合规是企业可持续发展的基石,能够为企业创造新的机遇。近年来,随着经济社会的发展、国家治理体系和治理能力现代化的推进以及全面依法治国战略、“走出去”战略及“一带一路”倡议的实施,越来越多的企业着力于合规管理体系的建立、运行、维护和改进。在此背景下,国务院国资委于2018年11月发布《中央企业合规管理指引(试行)》(以下简称“《指引》”),拉开国内企业全面开展合规管理的序幕。
2021年4月,国际标准化组织(ISO)发布《合规管理体系 要求及使用指南》(ISO 37301:2021)(以下简称“ISO 37301”),代替了原先的《合规管理体系 指南》(ISO 19600:2014),正式在合规管理领域将B类指导性标准升级为A类可认证标准。自此,企业可依照ISO 37301进行合规管理体系建设并开展合规认证。
一 、合规认证的重要意义
企业通过ISO 37301合规认证,具有以下重要意义:1.展示证明:企业可据此向国内外监管机构证明企业已经搭建完善的合规管理体系并且有效运行,一方面有助于为可能的行政监管活动提供反馈,实现精准应对监管;另一方面在涉及刑事责任时,企业可向有关部门展示其具备良好的合规管理体系以及持续改进企业合规管理的诚意,并为企业合规整改和第三方监管验收提供正面依据。
2.传递信任:企业可据此向商业伙伴展示企业诚信合规的商业形象,取得商业伙伴的信任,从而为贸易与合作提供便利、提升企业的商业价值,乃至取得收获新客户、打开新市场、迈向新阶段的契机。
3.融合增效:企业可与其他遵循PDCA理念的ISO体系进行融合,降低管控成本,提升管理效率,保持企业运行的系统性和协调性。
二 、ISO 37301与《指引》的主要区别
近年来,从中央企业和部分省属企业“合规管理强化年”工作的开展,到各地涉案企业合规改革试点的全面推开,越来越多企业认识到合规管理的重要意义,并期望开展合规管理体系建设并通过ISO 37301合规认证。然而,尽管同为合规管理体系的建设标准,由于制定主体、规范对象和制定目的等都存在区别,ISO 37301和《指引》之间存在明显差异。现本文依照ISO 37301的篇章顺序,就两者的主要差异作如下比较分析:
比较点一:范围
ISO 37301“适用于所有类型的组织,不论其类型、规模、性质,也不论其是公共的、私营的或非营利性的”,《指引》适用范围为中央企业。这体现出两者在设计逻辑上的差异:ISO 37301设计适用于各类组织,使其能够根据规模和合规管理体系的成熟度以及性质、所处环境等具体情况选择如何实施。相比起来,《指引》更适用于我国中央企业,该指引明确了中央企业各重要部门的合规管理职责与合规管理重点,相比于ISO 37301更为具体、针对性更强,但也较难适用于其他类型的企业。
比较点二:规范性引用文件
ISO 37301明确其没有规范性引用文件,《指引》也无引用其他文件部分,仅提到根据《中华人民共和国公司法》《中华人民共和国企业国有资产法》等有关法律法规规定进行制定。
比较点三:术语和定义
ISO 37301对于“组织”、“利益相关方”、“最高管理者”等较多用词进行了定义,明显体现出普适性的特点,也有助于各类企业贯彻该标准。《指引》则仅就“中央企业”、“合规”、“合规风险”与“合规管理”进行了定义。
比较点四:组织环境
ISO 37301在“4 组织环境”部分列举了商业模式、与第三方业务合作的性质和范围、法律和法规要求、经济环境、社会、文化、环境因素、内部组织架构、方针、过程、程序和资源、自身的合规文化等,将上述因素均作为组织环境的考虑范畴,并在后面特别提到要“理解利益相关方的需求和期望”。相比之下,《指引》更侧重于将外部环境变化与自身实际结合来防范风险,对于利益相关方的需求和期望则未明确提及。
比较点五:领导作用
ISO 37301在“3 术语和定义”中将治理机构定义为“对组织的活动、治理、方针负有最终责任和权力的一个人或一组人,最高管理者向其报告并对其负责”,最高管理者为“在最高层指挥和控制组织的个体或群体”并具体指出其为“最高级别的执行管理层”,但未指明具体机构。而在“5 领导作用”部分,ISO 37301规定了治理机构和最高管理者的领导作用和承诺、职责以及应确立的合规方针等。此外,ISO 37301还提到合规职能、管理者和人员的职责,自上到下,把领导作用下的职责要求下沉到员工层面。《指引》则直接明确作为合规管理重要机构的董事会、监事会、经理层、合规委员会和合规管理负责人等,将领导作用、积极承诺的标准以及合规职责体现在董事会、监事会、经理层、合规委员会和合规管理负责人的职责列举部分上。在合规文化方面,ISO 37301与《指引》内容较为相似,即培养和发展企业内部的合规文化。《指引》还列举了制定发放合规手册、签订合规承诺书等塑造合规文化的具体方式。
