随着国内经济由高速增长向高质量发展的转变,以及国内外日益严格的市场监管环境,迫切需要构建合规管理体系,才能使企业长期健康发展。合规管理体系建设既符合国家发展政策,又能从法律法规、监管机构等多个维度应对合规问题,助力业务的长期发展和持续增长。从合规管理体系建设的关键路径出发,结合百度AI云-智慧金融的实践,阐述了企业合规管理主体建设的实现途径。
企业合规管理体系建设的必要性
在经济全球化背景下,企业面临着国内外日益严格的市场监管环境。企业在发展过程中,要从法律法规、监管政策、质量管理、环境管理、反商业贿赂、信息安全等多个维度规避和控制诸多风险,处理合规问题。越来越多的企业致力于通过建立合规管理体系,将合规融入到企业经营中,以帮助企业的长期发展和持续增长,创造竞争优势,确保企业合规经营。
从企业发展本身来看,合规管理体系为防范企业合规风险提供了系统化的合规管理框架;帮助企业规范合规管理流程,树立合规管理价值观,有效防范合规风险,减少违法行为发生,保障企业健康运营,提升企业商业信誉,树立良好社会形象[1]。
从企业的外部发展环境来看,合规管理体系可以帮助企业全面评估合规风险,有效规避企业的违规行为,促进企业的自我监督、自我报告、自我披露、自我整改,实现企业与违规员工的责任分离,降低企业风险。同时,有效的合规管理制度有利于企业和行政监管部门在合规风险发生后达成和解协议,或者与刑事司法机关达成暂缓起诉的协议,从而最大限度地减少利益相关者的损失。
企业合规管理体系建设的关键路径
ISO37301:2021《合规管理体系要求和使用指南》规定了组织建立、运行、保持和改进合规管理体系的要求,并提供了使用指南。适用于全球任何类型、规模、性质、行业的组织,为企业的合规管理提供更清晰的指导[2]。
下面介绍基于ISO37301标准的企业合规管理体系建设的关键路径和合规管理体系建设的经验。
1.建立合规管理组织。完成从管理层到基层员工的合规职责分配和授权,明确合规管理中各层级的职责。
(1)首先要明确企业的合规管理原则和合规行动承诺,根据合规行动承诺、合规义务和企业战略制定企业合规目标。
(2)明确合规管理组织和职责分工根据合规目标,企业的合规管理职责应覆盖全体员工,从治理组织、最高管理层、合规管理部门(通常包括法律部、风控管理部、运营管理部等。,可以根据企业的架构和功能定位来确定),到业务部门和员工,都需要有明确的合规角色和职责。
2.成立合规管理体系建设工作组。一般来说,仅靠正常的监管部门很难在短时间内建立起企业的合规管理体系,因此需要召集一批经验丰富的跨职能专业人员参与合规管理体系建设工作组。
合规管理体系建设一般由合规管理职能部门推动。合规管理体系建设工作组成立前,合规管理职能部门需要首先确定工作目标,根据目标筛选参与部门和工作组成员,明确成员的角色和职责。
3.宣传合规管理体系。合规管理体系宣传是在企业中普及合规文化的重要途径。通过宣传,让受众了解合规管理体系的重要性和必要性,明确违规成本,增强全体员工的合规意识。合规管理体系的宣传可以以专题的形式单独进行,也可以与公司文化相融合,统一宣传。
4.诊断合规管理的现状。进行企业合规管理体系建设,首先要明确目前的合规管理水平,存在哪些不足?只有充分了解这些信息,我们才能更有针对性地规划和设计合规管理体系。
合规管理状况的诊断可以通过问卷调查、访谈等形式进行。调查全体员工的合规意识,并以问卷方式推荐;了解重点业务的合规状况和合规管理情况,建议对业务管理层和业务骨干进行访谈。这种方式对面试问卷的设计要求很高,需要提前规划。
5.制定合规管理体系建设计划。根据法律法规、行业标准等外部要求和合规状况的诊断结果,制定合规管理体系建设计划,明确合规管理体系的目标、方针、总体规划、详细计划等内容。
在制定合规管理体系建设方案之前,要明确两个基本内容,一是企业的合规管理现状,二是合规管理体系的目标,并在此基础上,根据企业的特点和管理成熟度,制定出适用的建设方案。
合规管理体系建设方案确定后,如何实施也很重要。建议有详细的实施方案,成员分工明确,定期召开工作组会议,协商解决项目难点,及时预警项目风险;建立项目里程碑,定期对比进度,及时调整计划,确保项目目标实现。
6.梳理合规义务。梳理合规义务是合规管理体系建设的关键环节。只有明确合规义务,才能明确各职能部门要遵循的义务和规则。
确定合规义务是企业建立合规管理体系最基本的活动。企业应从外部监管要求和内部发展战略、产品和服务、业务领域等方面梳理和识别需要履行的合规义务。,并根据外部监管要求和企业合规承诺的变化及时做出调整。整理和识别的范围应涵盖企业的所有业务领域。对合规义务进行梳理后,将建议以清单形式保存并公示,方便相关方查询。信息化企业可以通过知识管理工具进行系统化管理,提高使用效率。
7.评估合规风险。合规风险覆盖企业运营的全场景,难以一一列举。要尽可能充分识别合规风险,然后进行分析评估,确定风险等级和处置优先级。
合规风险的识别、分析和评估是制定合规风险应对措施的前提。企业应当将合规义务与生产经营活动挂钩,通过业务流程梳理、历史经验、头脑风暴等方法,基于业务场景识别合规风险,输出风险清单,分析风险产生的原因、后果和可能性,确定合规风险处置机制,按要求有效处置和管理风险。合规风险是不断变化的,影响因素很多,必须定期审查和更新。
