《企业合规管理体系有效性评价》团体标准解读
在国内,“企业合规管理”这一理念已经过多年的探索与实践。从证券业监管、银行业监管,到企业海外经营合规管理、国内部分省市对垂直行业的合规性监管,再到反垄断治理、央企及国资企业合规建设等等,“企业合规管理”与中国经济社会发展的方方面面紧密相关,政府、企业、学界对于相关治理体系的研究从未间断。如今,越来越多的企业认识到“合规创造价值”,理解“合规经营”不但能提升企业自身的管理能力与效率,节省管理成本,创造企业良好信誉和形象,而且可以带来更多的商业机会,增强商业的稳定性和可持续性。中国企业评价协会业于2022年7月5日,国内首发团体标准《企业合规管理体系有效性评价》(T/CEEAS 002-2022),是围绕国家政策指引、发挥社会组织行业自律职能、促进企业规范有效地建立和实施合规管理体系、推动构建企业合规第三方评估模式的有益探索。
企业建立有效的合规管理体系,是适应市场化、法治化、国际化发展的必要举措。
随着中国成为世界第二大经济体、亚洲第一大经济体,中国面临的问题已调整为:如何对标高标准经贸规则打造国际化营商环境?如何"稳中求进"建立更具韧性和竞争力的产业链体系?如何从对标对接到探索引领,为国际规则制定贡献中国智慧?近两年,国家有关部委及智库结合中国实际,已找到了解决问题的方法,即建设高效规范、公平竞争、充分开放的全国统一大市场。理论上讲,中国具有超大规模单一市场和门类齐全的制造业体系,可以构造出不会轻易被撼动的全球供应链和产业分工格局,进而起到稳定全球产业链供应链的关键作用。而在实践上,“全国统一大市场”对中国千千万万企业的合规管理能力提出更高的要求。宏观层面上看,企业是否普遍合规经营,将影响到地方保护和市场分割能否被打破,影响到制约经济循环的关键堵点能否被打通,影响到商品要素资源能否在更大范围内畅通流动等等。个体层面上看,企业建立有效的合规管理体系,将成为企业软实力的重要体现,更成为企业在全球产业链供应链开放竞合、多边自由贸易规则中立足的生存底座。
《标准》为第三方机构和企业开展合规管理体系有效性评价提供依据
2022年4月1日,国务院国资委发布了《中央企业合规管理办法(公开征求意见稿)》。虽然《办法》主要面向央企,但对于非国资企业建设企业合规管理体系同样具有指导性。《办法》从全员合规、制度建设、运行机制、追责与考核、尽职合规免责等多个方面,提出新的要求,促进了国企合规管理体系架构更加丰富与完善。
《企业合规管理体系有效性评价》标准,是在充分参考企业合规管理的理论基础、法律法规、国内外相关标准以及2022新版央企合规管理办法的基础上,由一批智库学者、企业专家参与标准研讨、贡献条目,最终编制形成的具有较强实操性的企业评价标准。因此《标准》可以作为《办法》的延展与工具,为合规管理体系有效性评价提供指标依据,规范和引导企业合规管理体系有效性评价活动的开展,实现对企业合规管理运行有效性的全面诊断,帮助企业提升合规管理绩效。由于《标准》具有第三方属性与普适性,企业可依据《标准》自行组织开展企业合规管理体系有效性评价工作,也可委托行业协会、认证机构等机构开展测评。
区分“规范性文件”与“证据性文件”
《标准》明确定义“规范性文件”是指:组织所建立的或应遵守的,用语指导企业生产经营活动的方法、规范或要求的文件,一般可包括管理手册、管理制度、管理办法、操作规程、工作流程等。定义“证据性文件”是指:组织的自己产生的,与组织生产经营活动过程相关的各种证明性文件,例如各种记录、报表、审批单、会议记录、生产日志等。
《标准》中的“符合性与有效性相结合原则”,建立起“规范性文件”与“证据性文件”之间的逻辑关系,即管理体系实施过程的“证据性文件”要符合企业“规范性文件”的要求。管理体系的“规范性文件”要符合ISO 37301的要求。两类文件明确关联关系,为实际测评工作建立了可操作性的基础。
新定义“合规管理体系”与“有效性”
《标准》将“合规管理体系”定义为:组织的为确立合规方面的方针和目标以及实现这些目标的过程所形成的相互关联或相互作用的一组要件。其中,“合规管理体系”的“要件”包括合规方面的组织的结构、岗位和职责(与领导作用相关)、运作(与组织环境、策划、支持、运行、绩效评价、改进相关)。比较全面的勾画出评价指标体系的对象与维度。
《标准》将“有效性”定义为:组织所建立的合规管理体系运行过程和结果实现预期目标的程度,包括合规管理体系文件有关的规范性文件与ISO 37301要求的符合性、实施过程与规范性文件的符合性、实施结果实现企业合规目标的程度和持续改进的成果。用以上四个维度的符合程度,映射为合规管理体系的“有效性”。
