伴随着国内经济由高速增长向高质量发展的转变,及国内外日趋严格的市场监管环境,为了使企业长期健康发展,建设合规管理体系已迫在眉睫。合规管理体系建设不仅契合了国家发展方针,也可以应对来自法律法规、监管机构等各个维度的合规问题,助力业务的长期发展和持续增长。本文从合规管理体系建设的关键路径出发,结合百度智能云-智慧金融业务实践阐述企业合规管理体建设的实现方式。
企业合规管理体系建设的必要性
在经济全球化背景下,企业面临着国内外日趋严格的市场监管环境,企业在发展过程中,要规避和控制诸多风险,应对来自法律法规、监管政策、质量管理、环境管理、反商业贿赂、信息安全等各个维度的合规问题,越来越多的企业致力于通过搭建合规管理体系将合规融入企业经营,以助力企业业务的长期发展和持续增长,创造竞争优势并保障业务合规运行。
从企业发展本身出发,合规管理体系为防范企业合规风险提供体系化的合规管理框架;帮助企业规范合规管理过程、建立合规经营价值观、有效防范合规风险、减少违法行为发生,保障企业健康运行,提升企业的商业信誉,树立良好的社会形象[1]。
从企业外部发展环境出发,合规管理体系可以帮助企业全面评估合规风险,有效避免公司的违法违规行为,推动企业自身监管、自身报告、自身披露和自身整改,实现企业与违法员工的责任分离,降低企业风险。同时,有效合规管理体系有利于企业与行政监管部门在合规风险发生后达成和解协议,或与刑事司法机关达成暂缓起诉的协议,从而将利益相关方的损失降到最低。
企业合规管理体系建设关键路径
ISO 37301:2021《合规管理体系 要求及使用指南》规定了组织建立、运行、维护和改进合规管理体系的要求,并提供了使用指南,适用于全球任何类型、规模、性质和行业的组织,为企业的合规管理工作提供了更为明确的指导。
下面结合ISO 37301标准和合规管理体系建设经验阐述企业合规管理体系建设的关键路径。
1.搭建合规管理组织。完成从治理层到基层员工的合规职责分配及授权,明确每个层级在合规管理中的职责。
(1)先要明确企业实现合规经营管理的原则和合规行动承诺,依照合规行动承诺结合合规义务和企业的战略制定企业合规目标。
(2)要根据合规目标明确合规管理组织、职责分工,企业的合规管理职责应覆盖全员,从治理机构、最高管理者、合规管理部门(通常有法务部、风控管理部门、运营管理部分等,可根据企业的架构和职能定位确定),到业务部门和各位员工,都需要有明确的合规角色和合规职责。
2.成立合规管理体系建设工作组。一般而言,仅依靠常态化合规管理部门在短时间内建立企业的合规管理体系是很难完成的,因此要召集一批有经验的跨职能专业人员共同参与合规管理体系建设工作组。
合规管理体系建设工作一般由合规管理职能部门牵头推动,在成立合规管理体系建设工作组前,合规管理职能部门需先确定工作目标,根据目标筛选参与的部门和工作组成员,明确成员的角色和职责。
3.宣讲合规管理体系。合规管理体系的宣讲是在企业内部普及合规文化的重要方式,通过宣讲可以让受众了解合规管理体系的重要性和必要性,明晰违规代价,提升全员的合规意识。合规管理体系宣讲可以单独以专题的形式进行,也可以与公司的文化融为一体统一宣传。
4.诊断合规管理现状。企业开展合规管理体系建设,首先要明确合规管理现状水平如何,有哪些短板?只有充分了解这些信息,在策划和设计合规管理体系时,才能更有针对性。
合规管理现状诊断可以通过问卷调研、访谈等形式进行。调研全员的合规意识推荐通过问卷方式;摸底重点业务的合规现状、合规管理情况,推荐针对业务管理层、业务骨干进行访谈,这种方式对访谈问卷的设计要求比较高,需要提前策划。
