企業建立合規管理體系之我見?作者：李勇，江蘇省南京市人民檢察院法律政策研究室主任、全國檢察業務專家，下面我們就來聊聊關于企業建立合規管理體系之我見?接下來我們就一起去了解一下吧!

企業建立合規管理體系之我見

作者：李勇，江蘇省南京市人民檢察院法律政策研究室主任、全國檢察業務專家。

來源：微信公号“人民檢察雜志”，原文載《人民檢察》2022年第15期。轉載時注釋省略，引用請查原刊。

摘要

企業合規的本質内涵是改造企業的治理結構、重塑企業的合規文化，這一本質内涵可以具體化為各種要素，進而形成規律性的共性指标。《中小企業合規管理體系有效性評價》是國内首部關于中小企業合規管理體系有效性評價的團體标準。在理解和運用過程中，需要把握評價标準與建設标準、技術指标與文化指标、正文與附件、中型企業與小微企業、評價方法與評價标準等五組關系，并準确評價機構設置和職責配置、合規風險識别、合規風險應對、持續改進、合規文化建設等具體指标。

文件鍊接

國内首部企業合規評價團體标準（全文）

企業合規計劃具有很強的專業性和技術性，且存在一些共性、規律性指标，需要一定的标準指引。中國中小企業協會于2022年5月23日發布了《中小企業合規管理體系有效性評價》團體标準（以下簡稱“《有效性評價》團體标準”），這是國内首部關于中小企業合規管理體系有效性評價的團體标準。筆者拟結合參與起草的經驗與體會，針對該标準的理解及運用，談談個人看法。

一、準确把握五組關系

（一）評價标準與建設标準的關系

《有效性評價》團體标準是評價一個企業的合規管理體系是否專業、科學和有效的标準，本質上是一個有效性評價标準，而非建設标準。換言之，該标準的适用範圍為：一是中小微企業對其合規管理體系的有效性進行自我評價；二是行業協會、認證機構等對中小微企業已經建設的合規管理體系的有效性進行評價；三是執法機關、司法機關、第三方監管組織對涉案企業建立的合規計劃是否有效進行評估。在征求意見過程中，有專家提出，應當更加詳細地規定合規計劃的要素。經研究認為，該标準并非用來指引一個企業如何設計和建設合規計劃，而是用來指引相關機構、組織評價企業合規計劃是否有效運行。盡管評價标準在客觀上能夠起到以評促建的作用，即通過評價标準來引導和促進企業合規管理體系建設，且《有效性評價》團體标準起草過程中也參考了國際标準化組織發布的《合規管理體系要求及使用指南》（ISO 37301∶2021），但其與建設标準本身依然是有差别的。就設計和建設合規管理體系來說，可以參照《合規管理體系要求及使用指南》（ISO 37301∶2021）。

（二）技術指标與文化指标的關系

《有效性評價》團體标準在引言部分指出，其目的是規範中小企業合規管理體系有效性評價活動，引導和促進其合規管理體系建設，提升合規管理能力，識别和防範合規風險，建設合規文化。這裡既強調了合規管理體系的技術指标，也強調了建設合規文化。《有效性評價》團體标準第6章、第7章、第8章側重技術指标，第9章專門規定了文化指标，呈現前後遞進關系。這種遞進關系的原理在于，技術指标是基礎，在技術指标的基礎上才能逐步形成合規文化。第6章、第7章、第8章具體内容包括機構設置和職責配置、合規風險識别、合規風險應對和持續改進，同時在對這些技術指标的具體闡述中多次強調了文化指标。如第6章關于合規管理部門或合規專員職責的規定中包括開展合規培訓、弘揚合規文化，在第8章關于舉報機制的規定中也強調培育合規文化。

在使用《有效性評價》團體标準過程中，既要看企業的合規計劃是否滿足基本的技術指标，更要看是否形成合規文化。從某種意義上來說，合規文化才是合規計劃有效性的終極标準，原因在于技術指标容易對照勾選，流于形式。因此，有質疑聲稱，企業利用合規計劃“粉飾門面”，僅僅是為了制造合規承諾的表象，隻是為了給企業帶來減刑的機會，這是“紙面計劃”，企業隻是将政策和程序落在紙上，但不将其嵌入到實際操作中。作為回應，并且認識到誠信的價值，當前對企業合規計劃評價的趨勢是期望合規計劃考慮組織文化，以利于執法人員尋找公司“合規态度”的證據。

