国企合规管理体系建设项目实务分享-专业文章-炜衡律师事务所

国企合规管理体系建设项目实务分享

2023-01-05

作者 | 罗颖娴


随着世界局势深刻变革,国际力量对比发生变化,我国经济发展从规模速度型粗放增长迈向优化治理、转化动力、深化改革的质量效率型集约增长。国有企业作为国民经济的重要支柱,在经济转型关键时期更需认真落实国资委法治国企建设新要求,率先从更高站位、更广视野和更深层次上践行合规建设,助力实现高质量发展的愿景。笔者结合自身参与的多家国企合规管理体系建设项目的情况,总结出合规体系项目建设的要点,供大家参考。


一、把握国企合规管理体系建设项目的核心需求


虽然国企均面临国资委的合规监管压力,但国资比例不同、层级不同、性质不同,对于合规管理体系建设的重视程度和着重点也会不同。所以,在项目准备期,项目组需要首先了解公司基本情况、项目具体定位及成果颗粒度要求,以公司核心需求为导向开展项目。


了解公司基本情况目的在于确定项目建设的基底,以便通盘考虑整个项目的建设难度和工作量。需要初步了解的公司基本情况包括:公司性质、股权结构、行业特性、资产规模、投资情况、已有制度流程情况、已有内控、风险管理体系建设情况等。


了解项目具体定位目的在于确定项目建设目标、项目范畴及项目汇报线。对于项目的具体定位,可通过与公司主要负责人、首席合规官的访谈等途径获知,亦可通过对外在监管环境的分析得知。例如,央企总部的合规体系项目一般是作为整个集团内的合规引领来打造,必须着眼大局,立足长远,既需严格对标国务院国资委的工作部署和要求,亦需保留弹性,建立起一套可供子公司参照的管理模型,项目主要是为满足国资委监管要求及提升集团管理质效而服务。再如,如果是地方国企的二级子公司打造合规体系,一般更多需要考虑上级公司已有的合规管理要求,及子公司本身的建设能力,项目可能更多以符合集团内统一要求,且不过多影响现有经营管理开展为目的。


了解成果颗粒度要求目的在于合理策划项目进度、把握成果时限及验收标准。一般而言,国企合规管理体系建设项目的成果及核心要求主要包括以下:


国企合规管理体系建设项目实务分享


对于每一项成果,项目组需要与公司确认参照的资料范围、基本的内容板块、适用的方法和工具、修改反馈机制、成果的验收层级和标准等。例如打造合规风险识别清单,涉及到描述合规义务来源。在合规义务来源的梳理上,包括国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等,纷繁复杂。如果在某一个环节上要穷尽所有合规义务来源,既耗费大量时间成本,同时也可能给公司经营发展带来过多限制。因此项目组需要与公司商榷具体的颗粒度,一般以硬性的法律法规、监管规定为主,辅之以公司内部规章制度,较为弹性的条约、协议、标准等,则无需过多涉及。


二、做好国企合规管理体系建设项目的策划管理


整个国企合规管理体系建设项目的策划管理主要在于三方面,一是合理的项目进度安排,二是项目质量把控,三是与公司的沟通对接。


项目的进度安排是策划管理的重难点,需要在公司给出的项目时限内,针对公司的每一项成果需求,提出建设思路,分析准备工作及具体开展的重难点,估计工作量和人力投入,在每项成果上铺设适合的专业人员,设置合理的准备、撰写、复核、提交和汇报时限,并综合起来,统筹准备、调研、出具、反馈及汇报宣贯等各阶段的工作,完成有效衔接,于项目周期内完成有效闭环,形成项目管理甘特图。


国企合规管理体系建设项目实务分享

项目进程安排示例


项目质量把控的前提是组建适格稳定的项目组。项目组应至少具备合规专业人员、公司主营业务专业人员、尽职调查人员等,秉持勤勉尽责精神提供优质服务。项目组设置成果讨论复核机制,项目负责人作为质量控制人,负责对接公司的修改意见和质量异议,成果初稿可根据公司意见滚动修改直至定稿。为了能够充分与经营管理实际结合,项目成果语言不能过于简单片面,需要建立具体业务场景,将法律语言与操作准则高度融合,达到以通俗易懂的合规标准指导实践的作用。


