一文读懂合规管理体系有效性评价
发布时间:2025-07-07
文 | 张从轩 汇业律师事务所 合伙人
我国企业的合规管理体系建设自2018年--“合规元年”伊始,已进入到第七年。在这七年中,逐渐形成了从中央企业到各地方国有企业、从上市公司到大中型民营企业、从东部沿海地区到中西部地区的合规管理体系建设浪潮。而已经建立和运行合规管理体系的企业,都进入了合规管理建设的深化年或提升完善年,其中不少企业还通过了国际或国内合规管理体系相关内容的认证。
不管根据ISO 370301中的“PDCA”理论,亦或是我国《中央企业合规管理办法》中对于体系建设有效性评价的规定,其根本目标是为了让合规管理体系能持续、有效地运行或者是能持续有效地防范合规风险的发生。因此,随着合规管理在我国持续的生根发芽,针对合规管理体系建设是否有效?如何评价有效?则成为了让合规管理体系能持续、有效运行的关键。
一、什么是合规管理体系有效性评价?
在国内,《中央企业合规管理指引(试行)》《企业境外经营合规管理指引》《商业银行合规风险管理指引》《保险公司合规管理办法》《证券公司和证券投资基金管理公司合规管理办法》中都提到合规管理评估、合规管理有效性评估或合规管理体系有效性评价。其主要要求定期或不定期对合规管理体系的有效性进行分析以发现问题、完善制度、堵塞管理漏洞、强化过程管控并持续改进提升。
2022年国务院国资委发布的《中央企业合规管理办法》将其试行版本中“合规管理评估”的说法修改为“合规管理体系有效性评价”,要求应当定期开展合规管理体系有效性评价,针对重点业务合规管理情况适时开展专项评价,强化评价结果运用。
在国际上,ISO 37301:2021 提供了建立、实施和改进合规管理体系的指南,而即将发布的ISO 37302将专门针对合规管理体系的有效性评价,提出了原则、评价指标框架、指标体系、取值规则、评价结果得出、评估过程方法及报告的内容等一整套逻辑方法和建议。该标准的拟发布将为此后国内各类型企业的合规管理体系有效性评价提供最佳借鉴。
此外,美国司法部《企业合规计划评估指南》亦提供了一个较通用的评估框架,其强调了三个核心问题:合规程序是否设计合理?是否认真实施?是否在实践中有效?其评估领域包括风险评估、政策与程序、培训与沟通、第三方管理等。
2023年,国务院国资委办公厅于发布的《关于开展2023年中央企业合规管理体系有效性评价工作的通知》指出,合规管理体系有效性评价的目的是通过企业合规管理体系建设及其运行情况、合规管理重点领域和关键环节合规要求落实等情况开展评价。
因此,根据上述内容,我们可将合规管理体系有效性评价定义为:合规管理体系有效性评价是指通过系统性、科学化的评估手段,对企业合规管理体系的设计合理性、实施过程及实际运行效果进行全面、客观的分析和判断。其核心目的是确定该体系是否能够高效识别、评估、控制并应对企业面临的合规风险,从而确保企业在法律法规、行业规范、内部政策以及利益相关方期望的框架内持续合规运营。这一过程不仅关注体系的设计是否适当、充分,还应包括其实际运行效果是否有效达到预期。
二、谁来做?
根据我国现行有效的政策、标准,进行合规管理体系有效性评价的主体不尽相同。
(1) 合规管理部门
《中央企业合规管理办法》中第14条第1款第3项规定由合规管理牵头部门根据董事会授权开展合规管理体系有效性评价。
(2) 相应的治理机构或高级管理人员
ISO 37301:2021及GB/T 35770-2022的第9.3.1条规定,治理机构和最高管理者应在策划的时间间隔内对组织的合规管理体系进行评审,以确保合规管理体系持续的适宜性、充分性和有效性。其中的治理机构和最高管理者分别通常指董事会或其下设委员会、监事会、董事长、总经理或总法律顾问(首席合规官)等。
在《中央企业合规管理办法》的第八条第3款中规定,董事会有推动完善合规管理体系并对其进行有效性评价的职责。
此外,《证券公司和证券投资基金管理公司合规管理办法》《金融机构合规管理办法》中亦规定了董事会履行评估合规管理有效性的职责。
三、什么时候做?