（三）正文與附件的關系

《有效性評價》團體标準分為正文和附件，二者同等重要。正文側重于對評價指标的解釋和說明，附件側重于評價指标的運用。《有效性評價》團體标準的第6章、第7章、第8章、第9章規定了評價的技術指标和文化指标，與這些指标相對應的三個附件以表格形式将評價指标按照中、小、微三種企業類型進行詳細列舉，其中第6章對應的是附件A，第7章、第8章對應的是附件B，第9章對應的是附件C。從篇幅上看，第6章、第7章、第8章、第9章共計3400餘字，而三個附件多達4900餘字。從實踐運用的角度來說，附件中的三張表格更為重要。

在使用過程中，可以将表格中的指标對照正文進行理解，同時可以根據實際情況對表格中的指标進行賦分，采取量化計分的方法進行評估。在起草過程中，有意見提出，應當在表格中列出每項指标的分值以及加分項。經研究認為，合規計劃的評估與合規計劃的設計、建設都是“最佳實踐”，評價标準不能過于公式化和機械化。每一家公司的風險概況和降低其風險的解決方案都需要詳細而具體的評估。因此，我們對每一種情況都作出了合理的、個性化的決定。考慮各種因素，包括但不限于公司規模、行業、地理位置、監管環境和其他可能影響公司合規計劃的内外部因素。文件所列舉的示例主題和問題既不是清單也不是固定公式。《有效性評價》團體标準作為一種通用指标，不宜設定分值，有些企業也不一定适合采取量化計分的方式進行評估。實踐中，相關組織或機構可以根據企業的具體情況決定是否采取量化計分以及如何進行量化計分。

（四）中型企業與小微企業的關系

理論界對于大型企業開展合規計劃沒有争議，但是對于小微企業甚至中型企業能否開展合規計劃一直存在争議。

有觀點認為，合規不起訴制度應盡量适用于大型企業，對中小微企業應當慎重适用。理由是國外的暫緩起訴協議制度幾乎都适用于上市公司或者大型企業集團，這些企業中有包含股東會、董事會、監事會等在内的完整且有效運行的現代公司治理結構，具備建立合規治理體系的基礎條件，并且能夠有效運行。隻有在大型企業中，企業合規才能煥發生命力，發揮出制度優勢和整改效果。

甚至有觀點認為，對于中小微企業而言，與其承受合規所需的時間、精力、金錢成本以及能否獲得從寬處理的不确定性，還不如另行注冊企業重新經營。

但是，我國的中小微企業被形象地比喻為中國經濟的“毛細血管”，在促進經濟增長、擴大就業、提升市場活力方面發揮着重要作用。同時，由于中小微企業并不具有完備的公司治理結構和現代化管理模式，與大型企業相比，往往也更容易陷入合規風險，這就決定了中小微企業也需要被納入企業合規改革的範圍。從涉案企業合規改革試點的情況來看，中小微企業确實成為試點工作的主力軍。事實上，《合規管理體系要求及使用指南》（ISO37301∶2021）也并未對企業大小和規模作出限制，而是适用于所有類型和規模的組織。

對于不同規模的企業，合規的基本要素和基本評價指标是相通的，但是其具體表現形态是不同的。如，無論企業規模大小，領導作用都是合規的必備要素，對于大中型企業而言，可以成立合規委員會，設立首席合規官，下設合規部；對于小微企業而言，未必要成立合規委員會和首席合規官，但是可以設立合規專員。《合規管理體系要求及使用指南》（ISO 37301∶2021）指出，并非所有組織，特别是小型組織，都将擁有一個獨立于最高管理人員的理事機構。