比较点六:策划
在策划方面,ISO 37301与《指引》存在部分相同之处:都提及了加强风险应对的举措,并对该类措施的有效性进行了后续的审查。然而,相比ISO 37301在“6 策划”部分对于合规目标、达到目标的策划和针对修改的策划均作出要求,《指引》并无类似要求,而是把制定相关要求的职能交给董事会、经理层、合规管理负责人和合规管理牵头部门等。
比较点七:支持
ISO 37301在“7 支持”部分从资源、能力、意识、沟通和文件化信息五个方面出发,构建起对于合规管理体系的支持,《指引》则将对合规管理体系的支持分散在合规管理重要部门的职责等不同部分中。在要求的角度上,两者也存在一定区别,相比ISO 37301对于“文件化信息”提出了创建、更新和控制的标准,《指引》的要求较少,但更侧重于强调“运用大数据等信息工具”开展合规管理信息化建设,借助技术手段进行合规管理。
比较点八:运行
ISO 37301建立起合规运行机制,特别是制定了报告疑虑的制度,并辅之以调查过程,确保合规全过程的运行流畅。《指引》更侧重于将这部分职能分解在经理层和业务部门的合规管理职责方面。同时,相比于ISO 37301主要针对举报的过程进行规定,《指引》是对接受举报方和接受举报后的处理进行规定,并将举报渠道与处罚机制相衔接。
比较点九:绩效评价
ISO 37301专门对于合规管理体系建立后的绩效评价提供了标准参照,通过内部审核和管理评审等方式确认合规评价结果。《指引》在第二十二条、第二十三条和第二十八条也明确提到了要开展合规管理评估、加强合规考核评价和建立合规报告制度等评价措施,但对于如何开展评估,《指引》并没有具体说明。
比较点十:改进
在绩效评价的基础上,ISO 37301进一步提出了持续改进的要点以及不符合与纠正的措施。《指引》则侧重于针对违规进行处罚,包括开展问责、追究违规人员责任等。
三 、结语
综上,ISO 37301与《指引》在内容上虽然部分相通,但仍有较大差异。值得留意的是,作为《指引》进一步细化与完善版本的《中央企业合规管理办法》也正紧锣密鼓地酝酿。国务院国资委于今年4月1日发布《中央企业合规管理办法(公开征求意见稿)》并向社会公开征求意见,相信在不久后该办法版本也将正式发布。我们将密切留意该办法的最新进展,并在其正式发布后第一时间开展相关研究。
在全球经济一体化和区域性贸易壁垒强化的大背景下,一张企业“合规管理体系认证证书”,或将成为企业“值得信赖”的最佳凭证。因此,对任何一家企业,合规认证既是维护自身安全的“盾”,也是助力企业开拓新市场新领域的“矛”。ISO 37301作为合规认证的依据标准,尽管与《指引》在内容上存在差异,但两者都能共同促进企业在这场全球合规浪潮中行稳致远。
ISO 37301与《指引》条文对比表)
《合规管理体系 要求及使用指南》 (ISO 37301) | 《中央企业合规管理指引 (试行)》 |
比较点一:范围 | |
1 范围 本文件规定了组织建立、制定、实施、评价、维护和改进有效的合规管理体系的要求,并提供了指南。 本文件适用于所有类型的组织,不论其类型、规模、性质,也不论其是公共的、私营的或非营利性的。 如果组织内没有设立独立的治理机构,则本文件中规定的所有关于治理机构的要求都适用于最高管理者。 3.1 组织 为实现目标(3.6),由职责、权限和相互关系构成自身功能的个体或群体。 注1:组织的概念包括,但不限于个体经营者,公司、公司集团、商行,企事业单位,合伙企业,权力机构,慈善机构或研究机构,或上述组织的部分或组合,无论是否为法人组织,公有的或私有的。 注2:如果组织是一个大型实体的一个组成部分,那么,术语“组织”仅指在合规管理体系范围内的这个组成部分。 | 第一条 为推动中央企业全面加强合规管理,加快提升依法合规经营管理水平,着力打造法治央企,保障企业持续健康发展,根据《中华人民共和国公司法》、《中华人民共和国企业国有资产法》等有关法律法规规定,制定本指引。
第二条 本指引所称中央企业,是指国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的国家出资企业。
|
比较点二:规范性引用文件 | |
2 规范性引用文件 本文件没有规范性引用文件。 | / |
比较点三:术语和定义 | |
3 术语和定义 下列术语和定义适用于本文件。 (以下3.1~3.31术语定义内容省略) | 第二条 本指引所称中央企业,是指国务院国有资产监督管理委员会(以下简称国资委)履行出资人职责的国家出资企业。 本指引所称合规,是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。 本指引所称合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。 本指引所称合规管理,是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
