企业建立合规管理体系之我见（李勇:中小企业合规管理体系有效性评价团体标准的理解与适用）

作者：李勇，江苏省南京市人民检察院法律政策研究室主任、全国检察业务专家，下面我们就来聊聊关于企业建立合规管理体系之我见?接下来我们就一起去了解一下吧!

企业建立合规管理体系之我见

作者：李勇，江苏省南京市人民检察院法律政策研究室主任、全国检察业务专家。

来源：微信公号“人民检察杂志”，原文载《人民检察》2022年第15期。转载时注释省略，引用请查原刊。

摘要

企业合规的本质内涵是改造企业的治理结构、重塑企业的合规文化，这一本质内涵可以具体化为各种要素，进而形成规律性的共性指标。《中小企业合规管理体系有效性评价》是国内首部关于中小企业合规管理体系有效性评价的团体标准。在理解和运用过程中，需要把握评价标准与建设标准、技术指标与文化指标、正文与附件、中型企业与小微企业、评价方法与评价标准等五组关系，并准确评价机构设置和职责配置、合规风险识别、合规风险应对、持续改进、合规文化建设等具体指标。

文件链接

国内首部企业合规评价团体标准（全文）

企业合规计划具有很强的专业性和技术性，且存在一些共性、规律性指标，需要一定的标准指引。中国中小企业协会于2022年5月23日发布了《中小企业合规管理体系有效性评价》团体标准（以下简称“《有效性评价》团体标准”），这是国内首部关于中小企业合规管理体系有效性评价的团体标准。笔者拟结合参与起草的经验与体会，针对该标准的理解及运用，谈谈个人看法。

一、准确把握五组关系

（一）评价标准与建设标准的关系

《有效性评价》团体标准是评价一个企业的合规管理体系是否专业、科学和有效的标准，本质上是一个有效性评价标准，而非建设标准。换言之，该标准的适用范围为：一是中小微企业对其合规管理体系的有效性进行自我评价；二是行业协会、认证机构等对中小微企业已经建设的合规管理体系的有效性进行评价；三是执法机关、司法机关、第三方监管组织对涉案企业建立的合规计划是否有效进行评估。在征求意见过程中，有专家提出，应当更加详细地规定合规计划的要素。经研究认为，该标准并非用来指引一个企业如何设计和建设合规计划，而是用来指引相关机构、组织评价企业合规计划是否有效运行。尽管评价标准在客观上能够起到以评促建的作用，即通过评价标准来引导和促进企业合规管理体系建设，且《有效性评价》团体标准起草过程中也参考了国际标准化组织发布的《合规管理体系要求及使用指南》（ISO 37301∶2021），但其与建设标准本身依然是有差别的。就设计和建设合规管理体系来说，可以参照《合规管理体系要求及使用指南》（ISO 37301∶2021）。

（二）技术指标与文化指标的关系

《有效性评价》团体标准在引言部分指出，其目的是规范中小企业合规管理体系有效性评价活动，引导和促进其合规管理体系建设，提升合规管理能力，识别和防范合规风险，建设合规文化。这里既强调了合规管理体系的技术指标，也强调了建设合规文化。《有效性评价》团体标准第6章、第7章、第8章侧重技术指标，第9章专门规定了文化指标，呈现前后递进关系。这种递进关系的原理在于，技术指标是基础，在技术指标的基础上才能逐步形成合规文化。第6章、第7章、第8章具体内容包括机构设置和职责配置、合规风险识别、合规风险应对和持续改进，同时在对这些技术指标的具体阐述中多次强调了文化指标。如第6章关于合规管理部门或合规专员职责的规定中包括开展合规培训、弘扬合规文化，在第8章关于举报机制的规定中也强调培育合规文化。