《有效性評價》團體标準充分考慮了中小微企業的特點，特别是區分了中型企業與小微企業評價指标的差異。如，第6章關于設置合規管理機構的規定中要求，中型企業一般應設合規管理部門，小微企業應配備至少一名合規專員；附件B表格對中型、小微企業的風險識别要求進行了分别列舉，其中，中型企業的相關評價指标包括“具備識别與其業務活動、産品和服務相關的強制性義務的方法或舉措”，而小微企業滿足“有人員或部門識别與其業務活動、産品和服務相關的重要強制性義務”即可。

（五）評價方法與評價标準的關系

評價标準與評價方法同等重要。即便有了評價标準，如果采取流于紙面的查台賬、查檔案等方法評估企業是否滿足标準，也是沒有意義的，必須有實質性的評估方法，避免形式主義。《有效性評價》團體标準第5章規定了評價方法、内容和流程。合規管理體系有效性評價可以根據評價内容和指标的具體情況，采用文件審閱、問卷調查、訪談調研、飛行檢查、穿行測試、感知測試、模拟運行等評價方法。

筆者認為，評價合規計劃有效性的基本方法是堅持從技術指标到文化指标層層遞進，這個基本方法應當貫穿于評估驗收人員思維過程的始終。《有效性評價》團體标準列舉的評價方法具有側重點。

（1）文件審閱是常規方法，側重于合規有效性的技術指标，主要通過調閱企業的檔案、文件、财務資料等進行，這是評估驗收的基礎性工作。

（2）問卷調查是了解企業管理人員及員工對合規的态度、習慣以及有無形成一種文化氛圍的有效手段。運用該方法的關鍵在于設計合理且有針對性的調查問卷，調查問卷的問題設計應遵循從技術指标到文化指标逐步遞進的原則。

（3）訪談調研與問卷調查在功能上具有相似性，都是了解企業管理人員及員工對合規的态度、習慣以及有無形成一種文化氛圍的有效手段。使用該方法時，一方面，應設計專業性的訪談提綱。實踐中，有些人誤以為訪談就是調查走訪，就是找員工随意談話，實則不然。企業合規監管中的訪談對技術性要求很高，必須設計專業性的訪談提綱。另一方面，訪談原則上應當個别進行，而非采取座談會的形式，目的是防止相互幹擾，影響訪談内容的客觀性和真實性。此外，應采取随機、匿名的方式進行訪談，以防止外界因素幹擾。

（4）飛行檢查是跟蹤檢查的一種形式，指事先不通知被檢查部門而開展的現場檢查。飛行檢查作為一種突擊性檢查，具有秘密性、突擊性、迅速性和檢查内容不确定性等特點，有利于強化企業的自律和自覺意識，是檢測企業合規計劃是否真正實施、是否融入企業員工的内心、是否潛入經營的各個方面和環節，以及是否成為一種企業文化的重要手段。飛行檢查與問卷、訪談等方法相結合，能夠兼顧合規計劃有效性的技術指标和文化指标。

（5）穿行測試原本多運用于财務審計領域，用于追蹤交易在财務報告信息系統中的處理過程，是注冊會計師了解被審計單位業務流程及其相關控制時經常使用的審計程序。在企業合規有效性評估中，穿行測試是指在正常運行條件下，将初始數據輸入内控流程，穿越全流程和所有關鍵環節，把運行結果與設計要求對比，以發現合規内控流程的缺陷。

（6）感知測試是評價人員通過感知測試體驗合規管理運行過程和效果，感知即意識對内外界信息的覺察、感覺、注意和知覺等一系列過程，可以分為感覺過程和知覺過程，是檢測企業合規文化氛圍指标的重要方式。

（7）模拟運行即模拟場景測試，如在抽查投标項目中，監管人員模拟另一家投标公司的人員身份，在投标報價前的“敏感期”，打電話邀約該公司負責該項目的人員出來吃飯，測試其态度。

上述方法可以結合企業的實際情況進行選擇或組合使用。實踐中，可以先通過文件審閱、飛行檢查等方法評估作為企業合規管理體系基本要素的技術指标是否具備，這是基礎性條件。在具備技術指标的基礎上，進一步通過穿行測試、問卷調查、訪談調研、模拟運行等方法評估其合規計劃有無真正實施并融入企業文化，成為員工的行動自覺，成為一種态度、習慣和氛圍。