|
比较点四:组织环境 | |
4.1 理解组织及其环境 组织应确定与其宗旨相关的、影响其实现合规管理体系预期结果能力的外部和内部因素。 为此,组织应考虑诸多因素,包括但不限于: ——商业模式,包括组织活动和运营的战略、性质、规模、复杂性和可持续性; ——与第三方业务合作的性质和范围; ——法律和法规要求; ——经济环境; ——社会、文化、环境因素; ——内部组织架构、方针、过程、程序和资源,包括技术; ——自身的合规文化。
4.2 理解利益相关方的需要和期望 组织应确定: ——合规管理体系的利益相关方; ——这些利益相关方的有关需求; ——哪些需求将通过合规管理体系予以解决。 | 第十二条 中央企业应当根据外部环境变化,结合自身实际,在全面推进合规管理的基础上,突出重点领域、重点环节和重点人员,切实防范合规风险。 |
比较点五:领导作用 | |
5.1.1 治理机构和最高管理者 治理机构和最高管理者应通过以下方面证实其对合规管理体系的领导作用和承诺: ——确保制定合规方针与合规目标,并与组织的战略方向相一致; ——确保合规管理体系的要求融入组织的业务流程; ——确保配置合规管理体系所需的资源; ——就有效的合规管理的重要性和符合合规管理体系要求的重要性进行沟通; ——确保合规管理体系达到预期效果; ——指导和支持员工为合规管理体系的有效性做出贡献; ——推进持续改进; ——支持其他相关管理人员在其职责范围内证实其领导作用。 注:本文件中提及的“义务”能广义地解释为涉及组织存在目的的那些核心活动。 治理机构和最高管理者应: ——确立和坚持组织的核心价值观; ——确保制定并实施方针、过程和程序,以实现合规目标; ——确保合规事宜能够及时向其通报,包括不合规情况,并确保采取适当措施; ——确保遵守合规承诺,并妥善处理不合规事项和违规行为; ——确保合规责任在工作职责得到充分体现; ——任命或提名合规职能(参见5.3.2); ——确保根据8.3建立了提出和解决质疑的制度。
5.1.2 合规文化 组织应建立、维护并在各个层级上推广合规文化。 治理机构、最高管理者和各管理层应做出整个组织所需的、关于共同行为准则的积极、显现、一致且持续的承诺。
5.3.1 治理机构和最高管理者 治理机构和最高管理者应确保在组织内分配和传达相关岗位的职责和权限。 治理机构和最高管理者应分配职责和权限: a) 以确保合规管理体系符合本文件的要求; b) 以便获得合规管理体系绩效的报告。 治理机构应: ——确保最高管理者的管理绩效可以根据合规目标的实现程度进行测量; ——对最高管理者运行合规管理体系的情况进行监督。 最高管理者应: ——为建立、制定、实施、评价、维护和改进合规管理体系配置足够且适宜的资源; ——确保建立及时有效的合规绩效报告制度; ——确保战略和运行目标与合规义务相协同; ——建立和维护问责机制,包括纪律处分和结果; ——确保合规绩效和人员绩效考核挂钩。
5.3.2 合规职能 合规职能应负责合规管理体系的运行,包括: ——促进识别合规义务; ——记录对合规风险的评估(见4.6); ——使合规管理体系与合规目标保持一致; ——监视和测量合规绩效; ——分析和评估合规管理体系的绩效,以决定是否需要采取纠正措施; ——建立合规报告和记录制度; ——确保按计划的时间间隔对合规管理体系进行评审(见9.2和9.3); ——建立提出疑虑以及确保疑虑得到解决的机制。 合规职能应监督: ——履行已识别的合规义务的职责在整个组织内得到有效分配; ——合规义务纳入方针、过程和程序; ——所有相关人员按要求接受培训; ——建立合规绩效指标。 合规职能应: ——向有关人员提供与合规方针、过程和程序有关的资源; ——就合规相关事宜向组织提供建议。 注:合规职能的具体职责并不会因此免除其他人员的合规责任。 组织应确保合规职能能够: ——接触高级决策者,并在决策过程中有早期提出建议的机会; ——接触组织的所有层级; ——接触所有需要的人员、文件化信息和数据; ——就相关法律、法规、规范和组织标准收集专家意见。
5.3.3 管理者 管理者应通过以下方式对其职责范围内的合规工作负责: ——配合和支持合规职能,并鼓励员工共同参与; ——确保其管理范围内的所有人员都遵守组织的合规义务、方针、过程和程序; ——识别其运行中的合规风险并进行沟通; ——在其职责范围内将合规义务融入现有的商业惯例和程序; ——参加并协助合规培训活动; ——培养人员的合规意识,指导他们满足培训和能力要求; ——鼓励并支持人员提出合规疑惑,并防止任何形式的报复; ——根据要求积极参与合规相关事件和问题的管理、解决; ——确保一经确定需要采取纠正措施时,适当的纠正措施能够得到推荐并实施。
