網上投稿
2020 年4月3日,上海律協法律合規業務研究委員會通過線上會議的形式舉辦了“合規管理體系國際標準的制定及實施”講座,本次講座由市律協法律合規業務研究委員會副主任蓋曉萍律師主持,由北京大成(上海)律師事務所合伙人陳立彤律師主講。
為引導各類組織建立、實施、評價和改進合規管理體系,國際標準化組織于2014年制定發布了ISO 19600:2014《合規管理體系指南》。本次講座中,陳立彤律師在闡述合規管理體系國際標準制定過程的基礎上,重點圍繞“范圍”、“組織環境”、“領導作用”、“策劃”、“支持”、“運行”、“績效評價”及“改進”這七部分內容,結合典型案例,釋明了國際標準下的企業合規管理體系,并進一步對企業在管理過程中的合規問題提出建議。
1、范圍
ISO 19600提供了組織內建立一套有效和及時響應的合規管理體系,并予以制定、實施、評價、維護和改進的指導。ISO 19600:2014以良好治理、相稱性、透明度和可持續性原則為基礎,為在組織內建立、發展、實施、評估、維護和改進一個有效的、響應性的合規管理體系提供指導。ISO 19600適用于所有類型的組織。該標準的應用程度取決于組織的規模、結構、性質和復雜性。
2、組織環境
組織是指為實現目標,由職責、權限和相互關系構成自身功能的一個人或一組人。組織宜確定內部和外部問題,如那些與合規風險相關、與組織目標相關和影響組織實現合規管理體系預期成果能力的問題。這種情況下,組織宜考慮更大范圍的內部和外部因素,如監管、社會和文化環境、經濟形勢、內部方針、程序、過程和資源。
組織宜確定合規管理體系的相關方以及這些相關方的要求。組織宜確定合規管理體系的邊界和適用性,以確立其范圍。值得注意的是,合規管理體系的范圍旨在闡明應用合規管理體系的地域和/或組織邊界,尤其該組織是某大規模組織在給定地點的分支機構時。
組織宜根據本標準建立、制定、實施、評價、維護和持續改進合規管理體系,包括必需的過程和過程的相互作用,并考慮如下治理原則:
——臺規團隊與治理機構建立直接聯系;
——合規團隊的獨立性;
——分配給合規團隊適當的權限和充足的資源。
合規管理體系宜反映組織的價值觀、目標、戰略和合規風險。
3、領導作用
治理機構和最高管理者宜通過下列方式證明其對合規管理體系的領導作用和承諾:
a) 確立和堅持組織的核心價值觀;
b) 確保建立組織的合規方針和合規目標,并與該組織的價值觀、目標和戰略方向保持一致;
c) 確保制定并實施方針、程序和過程,以實現合規目標;
d) 確保合規管理體系所需資源可用、予以分配和指派;
e) 確保合規管理體系要求融入組織的業務過程;
f) 傳達合規管理體系的重要性和符合合規管理體系要求的重要性;
g) 指揮和支持人員提升合規管理體系的有效性;
h) 支持其他相關管理者,使他們在自己擔責的領域中展現出合規領導力;
i) 確保運行指標和合規義務保持一致;
j) 確立并維護問責機制,包括對合規事件和不合規及時報告;
k) 確保合規管理體系實現它的預期成果;
l) 推進持續改進。
治理機構和最高管理者的積極參與和監督是有效合規管理體系不可分割的一部分。這有助于確保員工充分理解組織的方針和運行程序,以及如何將其運用在他們的工作中,并確保他們有效地履行合規義務。
要使合規管理體系有效運行,治理機構和最高管理者需要通過堅持積極地支持合規和合規管理體系來以身作則。
許多組織由專人(如:合規官)負責日常的合規管理,有些組織由跨職能的合規委員會協調整個組織的合規工作。
一些組織——取決于其規模——也有人員全面負責合規管理,盡管這可能是其他角色或職能之外的職責,包括現有委員會、組織的內設部門或把部分工作外包給合規專家。
這不宜被視為免除了其他管理層的合規職責,因為所有管理者對合規管理體系都發揮一定的作用。因此,在他們的職務描述中清晰地設定他們各自的職責十分重要。
管理者的合規職責必然地會隨著權限、影響力和其他因素的水平而變化,如組織的性質和規模。但是,有些職責有可能是各類組織共有的。
治理機構和最高管理者宜:
a) 建立合規方針。
b) 確保維護對合規的承諾,并確保恰當處理不合規和不合規行為。
c) 將合規職責列入最高管理者職位描述。
d) 任命或提名一個合規團隊。
e) 確保合規團隊具備獨立采取措施的權限,且該團隊不會向與其沖突的優先權妥協,特別是當合規已融入該組織業務的情況下。
最高管理者宜:
——分配充足和適當的資源以建立、制定、實施、評價、維護和改進合規管理體系及績效成果;
——確保組織分配和傳達相關角色的職責和權限;
——確保建立高效及時的報告系統;
——對照合規關鍵績效措施或結果被考核;
——分配向治理機構和最高管理者報告合規管理體系績效的職責。
不是所有的組織都會創建獨立的合規團隊,某些組織可將此職能分配給現有職位。
合規團隊宜與管理層合作,負責以下事宜:
a) 在相關資源的支持下識別合規義務,并將那些合規義務轉化為可執行的方針、程序和過程;
b) 將合規義務融入現有的方針、程序和過程;
