分享按钮
您现在的位置 > 首页 > 新闻动态 > 内控-风险-合规一体化建设100问之1到55问(建议收藏) >

内控-风险-合规一体化建设100问之1到55问(建议收藏)

——
​1.企业开展合规管理的背景是什么?
国际标准化组织(ISO)在2014年12月发布国际标准ISO19600《合规管理体系—指南》其中明确规定:组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。这是国际上比较规范的关于合规管理领域的标准化文件。
我国,此办法于2022年10月1日起实施。作为我国第一个合规管理方面的规章,这个办法的出台对于我国企业的合规发展具有里程碑的意义。
国务院国有资产监督管理委员会在2022年8月印发《中央企业合规管理办法》明确规定:“合规是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。降低企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。”同时,《办法》规定:“企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。”
2.合规管理内涵是什么?
在内容上,企业的合规既包括法律法规、行业准则、监管制度、国际通用规则、商业惯例等外部规范要求,也包括企业章程、企业基本制度、业务指引、操作规范等内部制度。
在形成上,企业的合规具有内生性、内化性和适配性。
首先,内生性体现在将企业业务经营及管理过程中有效、有益、有用的经验、做法、惯例、操作流程、运行模式或管理要求等内生为“规”,规制企业和员工的经营管理行为。
其次,内化性体现在外规内化,一方面将法律法规、监管制度、行业规范、准则等内化为内部制度,另一方面内生的“规”要符合法律法规、监管制度等国家强制性、指导性规范要求。
最后,适配性体现在企业的“规”需要与企业性质、行业、战略、发展、规模、结构、运营等内外部实际及环境相适配。
在效果上,合规具有特定性、目的性和系统性。
首先,特定性体现在企业的“规”具有特定对象、特定范围、特定活动等方面的针对性和指向性,以企业和员工经营管理行为为规范对象,以企业经营管理为特定范围,适合有计划、有组织的企业组织活动。
其次,目的性体现在合规是以防控合规风险为主要目的,指引企业和员工规范、有序、安全、有效、稳定、高效、有价值的开展经营管理活动。
最后,系统性体现在合规是一套运营管理体系和系统,包括规范建立、执行、监督、评价等全方面管理活动。
合规确保企业和人员经营管理和行为符合“规”的要求,并建立一套合规管理体系,防控合规风险,但合规侧重于建立标准和规范、发现问题、识别风险、合规评价等方面,处于风险的前端预防、控制和管理,注重结果评价,不能从实质上、根本上解决风险问题。
3.合规管理的主要功能是什么?

合规管理的主要功能是防控企业法律风险,避免因行政处罚或者刑事责任追究而导致企业被剥夺经营资格,遭受严厉处罚。
合规管理对于企业来说具有促进企业稳健经营运行、防范违规风险、规范员工行为、防止决策失误、减少生产安全方面出现的问题等重要意义。
4.合规管理的定义是什么?

合规管理是一种通过体系化操作方式管控企业主体运行中违规风险漏洞的综合管理方法。是以企业主体的适用法律法规为基础覆盖至完善的商业道德与价值观的建设。合规管理强调适用性,也就是合规管理体系要适用于企业,每家企业的合规体系都应该符合企业自身所具备的行业特征与文化特征。
5.驱动企业建立合规管理体系的外部因素有哪些?

1、外部法律法规的变化导致企业某些原本不受限的行为,随着新法律的颁布变得不合规了,因此需要建立管理流程以识别这种变化,防范企业合规风险;
2、因竞争者、客户、供应商等不当行为给本企业带来合规风险;
3、监管部门、执法部门要求本企业建立和执行合规管理体系;
4、监管部门、执法部门对已建立合规管理体系的企业及高管实行正向激励;
5、投资者要求本企业建立合规管理体系;
6、外部审计师要求本企业建立合规管理体系;
7、合规管理成为一种市场准入门槛,没有合规体系将限制企业的某些市场行为。

6.驱动企业建立合规管理体系的内部因素有哪些?

1、企业内部员工为自身利益有意违规或不作为导致合规风险发生;
2、企业员工自身能力和认识不足,无意识犯错,产生合规风险;
3、企业内部代理人的放任、作假等行为,导致合规风险发生;
4、企业内部设备、存货的物理或化学特征,导致资产、事故等合规风险。

7.合规管理对企业的好处?

1、保障企业合法权益:企业合规是一种管理方法,是确保企业能够达到合规目标,实现稳健经营的有效手段。企业合规建设不但有利于保障企业稳健经营运行,有效防范违规风险,也可以避免被别有用心之人损害企业权益,是企业保障自身合法利益的有力手段。
2、促进与大型企业商业合作:随着大型国企、外资企业的合规体系建设基本完成,很多已经完成合规建设的企业都在加强对商业伙伴的合规管理要求。合规已经成为和这些大型企业合作的基本条件,如果未达到这些大型企业的合规要求,将会在合作过程中承受巨大的损失。因此,合规体系建设更加有利于企业在竞争中脱颖而出。
3、为上市和上市后管理提供支持:合规管理是一种体系化的管理方法。对于有志于上市或上市后良好运行的企业,合规可以提供很好的帮助。避免很多企业临近上市之时发现很多难以解决的旧有问题,或者根本无法符合上市条件的情况。对于上市之后的企业,面临的监管更加复杂,也需要有更好合规管理支撑。
4、在刑事、行政责任中保护企业、企业家:对企业或企业家涉嫌刑事犯罪、行政违法行为,现有相应的合规激励,可以做到对企业、企业家不起诉、减轻从轻或免予处罚,但是这需要企业能够切实拿出有效合规管理的证据。通过合规建设可以让企业这方面的证据保留,以便获取相关合法权益。
5、树立企业良好文化形象:合规可以促使公司形成廉洁、诚信、正直的企业文化,大大减少企业内部的管理成本,避免内部腐败、欺诈等现象发生。合规可以树立企业的良好形象,减少对外交流阻碍。企业可以通过ISO 37301标准认证等方式来展示自身良好的合规基础。
6、便于企业获取补贴、奖励:企业通过完善的合规体系建设,在获取行政补贴、奖励的时候,更加容易获得监管部门的认可和接受,避免监管部门的疑虑。同时通过合规管理,在准备相关申请材料中能够做到更多有效展示。

8.央企合规管理办法要点有哪些?