在使用《有效性评价》团体标准过程中，既要看企业的合规计划是否满足基本的技术指标，更要看是否形成合规文化。从某种意义上来说，合规文化才是合规计划有效性的终极标准，原因在于技术指标容易对照勾选，流于形式。因此，有质疑声称，企业利用合规计划“粉饰门面”，仅仅是为了制造合规承诺的表象，只是为了给企业带来减刑的机会，这是“纸面计划”，企业只是将政策和程序落在纸上，但不将其嵌入到实际操作中。作为回应，并且认识到诚信的价值，当前对企业合规计划评价的趋势是期望合规计划考虑组织文化，以利于执法人员寻找公司“合规态度”的证据。

（三）正文与附件的关系

《有效性评价》团体标准分为正文和附件，二者同等重要。正文侧重于对评价指标的解释和说明，附件侧重于评价指标的运用。《有效性评价》团体标准的第6章、第7章、第8章、第9章规定了评价的技术指标和文化指标，与这些指标相对应的三个附件以表格形式将评价指标按照中、小、微三种企业类型进行详细列举，其中第6章对应的是附件A，第7章、第8章对应的是附件B，第9章对应的是附件C。从篇幅上看，第6章、第7章、第8章、第9章共计3400余字，而三个附件多达4900余字。从实践运用的角度来说，附件中的三张表格更为重要。

在使用过程中，可以将表格中的指标对照正文进行理解，同时可以根据实际情况对表格中的指标进行赋分，采取量化计分的方法进行评估。在起草过程中，有意见提出，应当在表格中列出每项指标的分值以及加分项。经研究认为，合规计划的评估与合规计划的设计、建设都是“最佳实践”，评价标准不能过于公式化和机械化。每一家公司的风险概况和降低其风险的解决方案都需要详细而具体的评估。因此，我们对每一种情况都作出了合理的、个性化的决定。考虑各种因素，包括但不限于公司规模、行业、地理位置、监管环境和其他可能影响公司合规计划的内外部因素。文件所列举的示例主题和问题既不是清单也不是固定公式。《有效性评价》团体标准作为一种通用指标，不宜设定分值，有些企业也不一定适合采取量化计分的方式进行评估。实践中，相关组织或机构可以根据企业的具体情况决定是否采取量化计分以及如何进行量化计分。

（四）中型企业与小微企业的关系

理论界对于大型企业开展合规计划没有争议，但是对于小微企业甚至中型企业能否开展合规计划一直存在争议。

有观点认为，合规不起诉制度应尽量适用于大型企业，对中小微企业应当慎重适用。理由是国外的暂缓起诉协议制度几乎都适用于上市公司或者大型企业集团，这些企业中有包含股东会、董事会、监事会等在内的完整且有效运行的现代公司治理结构，具备建立合规治理体系的基础条件，并且能够有效运行。只有在大型企业中，企业合规才能焕发生命力，发挥出制度优势和整改效果。

甚至有观点认为，对于中小微企业而言，与其承受合规所需的时间、精力、金钱成本以及能否获得从宽处理的不确定性，还不如另行注册企业重新经营。

但是，我国的中小微企业被形象地比喻为中国经济的“毛细血管”，在促进经济增长、扩大就业、提升市场活力方面发挥着重要作用。同时，由于中小微企业并不具有完备的公司治理结构和现代化管理模式，与大型企业相比，往往也更容易陷入合规风险，这就决定了中小微企业也需要被纳入企业合规改革的范围。从涉案企业合规改革试点的情况来看，中小微企业确实成为试点工作的主力军。事实上，《合规管理体系要求及使用指南》（ISO37301∶2021）也并未对企业大小和规模作出限制，而是适用于所有类型和规模的组织。

对于不同规模的企业，合规的基本要素和基本评价指标是相通的，但是其具体表现形态是不同的。如，无论企业规模大小，领导作用都是合规的必备要素，对于大中型企业而言，可以成立合规委员会，设立首席合规官，下设合规部；对于小微企业而言，未必要成立合规委员会和首席合规官，但是可以设立合规专员。《合规管理体系要求及使用指南》（ISO 37301∶2021）指出，并非所有组织，特别是小型组织，都将拥有一个独立于最高管理人员的理事机构。

