企业合规体系有效性评估160问

一、中国企业合规发展1.0阶段：行政引导下的“大合规”（一）企业合规管理具备防控风险的功能，合规管理理念来源于国外，而中国的合规建设始于银行、保险、证券等金融领域，行业性管理规范主要包括：•2006年10月27日银监会发布实施的《商业银行合规风险管理指引》（银监发〔2006〕76号）•2007年9月7日中国保监会发布实施的《保险公司合规管理指引》（保监发〔2007〕91号），该指引已废止，现行有效的是2017年7月1日起实施的《保险公司合规》•2008年7月证监会发布《证券公司合规管理试行规定（》证监会公告〔2008〕30号），该规定已废止，现行有效的是2017年10月1日起施行的《证券公司和证券投资基金管理公司合规管理办法》（二）随着中国企业实施“走出去”战略和参与“一带一路”倡议，企业经营发展顺应全球合规反腐趋势，在此背景下中央各部委合力推进企业合规建设，相继发布施行多项规定：•2017年12月29日国家质量检验检疫总局与中国化委员会共同发布国家标准《合规管理体系指南（GB/T35770-2017/IS019600:2014）》2018年11月2日国资委发布《中央企业合规管理指引（试行）》（国资发法规〔2018〕106号）2018年12月26日国家发改委等七部门联合发布《企业境外经营合规管理指引》（发改外资〔2018〕1916号）2018年12月28日上海国资委发布《上海市国资委监管企业合规管理指引（试行）》（沪国资委法规〔2018〕464号）（三）近几年发生的葛兰素史克商业贿赂等案件，特别是2018年发生的“美国制裁中兴通讯”合规事件，普及了中国企业的“合规”理念，催生了中国企业合规建设的框架，推动更多企业开始进行合规体系建设，强化合规管理。但由于中国法律规定中缺乏“合规激励机制”，即有效的企业合规体系可以让企业在发生合规事件中减轻或免除责任，使得目前中国企业的合规建设缺乏内驱力，即使建立起的企业合规体系也是形式大于实质，并非出于企业自身业务发展的需要。因此，中国企业的合规建设具有很强的外部性，整体合规建设水平仍处在行政引导下的“大合规”发展阶段。二、中国企业合规建设的演进：从形式合规到实质合规（一）企业合规建设的另一种价值：减轻或免除刑罚2017年雀巢公司六名员工侵犯公民个人信息罪一案［案号：（2017）甘01刑终89号］中，甘肃省兰州市中级人民法院只判罚雀巢公司员工，没有认定雀巢公司存在单位犯罪的行为。本案中，雀巢公司向法庭提供了《雀巢指示》《关于与保健系统关系的图文指引》以及雀巢（中国）有限公司情况说明等文件，证明雀巢公司从不允许员工以非法方式收集消费者个人信息，并且“对医务专业人员不得进行金钱、物质引诱”。对于这些规定要求，雀巢公司要求所有营养专员接受并签署承诺函。法院最终认为“雀巢公司政策、员工行为规范等证据证实，雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为，各上诉人违反公司管理规定，为提升个人业绩而实施犯罪为个人行为”。法院将雀巢公司所制定的各项合规政策及文件作为认定事实的基本依据，雀巢公司最终免予单位犯罪。（二）关于反商业贿赂的“合规激励机制”2018年1月1日起实施的《反不正当竞争法》第七条规定，经营者的工作人员进行贿赂的，应当认定为经营者的行为；但是，经营者有证据证明该工作人员的行为与为经营者谋取交易机会或者竞争优势无关的除外。以上条款可以被认为是中国法律中唯一包含“合规激励机制”的规定。而“有证据证明工作人员的行为与为经营者谋取交易机会或者竞争优势无关”一般是指，经营者已制定合法合规合理的措施，采取有效措施进行监管，不应放纵或变相放纵工作人员实行贿赂行为。即经营者如果建立了有效的反商业贿赂合规体系，可以进行“合规抗辩”而可能免责。为促进更多企业主动合规、实质合规，除《反不正当竞争法》外，需要在《反垄断法》《刑法》等法律中引入“合规激励机制”，明确企业的合规建设法定义务或者赋予其“合规抗辩权”。将企业是否建立和施行有效的合规管理体系作为决定是否继续调查、是否起诉、是否减免除法律责任的依据。唯有如此，才能增加企业合规建设的内驱力，推动中国企业的合规建设水平的尽快提升，让企业的合规从形式走向实质。三、企业合规有效性评估：《美国司法部企业合规体系评估指引》160问早在2004年，《美国联邦组织量刑指南》中就明确规定，企业建立有效合规管理体系可以为企业减轻刑事处罚。