5.3.4 人员 所有人员应: ——遵守组织的合规义务、方针、过程和程序; ——报告合规关注事项、问题和漏洞; ——根据要求参加培训。
| 第五条 董事会的合规管理职责主要包括: (一)批准企业合规管理战略规划、基本制度和年度报告; (二)推动完善合规管理体系; (三)决定合规管理负责人的任免; (四)决定合规管理牵头部门的设置和职能; (五)研究决定合规管理有关重大事项; (六)按照权限决定有关违规人员的处理事项。
第六条 监事会的合规管理职责主要包括: (一)监督董事会的决策与流程是否合规; (二)监督董事和高级管理人员合规管理职责履行情况; (三)对引发重大合规风险负有主要责任的董事、高级管理人员提出罢免建议; (四)向董事会提出撤换公司合规管理负责人的建议。
第七条 经理层的合规管理职责主要包括: (一)根据董事会决定,建立健全合规管理组织架构; (二)批准合规管理具体制度规定; (三)批准合规管理计划,采取措施确保合规制度得到有效执行; (四)明确合规管理流程,确保合规要求融入业务领域; (五)及时制止并纠正不合规的经营行为,按照权限对违规人员进行责任追究或提出处理建议; (六)经董事会授权的其他事项。
第八条 中央企业设立合规委员会,与企业法治建设领导小组或风险控制委员会等合署,承担合规管理的组织领导和统筹协调工作,定期召开会议,研究决定合规管理重大事项或提出意见建议,指导、监督和评价合规管理工作。
第九条 中央企业相关负责人或总法律顾问担任合规管理负责人,主要职责包括: (一)组织制订合规管理战略规划; (二)参与企业重大决策并提出合规意见; (三)领导合规管理牵头部门开展工作; (四)向董事会和总经理汇报合规管理重大事项; (五)组织起草合规管理年度报告。
第十条 法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持,主要职责包括: (一)研究起草合规管理计划、基本制度和具体制度规定; (二)持续关注法律法规等规则变化,组织开展合规风险识别和预警,参与企业重大事项合规审查和风险应对; (三)组织开展合规检查与考核,对制度和流程进行合规性评价,督促违规整改和持续改进; (四)指导所属单位合规管理工作; (五)受理职责范围内的违规举报,组织或参与对违规事件的调查,并提出处理建议; (六)组织或协助业务部门、人事部门开展合规培训。
第十一条 业务部门负责本领域的日常合规管理工作,按照合规要求完善业务管理制度和流程,主动开展合规风险识别和隐患排查,发布合规预警,组织合规审查,及时向合规管理牵头部门通报风险事项,妥善应对合规风险事件,做好本领域合规培训和商业伙伴合规调查等工作,组织或配合进行违规问题调查并及时整改。 监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门,在职权范围内履行合规管理职责。
第二十七条 积极培育合规文化,通过制定发放合规手册、签订合规承诺书等方式,强化全员安全、质量、诚信和廉洁等意识,树立依法合规、守法诚信的价值观,筑牢合规经营的思想基础。
|
比较点六:策划 | |
6.1 合规风险和机遇的应对措施 进行合规管理体系策划时,组织应考虑4.1中提到的因素和4.2中提到的要求,并确定需要应对的风险和机遇: ——确保合规管理体系能够达到预期的结果; ——防止或减少不期望的影响; ——持续改进。 在策划合规管理体系时,组织应考虑: ——其合规目标(参见6.2); ——经识别的合规义务(参见4.5); ——合规风险评估结果(参见4.6)。 组织应策划: a)应对这些风险和机遇的措施; b)如何: 1)将措施整合到合规管理体系过程中并得到实践; 2)评估这些措施的有效性。 6.2 合规目标及其实现的策划 组织应在相关职能和层级设立合规目标。 合规目标应: a)符合合规方针; b)可测量(可行时); c)考虑适用的要求; d)得到监视; e)予以沟通; f)实时更新; g)可作为文件化信息提供。 在策划如何实现其合规目标时,组织应确定: ——要做什么; ——需要什么资源; ——何时完成; ——如何评估结果;
| 第五条 董事会的合规管理职责主要包括: (一)批准企业合规管理战略规划、基本制度和年度报告;
第七条 经理层的合规管理职责主要包括: (三)批准合规管理计划,采取措施确保合规制度得到有效执行;