《有效性评价》团体标准充分考虑了中小微企业的特点，特别是区分了中型企业与小微企业评价指标的差异。如，第6章关于设置合规管理机构的规定中要求，中型企业一般应设合规管理部门，小微企业应配备至少一名合规专员；附件B表格对中型、小微企业的风险识别要求进行了分别列举，其中，中型企业的相关评价指标包括“具备识别与其业务活动、产品和服务相关的强制性义务的方法或举措”，而小微企业满足“有人员或部门识别与其业务活动、产品和服务相关的重要强制性义务”即可。

（五）评价方法与评价标准的关系

评价标准与评价方法同等重要。即便有了评价标准，如果采取流于纸面的查台账、查档案等方法评估企业是否满足标准，也是没有意义的，必须有实质性的评估方法，避免形式主义。《有效性评价》团体标准第5章规定了评价方法、内容和流程。合规管理体系有效性评价可以根据评价内容和指标的具体情况，采用文件审阅、问卷调查、访谈调研、飞行检查、穿行测试、感知测试、模拟运行等评价方法。

笔者认为，评价合规计划有效性的基本方法是坚持从技术指标到文化指标层层递进，这个基本方法应当贯穿于评估验收人员思维过程的始终。《有效性评价》团体标准列举的评价方法具有侧重点。

（1）文件审阅是常规方法，侧重于合规有效性的技术指标，主要通过调阅企业的档案、文件、财务资料等进行，这是评估验收的基础性工作。

（2）问卷调查是了解企业管理人员及员工对合规的态度、习惯以及有无形成一种文化氛围的有效手段。运用该方法的关键在于设计合理且有针对性的调查问卷，调查问卷的问题设计应遵循从技术指标到文化指标逐步递进的原则。

（3）访谈调研与问卷调查在功能上具有相似性，都是了解企业管理人员及员工对合规的态度、习惯以及有无形成一种文化氛围的有效手段。使用该方法时，一方面，应设计专业性的访谈提纲。实践中，有些人误以为访谈就是调查走访，就是找员工随意谈话，实则不然。企业合规监管中的访谈对技术性要求很高，必须设计专业性的访谈提纲。另一方面，访谈原则上应当个别进行，而非采取座谈会的形式，目的是防止相互干扰，影响访谈内容的客观性和真实性。此外，应采取随机、匿名的方式进行访谈，以防止外界因素干扰。

（4）飞行检查是跟踪检查的一种形式，指事先不通知被检查部门而开展的现场检查。飞行检查作为一种突击性检查，具有秘密性、突击性、迅速性和检查内容不确定性等特点，有利于强化企业的自律和自觉意识，是检测企业合规计划是否真正实施、是否融入企业员工的内心、是否潜入经营的各个方面和环节，以及是否成为一种企业文化的重要手段。飞行检查与问卷、访谈等方法相结合，能够兼顾合规计划有效性的技术指标和文化指标。

（5）穿行测试原本多运用于财务审计领域，用于追踪交易在财务报告信息系统中的处理过程，是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。在企业合规有效性评估中，穿行测试是指在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现合规内控流程的缺陷。

（6）感知测试是评价人员通过感知测试体验合规管理运行过程和效果，感知即意识对内外界信息的觉察、感觉、注意和知觉等一系列过程，可以分为感觉过程和知觉过程，是检测企业合规文化氛围指标的重要方式。

（7）模拟运行即模拟场景测试，如在抽查投标项目中，监管人员模拟另一家投标公司的人员身份，在投标报价前的“敏感期”，打电话邀约该公司负责该项目的人员出来吃饭，测试其态度。

上述方法可以结合企业的实际情况进行选择或组合使用。实践中，可以先通过文件审阅、飞行检查等方法评估作为企业合规管理体系基本要素的技术指标是否具备，这是基础性条件。在具备技术指标的基础上，进一步通过穿行测试、问卷调查、访谈调研、模拟运行等方法评估其合规计划有无真正实施并融入企业文化，成为员工的行动自觉，成为一种态度、习惯和氛围。

