近日,广州市国资委制定并印发了《广州市市属国有企业合规管理办法》(以下简称《办法》)。《办法》包括总则、组织机构和职责、制度保障、运行机制、合规文化、信息化建设、监督问责和附则,共计8章47条。《办法》的制定对推动广州市市属国有企业全面加强合规管理,切实防控风险,护航高质量发展有重要意义。
广州市市属国有企业合规管理办法
第一章 总则
第一条 为深入贯彻习近平法治思想,深化法治国企建设,推动市属国有企业全面加强合规管理,切实防控风险,护航高质量发展,根据《中华人民共和国公司法》《中华人民共和国企业国有资产法》《中央企业合规管理办法》等有关法律法规,制定本办法。
第二条 本办法适用于市国资委履行出资人职责的市属国有企业(下称企业)。
第三条 本办法所称合规,是指企业经营管理行为和员工履职行为,符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。
本办法所称合规风险,是指企业及其员工在经营管理过程中,因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。
本办法所称合规管理,是指企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等管理活动。
第四条 市国资委负责指导、监督企业合规管理工作,对合规管理体系建设情况及其有效性进行考核评价,依据相关规定对违规行为开展责任追究,把合规管理工作纳入企业法治建设考核评价内容。
第五条 企业合规管理工作应当遵循以下原则:
(一)坚持党的领导。充分发挥企业党委领导作用,落实全面依法治国战略部署有关要求,把党的领导贯穿合规管理全过程。
(二)坚持全面覆盖。将合规要求嵌入经营管理各领域各环节,贯穿决策、执行、监督全过程,落实到各部门、各单位和全体员工,实现多方联动、上下贯通。
(三)坚持权责清晰。按照“管业务必须管合规”要求,明确业务及职能部门、合规管理部门和监督部门职责,严格落实员工合规责任,对违规行为严肃问责。
(四)坚持务实高效。建立健全符合企业实际的合规管理体系,强化企业主要负责人合规管理责任,突出对重点领域、关键环节和重要人员的管理,充分利用大数据等信息化手段,切实提高管理效能。
第六条 企业应当在机构、人员、经费、技术等方面为合规管理工作提供必要条件,保障相关工作有序开展。
第二章 组织机构和职责
第七条 企业党委发挥把方向、管大局、保落实的领导作用,主要履行以下职责:
(一)全面领导、统筹推进合规管理工作;
(二)推动科学立规、严格执规、自觉守规、严惩违规;
(三)研究首席合规官人选;
(四)对董事会、经理层、高级管理人员的合规经营管理情况进行监督;
(五)对合规管理相关的重大事项研究提出意见;
(六)按照权限研究或决定对有关事项的违规追责和容错免责处理。
企业应当严格遵守党内法规制度,企业党建工作机构在企业党委领导下,按照有关规定履行相应职责,推动相关党内法规制度有效贯彻落实。
第八条 企业董事会发挥定战略、作决策、防风险作用,主要履行以下职责:
(一)审议批准合规管理基本制度、体系建设方案和年度报告等;
(二)研究决定合规管理重大事项;
(三)推动完善合规管理体系并对其有效性进行评价;
(四)决定合规管理部门设置及职责;
(五)按照权限决定有关事项的违规追责和容错免责处理;
(六)法律法规或章程规定的其他合规管理职责。
第九条 企业经理层发挥谋经营、抓落实、强管理作用,主要履行以下职责:
(一)拟订合规管理体系建设方案,经董事会批准后组织实施,建立健全合规管理组织架构;
(二)拟订合规管理基本制度,批准年度计划等,组织制定合规管理具体制度;
(三)组织应对重大合规风险事件;
(四)明确合规管理流程,确保合规要求融入业务领域;
