合规原创 | 企业合规管理体系审查的必备要素探析

合规管理体系审查是指对已经搭建的合规管理体系通过系统性审查的方式梳理合规管理体系本身存在缺陷并进行优化调整，堵塞合规管理体系漏洞，防范合规管理体系系统性风险，实现合规管理体系有效运行。合规管理体系审查方式一般分为内部审查和外部审查；审查内容一般包含合规管理组织健全性审查、合规管理制度完备性审查、合规运行机制有效性审查、合规文化建设情况审查、合规信息化审查等；针对合规管理体系审查结果，企业合规管理部门应当强化审查结果的应用，通过合规管理体系审查结果应用“反哺”企业合规管理。

合规管理体系审查应当按照系统性原则，针对现有合规管理体系进行系统化审查。根据审查主体的性质不同，合规管理体系审查一般分为内部审查和外部审查。

（一）内部审查

合规管理体系内部审查一般由合规管理牵头部门制定审查方案报经合规委员会批准后组织开展审查，合规管理牵头部门应当结合对企业自身的合规体系建设情况的熟悉性，在其他部门的配合下通过内部自我审查的方式，主动发现合规管理体系存在的漏洞并及时进行调整优化，从而实现合规管理体系更好的运转。

（二）外部审查

合规管理体系外部审查一般由专业咨询机构或服务机构进行审查，借助外部专业服务机构的独立性审查更能够更加客观的判断合规管理体系的科学性、完备性、有效性，从而暴露出合规管理体系的短板所在，针对短板问题及时优化调整，完善合规管理体系。在外部检查过程中，合规管理牵头部门应当与外部合规审查服务机构保持密切联系，做好组织协调工作，针对审查发现问题及时沟通解决。

（一）合规管理组织审查

合规管理组织是合规管理体系中的领导者、组织者、建设者、推动者、实践者，分工合理，职责明确的合规组织有助于实现合规管理体系高效运转，切实防控合规风险。对合规组织进行审查应根据企业组织体系设置及职能分工情况进行，审查检验合规管理组织是否健全，合规管理组织职能是否得到切实执行等。一般的合规管理组织从上到下依次分为党委会、董事会、经理层、法治建设第一责任人、合规委员会、首席合规官、合规第一道防线（业务及职能部门）、合规第二道防线（合规管理部门）、合规第三道防线（纪检、审计、监察等监督部门）。

对不同合规管理组织进行审查时，可以参考以下标准：

1. 党委会组织审查标准

①是否推动合规要求在企业内得到严格遵循和落实；

②是否推动党内法规制度有效贯彻落实；

③其他需要审查的事项。

2. 董事会组织审查标准

①是否审议合规管理基本制度、体系建设方案和年度报告等；

②是否研究决定合规管理重大事项；

③是否推动完善合规管理体系并对其进行有效性评价；

④是否决定合规管理部门设置及职责；

⑤其他需要审查的事项。

3. 经理层审查标准

①是否拟定合规管理体系建设方案，并组织实施；

②是否拟定合规管理基本制度，批准年度计划，组织制定具体合规管理制度；

③是否组织应对重大合规风险事件；

④是否指导监督各部门和所属单位合规管理工作；

⑤其他需要审查的事项。

4. 合规委员会审查标准

①是否统筹协调合规管理工作；

②是否定期召开合规委员会会议；

③是否研究合规管理重点难点问题；

④其他需要审查的事项。

5. 首席合规官审查标准

①是否由总法律顾问兼任；

②是否明确对企业主要负责人负责；

③是否明确首席合规官对合规管理部门的管理职责；

④是否明确首席合规官应当列席重要会议并提出合规审查意见；

⑤其他需要审查的标准。

6. 合规第一道防线（业务及职能部门）审查标准

①是否建立健全本部门业务合规管理制度及流程；

②是否开展合规风险评估，编制风险清单和预案；

③是否对本部门的经营管理行为进行合规审查；

④是否及时报告合规风险，组织或配合开展应对处置；

⑤是否组织或配合开展违规问题的调查和整改；

⑥其他需要审查的标准。

7. 第二道防线（合规管理部门）审查标准

①是否组织起草合规管理基本制度、具体制度、年度计划和工作报告等；

②是否对规章制度、经济合同、重大决策合规审查；

③是否组织开展合规风险识别、预警和应对处置，是否根据董事会授权开展合规管理体系有效性评价；

④是否受理职责范围内的违规举报，提出分类处置意见，组织或参与对违规行为的调查；

⑤是否组织或者协助业务及职能部门开展合规培训，受理合规咨询，推进型信息化建设；

⑥是否组织或者协助业务及职能部门开展合规培训，受理合规咨询，推进型信息化建设；

⑦其他需要审查的标准。

8. 合规第三道防线（纪检、审计、监察等监督部门）审查标准

①是否在职权范围内对合规要求落实情况进行监督；

②是否在职权范围内对违规行为进行调查；

③是否在职权范围内对违规行为人开展责任追究；

④其他需要审查的标准。

（二）合规管理制度审查

合规管理制度体系是合规管理体系的基础，把合规管理体系比喻为一座大楼的话，合规管理制度体系就是地基，必须把地基夯实，合规体系这座大楼才能牢固。合规管理制度体系一般包含基本合规制度文件和专项合规制度文件。基本合规管理制度文件，如企业制定的《企业合规管理办法》；专项合规管理制度文件，如针对企业劳动用工管理领域制定的《劳动用工合规指引手册》等。

