企业合规体系有效性评估160问

1、企业合规体系有效性评估 160问、中国企业合规发展 1.0阶段：政引导下的 “合规 ”（）企业合规管理具备防控风险的功能，合规管理理念来源于国外，中国的合规建设始于银、保险、证券等融领域，业性管理规范主要包括：2006年1027银监会发布实施的商业银合规风险管理指引（银监发200676号）2007年97中国保监会发布实施的保险公司合规管理指引（保监发200791号），该指引已废，现有效的是2017年71起实施的保险公司合规管理办法2008年7证监会发布证券公司合规管理试规定（证监会公告200830号），该规定已废，现有效的是2017年101起施的证券公司和证券投资基管理公司合规管理办法（）随着

2、中国企业实施“出去”战略和参与“带路”倡议，企业经营发展顺应全球合规反腐趋势，在此背景下中央各部委合推进企业合规建设，相继发布施多项规定：2017年1229国家质量检验检疫总局与中国标准化委员会共同发布国家标准合规管理体系指南（GB/T 35770-2017/ISO 19600:2014）2018年112国资委发布中央企业合规管理指引（试）（国资发法规2018106号）2018年1226国家发改委等七部门联合发布企业境外经营合规管理指引（发改外资20181916号）2018年1228上海国资委发布上海市国资委监管企业合规管理指引（试）（沪国资委法规2018464号）（三）近年发的葛兰素史克商业

3、贿赂等案件，特别是2018年发的“美国制裁中兴通讯”合规事件，普及了中国企业的“合规”理念，催了中国企业合规建设的制度框架，推动更多企业开始进合规体系建设，强化合规管理。但由于中国法律规定中缺乏“合规激励机制”，即有效的企业合规体系可以让企业在发合规事件中减轻或免除责任，使得前中国企业的合规建设缺乏内驱，即使建起的企业合规体系也是形式于实质，并出于企业业务发展的需要。因此，中国企业的合规建设具有很强的外部性，整体合规建设平仍处在政引导下的“合规”发展阶段。、中国企业合规建设的演进：从形式合规到实质合规（）企业合规建设的另种价值：减轻或免除刑罚2017年雀巢公司六名员侵犯公民个信息罪案案号：（2

4、017）01刑终89号中，肃省兰州市中级民法院只判罚雀巢公司员，没有认定雀巢公司存在单位犯罪的为。本案中，雀巢公司向法庭提供了雀巢指关于与保健系统关系的图指引以及雀巢（中国）有限公司情况说明等件，证明雀巢公司从不允许员以法式收集消费者个信息，并且“对医务专业员不得进钱、物质引诱”。对于这些规定要求，雀巢公司要求所有营养专员接受培训并签署承诺函。法院最终认为“雀巢公司政策、员为规范等证据证实，雀巢公司禁员从事侵犯公民个信息的违法犯罪为，各上诉违反公司管理规定，为提升个业绩实施犯罪为个为”。法院将雀巢公司所制定的各项合规政策及件作为认定事实的基本依据，雀巢公司最终免予单位犯罪。（）关于反商业贿赂的

5、 “合规激励机制 ”2018年11起实施的反不正当竞争法第七条规定，经营者的作员进贿赂的，应当认定为经营者的为；但是，经营者有证据证明该作员的为与为经营者谋取交易机会或者竞争优势关的除外。以上条款可以被认为是中国法律中唯包含“合规激励机制”的规定。“有证据证明作员的为与为经营者谋取交易机会或者竞争优势关”般是指，经营者已制定合法合规合理的措施，采取有效措施进监管，不应放纵或变相放纵作员实贿赂为。即经营者如果建了有效的反商业贿赂合规体系，可以进“合规抗辩”可能免责。为促进更多企业主动合规、实质合规，除反不正当竞争法外，需要在反垄断法刑法等法律中引“合规激励机制”，明确企业的合规建设法定义务或者赋

