2020 年4月3日,上海市律师协会法律合规业务研究委员会通过线上会议的形式举办了“合规管理体系国际标准的制定及实施”讲座,本次讲座由市律协法律合规业务研究委员会副主任盖晓萍律师主持,由北京大成(上海)律师事务所合伙人陈立彤律师主讲。
为引导各类组织建立、实施、评价和改进合规管理体系,国际标准化组织于2014年制定发布了ISO 19600:2014《合规管理体系指南》。本次讲座中,陈立彤律师在阐述合规管理体系国际标准制定过程的基础上,重点围绕“范围”、“组织环境”、“领导作用”、“策划”、“支持”、“运行”、“绩效评价”及“改进”这七部分内容,结合典型案例,释明了国际标准下的企业合规管理体系,并进一步对企业在管理过程中的合规问题提出建议。
1、范围
ISO 19600提供了组织内建立一套有效和及时响应的合规管理体系,并予以制定、实施、评价、维护和改进的指导。ISO 19600:2014以良好治理、相称性、透明度和可持续性原则为基础,为在组织内建立、发展、实施、评估、维护和改进一个有效的、响应性的合规管理体系提供指导。ISO 19600适用于所有类型的组织。该标准的应用程度取决于组织的规模、结构、性质和复杂性。
2、组织环境
组织是指为实现目标,由职责、权限和相互关系构成自身功能的一个人或一组人。组织宜确定内部和外部问题,如那些与合规风险相关、与组织目标相关和影响组织实现合规管理体系预期成果能力的问题。这种情况下,组织宜考虑更大范围的内部和外部因素,如监管、社会和文化环境、经济形势、内部方针、程序、过程和资源。
组织宜确定合规管理体系的相关方以及这些相关方的要求。组织宜确定合规管理体系的边界和适用性,以确立其范围。值得注意的是,合规管理体系的范围旨在阐明应用合规管理体系的地域和/或组织边界,尤其该组织是某大规模组织在给定地点的分支机构时。
组织宜根据本标准建立、制定、实施、评价、维护和持续改进合规管理体系,包括必需的过程和过程的相互作用,并考虑如下治理原则:
——台规团队与治理机构建立直接联系;
——合规团队的独立性;
——分配给合规团队适当的权限和充足的资源。
合规管理体系宜反映组织的价值观、目标、战略和合规风险。
3、领导作用
治理机构和最高管理者宜通过下列方式证明其对合规管理体系的领导作用和承诺:
a) 确立和坚持组织的核心价值观;
b) 确保建立组织的合规方针和合规目标,并与该组织的价值观、目标和战略方向保持一致;
c) 确保制定并实施方针、程序和过程,以实现合规目标;
d) 确保合规管理体系所需资源可用、予以分配和指派;
e) 确保合规管理体系要求融入组织的业务过程;
f) 传达合规管理体系的重要性和符合合规管理体系要求的重要性;
g) 指挥和支持人员提升合规管理体系的有效性;
h) 支持其他相关管理者,使他们在自己担责的领域中展现出合规领导力;
i) 确保运行指标和合规义务保持一致;
j) 确立并维护问责机制,包括对合规事件和不合规及时报告;
k) 确保合规管理体系实现它的预期成果;
l) 推进持续改进。
治理机构和最高管理者的积极参与和监督是有效合规管理体系不可分割的一部分。这有助于确保员工充分理解组织的方针和运行程序,以及如何将其运用在他们的工作中,并确保他们有效地履行合规义务。
要使合规管理体系有效运行,治理机构和最高管理者需要通过坚持积极地支持合规和合规管理体系来以身作则。
许多组织由专人(如:合规官)负责日常的合规管理,有些组织由跨职能的合规委员会协调整个组织的合规工作。
一些组织——取决于其规模——也有人员全面负责合规管理,尽管这可能是其他角色或职能之外的职责,包括现有委员会、组织的内设部门或把部分工作外包给合规专家。
这不宜被视为免除了其他管理层的合规职责,因为所有管理者对合规管理体系都发挥一定的作用。因此,在他们的职务描述中清晰地设定他们各自的职责十分重要。
管理者的合规职责必然地会随着权限、影响力和其他因素的水平而变化,如组织的性质和规模。但是,有些职责有可能是各类组织共有的。
治理机构和最高管理者宜:
a) 建立合规方针。
b) 确保维护对合规的承诺,并确保恰当处理不合规和不合规行为。
c) 将合规职责列入最高管理者职位描述。
d) 任命或提名一个合规团队。
e) 确保合规团队具备独立采取措施的权限,且该团队不会向与其冲突的优先权妥协,特别是当合规已融入该组织业务的情况下。
最高管理者宜:
——分配充足和适当的资源以建立、制定、实施、评价、维护和改进合规管理体系及绩效成果;
——确保组织分配和传达相关角色的职责和权限;
——确保建立高效及时的报告系统;
——对照合规关键绩效措施或结果被考核;
——分配向治理机构和最高管理者报告合规管理体系绩效的职责。
不是所有的组织都会创建独立的合规团队,某些组织可将此职能分配给现有职位。
合规团队宜与管理层合作,负责以下事宜:
a) 在相关资源的支持下识别合规义务,并将那些合规义务转化为可执行的方针、程序和过程;
b) 将合规义务融入现有的方针、程序和过程;