二、各项评价指标的理解与运用

（一）机构设置和职责配置

在企业管理中，人的因素至关重要。领导层、高级管理层对合规计划的支持和绝对承诺是合规计划真正建立和有效实施的关键保障，在中国，被形象地称为“一把手工程”。如果员工看到“一把手”对合规采取消极应付的态度，他们就会默认这个合规计划其实就是用来“应付检查”的，合规计划便不可能真正发挥效用。根据《有效性评价》团体标准第6章关于合规领导机构的设置，有董事会的企业设合规管理委员会，没有董事会的企业设合规领导小组。关于合规管理第一责任人的确定，法定代表人或实际控制人是企业合规的第一责任人，并作为合规管理委员会或合规领导小组的成员。这里的第一责任人通常被称为首席合规官（中小微企业可以是合规专员），应当有一定的地位并保持独立性，首席合规官能够直达公司管理层，可以直接向公司最高管理者汇报。

有效合规计划的创建和执行需要一个精干团队的持续努力，需要付出一定的资源和成本。根据《有效性评价》团体标准第6章，中型企业一般应设合规管理部门，小微企业应配备至少一名合规专员，合规专员应由具备合规管理资质或相关专业能力的人员担任，可以聘请兼职的企业合规师或者律师等。关于合规专员是专设还是兼理的问题，从理论上来说，为了保证合规管理的权威性和独立性，合规官包括首席合规官、合规部门人员、合规专员应当是专职的，不能既从事本公司相关业务活动又监督本公司的业务活动，这无异于“既当运动员又当裁判员”。但是对于小微企业来说，一律要求设置专职的合规专员也存在困难。实践中，根据企业的实际情况，在特定条件下合规专员也可以是兼职人员，但兼职人员的本职工作与合规工作不能存在利益冲突，避免“既当运动员又当裁判员”是底线要求。全国工商联与最高人民检察院等联合发布的《涉案企业合规建设、评估和审查办法（试行）》第7条第2款规定，合规管理机构或管理人员可以专设或者兼理，合规管理的职责必须明确、具体、可考核。合规管理机构或管理人员可以兼理是考虑到有的小微企业难以找到专职的合规人员，但是这里的“兼理”应当理解为由没有利益冲突的人员兼理。

此外还应注意，合规部门（团队）负责合规管理体系的运行，其职能不同于传统法务部门，主要包括：促进识别合规义务；记录对合规风险的评估；使合规管理体系与合规目标保持一致；监视和测量合规绩效；分析和评估合规管理体系的绩效，以决定是否需要采取纠正措施；建立合规报告和记录制度；确保按计划的时间间隔对合规管理体系进行评审；建立提出疑虑以及确保疑虑得到解决的机制；监督履行已识别的合规义务的职责在整个组织内得到有效分配；监督合规义务纳入方针、过程和程序；监督所有相关人员按要求接受培训；监督建立合规绩效指标；向相关人员提供与合规方针、过程和程序有关的资源；就合规相关事宜向组织提供建议。

（二）合规风险识别

风险识别是建立和设计合规计划最为重要、最为基础的环节。风险识别不深入、不精准，就不可能建立起符合“最佳实践”要求的合规计划。

首先，梳理和辨别合规义务。《有效性评价》团体标准第7章第1节规定，合规义务的梳理和辨别是合规风险识别的基础。梳理合规义务的过程也是识别组织环境的过程，也就是对企业所处的法律、监管环境予以识别和梳理。这些环境既涉及法律法规、监管要求、行业准则、良好实践、道德标准，又涉及组织自行制定或公开声明遵守的各类规则。合规风险或者说合规义务的识别，不单是刑事义务，对于合规计划的建构来说，刑事合规这个术语具有误导性。企业建立合规计划，不能仅识别刑事犯罪风险，而不顾行政违法风险甚至行业规章风险。行政违法和刑事犯罪是一纸之隔，有时只关乎数额差异。如果建立合规计划只为预防犯罪，对行政违法和行业标准不管不问，无疑会把企业推向风险的“火山口”。所以国际标准化组织发布的《合规管理体系要求与使用指南》（ISO 37301∶2021）中的组织环境识别包括法律法规、行业规则、行业标准、商业伦理等各个方面。

