企业合规管理评估刍议

企业合规管理评估刍议⽂|郭青红汇业律师事务所合伙⼈企业合规管理评估是企业合规组织（主要是企业治理机构和企业合规管理部门）对企业合规管理体系的适当性、有效性和充分性，进⾏⾃我审查、评价、监督和持续改进。⼀、企业合规管理评估与企业合规审计（⼀）相同点企业合规管理评估与企业合规审计有诸多相同的地⽅，也容易被混淆。1、内容基本相同2、⽅法基本相同3、⽬的基本相同都是为了及时发现合规管理体系运⾏过程中存在的问题和不⾜，并进⾏整改和持续改进，确保企业合规管理体系持续的适⽤性、充分性和有效性。（⼆）不同点企业合规管理评估与合规审计不同。1、负责部门不同2、性质不同⼆、合规管理评估之称谓合规管理评估在英⽂中称为“ComplianceManagementReview”，或者“ComplianceAssessment”。我国国家标准ISO19600《合规管理体系指南》在第8.3条将其翻译为合规管理评审。《亚太经合组织⾼效率公司合规项⽬基本要素》称之为定期评估和测试（PeriodicReviewandTesting），并将其作为企业合规管理⼗⼀⼤基本要素之⼀。巴塞尔银⾏监管委员会《合规与银⾏内部合规部门》、我国《中央企业合规管理指引（试⾏）》、《企业境外经营合规管理指引》、《商业银⾏合规风险管理指引》、《保险公司合规管理办法》以及《证券公司和证券投资基⾦管理公司合规管理办法》称之为管理评估。我们倾向于后⼀种称谓，即“合规管理评估”，以更能反映其⽬的和内容，并使之更容易与“合规审查”、“合规审计”等相区别。三、合规管理评估之机构（⼀）合规管理评估机构梳理从有关企业合规管理的国际组织标准、指引以及我国国家标准、指引和办法，合规管理评估机构包括：

梳理从有关企业合规管理的国际组织标准、指引以及我国国家标准、指引和办法，合规管理评估机构包括：1、合规管理部门巴塞尔银⾏监管委员会《合规与银⾏内部合规部门》第39条规定，合规部门应该评估银⾏各项合规程序和指引的适当性，⽴即深⼊调查任何已识别的缺陷，如有必要，系统地提出修改建议。我国保监会《商业银⾏合规管理办法》第⼗⼋条第（五）款规定，合规管理部门评估合规管理程序和合规指南的适当性，为员⼯恰当执⾏法律、规则和准则提供指导。2、合规委员会我国《中央企业经营合规管理指引（试⾏）》第⼋条规定，中央企业设⽴合规委员会，与企业法治建设领导⼩组或风险控制委员会等合署，承担合规管理的组织领导和统筹协调⼯作，定期召开会议，研究决定合规管理⼤事项或提出意见建议，指导、监督和评价合规管理⼯作。我国《企业境外经营合规管理指引》也有类似的规定。3、⾼管理⼈员世界银⾏集团《诚信合规指南摘要》第3条规定，⾼管⼈员应⽤系统的⽅法监督合规计划，定期检查合规计划在预防、发现、调查和应对各种不当⾏为⽅⾯的适⽤性、充分性和有效性。巴塞尔银⾏监管委员会《合规与银⾏内部合规部门》在“定期评估与测试”这⼀合规管理基本要素中规定，企业⾼级管理⼈员应监督合规管理项⽬，定期评估项⽬的适⽤性、充分性和有效性，并实施适当的改进措施。国际标准暨我国国家标准ISO19600《企业合规管理指南》第8.3条规定，最⾼管理者宜按计划定期评审组织的合规管理体系,以确保其持续的适⽤性、充分性和有效性。4、董事会我国证监委《证券公司和证券投资基⾦管理公司合规管理办法》第七条规定，“证券基⾦经营机构董事会决定本公司的合规管理⽬标，对合规管理的有效性承担责任，履⾏下列合规管理职责：……（六）评估合规管理有效性，督促解决合规管理中存在的问题。”（⼆）合规管理评估⼩组1、合规管理评估具有很强的专业性。合规管理评估机构宜组建合规管理评估⼩组开展合规管理评估。中国证券业协会2012年2⽉12⽇《证券公司合规管理有效性评估指引》第五条就规定，证券公司开展合规管理有效性评估，应当由董事会、监事会或董事会授权管理层组织评估⼩组或委托外部专业机构进⾏。2、宜由企业合规负责⼈担任合规管理评估⼩组组长，并由合规管理部门、相关职能部门（如内控、审计、财务等）以及外聘的专业中介机构（如外部律师）等委派⼈员共同组成合规管理评估⼩组。四、合规管理评估之内容合规管理评估在于评估合规管理的适当性、充分性和有效性。（⼀）评估合规管理的适当性和有效性评估合规管理的适当性和有效性，其内容与合规审计中审计合规管理的适当性和有效性趋同，笔者在上篇《合规审计怎么做？》中已经详细阐述，此处不再赘述。（⼆）合规管理的充分性