第九条 中央企业相关负责人或总法律顾问担任合规管理负责人,主要职责包括: (一)组织制订合规管理战略规划;
第十条 法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持,主要职责包括: (一)研究起草合规管理计划、 基本制度和具体制度规定;
第十九条 加强合规风险应对,针对发现的风险制定预案,采取有效措施,及时应对处置。对于重大合规风险事件,合规委员会统筹领导,合规管理负责人牵头,相关部门协同配合,最大限度化解风险、降低损失。
第二十条 建立健全合规审查机制,将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序,及时对不合规的内容提出修改建议,未经合规审查不得实施。
第二十一条 强化违规问责,完善违规行为处罚机制,明晰违规责任范围,细化惩处标准。畅通举报渠道,针对反映的问题和线索,及时开展调查,严肃追究违规人员责任。
第二十二条 开展合规管理评估,定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。
|
比较点七:支持 | |
7 支持 7.1 资源 组织应确定并提供建立、实施、保持和持续改进合规管理体系所需的资源。
7.2 能力 7.2.1 通则 组织应: ——确定在其控制下从事影响其合规绩效工作的人员应具备的能力; ——确保这些人员在适当的教育、培训或经验的基础上胜任工作; ——适用时,采取措施以获得所需的能力,并评估所采取措施的有效性; ——应提供适当的文件化信息作为能力证明。 注:适用的措施可能包括,例如,向现有人员提供培训、指导或者重新分配工作;或者雇佣、聘用能胜任的人员。
7.2.2 雇佣程序 组织应针对其所有人员制定、建立、实施和保持以下流程: a)将遵守组织的合规义务、方针、过程和程序作为人员雇佣的条件; b)确保在入职后的适当期间内,新入职人员能获得合规方针的副本或者有渠道获得合规方针。新入职员工应接受合规方针培训。 c)对于违反组织合规义务、方针、流程和程序的人员,应采取适当的纪律处分。 作为雇佣过程的一部分,组织应考虑岗位和人员可能引发的合规风险,并在任何雇用、调动和晋升之前应按要求进行尽职调查。 组织应对绩效目标、绩效奖金和其他激励措施进行定期评审,以验证是否有适当的措施来防止不合规行为。
7.2.3 培训 组织应定期对有关人员进行培训,可以在雇佣开始时和组织预先规划好的时间点实施。 培训应: a) 与人员的职责和人员面临的合规风险相适应; b) 进行有效性评估; c) 进行定期评审。 基于已识别的合规风险,组织应依照程序对代表其开展业务并可能给其带来合规风险的第三方进行培训,提高其合规意识。 培训记录应作为文件化信息予以保留。
7.3 意识 在组织控制下工作的人员应了解: ——合规方针; ——他们对合规管理体系有效性的贡献,包括提升合规绩效的益处; ——不符合合规管理体系要求的影响; ——提出合规质疑的方法和程序(参见8.3); ——工作岗位的合规义务和合规方针的关系; ——支持合规文化的重要性。
7.4 沟通 组织应确定与合规管理体系相关的内部和外部沟通,包括: a) 沟通的内容; b) 沟通的时间; c) 沟通的对象; d) 沟通的方式; 组织应: ——针对沟通需求,综合考虑沟通的多样性和潜在障碍; ——在沟通的过程中,确保考虑相关方的意见。 在建立沟通过程时: ——应将其合规文化、合规目标和义务纳入沟通内容; ——应确保所沟通的合规信息来源于合规管理体系且真实可信; ——对与合规管理体系相关的沟通内容进行回应; ——保留适宜的文件化信息作为其沟通的证据; ——在组织的各个层级和职能内部沟通与合规管理体系有关的信息,包括合规管理体系的变更(适用时); ——确保人员能在沟通过程中为合规管理体系的持续改进作出贡献; ——确保人员能在沟通过程中提出质疑(参见8.3); ——通过其建立的沟通过程,对外沟通包括其合规文化、合规目标和义务在内的与合规管理体系相关的信息。
7.5 文件化信息 7.5.1 通则 组织的合规管理体系应包括: a) 本文件要求的文件化信息; b) 组织确定的为确保合规管理体系有效性所必需的文件化信息。 注:不同组织的合规管理体系文件化信息的复杂程度可能不同,其取决于: ——组织的规模及其活动、过程、产品和服务的类型; ——过程的复杂程度及其相互作用; ——人员的能力。
7.5.2 文件化信息的创建和更新 组织创建和更新文件化信息时,应确保: ——予以适当标示和说明(例如,标题、日期、作者或参考编号), ——使用适当的形式(例如,语言、软件版本、图形)和载体(例如纸质的、电子的), ——对适用性和充分性进行适当的评审和审批。