(五)指导监督各部门和所属企业合规管理工作;
(六)及时制止并采取措施纠正不合规的经营行为,按照权限对违规人员进行责任追究或提出处理建议;
(七)章程或者经董事会授权的其他合规管理职责。
第十条 企业主要负责人作为推进法治建设第一责任人,应当切实履行依法合规经营管理重要组织者、推动者和实践者的职责,把合规管理工作作为谋划部署企业法治建设工作的重要内容,对重要工作亲自部署、重大问题亲自过问、重点环节亲自协调、重要任务亲自督办,推进合规管理各项工作有效落实。
第十一条 企业设立合规委员会,原则上应与法治建设领导机构等合署办公,统筹协调合规管理工作,定期召开会议,研究解决合规管理重点难点问题、重大事项或提出意见建议,指导、监督和检查合规管理工作。
第十二条 企业应当结合实际设立首席合规官,不新增领导岗位和职数,由总法律顾问或者分管法务工作的领导兼任,对企业主要负责人负责,领导合规管理部门组织开展相关工作,指导所属企业加强合规管理。主要履行以下职责:
(一)组织制订合规管理战略规划;
(二)参与企业重大决策,并对企业规章制度、经济合同、重大决策、战略合作协议等提出合规意见;
(三)领导合规管理部门开展工作;
(四)向董事会和董事长、总经理汇报合规管理重大事项;
(五)组织起草企业合规管理年度报告;
(六)章程或董事会确定的其他合规管理职责。
第十三条 企业业务及职能部门承担合规管理主体责任,主要履行以下职责:
(一)建立健全本部门业务合规管理制度和流程,开展合规风险识别评估和隐患排查,编制风险清单和应对预案;
(二)定期梳理重点岗位合规风险,将合规要求纳入岗位职责;
(三)负责本部门经营管理行为的合规审查;
(四)及时报告合规风险,组织或者配合开展应对处置;
(五)组织或者配合开展违规问题调查和整改。
企业应当在业务及职能部门设置合规管理员,由业务骨干担任,接受合规管理部门业务指导和培训,负责本部门合规管理工作具体实施。
第十四条 企业合规管理部门牵头负责本企业合规管理工作,主要履行以下职责:
(一)组织起草合规管理基本制度、具体制度、年度计划和工作报告,编印合规手册;
(二)负责规章制度、经济合同、重大决策合规审查;
(三)组织开展合规风险识别、预警和应对处置,根据董事会授权开展合规管理体系有效性评价;
(四)受理职责范围内的违规举报,提出分类处置意见,组织或者参与对违规行为的调查;
(五)组织或者协助业务及职能部门开展合规培训,受理合规咨询,推进合规管理信息化建设;
(六)加强合规宣传,培育合规文化,指导各部门和所属企业合规管理工作;
(七)章程或董事会确定的其他合规职责。
企业未单独设置合规管理部门的,由法律事务机构或其他承担法律事务的机构作为合规管理部门。企业应当配备与经营规模、业务范围、风险水平相适应的专职合规管理人员,加强业务培训,提升专业化水平。
第十五条 企业纪检监察机构和审计、监督追责等部门依据有关规定,在职权范围内对合规要求落实情况进行监督,对违规行为进行调查,按照规定开展责任追究。
第三章 制度保障
第十六条 企业应当建立健全合规管理制度,根据适用范围、效力层级等,构建分级分类的合规管理制度体系。
第十七条 企业应当制定合规管理基本制度,明确总体目标、机构职责、运行机制、考核评价、监督问责等内容。
第十八条 企业应当针对反商业贿赂、生态环保、招标采购、劳动用工、投资融资、安全生产、税务管理、数据保护、反垄断等重点领域,以及合规风险较高的业务,依法依规制定合规管理具体制度或者专项指南。
第十九条 有涉外业务的企业,应当强化海外贸易、投资、经营行为的合规管理:
(一)深入研究相关国际规则,掌握投资所在国家和地区的法律法规、文化宗教、商业习惯等,全面掌握禁止性规定等合规要求,根据所在国家(地区)法律法规等,结合实际制定专项合规管理制度;