国务院国资委于2022年8月23日出台的《中央企业合规管理办法》大致包含以下几点:
以制度建设构建合规体系突出合规管理重点领域,在合规管理基本制度要求构建分级分类合规制度体系。以制度建设取代以往的合规管理重点,并且规范制度体系的构建逻辑,合规重点领域的制定专项指南。
合规管理,管理为重——合规人员要有灵活运用管理经验的能力,随时间加强、加深、拓宽管理。并不是机械的遵循指引。
运行机制:企业首先设立风险识别预警机制,建立并且定期更新合规风险库,同时将风险嵌入业务流程,在流程中进行合规审查。
及时建立应对措施,并向相关合规部门报告,企业遇到重大合规风险事件,需要首席合规官报告国资委,一般事件由合规管理人员向首席合规官报告。同时设计相关举报平台,并发挥法务、风控、内控的协同机制,提高管理效能。
建立定期开展合规管理体系有效性评价机制,重点专项评价机制,评价结果用于合规管理体系的改进、完善。
针对违规行为,需要建立相关的规则问责机制,包括责任范围,问责标准,根据违规行为要纳入考核。

9.企业如何避免相关违规行为再次发生?

1、加强公司的合规意识,建立起公司的合规文化与价值。当前国内企业合规工作面临着挑战,经济全球化对中国公司合规的要求越来越高。管理层要加强对公司合规管理的理解与认识并广泛宣传,要让合规的观念和意识渗透到公司经营管理的每个环节。公司要把对员工进行合规教育与培训作为职业培训的主要内容之一,让合规的观念与意识普及到每位员工,在公司上下建立起完整的合规文化与价值体系。
2、建立健全公司内部的各种规章制度。结合本公司实际情况,建立一套能够落地的、有效率的、能够被广大员工认同的管理制度、机制与体系。其中最重要的一点,就是如何形成有效的管理架构,特别是要理顺合规部门与相关部门的关系。采取分工负责、齐抓共管、协同联动的方式,来解决公司运营中出现的问题。公司要把恪守商业道德,遵守法律法规,完善合规管理体系作为公司管理的目标。财务管理制度、用工管理制度、合同管理制度、审计监督管理制度等要统一纳入公司运营的具体流程中。公司要注重各个制度之间的衔接,真正做到法商融合,在开展业务的过程中,合规管理和业务紧密结合。将各个合规管理的节点纳入整个业务流程之中,一方面可以减少人为因素的干扰;另一方面也可以节省时间成本,使合规管理工作顺利进行。通过一系列公司规章制度的建立与实施,真正做到制度管人,人人合规,事事合规,有效避免、减少、及时应对公司在经营管理中的各种风险。
3、建立和完善公司内部的考核机制和监督检查机制。公司要逐渐完善考核机制,增加合规和风险考核的内容,实行效率与安全并重。如果一味地追求业务指标,而忽视合规和风险指标,毫无疑问会增加公司的运营风险。一旦风险发生,势必增大公司的运营成本。业务指标和合规指标并重的考核机制,才是完善的公司考核机制。合规风险的有效管控应与公司主要领导及管理人员的个人考评挂钩,真正做到合规管理责任到人。为避免违规行为再次发生,公司要建立起完善的监督检查制度及违规罚则,要建立起严格的责任追究制度。要明确审计部门与其他部门之间的职责划分,各负其责。在公司日常运营过程中,对于不合规的公司管理人员、员工,公司要及时予以纠正、处罚。上述制度的建立和实施,不仅可以罚当其则,增强相关人员的合规意识,而且也能够对公司的其他管理人员和员工起到很好的警示作用。

10.合规管理体系与ESG评级体系的关系是怎样的?

ISO37301:2021《合规管理体系要求及使用指南》是由ISO/TC技术委员会编制,于2021年4月发布和实施,适用于全球任何类型规模性质行业的组织。
而ESG是从环境、社会和公司治理三个维度,评估企业经营的可持续性与对社会价值观念的影响。
ISO37301规定了组织建立运行保持和改进合规管理体系的要求,并提供实用指南,为各类组织提高自身的合规管理能力提供系统方法。采用PDCA理念覆盖了合规管理体系建立、运行、保持和改进全流程,基于合规治理原则为组织建立并运行合规管理体系,传播积极的合规文化,提供了整套解决方案。
ESG评级的工作流程主要由三部分组成,一是数据采集和信息归纳,二是指标设置、评分评级和形成评级结果,三是将评级结果指数化,从而形成服务投资的产品。
合规管理体系与ESG评价体系是相辅相成的,2022年6月1日起正式实施的国内首个企业ESG披露标准内专门有关于合规管理的部分,如供应商管理、商业道德等内容,均可与将ESG与合规管理做出相关连接。

11.企业如何选择并确定合规重点领域?

企业在确定合规重点领域时,可以先对本企业面临的各类风险进行优先级排序,将(1)风险较大的业务活动、(2)治理层所关心的重要领域以及(3)经营管理活动中面临的首要问题作为合规重点领域。
在划定合规管理重点领域范围的基础上,对于合规风险高、影响范围大、合规管理空白的领域应优先制定完善合规管理制度及管控措施。企业应根据风险识别情况结合企业类型、所处行业等因素确定符合企业合规管理要求的其他重点领域。
企业应建立定期的合规风险识别评估机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,并进行分级分类管理。对于典型性、普遍性、可能产生严重后果或影响范围大的风险应纳入合规重点领域并及时发布预警。

12.什么是合规《行为准则》?