要进行合规管理体系有效性评价的前提是必须建立并开始运行合规管理体系。同时,进行有效性评价的时机还取决于企业的规模、行业及风险环境,但通常建议定期进行。
在国内,《中央企业合规管理办法》要求定期开展有效性评价。《证券公司和证券投资基金管理公司合规管理办法》要求对合规管理有效性的全面评估,每年不得少于1次。需要委托具有专业资质的外部专业机构的,则每3年至少进行一次。《金融机构合规管理办法》中未规定何时进行有效性评价。《企业境外经营合规管理指引》要求定期对合规管理体系进行系统全面的评价。GB/T 35770规定应在计划的时间间隔内对合规管理体系进行评价。
国际上,国际标准ISO 37301规定,应在计划的时间间隔内对合规管理体系进行评价。
在实践中,企业可以根据其规模、行业特点、风险环境、监管要求等确定本企业合规管理体系有效性评价的频率。以下合规管理体系有效性评价的频率值得参考:[1](1)全面合规管理体系有效性评价:企业建立合规管理体系后的前3年,宜每年1次;以后每2年1次;(2)专项合规管理评价:企业可以选择各职能管理部门和业务管理部门,轮流进行专项合规管理评价,每年评价1-2个部门。
此外,在以下情况下可能需要更及时、多次的进行局部评价:
1. 法规或政策变化:如新法规出台或现有法规更新。
2. 重大合规事件:如发生违规行为或外部审计发现问题。
3. 组织结构调整:如并购、重组或业务扩展。
4. 风险识别结果:高风险领域需更频繁评价。
针对前述评价时间要求梳理为表格如下:
四、评价哪些内容?
在国内,目前尚未有通用的合规管理体系有效性评价标准。随着ISO 37302的即将发布,这一需求可能会得到满足。
(一)中央企业或国有企业
《中央企业合规管理办法》中未涉及合规管理体系有效性评价的具体内容,但2023年国务院国资委办公厅发布的《关于开展2023年中央企业合规管理体系有效性评价工作的通知》中规定,合规管理体系有效性评价内容包括:[2]
(1)集团及子企业合规管理体系建设及运行情况。重点评价企业集团及重要子企业合规管理组织建设、制度建设、运行机制、违规整改、信息化管控等工作推进效果情况。
(2)重点领域合规管理工作情况。结合企业生产经营实际,围绕反垄断、劳动用工、信息安全、生态环保等合规风险高发领域,评价合规管理工作开展情况。
(3)业务流程合规风险管控情况。结合企业岗位职责清单和流程管控清单,围绕投资、贸易、招标采购等重点业务领域,复盘工作流程,评价合规控制节点设置、作用发挥及风险防范应对等情况。
(二)证券公司
中国证券业协会发布的《证券公司合规管理有效性评估指引》中对合规管理体系进行有效性评价规定了以下三个方面:[3]
(1)合规管理环境评估,重点关注公司高层是否重视合规管理、合规文化建设是否到位、合规管理制度是否健全、合规管理的履职保障是否充分等。
(2)对合规管理职责履行情况进行评估,重点关注合规咨询、合规审查、合规检查、合规监测、合规培训、合规报告、监管沟通与配合、信息隔离墙管理、反洗钱等合规管理职能是否有效履行。