(二)健全海外合规贸易、投资、经营的制度、体系、流程,重视开展项目的合规论证和尽职调查,依法加强对境外机构的管控,规范经营管理行为。
(三)定期排查梳理海外贸易、投资、经营活动的风险状况,重点关注重大决策、重大合同、大额资金管控和境外子企业公司治理等方面存在的合规风险,妥善处理、及时报告,防止扩大蔓延。
第二十条 企业应当根据法律法规、监管政策等变化情况,及时对规章制度进行修订完善,将外部有关合规要求转化为内部规章制度,对执行落实情况进行检查。
第四章 运行机制
第二十一条 企业应当建立合规风险识别评估预警机制,全面系统梳理经营管理活动中的合规风险,建立并定期更新合规风险数据库,对风险发生的可能性、影响程度、潜在后果等进行分析,对典型性、普遍性或者可能产生严重后果的风险及时预警。
第二十二条 企业应当将合规审查作为必经程序嵌入经营管理流程,将合规审查作为规章制度制定、重大事项决策、重要合同签订、重大项目运营、大额采购和销售、大额资金管理等经营管理行为的必经程序,未经合规审查不得实施。重大决策事项的合规审查意见应当由首席合规官签字,对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限完善审查标准、流程、重点等,定期对审查情况开展后评估。
第二十三条 企业发生合规风险,相关业务及职能部门应当及时采取应对措施,并按照规定向合规管理部门报告。
企业因违规行为引发重大法律纠纷案件、重大行政处罚、刑事案件,或者被国际组织制裁等重大合规风险事件,造成或者可能造成企业重大资产损失或者严重不良影响的,应当由首席合规官牵头,合规管理部门统筹协调,相关部门协同配合,及时采取措施妥善应对。
企业发生重大合规风险事件,应当按照相关规定及时向市国资委报告。
第二十四条 企业应当建立违规问题整改机制,通过健全规章制度、优化业务流程等,堵塞管理漏洞,提升依法合规经营管理水平。
第二十五条 企业应当设立违规举报平台,公布举报电话、邮箱或者信箱,相关部门按照职责权限受理违规举报,并就举报问题进行调查和处理,对造成资产损失或者严重不良后果的,移交责任追究部门;对涉嫌违纪违法的,按照规定移交纪检监察等相关部门或者机构。
企业应当对举报人的身份和举报事项严格保密,对举报属实的举报人可以给予适当奖励。任何单位和个人不得以任何形式对举报人进行打击报复。
第二十六条 企业应当完善违规行为追责问责机制,明确责任范围,细化问责标准,针对问题和线索及时开展调查,按照有关规定严肃追究违规人员责任。
企业应当建立所属企业经营管理和员工履职违规行为记录制度,将违规行为性质、发生次数、危害程度等作为考核评价、职务调整等工作的重要依据。
第二十七条 企业应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制,加强统筹协调,避免交叉重复,提高管理效能。
第二十八条 企业应当定期开展合规管理体系有效性评价,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。针对重点业务合规管理情况适时开展专项评价,强化评价结果运用。
第二十九条 企业应当将合规管理作为法治建设重要内容,纳入对各部门和所属企业负责人的考核评价。对各部门和所属企业员工合规职责履行情况进行评价,并将结果作为员工考核、干部任用、评先选优的依据。
第三十条 建立合规报告制度,明确合规风险报告路径。发生较大合规风险事件,合规管理部门和相关部门应当及时向首席合规官或分管领导报告。重大合规风险事件应当及时向市国资委和有关部门报告。
合规管理部门汇总分析企业合规风险和合规管理工作情况,起草年度报告,经董事会审议后作为董事会报告相关内容或附件报送市国资委。