7.5.3 文件化信息的控制 应控制合规管理体系和本文所要求的文件化信息,以确保文件化信息: a)无论何时何处需要时都易于和适于取用; b)得到充分地保护(例如:避免泄露机密、不当使用或失去完整性)。 为了控制文件化信息,适用时,组织应进行以下活动: ——分发、访问、检索和使用; ——存储和保存,包括保持易读性; ——对变更的控制(例如,版本控制); ——保留和处置。 适宜时,应识别和控制由组织确定的,对合规管理体系的策划和运行来说必要的来自外部的文件化信息。 注:访问指只允许查看文件化信息,或者允许并授权查看和更改文件化信息。 | 第十条 法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持,主要职责包括: (六)组织或协助业务部门、人事部门开展合规培训。
第十一条 业务部门负责本领域的日常合规管理工作,按照合规要求完善业务管理制度和流程,主动开展合规风险识别和隐患排查,发布合规预警,组织合规审查,及时向合规管理牵头部门通报风险事项,妥善应对合规风险事件,做好本领域合规培训和商业伙伴合规调查等工作,组织或配合进行违规问题调查并及时整改。 监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门,在职权范围内履行合规管理职责。
第十五条 加强对以下重点人员的合规管理: (一)管理人员。促进管理人员切实提高合规意识,带头依法依规开展经营管理活动,认真履行承担的合规管理职责,强化考核与监督问责; (二)重要风险岗位人员。根据合规风险评估情况明确界定重要风险岗位,有针对性加大培训力度,使重要风险岗位人员熟悉并严格遵守业务涉及的各项规定,加强监督检查和违规行为追责; (三)海外人员。将合规培训作为海外人员任职、上岗的必备条件,确保遵守我国和所在国法律法规等相关规定;
第二十四条 强化合规管理信息化建设,通过信息化手段优化管理流程,记录和保存相关信息。运用大数据等工具,加强对经营管理行为依法合规情况的实时在线监控和风险分析,实现信息集成与共享。
第二十五条 建立专业化、高素质的合规管理队伍,根据业务规模、合规风险水平等因素配备合规管理人员,持续加强业务培训,提升队伍能力水平。 海外经营重要地区、重点项目应当明确合规管理机构或配备专职人员,切实防范合规风险。
第二十六条 重视合规培训,结合法治宣传教育,建立制度化、常态化培训机制,确保员工理解、遵循企业合规目标和要求。
第二十七条 积极培育合规文化,通过制定发放合规手册、签订合规承诺书等方式,强化全员安全、质量、诚信和廉洁等意识,树立依法合规、守法诚信的价值观,筑牢合规经营的思想基础。 |
比较点八:运行 | |
8 运行 8.1 运行的策划和控制 组织应通过以下方式策划、实施和控制满足要求以及实施第6条各项措施所必须的过程: ——建立过程准则; ——根据准则对过程实施控制。 应保留必要的文件化信息,以确信过程已按策划得到实施。 组织应对计划的变更进行控制,并对非预期变更的后果进行评审,必要时,应采取措施降低任何不利影响。 组织应确保外包的与合规管理体系有关的过程、产品和服务均得到控制。 注:运营外包不会免除组织的法律责任或合规义务。 组织应确保第三方过程得到控制和监视。
8.2 建立控制和程序 组织应实施控制以管理其合规义务和相关合规风险。应对这些控制措施进行维护、定期评审和测试,以确保其持续有效。 “测试控制”即通过预设的演练以测试控制措施是否可行、能达到什么预期效果、能否被规避、是否切实有效地降低了风险的影响或者可能性。
8.3 报告疑虑 组织应建立、实施并保持一个鼓励并创造机会对试图、疑似或实际存在的,违反合规方针或合规义务的行为(在有合理理由相信信息真实性的情况下)进行举报的过程。 该过程应: ——在整个组织内可见、可使用; ——对举报内容保密; ——接受匿名举报; ——保护举报者免于遭受报复; ——促使人们接受建议; 组织应确保所有人员了解举报程序、了解其自身的权利和保障机制,并能够运用相关程序。
8.4 调查过程 组织应制定、建立、实施并保持过程,以评估、评价、调查有关涉嫌或实际的不合规情形的报告,并做出结论。这些过程应确保能公平、公正的做出决定。 调查过程应由具备相应能力的人员独立进行,且避免利益冲突。 适当时,组织应利用调查结果改进合规管理体系(见第十章)。 组织应定期向治理机构或最高管理者报告调查的次数和结果。 组织应保留有关调查的文件化信息。
| 第七条 经理层的合规管理职责主要包括: (一)根据董事会决定,建立健全合规管理组织架构; (二)批准合规管理具体制度规定; (三)批准合规管理计划,采取措施确保合规制度得到有效执行; (四)明确合规管理流程,确保合规要求融入业务领域; (五)及时制止并纠正不合规的经营行为,按照权限对违规人员进行责任追究或提出处理建议; (六)经董事会授权的其他事项。