(3)对经营管理制度、机制建设和运行情况的评估,重点关注各项经营管理制度和操作流程是否健全,是否与外部法律、法规和准则相一致,是否能够根据外部法律、法规和准则的变化及时修订、完善,以及是否能够严格执行经营管理制度和操作流程,是否能够及时发现并纠正有章不循、违规操作等问题。
(三)国际/国内标准
按照ISO 37301[4]及GB/T 35770[5]的规定,合规管理体系有效性评价宜考虑以下14个方面:
(1)以前管理评估采取措施的情况;
(2)与合规管理体系相关的内外部事项的变化;
(3)与合规管理体系有关的相关方需求和期望的变化;
(4)合规绩效信息,包括以下三个方面的趋势:①不符合、不合格与纠正措施,②监视和测量的结果,③审核结果;
(5)持续改进的机会;
(6)合规方针的充分性;
(7)合规团队的独立性;
(8)合规目标的达成度;
(9)资源的充分性;
(10)合规风险评估的充分性;
(11)现有控制和绩效指标的有效性;
(12)与提出疑虑的人员、相关方沟通,含反馈和投诉;
(13)调查;
(14)报告机制的有效性。
(四)三者关系
合规管理体系有效性评价通常涵盖多个关键要素,以确保体系能够全面有效地防范和应对合规风险。其评价内容不仅可能因行业和法规要求而异,还会因每家企业的独特性而有所不同。通过前文对《关于开展2023年中央企业合规管理体系有效性评价工作的通知》、《证券公司合规管理有效性评估指引》、ISO 37301及GB/T 35770的梳理我们可以发现三者存在一致性、差异性及互补性的关系。
一致性:三项政策均关注合规管理体系的组织基础、风险防控、运行效果及持续改进,反映了有效性评价的核心目标是确保体系能持续有效防范风险。
差异性:中央企业更注重重点领域和流程的合规管理,强调信息化管控。证券业协会的规定聚焦职责履行和制度执行,特别关注监管沟通和反洗钱等金融行业特性。ISO 37301及GB/T 35770则提供通用框架,强调指标体系和相关方沟通,适用性更广。
互补性:中央企业和证券业协会的规定更具行业和企业性质针对性,ISO/GB标准则提供了理论和方法论指导,三者结合可形成较全面的评价体系。
(五)建议
基于前述观点,我们认为合规管理体系有效性评价应考虑包括但不限于以下通用因素:
(1)合规管理体系的建设与运行
评估合规管理组织架构、制度体系及运行机制的有效性等。
(2)合规管理职责的履行
检查合规咨询、审查、检查、培训、报告等职能的执行情况及效果等。
(3)合规风险的评估与管控
针对重点领域和业务流程,评价合规义务、合规风险识别、合规管控节点设置及应对措施的有效性等。
(4)合规文化与高层支持
评估高层对合规的重视程度及合规文化的建设与宣传情况等。
(5)制度与流程的健全性
审查合规管理制度和操作流程的完备性及其与外部法规的一致性等。
(6)持续改进与整改
评估违规整改机制、持续改进措施及对内外部变化的适应能力等。
(7)资源保障与信息化支持
检查合规管理所需人力、物力及信息化资源的充分性等。
(8)合规绩效与监控
评估合规目标达成度、不符合事项的纠正情况及监视测量结果等。
(9)沟通与报告机制
评价内部沟通、报告机制的有效性及与相关方的互动情况等。
(10)独立性与问责机制
评估合规团队的独立性及问责机制的有效性。
五、有哪些评价方法?