二、各項評價指标的理解與運用

（一）機構設置和職責配置

在企業管理中，人的因素至關重要。領導層、高級管理層對合規計劃的支持和絕對承諾是合規計劃真正建立和有效實施的關鍵保障，在中國，被形象地稱為“一把手工程”。如果員工看到“一把手”對合規采取消極應付的态度，他們就會默認這個合規計劃其實就是用來“應付檢查”的，合規計劃便不可能真正發揮效用。根據《有效性評價》團體标準第6章關于合規領導機構的設置，有董事會的企業設合規管理委員會，沒有董事會的企業設合規領導小組。關于合規管理第一責任人的确定，法定代表人或實際控制人是企業合規的第一責任人，并作為合規管理委員會或合規領導小組的成員。這裡的第一責任人通常被稱為首席合規官（中小微企業可以是合規專員），應當有一定的地位并保持獨立性，首席合規官能夠直達公司管理層，可以直接向公司最高管理者彙報。

有效合規計劃的創建和執行需要一個精幹團隊的持續努力，需要付出一定的資源和成本。根據《有效性評價》團體标準第6章，中型企業一般應設合規管理部門，小微企業應配備至少一名合規專員，合規專員應由具備合規管理資質或相關專業能力的人員擔任，可以聘請兼職的企業合規師或者律師等。關于合規專員是專設還是兼理的問題，從理論上來說，為了保證合規管理的權威性和獨立性，合規官包括首席合規官、合規部門人員、合規專員應當是專職的，不能既從事本公司相關業務活動又監督本公司的業務活動，這無異于“既當運動員又當裁判員”。但是對于小微企業來說，一律要求設置專職的合規專員也存在困難。實踐中，根據企業的實際情況，在特定條件下合規專員也可以是兼職人員，但兼職人員的本職工作與合規工作不能存在利益沖突，避免“既當運動員又當裁判員”是底線要求。全國工商聯與最高人民檢察院等聯合發布的《涉案企業合規建設、評估和審查辦法（試行）》第7條第2款規定，合規管理機構或管理人員可以專設或者兼理，合規管理的職責必須明确、具體、可考核。合規管理機構或管理人員可以兼理是考慮到有的小微企業難以找到專職的合規人員，但是這裡的“兼理”應當理解為由沒有利益沖突的人員兼理。

此外還應注意，合規部門（團隊）負責合規管理體系的運行，其職能不同于傳統法務部門，主要包括：促進識别合規義務；記錄對合規風險的評估；使合規管理體系與合規目标保持一緻；監視和測量合規績效；分析和評估合規管理體系的績效，以決定是否需要采取糾正措施；建立合規報告和記錄制度；确保按計劃的時間間隔對合規管理體系進行評審；建立提出疑慮以及确保疑慮得到解決的機制；監督履行已識别的合規義務的職責在整個組織内得到有效分配；監督合規義務納入方針、過程和程序；監督所有相關人員按要求接受培訓；監督建立合規績效指标；向相關人員提供與合規方針、過程和程序有關的資源；就合規相關事宜向組織提供建議。

（二）合規風險識别

風險識别是建立和設計合規計劃最為重要、最為基礎的環節。風險識别不深入、不精準，就不可能建立起符合“最佳實踐”要求的合規計劃。

首先，梳理和辨别合規義務。《有效性評價》團體标準第7章第1節規定，合規義務的梳理和辨别是合規風險識别的基礎。梳理合規義務的過程也是識别組織環境的過程，也就是對企業所處的法律、監管環境予以識别和梳理。這些環境既涉及法律法規、監管要求、行業準則、良好實踐、道德标準，又涉及組織自行制定或公開聲明遵守的各類規則。合規風險或者說合規義務的識别，不單是刑事義務，對于合規計劃的建構來說，刑事合規這個術語具有誤導性。企業建立合規計劃，不能僅識别刑事犯罪風險，而不顧行政違法風險甚至行業規章風險。行政違法和刑事犯罪是一紙之隔，有時隻關乎數額差異。如果建立合規計劃隻為預防犯罪，對行政違法和行業标準不管不問，無疑會把企業推向風險的“火山口”。所以國際标準化組織發布的《合規管理體系要求與使用指南》（ISO 37301∶2021）中的組織環境識别包括法律法規、行業規則、行業标準、商業倫理等各個方面。

