原标题:从制作到落地:企业合规管理的三张清单——风险识别、岗位工作职责、流程管控!
企业合规,谁是企业合规的直接受益人?无疑,企业合规的最直接受益人就是企业的法定代表人。其次,是企业的股东,第三是企业的员工,特别是目前国资委要求的国企深化改革,推进企业法制化建设的要求,合规对受益人,更是能够有“立竿见影”的效果。
《中央企业合规管理办法》(以下简称《办法》)第十三条、十四条、十五条中,明确建立了三道防线,企业合规的第一责任人是企业的业务部门及职能部门,要对本部门的合规管理流程编制风险清单和岗位工作职责清单;第二道防线是合规管理部门,负责起草制定合规的基本制度和各种规章制度,展开合规管理的有效性评价和违规调查,建立起合规流程嵌入企业经营的防线;第三道防线,是纪检监察机构和审计、巡检、监督追责部门,负责对合规落实进行监督。
以上的合规管理办法对合规责任主体的各自责任进行了厘清。然而,责任主体的各自职责怎么样才能做到依序履行,将合规落地,就需要制作以下三张合规关键清单:
第一张“清单”是风险识别清单。这是合规管理工作的基础,通过各个业务部门和管理部门逐项梳理自己的工作内容,结合各项一定要遵循的法律和法规和政策文件,确定工作中的合规风险点,把这些风险点按照风险程度和发生概率排列出来,形成风险识别清单。
第二张“清单”是岗位合规职责清单。每个岗位都有清晰的岗位工作职责,对照这些岗位工作职责,将每个职责中的合规审核、合规管理、合规动作都反映出来,对于本岗的合规职责就能凸显并汇总为合规职责清单。
第三张“清单”是流程管控清单。是指所有企业的业务流程和管理流程中,通过识别合规风险,都要设置关键风控点,并增加合规审查环节,每个流程管控环节依次确认,就形成流程管控清单。 合规风险识别清单、岗位工作职责清单、流程管控清单,是《中央企业合规管理办法》明确企业一定建立的关键清单,其内部逻辑是功能彼此衔接,工作顺序层层递进,直到形成完整闭环。当然在此之中,配合这三张关键清单落地的还需要其他的内容配合,如法律和法规清单,或者合规义务清单等。
《办法》第二十条明确:中央企业应当建立合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库,对风险发生的可能性、影响程度、潜在后果等做多元化的分析,对典型性、普遍性或者可能会产生难以处理的后果的风险及时预警。
风险识别,基本上以各业务部门或职能部门为主,在梳理各自部门履职流程过程中,出现未履职或未正确履职的后果,即是风险。
可以这样说,“岗位合规职责清单”与“风险识别合规清单”其实是一件事务的两个面,如果没有按照岗位工作职责履职尽责,则会启动对应的风险识别清单内的风险点,同样会启动合规流程中的关联环节,自然启动合规流程:要求违规岗位责任人做出调整、改正,直至合规。
其实,这样的合规改正环节的启动引发的一系列流程和动作,又是合规流程清单的具体表现。 牵一发而动全身。整个合规体系中,无法割裂任何一个合规清单,使其在合规体系中独立启动,发挥作用。合规审查是合规体系的关键环节,任何一个合规审查的启动,都是从各部门自行提起申请,到有关部门进行专项内容合规审查,再到法律部门合规审查,最后到合规管理部门的合规规范的审查,整个期间流程的任何一个环节,假如慢慢的出现不符合合规,均要从头启动。
所以,本文讨论三张关键的合规清单,在内容上、形式上、流程上一定是相互满足、相互制约、又相互监督的一套体系性文件。这一整套文件的建立和更新,也同样,任何一个点的细微变动,均要做出其他清单的相应变更。虽然,风险评估清单和岗位工作职责清单在流程层面上基本是相辅相成,但不代表这两张清单在内容方面是正反一致的。是因为,风险来源,既有来自于公司之外的,也有企业内部产生的。公司面临的合规风险进行识别分析评价,才能形成公司合规风险清单。
岗位工作职责的完整是后续合规风险评估覆盖的基础。如果岗位工作职责发生遗漏,则企业就会存在对应的合规风险。