与公司充分的沟通对接是成功的项目管理所必不可少的一环。一般而言,由项目组负责人与公司领导层组成项目的决策层,决定项目的建设周期、建设方向、建设深度及成果验收。由项目组成员与公司主责部门组成项目的执行层,统筹项目组成员和各部门对接人,负责具体开展工作、对接沟通、成果撰写及复核调整、提交汇报等。鉴于合规体系项目一般周期较长,多在半年到一年以上,项目组应定期与公司召开项目例会,汇报项目实施情况,对项目工具、方法、成果给予充分的讨论。必要时可临时召开会议,讨论紧要问题。项目组应定期发送项目书面报告,全面总结之前工作进展,成果情况,提醒项目控制状态,并提出之后工作重点计划和任务分解等。


项目组在项目建设过程中需要充分提供成果咨询、答疑、指导、出席会议、协助汇报等服务,保障合规管理体系的落实及合规文化的逐步深入,并且进一步联动开发企业合规管理信息化建设、合规体系有效性评价等方面的需求,提供尽可能丰富的增值服务。


三、狠抓国企合规管理体系建设项目的重难点


国企合规管理体系建设过程中常见的重难点问题主要包括:


(一)项目尽职调查


1、难点


公司书面资料繁杂,各领导及部门访谈时间不固定,访谈工作进行的深度和广度不确定。


2、应对措施


通过对公司专项需求的梳理,配备有丰富尽调经验的项目组成员,通过多种方法对公司实际情况进行调研:


(1)书面研读


通过收集并研读公司资料,对公司组织框架、业务布局、部门及岗位职责、各部门日常经营管理进行全景扫描,明晰合规管理目标,判断公司重点领域、重点环节、重点岗位,梳理业务管理链条,摸清体系已有建设成果,进一步筛查合规风险,有的放矢地高效开展合规建设。


(2)部门访谈


在进行初步书面研读的基础上,提前编制访谈提纲,以细化与核实问题为目标进行部门访谈,逐条确认公司重点领域、重点环节、重点岗位,掌握部门主要职责、经营管理情况及外在监管环境,了解公司及部门突出的合规风险及已有的防控措施,探析部门的业务管理流程完善方向,明确对本项目尤其是合规培训的期望和要求。


(3)案例分析


结合公司近年遭受的处罚情况、向国资委报告的重大风险事件、重大负面舆论事件、上一年度内控、审计、纪检巡察查处的违约事件、经营业务违法违规问题排查专项工作成果及重大诉讼案件,进行违规案例分析,掌握合规风险暴露情况,定位关键部门及岗位,提炼有效合规整改措施,弥补管理漏洞。


(二)合规制度体系诊断


1、难点


制度众多,梳理费时,对问题的诊断需要较高的法学功底,需要融合法律、内控、风险管理和合规制度体系。


2、应对措施


1)配备有扎实法学功底的团队,熟知公司可能面临的常见法律合规风险;2)充分了解公司的相关制度及流程,并熟练掌握外部规范的要求,一般配合风险识别工作进行;3)运用精准的诊断工具,如制度流程成熟度判断指标等,对现有制度框架和具体内容进行问题诊断,提出调整建议。


(三)风险识别与评估


1、难点


风险繁杂,合规要求众多,风险评估主观性强,容易出现偏差。


2、应对措施


合规管理体系建设过程中,有效的合规风险识别、合规风险评估是建立《合规风险数据库》及其他成果文件的重要基底,参照《合规管理体系要求及使用指南》(ISO 37301:2021),项目组可通过以下方法来进行合规风险识别与评估。


(1)合规风险识别


合规风险识别是合规管理的重要内容,其主要任务是识别合规义务,确定合规管理领域和框架。合规风险识别从如下三个维度展开:


①业务类别。收集企业基本信息,包括机构设置、部门职责、业务领域、业务环节等,建立合规风险识别框架。结合访谈内容,明确各领域的核心业务。


②合规依据。即法律法规、党内法规、监管规定、行业准则和国际条约、规则、标准,以及企业章程、规章制度等要求。在识别过程中,以法律法规和监管规定为基础,覆盖公司内部规章制度,以其余合规依据为补充,筛选其中的义务性规定和禁止性规定。


③合规风险。即违反合规依据中的义务性条款(应为)和禁止性条款(不能为)所产生的风险,结合业务场景提炼为风险提示语言,并归纳风险行为所产生的法律责任和后果。


(2)合规风险评估


在识别合规风险的基础上,制定重点领域合规风险库,以风险评估量化的工具为依托,采用建模测评(以风险事件发生的可能性和影响程度为因子建模,每个因子设立相关维度)和双重评估(专家评估及部门自评,通过对相关维度进行赋值得到对应分数)方法,划定合规风险等级(高风险、中风险、低风险),并就中高风险提出针对性的防范措施,帮助管理者和一线人员更科学地分配资源和精力,实现合规风险控制关口前移,有效保障公司各项业务活动依法合规开展。


(四)绘制流程管控图


1、难点


制度转化为流程存在天然障碍,依托的专业工具要求高,费时。


2、应对措施


在制度优化的基础上,对公司各部门业务管理流程进行梳理,以通识符号绘制形成初步的流程管控图,或者借助原内控体系所打造的内控流程,从合规角度进行审视和穿行测试,在重要环节分析合规风险,以三道防线为出发点,嵌入合规管控措施,优化现有流程,降低合规风险。


四、结语


国企合规管理体系建设路漫漫其修远兮。合规体系建设项目基础工作做得扎实,合规建设工作能够开展得更轻省高效,也能够更好地形成各体系的互通互联,激发更多的业务增长点,实现多方共赢。

国企合规管理体系建设项目实务分享

2023-01-05

作者 | 罗颖娴


随着世界局势深刻变革,国际力量对比发生变化,我国经济发展从规模速度型粗放增长迈向优化治理、转化动力、深化改革的质量效率型集约增长。国有企业作为国民经济的重要支柱,在经济转型关键时期更需认真落实国资委法治国企建设新要求,率先从更高站位、更广视野和更深层次上践行合规建设,助力实现高质量发展的愿景。笔者结合自身参与的多家国企合规管理体系建设项目的情况,总结出合规体系项目建设的要点,供大家参考。


一、把握国企合规管理体系建设项目的核心需求


虽然国企均面临国资委的合规监管压力,但国资比例不同、层级不同、性质不同,对于合规管理体系建设的重视程度和着重点也会不同。所以,在项目准备期,项目组需要首先了解公司基本情况、项目具体定位及成果颗粒度要求,以公司核心需求为导向开展项目。


了解公司基本情况目的在于确定项目建设的基底,以便通盘考虑整个项目的建设难度和工作量。需要初步了解的公司基本情况包括:公司性质、股权结构、行业特性、资产规模、投资情况、已有制度流程情况、已有内控、风险管理体系建设情况等。


了解项目具体定位目的在于确定项目建设目标、项目范畴及项目汇报线。对于项目的具体定位,可通过与公司主要负责人、首席合规官的访谈等途径获知,亦可通过对外在监管环境的分析得知。例如,央企总部的合规体系项目一般是作为整个集团内的合规引领来打造,必须着眼大局,立足长远,既需严格对标国务院国资委的工作部署和要求,亦需保留弹性,建立起一套可供子公司参照的管理模型,项目主要是为满足国资委监管要求及提升集团管理质效而服务。再如,如果是地方国企的二级子公司打造合规体系,一般更多需要考虑上级公司已有的合规管理要求,及子公司本身的建设能力,项目可能更多以符合集团内统一要求,且不过多影响现有经营管理开展为目的。