c) 為員工提供或組織持續培訓,以確保所有相關員工得到定期培訓;
d) 促進合規職責列入職務描述和員工績效管理過程;
e) 設定適當的合規報告和文件化體系;
f) 制定和實施信息管理過程,如通過熱線、舉報系統和其他機制進行的投訴和/或反饋;
g) 建立合規績效指標,監視和測量合規績效;
h) 分析績效以識別需要采取的糾正措施;
i) 識別合規風險,并管理與第三方有關的合規風險,如供應商、代理商、分銷商、咨詢顧問和承包商;
j) 確保按計劃定期對合規管理體系進行評審;
k) 確保合規管理體系的建立、實施和維護能得到適當的專業建議;
l) 使員工可以得到與合規相關的程序和參考資料的資源;
m) 對合規相關事宜向組織提供客觀建議。
4、策劃
組織進行合規管理體系策劃,宜考慮3.1提及的問題,3.2提及的要求,3.4提及的良好治理原則,3.5識別的合規義務,3.6提及的合規風險評估的結果,已確定需解決的合規風險,以:
——確保合規管理體系能實現預期效果;
——防范、察覺并減少不希望的影響;
——實現持續改進。
組織宜策劃:
a) 應對合規風險的措施以及
b) 如何:
——將措施納入合規管理體系過程并實施;
——評價這些措施的有效性。
組織宜保留與合規風險和應對合規風險所策劃的措施相關的文件化信息。
組織宜在相關部門和各層級建立合規目標。
合規目標宜:
a) 與合規方針一致;
b) 可測量(如可行);
c) 考慮適用的要求;
d) 予以監視;
e) 充分溝通;
f) 適當時,更新和/或修訂。
組織策劃如何實現合規目標時,宜確定:
——做什么;
——需要什么資源;
——誰負責;
——可時完成;
——結果如何評價,如:根據已識別的合規關鍵績效措施和結果。
組織宜保留關于合規目標和實現合規目標所策劃的措施的文件化信息。
5、支持
組織宜:
a) 確定員工具有在其控制下影響合規管理體系績效必備的工作能力;
b) 確保這些員工在接受適當的教育、培訓和/或工作經驗的基礎上能勝任工作;
c) 適用時,采取措施獲得必要的能力,并評價所采取措施的有效性;
d) 保存適當的文件化信息,包括能力證明。
治理機構、管理層和具有合規義務的所有員工都宜具備有效履行合規義務的能力。能通過多種方式獲得能力,包括通過教育、培訓或工作經歷獲取必需的技能和知識。
培訓項目的目標是確保所有員工有能力以與組織合規文化和對合規的承諾一致的方式履行角色職責。
設計合理并有效執行的培訓能為員工提供有效的方式交流之前未識別的合規風險。
對員工的教育和培訓宜:
a) 針對與員工角色和職責相關的義務和合規風險量身定制;
b) 適宜時,以對員工知識和能力缺口的評估為基礎;
c) 在組織成立時就提供并持續提供;
d) 與組織的培訓計劃一致,并納入年度培訓計劃;
e) 實用并易于員工理解;
f) 與員工的日常工作相關,并且以相關行業、組織或部門的情況作為案例;
g) 足夠靈活,涉及各種技能,以滿足組織和員工的不同需求;
h) 評估有效性;
i) 按要求更新;
j) 記錄并保存。
宜考慮合規再培訓,每當:
——角色或職責改變;
——內部方針、程序和過程改變;
——組織結構改變;
——合規義務尤其是法律或相關方要求改變;
——活動、產品或服務改變;
——從監視、審核、評審、投訴和不合規,包括利益相關方反饋產生的問題。
6、運行
運行的重點在于建立控制和程序。建立控制和程序,包括:
a) 清晰、實用并易于遵循的文件化運行方針、程序、過程和操作指示;
b) 系統和異常報告;
c) 審批;
d) 劃分有沖突的角色和職責;
e) 自動化過程;
f) 年度合規計劃;
g) 員工績效計劃;
h) 合規評估和審核;
i) 管理層的承諾和以身作則和促進合規行為的其他措施;
j) 對預期的員工行為(標準、價值觀和行為準則)進行主動、公開并經常的溝通。
7、績效評價
績效評價包含了“監視、測量、分析和評價”、“審核”以及“管理評審”。
組織宜至少在計劃的時間間隔內安排審核。
組織宜:
——策劃、建立、實施和維護審核方案,包括頻率、方法、職責、策劃要求和報告。審核方案宜考慮相關過程的重要性和前期審核的結果;
——界定審核準則和每次審核的范圍;
——選擇審核員,并進行審核,以確保審核過程的客觀和公正;
——確保審核結果報告給相關管理層;
——保留文件化信息,作為實施審核方案和審核結果的證據。
組織宜考慮:
——以前管理評審措施的狀態。
——合規方針的充分性。
——合規目標實現的程度。
——資源的充分性。
——與合規管理體系相關的內外部問題的變化。
——合規績效信息。
——持續改進的機會。
8、改進
未能避免或發現一次性不合規并不一定意味著合規管理體系預防和發現不合規總體無效。組織宜設法改進合規管理體系的適用性、充分性和有效性。宜將合規報告中對已收集信息進行的分析和相應評價作為識別該組織合規績效改進機會的依據。
(注:以上嘉賓觀點,根據錄音整理,未經本人審閱)
供稿:上海律協法律合規業務研究委員會
執筆:任茲幻 上海格聯律師事務所
滬公網安備 31010402007129號
