合规既是重要的公司治理方式,也是企业防范法律风险的重要手段。为加快建设法治国企,帮助国有企业应对国内外复杂的经济环境,促进依法合规和高效经营,提高国有企业的经营管理水平,需要建立完善的合规管理体系。“三张清单”作为合规运行的重要抓手,是国家对国有企业进一步深化合规管理提出的更高要求。方达咨询今日推荐阅读《国有企业合规管理体系建设中“三张清单”要点分析》。
一、中央和地方主管部门对合规管理体系建设中“三张清单”的要求2022年2月28日,国资委办公厅印发《翁杰明同志在中央企业强化合规管理专题推进会上的讲话》,会议中强调:“就合规管理强化年相关重点工作,归纳起来,就是认真抓好‘五个一’”,即一次排查、一组清单、一个体系、一项机制、一个系统。在“五个一”重点工作中,“一组清单”是重中之重;“一组清单”即“三张清单”,包括风险识别清单、岗位合规职责清单、流程管控清单。2023年3月2日,国务院国资委召开中央企业深化法治建设加强合规管理工作会议,再次强调要以风险识别清单、岗位合规职责清单、流程管控清单为基础,对合规风险全面梳理、系统分类,细化实化职责清单,将重点岗位合规责任纳入岗位手册,将合规要求和管控措施嵌入关键节点,严把合规审查关口。近期,各地方国资委陆续发布了合规管理相关办法和要求,进一步落实国务院国资委《关于加强地方国有企业法治建设的指导意见》中关于合规管理体系建设的要求,明确了“三张清单”相关内容的落实要求。2022年4月20日,广东省国资委出台《省属企业“合规管理强化年”行动方案》,其中明确要求加强制度体系建设,根据行业特点,研究制定重点领域专项合规指引,编制岗位合规职责清单,将合规要求落实到岗、明确到人。2022年10月21日,江西省国资委出台《江西省国资委出资监管企业合规管理办法(试行)》,第十二条规定:“企业业务及职能部门是本部门合规管理责任主体,负责日常合规管理相关工作,主要履行以下职责:(一)建立健全本部门业务合规管理制度和流程,开展合规风险识别评估,编制风险清单和应对预案。(二)定期梳理重点岗位合规风险,将合规要求纳入岗位职责。”“三张清单”是当前国有企业合规管理体系建设的重要环节,是重点领域合规风险管控的关键支撑。“三张清单”的第一张是风险识别清单,是合规管理工作的基础,是以风险为导向,对外部法律法规、国家政策、行业标准等相关规定以及企业内部的规章制度进行系统梳理,汇总违反合规义务的条款责任,确定合规风险点,把这些风险点按照风险影响等级、风险发生概率和风险探测水平排列出来。第二张岗位合规职责清单,是以岗位为根本,结合业务部门、合规管理部门、内部审计和纪检监察部门“三道防线”设定不同岗位的具体职责,对照这些岗位职责,将每个职责中的合规审核、合规管理、合规动作都反映出来,凸显本岗的合规职责。第三张流程管控清单,以风险识别清单与岗位合规职责清单为基础,对业务管理制度和流程进行分析评价,识别其与合规管理要求之间的差距和不足,并根据合规管理要求修改流程管控措施,明确其管控目标、责任部门和岗位人员、控制频率等内容,使合规管理要求融入业务管理制度和流程之中。“三张清单”分别具有各自的意义:通过风险识别清单,可以找到合规风险;岗位合规职责清单,能够落实合规管理的岗位和人员;流程管控清单,用来确定不同合规风险应对和处理方法,进而实现目标清晰、责任到位、措施落实。二、识别重点合规义务,制定风险识别清单关于风险识别清单,是企业各部门在全面排查的基础上,按照业务类型等将合规风险进行分类,明确合规风险的表现形式、产生原因、违规后果、责任主体等方面,作为开展合规管理的重要基础。风险识别的前期,需要开展一项重要的工作,即合规义务识别。合规义务的识别是把企业与其所应具备的合规义务进行全方位匹配的工作。ISO 37301: 2021《合规管理体系 要求及使用指南》将合规义务定义为:“组织强制遵守的要求和组织自愿遵守的要求”,要求是指明示的、通常隐含的或必须遵守的需求和期望。因此合规义务不但包括强制性的成文法律法规和标准规范、不成文的社会文化、价值观和道德准则,还包括企业自己选择要遵守的内容。我国发布的和实施的成文法律法规和标准规范有十几万个,这些法律法规和标准规范中包含着若干个合规义务,企业关键且重要的合规义务大多源于其中。此外,合规义务的识别不是一次性的动作,是随着外部合规环境的变化进行调整和变更的一项周期性和系统性的工作。风险识别清单的基础是识别合规义务,主要是梳理上述法律法规、部门规章、行业准则、公司内部规章制度,以及业务活动中需要直接遵循的国际公约等。