（⼆）合规管理的充分性充分性即英⽂中的“adequacy”。合规管理的充分性是合规管理“全⾯性”原则的基本要求，即企业合规管理应覆盖企业各业务领域、各部门、各级⼦企业和分⽀机构、全体员⼯，贯穿决策、执⾏、监督全流程，并体现于决策机制、内部控制、业务流程等各个⽅⾯。企业合规管理的充分性要求：1、向合规管理配置充分的资源，包括充分的⼈⼒、物⼒、财⼒、技术⽀持和保障；2、配备充分的合规管理⼈员，并为其履⾏合规管理职责提供充分条件；3、保障合规管理⼈员履职所需充分的⾃主权、知情权和调查权；4、合规管理部门与合规管理⼈员应与其他职能管理部门和业务部门充分沟通协调；5、应确保企业全体员⼯充分了解和理解企业的合规⽅针、合规承诺即合规要求；6、⿎励和⽀持充分和坦诚报告的⽂化；7、对违规举报⼈给予充分的保护；8、⽴全⾯、充分、有效的违规问责机制。五、合规管理评估须考虑的因素按照国际标准暨我国国家标准ISO19600《企业合规管理指南》第8.3条，合规管理评估宜考⼏个⽅⾯：1、以前管理评估措施的状态；2、合规⽅针的充分性；3、合规⽬标实现的程度；4、资源的充分性；5、与合规管理体系相关的内外部问题的变化；6、合规绩效信息，包括以下各项体现的趋势：（1）不合格、纠正措施和解决的时间表；（2）监视和测量的结果；（3）与相关⽅的沟通，包括投诉；审核的结果。7、持续改进的机会。六、合规管理评估之程序按照国际标准暨我国国家标准ISO19600《企业合规管理指南》第8.3条，参考中国证券业协会《证券公司合规管理有效性评估指引》，合规管理⼀般包括五个阶段，即评估准备、评估实施、评估报告、后续整改以及考核评价与问责。（⼀）评估准备合规管理评估准备包括：1、成⽴⼩组，进⾏职责分⼯，并对⼩组成员开展必要的培训。

企业须确保评估⼩组具备独⽴开展合规管理评估的权⼒，确保评估⼩组成员具备相应的胜任能⼒。2、制定评估实施⽅案，明确评估⽬的、范围、内容、分⼯、进程和要求，制作评估底稿等评估⼯作⽂件。（⼆）评估实施合规管理评估实施包括以下⼏个⽅⾯：1、各部门⾃评合规管理评估⼩组组织各部门（评估对象）开展合规⾃评，由各部门如实填写评估底稿，提交评估相关材料。2、收集内外部资料，明确评估重点合规管理评估⼩组收集评估期内外部监管检查意见、审计报告、合规报告、投诉、举报、媒体报道等资料，明确评估重点。3、复核各部门⾃评底稿，进⾏合规管理评估评估⼩组对各部门⾃评底稿进⾏复核，并采取合规管理评估⽅法，针对评估期内发⽣的合规风险事项开展重点评估，查找合规管理缺陷，分析问题产⽣原因，提出整改建议。4、复核评估⼩组应当在评估⼯作结束前，与被评估部门就合规管理有效性评估的内容和结果进⾏必要沟通，就评估发现的问题进⾏核实。被评估部门应积极配合，并及时反馈意见。（三）合规管理评估报告1、起草合规管理评估报告合规管理评估部门开展合规管理评估，应起草合规管理评估报告，⾄少应包括：评估依据、评估范围和对象、评估程序和⽅法、评估内容、发现的问题及改进建议、前次评估中发现问题的整改情况等。合规管理评估报告总的改进建议宜包括以下⽅⾯：（1）合规⽅针以及与它相关的⽬标、体系、构和⼈员所需的改不合规的区域；（4）与不合规变；（2）合规过程的改变以确保与运⾏实践和体系有效整合；（3）需监视的未来潜在相关的纠正措施；（5）当前合规体系和长期持续改进的⽬标之间的差距和缺陷；（6）认可组织内的⽰范性合规⾏为。2、按企业内部规定程序，履⾏报批程序。（四）后续整改1、制定整改⽅案合规管理评估报告经批准后，对于合规管理评估发现的问题，合规管理评估⼩组或者企业相关权⼒机构要求的其他部门应制定整改⽅案，明确整改责任部门、整改内容、整改⽬标和时间表。2、监督与报告合规管理部门应当对评估发现问题的整改情况进⾏持续关注和跟踪，指导并监督相关部门全⾯、及时完成整改。整改责任部门应当及时向公司管理层报告整改进展情况。（五）考核评价与问责1、考核评价