其次，建立合规义务识别的常态化机制。由于企业所处的组织环境会不断变化和更新，因此风险识别也需要持续更新，这就要求企业建立一套合规义务识别的常态化工作机制，以适应这样的动态变化。从这个意义上说，企业合规是一个动态系统。根据《有效性评价》团体标准第7章，合规义务识别机制包括能够识别与企业业务活动、产品和服务相关的自愿性义务和强制性义务的机构、方法、制度和流程。合规义务识别机制的实施，包括配备人员、规定方法、落实制度、实施流程、形成识别合规义务的文件化信息。合规义务识别机制的实施保障，包括领导支持、人力资源、预算、必备物项工具、开展培训与交流等。合规义务识别机制的实施效果，包括识别出重要合规义务、合规风险，并将这些合规义务与业务活动、产品和服务相关联，确保识别合规义务的机制与管理措施更新相结合。

最后，进行风险分级。企业应当对识别到的风险按照严重程度和发生可能性进行分级。合规的资源是有限的，应合理配置资源，优先解决严重且发生可能性大的风险。按照严重程度可以将风险分为不重要的、次要的、重要的、灾难性、毁灭性；按照发生可能性，可以将风险分为几乎没有、不太可能、有可能、极有可能、几乎确定。企业应建立风险评估分级机制，且有相应的人员、方法、制度确保风险分级的准确，确定合规风险等级和优先管理顺序，并将这些排序、分级的合规风险与业务活动、产品和服务相关联，确保合规风险评估和分级与管理措施更新相结合。

（三）合规风险应对

合规风险应对是指企业建立对监测到的风险以及已经出现的风险作出反应的体系，包括企业根据合规风险评估和分级结果，设置合规风险应对责任人、应对措施、应对流程的机制，记录与沟通机制，监督与检查机制，以及针对突发合规事件的应对预案。企业应有相应的机制、措施保障风险应对体系的响应和实施。实践中，评估风险应对体系时应重点关注以下方面：

（1）调查不当行为。一是企业是否快速响应，设定合理的调查期限，并实时跟踪调查进度，确保调查结果的可靠性；二是企业是否组织合格的人员在适当范围内进行独立、客观的调查，并作相应记录和归档；三是企业是否定期对举报内容和调查结果进行监控、分析，查处相关责任人，排查合规系统漏洞，完善合规管理制度。对于违法违规行为，合规管理机构可独立展开调查，也可以经董事会批准后委托其他机构调查，并向最高决策层汇报，同时提出解决方案。

（2）奖励与惩戒。一是企业是否对部门及员工进行考核，并将考核结果作为晋升、薪资待遇等重要依据；二是企业是否基于考核结果建立奖惩机制，对合规经营、防范合规风险、避免企业遭受损失的部门或员工给予激励，对隐瞒合规风险、违法违规的部门或员工给予惩处；三是企业实施奖惩机制在内部是否得到公正执行，不因职务高低而有所区别对待。

（3）分析与纠正。一是企业是否对重大合规事件的发生原因进行周密分析，制定整改方案；二是企业是否针对重大合规事件果断采取适当的纠正措施，如补救挽损、缴纳罚款、赔偿被害人等，并修订合规计划，以避免此类不当行为的再次发生；三是企业是否对责任人进行查处问责，涉及违法犯罪行为时，将其移送执法或司法机关，并配合调查。具体而言，经调查认为存在违法行为或者事实时，合规管理机构应及时向最高决策层报告，并建议向执法或者司法机关披露。合规管理机构应与调查机关进行充分合作，合作方式包括主动承认违法事实、提供相应证据或者证人、接受制裁、赔偿损失、恢复原状等。