随后在《海外反腐败法》等司法实践中，美国不断强化刑事激励机制，推动企业内部控制和合规体系建设。2017年美国司法部首次发布《企业合规管理体系有效性评估指南》，2019年4月又发布了更新版，传达出美国司法部对企业合规体系越来越多的关注，并且更加关注企业合规体系设计是否完善、是否有效。2019年新版指南从企业合规体系的设计是否完善、实施是否有效、实际运行是否有效等三个方面进行评估，设置了12个评估主题，48个评估要素，包含160个评估问题。指南为企业进行有效的合规建设提供了明确指引，也为中国企业的合规建设提供了借鉴。通过回答指引中的160个问题，可以对自己企业合规体系的有效性进行初步评估，从而找准体系漏洞与薄弱环节，为企业下一步的合规建设明确路径和方向。评估问题清单分列如下：体系建设：合规体系的设计是否完善72问评估主题评估要素评估问题清单风险评估风险管理流程31•企业识别、分析和描述特定风险的方法是什么？2.企业收集和利用了哪些信息或指标，来帮助监测存在问题的不当行为类型？3.这些信息和指标如何体现在企业的合规体系中去？基于风险的资源分配24.企业是否在管控低风险领域安排了较多时间和资源，而在管控高风险领域（例如向第三方顾问进行可疑支付，可疑贸易活动，对分销商和经销商给予过度的折扣等）安排较少时间和资源；5.相对于日常接待和招待，企业对高风险交易（例如在高风险国家与政府机构签署大额合同等）是否进行了更为严格的审查？更新与修正36.风险评估制度是否现行有效并做定期更新？7.是否基于以往的经验教训对政策和程序进行更新？8.对政策和流程的更新，是基于发现的不当行为风险还是合规管理中存在的其他原因？政策和程序制定39.企业制定和实施新的合规政策和流程的程序是什么，该程序会经常更新吗？10.哪些人员可以参与制定新的政策和流程？11.新的合规政策和流程实施之前，是否征询业务部门的意见？全面性112.对那些反映及处理有关合规风险（包括法律和监管环境发生变化时）的合规政策和流程，企业做出哪些努力去监督执行？可及性213.企业如何向所有员工及相关第三方传达其政策和流程？14.如果企业有海外子企业，海外员工是否存在获取政策和流程的语言或其他障碍？业务职能整合315.哪些人员负责整合政策和流程？16•是否采取适当的方式去确保员工理解合规管理政策和制度？17.是否借助于企业的内控体系来强化合规管理的政策和流程？把关人318.企业对负责合规审查、认证的员工提供哪些有效的指导和培训？19•他们是否知道应当关注什么样的不当行为？20.他们是否知道何时以及如何上报问题？培训与沟通基于风险的培训421.企业控制职能部门的员工接受过哪些培训？22.企业是否为高风险和负有控制职能的员工提供针对性培训，包括针对不当行为发生领域的风险培训？23.是否向主管人员提供不同或者额外培训？24.企业做过哪些分析以确定培训对象和培训主题？培训的形式、和效果625.培训的形式和语言是否适合培训对象？26.培训采用网络还是现场方式（或者两者兼有），以及企业提供不同培训方式的理由是什么？27.培训是否对过去违规的案例进行分析？28.企业如何考核培训效果？29.是否测试员工对所学内容的掌握情况？30.企业如何处理没有通过培训测试的员工？不当行为的沟通231.高级管理人员如何让员工知晓企业对不当行为所持有的立场？32.当员工因未能遵守企业政策、程序和控制措施而被解雇或受到纪律惩罚时，通常会如何沟通（例如不具名描述导致员工受到纪律处分的不当行为）？提供指引233.在指导员工合规方面，企业提供了哪些资源？34.企业如何评估员工是否知晓何时寻求建议，以及如何评估他们的意愿？举报机制的有效性535.是否建立匿名举报机制，如果没有，请解释原因？36.如何向员工宣传举报机制？37.是否已经使用过举报机制？38.如何评估举报信息的严重性？39.合规部门是否完全有权获得举报和调查信息？由合格的人员进行适当调查440.如何确定哪些投诉或危险信号可以触发调查程序？41.如何确保调查范围是适当的？42.企业采取哪些措施来确保违规调查是独立的、客观的、适当的，并进行恰当的记录和归档？43.如何决定由谁负责合规调查，由谁作出这个决定？调查反馈244.是否设定调查期限，来确保企业的响应能力？45.是否监控调查结果，用程序来确保调查结论及建议的可靠性？资源和结果追踪346.是否为举报和调查机制提供充足的资金支持？