6、予其“合规抗辩权”。将企业是否建和施有效的合规管理体系作为决定是否继续调查、是否起诉、是否减免除法律责任的依据。唯有如此，才能增加企业合规建设的内驱，推动中国企业的合规建设平的尽快提升，让企业的合规从形式向实质。三、企业合规有效性评估：美国司法部企业合规体系评估指引 160问早在2004年，美国联邦组织量刑指南中就明确规定，企业建有效合规管理体系可以为企业减轻刑事处罚。随后在海外反腐败法等司法实践中，美国不断强化刑事激励机制，推动企业内部控制和合规体系建设。2017年美国司法部次发布企业合规管理体系有效性评估指南，2019年4发布了更新版，传达出美国司法部对企业合规体系越来越多的关注，并且更加

7、关注企业合规体系设计是否完善、是否有效。2019年新版指南从企业合规体系的设计是否完善、实施是否有效、实际运是否有效等三个进评估，设置了12个评估主题，48个评估要素，包含160个评估问题。指南为企业进有效的合规建设提供了明确指引，也为中国企业的合规建设提供了借鉴。通过回答指引中的160个问题，可以对企业合规体系的有效性进初步评估，从找准体系漏洞与薄弱环节，为企业下步的合规建设明确路径和向。评估问题清单分列如下：1.体系建设：合规体系的设计是否完善 72问评估主题评估要素 评估问题清单1.企业识别、分析和描述特定风险的法是什么？风险管理流程3 2.企业收集和利了哪些信息或指标，来帮助监测存在问

8、题的不当为类型？3.这些信息和指标如何体现在企业的合规体系中去？4.企业是否在管控低风险领域安排了较多时间和资源，在管控风险领域（例如向风险评估基于风险的资源分配2第三顾问进可疑付，可疑贸易活动，对分销商和经销商给予过度的折扣等）安排较少时间和资源；5.相对于常接待和招待，企业对风险交易（例如在风险国家与政府机构签署额合同等）是否进了更为严格的审查？6.风险评估制度是否现有效并做定期更新？更新与修正37.是否基于以往的经验教训对政策和程序进更新？8.对政策和流程的更新，是基于发现的不当为风险还是合规管理中存在的其他原因？9.企业制定和实施新的合规政策和流程的程序是什么，该程序会经常更新吗？制定

9、3 10.哪些员可以参与制定新的政策和流程？11.新的合规政策和流程实施之前，是否征询业务部门的意见？11.新的合规政策和流程实施之前，是否征询业务部门的意见？全性112.对那些反映及处理有关合规风险（包括法律和监管环境发变化时）的合规政策和流程，企业做出哪些努去监督执？政策和程序可及性213.企业如何向所有员及相关第三传达其政策和流程？14.如果企业有海外企业，海外员是否存在获取政策和流程的语或其他障碍？15.哪些员负责整合政策和流程？业务职能整合3 16.是否采取适当的式去确保员理解合规管理政策和制度？17.是否借助于企业的内控体系来强化合规管理的政策和流程？18.企业对负责合规审查、认证

10、的员提供哪些有效的指导和培训？把关3 19.他们是否知道应当关注什么样的不当为？20.他们是否知道何时以及如何上报问题？21.企业控制职能部门的员接受过哪些培训？22.企业是否为风险和负有控制职能的员提供针对性培训，包括针对不当为发基于风险的培训4 领域的风险培训？23.是否向主管员提供不同或者额外培训？24.企业做过哪些分析以确定培训对象和培训主题？25.培训的形式和语是否适合培训对象？26.培训采络还是现场式（或者两者兼有），以及企业提供不同培训式的理由培训与沟通培训的形式、内容和效果6是什么？27.培训是否对过去违规的案例进分析？28.企业如何考核培训效果？29.是否测试员对所学内容的掌

11、握情况？30.企业如何处理没有通过培训测试的员？31.级管理员如何让员知晓企业对不当为所持有的场？不当为的沟通2 32.当员因未能遵守企业政策、程序和控制措施被解雇或受到纪律惩罚时，通常会如何沟通（例如不具名描述导致员受到纪律处分的不当为）？提供指引233.在指导员合规，企业提供了哪些资源？34.企业如何评估员是否知晓何时寻求建议，以及如何评估他们的意愿？35.是否建匿名举报机制，如果没有，请解释原因？举报机制的有效性536.如何向员宣传举报机制？37.是否已经使过举报机制？38.如何评估举报信息的严重性？39.合规部门是否完全有权获得举报和调查信息？40.如何确定哪些投诉或危险信号可以触发调

