合规管理体系建设落地的实效路径

来源：山东勤硕律师事务所  作者：陈德宁

 

笔者在与企业家沟通合规管理体系搭建的实际目标需求时，主要有两个倾向：一是追求取得合规管理体系认证，他们意识到近年来国家对央企和地方国企推行合规管理，基于国企对交易伙伴的合规审查的推开，势必波及民营企业的交易机会，取得合规管理体系认证则会在商业竞争中会多一份把握和机会；二是追求所搭建的合规管理体系能够产生实效，而不是做出一堆文件摆在面前，担心付出成本后落入“理想很丰满，现实很骨感”的境地。两个答案展现了企业合规管理体系的形式需求和实质需求，但分析两个需求，底层逻辑即是合规管理体系建设的落地问题。

 

结合笔者为企业提供合规管理体系建设咨询和辅导服务的实践，就合规管理体系建设实现落地的实效路径分析阐述如下：

 

一、合规管理体系建设落地“四部曲”

 

企业合规管理体系建设和运行的重点我们总结为“定规”“执规”“治规”“评规”四个部分，这“四部曲”前后衔接、一体融合、执行到位是体系落地的基础和必要内容，缺少任何一个环节都会打破合规管理的体系化，最终导致“徒劳无功”。

 

“定规”主要是指企业制定经营管理制度、业务流程，以及合规管理制度。经营管理制度和业务流程是企业合规管理的工具，首先需要企业分析内外部环境，梳理适用的合规义务，对合规风险进行识别、评估和分级；其次需要结合合规义务和合规风险等级，针对性制定合规风险防控措施；最后将防控措施定入经营管理制度和业务流程。上述一系列操作的目的是将合规要求嵌入管理制度和流程，企业按照制度运行，按照流程管理业务自然合规贯穿其中。与此同时，在企业经营管理制度和业务流程之外，为处理不合规事件、确保合规管理体系的适用性和持续性，需要一套合规管理制度保障相关制度和流程中的合规要求得到执行。

 

由此可以看出，“定规”包含两层涵义，一是将合规要求定入企业管理制度和流程，二是需要专门对合规要求得到切实执行制定合规管理制度。

 

“执规”主要是遵守和执行合规管理制度角度的要求，首先要确定合规管理机构及其职能，按照ISO 37301：2021《合规管理体系 要求及使用指南》的要求，企业最高管理层要遵守合规管理机构职能的独立性，并且不应与组织结构或其他要素相冲突，合规管理机构如果有必要可以绕过企业的其他人员直接与“最有权采取行动的人员”进行沟通。其次提供资源保障合规管理机构通过其职能确保企业合规管理体系的持续改进和组织内的各部门、人员遵守合规管理制度。

 

“治规”要求企业把合规纳入绩效管理，设定业务前端对人员的合规要求为第一道防线，业务进程中由合规管理部门的合规事项处置做第二道防线，审计监察部门对合规职责履行情况进行审计监督定为第三道防线，严格合规绩效奖惩、不合规追责，通过合规绩效考核和不合规事件应对总结形成合规管理体系改进意见，不断进行升级，实现体系的持续改进。

 

“评规”是企业保持合规管理体系持续有效的主要工具和手段，“定规”“执规”“治规”是体系持续运行的要求，但随着外部环境的变化，企业目前运行的合规管理体是否仍具备高效的适用性需要进行审查和评估，分为专项和阶段性评估，专项评估是指公司内外部环境发生变化时（外部环境变化如监管政策的调整，内部环境的变化如增加新的业务），梳理新环境下的合规义务和合规风险，然后相关的变化和影响，如果经过评估判断是否需要制定风险防控措施，相关措施是否需要定入管理制度，然后进入“定规”“执规”“治规”“评规”循环过程，以此持续推进合规管理体系保持适用性；阶段性评估是指企业不合规事件发生、应对和处置之后对合规管理体系的审查评估，比如，企业应对不合规事件后合规管理部门需要分析评估不合规的成因、后果、应对效果以及责罚匹配度，针对具体问题形成不合规事件处理报告，厘清不合规事件是人为故意违反管理制度或者内外部环境发生变化还是合规管理制度存在漏洞。合规管理机构根据该报告决定是否启动评估，作为合规管理体系持续改进的内生动力。

 

二、合规管理体系落地的关键四要素

 