合规《行为准则》主要是指员工在日常经营行为中应遵守并满足坚持诚信合规、维护公平竞争、防止腐败贿赂、禁止内幕交易、回避利益冲突、保守商业秘密等方面的合规要求。
合规《行为准则》是纲领性文件,在合规体系中有着类似“根本法”的独特地位。它对所有合规相关工作都具有指导性,对组织的全体成员都具有约束力(包括管理层,员工,甚至供应商等)。
因此,在制定《行为准则》时组织应综合考虑企业文化、核心价值观、公司业务范围等内部因素,同时还应认真研究行业情况,相关法律法规政策等外部环境,在内容中还应体现出公司最高管理级别的合规态度、承诺和要求,以及相关违反的处理、后果等。

13.合规行为准则与合规管理制度的联系?

合规行为准则在合规制度体系中占据着重要地位。
合规管理制度总体上包括两部分:管理规范和行为规范。前者主要体现为合规工作管理办法及配套实施细则,具体内容是明确部门及其职责、具体工作内容和要求、相应奖惩机制等等。后者主要是作为行为总规范的合规准则及重点领域的合规指引文件等。
所以也可以说,合规行为准则是合规管理制度体系的一部分!

14.什么是“外规内化”?企业如何做好“外规内化”工作?

外规内化是指将外部有关合规要求转化为内部规章制度的一种行为。要求企业动态、及时更新完善企业规章制度,按照合规管理的要求,不断完善以企业章程为核心的企业制度体系。
企业根据外部法规环境变化的情况,不断修订完善企业规章制度是企业外规内化的关键环节,企业应把梳理的内外部合规要求落实在具体的规章制度中。

15.什么是合规风险识别?

企业在运营过程中对于存在的或可能发生的风险源进行分析、研判,并收集整理、辨别对应的风险事件或所有风险点,形成合规风险列表,并对风险列表加以描述、评估,以进一步对合规风险进行监测和控制的系统性活动就是风险识别活动。
企业的风险识别活动是企业合规体系建设的基础性条件,反过来说,合规管理活动主要是针对识别出来的风险点来进行控制的。

16.合规风险识别一般遵循哪些步骤?

合规风险的识别以合规义务为基础,合规风险识别、风险更新应从风险发生可能性、风险发生后果严重程度两个维度进行,通过收集梳理相关合规风险点、分析合规风险形成或产生的原因、对合规风险进行分类评估。

17.合规风险识别的工具/方法有哪些?

(1)头脑风暴法。是将一些人聚集起来,通过彼此的沟通交流、想法、建议、意见的表达等让大家的思想发生碰撞,为团队工作找出问题和机会,从而产生 1+1>2 的效果。
(2)专家调查法。会有相应的风险小组,挑选一些相关领域的专家,征求专家的意见,然后综合汇总整理再反馈给专家,再次征求意见,反复进行4~5轮,最终专家们的意见会趋于一致,达成共识。
(3)情景分析法。通过对公司内外相关问题,进行系统分析,设计出多种可能的未来情景。基于设计的场景识别关键影响因素,基于该因素可能发生的场景,进行场景内容的分析,进而发现风险可能造成的后果。
(4)核对表法。将项目范围、目标、成本、质量要求、进度、类似项目成功或失败的原因等列在一张表上,进行一一核对。这种方法可以识别到进度风险、成本风险、质量风险等。
(5)流程图法。流程图需要建立项目的全链路流程图以及各子域流程图,可涵盖项目的整体流程以及分支细节。再通过将实际情况与流程图一一对比,便可识别风险。
(6)财务报表法。通过分析三大财务报表可以识别项目中是否存在财务风险、人事风险等,这些对企业来说都是至关重要的。
(7)SWOT分析法。SWOT分析法是一种系统分析工具,通过识别企业面临的优势、劣势、机会以及成本,从多角度对公司面临的风险进行定性识别。
(8)事故树分析法。是系统安全分析中最重要的定量分析方法之一,运用逻辑推理对企业各种系统的危险点进行辨识和评价,不仅能分析出发生事故的直接原因,而且能深入地揭示事故发生的潜在原因。

18.什么是合规联席会议?

合规联席会议是指企业为充分沟通合规风险信息,由合规管理负责人负责召集和主持,并联合多部门围绕合规风险内容,通过定期会议等形式研究、协商、指导、共享、部署跨部门的合规管理各项工作的会议。
合规联席会议不是一个决策机构,而是一个沟通机构,通过定期召开联席会议的方式,将多个涉及合规的部门集中在一起,就合规管理中出现的问题进行统一协商、共同研究、征求意见、工作协调的一种机制。
合规联席会议的讨论结果,为企业合规体系的建设、完善、优化提供依据,是合规管理的重要一环。

19.如何建立合规联席会议机制?

第一,确定联席会议的参与部门及人员名单。一般来看,涉及到企业管理各个层面的部门以及相关高层领导都属于合规联席会议的成员。但是企业可以根据每次合规主题的不同,选择不同的部门与人员参与某次联席会议。
第二,明确联席会议的主要职责。由于联席会议主要是讨论、协商、参谋机构,联席会议的名称也大致表明了联席会的主要职责中没有决策。因此,联席会的主要职责应该将除决策之外的其他职责明确出来,这样参与部门与参与人员在会前都会有所准备。
第三,明确联席会议的工作规则。由于联席会议的讨论、协商与参谋特征,因此联席会议的工作规则要根据这几类功能分别确定工作规则。需要注意的是,联席会议的工作规则包括会议规则与休会规则。其中,会议规则是会议召开过程中对相关合规问题讨论、协商的基本程序与过程。休会规则是在未召开会议期间,各个参与部门与成员应该承担的相关责任。
第四,确定各部门合规工作职责范围,加强协同配合。应该说,企业不同部门在联席会议中的职责范围是不同的,业务部门、风控部门、法律部门都应该在各自合规工作范围内,确定自己在合规联席会议中的职责范围。

20.什么是合规风险应对?一般有哪些措施?