其次，建立合規義務識别的常态化機制。由于企業所處的組織環境會不斷變化和更新，因此風險識别也需要持續更新，這就要求企業建立一套合規義務識别的常态化工作機制，以适應這樣的動态變化。從這個意義上說，企業合規是一個動态系統。根據《有效性評價》團體标準第7章，合規義務識别機制包括能夠識别與企業業務活動、産品和服務相關的自願性義務和強制性義務的機構、方法、制度和流程。合規義務識别機制的實施，包括配備人員、規定方法、落實制度、實施流程、形成識别合規義務的文件化信息。合規義務識别機制的實施保障，包括領導支持、人力資源、預算、必備物項工具、開展培訓與交流等。合規義務識别機制的實施效果，包括識别出重要合規義務、合規風險，并将這些合規義務與業務活動、産品和服務相關聯，确保識别合規義務的機制與管理措施更新相結合。

最後，進行風險分級。企業應當對識别到的風險按照嚴重程度和發生可能性進行分級。合規的資源是有限的，應合理配置資源，優先解決嚴重且發生可能性大的風險。按照嚴重程度可以将風險分為不重要的、次要的、重要的、災難性、毀滅性；按照發生可能性，可以将風險分為幾乎沒有、不太可能、有可能、極有可能、幾乎确定。企業應建立風險評估分級機制，且有相應的人員、方法、制度确保風險分級的準确，确定合規風險等級和優先管理順序，并将這些排序、分級的合規風險與業務活動、産品和服務相關聯，确保合規風險評估和分級與管理措施更新相結合。

（三）合規風險應對

合規風險應對是指企業建立對監測到的風險以及已經出現的風險作出反應的體系，包括企業根據合規風險評估和分級結果，設置合規風險應對責任人、應對措施、應對流程的機制，記錄與溝通機制，監督與檢查機制，以及針對突發合規事件的應對預案。企業應有相應的機制、措施保障風險應對體系的響應和實施。實踐中，評估風險應對體系時應重點關注以下方面：

（1）調查不當行為。一是企業是否快速響應，設定合理的調查期限，并實時跟蹤調查進度，确保調查結果的可靠性；二是企業是否組織合格的人員在适當範圍内進行獨立、客觀的調查，并作相應記錄和歸檔；三是企業是否定期對舉報内容和調查結果進行監控、分析，查處相關責任人，排查合規系統漏洞，完善合規管理制度。對于違法違規行為，合規管理機構可獨立展開調查，也可以經董事會批準後委托其他機構調查，并向最高決策層彙報，同時提出解決方案。

（2）獎勵與懲戒。一是企業是否對部門及員工進行考核，并将考核結果作為晉升、薪資待遇等重要依據；二是企業是否基于考核結果建立獎懲機制，對合規經營、防範合規風險、避免企業遭受損失的部門或員工給予激勵，對隐瞞合規風險、違法違規的部門或員工給予懲處；三是企業實施獎懲機制在内部是否得到公正執行，不因職務高低而有所區别對待。

（3）分析與糾正。一是企業是否對重大合規事件的發生原因進行周密分析，制定整改方案；二是企業是否針對重大合規事件果斷采取适當的糾正措施，如補救挽損、繳納罰款、賠償被害人等，并修訂合規計劃，以避免此類不當行為的再次發生；三是企業是否對責任人進行查處問責，涉及違法犯罪行為時，将其移送執法或司法機關，并配合調查。具體而言，經調查認為存在違法行為或者事實時，合規管理機構應及時向最高決策層報告，并建議向執法或者司法機關披露。合規管理機構應與調查機關進行充分合作，合作方式包括主動承認違法事實、提供相應證據或者證人、接受制裁、賠償損失、恢複原狀等。

