第三节 我国合规管理的实践与发展
近年来,党中央、国务院、各级政府部门等高度重视合规管理工作,先后出台了一系列鼓励和引导各类组织合规管理的政策措施,营造了合规管理发展的良好政策环境,合规管理在我国取得了长足发展。以下将重点介绍我国合规管理相关的政策制度、发展情况及合规管理体系标准的发展。
一、我国合规管理相关的政策制度
自2016年以来,党中央、国务院高度重视企业合规,习近平总书记先后在多个重要会议上强调要强化企业合规意识,规范企业经营行为,合法合规经营。2017年5月23日,习近平总书记主持召开中央全面深化改革领导小组第三十五次会议,会议讨论了中国企业面临合规挑战的新问题,指出:“加强企业海外经营行为合规制度建设,逐步形成权责明确、放管结合、规范有序、风险控制有力的监管体制机制,更好服务对外开放大局”。2018年8月27日,习近平总书记在推进“一带一路”建设工作5周年座谈会上指出要规范企业投资经营行为,合法合规经营,注意保护环境,履行社会责任,成为共建“一带一路”的形象大使。2019年2月25日,习近平总书记主持召开中央全面依法治国委员会第二次会议,会议强调,要加快推进我国法域外适用的法律体系建设,加强涉外法治专业人才培养,积极发展涉外法律服务,强化企业合规意识,保障和服务高水平对外开放。在2021年3月发布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中,将合规管理上升到促进国内国际双循环的高度,明确提出要“引导企业加强合规管理,防范化解境外政治、经济、安全等各类风险”,要“推动民营企业守法合规经营,鼓励民营企业积极履行社会责任、参与社会公益和慈善事业”。
在各级政府部门、检察机关层面,国务院国有资产监督管理委员会、最高人民检察院、国家市场监督管理总局等结合各自工作,制定发布了引导企业合规的办法、指引等(见表1-1),营造了企业合规的良好氛围。例如,最高人民检察院、司法部、财政部、生态环境部、国务院国有资产监督管理委员会、国家税务总局、国家市场监督管理总局、中华全国工商业联合会、中国国际贸易促进委员会于2021年6月联合发布《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》,对涉案企业合规第三方监督评估机制的建立运行做出了规定;国家市场监督管理总局于2021年11月发布了《企业境外反垄断合规指引》,为企业建立和加强境外反垄断合规管理制度,增强企业境外经营反垄断合规管理意识,提升境外经营反垄断合规管理水平,防范境外反垄断法律风险等提供了指导;国务院国有资产监督管理委员会于2022年8月发布《中央企业合规管理办法》,对中央企业进一步深化合规管理提出明确要求。
表1-1 主要的合规管理相关政策制度文件
二、我国合规管理体系标准的发展
我国现有的合规管理体系标准主要等同采用ISO国际标准。与ISO合规管理体系标准发展的步伐一样,我国先后等同采用ISO 19600:2014、ISO 37301:2021制定了GB/T 35770—2017、GB/T 35770—2022。以下将对合规管理体系标准的理论基础、GB/T 35770—2017的制定与发展、GB/T 35770—2022的制定与发展展开介绍。
(一)合规管理体系标准的理论基础
合规管理体系标准作为针对“合规”这个特定主题的管理体系标准,其制定遵循着管理体系标准的理念、原则和方法,采用P-D-C-A(策划—实施—检查—处置,Plan-Do-Check-Act,以下简称PDCA)理念,强调系统性地规范各类合规管理制度和措施,注重基于风险管理思维及运用内控管理手段,以达到合规管理的目的。
1.PDCA理念和模型
PDCA理念和模型是由美国质量管理专家沃特·阿曼德·休哈特最先提出的,而后得到美国质量管理专家爱德华兹·戴明的采纳和推广后获得普及,所以又称为戴明环。PDCA理念和模型包括四个阶段:第一阶段是策划阶段,通过调查、评估与分析,制定管理目标及达到这些目标的具体措施和方法;第二阶段是实施阶段,按照所制订的计划和措施去付诸实施;第三阶段是检查阶段,对照计划检查执行情况和效果,及时发现计划实施过程中的经验和存在的问题;第四阶段是处置阶段,根据检查的结果采取措施,把成功的经验加以肯定,形成规范,对于存在的问题,采取措施防止后续再次发生。