对合规管理制度进行审查时，可以参考以下标准：

1. 是否构建了分级分类管理制度体系；

2. 基本合规管理制度是否明确总体目标、机构职责、运行机制、考核评价、监督问责等内容；

3. 是否针对重点领域及合规风险较高的业务，制定合规管理具体制度或者专项指南；

4. 是否根据法律法规、监管政策等变化情况及时修订合规管理制度；

5. 是否定期对制度执行情况进行检查并提出改进建议；

6. 其他需要审查的标准。

（三）合规运行机制审查

合规运行机制是合规管理体系运行的载体，行之有效的合规运行机制是合规管理体系有效落地的关键。合规运行机制一般分为合规风险识别评估预警机制、合规风险应对机制、合规审查机制、合规报告机制、合规整改机制、合规考核评价机制、违规举报机制、合规监督追责机制、合规协同运作机制等。

对各项合规运行机制进行审查时，可以参考以下标准：

1. 合规风险识别评估预警机制审查标准

①是否建立并定期更新风险库；

②是否对合规风险发生的可能性、影响程度、潜在后果

等进行分析；

③是否对典型性、普遍性或者可能产生严重后果的风险及时预警；

④其他需要审查的事项。

2. 合规风险应对机制审查标准

①是否发生过重大合规风险事件；

②发生重大合规风险事件，是否由首席合规官牵头，合规管理部门统筹协调，相关部门协同配合，及时采取措施妥善应对；

③其他需要审查的事项。

3. 合规审查机制审查标准

①是否将合规审查作为经营管理行为的必经程序；

②重大决策事项合规审查事件是否由首席合规官签字，并提出明确意见；

③业务及职能部门、合规管理部门是否依据职责权限完善审查标准、流程、重点等；

④对规章制度、重大决策合规审查、重要合同合规审查是否达到100%；

⑤合规管理部门是否建立合规审查意见追踪台账，是否定期对合规审查意见采纳、落实或执行情况进行跟踪与评估，持续完善审查标准、流程和重点；

⑥其他需要审查的事项。

4. 合规报告机制审查标准

①发生合规风险事件，相关业务及职能部门是否及时采取应对措施，并按照规定向合规管理部门报告；

②重大合规风险事件是否按相关规定及时向国资委汇报；

③合规年度报告是否按照要求编制，是否履行董事会审议等内部审批程序；

④其他需要审查的标准。

5. 合规整改机制审查标准

①违规部门是否制定整改方案或整改措施；

②合规管理部门是否建立违规问题整改台账，对违规问题进行清晰描述，并提出整改措施，定期跟踪整改情况；

③针对整改问题是否建立长效机制（如健全规章制度、优化业务流程、堵塞管理漏洞等）；

④其他需要审查的事项。

6. 合规考核评价机制审查标准

①是否制定了合规评价方案，明确评价内容、流程等；

②是否定期对业务及职能部门开展合规评价，对重点业务开展合规评价；

③是否对评价结果进行运用；

④是否将合规管理相关内容作为考核评价指标；

⑤考核指标设置是否明确、考核标准是否统一、考核范围是否全面、考核评价方法是否适当；

⑥其他需要审查的事项。

7. 违规举报机制审查标准

①合规管理制度中是否明确建立违规举报机制，规定对举报人的身份和举报事项进行严格保密，对举报舒适的举报人可以给予适当奖励；

②是否公开企业违规举报平台，公布举报电话、邮箱或者信箱等；

③相关部门是否按照职责权限受理违规举报，并就举报问题进行调查和处理；

④其他需要审查的标准。

8. 合规监督追责机制审查标准

①是否明确违规行为追责程序、责任范围、追责标准等；

②是否将违规行为情况作为考核评价、职级评定的重要依据；

③是否对违规行为性质、发生次数、危害程度等进行记录并进行存档；

④其他需要审查的事项。

9. 合规协同运作机制审查标准

①是否建立合规管理与法务管理、内部控制、风险管理协同运作机制；

②其他需要审查的事项。

（四）合规文化审查

合规文化是合规管理体系的灵魂，企业应当重视对合规文化的建设，通过加强合规宣传教育、发布合规手册、组织签订合规承诺等方式培育合规文化，在企业内部形成良好合规文化氛围。对合规文化建设情况进行审查时，可以参考以下标准：

1. 是否定期开展合规专题学习；

2. 是否建立常态化的合规培训机制；

3. 是否将合规管理作为管理人员、重点岗位人员和新入职人员的培训必修内容；

4. 是否编制企业合规手册；

5. 是否签订合规承诺书；

6. 其他需要审查的事项。

（五）合规信息化审查

合规信息化是合规管理体系实现数字智能化管理的一种重要工具。工欲善其事，必先利其器。良好的信息化合规管理平台有助于提高合规管理效率，实现合规管理信息实时化、可视化、关键节点的实时动态监测、自动进行合规风险预警等功能，提升合规管理数智化水平。对合规信息化进行审查时，可以参考以下标准：

1. 是否将合规制度、典型案例、合规培训、违规行为记录等纳入信息化系统；

2. 是否定期梳理业务流程，查找合规风险点，运用信息化手段将合规要求和防控措施嵌入业务流程；

3. 是否是对业务流程中关键节点进行合规审查；

4. 是否对重点领域、关键节点进行实时动态监测，实现合规风险即时预警、快速处置；

5. 合规管理信息化系统是否与财务投资采购等其他信息系统互联互通，实现数据共用共享；

6. 其他需要审查的事项。

对合规管理体系审查结果的应用是合规管理体系审查形成闭环管理的关键环节。根据合规管理体系审查结果，针对合规管理组织、合规管理制度、合规管理各项运行机制、合规文化和合规信息化建设具体情况具体分析，深入剖析存在问题原因，探寻问题解决路径，制定合规管理体系优化调整方案，开展实施方案后对方案优化措施、方案优化效果等内容进行方案实施后评价，进一步将评价结果应用于合规管理体系优化之中，形成合规管理体系优化“自循环效应”，建立合规管理体系优化长效机制。