1、考核评价企业应当将合规管理评估结果纳⼊企业管理层、合规管理部门、各业务部门和分⽀机构及其⼯作⼈员的绩效考核范围。2、问责对合规管理有效性评估中新发现的违法、违规⾏为，企业应当及时对责任⼈采取问责措施。对在合规管理有效性评估过程中出现拒绝、阻碍和隐瞒的，企业应当采取相应的问责措施。七、合规管理评估⽅法参考中国证券业协会《证券公司合规管理有效性评估指引》，合规管理评估的⽅法包括采取访谈、⽂本审阅、问卷调查、知识测试、抽样分析、穿⾏测试、系统及数据测试等。（⼀）关于抽样分析评估⼩组可以根据合规管理评估所关注的重点，对业务与管理事项进⾏抽样分析，按照业务发⽣频率、重要性及合规风的⾼低，从确定的抽样总体中抽取⼀⽐例的样本，并对样本的符合性做出判断。（⼆）关于穿⾏测试评估⼩组可以对具体业务处理流程开展穿⾏测试，检查与其相关的原始⽂件，并根据⽂件上的业务处理踪迹，追踪流程，对相关管理制度与操作流程的实际运⾏情况进⾏验证。（三）关于系统及数据测试评估⼩组可以对涉及企业业务进⾏系统及数据测试，重点检查相关业务系统中权限、参数设置的合规性，并调取相关业务数据，将其与相应的业务凭证或其他⼯作记录相⽐对，以验证相关业务是否按规则运⾏。⼋、合规管理评估之分类合规管理评估可以不同⾓度进⾏分类。（⼀）全⾯合规管理评估与专项合规管理评估按照中国证券业协会《证券公司合规管理有效性评估指引》，从合规管理评估的范围和内容上分析，可以划分为全⾯合规管理评估与专项合规管理评估。1、全⾯合规管理评估全⾯合规管理评估是对企业整个合规管理体系进⾏评估，是以合规风险为导向，合规管理评估覆盖合规管理各环节，重点关注可能影响合规⽬标实现的关键业务及管理活动，客观揭⽰合规管理状况。2、专项合规管理评估专项合规管理评估是针对某⼀具体部门，某⼀业务领域，或者某⼀重⼤或反复出现的合规风险和违规问题，进⾏专门的合规管理评估。（⼆）定期评估、临时评估和反复评估按照合规管理的频率，可以划分为定期评估、临时评估和反复评估。1、定期评估

1、定期评估我国证监委《证券公司和证券投资基⾦管理公司合规管理办法》第三⼗⼀条规定，证券基⾦经营机构应当组织内部有关机构和部门或者委托具有专业资质的外部专业机构对公司合规管理的有效性进⾏评估，及时解决合规管理中存在的问题。对合规管理有效性的全⾯评估，每年不得少于1次。委托具有专业资质的外部专业机构进⾏的全⾯评估，每3年⾄少进⾏1次。企业可以根据⾃⼰业务规模、⾏业特点、合规风险情况、⾏业监管要求等，确定本企业合规管理评估的频率。以下合规管理评估的频率值得参考：（1）全⾯合规管理评估：企业建⽴合规管理体系后的前三年，宜每年⼀次；以后每两年⼀次；（2）专项合规管理评估：企业可以选择针各职能管理部门和业务管理部门，轮流进⾏专项合规管理评估，每年评估⼀⾄两个部门。2、临时评估对某⼀突发合规风险事件，或者按照治理机构的⽰，或者依照⾃我决定，合规管理评估机构可以进⾏临时合规管理评估。3、反复评估对⼤或反复出现的合规风险和违规问题，宜进⾏再评估和多次评估。（三）级别评估按照