2.风险管理理论
“基于风险的思维”是所有管理体系标准所遵循的最基本的思维模式。在组织的内外部环境、相关方需求和期望分析的基础上,识别具体管理领域所面临的管理风险及风险的严重程度,据此建立相应的规章制度,以实现规避和应对风险的管理目标。风险管理理论是合规管理体系标准的核心方法论,风险管理旨在研究风险发生规律和风险控制技术,通过风险识别、风险分析、风险评估、风险应对、风险监测等,对风险实施有效控制。风险管理的发展经历了传统风险管理、现代风险管理和全面风险管理三个阶段。全面风险管理强调将风险管理要求和流程融入各个管理环节和日常经营过程中,为实现风险管理的总体目标提供合理保证。风险管理的最终目标是支持组织战略和经营目标的实现,其中包括确保组织业务活动的合规性。
3.内控管理方法
内部控制是由企业建立的,通过约束和激励等手段,以保障企业各利益相关方的行为能够按照契约的要求进行,并能够使契约自我优化的一种系统化的机制,其目的主要是实现企业目标。内控管理方法作为合规管理体系建立及实施的重要抓手,能够确保合规管理体系建立及实施的有效性,并可向内促使企业形成合力,从而激发企业自身不断优化及提升合规管理能力,以实现管理体系持续改进的要求。
(二)GB/T 35770—2017的制定与应用
2016年5月,为增强我国企业特别是跨国企业的国际竞争力,使其免于遭受违规带来的重大财产和声誉损失,中国标准化研究院提出制定《合规管理体系 指南》国家标准,并于2016年10月获得国家标准化管理委员会批准,下达立项计划。
随后,中国标准化研究院组建了起草工作组,成员来自国务院国资委、北京市国资委、深圳海关、原北京市工商局等政府部门,福特汽车、北京新世纪跨国公司研究所、中建科技集团、中石油、微软中国有限公司等国内外企业,德勤华永、毕马威等会计律师事务所。在对ISO 19600:2014条款内容进行翻译、研讨、分析的基础上,历经起草、征求意见、技术审查等阶段,起草组完成《合规管理体系 指南》的编制工作,并于2017年8月完成报批。
2017年12月29日,GB/T 35770—2017《合规管理体系 指南》正式发布,并于2018年7月1日起实施。GB/T 35770—2017得到了相关政府部门、企业等的高度关注,成为政府部门制定合规管理相关政策制度文件、企业开展合规管理体系建设工作等的重要参考,在央企合规管理、通关便利化等活动中,以及航空、制药、电子商务、金融等领域得到了广泛应用。
(三)GB/T 35770—2022的制定和主要内容
随着合规管理研究与实践的发展,国内相关方对合规和合规管理体系的认识和实践不断深入,合规创造价值已经成为各界的普遍共识。且越来越多的企业希望能够通过自我声明符合、第二方评价和第三方认证等方式获得社会对其合规管理工作的认可,新的需求与建议不断产生。与此同时,GB/T 35770—2017对应的国际文件ISO 19600:2014即将被ISO 37301:2021所代替。在此背景下,启动了《合规管理体系 要求及使用指南》的制定工作。
1.GB/T 35770—2022的制定过程及考虑
2021年年初,中国标准化研究院向国家标准化管理委员会提出了修订GB/T 35770—2017的立项提案,并于2021年8月获得国家标准化管理委员会批准,下达立项计划。
中国标准化研究院在ISO 37301:2021国内对口专家组的基础上,面向社会征集了起草单位和起草专家,来自中国标准化研究院、北京大成律师事务所、中国石油天然气集团有限公司等25家单位的29名专家共同组成了起草工作组。在编制之初,起草工作组对ISO 37301:2021的内容及其在我国的适用性进行了研究与评估,一致认为,从便利贸易与交流,以及企业跨境经营的角度,我国需要等同采用ISO 37301:2021;但是考虑到ISO 37301:2021中的某些内容在我国有不同的理解,建议增加一个资料性附录,以对这些内容提供补充性的解释或说明。在这个起草思路的指引下,历经起草、征求意见、技术审查等阶段,起草工作组完成《合规管理体系 要求及使用指南》的编制工作,并于2022年7月完成报批。
