企业的合规管理体系不仅体现在对合规义务的遵从上,也应当体现在公司的日常管理中。只有持续完善公司的合规组织及合规机制等,通过管理将合规落地,合规管理体系才能被认定为有效的。
结合《ISO37301:2021 合规管理体系要求及使用指南》《中央企业合规管理指引(试行)》《企业境外经营合规管理指引》及美国司法部《企业合规体系评估》等合规标准及指引,我们认为有效的企业合规管理体系应当体现在三个方面:设计的有效性、执行的有效性和结果的有效性。
合规管理体系要有针对性,基于企业的业务实际而设计,传达明确的信息,在预防和发现违规行为方面发挥作用。
企业应当:
(1)确保管理者言行一致,并身体力行参与合规工作;
(2)建立完善的合规管理组织,合规部门在企业组织架构中的地位能够保障其发挥作用,合规人员具备足够的经验及资质,并有充分的资源及自主权确保其有效履行职责;
(3)确立完备的合规运作机制、合规保障机制,并合理分配资源,定期更新和修正。
合规管理体系不能停留在纸面,有效的执行必须有全流程的合规管控,鼓励合规,对违规零容忍。
(1)发布经良好设计的政策和流程,并确保员工正确理解,将合规要求落实到业务流程中,明确审核职责,有效管控风险;
(2)基于合规风险和业务量身定制培训内容,向员工明示企业对违规行为的态度及立场,为员工寻求建议和指导提供畅通的渠道;
(3)建立可供匿名举报的机制,由适格人员进行及时、充分地调查,并且评估举报机制运作情况;
(4)公开地及时处罚违规行为,并对合规行为采取多种奖励方式。
合规管理体系应当有效运作,随着内外部环境发展变化而演进改变,以应对现有的和潜在的合规风险。
企业应当:
(1)通过检查、测试等方式,发现合规管控的不足并加以改进;
(2)对合规管理状况开展独立客观的评估,对标外部要求与业界实践;
(3)以企业战略为根本,将合规管理融入经营管理中,动态调整管理要求,实现与业务活动可持续发展。