5.制定合规管理体系建设方案。根据法律法规、行业标准等外部要求和合规现状诊断结果,制定合规管理体系建设方案,明确合规管理体系的目标、方针、总体规划、详细计划等内容。
制定合规管理体系建设方案前,要明确两个基本内容,一是企业合规管理现状,二是合规管理体系的目标,在此基础上,结合企业的特点和管理成熟度制定适用的建设方案。
确定合规管理体系建设方案后,如何执行也很重要,建议要有详细的执行计划和明确的成员分工,定期召开工作组会议协商解决项目难点,及时预警项目风险;建立项目里程碑,定期对比进度,及时调整计划确保项目目标达成。
6.梳理合规义务。梳理合规义务是合规管理体系建设中的一个关键环节,只有明确了合规义务,才能明确各职能部门要承担的义务和要遵循的规则。
确定合规义务是企业建立合规管理体系的最基础的活动,企业应从外部监管要求和内部发展战略、产品服务、业务领域等方面去梳理和识别需要履行的合规义务,并根据外部监管要求及企业合规承诺的变化进行及时调整,梳理和识别的范围应覆盖企业所有的业务领域。梳理完合规义务建议以清单的形式进行保存和宣贯,方便相关方查询。信息化建设好的企业可以通过知识管理工具进行系统化的管理,提升使用效率。
7.评估合规风险。合规风险覆盖企业经营的全场景,难以尽数,需要尽可能地全面识别合规风险,然后加以分析、评估,以确定风险等级和处置的优先顺序。
合规风险的识别、分析和评价是制定合规风险应对措施的前提。企业应把合规义务与生产经营活动联系起来,基于业务场景通过业务流程梳理、历史经验、头脑风暴等方法进行合规风险识别,输出风险清单,分析风险原因、后果和发生的可能性,确定合规风险处置机制,并按照要求对风险进行有效处置和管理。合规风险是持续变换的,影响因素非常多,一定要定期复核和更新。
8.制定合规风险控制措施。结合风险评估结果并充分考虑成本效益原则,制定合规风险控制措施。
制定合规风险控制措施是实现合规方针、控制合规风险的关键步骤。企业应根据合规风险的优先级,制定合规风险的控制措施,执行控制措施前需要对其有效性进行评审,执行过程中要落实责任部门和责任人。合规管理职能部门应定期检查控制措施的效果和效率,评价合规风险控制措施的有效性。
9.优化合规流程。此处所说的合规流程不仅指狭义的合规管理流程,应该扩展至企业所有业务和管理流程,通过流程优化从而建立体系化合规控制手段。
流程是控制措施的落地举措,在优化流程前需建立、完善控制程序与运行机制,这是企业履行合规义务、控制合规风险的基础。再将规章制度整合到业务运行流程中,并落地执行,以实现预期的合规目标。流程运行效果需要定期的监测和评估,可以利用流程管理系统和OA办公系统等系统工具进行管理,提升运行效率。
10.编制合规手册。《合规管理手册》是合规管理体系建设集大成的代表性成果,是企业合规管理的纲领文件。
《合规管理手册》及相关的程序文件需要以达成合规目标为目的进行持续优化,要从企业合规管理目标出发,去繁化简提升制度的有效性。
11.宣贯合规管理制度及培训。这一步非常关键,很多合规管理体系建设项目“虎头蛇尾”,忽视宣贯导致的结果是合规管理制度被束之高阁。业务层面结合业务场景形成合规指引,根据业务属性做针对性的强化培训。合规管理体系建设不是建设在纸上和电脑里,而是建设在全员的脑海和意识里。
12.合规管理演练。开展合规管理演练是保障合规管理体系适用性、可用性的有效手段。合规管理体系不是做了一套文件或者梳理一遍流程就是做好了,需要通过有规划的合规管理演练活动确保合规管理体系时用时新、用时有效。