在GB/T 35770—2022的编制过程中,考虑到它是管理体系要求标准,且等同采用国际标准,因此,在标准文本的翻译准确性方面进行了大量的研讨与校准,同时确保与GB/T 20001.11—2022《标准编写规则 第11部分:管理体系标准》中规定的所有管理体系标准共有的核心内容保持一致,以便相关方在实践中能够很方便地开展一体化管理体系建设工作。
2.GB/T 35770—2022的主要内容
GB/T 35770—2022由正文、附录A和附录NA组成。其中,正文从组织环境、领导作用、策划、支持、运行、绩效评价和改进七个方面,规定了组织建立、开发、实施、维护和改进合规管理体系的要求;附录A给出了使用指南和推荐做法;附录NA对合规义务、合规文化、数字化与合规管理、管理体系一体化融合等内容做了补充、提示或者进一步的细化与解释。以下将主要围绕合规管理体系的构成要件对正文的内容进行介绍。合规管理体系的常见要件如图1-1所示。
(1)组织环境
组织所处的环境构成了组织赖以生存的基础。这些环境既涉及法律法规、监管要求、行业准则、良好实践、道德标准,又涉及组织自行制定或公开声明遵守的各类规则。因此,建立合规管理体系首先要对组织所处的环境予以识别和分析。GB/T 35770—2022从以下方面规定了识别和分析组织环境的要求:一是确定影响组织合规管理体系预期结果能力的内部和外部事项;二是确定理解相关方的需求和期望;三是确定合规管理体系的边界和适用性,确立其范围;四是确定反映组织价值观、目标、战略和合规风险的合规管理体系;五是识别与组织的活动、产品和服务有关的合规义务;六是评估合规风险。
(2)领导作用
领导是合规管理的根本,对于整个组织树立合规意识、建立高效的合规管理体系具有至关重要的作用。GB/T 35770—2022对组织的治理机构、最高管理者等如何发挥领导作用做出了规定:一是治理机构和最高管理者要展现对合规管理体系的领导作用和承诺,确保合规治理原则得到实施,建立、维护并在组织各个层面推进合规文化;二是要确立合规方针;三是确定治理机构和最高管理者、合规团队、管理者及人员相应的职责和权限。
图1-1 合规管理体系的常见要件
(3)策划
策划是预测潜在的情形和后果,对于确保合规管理体系能实现预期效果,防范并减少不希望的影响,实现持续改进具有重要作用。GB/T 35770—2022从以下方面规定了策划合规管理体系的要求:一是综合考虑组织内外部环境问题、合规义务和合规目标,策划应对风险和机会的措施,并将这些措施纳入合规管理体系;二是在相关职能和层级上确立适宜的合规目标,策划实现合规目标需建立的过程;三是有计划地对合规管理体系进行变更。
(4)支持
支持是合规管理的重要保障,对于合规管理体系在各个层面得到认可并保障合规行为实施具有重要的支持作用。GB/T 35770—2022从以下方面规定了支持措施:一是确定并提供所需的资源,例如财务资源、工作环境与基础设施等;二是招聘能胜任且能遵守合规要求的人员,对违反合规要求的人员采取纪律处分等管理措施,并提供培训;三是提升员工合规意识;四是开展内部和外部沟通与宣传;五是创建、控制和更新文件化信息。
(5)运行
运行是立足于执行层面,策划、实施和控制满足合规义务和战略层面规划的措施相关的过程,以确保组织运行合规管理体系。GB/T 35770—2022从以下方面对运行做出了规定:一是为满足合规要求和实施策划所确定的措施,需要通过一定方式策划和控制运行;二是实施控制来管理组织的合规义务和相关合规风险,并对这些控制进行维护、定期评审和测试来确保其持续有效;三是要确立、实施并维护一个报告过程,鼓励和促进(在有合理理由相信信息真实的情况下)报告试图、涉嫌或实际存在的违反合规方针或合规义务的行为;四是要开发、建立、实施并维护调查过程,对有关涉嫌或实际的不合规情形的报告进行评估、评价和调查。
(6)绩效评价
绩效评价是对合规管理体系建立并运行后的绩效、体系的有效性评价,对于查找可能存在的问题、后续改进合规管理体系等具有重要意义。GB/T 35770—2022对如何开展合规管理体系绩效评价做出了规定:一是监视、测量、分析和评价合规管理体系的绩效和有效性;二是有计划地开展内部审核;三是定期开展管理评审。
(7)改进