第三十一条 建立专业化、高素质的合规管理队伍。根据业务规模、合规风险水平等因素配备合规管理人员,保证合规管理部门“机构、职责、岗位”三到位。重要子企业、海外经营重要地区或重点项目,应明确机构负责合规管理,并配备专职合规管理人员。
第三十二条 企业要将合规管理经费纳入年度预算管理,保障合规管理工作有效实施。
第五章 合规文化
第三十三条 企业应当将合规管理纳入党委法治专题学习,推动企业领导人员强化合规意识,带头依法依规开展经营管理活动。
第三十四条 企业应当建立常态化合规培训机制,制定年度培训计划,将合规管理作为管理人员、重点岗位人员和新入职人员培训必修内容,加强全员合规知识和能力的教育培训,确保员工理解、遵循企业合规目标和要求。
第三十五条 企业应当加强合规宣传教育,及时发布合规手册,组织签订合规承诺,强化全员守法诚信、合规经营意识。
第三十六条 企业应当引导全体员工自觉践行合规理念,遵守合规要求,接受合规培训,对自身行为合规性负责,培育具有企业特色的合规文化。
第六章 信息化建设
第三十七条 企业应当加强合规管理信息化建设,结合实际将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统。
第三十八条 企业应当定期梳理业务流程,查找合规风险点,运用信息化手段将合规要求和防控措施嵌入流程,针对关键节点加强合规审查,强化过程管控。
第三十九条 企业应当加强合规管理信息系统与财务、投资、采购等其他信息系统的互联互通,并主动接入广州市国资监管信息系统,实现数据共用共享。
第四十条 企业应当利用大数据等技术,加强对重点领域、关键节点的实时动态监测,实现合规风险即时预警、快速处置。
第七章 监督问责
第四十一条 企业违反本办法规定,因合规管理不到位引发违规行为的,市国资委可以约谈相关企业并责成整改;造成损失或者不良影响的,市国资委根据相关规定开展责任追究。
第四十二条 企业应当对在履职过程中因故意或者重大过失应当发现而未发现违规问题,或者发现违规问题存在失职渎职行为,给企业造成损失或者不良影响的单位和人员开展责任追究。
第四十三条 落实容错免责机制,将企业是否依法合规作为免责认定的重要依据。经综合评估,认定企业合规管理体系有效建立并运行的情形下,因个别员工或利益相关方的不当行为导致发生违规风险的,市国资委可依据相关规定和程序,酌情从轻、减轻或者免除对企业和相关领导的处罚。企业内部要建立容错免责机制。
第八章 附则
第四十四条 企业应当根据本办法,积极推进合规管理体系建设,结合实际制定完善合规管理制度,指导、推动所属企业建立健全合规管理体系。
第四十五条 区县国资监管机构可参照本办法执行。
第四十六条 本办法由市国资委负责解释。
第四十七条 本办法自印发之日起施行。
附件:市属国有企业合规管理体系建设操作指南
本指南系企业合规管理建设的指导性文件,请各企业结合本 单位实际情况,参照执行。
一、研判企业合规环境
1.企业合规管理体系建设,是为有效防范合规风险,将“合 规要求”嵌入企业经营管理活动,并为之构建一个有计划、有组 织的特别管理体系的过程。
2.建立企业合规管理体系,应结合企业自身特点,不盲目借鉴其他国有企业做法,围绕本企业重点工作开展合规建设,杜绝套路化、程式化,不搞华而不实。
3.企业合规管理体系建设的有效路径,包括评估合规风险, 搭建合规组织架构,明确合规管理职责, 完善合规管理制度, 运行合规管控机制,组织合规能力培训,强化合规文化意识等。
4.建设企业合规管理体系,首先要划定建设范围,明确建设 集团合规管理体系,还是单个公司合规管理体系(集团合规管理体系,可以在集团总部和集团各下属公司或特定下属公司内施行;单个公司合规管理体系,仅在公司及分公司范围内施行), 同时,还要明确是建“大合规”体系,还是建某一项或某几项的专项合规体系。