47•如何收集、追踪、分析和使用举报信息？48.是否定期对举报或调查结果进行分析，以确定不当行为的模式或发现其他合规管理漏洞？基于风险与整合的流程249.企业的第三方管理流程，如何与企业所识别的风险性质和级别相适应？50.如何将该流程整合进相关的采购与供应商管理流程中去？适当的控制措施351.如何确定存在适当的商业理由来使用第三方？52.如果第三方涉及潜在的不当行为，那么使用这些第三方的商业理由是什么？53.目前已建立哪些机制来确保合同条款明确描述了将要履行的服务、支付条款是否适当、合同工作是否得到完成，以及报酬与提供的服务相匹配？关系管理654.对于第三方就防控合规风险做出的努力，企业如何确定报酬与激励机制？55.企业如何监督其第三方？56.企业是否拥有查阅分析第三方账簿及账目的审计权？57.企业过去是否行使过这些权利？58.企业如何对第三方管理人员进行合规风险培训，以及如何进行管理的？59.如何激励第三方的合规与道德行为？实际行为和后果660.第三方尽职调查发现的危险信号，企业是否进行追踪以及如何处理？61.对于没有通过企业尽职调查，或者被终止业务关系的第三方，企业是否保留记录？62.是否采取措施确保之后不再聘用或重新聘用这些第三方？63.如果第三方参与了被调查的不当行为，尽职调查时或聘用第三方后企业是否发现了这些危险信号？保密报告结构和调查程序第三方商业伙伴管理这些问题是如何解决的？是否曾因合规问题暂停或终止与这些第三方的合作或者对其进行审计?尽职调查流程4兼并与收购（并购）并购过程中的整合166.在尽职调查过程中是否发现了不当行为或者相关风险?67•对于被收购/兼并目标，由谁负责风险审查？如何开展风险审查？并购尽职调查的流程是什么？70.合规职能如何纳入进兼并、收购及整合流程?71•企业采取何种流程来跟踪和纠正在尽职调查过程中所发现的不当行为或相连接尽职调查关风险？与实施的流程272.企业采取何种流程向被并购企业贯彻实行合规政策程序?体系执行：合规体系是否有效实施47问评估主题评估要素评估问题清单高中级管理层的承诺咼层的行为573.高管如何通过言行鼓励或阻碍合规，包括调查中涉及的的不当行为？74.高管采取了哪些具体措施，以展示其在企业合规和整改措施方面的领导力？75.高管如何在下属面前树立合规典范？76.管理者是否为了开拓新业务或追求更多收益而容忍更大的合规风险？77.管理者是否鼓励员工为实现商业目标而做出不符合职业道德的行为,或者阻碍合规人员有效履行职责？信守承诺278.高层领导和中层管理的利益相关方（如业务和运营经理、财务、采购、法务、人力资源等）采取了哪些行为显示他们对合规和合规人员的承诺，包括他们对违规整改方面做出的努力？79.在竞争利益或商业目标面前，他们是否信守承诺？监督380.在董事会层面，有多少合规专家？81.董事会或外部审计是否曾与合规部门召开过高层会议或非公开会议？82.董事会和管理层对不当行为发生的业务领域实施监督时，审查过哪些类型的信息？自主权和资源组织架构583.企业内部的合规职能如何设置（如设在法务部，放在业务部门下或作为向首席执行官和/或董事会报告的一个独立职能部门）？84.合规部门向谁汇报工作？85.合规部门是由指定的首席合规官负责，还是由企业内部另一高管负责？此人在企业内是否还兼任其他职务？86.合规人员在企业内部是专职于合规管理,还是同时担任了其他非合规管理职责？87.企业出于什么原因选择目前的合规管理架构？资历和地位588.与企业内部其他战略管理部门相比，合规部门在地位、薪资水平、级别/职位、汇报线、资源以及与关键决策者沟通渠道方面的情况如何？89.合规部门和相关控制部门员工的离职率是多少？90.合规部门在企业战略和运营决策中扮演什么样的角色？91.合规部门提出问题时，企业如何应对这些具体情况？92.是否存在因合规问题而被停止、整改或者做进一步审查的交易或业务？经验和资质393.合规和内控人员是否具备其职责所要求的相关经验和资质？94.这些职位的经验和资质水平是否随着时间的推移调整？95.谁来负责考核合规职能部门的绩效表现，考核的程序是怎样的？资金和资源496.为实现合规管理目标，是否配备了足够的合规管理人员进行有效审查、记录、分析和采取行动？97.企业是否为此提供了足够的资金保障？98.是否发生过合规和控制职能部门的资源申请被拒绝批准的情况？99•如有，是基于什么原因？自主权4100.