（四）持續改進

有效合規計劃的标志之一在于企業對合規計劃的改進和發展，應當與時俱進，根據其違規事件的教訓而對合規計劃進行修訂；采取合理措施，以便确保遵守組織的合規和道德程序，包括監控和審計，以發現犯罪行為，以及定期評估合規計劃實施的有效性。企業合規計劃是一個動态系統，風險是動态變化的，風險應對措施也必須持續改進，以确保合規管理體系的動态持續有效。持續改進的目标是确保合規管理體系的适宜性、充分性和有效性。

《有效性評價》團體标準第8章規定了持續改進機制的評價要素，包括制定合規整改措施和違規問責制度，指定人員跟蹤和評估合規風險的變化，持續調整或更新管控措施，具備相關機制以對管控措施與合規管理目标的偏離進行原因分析，采取相應措施确保合規管理與企業的實際情況相适應。除此之外，還包括持續改進機制的實施、保障和效果。持續改進機制的實施保障，包括領導支持、人力資源、預算、必備物項工具，開展合規培訓與交流，關注并培育合規文化等方面。持續改進機制的實施效果，包括具體不合規行為得到整改，違規事件責任人被問責，相同或類似的不合規事件得到有效防範、盡早發現或避免，系統性漏洞或責任缺失得到補救，公司員工及利益相關方認可企業在合規管理改善方面的嘗試和努力。

（五）合規文化建設

合規文化是企業合規計劃有效性的根本性标準。根據《有效性評價》團體标準第9章，合規文化建設的有效性評價應以各個層級、各領域員工所具備的合規知識、合規意識、合規信念和合規行為為基本标準。主要負責人和管理層的合規承諾與表率作用對合規文化的形成及提升具有重要作用。各層級員工都作出合規承諾，并對其合規職責進行績效考核。合規文化的形成，包括對不合規行為的反應、行為習慣的改變、顧客或者客戶對其合規形象的印象。從理論上對上述内容進行概括就是态度、習慣、氛圍三個層層遞進的維度，先有承諾合規的态度，才能逐步改變行為習慣，最後形成人人合規的文化氛圍。

針對态度，要評估驗收涉案企業有無合規态度，評估企業全體人員是否對合規經營保持積極正面的态度，樹立起“做正确的事”的态度。

針對習慣，要評估驗收涉案企業有無養成合規習慣，評估企業是否通過相應的一系列合規技術措施，促使合規計劃轉化為企業員工的行為習慣，主要内容包括但不限于：企業合規計劃實施後，從管理層到員工，以往不規範的行為習慣是否得到改觀；企業是否通過場景測試，考察員工有無堅守合規承諾，并分析測試結果，形成文件化信息。

針對氛圍，要評估驗收涉案企業是否營造合規氛圍，評估企業是否形成依法合規、守法經營的價值觀，營造人人合規的文化氛圍。企業采取何種方式努力營造合規光榮、不合規可恥的氛圍；企業員工是否對合規達成共識、相互感染，使合規成為一種美德信念在企業内傳播和流行。

實踐中，一些地方在合規考察中發現企業出現不當、違法犯罪行為時，便會一票否決合規計劃的有效性，這種做法有待商榷。合規計劃運行的PDCA循環（質量管理的四個階段，即計劃、執行、檢查、處理）就是要發現問題并不斷持續改進，合規計劃的基本要素是風險監測和應對體系，通過合規計劃發現不當、違法犯罪行為并迅速作出應對，是合規計劃有效運行的應有之義。從不報告異常情況的合規不是好合規。因此，不能認為隻要合規考察期間企業發生違法犯罪行為合規計劃就一定無效，而應看企業是如何發現違法犯罪行為的，以及發現之後是如何行動的。如果是通過合規計劃發現違法犯罪行為并迅速作出了合理反應，恰恰說明合規計劃有效；如果違法犯罪行為的發生并非通過合規計劃發現，而是由外部執法機關發現，合規計劃沒有作出适當的反應，甚至企業試圖隐瞞，便可以認為合規計劃無效。

來源：《人民檢察》、悄悄法律人公衆号

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!