“徒法不足以自行”，再完美的合规管理体系也需要依赖切实贯彻执行，笔者认为，“合规管理”的关键并非在“合规”，而在“管理”二字，企业及企业员工的行为符合规范规定是合规管理体系要实现的结果和成果，实现这个目标的关键在管理，欲实现合规管理体系落地实际是要求管理的实效性。管理实效性则对企业的整体意识、自身特点、人财物管理状态和管理保障均有要求。在此，笔者总结了合规管理体系落地的关键四要素，即：最高管理层的决心；因企制宜；制度管人流程管事；保障和考核到位。

 

最高管理层的决心是决定性要素，合规管理体系是企业战略布局层级的事项，最高管理层的决心实质影响和代表着企业的整体意识，最高管理层作为企业战略的制定者，如果认识到了合规管理的价值，向全员作出决心建立合规管理体系的明确表态，得到的效果就是全体员工思想重视，开始关注和了解合规管理，再配合企业全员的合规管理培训宣贯和上至企业最高管理层下至一线员工签署合规承诺，企业整体的合规意识就会初见端倪，随着合规管理体系的建设和确立，这种意识便会逐渐成熟，从而成为企业合规文化的基础。

 

谈到因企制宜，这里需要探讨一个问题，就是认为外部法制环境是一样的，同行业的不同企业的合规管理体系是不是大体一样？这家企业的合规管理模型能否直接适用或者以此为基础调整后适用到其他企业？我们在向企业家介绍合规管理体系搭建方法和内容时，都涉及合规管理组织架构、合规义务梳理、合规风险识别评估、合规管理制度制定、合规保障等等，也经常会被问到同行业企业的体系是不是“粘贴复制”，我们的意见是每个企业的制定的合规战略要求都是特有的，基于企业管理模式和组织架构的不同，其合规义务和合规风险均具备各自特殊性对应的合规重点也是不同的，各企业根据需求都制定特别的管理制度和流程，再加上不同的人员和岗位职责导致合规风险特定化，结合以上特点，企业内部基于岗位和业务流程的合规风险会有巨大差别，而合规管理体系的搭建是以合规风险识别、评估并经过风险分级后针对性指定管控措施而嵌入现有管理制度和业务流程，这就导致企业所搭建的合规管理体系是与其自身“基因”绑定的。换个角度讲，只有结合企业独有的特点为企业搭建合规体系才是有效适用于本企业的合规体系，才能实现有效落地，杜绝 “水土不服”。

 

企业制度就是在企业内部制定和施行的“法律”，现代企业制度要求强化“法治”摆脱“人治”，如前述，合规管理的一项要求是将合规风险管控措施嵌入企业经营管理制度和业务流程，与此同时还要求企业建立健全合规管理制度，这些制度中蕴含着合规风险的管控措施，使执行管理制度和防控合规风险融为一体，所以“制度管人流程管事”是企业将合规要求纳入日常管理的正确路径。

 

企业为合规管理体系提供的保障和考核到位是推动合规管理顺利落地实施的基础条件，包括财务预算支持、合规绩效奖惩、不合规举报等，一方面做到确保合规组织独立性，保证合规培训持续性，提升合规人才专业性和注重合规考核灵活性。另一方面做到事中跟踪和事后审计考核，结合实际进行持续改进，合规管理制度紧贴经营管理制度和业务流程，一以贯之，促使实现人人合规、事事合规、时时合规。

 

三、企业合规管理体系有效性评价

 

笔者认为，企业合规管理体系有效性评价包括基于合规管理体系建设完成落地的有效性评价和体系运行过程中进行的持续性评价，是确保合规管理体系有效性、适用性和持续改进的要求。

 

企业合规管理体系建设完成落地辅导结束进行有效性评价相当于对整个新建体系的成果测试验收，以确信新体系可以实现有效运行；阶段性持续性评价主要是在企业内外部环境发生变化时或者出现不合规事件时，需要进行新的合规义务、合规风险识别，制定防控措施，考量是否定入制度流程，定入哪些制度流程，以改进现有合规管理体系，改进完成后则需要整体对合规管理体系的有效性和适用性进行评价分析。

 

从以上评析可以看出，企业实现合规管理是一项体系性工程，需要与企业现有的经营管理体系进行融合，合规管理体系的落地需要企业自上而下的贯彻，需要实现内部“法治化”，需要基于企业的“基因”搭建和改进，如果践行了有效可靠的搭建方法和运行路径，合规管理体系是自然落地的，并不是靠建一套独立的体系让它去“着陆”。