如何建立一个有效运作的企业合规管理体系

如何建立一个有效运作的企业合规管理体系？

本文将从《企业合规管理办法》九章26节对应《合规管理体系指南》标准的条款，对比美国司法部刑事局《企业合规方案(体系)有效性评价》对一个企业有效的合规管理体系的若干要求，作一个简单的索引，给企业合规管理从业人员一个理解和掌握《企业合规管理办法》九章26节内容实质、读懂标准、借鉴中西的路径指引，算是回答该问题——如何建立一个有效运作的企业合规管理体系？不当之处，请批评指正。

（接上篇）

四、合规控制与策划(对应GB/T35770-2017/ISO19600:2014 5、7)

基本要求：合规管控对应到岗位，合规管控对应到业务流程，合规管控对应到合作伙伴

9、企业合规目标管理

10、企业合规风险应对措施策划管理

11、企业重点业务、重点环节、重点岗位的专项合规管理指引，如出口合规操作指引、收购并购合规操作指引、海外投资合规指引、数据保护合规操作指引等。

12、企业合作伙伴持续合规监控

●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求：

设计

企业设计和实施新政策和流程的程序是什么？

此程序是否随着时间的推移而改变？

谁参与了政策和流程的设计？

在推出新业务部门之前，是否征询过他们的意见？

全面性

企业在监控和执行反映、处理其面临的风险范围（包括法律和监管领域的变化）的政策和流程方面做了哪些努力？

运作整合责任

谁负责整合政策和流程？

这些政策和流程的推行方式是否确保了员工对政策的理解？

以何种具体方式通过企业内部控制系统对合规政策和流程进行强化？

把关人

对控制过程中的关键把关人（如：具有审批权限或认证责任的人员）提供了什么样的

指导和培训（如有）？

他们知道要注意什么不当行为吗？

他们知道何时、如何上报问题吗？

第三方管理

基于风险的、经整合的的流程

企业的第三方管理流程如何与企业识别的风险性质和水平相对应？

该流程如何被整合到相关的采购和供应商管理流程中？

恰当的管控

企业如何确定存在适当的商业理由使用第三方？

如果第三方涉及潜在的不当行为，那么使用这些第三方的商业理由是什么？

存在哪些机制来确保合同条款明确描述了将要履行的服务、支付条款是否合适、所述合同工作是否得以完成，以及薪酬是否与所提供的服务相称？

关系管理

企业如何考量、分析应对合规风险的第三方的薪酬和激励机制？

企业如何监控其第三方？

企业是否拥有查阅分析第三方账簿和账目的审计权利，

企业过去是否行使过这些权利？企业如何对第三方关系经理进行合规风险培训，

以及如何管理第三方经理？

企业如何激励第三方的合规和道德行为？

实际行动与结果

企业是否跟踪在第三方尽职调查中发现的危险信号，以及如何处理这些危险信号？

企业是否保留未通过尽职调查或已被终止服务的第三方的记录？

且是否采取措施确保这些第三方日后不会被聘用或重新聘用？

如果第三方曾卷入不当行为的调查，尽职调查时或雇佣第三方后企业是否发现了这些危险信号，这些问题是如何解决的？

是否有类似的第三方由于合规问题而被暂停、终止服务或接受审计？

兼并和收购（并购）

尽职调查流程

在尽职调查期间是否发现了不当行为或潜在不当行为的风险？

谁负责对收购/合并实体进行风险审查？

风险审查是如何开展的？

并购尽职调查的流程是什么？

并购过程中的整合

合规职能是如何纳入兼并、收购和整合过程中的？

连接尽职调查与实施执行的流程

企业采用何种流程跟踪和纠正尽职调查过程中发现的不当行为或不当行为风险？

企业采用了何种流程以在新实体中实施合规政策和程序？

五、合规培训(对应GB/T35770-2017/ISO19600:20146.2)

基本要求：合规培训对应到岗位，合规培训对应到业务流程，合规培训对应到合作伙伴

13、企业合规培训管理

14、企业合作伙伴合规培训管理

●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求：

基于风险的培训

拥有相关控制职能的员工接受过哪些培训？

企业是否为高风险和控制岗位的员工提供了量身定制的培训，包括针对不当行为发生领域的风险的培训？

主管人员是否接受过其他或补充培训？

企业进行了什么样的分析来决定谁应该接受培训，培训的科目是什么？

培训形式/内容和有效性

培训的形式和语言是否适合听众？

提供在线培训，还是现场培训（或者两者都提供）？

企业选择培训方式的理由是什么？

培训是否涉及从以前的合规事件中吸取的经验教训？

企业如何评估培训的有效性？

是否对员工的所学知识进行了测试？

企业如何处理所有或部分测试不合格的员工？

指导的适用性

为员工提供了哪些有关合规政策指导的资源？

企业如何评估员工是否知道何时寻求建议，以及他们是否愿意这样做？

六、合规管理架构(对应GB/T35770-2017/ISO19600:2014 4.3、6.1)

基本要求：合规组织与职责对应到岗位

15、合规组织管理

15.1合规治理结构

15.2合规管理机构

15.3岗位合规职责：企业董监高、管理部门、合规部门、员工的各岗位职责描述中增加“合规职责”

16、企业合规管理员队伍建设

●对比美国司法部刑事局《企业合规方案(体系)有效性评价》要求：

（合规部门）自主权和资源

架构

合规职能设置在企业内部的哪个机构（例如，法律部门、下属某一业务功能、或向首席执行官和/或董事会汇报的独立职能部门）？

合规部门向谁报告工作？

合规部门是由指定的首席合规官负责，还是由企业内的另一位高管负责，此人在企业内是否有其他职责？

合规人员是否仅专注于合规职责，又或他们在企业内部是否有其他非合规业务的职责？

企业出于什么原因选择了现有的合规结构？

资历和地位

合规部门与企业其他战略部门在地位、薪酬水平、级别/头衔、汇报程序、资源和与关键决策者接触方面有何不同？

合规及相关控制部门 人员的流动率是多少？

合规在企业的战略和运营决策中扮演了什么样的角色？

在合规人员提出应关注的问题时，企业如何应对这些具体情况？

是否存在因为合规问题而被停止、整改或进一步审查的事务或交易？

经验和资质

合规和控制从业人员是否具有与其角色和职责相适应的经验和资质？

随着时间的推移，承担这些职责的人员的经验和资质水平是否发生了变化？

谁负责评审合规部门的绩效表现？评审流程是什么？

资金和资源

是否为合规人员配备了充足的人力，以进行有效的审计、记录、分析和合规工作的成果运用？

企业是否为此提供了充足的资金保障？

是否有过拒绝合规和控制部门的资源申请的情况？如有，则是基于什么原因？

自主权

合规和相关控制部门是否可直接向董事会和/或审计委员会的任何人汇报工作？

他们与董事们的会谈多久一次？

高级管理人员是否出席这些会议？

企业如何确保合规和控制人员的独立性？

外包的合规职能

企业是否将其全部或部分合规职能外包给了外部企业或顾问？

如果是，原因是什么，谁负责监督或联系外部企业或顾问？

外部企业或顾问对企业信息的访问权限级别是什么？

如何评估外包流程的有效性？