5.企业选择在哪些领域开展合规建设,重点参考本企业当前 合规工作的成熟度、合规风险发生的可能性、发生后的可能后果、 过往发生的案例,同行发生的案例以及监管最新政策提及的合规 重点等因素,据此确定合规建设的领域。
二、制定实施方案
1.实施方案是企业建立合规管理体系的指导性文件,既可以 由企业合规部门制定,也可聘请外部专业机构协助制定。
2.实施方案内容主要包括合规管理工作的基本思路、主要原则、工作目标、组织领导、主要任务、实施步骤、绩效考核、监 督实施等。
3.实施方案制定的核心是根据企业管理现状和业务情况,找到推动本企业合规体系建设的有效抓手(包括但不限于合规风险 库、合规职责清单、合规联络员制度、合规审查机制、合规检查 机制、合规流程管控清单、合规文化塑造等),以2-3个工作抓手作为贯彻实施方案的重要内容,推动合规管理走深走实。
4.实施方案的制定要根据实际情况,将工作任务落实到部 门、岗位,工作职责要具体,工作期限要明确,与责任人的绩效 考核要挂钩。
5.实施方案可单独制定,也可以与内控体系建设方案、全面 风险管理体系建设方案等合在一起制定,即法务、合规、内控与 风险管理一体化实施方案。
6.制定合规、内控、风险一体化实施方案,应注意合规管理、法务管理、内部控制的不同发展程度,突出各自不同的作用。合 规管理重在监督,法务管理重在效率,内部控制重在制衡,风险 管理重在权衡。
三、搭建管理架构
1.合规管理架构应该将有关合规管理过程中所涉及的人、组 织、事项统一安排,需将企业内负责合规职责的人员或部门用书面形式固定下来,并将其与其他人员和部门尽量分开,保持合规独立性。
2.合规组织架构应当自上而下搭建,建立多层级的企业合规 组织,治理层包括党委会、董事会、经理层、合规委员会,治理 层之下是“三道防线”,即,各业务部门及其职能部门是第一道防线,负责本领域的日常合规管理工作,对企业合规负首要责任; 合规管理部门是防范合规风险的第二道防线,也是合规管理体系 建设的责任单位;内审和纪检监察部门在职权范围内履行第三道 防线职责,也是企业合规的最后一道防线。
3.合规管理委员会通常在董事会中设立,由具备法律、财务、 人事管理背景的董事组成,也可以与企业法治建设领导小组等合 署,还可以审计与风险管理委员会、风险管理部等形式出现。无 论以何种形式,其性质都是企业合规管理体系的最高负责机构, 负责公司合规管理的总体部署、体系建设及组织实施。
4.首席合规官是企业的合规负责人,负责企业合规管理工作 具体实施和日常监督,首席合规官的主要工作是领导企业合规部,向合规管理委员会或董事会汇报,对企业合规管理工作负首要岗位职责(岗位职责主要包括参与企业重大经营决策,提出合规审查意见和建议;领导合规部,完成主要的合规管理工作;指导业务部门和子企业的合规工作)。
5.合规管理人员是各业务部门的专职工作人员(可兼职), 负责落实各项合规工作,监督部门内部员工合规情况。这部分人 在履行合规职责时,须保持一定独立性,其履职行为应向合规负 责人报告,是保障“将合规嵌入业务”的必要条件。
6.合规管理涉及的各层级机构或人员,其合规职责须以适当 形式予以明确。要区分合规职责的牵头部门和主责部门。牵头部 门是合规管理的直接归口管理部门,各业务部门是合规管理的责任部门。
四、评估合规风险
1.合规管理的前提要认识和评价风险,企业要建立和坚持合 规风险评估制度,搭建涵盖收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进等工作闭环,实现风险识别、分析、评价、处置一揽子目标。