12、查程序？保密报告结构和调查程序由合格的员进适当调查4调查反馈241.如何确保调查范围是适当的？42.企业采取哪些措施来确保违规调查是独的、客观的、适当的，并进恰当的记录和归档？43.如何决定由谁负责合规调查，由谁作出这个决定？44.是否设定调查期限，来确保企业的响应能？45.是否监控调查结果，程序来确保调查结论及建议的可靠性？46.是否为举报和调查机制提供充的资持？资源和结果追踪3 47.如何收集、追踪、分析和使举报信息？48.是否定期对举报或调查结果进分析，以确定不当为的模式或发现其他合规管理漏洞？基于风险与整合 49.企业的第三管理流程，如何与企业所识别的风险性质和级别相适应？ 50.如何

13、将该流程整合进相关的采购与供应商管理流程中去？的流程251.如何确定存在适当的商业理由来使第三？适当的控制措施352.如果第三涉及潜在的不当为，那么使这些第三的商业理由是什么？53.前已建哪些机制来确保合同条款明确描述了将要履的服务、付条款是否适当、合同作是否得到完成，以及报酬与提供的服务相匹配？54.对于第三就防控合规风险做出的努，企业如何确定报酬与激励机制？55.企业如何监督其第三？第三商业伙56.企业是否拥有查阅分析第三账簿及账的审计权？关系管理6 57.企业过去是否使过这些权利？伴管理 58.企业如何对第三管理员进合规风险培训，以及如何进管理的？59.如何激励第三的合规与道德为？60.

14、第三尽职调查发现的危险信号，企业是否进追踪以及如何处理？61.对于没有通过企业尽职调查，或者被终业务关系的第三，企业是否保留记录？62.是否采取措施确保之后不再聘或重新聘这些第三？实际为和后果6 63.如果第三参与了被调查的不当为，尽职调查时或聘第三后企业是否发现了这些危险信号？64.这些问题是如何解决的？65.是否曾因合规问题暂停或终与这些第三的合作或者对其进审计？66.在尽职调查过程中是否发现了不当为或者相关风险？兼并与收购（并购）尽职调查流程4并购过程中的整合1连接尽职调查与实施的流程267.对于被收购/兼并标，由谁负责风险审查？68.如何开展风险审查？69.并购尽职调查的流程是什么？7

15、0.合规职能如何纳进兼并、收购及整合流程？71.企业采取何种流程来跟踪和纠正在尽职调查过程中所发现的不当为或相关风险？72.企业采取何种流程向被并购企业贯彻实合规政策程序？2.体系执：合规体系是否有效实施 47问评估主题评估要素 评估问题清单73.管如何通过励或阻碍合规，包括调查中涉及的的不当为？74.管采取了哪些具体措施，以展其在企业合规和整改措施的领导？层的为575.管如何在下属前树合规典范？76.管理者是否为了开拓新业务或追求更多收益容忍更的合规风险？77.管理者是否励员为实现商业标做出不符合职业道德的为，或者阻碍合规中级 员有效履职责？管理层 78.层领导和中层管理的利益相关（如业务和

16、运营经理、财务、采购、法务、的承诺信守承诺2资源等）采取了哪些为显他们对合规和合规员的承诺，包括他们对违规整改做出的努？79.在竞争利益或商业标前，他们是否信守承诺？80.在董事会层，有多少合规专家？监督3 81.董事会或外部审计是否曾与合规部门召开过层会议或公开会议？82.董事会和管理层对不当为发的业务领域实施监督时，审查过哪些类型的信息？83.企业内部的合规职能如何设置（如设在法务部，放在业务部门下或作为向席执官和/或董事会报告的个独职能部门）？84.合规部门向谁汇报作？组织架构5 85.合规部门是由指定的席合规官负责，还是由企业内部另管负责？此在企业内是否还兼任其他职务？86.合规员在企

