文章
《中央企业合规管理指引(试行)》解读(上)
为推动中央企业全面加强合规管理,加快提升依法合规经营管理水平,国务院国资委于11月2日下发布了《中央企业合规管理指引(试行)》。德勤中国风险咨询的专家合伙人赵健和吴俊对该指引进行了深入解读,同时,结合德勤丰富的实践经验,对于企业如何有效建立或完善合规经营体系进行案例分享。本次解读分为上下两部分。
国际合规监管趋势日趋严格,美国、英国、法国、联合国、经合组织、世界经济论坛、国际商会、世界银行等各个国家及组织密集出台反腐败、诚信合规等法规及指引,执法力度加大。伴随着中国企业走出去的浪潮,中央企业及其它国有企业海外经营风险频发,其中合规风险较为突出。中兴合规事件几乎给企业带来灭顶之灾,也给其它企业敲响了合规的警钟。
国务院国资委从2016年开始选择了中石油、中国移动、招商局、东方电气、中国铁工五家央企作为试点单位开展合规管理试点,其它少数央企也同步实施,积累了一定的经验。今年11月9日,国务院国资委印发《中央企合规管理指引(试行)》(下简称“指引”),要求中央企业应当按照全面覆盖、强化责任、协同联动、客观独立的原则加快建立健全合规管理体系,为企业开展合规体系建设和相关工作提供了政策指导。
合规定义及合规管理的重要原则
指引共包含6章31条,具体分为总则、合规管理职责、合规管理重点、合规管理运行、合规管理保障、附则。
总则包括四条,对指引颁布的意义、重要定义、合规管理原则做出了规定。其中指引第二条对合规、合规风险、合规管理的涵义进行了说明 ,强调了“合规”的范围,企业应当合什么规——外法、内规、国际规则,此条与ISO19600中的“合规要求”和“合规承诺”类似,外法、国际规则可视为合规要求,而内规则可视为“合规承诺”。同时,第二条还强调 了合规管理是一个独立的全过程管理,包括“制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等”。
指引第四条则明确了企业主要负责人进合规管理第一责任人,重申 了合规管理在法制建设中的重要地位,要求企业建立全员合规责任制,明确各层级、各岗位的合规责任并有效落实。在“协同联动”这一原则下,指引强调“风险导向”的各类职能的协同联动,尤其是法律、合规、内控、风险管理职能,着力解决两类问题:“风险导向”职能的资源分散,无法力出一孔;各类风险信息沟通不畅,无法协同实施风险应对。鉴于监察、审计的职能定位,德勤建议宜保持其相对独立性,并与上述具有“风险导向性”的职能合理衔接。德勤认为“风险导向”职能的两条生命线分别是专业、独立,合规职能亦不例外,即应当符合“客观独立”原则,在权限赋予、汇报路线、人员任命及考核方面按照“独立性”原则进行设置。
合规管理职责分配
指引第二章则明确了各层级管理机构在合规管理中的管理职责。指引要求中央企业建立健全合规管理“三道防线”,即:业务部门是防范合规风险的第一道防线,业务人员及其负责人应当承担首要合规责任;合规管理牵头部门是防控合规风险的第二道防线,同时也是合规管理体系建设和实施的责任单位;内部审计和纪检监察部门是防控合规风险的第三道防线,监督、评价公司整体风险防控措施的有效性。合规管理牵头部门既具有组织、协调和监督的职能,对于一些重要的合规事项也应当有直接参与和执行的责任,如合规培训、合规举报的调查等。
合规管理重点工作
指引第三章则主要对合规管理的重点领域进行了规定,要求中央企业在全面推进的基础上,“突出领域、重点环节和重点人员”。指引所述重点领域包括市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等领域。重点环节包括制度制定环节、决策环节、运营环节等。重点人员包括管理人员、高风险岗位人员、境外人员等。
指引第十六条特别强调了海外投资经营行为的合规管理,要求企业研究和掌握投资所在国的合规要求,明确负面清单行为,完善海外投资经营管控体系,定期排查、梳理海外投资经营业务的风险 ,有效进行监控、检查。
合规管理运行机制建设
指引第四章明确了六项合规管理运行建设的重要工作:建立健全合规管理制度;建立合规风险识别预警机制;加强合规风险应对;建立健全合规审查机制;强化违规问责,畅通举报渠道;开展定期合规管理评估。其中,指引第二十条指出企业应“建立健全合规审查机制,将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序,及时对不合规的内容提出修改建议,未经合规审查不得实施”,这是一项重要的机制创新,能够使企业及时将外部有关合规要求内化为内部规章制度,避免管理要求自始存在合规瑕疵的问题。
合规管理保障与支持
指引第五章要求企业加强合规考核评价,强化合规管理信息化建设,建立专业化、高素质的合规管理队伍,重视合规培训,培育合规文化,建立合规报告制度,为合规管理体系的有效运行提供机能保障与支持。其中,指引第二十四条要求企业使用信息化的手段优化管理流程,记录和保存相关信息,运用大数据等信息工具,开展实时在线监控和风险分析,实现信息集成与共享。德勤认为,除上述信息工具外,制度化、常态化的培训机制也可利用信息化的手段达成,尤其是海外业务丰富、分支机构复杂、管理团队多样的中央企业,利用在线培训系统/平台能够达成培训内容统一、培训参与度可跟踪、培训效果可考核、培训成本较低的目标。
德勤观点:建立两层次合规管理体系框架
合规管理体系既应具有自身完整的体系架构,亦应深入重点领域细化管控要求。合规管理体系要想充分发挥作用,与风险、内控等管理体系一样,“风险导向”、“深入业务”应是值得时刻关注的两项原则。