合规与相关控制职能部门是否可以直接向董事会或审计委员会进行工作汇报？101.他们与董事们的会谈频度如何？102.高级管理人员是否出席这些会议？103.企业如何确保合规和控制人员的独立性？外包合规管理职能4104.企业是否将其全部或部分的合规管理职能外包给外部企业或顾问机构？如果是，原因是什么？105.由谁负责监督或联络外部机构？106.外部机构对企业信息的访问权限如何？107.如何评估外包流程的有效性？奖惩措施人力资源流程6108.针对不同种类的不当行为，谁可以参与做出纪律处分决定？109.对于每项不当行为，是否遵循相同的流程？110.如果不是，原因是什么？111.是否将处分的实际理由告知员工？112•如果不是，原因是什么？113.是否会因法律或调查方面的原因而限制信息披露，或因其他不成文的原因来保护企业免受指控揭发或外部调查？持续适用2114.是否在整个组织中公平、一致地应用和实施奖惩措施？115.是否存在区别对待同类不当行为的情况？如果有，为什么？激励机制4116.是否考量过激励和奖励对合规工作的影响？117.如何激励合规及道德行为？118.是否发生过出于合规或伦理方面的考虑而采取惩处措施的情况（如取消晋升或奖金等）？119.由谁来决定合规人员的薪酬（包括奖金）、处罚和晋升事宜？3.体系有效：合规体系是否在有效运作41问评估主题评估要素评估问题清单持续改进、定期测试和审査调査不当行为任何相关不当行为的分析和补救内部合规审计8121.是基于什么理由制定该流程？122.如何开展审计工作？123.什么类型的审计能发现与不当行为相关的问题？124.是否进行过此类审计，结果如何？125.哪些种类的审计结果以及补救进展需要定期向管理层和董事会汇报？126.管理层和董事会如何跟进这一情况？127.内部审计对高风险领域多久进行一次评估？控制测试3128.在不当行为发生的相关领域，企业是否会审查其合规体系？129•一般而言，企业会进行哪些控制测试、合规数据的收集和分析，以及与员工和第三方的会谈？130.如何报告结果，对项目实施跟踪？持续更新3131.企业的风险评估、合规政策、流程和操作手册多久审查或更新一次？132.是否进行偏离分析，以确定在政策、控制或培训中是否存在未充分关注特定的风险领域？133.企业采取哪些方法来确保政策、流程和操作手册对特定业务部门/子企业具有实际意义？合规文化3134.对于企业的合规文化，每隔多久进行一次考评，以及如何考评？135.企业是否向各级员工征求意见，以确定其是否了解中高级管理层对合规的承诺？120.是否有用于确定内部审计部门在何处进行审计、进行多长时间审计的流程？136.企业考评合规文化采取了哪些方法?由合格人员在适当范围内调查1137.企业如何确保调查范围是适当的，且具有独立性、客观性，方式适当以及存档适当？138.企业是否通过调查来确定根本原因、系统漏洞以及责任缺失（包括在主管调查结果的应和高级管理层中）？用3139.应用调查结果的流程是什么？140.调查结果在企业中能够传达到多高层级？根本原因分析3141.企业对相关不当行为的根本原因分析是什么？142.是否发现了任何系统性问题？143.企业有哪些人参与了分析？144.哪些控制措施的作用是失灵的？146.这些政策和流程的主管部门是否已被问责？支付系统3147.存在问题的不当行为是如何获得资金的支持（例如采购订单、员工报销、折扣、小额现金）？148.哪些流程可以防止或监测到资金的不当使用？149.这些流程是否得到了改进？供应商管理1150.选择供应商的流程是什么，如果不当行为牵涉进供应商，选择该供应商是否经过此流程？历史性缺陷3145•政策或流程所禁止的不当行为，是否得到有效执行?是否有机会事先发现的不当行为，如审计报告指出的企业存在相关控制措早期迹象2施的失灵或指控、投诉或调查？企业对于错失发现相关问题的机会，事后是如何进行分析的？企业采取了哪些具体改进措施以确保相同或类似的问题不再发生？补救2154.对于在根本原因分析和错失机会分析中发现的问题，企业会采取哪些具体的补救措施？对于不当行为，企业采取了哪些纪律处分措施？这些处理措施是否及时？管理人员是否对其监督下发生的不当行为承担责任？问责制6企业是否考虑对其监督不力而采取纪律处分？企业对员工的纪律情况记录（例如纪律处分的次数和类型），与所涉不当行为类型有何关系？企业是否曾因员工的不当行为而解雇或以其他的方式对其进行处分（减少或取消奖金、发出警告信等）？