8.制定合规风险控制措施。结合风险评估结果并充分考虑成本效益原则,制定合规风险控制措施。
制定合规风险控制措施是实现合规政策、控制合规风险的关键步骤。企业应当根据合规风险的优先级,制定合规风险控制措施。实施控制措施前,应对其有效性进行评审,并在实施过程中落实责任部门和责任人。合规管理部门应定期检查控制措施的有效性和效率,评估合规风险控制措施的有效性。
9.优化合规流程。这里所说的合规流程不仅仅是指狭义的合规管理流程,而应该扩展到企业的所有业务和管理流程,通过流程优化建立系统化的合规控制手段。
它是过程控制措施的落地措施。在优化流程之前,需要建立和完善控制程序和运行机制,这是企业履行合规义务、控制合规风险的基础。然后将规章制度融入到业务操作流程中,落地执行,达到预期的合规目标。运营效果需要定期监测评估,可以通过流程管理系统、OA办公系统等系统工具进行管理,提高运营效率。
10.准备合规手册。合规管理手册是合规管理体系建设的代表性成果,是企业合规管理的纲领性文件。
合规管理手册和相关计划文件需要不断优化,以实现合规目标。要从企业的合规管理目标出发,化繁为简,提高体系的有效性。
1.合规管理体系的宣传和实施及培训。这一步至关重要。很多合规管理体系建设项目“虎头蛇尾”,忽视宣传和执行导致合规管理体系被束之高阁。在业务层面,结合业务场景形成合规指引,根据业务属性进行有针对性的强化培训。合规管理体系的建设不是建立在纸上和电脑上,而是建立在全体员工的头脑和意识中。
12.合规管理演练。开展合规管理演练是确保合规管理体系适用性和可用性的有效手段。合规管理体系要么通过制定一套文件,要么通过梳理流程来完成。有必要通过有计划的合规管理演练来确保合规管理体系是最新的和有效的。
演练可以是系统性的全场景演练,也可以是针对特殊场景的针对性演练。演练结束后,要及时恢复、分析和总结发现的问题,及时完善管理机制和控制手段,确保合规管理体系的有效性。
上述合规管理体系建设的路径只是企业合规管理体系初步建立的必要操作,还有很多操作需要不断推进,才能真正产生价值和效果。
企业合规管理体系建设经验分享
以百度AI云的智慧金融业务为例,分享企业合规管理体系建设的实践经验。
智能金融业务具有创新性、交叉性和综合性。既要符合传统的金融监管政策,又要符合互联网、大数据、云计算等领域的监管要求。它涉及不同领域的交叉监管,面临的监管形势越来越严峻复杂。
百度AICloud智慧金融业务已服务金融行业近500家客户,包括政策性银行、6家国有银行、10+家股份制商业银行、30+家保险机构、数百家区域性银行以及证券、资管等各类金融机构,覆盖营销、风控、运营等关键金融场景。近日,中国质量认证中心(CQC)为百度AI云颁发了首张ISO37301合规管理体系认证,标志着百度AI云智慧金融业务的合规管理能力达到国际水准,充分展示了其在该关键能力上的行业领先地位。
结合百度AI云的实践经验,分享以下三个保证合规管理的关键点。
1.公司合规义务的确定
企业在确定自己的合规义务时,会从两个方向进行梳理。首先,它将从企业的业务流程出发,识别其产品R&D流程、销售流程、交付流程、财务管理流程、人力资源流程等。,并明确各流程需要遵守的主要法律法规、监管规定、行业规则、产品标准等内容,从而形成企业的合规义务清单。第二,从企业应遵守的合规要求入手,包括但不限于反贿赂、反洗钱、反垄断、数据与网络安全、环境保护、知识产权、劳动就业等。,并将合规要求分析总结为企业需要承担的合规义务。将合规义务进行拆解,与企业管理制度和业务流程建立对应关系,实现合规义务的落实,有效降低企业合规风险。
2.合规管理流程的构建
合规流程的构建和优化是根据APQC制定的流程分类框架进行的。比如R&D根据R&D的类型分为独立R&D、委托R&D、合作R&D和集权R&D;然后根据R&D的实现流程,将R&D细分为市场分析、技术可行性分析、项目评估、项目组成立、需求分析、项目任务书制定、验收标准制定、项目实施、单元测试、系统测试、验收测试等。每个操作步骤都是一个小的业务流程。在此基础上,得出标准化操作规程(SOP)。SOP包括合规风险和操作风险的控制。
3.合规风险评估
合规性评价采用风险矩阵的风险评价方法,从风险影响后果和风险发生可能性两个维度进行。在风险评估之后,获得风险值R。根据R值和风险类型,构建公司合规风险分布图。同时,对风险的紧急程度进行排序,结合公司合规目标和业务需求优化资源投入,优先解决高风险风险。比如合规风险课程,分为监管风险、法律风险、安全风险、刑事合规风险等。根据类型,将识别出的风险信息和评估结果汇总到每个风险类型下,利用风险类型和评估结果可以构建并输出风险分布图;可以利用风险信息和风险评估结果对风险进行排序,再结合对现有控制措施和剩余风险的分析,确定需要优先解决的暴露风险,从而提高资源使用效率。
随着2022年《中央企业合规管理办法》(征求意见稿)的发布,国企合规管理正在有序深入开展,这意味着全面依法治国的战略部署逐步落实。百度AI云将继续探索和完善合规管理体系建设,不断提升依法合规管理水平。我们呼吁各企业结合自身条件,不断提升合规管理能力,充分发挥合规管理“固本、稳预期、利长远”的护航作用,筑牢合规底线,依法合规经营,打造高质量的合规管理体系运营实践,真正把合规管理作为企业持续健康发展的基石。
