以分三個層次:
一是國家層面的規則,包括國家的法律和國家間的條約;
二是社會層面的規則,主要是行業規則、商業慣例以及商業道德等;
三是企業層面的規則,即企業內部的規章制度、管理制度。
企業合規是企業內部控制和自我約束的一種機制。它既是一個管理過程,也是一種管理結果。
當然廣義的“合規”,還包括企業員工要遵守良好的職業操守和道德規范以及風俗習慣等。比如針對數據脫敏(我們最常見的火車票、醫院就診顯示器(有*號的地方)、電商收貨地址都會對敏感信息做處理)的合規暫時還沒有規定要求(暫不存在合規依據可以直接依托),但企業基于自我約束與企業文化要求也應當做到數據脫敏。
所以在合規整改需要分3步:
第一:就是確定且匯總應當遵守的規則;
第二:圍繞上述規則開始查擺問題(當然查擺問題的方式有二:自行查擺問題與在第三方監管人的監督下查擺問題);
第三:圍繞問題進行整改。
2、違規可能導致的風險
(1)承擔民事責任。
表現在損害賠償和合同無效這2個與商業利益最相關方面:
民事賠償是因企業違反法定或約定義務給相對人或第三人造成損失需要承擔的賠償義務;
合同無效是因企業的經營活動違反法律、行政法規的效力性規定,致使企業從事的民事法律行為無效。
(2)承擔行政責任。
行政罰款、沒收違法所得、責令停產停業、吊銷營業執照等。
(3)承擔刑事責任。
企業實施危害社會的行為,法律規定為單位犯罪的,企業作為犯罪主體應當負刑事責任。
在我國,行政合規與刑事合規可以基本理解一致(一般而言,剔除特殊/行政違法+數額=刑事犯罪)。若刑事合規整改只是為了預防刑事犯罪(且為專項刑事風險預防),則會大大影響整改效果(發票合規難道僅僅為了防止騙取增值稅稅額5萬以上?不對吧,應該是禁止未來騙取任何的增值稅吧!)。應使用“企業合規”的概念,涉案企業整改的目標是防止未來的行政風險與刑事風險(簡單點說就是防止被執法部分檢查并處罰)。
3、合規審查的主要內容
合規審查作為識別合規義務、防范合規風險的重要手段,其審查范圍可以涉及到企業的方方面面。
根據相關規范性文件和合規審查的內涵,我們不難看出,凡是具備合規義務的企業行為,都可以經過合規審查,避免合規風險。
在企業日常經營中,除了上文提到的規章制度制定、重大事項決策、重要合同簽訂、重大項目運營等,企業經營中的書面函件、對外發布的企業形象宣傳廣告等也都蘊含著潛在的合規風險。
針對可能出現風險的行為,開展合規審查對企業而言明顯利大于弊。
4、合規管理體系建設具體實施步驟
(1)調研企業合規管理內外部環境
通過內外部環境的分析,可以系統地識別企業所承擔的合規義務,以及企業對合規義務的落實執行情況,以及構建合規管理體系的資源等。
這是啟動合規管理體系搭建的前期工作和基礎工作。
(2)制定合規管理體系實施方案
該方案在符合公司戰略的情況下,應適應企業現有管理模式、管理能力以及資源投入,作為推動合規管理體系搭建工作的指導大綱。
(3)梳理、分析業務流程
對公司現有業務流程、現有制度、現有風險管理體系等進行梳理,形成公司合規管理的現狀診斷評估報告,作為下一步合規體系搭建工作的基礎。
(4)設計合規管理組織架構
可以參照風險管理的“三道防線模型”來設計。從企業最高決策層到企業的業務一線,包括決策層、管理層、業務部門、職能部門、下屬單位、業務崗位等,都應有明確的合規職責分工與說明。
對于每一個崗位,對其合規職責進行增設或優化,制定崗位職責說明書及由員工簽署合規承諾書。
(5)進行合規風險評估
在梳理企業內外部環境及業務流程的基礎上,編制和完善合規義務庫。
在辨識合規義務的基礎上,采用多種方法,歸納合規風險點,對合規風險進行分析、評價,形成合規風險清單、合規風險地圖、合規風險庫。
(6)專項合規計劃
對于重點合規風險領域,可以提出專項方案或建議,開展專項合規管理工作,協助出臺專項合規管理指引,并輔之以相關培訓工作。例如:數據信息安全合規指引、反商業賄賂合規指引等。
(7)梳理合規制度,制訂合規手冊
結合企業的合規風險特點,制定全員遵守的合規準則規范,整理體系合規管理制度,最后匯編形成合規管理手冊、操作指引等文件。
(8)建立各項合規管理運行機制
包括但不限于:合規審查機制、合規檢查機制、合規風險預警機制、合規風險隱患跟蹤機制、合規風險報告機制、合規責任追究機制等。合規管理運行機制的內容可以根據本行業監管要求和企業實際來確定。
(9)制訂合規管理績效制度—合規考核
制訂合規管理績效考核辦法,內容包括考核對象、考核內容/考核指標、考核形式、考核結果應用。合規管理考核的難點在于考核內容與考核指標的設置。
(10)合規管理體系有效性評價
合規管理運行情況評價,一般由最高管理者組織開展或委托外部機構開展。
評估對象為公司董事會、監事會、高級管理人員、合規負責人、合規管理部門以及各部門、各層級分公司和全體工作人員。
評估內容包括:對合規管理環境的有效性評價、對合規管理職責履行情況的評價、對合規管理制度與合規運行機制、合規保障機制建設情況的評價等內容。
(11)培育合規文化,開展合規培訓
合規文化取決于一把手的合規理念。
合規培訓重點做好以下工作:制訂合規培訓計劃;開發合規培訓課件;培育合規師資;開展合規培訓效果評價等。
5、結語
一個符合企業實際的、有效的合規管理體系能夠實現合規管理與企業業務模式、組織架構的深度融合;滿足企業內外不同監管規則的適用要求。
愿與社會各界一起,“強內控、防風險、促合規”,幫助企業建立起適合自身實際的合規管理體系,自發管控合規風險,來適應大環境的合法合規常規化、趨勢化,繼而獲得健康可持續發展。