了解成果颗粒度要求目的在于合理策划项目进度、把握成果时限及验收标准。一般而言,国企合规管理体系建设项目的成果及核心要求主要包括以下:


国企合规管理体系建设项目实务分享


对于每一项成果,项目组需要与公司确认参照的资料范围、基本的内容板块、适用的方法和工具、修改反馈机制、成果的验收层级和标准等。例如打造合规风险识别清单,涉及到描述合规义务来源。在合规义务来源的梳理上,包括国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等,纷繁复杂。如果在某一个环节上要穷尽所有合规义务来源,既耗费大量时间成本,同时也可能给公司经营发展带来过多限制。因此项目组需要与公司商榷具体的颗粒度,一般以硬性的法律法规、监管规定为主,辅之以公司内部规章制度,较为弹性的条约、协议、标准等,则无需过多涉及。


二、做好国企合规管理体系建设项目的策划管理


整个国企合规管理体系建设项目的策划管理主要在于三方面,一是合理的项目进度安排,二是项目质量把控,三是与公司的沟通对接。


项目的进度安排是策划管理的重难点,需要在公司给出的项目时限内,针对公司的每一项成果需求,提出建设思路,分析准备工作及具体开展的重难点,估计工作量和人力投入,在每项成果上铺设适合的专业人员,设置合理的准备、撰写、复核、提交和汇报时限,并综合起来,统筹准备、调研、出具、反馈及汇报宣贯等各阶段的工作,完成有效衔接,于项目周期内完成有效闭环,形成项目管理甘特图。


国企合规管理体系建设项目实务分享

项目进程安排示例


项目质量把控的前提是组建适格稳定的项目组。项目组应至少具备合规专业人员、公司主营业务专业人员、尽职调查人员等,秉持勤勉尽责精神提供优质服务。项目组设置成果讨论复核机制,项目负责人作为质量控制人,负责对接公司的修改意见和质量异议,成果初稿可根据公司意见滚动修改直至定稿。为了能够充分与经营管理实际结合,项目成果语言不能过于简单片面,需要建立具体业务场景,将法律语言与操作准则高度融合,达到以通俗易懂的合规标准指导实践的作用。


与公司充分的沟通对接是成功的项目管理所必不可少的一环。一般而言,由项目组负责人与公司领导层组成项目的决策层,决定项目的建设周期、建设方向、建设深度及成果验收。由项目组成员与公司主责部门组成项目的执行层,统筹项目组成员和各部门对接人,负责具体开展工作、对接沟通、成果撰写及复核调整、提交汇报等。鉴于合规体系项目一般周期较长,多在半年到一年以上,项目组应定期与公司召开项目例会,汇报项目实施情况,对项目工具、方法、成果给予充分的讨论。必要时可临时召开会议,讨论紧要问题。项目组应定期发送项目书面报告,全面总结之前工作进展,成果情况,提醒项目控制状态,并提出之后工作重点计划和任务分解等。


项目组在项目建设过程中需要充分提供成果咨询、答疑、指导、出席会议、协助汇报等服务,保障合规管理体系的落实及合规文化的逐步深入,并且进一步联动开发企业合规管理信息化建设、合规体系有效性评价等方面的需求,提供尽可能丰富的增值服务。


三、狠抓国企合规管理体系建设项目的重难点


国企合规管理体系建设过程中常见的重难点问题主要包括:


(一)项目尽职调查


1、难点


公司书面资料繁杂,各领导及部门访谈时间不固定,访谈工作进行的深度和广度不确定。


2、应对措施


通过对公司专项需求的梳理,配备有丰富尽调经验的项目组成员,通过多种方法对公司实际情况进行调研:


(1)书面研读


通过收集并研读公司资料,对公司组织框架、业务布局、部门及岗位职责、各部门日常经营管理进行全景扫描,明晰合规管理目标,判断公司重点领域、重点环节、重点岗位,梳理业务管理链条,摸清体系已有建设成果,进一步筛查合规风险,有的放矢地高效开展合规建设。