合规风险应对是指企业及各下属企业针对发现的合规风险制定风险控制预案,充分调动各相关部门要求其协同配合,采取有效控制措施,及时应对处置,最大限度化解风险、降低企业损失的行为。
合规风险应对主要有五种措施,包括:规避风险、降低风险、转移风险、接受风险、对冲风险等措施。
规避风险。是一种有意识的避免某种特定风险发生的一种决策。比如,如果一个人怕出门遇到车祸,那么就干脆不出门了。规避的风险在企业中属于重大风险,比如法律风险就如此,企业绝对不能做违法的事情。
降低风险。指采取各种措施减少风险实现的概率及经济损失的程度。这种行动可以在损失发生之前、之中和之后采取。还是举刚才那个案例,如果一个人怕出门遇到交通事故,但是又不得不出门,那么他就可以通过遵守交通规则、不闯红灯、不横穿马路等行为,降低交通事故发生的概率。
转移风险。指的是风险的承担者通过若干经济和技术手段将风险转移给他人承担。比如说企业如果认为持有一件资产存在贬值的风险,那么就会倾向于将资产卖掉。或者通过购买财产保险,以备将来发生火灾时,将风险转移给保险公司。
接受风险。指的是风险暴露者自己承担风险并以自身财产来弥补损失。这种选择可以理解为,明知道做这件事有风险,但是觉得自己可以接受这种风险,因此对这种风险的可能发生,并不采取任何应对措施。
对冲风险。指的是通过投资组合的多元化来分散投资风险。风险对冲的原则就是使整体风险最小而收益最大。

21.什么是合规审查?

企业合规审查,是指为保证企业经营管理活动的合规性,对企业的经营管理活动是否合规进行审核检查,包括对违规整改、合规持续改进情况的审查。它不仅是执法机关、司法机关(我国现阶段主要是检察机关)在办理案件中,对企业合规整改情况考察的重要手段,更是企业在主动合规过程中,确保合规管理效果的重要内容。

22.合规审查是否等同于法律审查?

合规审查虽然是执法机关、司法机关在办理案件中的主要手段,但是它与法律审查并不能完全划等号。二者的不同主要集中在:
(1)合规审查强调对企业经营活动的全面审查,其范围要远远广于法律审查,并包括法律审查;
(2)合规审查是对企业所有合规规范予以审查,但法律审查仅在法律法规实务领域审查。

23.哪些环节是合规管理的重点环节?

合规管理应覆盖的重点环节主要包括制度制订环节、决策环节、生产运营环节以及企业认定的其他重点环节。
制度制定环节:主要包括制度体系能否覆盖企业的所有决策管理环节(全面性)、制度体系是否符合行业特征以及企业特征(适合性)、制度制定过程是否符合企业制度管理的要求(程序性)。
决策环节:主要指企业四会一层在决策过程中是否符合法定程序、企业决策事项(三重一大)是否清晰。
生产运营环节:主要是指生产运营过程是否符合制度管理中的程序要求、是否在作业中符合行业规定或者公司制定的作业标准。
其他重点环节:企业认为其他可能给企业带来重大不合规行为的环节,都应该制定相应的合规规定,并遵照执行。
企业合规管理的重点环节应覆盖企业合规管理的重点人员,主要包括决策管理人员、重要风险岗位人员、海外人员以及企业认定的其他重点人员。

24.什么是专项合规管理制度?

专项合规管理制度是针对重点领域制定的管理制度,如反垄断合规制度、反腐败合规制度、数据保护合规制度、安全生产合规制度、劳动用工合规制度、税务管理合规制度等。
在全面合规体系建立之前,企业可以就本企业已经发生、或者可能发生、或者发生后影响较大的重点领域,单独建设合规管理体系,通过合规管理制度、合规管理组织的方式,予以控制,避免不合规事项的发生或者再次发生。

25.建立合规管理制度的基本原则是什么?

结合我国企业近年合规体系建设的实践经验,《合规办法》对于合规管理的内容有了更清晰的分类表达,包括“建立合规制度、完善运行机制、培育合规文化、强化监督问责”等方面。
建立健全合规管理制度,可以参考以下几项原则:
风险导向:合规管理制度建设的重点作用是规避风险,针对可能发生不合规的领域,建设基于风险管理的制度体系。因此也可以说,建立合规制度之前,首先就要识别与分析企业决策经营过程中的风险点。
公正公开:制度的建设就是要适合企业特征,另外还需要在企业内执行。因此制度制定前、制定中一定要公开征求各方面意见,不能搞私下主义、更不能搞一言堂,必要时还要征求外部专家的意见。在制度颁发后,更要公开制度,主动开展培训宣贯,推动制度的落地实施。
实用有效:企业制度一定要符合行业特征要求、更要适合于企业运营实际,因此一定要注意,在企业制度建设过程中不要照抄照搬,不能把其他企业的先进制度简单的搬过来,只有这样才能满足对企业管理的实用性与有效性。
通俗易懂:制度是给人看的,要能保证公司内大多数员工能够读懂制度、理解制度。因此编写制度的语言一定要通俗易懂、简单明了,让每位员工都能理解制度的具体要求与内涵。
适度合理:企业的风险是随时存在的,如果要在没有任何风险的情况下开展决策经营,那么企业为了控制风险的成本就会无限扩大,并不符合企业经营风险的基本原则。因此企业制度一定要适度合理,不能为了过分控制风险而无限制提高运营成本、降低决策效率。
与时俱进:与时俱进的意思是制度建设并不是建完以后就一直沿用下去,还应该根据外部的政策环境变化、企业内部的组织流程变革、企业管理水平的提高,不断的对制度进行更新与完善,这样才能符合企业合规管理的要求。

26.合规管理需要建立信息化系统吗?