合规管理体系有效性评价宜采用多种方法,结合定性和定量分析,确保全面评估体系的运行效果。
[6]参考中国证券业协会发布的《证券公司合规管理有效性评估指引》,合规管理体系有效性评价的方法包括采取访谈、文本审阅、问卷调查、知识测试、抽样分析、穿行测试、系统及数据测试等。
(一)抽样分析
合规管理体系有效性评价团队可以根据合规管理体系有效性评价所关注的重点,对业务与管理事项进行抽样分析,按照业务发生频率、重要性及合规风险的高低,从确定的抽样总体中抽取一定比例的样本,并对样本的符合性作出判断。
(二)穿行测试
合规管理体系有效性评价团队可以对具体业务处理流程开展穿行测试,检查与其相关的原始文件,并根据文件上的业务处理踪迹,追踪流程,对相关管理制度与操作流程的实际运行情况进行验证。
(三)系统及数据测试
合规管理体系有效性评价团队可以对涉及企业业务进行系统及数据测试,重点检查相关业务系统中权限、参数设置的合规性,并调取相关业务数据,将其与相应的业务凭证或其他工作记录相比对,以验证相关业务是否按规则运行。
国际上,美国司法部《企业合规计划评估指南》建议通过定期测试和审查,确保合规程序在实践中有效。而即将发布的 ISO 37302 将进一步提供标准化的评价流程和指标。
六、有哪些评价程序?
按照国际标准及我国国家标准,参考《证券公司合规管理有效性评估指引》,并结合国际最佳实践,我们认为一个科学、完整、闭环的评价程序应包含以下5个阶段:
(一) 计划阶段
确定评价范围和目标:根据企业类型、行业特点和监管要求,明确评价的范围(如合规文化、风险管理)和预期目标。
组建评价团队:选择有专业背景的人员组成评价团队,必要时联合外部审计机构或专业顾问,确保评价的专业性和独立性。
制定评价计划:包括时间表、资源分配、评价方法(如问卷、访谈)和使用工具,确保程序有序推进。
(二) 准备阶段
收集相关文件和数据:整理合规政策、流程文件、培训记录、风险评估报告、内部审计结果等,作为评价的基础资料。
设计评价工具:开发问卷调查表、访谈提纲、检查清单等,确保数据收集的全面性和一致性。
(三) 实施阶段
执行评价活动。
文档审查:检查合规管理体系的设计是否符合法规和标准要求。
问卷调查:收集员工和管理层对合规体系运行效果的反馈。
访谈:与关键岗位人员(如合规负责人、业务部门领导)深入交流,了解实际执行情况。
现场检查:针对高风险领域(如安全生产、数据保护)进行实地考察,验证合规应对措施落实情况。
数据分析:利用信息化工具分析合规数据,评估体系的有效性。
(四) 分析和报告阶段
数据分析:整合评价活动中收集的信息,识别体系的优势和不足。
撰写评价报告:记录评价过程、主要发现、存在问题及改进建议,形成书面报告。
沟通结果:向董事会、管理层或监管机构汇报评价结果,确保透明度并推动责任落实。
(五) 改进阶段
制定改进计划:根据评价结果,提出具体改进措施并设定实施时间表。
实施改进措施:执行改进计划,优化合规管理体系的设计和运行。
跟踪监控和复审:持续跟踪改进措施的效果,必要时进行复审,确保体系持续有效。
合规管理体系有效性评价是企业治理体系中的战略性支柱,其核心价值在于通过系统性检视与科学分析,为企业提供风险防控的坚实保障与持续优化的动力源泉。
在全球化浪潮与数字化转型的双重驱动下,企业合规环境正经历前所未有的复杂性与动态性挑战。合规管理体系有效性评价作为闭环管理的关键环节,不仅能够精准识别体系运行中的潜在漏洞,更能为企业提供前瞻性洞见,助力其在快速变化的商业格局中保持战略定力与合规韧性。
展望未来,随着ISO 37302等国际标准体系的发布,以及国内监管框架的不断精进,合规管理体系有效性评价将迈向更高的科学化与智能化境界。
脚注:
[1] 郭青红.企业合规管理体系实务指南.第三版.北京:法律出版社,2025:153
[2] 郭青红.企业合规管理体系实务指南.第三版.北京:法律出版社,2025:149
[3] 郭青红.企业合规管理体系实务指南.第三版.北京:法律出版社,2025:148-149
[4] ISO 37301:2021
[5] GB/T 35770--2022