第十条 法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持,主要职责包括: (四)受理职责范围内的违规举报,组织或参与对违规事件的调查,并提出处理建议;
第十一条 业务部门负责本领域的日常合规管理工作,按照合规要求完善业务管理制度和流程,主动开展合规风险识别和隐患排查,发布合规预警,组织合规审查,及时向合规管理牵头部门通报风险事项,妥善应对合规风险事件,做好本领域合规培训和商业伙伴合规调查等工作,组织或配合进行违规问题调查并及时整改。 监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门,在职权范围内履行合规管理职责。
第十八条 建立合规风险识别预警机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。
第十九条 加强合规风险应对,针对发现的风险制定预案,采取有效措施,及时应对处置。对于重大合规风险事件,合规委员会统筹领导,合规管理负责人牵头,相关部门协同配合,最大限度化解风险、降低损失。
第二十一条 强化违规问责,完善违规行为处罚机制,明晰违规责任范围,细化惩处标准。畅通举报渠道,针对反映的问题和线索,及时开展调查,严肃追究违规人员责任。
第二十二条 开展合规管理评估,定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。
第二十四条 强化合规管理信息化建设,通过信息化手段优化管理流程,记录和保存相关信息。运用大数据等工具,加强对经营管理行为依法合规情况的实时在线监控和风险分析,实现信息集成与共享。
|
比较点九:绩效评价 | |
9 绩效评价 9.1 监视、测量、分析和评价 9.1.1 通则 组织应对合规管理体系进行监视,以确保实现合规目标。 组织应确定: ——监视和测量内容; ——监视、测量、分析和评价的方法(适用时),以确保结果有效; ——何时应实施监视和测量; ——何时应对监视和测量的结果进行分析和评价。
9.1.2 合规绩效的反馈来源 组织应建立、实施、评价和保持寻求并接收其各种合规绩效反馈来源的过程。应对信息进行分析和严格评估以确定不合规的根本原因,确保采取适当的措施,并将该信息纳入4.6条要求的定期风险评估中。
9.1.3 指标的制定 组织应制定、实施和保持一套合适的监测指标,以有助于组织评估其合规目标的实现程度和合规绩效。
9.1.4 合规报告 组织应制定、实施和保持合规汇报过程,以确保: a) 确定适宜的汇报准则; b) 制定定期汇报的时间表; c) 建立非常规汇报机制以便于临时汇报; d) 实施保证信息准确性和完整性的机制和程序; e) 向组织中合适的职能和区域提供准确和完整的信息,一边及时采取预防、纠正和补救措施。 合规职能向治理机构或最高管理者提交的任何报告内容均应受到充分保护,以防止被修改。
9.1.5. 记录保存 应保留组织合规活动准确、实时的证据,以有助于监视和审评过程,并证明合规管理体系的符合性。
9.2 内部审核 9.2.1 通则 组织应按计划的时间间隔实施内部审核,以提供信息说明合规管理体系是否: a)符合: ——组织自身对其合规管理体系的要求; ——本文件的要求; b)得到有效实施和保持。
9.2.2 内部审核方案 组织应计划、建立、实施和保持一个或多个审核方案,包括频次、方法、职责、策划要求和报告。 组织在制定内部审核方案时,应考虑相关过程的重要性和以往审核的结果。 组织应: a)确定每次审核的目标、准则和范围; b)选择审核员并进行审核,以确保审核过程的客观性和公正性; c)确保向相关的管理者和管理层报告审核结果。 注1:相关管理层可包括合规职能、最高管理者和治理机构。 保留文件化信息,作为实施审核方案和审核结果的证据。 注2:管理体系审核指南参见ISO 19011。
9.3 管理评审 9.3.1 一般要求 治理机构和最高管理者应按计划的时间间隔对组织的合规管理体系进行审评,以确保其持续的适宜性、充分性和有效性。
9.3.2 管理审评输入 管理审评应包括: a)以往管理审评提出的相关措施和实施状况; b)与合规管理体系相关的外部和内部因素变化; c)与合规管理体系相关的利益相关方需求和期望的变化; d)合规绩效信息,包括以下方面: ——不符合、不合规和纠正措施; ——监视和测量结果; ——审核结果; e)持续改进的机会。 管理评审应考虑: ——合规方针的充分性; ——合规职能的独立性; ——合规目标的达成度; ——资源的充分性; ——合规风险评估的充分性; ——现有控制措施和绩效指标的有效性; ——与提出质疑的人员、相关方沟通,包括反馈(参见9.1.2)和投诉; ——调查(参见8.4); ——报告机制的有效性。