2.合规风险评估要重点把握风险识别、风险分析、风险评价 三个环节。风险识别的结果要形成合规风险信息库;风险分析要 对合规风险发生的原因、来源、发生可能性、发生影响后果等四 个方面进行定性或定量的分析,形成合规风险分析表;风险评价要对经过定性或定量分析过的风险进行排序、分级,形成合规风 险矩阵及底线合规风险清单。
3.合规风险识别,是发现、收集、确认、描述合规风险以及 整理和存储合规风险信息的过程,包括对风险根源、风险成因、 风险事件及潜在后果的识别。
4.合规风险评估的成果,应形成一套完整的企业合规风险 库。合规风险库应根据合规工作的发展不断完善、不断修正,同 时要定期维护更新。
5.合规风险评估工作要明确由谁或哪个部门负责,一般应由 业务部门或风险产生部门先自行识别各自合规风险,然后由合规管理部门进行鉴定、归纳和总结。
6.合规风险评估在合规管理体系建设中,可作为一项专门的 工作来执行,也可与其他合规管理体系建设阶段工作同步进行,如业务事项梳理、合规制度制定等。
五、制定合规制度(合规手册)
1.合规管理制度是合规体系建设的重要抓手,合规管理制度 包括合规管理的一般性规定,即合规管理办法或合规管理实施细 则等,也包括为推动合规运行的专项规定,无论是大合规还是专 项合规,都宜采取制定合规制度(手册) 的形式。
2.合规手册是企业关于遵守所适用的法律、法规等规范要求 的总体性、纲领性、概括性的规范性文件,旨在向企业全体员工 传达企业的合规遵从态度、合规原则,为员工提供企业合规工作的全景图,员工能够依据合规手册中的内容及指引,掌握基本的 合规知识,指导企业合规工作的开展,确保业务开展合法合规。
3.合规手册作为指导企业合规工作开展的基本文件,有必要 与风险管理、内控管理、财务管理等企业管理基本制度规范做合 理的分工与衔接, 融合转化,使企业面临的风险都能得到有效管理,合规手册必须与企业业务相结合,在业务开展所依据的流程上,要嵌入合规手册中规定的合规管控点,将合规管理要求转化为流程中的要求,明确流程中各方的合规管理职责。
4.大合规是企业都要制定的合规管理制度及其实施细则, 一般由本制度的目标和适用范围、相关的组织架构和岗位职责、合规工作程序、合规工作评价、考核与监督问责等模块组成。专项合规包括按业务条线进行拟定的规定和按部门法域进行拟定的规定,需要与业务流程及规章制度的适用结合起来,杜绝脱离业 务操作、与业务运行不关联,宜由熟悉业务流程的合规工作人员与熟悉合规工作的业务人员相互配合制定。专项合规根据企业需要制定,需要一个制定一个,成熟一个颁布一个,不一定所有的都要一次全部制定齐全。
4.1 劳动用工合规管理。劳动用工的合规风险主要体现在劳动合同的签订、履行和解除三个环节,签订过程中的主要风险为签订无固定期限劳动合同的风险,履行过程的主要风险为职工调岗的风险,解除的风险主要是发生劳动争议。合规管理重点是要合理确定签订劳动合同的期限、完善落实调岗程序、依法解除劳动合同、严格履行程序性规定、预防疫情相关的劳动争议等。
4.2 安全生产合规管理。安全生产的合规风险主要是出现安全事故、造成人员伤亡和财产损失、违反安全法律规章制度等。合规管理重点是制定企业安全生产管理制度、开展安全生产培训、强化物防人防技防措施、识别处置安全隐患、建立安全闭环管理等。
4.3 知识产权合规管理。知识产权的合规风险主要是研发风 险(如,未进行全面检索、合作研发权属约定不明)、申请及维护风险、专利商标权效力风险、权利人不明确风险、商业秘密泄露风险、侵犯知识产权风险。合规管理的重点是建立完善的知识产权制度、借鉴行业规范指导本企业知识产权建设、加强对员工的知识产权培训及管理、在日常业务中关注知识产权保护避免产生争议。
4.4 环境保护合规管理。环境保护的合规风险主要是涉及大 气水固定废物污染、环境污染犯罪、环境侵权(如,破坏历史风貌)等。合规管理的重点是有效识别企业所在地对生产经营的环 保义务要求、做好项目环保可行性研究、制定环保合规管理制度、建立有效运行的环保生产机制、加强环保生产文化建设、控制主要污染物总量、落实“双碳”战略等。