需要。根据合规管理信息化建设的基本要求,主要包含以下五点:
一是建立合规风险识别评估预警机制,全面梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库,对风险发生的可能性、影响程度、潜在后果等进行分析,对典型性、普遍性或者可能产生严重后果的风险及时预警;
二是加强合规管理信息化建设的主要内容,包括研发和建立合规制度、典型案例、合规培训、违规行为记录等信息系统;
三是定期梳理业务流程,查找合规风险点,运用信息化手段将合规要求和防控措施嵌入流程,针对关键节点加强合规审查,强化过程管控;
四是加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通,实现数据共用共享;
五是利用大数据等技术,加强对重点领域、关键节点的实时动态监测,实现合规风险即时预警、快速处置。这些规定和要求为合规管理信息化建设明确了目标和方向、实现路径和运营方式,使合规管理信息化建设成为合规管理不可或缺的工具和手段。

27.合规信息化系统可以与其他系统兼容吗?

可以。合规信息化建设是对原有信息化系统进行优化和改造。同时,在国务院国资委发布42号令第三十五条也强调,中央企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通,实现数据共用共享。

28.如何建立合规信息化系统?

企业应先建立合规管理体系,再委托第三方中介机构通过规则嵌入流程,配合多种分析工具(如指标、模型、人工智能等),结合大数据中心以及内外部数据采集的支持,建立合规体系的信息化管理。
从这方面来看,合规管理体系是信息化系统建设的基础,信息化系统是合规管理落地实施的手段和方法,可以使合规管理更加高效与准确。

29.什么是合规义务?合规义务如何分类?

合规义务,是企业应遵守的合规要求和合规承诺总和。
合规要求是强制性的,不以企业意志为转移。主要是从外部的法律法规、地方性规章、行业标准与规定中提取并演化出来的。这些合规要求是企业基本的合规义务,任何企业都应该遵守的。
合规承诺是非强制的,但一经企业做出,便具有约束力。合规承诺主要是从企业的愿景、使命、价值观中提炼并演化出来的,包括企业内部的规章制度以及行为规范,也是企业自愿遵守的,高于法律约束的管理准则与行为准则。
从以上分类可以看出,企业的合规义务在实践中主要包括三方面。一是企业应遵守的法律法规,含国际法律、惯例;二是企业应遵循的内部规章制度;三是企业应遵照的职业道德规范。在国有企业中,党规党纪也是当然的合规义务之一。

30.企业确定自己合规义务的难点在哪里?

企业承诺的合规义务,是企业合规管理的基础,因此确定合规义务就显得非常重要,也是合规体系建设的前置性条件,但是在合规义务确定中,企业却会面临着不同的难点,主要体现在以下方面:
(1)合规义务的数量问题
我们在上题已经说过,合规义务来源于外部合规要求以及内部的合规承诺,仅仅从外部的合规要求来看,法律法规、地方规章、行业标准等都是企业提取外部合规要求的依据,而这些法律法规、规章标准数量庞大,如果没有专业人员的参与,很难从这些数量庞大的法律文件中识别适合于本企业的合规要求。
(2)合规义务的变动性
在数量庞大的同时,外部的法律法规与行业规章又不是一成不变的,随着时代的发展以及法治建设的进程,外部对企业合规提出的要求会随时发生变化,需要企业及时提取外部合规要求的变化,更新企业自身的合规风险库。
同时,企业内部的管理也是根据企业的导向以及管理水平随时变化,因此内部的合规承诺也应该在这个基础上随时调整,以使自己的合规承诺适合于企业管理的现状。
这种随时变动的特征,也给企业的合规义务管理带来了很大的困难。因此,企业也应该建立合规义务的动态管理机制,保证合规义务符合企业合规管理的要求。

31.企业合规管理的风险与企业风险管理、内控管理的风险是一致的吗?

在企业内控理念中,风险是一个令人厌恶的词汇,对于内控理念中出现的风险点,需要企业采取措施予以控制。
在企业风险管理概念中,风险本身是个中性词,既包含威胁,也包含机会。企业在风险管理中,应该遵循风险经营的理念,对不同的风险采取不同的处置措施。
在合规管理中,风险只包含威胁。合规风险,其实就是不合规造成的负面影响。对于合规管理中的风险,企业应该通过各种方式予以规避,避免风险的发生。从这个意义来看,合规风险与内控风险具有大致一致的思想范围。

32.什么是合规培训?

合规培训是指为使企业员工掌握应知的合规知识、规则和风险防控要求而开展的培训活动。
合规培训,一般可分为面授培训与网络培训。面授培训是大家可以在一起做案例讨论,然后因为有人的参与和互动在里面,所以更适合做成像研讨性质的,引导大家去思考。另外面授培训一般都是定制培训。而网络培训多为标准化培训,后者好处在于可以打破时间地域的局限性,也可以综合地运用图片、动画、视频等方式。
一般的合规培训都是由企业专门的合规官开展实施。合规官有丰富的专业知识储备,能够促使培训对象深入、透彻地了解合规风险及具体的防范措施。

33.合规培训的目的是什么?

合规培训是为了增强企业员工全员合规意识,加强对合规经营的学习领会和对合规工作常态化管理,更好地落实企业合规政策,有效防范和降低企业经营中的合规风险,实现全体员工从“要我合规”向“我要合规”的积极转变。
从这方面来看,合规培训的目标是要在员工中建立起合规文化理念,通过合规文化的建设,让员工形成自主合规的思想意识与行为习惯。

34.哪些部门需要参加到合规审查中去?

