|
笔者全程参与历时近三年的A类可用于认证的标准ISO37301《合规管理体系要求及使用指南》于2021年4月13日正式由国际标准化组织发布,其新标准对比之前的ISO19600、GB/T35770《合规管理体系指南》,笔者认为在内容方面对合规管理的要求最大变化是两个: 一是合规管理的人员范围比以前变宽泛了。 新标准把之前的雇员改人员,指以国家法律或实际活动,或基于组织活动的任何合同关系被确认为工作关系的个人,之前的标准是指以国家法律或实际活动被确认为雇佣关系的个人。合规管理的人员对象明显宽泛了。比如,临时合同工的违规行为,企业一样必须加强其合规管理。 二是合规风险的界定也比之前变广泛了。 新标准定义合规风险是不符合组织合规义务造成不合规的可能性和后果。旧标准是对合规目标影响的不确定性。新标准是针对“合规义务”,旧标准是针对“合规目标”,范围明显不同。任何一条企业的合规义务违反都是合规风险的发生。 笔者认为这是新合规标准最本质的两大变化。 带着这两个变化,我们才能够准确的理解后面的内容。 企业合规管理是管理企业生产经营活动、产品和服务的合规,因此,企业应系统性地识别其生产经营活动、产品和服务所对应的合规义务,对是否遵循这些合规义务的不确定性和后果、机会,即合规风险进行持续有效的管理。业务活动、合规义务、合规风险是合规管理必要性的三个相互不可或缺的基本逻辑。在人力资源社会保障部发布的新职业之一“企业合规师”明确的主要工作任务有:识别、评估合规风险。要识别、评估合规风险,必须把企业有哪些生产经营活动、需要遵循哪些对应的合规义务、容易发生不合规行为的风险点在哪里三个问题依次确定。 3.1梳理分析公司业务活动清单 合规管理对象是生产经营活动、产品和服务的合规性,仔细进行企业生产经营活动、产品和服务尽调,详细掌握本企业在做什么是开展合规管理的基本前提。 企业合规管理牵头部门组织和配合,向业务、职能部门提供统一规范的业务、职能活动梳理工具表,业务、职能部门以每一个部门为单元,由各部门负责本部门业务活动的梳理分析,形成企业生产经营活动、产品和服务清单。 没有业务活动,就没有合规风险,我们首先要去梳理企业运行的各业务活动。企业的业务活动运行主要表现为两种形式,一种是以岗位为单元的运行方式,另一种是以业务流程为单元的运行的方式。 以岗位为单元的运行方式,如下所示:某公司的产品成本管理岗职责。 产品成本管理岗 1.对接与配合公司相关部门,推进各工厂通用材料的集中采购管理。 2.负责各工厂原材料采购成本管理监督。 3.负责各工厂原材料供应商资源管理与优化建议。 4.负责各工厂单位产品的原材料成本管理监督与优化建议。 5.负责各工厂单位产品的模具等摊销成本管理监督与优化建议。 该岗位的人员的合规风险由其岗位职责决定。 以业务流程为单元的运行的方式,如下所示:XXX公司总部合格供应商资源管理流程。 梳理分析公司业务活动过程是对公司生产经营活动内容、分布范围、产品与服务分类的一次比较详细的盘点,以掌握公司合规管理的对象——生产经营活动的运行情况。可以根据企业当前的管理能力下的颗粒度不同,进行一级、二级的业务、职能事项清单梳理分析。 方法一:按照业务分类梳理分析公司的一级、二级业务活动清单,梳理形成《业务流程工作事项清单》。 方法二:按照岗位分类梳理分析公司的一级、二级业务活动清单,梳理形成《岗位对应业务、职能事项清单》。如下所示。 具体采用哪一方法,需要根据企业当前的管理模式来确定,如果企业管理流程化水平比较高,可以按照业务流程方式来梳理企业的业务活动事项清单,如果企业管理流程化水平不够,就适宜采用岗位方式进行业务活动清单梳理。 3.2确定合规义务 业务活动、合规义务、合规风险是相互联系在一起的,合规风险是指企业的业务活动、产品和服务不符合企业合规义务造成不合规的可能性和后果。前面我们已经梳理了业务活动,本节我需要来确定企业各业务活动需要遵循的对应的合规义务。 在ISO19600和GB/T35770《合规管理体系指南》里,将合规义务为合规要求和合规承诺,在2021年4月13日发布的A类认证标准ISO37301《合规管理体系要求及使用指南》定义合规义务为,以及组织自愿选择遵守的要求。这些要求包括成文明示的、不成文的、或必须履行的需求或期望。新旧标准对比看,之前的合规要求对应新标准的“组织必须遵守的要求”,之前的合规承诺对应新标准的“组织自愿选择遵守的要求”。ISO37301对合规管理体系建设做了明确的要求,并在附录A提供标准对应要求的使用指南。 ISO37301对确定合规义务是这样要求的: 4.5合规义务 组织应系统性地识别其活动、产品和服务所对应的合规义务,并评估它们对组织运营的影响。 组织应建立过程以: a)识别新增加和变更的合规义务,以保证持续合规; b)评价已识别的新增加和变更的义务所产生的影响,并在合规义务管理中进行任何必要的调整。 组织应将其合规义务持续形成文件信息。 如何落实该要求,附录A提供了进一步详细的指南,具体如下: A.4.5合规义务 组织应将合规义务作为建立、发展、实施、评价、维护和改进其合规管理体系的基础。 