17、业内部是专职于合规管理，还是同时担任了其他合规管理职责？87.企业出于什么原因选择前的合规管理架构？88.与企业内部其他战略管理部门相，合规部门在地位、薪资平、级别/职位、汇报线、资源以及与关键决策者沟通渠道的情况如何？资历和地位589.合规部门和相关控制部门员的离职率是多少？90.合规部门在企业战略和运营决策中扮演什么样的？91.合规部门提出问题时，企业如何应对这些具体情况？92.是否存在因合规问题被停、整改或者做进步审查的交易或业务？93.合规和内控员是否具备其职责所要求的相关经验和资质？主权和资源经验和资质394.这些职位的经验和资质平是否随着时间的推移调整？95.谁来负责考核合规职能部

18、门的绩效表现，考核的程序是怎样的？96.为实现合规管理标，是否配备了够的合规管理员进有效审查、记录、分析和采取动？资和资源4 97.企业是否为此提供了够的资保障？98.是否发过合规和控制职能部门的资源申请被拒绝批准的情况？99.如有，是基于什么原因？100.合规与相关控制职能部门是否可以直接向董事会或审计委员会进作汇报？主权4101.他们与董事们的会谈频度如何？102.级管理员是否出席这些会议？103.企业如何确保合规和控制员的独性？104.企业是否将其全部或部分的合规管理职能外包给外部企业或顾问机构？如果是，外包合规管理职能4原因是什么？105.由谁负责监督或联络外部机构？106.外部机构对

19、企业信息的访问权限如何？107.如何评估外包流程的有效性？108.针对不同种类的不当为，谁可以参与做出纪律处分决定？109.对于每项不当为，是否遵循相同的流程？110.如果不是，原因是什么？资源流程6 111.是否将处分的实际理由告知员？112.如果不是，原因是什么？113.是否会因法律或调查的原因限制信息披露，或因其他不成的原因来保护奖惩措 企业免受指控揭发或外部调查？施持续适2114.是否在整个组织中公平、致地应和实施奖惩措施？115.是否存在区别对待同类不当为的情况？如果有，为什么？116.是否考量过激励和奖励对合规作的影响？117.如何激励合规及道德为？激励机制4 118.是否发过出于

20、合规或伦理的考虑采取惩处措施的情况（如取消晋升或奖等）？119.由谁来决定合规员的薪酬（包括奖）、处罚和晋升事宜？3.体系有效：合规体系是否在有效运作 41问评估主题评估要素 评估问题清单120.是否有于确定内部审计部门在何处进审计、进多长时间审计的流程？121.是基于什么理由制定该流程？122.如何开展审计作？内部合规审计8123.什么类型的审计能发现与不当为相关的问题？124.是否进过此类审计，结果如何？125.哪些种类的审计结果以及补救进展需要定期向管理层和董事会汇报？126.管理层和董事会如何跟进这情况？127.内部审计对风险领域多久进次评估？持续改 128.在不当为发的相关领域，企业

21、是否会审查其合规体系？进、定期测试控制测试3129.般，企业会进哪些控制测试、合规数据的收集和分析，以及与员和第三的会谈？和审查130.如何报告结果，对项实施跟踪？131.企业的风险评估、合规政策、流程和操作册多久审查或更新次？132.是否进偏离分析，以确定在政策、控制或培训中是否存在未充分关注特定的风持续更新3 险领域？133.企业采取哪些法来确保政策、流程和操作册对特定业务部门/企业具有实际意义？134.对于企业的合规化，每隔多久进次考评，以及如何考评？134.对于企业的合规化，每隔多久进次考评，以及如何考评？合规化3 135.企业是否向各级员征求意见，以确定其是否了解中级管理层对合规的承诺？136.企业考评合规化采取了哪些法？由合格员在适 137.企业如何确保调查范围是适当的，且具有独性、客观性，式适当以及存档适当范围内调查1 当