业务部门及为业务工作开展提供支持的职能部门是合规风险管理第一道防线以及第一责任主体,应当在本部门领域和职责范围内开展全面、专业合规审查。
合规管理牵头部门负责对各部门提起的合规审查事项进行程序性审查。这是企业合规管理的第二道防线。
审计监察部门负责通过审计监督的方式,监督合规体系落实的情况,已经合规体系的适合性。对于合规体系的不适合性以及不能落实的部分,审计监察部门应提出审计整改要求,要求企业的合规主体进行改正。也是企业合规的第三道防线,也是最后一道防线。

35.什么是合规管理中的容错免责?

容错免责是指把是否依法合规作为免责认定的重要依据,在依法合规的情况下宽容员工出现的失误、过失、过错与偏差行为。《中央企业违规经营投资责任追究实施办法(试行)》也对“容错免责”进行了规定:对中央企业经营管理有关人员在企业改革发展中所出现的失误,不属于有令不行、有禁不止、不当谋利、主观故意、独断专行等的,根据有关规定和程序予以容错。
从政策角度来看,随着国有企业合规体系的持续完善与发展,合规管理中的“容错免责”机制是需要逐步建立并不断完善的。

36.为什么要建立合规管理的举报制度?

根据2022年4月19日国家相关部委印发的《涉案企业合规建设、评估和审查办法(试行)》,目前司法机关试点的刑事合规不起诉的政策中,企业是否已经建立或者能够建立起有效的合规体系是司法机关做出是否对企业法人发起刑事诉讼的重要考量因素之一。而企业有效合规计划中内部举报制度又是必不可少的组成部分,同时内部举报制度也是企业能够有效发现和防范企业不当行为的重要方式。
合规管理要求企业建立起内部举报制度有两点优势:
第一,企业内部员工往往最容易发现企业中存在的违法违规行为,从事生产、经营、会计、营销等职能的员工对所服务企业及所在部门存在的不当行为最为了解,而当这种不当行为被越早的揭露,越能把公司所涉及的法律风险和可能造成经济损失的可能性降到最低。
第二,企业内部举报机制本身也是判断公司内部合规制度是否完整与有效重要标准。建立起顺畅有效的内部举报制度,可以使企业及时了解公司在经营决策过程中存在的不合规问题,并能迅速进行展开应对与整改,这也能使公司避免风险无限制扩大、甚至面临“失控”的局面。

37.合规管理举报制度的渠道与方式是什么?

企业可以根据自身情况与特点,设立违规问题反映的专门渠道,确立合规调查基本方式和程序,由合规管理牵头部门负责维护运行以及相关线索的后续跟进处理。发现问题线索涉及违纪违法的,合规管理牵头部门应将问题线索及材料移送纪检监察部门等有关单位。
合规问题举报渠道的方式主要有以下几种:
举报热线:企业建立专门的举报电话,由专人接听举报人的电话;
举报邮箱、信箱:企业建立专门的举报邮箱、信箱,并向全体员工或者利益相关人公布,定期检查举报内容;
公开讨论:企业建立起公开讨论的机制,以公司纪检部门与公司高层为主,邀请相关员工与利益相关人,就公司内部运营中的违规问题开展公开讨论;
总经理接待日:一定周期总经理会面对全体员工,接待员工反映的问题;
第三方机构专门负责:企业可以委托第三方机构接收员工反映问题,这样可以利用第三方机构的无利益关联性,打消员工在举报时的顾虑。

38.什么叫合规管理评估?

合规管理评估是指定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。
合规管理评估包含两部分内容:
一是合规体系有效性评估。通过查找合规问题,重新审视合规管理体系与管理内容是否符合公司基本情况,通过这个体系是否能够满足企业规避不合规行为的情况,是否需要对现有合规体系进行修正与完善,重新建立合规要求与合规制度。
二是合规体系落地实施情况评估。也就是如果企业通过评估认为合规体系有效性没问题,那么主要的问题就是合规体系的执行或者说运行中出现了问题。这时就需要最高管理者或者合规管理部门通过明确职责、合规培训、建立合规文化以及将合规管理纳入到考核中,强化合规管理体系的落地执行。

39.合规管理评估需要遵循哪些步骤?

合规管理评估一般包括成立评估工作组、设计评估工作方案、开展具体评估工作、编制检查评估报告和编制后续整改方案等几个步骤。具体评估工作包括:
1、确定评估工作重点:合规管理涉及到企业的各个层面,不可能在评估中面面俱到。企业在合规管理评估活动之前,需要根据公司业务重要性、外部监管程度、风险发生频率等方面来确定后续评估工作重点。通过这种重点评估的方式,了解到合规管理中存在的主要问题。
2、收集审查合规管理体系相关文件。文件种类包括但不限于:合规管理体系政策;合规报告;审计报告;与公司合规风险识别、应对相关的文件;公司业务重点领域的各类具体规范、指引类文件;公司合规管理培训涉及的相关文件;公司内部举报调查文件以及自律检查建议等。
3、开展调查问卷、实地访谈。首先收集受访者的背景资料(职位、部门、年限等),来确保受访者覆盖范围足够广、且受访人员结构合理具有代表性;在确定企业合规管理体系建设情况,包括受访者对于合规概念的认识、对自身及本部门合规职责履职情况的评估等。

40.合规管理需要建立考核评价机制吗?

需要。绩效考核是合规管理的重要组成部分。特别是对于合规文化尚不成熟、长效合规机制还未形成的一些企业,通过合规绩效考核机制来提升合规执行力就尤为重要。员工绩效计划被列为一种有效的控制措施以确保对合规义务的履行。企业应该结合企业的发展价值观,将合规考核纳入企业绩效管理体系中去,有效协调业务拓展与合规管理的关系,帮助员工建立正确的业务发展目标。

41.合规管理考核评价在何时开展合适?