9.3.3 管理评审结果 管理评审的结果应包括与持续改进机会相关的决策,以及与合规管理体系变更的任何需求有关的决策。 组织应保留文件化信息,作为管理评审结果的证据。
| 第八条 中央企业设立合规委员会,与企业法治建设领导小组或风险控制委员会等合署,承担合规管理的组织领导和统筹协调工作,定期召开会议,研究决定合规管理重大事项或提出意见建议,指导、监督和评价合规管理工作。
第九条 中央企业相关负责人或总法律顾问担任合规管理负责人,主要职责包括: (四)向董事会和总经理汇报合规管理重大事项; (五)组织起草合规管理年度报告。
第十条 法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持,主要职责包括: (三)组织开展合规检查与考核,对制度和流程进行合规性评价,督促违规整改和持续改进;
第二十二条 开展合规管理评估,定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。
第二十三条 加强合规考核评价,把合规经营管理情况纳入对各部门和所属企业负责人的年度综合考核,细化评价指标。对所属单位和员工合规职责履行情况进行评价,并将结果作为员工考核、干部任用、评先选优等工作的重要依据。
第二十四条 强化合规管理信息化建设,通过信息化手段优化管理流程,记录和保存相关信息。运用大数据等工具,加强对经营管理行为依法合规情况的实时在线监控和风险分析,实现信息集成与共享。
第二十八条 建立合规报告制度,发生较大合规风险事件,合规管理牵头部门和相关部门应当及时向合规管理负责人、分管领导报告。重大合规风险事件应当向国资委和有关部门报告。 合规管理牵头部门于每年年底全面总结合规管理工作情况,起草年度报告,经董事会审议通过后及时报送国资委。
|
比较点十:改进 | |
10 改进 10.1 持续改进 组织应持续改进合规管理体系的适宜性、充分性和有效性。 当确定合规管理体系需要变更时,组织应按计划实施变更。 组织应考虑: ——变更的目的及其潜在后果; ——合规管理体系设计和运行的有效性; ——充足资源的可用性; ——职责和权限的分配或再分配。
10.2 不合规和纠正措施 当发现不符合或不合规时,组织应: a)对不符合或不合规做出响应,适用时: 1)采取措施控制并纠正; 2)对后果进行处理; b)通过以下活动评价消除不符合和/或不合规原因的措施需求,以防止其再次发生或在其他场合发生: 1)评审不符合和/或不合规; 2)确定造成不符合和/或不合规的原因; 3)确定是否存在或可能发生类似的不符合和/或不合规; c)采取任何所需的措施; d)评审所采取的任何纠正措施的有效性; e)必要时,对合规管理体系进行更改。 纠正措施应与所产生的不符合和/或不合规的影响相适应。 组织应保留文件化信息作为下列事项的证据: ——不符合和/或不合规的性质和所采取的任何后续措施; ——任何纠正措施的后果。 | 第五条 董事会的合规管理职责主要包括: (一)推动完善合规管理体系;
第八条 中央企业设立合规委员会,与企业法治建设领导小组或风险控制委员会等合署,承担合规管理的组织领导和统筹协调工作,定期召开会议,研究决定合规管理重大事项或提出意见建议,指导、监督和评价合规管理工作。
第九条 中央企业相关负责人或总法律顾问担任合规管理负责人,主要职责包括: (四)向董事会和总经理汇报合规管理重大事项; (五)组织起草合规管理年度报告。
第十条 法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持,主要职责包括: (三)组织开展合规检查与考核,对制度和流程进行合规性评价,督促违规整改和持续改进;
第十五条 加强对以下重点人员的合规管理: (一)管理人员。促进管理人员切实提高合规意识,带头依法依规开展经营管理活动,认真履行承担的合规管理职责,强化考核与监督问责; (二)重要风险岗位人员。根据合规风险评估情况明确界定重要风险岗位,有针对性加大培训力度,使重要风险岗位人员熟悉并严格遵守业务涉及的各项规定,加强监督检查和违规行为追责;
第十七条 建立健全合规管理制度,制定全员普遍遵守的合规行为规范,针对重点领域制定专项合规管理制度,并根据法律法规变化和监管动态,及时将外部有关合规要求转化为内部规章制度。
第二十一条 强化违规问责,完善违规行为处罚机制,明晰违规责任范围,细化惩处标准。畅通举报渠道,针对反映的问题和线索,及时开展调查,严肃追究违规人员责任。 |