岗位合规清单,包含岗位工作职责义务和岗位风险。梳理方法有两种,可以从岗位职责入手,梳理履职业务活动清单,也可以从部门职责内容入手。依据业务内容清单,检索每一个业务对应需要遵守的合规义务,合规义务包括公开的法律和法规强制性标准制度,也包括政策性法律和法规和国际性文件,还有上级主管单位的监管文件,按照业务归口,建立起部门职责的合规业务清单。
2)开展业务合规风险识别、分析、评估,在对风险发生的可能性、影响程度、潜在后果等做多元化的分析的基础上,进行合规风险分级,制定风险识别清单。
风险识别清单,一样能按照岗位或者部门主责两个方面入手。都是通过对员工的岗位工作职责,和部门主责的业务内容范围,对照企业制度中确定的职责说明,梳理出对应的履职事项,进行合规风险源识别、对应的风险情形描述,进行风险分析与风险评估分级,列出风险识别清单。
3)当发生业务变更,或者新规出来等其他重要的变化,则需及时和定时进行合规风险再识别、再分析和再评估,每年需至少覆盖企业全员、全领域、全过程一次。
对于《中央企业合规管理办法》明确的重点领域,如针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,以及合规风险较高的业务,风险识别清单要制定及时预警机制。
我们在前文中,把合规管理办法中涉及的第一关键人物“首席合规官”及第二关键环节“合规审查”均做了一一解读。
《中央企业合规管理办法》第二十一条明确:中央企业应当将合规审查作为必经程序嵌入经营管理流程,重大决策事项的合规审查意见应当由首席合规官签字,对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等,定期对审查情况开展后评估。
所以,做好合规流程的嵌入,还需编制公司层面由首席合规官进行合规审查的业务环节清单。同样,各业务和职能部门,需编制自己部门合规审查的环节清单。
最后,合规管理部门需针对企业合规体系,还是以业务管理为中心,将涉及该业务适用的合规义务实质性要求、制度化的合规风险应对措施单独制定成《业务合规管理指南》,并对应形成《业务流程合规管控清单》。同样,也是与业务管理制度相对独立,业务经办人员在按照业务管理制度执行业务的同时,也按照《业务合规管理指南》执行业务。
合规管理,是把合规审查标准、流程、重点等,定期对审查情况开展后评估等用制度规范好,并且将上面的公司层面、部门层面的两级合规审查业务环节事项清单作为附件共同执行。
ISO37301 使用指南“运行和策划”提出了,一个设计良好的合规管理体系包括各种措施(如政策、流程、程序),这些措施既能为合规文化提供内容,又能产生效果。它们旨在解决降低合规风险评估流程中确定的风险。 运行控制的一个基本要素是行为准则,其中规定了本组织对相关合规义务的充分承诺。行为准则应适用于所有人员,并可供他们所用。根据行为准则及其延伸,合规措施应纳入组织的日常运行中,以期培养合规文化。
在与业务流程相关的情况下,如果缺少此类控制,有几率会使偏离合规政策或违反合规义务,则有必要进行运营控制。这一些状况可能与所有业务情况、活动或过程(如生产、安装、维修、维护)有关,也可能与承包商、供应商或销售商有关。 控制的程度不同取决于几个因素,如所执行职能的重要性或复杂性、不合规的潜在后果或所涉及或可用的技术上的支持。当运行控制失败时,有必要采取一定的措施来解决任何不良结果或影响。
除了具备设计良好的合规管理措施以外,合规关键清单的落地,还需要把关注点放在责任主体上。即以岗位为单元,将合规职责、合规义务、合规风险识别、合规评价等都落实到岗位上,合规管控落实到岗位上,合规培训落实到岗位上。同理,再将落实到岗位上的所有内容,同步落实到业务合规流程中去。
综上,国资委提出的合规管理办法,关键之三是要制作好本文探讨的“三张清单”,具有现实意义:通过风险识别清单,能够找到合规风险;岗位合规职责清单,可以落实合规管理的岗位和人员;流程管控清单,用来确定不同合规风险应对和处理方法,进而实现目标清晰、责任到位、措施落实。返回搜狐,查看更加多