合规管理考核评价是合规管理保障的重要措施,一般应该与企业人力资源考核周期保持一致。企业可以制定单独的合规绩效考核机制,也可以将合规考核标准融入到总体的绩效管理体系中去。通过有效的合规绩效考核机制,对有重大合规贡献的员工应该给予表彰或奖励。对有合规问题的员工,应该给予积分扣分或相应的处罚。
需要特别说明的是,根据我们的经验,如果能够将合规管理考评与绩效薪酬建立起有效的联系与对接,那么对合规管理要求的落地执行将会产生更好的效果。

42.合规管理考核评价机制的内容?

建立合规管理考核机制主要包括以下内容:
(1)考核评价指标的设定机制;
(2)合规管理体系监督机制;
(3)收集合规考核评价信息的方法和程序;
(4)考核评价报告规定;
(5)考核评价沟通机制;
(6)考核评价结果的处理机制;等等。
43.合规管理评价的结果如何运用?

合规管理评价应当与企业其他管理考核相衔接、融合,如与员工绩效考核相融合、与评先选优挂钩,作为干部任用、晋升的重要依据。很多公司合规具有一票否决的权利,出现严重合规问题可以直接把高级管理人员免职、降级、解除劳动合同等。并且在人员招聘录用或晋升的时候往往会考察这个人过往合规方面的记录,如果发现比较严重的违规问题,往往是不会录用或晋升的。

44.风险管理体系建立的背景是什么?

2004年,美国的COSO委员会(全美反舞弊性财务报告委员会发起组织)提出了《企业风险管理—整体框架》,其中明确规定:“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”同时,该《框架》将风险管理的要素分为八个方面:内部环境、目标制定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监督。
2006年6月,国务院国有资产监督管理委员会印发《中央企业全面风险管理指引》(国资发改革[2006]108号)明确规定:“企业风险是指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”
同时,该《指引》明确规定:“全面风险管理是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。”并从风险信息、风险评估、管理策略、解决方案、监督与改进、组织体系、信息系统、风险文化等方面进行了规范和要求。

45.风险管理的内涵包含哪些?

在内容上,风险管理具有全面性和总体性的特征。全面性体现在一方面风险管理是一种持续性行为,贯穿于企业经营管理全过程,对各项业务管理、环节、流程等全面风险控制,对企业内外部风险全面把控,对历史、现在及未来全生命周期的风险分析预测等;另一方面风险管理本身的全流程性,从组织、制度、程序、措施、系统、文化,到建立、评估、执行、解决、处置、监督、评价、改进等全方位的管理系统和体系,识别企业所面临的各类风险。总体性体现在围绕企业总体经营目标和战略发展,关注的是企业整体风险,整体宏观上实现经营管理战略目标。
在设置上,风险管理具有独立性和权威性的特征。一方面将风险管理职能提升到高级管理层,体现出权威性,另一方面企业要独立于业务部门设置职责清晰、权责明确的风险管理部门,并直接从属于高级管理层管理,体现出独立性,不受其他部门影响,以保证其客观性和公正性。
在效果上,风险管理具有合目的性和价值性特征。首先,风险管理是一个动态的过程,强调风险管理与企业经营管理过程相结合,并受人、文化等因素影响,强调“软控制”(即精神层面的内容,例如管理层的风格和理念、企业文化等)的作用和风险意识,即不同企业的风险管理都深深烙上企业文化的印记。其次,风险管理受目标驱动,并明确组织中的每一个人对风险管理负有责任,且由于内部控制的固有限制,风险管理只能提供合理保证,而非绝对保证。最后,风险管理的最终目标与企业目标一致,在现代社会中,企业目标已不仅仅是追求利润最大化、价值最大化,而是追求构建起一个和谐的内部控制机制,考虑所有利益相关者的利益,改进和提高内部控制的效率和效果,也是风险管理价值所在。

46.风险管理的定义是什么?

国务院国资委的颁布的《全面风险管理指引》将全面风险管理定义为:企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理体系,为实现风险管理的总体目标提供合理保证的过程和方法。COSO用过程来描述全面风险管理,是目前比较通行的做法。这个定义反映了以下几方面的基本概念:
1、企业风险管理是一个过程,一个流程,它持续作用于企业,并渗透于企业的各项活动中,是降低和控制风险的一系列程序。
2、企业风险管理不仅仅是企业管理层或风险管理机构的职责,同时需要企业各个层级几乎所有的员工共同参与实施。
3、企业风险管理应当在企业战略的制定过程中被应用。
4、由于风险的客观存在性,风险管理并不能给企业提供绝对的保证,而只能为企业实现其经营目标提供一个合理的保证。
5、企业风险管理旨在识别将会影响企业的潜在事项,并将风险控制在风险承受能力之内。

47.风险管理框架的8要素是指什么?

2004年9月,COSO结合《萨班斯—奥克斯利法案》的相关要求,颁布了一个概念全新的报告,即《企业风险管理—整体框架》(以下简称“ERM”框架)。框架的出台顺应了各方需求。与1992年的《内部控制—整体框架》相比,ERM 框架在内部控制的内涵、目标、要素以及内部控制责任承担等层面作了全新突破,对企业风险管理作出了更为详尽的阐述。ERM 框架并没有取代《内部控制—整体框架》,而是基于该框架并将其融入其中,全面推进了内部控制标准的发展。
在ERM中明确提出了风险管理的8要素,即:内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、内部监督。

48.风险管理框架的8要素中“内部环境”是指什么?

“内部环境”是企业风险管理所有其他构成要素的基础,为其他风险管理要素提供运行的规则和结构。内部环境包含很多内容,包括风险管理理念、风险容量、董事会、诚信和道德价值观、对胜任能力的要求、组织结构、权力和职责的分配及人力资源准则,它影响着企业的战略和目标如何制定、经营活动如何组织以及如何识别、评估风险并采取行动;它还影响着企业的风险控制活动、信息与沟通体系、风险监督等风险管理要素。

49.风险管理框架的8要素中“目标设定”是指什么?