演练活动可以是系统化全场景演练,也可以针对特殊场景开展针对性演练,演练后要及时复盘,对发现的问题进行分析和总结,及时完善管理机制和控制手段,确保合规管理体系的有效性。
以上阐述的合规管理体系建设路径只是初步搭建企业合规管理体系必备操作,要想切实产生价值和效果,还有很多运营工作需要持续推动。
企业合规管理体系建设经验分享
以百度智能云的智慧金融业务为案例,分享企业合规管理体系建设的实践经验。
智慧金融业务兼具创新性、交叉性和综合性,不仅要满足传统金融监管政策,还要满足互联网、大数据、云计算等领域的监管要求,涉及不同领域的交叉监管,面临的监管形势愈加严峻和复杂。
百度智能云的智慧金融业务,已经服务了近500家金融行业客户,其中包括政策性银行、国有六大银行、10+家股份制商业银行、30+家保险机构、上百家区域性银行及证券、资产管理等各类金融机构,覆盖营销、风控、运营等关键金融场景。近期,中国质量认证中心(CQC)为百度智能云颁发行业首家ISO 37301合规管理体系认证证书,标志着百度智能云智慧金融业务的合规管理能力达到国际标准,充分展现其在这一关键能力上居于业内领先地位。
结合百度智能云的实践经验,下面从保障合规管理落地的3个关键点进行分享。
1.企业合规义务识别
在企业进行合规义务识别时从两个方向开展梳理,一是从企业的业务流程展开,识别企业的产品研发流程、销售流程、交付流程、财务管理流程、人力资源流程等,明确各流程需要遵守的主要法律法规、监管规定、行业规则、产品标准等内容,形成企业的合规义务清单。二是从企业应遵守的合规要求展开,合规要求包括但不限于反贿赂、反洗钱、反垄断、数据与网络安全、环境保护、知识产权、劳动用工等,把合规工作要求进行分析和归纳整理成企业需要承担的合规义务。对合规义务做拆解,与企业管理制度、业务流程建立对应关系,实现合规义务的落地执行,有效降低企业合规风险。
2.合规管理流程建设
合规流程的建设与优化参考APQC开发的流程分类框架按级、按层进行。例如,按照研发的类型把研发分成自主研发、委托研发、合作研发和集中研发;然后按照研发的实现过程,把研发细分为市场分析、技术可行性分析、立项评审、成立项目组、需求分析、制定项目任务书、制定验收标准、项目实施、单元测试、系统测试、验收测试等;每一个操作步骤都是一个小的业务流程,在此基础上进行标准化,即得到标准化作业程序(SOP)。SOP中包含对合规风险、操作风险的控制。
3.合规风险评估
合规风险的评估使用风险矩阵评价法,从风险影响后果和风险发生可能性两个维度进行。风险评价完得出风险值R,按照R值大小和风险类型搭建企业合规风险分布地图,同时对风险进行紧急程度排序,结合企业合规目标和业务需求优化资源投入,优先解决高危风险。例如,合规风险课按照类型分成监管风险、法律风险、安全风险、刑事合规风险等,在每个风险类型下汇总识别的风险信息和评价结果,用风险类型和风险评价结果可以搭建并输出风险分布图;用风险信息和风险评价结果可以进行风险排序,再结合现有控制措施及剩余风险的分析,确定需优先解决的敞口风险,从而提升资源使用效率。
随着2022年《中央企业合规管理办法》(征求意见稿)的发布,国有企业合规管理工作正在有序深入开展,意味着全面依法治国战略部署已逐步落实。百度智能云将继续探索并完善合规管理体系的建设,不断提升依法合规经营管理水平。我们呼吁各企业结合自身情况,不断提升合规管理能力,充分发挥合规管理“固根本、稳预期、利长远”的护航作用,筑牢合规底线,依法合规经营,创造高质量的合规管理体系运行实践,真正将合规管理作为企业持续健康发展的基石。