ISO 37301: 2021《合规管理体系 要求及使用指南》要求企业在识别风险义务后,即可进行合规风险识别的工作。如何在庞大的信息库中提取重点的风险,需要经过一系列的模拟和测算,例如采取SOD风险评估方法。SOD风险评估方法是从合规风险发生的可能性、影响程度、潜在后果等进行分析,评估风险等级。风险等级可以按照一定的因素设置权重来进行划分和评估,构建风险矩阵。风险矩阵对违规风险程度、风险发生可能性和风险探测防御水平三个指标分别进行5级赋分,形成风险分值RPN=S*O*D。同时,设置风险预警阈值与限额阈值,将所有风险分值划分为高(RPN>30),中(10<RPN≤30),低(RPN≤10)三类,其中:10-30分为预警阈值,表示指标的合理偏差度,采用历史波动分析设置;大于30分为限额阈值,表示指标能承受的最低或最高值,设置依据主要参考行政处罚、承担责任案件等。风险识别清单的编制需要业务部门、职能部门与合规部门相互配合,进行开展,需要将业务流程中需要满足的外部法律法规和政策文件以及企业内部规章制度要求进行梳理,确定工作中的合规风险点。同时,需按照风险评估的结果,对重要合规风险进行提炼。实践过程中,部分企业针对重点领域编制风险识别清单,部分企业全面梳理业务流程,将风控、内控与合规相结合,制定一体化的全面风险清单。重点领域风险识别清单的编制,要结合业务风险排查,围绕内外部经营环境情况区分合规风险等级,达成对重点领域风险点的全面覆盖。三、明确合规职责,编制岗位合规职责清单企业通常都有岗位职责,岗位职责一般是从业务层面进行的梳理。从合规角度看,岗位合规职责清单需根据合规义务识别来辨识其工作职责中的合规事项,明确合规要点、履职标准,将合规职责具体落实到岗位和个人,是合规义务识别与职责的融合。为此,岗位合规职责清单是以公司现有岗位职责为基础的,在此基础上,结合合规风险识别要素,同时还要考虑到业务流程、部门与部门等衔接而确定的该岗位的合规管理职责,是合规从识别到落实的有机融合。在实践中,岗位合规职责清单具体内容可以包含岗位信息(岗位名称、所属部门等)、业务流程、岗位职责、对应的合规风险以及防控措施及依据等。岗位合规职责清单可以划分为四个区域,第一是业务层面的岗位信息及职责梳理;第二是合规义务信息区;第三是合规义务来源;第四是对应的合规风险及违规的后果。岗位合规职责清单实质是与风险识别清单联系在一起,尤其是合规义务与违规后果。同时,合规义务以及其来源会涉及工作流程和部门衔接,使得“三张清单”相互贯通。在编制岗位合规职责清单时,人力资源部门需要配合合规部门做好如下两点:首先,企业人力资源部门及其他部门人员需要对原有的岗位说明书进行修改,形成合规体系中符合监管要求的岗位说明书。岗位合规职责清单编制要以企业岗位说明书为基础,编制与企业合规义务相对应的岗位职责,职责的内外部(外部法律法规、内部企业规章制度等)依据,不履责的责任和后果,即企业中从事某岗位的人员违规后需要承担何种责任。例如,关于人力资源招聘岗位,岗位职责包括发布招聘广告、面试、发出录用通知等,该岗位涉及的合规义务包括不得有就业歧视、个人信息保护、录用通知书发出与撤回符合规定等。同时,对应公司招聘规定,包括招聘广告发出时应遵守的审批流程,如对于招聘中存在的不确定的问题向合规部门咨询,发现招聘中可能的潜在合规风险及时预警。因此,该岗位的合规义务涉及:与招聘相关的外部合规义务,包括但不限于《劳动合同法》《就业促进法》《个人信息保护法》《妇女权益保障法》等,以及与招聘相关的内部制度以及公司相关合规风险评估制度等。关于财务部税务管理岗位,岗位职责包括按照规定的申报期限、申报内容如实办理纳税申报;妥善保管账簿、记账凭证,不得伪造、变造、隐匿、擅自销毁;保证申报的所得税的真实性,提供真实、完整的与关联方之间的业务往来资料等;该岗位涉及的合规义务包含遵循税务管理领域管理规范和业务监管要求,坚决遵守《中华人民共和国税收征收管理法》《中华人民共和国发票管理办法》等法律法规以及公司规章制度明确规定的合规义务。其次,需要识别高风险岗位,对高风险岗位加强合规管理。《中央企业合规管理指引(试行)》第三章合规管理重点中第十五条规定:“加强对以下重点人员的合规管理:(一)管理人员。促进管理人员切实提高合规意识,带头依法依规开展经营管理活动,认真履行承担的合规管理职责,强化考核与监督问责;(二)重要风险岗位人员。