风险管理框架的8要素中的“目标设定”是指,企业必须首先建立企业要实现的战略或者目标,管理层才能识别影响目标实现的潜在风险事项。
从企业管理的角度来看,企业决策与经营的各项活动均存在风险,但是如果要对所有活动面对的风险全部控制,那么企业的运行成本将会无限增加。因此,设定适当的风险控制目标就显得非常重要。
企业风险管理确保管理层采取适当的程序去设定风险控制目标,确保所选定的风控目标支持和切合该企业的使命,并且与它的风险容量相符。

50.风险管理框架的8要素中“事件识别”是指什么?

“事件识别”是指识别影响企业目标实现的内部和外部事件,即确定这些潜在事项对企业到底是机会还是风险。如果是机会,应将其反馈到战略和目标设定之中,而如果是风险则应该展开有效的评估和应对。
这些事项是来自于内部或外部的影响实施战略和目标实现的事故或事件,其驱动因素可能来自很多方面,比如外部的经济因素(价格、资本等)、自然环境、政治、技术、社会等因素,以及内部的基础结构、人员、流程、技术等。企业应该采取各种方式,比如互动研讨、统计数据、追踪技术、内部分析、预警触发等。
在“事件识别”中,为了更好的管理事项以及其背后的风险及其应对,应该考虑事项之间的关联关系,事项的类别划分(包括正负向划分以及不同属性类别上的划分)。

51.风险管理框架的8要素中“风险评估”是指什么?

“风险评估”是指通过考虑某一风险发生的可能性高低和影响大小来对其加以分析,并以此作为如何进行风险管理的依据。在设定风险控制目标,发现风险事项之后,必须进行适当的风险评估。
评估风险对企业实现目标的影响程度或风险价值等,有定性与定量两种方法——定性方法包括问卷调查、集体讨论、专家咨询、政策分析、行业标杆比较、管理层访谈和调查研究等,而定量方法包括统计推论(如集中趋势法)、计算机模拟(如蒙特卡罗分析法)、失效模式与影响分析、事件树分析等。根据coso的建议,定性和定量的方法相结合是最佳选择。

52.风险管理框架的8要素中“风险应对”是指什么?

“风险应对”是指管理层在风险容忍度和成本、收益原则下,确定风险应对方案并考虑其对风险事项的可能性和效果的影响,然后设计、确定和实施选择的应对方案。
风险应对措施通常包括回避、降低、分担和承担四种。此外,在风险应对的过程中,还应该有组合的观念——一个不同风险组合应对之后,其风险应对管理成本可能会下降,也可能因为组合而积聚上升变得更加重要,这就如同合力效应。

53.风险管理框架的8要素中“控制活动”是指什么?

“控制活动”是指为了应对风险的发生所采取的措施和方法,通过控制活动的实行,降低或者消除风险发生的可能性。
控制活动通常包含两个要素:确定应做什么的政策和有效地实施政策的程序。控制活动也可以分为预防性控制、检查性控制、纠正性控制和补偿性控制等各种类型。
在风险管理中,风险控制活动贯穿在组织的各个层级和各个职能部门,包括一系列不同的活动,比如批准、授权、验证、调节、评价、评估、职责分离等等。

54.风险管理框架的8要素中“信息与沟通”是指什么?

“信息与沟通要素”是指提倡企业必须有效识别、收集来源于企业内部和外部的定性或定量的经营信息,并以适当的方式与相关利益者进行有效沟通。
信息的来源无论是内部,还是外部都有正式渠道,也有非正式渠道,有直接渠道也有间接渠道。比如,商户的风险高低在于获得商户的信息多少、来源及其可靠性——有直接与商户面谈或问卷调查得到信息,也可能有通过新闻媒体、网络平台、监管机构等方面获得的有关商户的信息。
另外,现在信息化时代下,内部不同平台之间的信息共享程度,以及内部系统与外部系统(供应商或客户)的集成度和信息分享程度都在日益上升。这给信息、沟通的及时性、效率得到改善,而同时信息的深度、及时性、可靠性对于信息分析决策都变得日益重要。
同信息的来源分为内部和外部一样,信息的沟通也分为内部和外部沟通。信息的内部沟通是为了更高的事项企业的战略、经营、报告和合规方面的目标。内部沟通包括横向的沟通和纵向的沟通,横向的沟通有利于风险的应对和控制活动的协调开展,纵向信息的及时沟通便于决策及其措施的快速确定和传达。
信息的外部沟通主要集中在企业主体与外部利益相关者之间的沟通,比如供应商、客户、监管机构、投资者等等。
55.风险管理框架的8要素中“内部监督”是指什么?

“内部监督”是一个对风险要素当前功能及其业绩质量进行评估的过程。通常监督通过两种方法进行:通过持续的活动或个别评价。
持续监控建立在企业日常重复发生的业务活动和风险管理活动之上,而个别评价则是在事后进行的,可以作为对持续监控的补充。
专门的评价通常要确定评价的范围、频率、目的,并关注评价过程、方法和报告形成评价的信息传递机制和分享机制。在企业风险管理工作的实务处理中,这两种方法是结合进行的。

来源:中天华溥管理视野 

作者:阎攀宇


关注公众号
国资、国企单位实名添加张国良老师微信13910007503进入:“国资国企交流群”
群内将不定期分享:公司法人治理、国企改革、集团治理、董监事履职、集团管控、大监督体系、风险防控、党建党群、纪检监察、审计、法务、人力资源等方面以及专家解读、案例分析等资料。面向全国的国资国企的朋友开放,欢迎大家入群交流!




版权所有 © 中企培(北京)企业管理中心   京ICP备13012228号-1