4.5 招标投标合规管理。招投标的合规风险主要是不具备招 标条件进行招标、应招未招、排斥或限制潜在投标人、资格预审 不合理限制、招标人擅自终止招标、招标单位人员泄露保密信息、虚假招标等。合规管理的重点是加强招标人道德教育增强风险意识、加强前期项目审查把关、建立科学的招投标合同管理体系、控制好合同履行风险、招标形式以公开招标为原则邀请招标为例 外、把好招标文件制定关、遵守招标程序等。
4.6 税务合规管理。税务合规的合规风险主要是缺乏健全的 税收风险内控机制、税收法律法规政策更新快导致各地执行标准 不统一、并购重组关联交易等复杂交易导致的风险、征收方式演 变导致的风险等。合规管理的重点是建立健全税收风险管理体制、加强员工税务知识培训、建立税务内部评价与反馈机制、选择适合公司业务的财务管理系统、建立完善的公司财务制度等。
4.7 网络安全与数据合规管理。 网络安全与数据的合规风险 主要是网络安全与数据安全体系不完备、数据处理流程不够规 范、个人信息保护不充分、数据安全保障能力不足等。合规管理的重点是完善组织结构及职责、规范数据处理、强化个人信息保护、提高数据安全保障能力等。
4.8 反商业贿赂合规管理。反商业贿赂的合规风险主要是各种商业贿赂行为,通常有给付货币类、交付实物类、提供财产性权益类等典型表现方式,商业贿赂既可能是违法行为,也可能是犯罪行为。合规管理的重点是建立反商业贿赂合规管理机构,明确国有企业主要负责人、党委和纪检监察机构、首席合规官、合规管理部门的反商业贿赂职责,建立健全商业贿赂举报、风险事件报告、业务招待规格明细、员工反商业贿赂管理定期培训、反商业贿赂财务和非财务控制制度等。
4.9 国有企业并购合规管理。国有企业并购的合规风险主要 是未履行审批程序、未履行审计评估程序、未通过产权交易机构 进行产权交易等。合规管理的重点是建立企业并购类制度、建立 投资并购类机构、规范企业并购流程、严格把好参股与控股关、强化投资并购合规培训等。
4.10 反垄断合规管理。反垄断的合规风险主要是签订垄断 协议、滥用市场支配地位、违反规定实施经营者集中等。合规管理的重点是对内建立企业反垄断合规制度、机构、队伍以及内部 举报奖惩制度,开展反垄断合规培训,对外建立承诺制度、宽大制度,积极配合开展反垄断调查等。
六、搭建管控机制
1.合规管控机制是合规管理的重要机制保障,是形成和贯穿于企业合规管理过程中的各种管理控制手册,合规机制应成为动态的、局部的合规制度。
2.合规管控机制包括合规联席会议机制、合规咨询机制、合规审查机制、合规检查机制、举报受理与调查机制、合规报告机制、合规风险跟踪机制、合规岗位履职监控机制、合规第三方尽职调查机制等。
3.对于合规管控机制的表现形式,可以专门拟定系列规章制度或体现在某一合规管理基本制度内,也可体现为日常的合规工作或合规表单及流程。在具体操作中,也可将多个管控机制进行联合,形成合规管控流程清单。
4.合规管控机制要确保合规制度或合规指引在企业内实施的动态贯彻,应精心设计,并按管理控制理论的基本办法,保障其在企业内能得到真正实施。
5.管控机制的设计应当与后续的实施相对应,关键在于推动机制有效实施,设计时应充分考虑企业当前实际的管理手段和管理文化,建立符合企业自身实际、可操作便执行的管控机制。
七、设置举报途径
1.合规管理的一个重要功能是能够发现、惩治不合规的行 为,故应建立高效的不合规问题举报受理制度和处理程序,拓展问题发现渠道,及时调查处置不合规行为。