(2)部门访谈


在进行初步书面研读的基础上,提前编制访谈提纲,以细化与核实问题为目标进行部门访谈,逐条确认公司重点领域、重点环节、重点岗位,掌握部门主要职责、经营管理情况及外在监管环境,了解公司及部门突出的合规风险及已有的防控措施,探析部门的业务管理流程完善方向,明确对本项目尤其是合规培训的期望和要求。


(3)案例分析


结合公司近年遭受的处罚情况、向国资委报告的重大风险事件、重大负面舆论事件、上一年度内控、审计、纪检巡察查处的违约事件、经营业务违法违规问题排查专项工作成果及重大诉讼案件,进行违规案例分析,掌握合规风险暴露情况,定位关键部门及岗位,提炼有效合规整改措施,弥补管理漏洞。


(二)合规制度体系诊断


1、难点


制度众多,梳理费时,对问题的诊断需要较高的法学功底,需要融合法律、内控、风险管理和合规制度体系。


2、应对措施


1)配备有扎实法学功底的团队,熟知公司可能面临的常见法律合规风险;2)充分了解公司的相关制度及流程,并熟练掌握外部规范的要求,一般配合风险识别工作进行;3)运用精准的诊断工具,如制度流程成熟度判断指标等,对现有制度框架和具体内容进行问题诊断,提出调整建议。


(三)风险识别与评估


1、难点


风险繁杂,合规要求众多,风险评估主观性强,容易出现偏差。


2、应对措施


合规管理体系建设过程中,有效的合规风险识别、合规风险评估是建立《合规风险数据库》及其他成果文件的重要基底,参照《合规管理体系要求及使用指南》(ISO 37301:2021),项目组可通过以下方法来进行合规风险识别与评估。


(1)合规风险识别


合规风险识别是合规管理的重要内容,其主要任务是识别合规义务,确定合规管理领域和框架。合规风险识别从如下三个维度展开:


①业务类别。收集企业基本信息,包括机构设置、部门职责、业务领域、业务环节等,建立合规风险识别框架。结合访谈内容,明确各领域的核心业务。


②合规依据。即法律法规、党内法规、监管规定、行业准则和国际条约、规则、标准,以及企业章程、规章制度等要求。在识别过程中,以法律法规和监管规定为基础,覆盖公司内部规章制度,以其余合规依据为补充,筛选其中的义务性规定和禁止性规定。


③合规风险。即违反合规依据中的义务性条款(应为)和禁止性条款(不能为)所产生的风险,结合业务场景提炼为风险提示语言,并归纳风险行为所产生的法律责任和后果。


(2)合规风险评估


在识别合规风险的基础上,制定重点领域合规风险库,以风险评估量化的工具为依托,采用建模测评(以风险事件发生的可能性和影响程度为因子建模,每个因子设立相关维度)和双重评估(专家评估及部门自评,通过对相关维度进行赋值得到对应分数)方法,划定合规风险等级(高风险、中风险、低风险),并就中高风险提出针对性的防范措施,帮助管理者和一线人员更科学地分配资源和精力,实现合规风险控制关口前移,有效保障公司各项业务活动依法合规开展。


(四)绘制流程管控图


1、难点


制度转化为流程存在天然障碍,依托的专业工具要求高,费时。


2、应对措施


在制度优化的基础上,对公司各部门业务管理流程进行梳理,以通识符号绘制形成初步的流程管控图,或者借助原内控体系所打造的内控流程,从合规角度进行审视和穿行测试,在重要环节分析合规风险,以三道防线为出发点,嵌入合规管控措施,优化现有流程,降低合规风险。


四、结语


国企合规管理体系建设路漫漫其修远兮。合规体系建设项目基础工作做得扎实,合规建设工作能够开展得更轻省高效,也能够更好地形成各体系的互通互联,激发更多的业务增长点,实现多方共赢。