c) 为员工提供或组织持续培训,以确保所有相关员工得到定期培训;
d) 促进合规职责列入职务描述和员工绩效管理过程;
e) 设定适当的合规报告和文件化体系;
f) 制定和实施信息管理过程,如通过热线、举报系统和其他机制进行的投诉和/或反馈;
g) 建立合规绩效指标,监视和测量合规绩效;
h) 分析绩效以识别需要采取的纠正措施;
i) 识别合规风险,并管理与第三方有关的合规风险,如供应商、代理商、分销商、咨询顾问和承包商;
j) 确保按计划定期对合规管理体系进行评审;
k) 确保合规管理体系的建立、实施和维护能得到适当的专业建议;
l) 使员工可以得到与合规相关的程序和参考资料的资源;
m) 对合规相关事宜向组织提供客观建议。
4、策划
组织进行合规管理体系策划,宜考虑3.1提及的问题,3.2提及的要求,3.4提及的良好治理原则,3.5识别的合规义务,3.6提及的合规风险评估的结果,已确定需解决的合规风险,以:
——确保合规管理体系能实现预期效果;
——防范、察觉并减少不希望的影响;
——实现持续改进。
组织宜策划:
a) 应对合规风险的措施以及
b) 如何:
——将措施纳入合规管理体系过程并实施;
——评价这些措施的有效性。
组织宜保留与合规风险和应对合规风险所策划的措施相关的文件化信息。
组织宜在相关部门和各层级建立合规目标。
合规目标宜:
a) 与合规方针一致;
b) 可测量(如可行);
c) 考虑适用的要求;
d) 予以监视;
e) 充分沟通;
f) 适当时,更新和/或修订。
组织策划如何实现合规目标时,宜确定:
——做什么;
——需要什么资源;
——谁负责;
——可时完成;
——结果如何评价,如:根据已识别的合规关键绩效措施和结果。
组织宜保留关于合规目标和实现合规目标所策划的措施的文件化信息。
5、支持
组织宜:
a) 确定员工具有在其控制下影响合规管理体系绩效必备的工作能力;
b) 确保这些员工在接受适当的教育、培训和/或工作经验的基础上能胜任工作;
c) 适用时,采取措施获得必要的能力,并评价所采取措施的有效性;
d) 保存适当的文件化信息,包括能力证明。
治理机构、管理层和具有合规义务的所有员工都宜具备有效履行合规义务的能力。能通过多种方式获得能力,包括通过教育、培训或工作经历获取必需的技能和知识。
培训项目的目标是确保所有员工有能力以与组织合规文化和对合规的承诺一致的方式履行角色职责。
设计合理并有效执行的培训能为员工提供有效的方式交流之前未识别的合规风险。
对员工的教育和培训宜:
a) 针对与员工角色和职责相关的义务和合规风险量身定制;
b) 适宜时,以对员工知识和能力缺口的评估为基础;
c) 在组织成立时就提供并持续提供;
d) 与组织的培训计划一致,并纳入年度培训计划;
e) 实用并易于员工理解;
f) 与员工的日常工作相关,并且以相关行业、组织或部门的情况作为案例;
g) 足够灵活,涉及各种技能,以满足组织和员工的不同需求;
h) 评估有效性;
i) 按要求更新;
j) 记录并保存。
宜考虑合规再培训,每当:
——角色或职责改变;
——内部方针、程序和过程改变;
——组织结构改变;
——合规义务尤其是法律或相关方要求改变;
——活动、产品或服务改变;
——从监视、审核、评审、投诉和不合规,包括利益相关方反馈产生的问题。
6、运行
运行的重点在于建立控制和程序。建立控制和程序,包括:
a) 清晰、实用并易于遵循的文件化运行方针、程序、过程和操作指示;
b) 系统和异常报告;
c) 审批;
d) 划分有冲突的角色和职责;
e) 自动化过程;
f) 年度合规计划;
g) 员工绩效计划;
h) 合规评估和审核;
i) 管理层的承诺和以身作则和促进合规行为的其他措施;
j) 对预期的员工行为(标准、价值观和行为准则)进行主动、公开并经常的沟通。
7、绩效评价
绩效评价包含了“监视、测量、分析和评价”、“审核”以及“管理评审”。
组织宜至少在计划的时间间隔内安排审核。
组织宜:
——策划、建立、实施和维护审核方案,包括频率、方法、职责、策划要求和报告。审核方案宜考虑相关过程的重要性和前期审核的结果;
——界定审核准则和每次审核的范围;
——选择审核员,并进行审核,以确保审核过程的客观和公正;
——确保审核结果报告给相关管理层;
——保留文件化信息,作为实施审核方案和审核结果的证据。
组织宜考虑:
——以前管理评审措施的状态。
——合规方针的充分性。
——合规目标实现的程度。
——资源的充分性。
——与合规管理体系相关的内外部问题的变化。
——合规绩效信息。
——持续改进的机会。
8、改进
未能避免或发现一次性不合规并不一定意味着合规管理体系预防和发现不合规总体无效。组织宜设法改进合规管理体系的适用性、充分性和有效性。宜将合规报告中对已收集信息进行的分析和相应评价作为识别该组织合规绩效改进机会的依据。
(注:以上嘉宾观点,根据录音整理,未经本人审阅)
供稿:上海市律师协会法律合规业务研究委员会
执笔:任兹幻 上海格联律师事务所