（四）持续改进

有效合规计划的标志之一在于企业对合规计划的改进和发展，应当与时俱进，根据其违规事件的教训而对合规计划进行修订；采取合理措施，以便确保遵守组织的合规和道德程序，包括监控和审计，以发现犯罪行为，以及定期评估合规计划实施的有效性。企业合规计划是一个动态系统，风险是动态变化的，风险应对措施也必须持续改进，以确保合规管理体系的动态持续有效。持续改进的目标是确保合规管理体系的适宜性、充分性和有效性。

《有效性评价》团体标准第8章规定了持续改进机制的评价要素，包括制定合规整改措施和违规问责制度，指定人员跟踪和评估合规风险的变化，持续调整或更新管控措施，具备相关机制以对管控措施与合规管理目标的偏离进行原因分析，采取相应措施确保合规管理与企业的实际情况相适应。除此之外，还包括持续改进机制的实施、保障和效果。持续改进机制的实施保障，包括领导支持、人力资源、预算、必备物项工具，开展合规培训与交流，关注并培育合规文化等方面。持续改进机制的实施效果，包括具体不合规行为得到整改，违规事件责任人被问责，相同或类似的不合规事件得到有效防范、尽早发现或避免，系统性漏洞或责任缺失得到补救，公司员工及利益相关方认可企业在合规管理改善方面的尝试和努力。

（五）合规文化建设

合规文化是企业合规计划有效性的根本性标准。根据《有效性评价》团体标准第9章，合规文化建设的有效性评价应以各个层级、各领域员工所具备的合规知识、合规意识、合规信念和合规行为为基本标准。主要负责人和管理层的合规承诺与表率作用对合规文化的形成及提升具有重要作用。各层级员工都作出合规承诺，并对其合规职责进行绩效考核。合规文化的形成，包括对不合规行为的反应、行为习惯的改变、顾客或者客户对其合规形象的印象。从理论上对上述内容进行概括就是态度、习惯、氛围三个层层递进的维度，先有承诺合规的态度，才能逐步改变行为习惯，最后形成人人合规的文化氛围。

针对态度，要评估验收涉案企业有无合规态度，评估企业全体人员是否对合规经营保持积极正面的态度，树立起“做正确的事”的态度。

针对习惯，要评估验收涉案企业有无养成合规习惯，评估企业是否通过相应的一系列合规技术措施，促使合规计划转化为企业员工的行为习惯，主要内容包括但不限于：企业合规计划实施后，从管理层到员工，以往不规范的行为习惯是否得到改观；企业是否通过场景测试，考察员工有无坚守合规承诺，并分析测试结果，形成文件化信息。

针对氛围，要评估验收涉案企业是否营造合规氛围，评估企业是否形成依法合规、守法经营的价值观，营造人人合规的文化氛围。企业采取何种方式努力营造合规光荣、不合规可耻的氛围；企业员工是否对合规达成共识、相互感染，使合规成为一种美德信念在企业内传播和流行。

实践中，一些地方在合规考察中发现企业出现不当、违法犯罪行为时，便会一票否决合规计划的有效性，这种做法有待商榷。合规计划运行的PDCA循环（质量管理的四个阶段，即计划、执行、检查、处理）就是要发现问题并不断持续改进，合规计划的基本要素是风险监测和应对体系，通过合规计划发现不当、违法犯罪行为并迅速作出应对，是合规计划有效运行的应有之义。从不报告异常情况的合规不是好合规。因此，不能认为只要合规考察期间企业发生违法犯罪行为合规计划就一定无效，而应看企业是如何发现违法犯罪行为的，以及发现之后是如何行动的。如果是通过合规计划发现违法犯罪行为并迅速作出了合理反应，恰恰说明合规计划有效；如果违法犯罪行为的发生并非通过合规计划发现，而是由外部执法机关发现，合规计划没有作出适当的反应，甚至企业试图隐瞒，便可以认为合规计划无效。

来源：《人民检察》、悄悄法律人公众号

,