自评与专业评价相结合原则与独立客观原则
《标准》明确了企业自评与第三方专业机构评价的关系,指出评价机构在企业完成自我评价的基础上,对企业所提供的规范性文件和证据性文件进行系统全面的专业评价,并经过现场审核(必要时)验证后进行综合打分,得出最终评价结果。
《标准》对独立客观原则,做了细分阐述。“独立性”指评价机构应和人员与被评价企业保持相对独立,与评价企业没有直接的利益关联,评价过程能够不受其他组织干扰。“客观性”指评价实施过程应严格依据ISO 37031的要求进行,ISO 37301中有明确要求的,不进行任何删减;ISO 37301中没有明确要求的,不额外要求企业提供。此外,评价人员应基于企业的证据性文件提供的客观证据进行评价,不舍弃任何已经提供的证据,不在已经提供的证据的基础上进行任何延展性联想或推断。
7大类30项评价指标体系
《标准》覆盖ISO 37301《合规管理体系 要求及使用指南》的所有要求,并基于企业管理体系的标准制定和评价认证实施经验进行设计。在《标准》中,企业合规管理体系有效性评价指标体系共包括:企业环境、领导作用、体系策划、体系支持、体系运行、绩效评价、体系改进等7个一级类目以及30个二级指标。各指标大类的测评重点如下:
指标一:企业环境。重点关注内外部因素、利益相关方的需要和期望、合规义务、合规风险识别及其评估等方面的制度建设、识别清单及其管理。
指标二:领导作用。重点关注领导作用和承诺、合规方针和职责设置以及治理机构及最高管理者履行合规职责的情况。
指标三:体系策划。包括风险与机遇的应对措施、合规目标及其体系变更等,评价侧重于合规管理体系文件本身的充分适宜性,并有合理的机制和适当的方法保证文件贯彻落实。
指标四:体系支持。侧重于合规管理资源需求分析及配备制度建设的适宜性以及人、财、物的配置和管理的有效性,包括资源、能力、合规意识、沟通及文件化信息管理等方面的评价。
指标五:体系运行。重点关注合规管理体系文件、控制程序以及相关规章制度的管理和执行是否行之有效,主要包括运行的策划和控制、控制程序的建立、举报机制、调查过程
指标六:绩效评价。重点关注合规管理效果的监视、测量、分析和评价、内部审核、管理评审等方面的评价。
指标七:体系改进。包括持续改进和不符合项及应对措施等,重点关注合规管理体系持续改进的制度建设及实行效果,不符合原因分析,应对措施评估以及应用等。
四维度通用打分模型
《标准》指出,对于测评打分环节,企业无论自评或委托第三方专业机构评估,均需要在全面梳理企业的合规管理体系的规范性文件和证据性文件基础上,通过日常监测/自我检查、内部审核/交叉检查、管理评审/年度工作总结等方式,根据评价指标体系及权重,对每一项指标打分。为指导“定性类”指标的打分更具科学性、公允性、公正性,《标准》设计了涵盖“规范性文件符合性”、“实施过程符合性”、“实施效果有效性”、“持续改进”等四个维度的合规管理体系有效性评价通用模型。每个维度根据数据信息采集程度的不同(缺失、不足、满足、创新),将企业划分至0-100分不同的分数段。最大程度减少测评过程中专家评审人员的个人因素。
AAAAA评级与评价报告
《标准》在指导测评打分的基础上,编写了指导评级与评价报告的内容板块。
在评级方面,《标准》共规划了四个级别,包括:AAAAA、AAAA、AAA和“未达到评级要求”。其中,满足以下情况之一,即判定为“未达到评级要求”。一是企业的合规管理体系有效得分在180以下;二是标明★的重要评价指标得分没有达到该项指标的60%;三是存在因合规管理体系不完善或实施过程不符合造成的重大不合规行为。被判定“未达到评级要求”的企业,需根据评价报告进行整改后,重新进行评价。
在评价报告方面,《标准》定义了报告的书写规范,重点侧重于内容的完整性。首先,评价报告应对评价机构的基本情况、被评价企业基本信息、评价依据、评价过程、结论及改进建议等方面的内容进行描述;第二,报告应从规范性文件的符合性、实施过程符合性、实施效果的有效性和持续改进四个方面,对企业当前合规管理有效性进行分析;第三,报告内容应完整,包括:评价机构基本信息、被评价企业的基本信息、评价依据、评价过程描述、评价基准日和评价报告日、评价数据及其来源、合规管理体系有效性分、评价结论及改进的建议。
作者:刘李佳 来源:中国企业评价协会