改进是对合规管理体系运行中发生不符合或不合规情况做出反应,评价是否需要采取措施,消除不符合或不合规的根本原因,以避免再次发生或在其他地方发生,并持续改进,以确保合规管理体系的动态持续有效。GB/T 35770—2022从以下方面对改进做出了规定:一是持续改进合规管理体系的适宜性、充分性和有效性;二是对发生的不符合、不合规采取控制和纠正措施。
3.与GB/T 35770—2017相比的主要变化
GB/T 35770—2022与GB/T 35770—2017相比,在标准类型、结构和技术内容三个方面做了大幅调整。
(1)标准类型的变化
从标准类型上,GB/T 35770—2017是一项跨行业的指南类管理体系标准,为建立、改进或提升管理体系提供了指导。GB/T 35770—2022是一项跨行业的要求类管理体系标准,规定了建立、开发、实施、维护和改进合规管理体系的要求。尽管GB/T 35770—2022为了便于使用者理解和应用正文中的要求,在附录中提供了使用指南和补充指南,但是这两个指南并不能影响GB/T 35770—2022所属的标准类型。因此,GB/T 35770—2022与GB/T 35770—2017相比,在标准类型方面的主要变化是由指南类管理体系标准修订为要求类管理体系标准,标准正文中的条款相应地全部使用要求型条款表述。
(2)结构的变化
从结构上,GB/T 35770—2017只有正文,不包含附录。而GB/T 35770—2022由正文和两个资料性附录构成,其中,附录A对应着标准正文中的条款内容和先后顺序,给出了如何理解和使用每个条款内容的指导、建议、解释;附录NA则在附录A的基础上,对于在我国具有不同理解和适用性的内容给出了补充解释。GB/T 35770—2022的两个资料性附录提高了GB/T 35770—2022的易用性和可操作性。
(3)技术内容的变化
从技术内容上,GB/T 35770—2022与GB/T 35770—2017相比,在以下方面有较大的技术变化:一是修改了合规义务的定义,明确合规义务覆盖组织自愿选择遵守的要求;二是将合规管理体系所涉及的组织内的个体扩大至所有人员;三是强化了合规治理原则,以便确保合规管理体系能够真正发挥作用;四是强化了治理机构和最高管理者对合规管理体系的领导作用和应负责任,要求治理机构以合规目标的实现情况作为最高管理者的衡量标准,对最高管理者运行合规管理体系的情况进行监督;五是突出了合规文化的作用,合规文化贯穿整个组织,与组织的结构和控制系统相互作用,能够产生有利于合规的行为准则,指引组织和人员行为的发展方向,因此要求在组织内的所有层面上发展、维护和促进合规文化;六是强调合规管理体系有效性,要求最高管理者指导和支持人员为合规管理体系的有效性做出贡献,强调在合规管理体系运行中通过引入对控制措施的测试,确保组织控制的有效性,进而确保合规管理体系建立和运行的有效性;七是增加了人员聘用过程、提出合规疑虑和调查过程的要求。
(四)GB/T 35770—2022的应用
GB/T 35770—2022作为要求类管理体系标准,对于各类组织的合规管理能力建设、贸易交流、政府监管活动等具有重要的意义。
一是作为各类组织自我声明符合的依据。各类组织通过实施GB/T 35770—2022建立、运行、评价、维护、改进合规管理体系,能够提升合规管理能力和合规经营水平,一方面使组织的行为及行为结果合规,通过自我声明符合GB/T 35770—2022,便于贸易活动的开展,另一方面在需要时还能够据此标准追溯组织是否符合了合规管理体系规定的内容或证实是否达到了合规要求。
二是作为认证机构开展认证的依据。GB/T 35770—2022规定了合规管理体系的要求,认证机构在认证活动中,可以直接应用或者在其认证技术规范中明确GB/T 35770—2022作为组织符合合规管理体系要求的认证依据。
三是作为政府机构监管的依据。政府机构通过在法律、法规规章等文件中引用GB/T 35770—2022,将合规管理理念应用于行政监管活动,引导、规范各类组织、行业发展,弥补已有监管手段和措施失灵,通过对组织的合规管理体系运行情况评价结果匹配相应的监管手段和措施,实施精准监管。
四是作为司法机关对违规企业量刑与监管验收的依据。GB/T 35770—2022所规定的合规管理体系要求,可以作为司法机关对涉及违规企业量刑的考量依据,可以作为落实依法不捕不诉不提出判刑建议等司法意见、制定合规指引、督促企业合规整改和第三方监管验收的依据。