2.公司应制定统筹合规举报工作的管理办法,并将合规举报 途径融入其他合规管理领域,管理办法应对举报定义、举报途径、举报的行为范围、举报处理流程、举报奖惩、举报的保密保护和反打击报复,以及恶意举报等内容进行规定,并将合规举报人信息保护作为关键合规控制点,在具体流程和系统设计上将举报人信息保护作为首要原则。
3.常见的举报途径包括热线电话、电子邮箱、信件等,为实现举报行为的有效执行,应对举办线索筛选并进行分类管理,加强举报日常宣贯和咨询,做好对举报人保护和反打击报复工作。
4.对于举报,应配套对应的调查程序和调查方法,调查要坚持独立性、保密性、合法性三个基本原则,采取文件审阅、实地调查、信息检索、合规访谈等灵活多样的调查方法,若发现违规 行为,则应给予相应处罚、采取纠正措施、制定整改方案,确保调查闭环管理。
八、开展合规考核评估
1.对企业合规管理体系的有效性进行评价,也是企业的合规义务,通过对既有合规制度的目的、执行过程、效益、作用和影响所进行的系统且客观的分析,以确定预期的目标是否达到、规划是否合理有效、通过分析评价找出成功失败的原因和总结经验教训,不仅是完善企业合规制度的必由之路,也是企业合规建设的必然要求。
2.应制定合规管理绩效考核办法,内容包括考核对象、考核内容或考核指标、考核形式、考核结果应用,形成考核工作闭环,推动合规管理在实施中改进、在改进中提升。
3.合规管理运行情况评价,一般由股东会组织开展或委托外 部机构开展。评估对象为公司董事会、监事会、高级管理人员、合规负责人、合规管理部门以及各部门、各层级分公司和全体工作人员。
4.合规管理评估内容包括对合规管理环境的有效性评价、对合规管理职责履行情况的评价、对合规管理制度与合规运行机制、合规保障机制建设情况的评价等内容。
九、建设合规文化
1.合规文化是企业文化的重要组成部分,是实施合规管理的基础和载体,合规文化建设致力于促进员工自觉自愿的建设企业合规体系,构建科学的合规体系并培养合规意识,有助于员工养成合规化的习惯,避免合规风险。
2.企业应对合规文化建设进行顶层设计,对合规文化形成的实现形式进行全面策划,营造浓厚的合规文化氛围。
3.要加强合规文化培育,充分利用企业党委理论中心组学习、开展“八五”普法工作、经营层专题研究法务会议等载体,定期开展合规管理专题学习。同时,建立新入职职工合规知识学习和考核制度,在干部任前谈话、工作述职、任期考核等环节设定相应的合规方面的内容。
4.可通过定期制发合规倡议,重要节点、重点工作签署合规 承诺书,组织相关人员举行合规宣誓等方式,不断增强合规意识,提高合规自觉性。
5.要加强合规宣传工作,将合规宣传融入企业宣传工作规划,通过有效的合规宣传达到企业内部人人关心合规工作、自觉遵守合规制度,企业外部了解企业合规文化的目的。
十、建设合规信息系统
1.企业要建立高效的合规管理信息系统,合规管理信息系统可以开发单独的系统,也在现有管理信息系统中增加合规管理模块。
2.合规管理信息系统可包括静态的合规制度、合规义务与合规要求清单、合规风险清单等,也应包括动态的合规培训、合规审查流程、合规检查流程、合规履职状态记录等,同时,合规管理信息系统应逐步实现合规风险的动态监测,合规履职的自动化评价,合规报告的自动生成等功能。
3.要建立数字化信息库,如:构建合规风险数据库、合规制度库、典型案例库等,使合规管理有数据可查,是模型运作、大 数据分析的基础,为合规管理提供数据支撑。
4.要把合规管控信息嵌入流程,加强与业务部门信息系统有机融合,围绕监管规则和制度要求,将违规风险点内化为系统控制规则,将合规管理信息化系统与其他业务信息系统互联互通,各取所需,推动一道防线自查自纠、自我完善,使合规分析按条 线、分模块进行,提高合规分析的精准度。
5.建立动态监测预警系统,对重点领域、关键节点,特别是合规风险事件频发领域,通过高级算法和模型进行实时动态监测,挖掘大数据信息,实现精准洞察和提前化解违规风险。