根据合规风险评估情况明确界定重要风险岗位,有针对性加大培训力度,使重要风险岗位人员熟悉并严格遵守业务涉及的各项规定,加强监督检查和违规行为追责;(三)海外人员。将合规培训作为海外人员任职、上岗的必备条件,确保遵守我国和所在国法律法规等相关规定;(四)其他需要重点关注的人员。”根据上述规定,高风险岗位可以聚焦在管理人员岗位、重要风险岗位、海外人员岗位及其他岗位。例如,出口企业的海外人员岗位,其所涉及的海外国家劳动法律法规及监管政策是其岗位的重要合规义务,如果监测不及时或评估不准确,该岗位可能会成为导致合规事件发生的高风险岗位。四、把握重点环节,确定流程管控措施第三张“清单”是流程管控清单,是在企业的业务流程和管理流程中,通过识别合规风险,设置关键风控点,增加合规审查环节,每个流程管控环节依次确认,形成流程管控清单。企业员工需要梳理业务管理流程,分析重点环节的风险,在薄弱环节增设措施,修改企业原有管理措施,制定适当的流程来及时跟踪合规义务的出台和变更,以确保企业持续合规。为了获得合规义务来源变化信息,企业可采取如下措施:与监管部门会面;与法律顾问交流;跟踪监管部门的网站动态;参加行业论坛和研讨会;订阅相关信息服务;确保自己在监管机构收件人列表中等。企业流程管控清单的编制,可以与企业内部控制相结合。企业发生风险与内部控制存在缺陷密切相关,而内部控制的存在很大程度上取决于控制措施的设计和执行。企业流程管控清单的编制与流程的控制措施密切相关,其内容可以分为业务流程、控制目标、控制措施、控制部门、控制责任、控制频率以及评价程序和评价内容。控制目标是指对风险的管控目标及控制措施想要达到的效果;控制措施是指将风险控制在目标范围内,各相关单位要采取的措施;控制部门、控制责任、控制频率应当与控制措施相对应,即每条措施需分别明确其责任部门、责任岗位人员、控制频率。评价程序是对控制措施执行有效性评价要采取的评价方法措施,评价内容是评价应当关注控制措施及控制目标的重要内容。此外,流程管控清单的制定需处理好几个关系:流程管控清单与公司内控流程或现有工作流程的衔接;合规义务与流程管控清单结合,将合规风险防控措施与岗位合规职责清单对应;梳理岗位所负责的每个流程合规节点需要遵循哪些合规义务。例如,流程管控清单中合同管理流程可以参考内部控制的相关方法,针对合同准备阶段、合同签署阶段、合同履行阶段以及合同履行后的阶段进行管控,明确合同统一的管理部门,按业务实行归口管理,加强多部门的联合审核,强化合同履行的事中监控,健全考核和追责。五、聚焦主营业务中合规重点领域,建立健全“三张清单”《中央企业合规管理办法》第十八条明确规定,“中央企业应当针对反垄断等重点领域以及合规风险较高的业务,制定合规管理具体制度或者专项指南”,具体领域包括反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等。2023年4月27日,安徽省国资委出台《关于印发〈省属企业合规管理提升行动工作方案〉的通知》,其中第七条规定:“加强境外规则研究和风险防范。省属企业应当针对涉外业务重要领域,加强规则研究,梳理分析境外合规风险类别,结合实际制定专项合规管理制度。要进一步强化合规审查,做好境外投资经营、反垄断、反商业贿赂、知识产权、数据安全、出口管制、环境保护等领域风险防范应对工作。”根据上述中央和地方要求,建立健全“三张清单”需要聚焦主营业务相关的合规重点领域。进行重点领域风险识别清单的编制,要结合业务风险排查,围绕内外部经营环境情况区分合规风险等级,达成对重点领域风险点的全面覆盖。例如,美国、欧盟、英国等西方国家开展对其他国家的经济制裁和出口管制,企业的出口业务逐渐面临相关因素影响和制约,因此,出口管制作为企业主营业务的合规重点领域,应当有针对性地编制“三张清单”,对合规义务、合规风险、合规职责、高风险岗位、业务流程、控制目标、控制措施、控制部门等内容进行准确识别和梳理,针对出口管制领域的重要合规风险,采取相应管控措施。结 语加强企业合规管理,是培育世界一流企业,推动国有经济高质量发展的客观要求,是贯彻落实全面依法治国战略,推进法治国企建设的应有之义,是践行“一带一路”倡议,开展国际化经营的必由之路。在国有企业合规管理管理体系建设中,“三张清单”作为合规运行的重要抓手,其编制和落实是合规管理体系建设的重要环节,需要企业高度重视,加强统筹协调和协同配合,解决合规管理体系建设的重难点工作,实现国有企业高质量健康发展。