组织必须遵守的要求包括: —法律法规; —许可、执照或其他形式的授权; —监管机构发布的命令、规则或指南; —法院或行政法庭的判决; —条约、公约和议定书。 组织自愿选择遵守的要求可以包括: —与社区团体或非政府组织的协定; —与公共机构和客户的协议; —组织要求,如方针和程序; —自愿原则或行为守则; —自愿标识或环境承诺; —基于本组织的合同安排所产生的义务; —相关组织和行业标准。 组织应按部门、职能和不同类型的组织性活动区分合规义务,以确定谁受到这些合规义务的制约。 获取法律和其他合规义务变更信息的过程包括: —在相关监管机构的邮寄名单上; —专业团体的成员资格; —订阅相关信息服务; —参加行业论坛和研讨会; —监视监管机构的网站; —与监管机构会谈; —通过法律顾问; —关注合规义务的来源(如监管声明、法院判决)。 应采取以风险为基础的方法,例如,组织应优先履行确定的、与业务最为相关的(20%紧要部分)合规义务,随后将重点扩展至其他(80%相关部分)合规义务上(帕累托原则)。 在适当的情况下,组织应建立并维护独立的文件记录(如登记册或日志)以列出其所有合规义务,并建立定期更新文件的流程。 除合规义务外,该文件还应包括但不限于: —合规义务的影响; —合规义务的管理; —与合规义务相关的控制措施; —风险评估。 从以上标准要求看,结合我们国内实际,一般情况下,企业要遵守的“合规义务”包括以下5个方面: 1.企业承诺。企业合规义务包括企业必须遵守的要求,以及企业自愿选择遵守的要求,这儿指的是后者。企业往往有对外的一些市场服务承诺,以获得客户更加信赖,或者与特定的相关方的约定,这些都是企业自愿选择要遵守的要求。 比如国家电网公司对外的承诺,即属于该公司要遵循的合规义务内容。 以下是企业必须遵守的要求: 2.社会公德和商业道德。这是企业生产、经营所在地的公序良俗、通行规则与惯例,并且往往是不成文的。 3.监管要求。指的是企业生产、经营所在地的监管机构、行业组织发布的政策规定。 4.国家法律法规。指的是企业总部所在国和生产、经营所在国的法律、法规。 5.国际规则。指的是企业生产、经营在国际贸易、国际采购中需要遵守的通用国际规则。 企业需要遵守的合规义务也许比较多,如标准指南所示:应采取以风险为基础的方法,例如,组织应优先履行确定的、与业务最为相关的(20%紧要部分)合规义务,随后将重点扩展至其他(80%相关部分)合规义务上(帕累托原则)。企业可以优先确定哪些要紧的,影响比较大的“合规义务”。这个过程中,企业在日常的合规义务管理中,如标准的指南提示的,有必要若干的合规义务信息来源渠道。在初始开展合规管理体系建设时,企业还是需要集中开展合规义务的搜索和检索梳理。 如何搜索“企业业务、职能事项”对应的“合规义务”5个方面,特别是对应的3、4、5、,需要“企业业务、职能事项关键字段”,从“业务职能事项所在业务专业领域”、“企业所处行业”、“企业生产经营所处国家”来搜索和确定。如下图1某业务、职能事项所在范围关系图。 首先确定业务与职能活动事项所在的“专业”方位。通过“某业务与职能活动事项内容”定位“某业务与职能活动事项”的“所在专业领域”范围。 其次确定企业所在的“行业”方位。根据“企业产品、服务内容”,定位其“所在行业”范围。 第三确定企业生产、经营所在的“地理”方位。根据企业生产所在地、市场经营所在地,确定其适用的合规义务所在城市、地区、国家”范围。 第四,确定需要遵循的合规义务。通过“专业”、“行业”和“地理”三个方位,如同一个三坐标系定位(如上图2某业务、职能事项所在方位图)来检索、确定特定的业务、职能活动事项需要遵循的合规义务,在确定的这三个“方位”确定的范围,根据“业务、职能活动事项内容”里面的“关键字段”来搜索法律、法规、政策规定,可以在免费的,或付费的第三方数据库里搜索。 以上四步可以确定企业必须遵守的以下“合规义务”内容: 监管要求:企业生产、经营所在地的监管机构、行业组织发布的政策规定。 国家法律法规:企业总部所在国和生产、经营所在国的法律、法规。 国际规则:企业生产、经营在国际贸易、国际采购中需要遵守的通用国际规则。 另外,社会公德和商业道德方面,通过定位企业生产、经营所在城市、地区、国家,了解所在地的本土公序良俗与道德规范、社会责任、社会价值观、文化信仰来确定。 企业自愿选择遵守的要求则从企业内部对外发布的文件、与相关方约定来确定。 以上的四步是比较系统、周全地地识别企业活动、产品和服务所对应的合规义务过程,最后,形成某业务、职能活动事项对应的合规义务清单,以确定企业具体某业务与职能活动事项需要遵守的规则,以明确企业各业务部门、职能部门和不同类型的业务活动受哪些合规义务的制约。 以上是企业列出合规义务清单的一般方法过程。(待中篇续,笔者系ISO37301全程制定中国专家组成员)。 |
|
|
来自: 昵称60604150 > 《企业合规》
