一、合规管理体系概论

1.合规起源及发展

Compliance—合规
狭义的合规主要指强化合规经营反对商业腐败
广义的合规泛指组织机构及个人在行为上要遵守法规(遵守公司总部所在国和经营所在国的法律法规及监管规定)、规制(遵守企业内部规章包括企业价值观、商业行为准则及行业性规定、职业操守等)、规范(遵守社会公序良俗、 道德规范等)
权变理论 (美)阿米特·埃奇奥尼 : 三种权力类型 强制型、酬劳型和规范型分别对应三种员工表现型疏远型、功利型和道德型
评价任何组织类型下的合规管理的有效性,很大程度上取决于组织中较低层次的参与者的参与度。因为在合规理论框架中,较低层次的参与者所处的层级差异最大,管理与控制较低层次参与者所产生的风险就更加困难。
现代企业合规管理是由公共机构对企业集中监管转变为企业自身的合规管理,并在专业组织推动下发展形成国际统一标准体系的过程。

早期合规管理形态:以社会公共利益为中心,对公共安全、生命健康安全的倡议和关注。管理主体是由政府基于权力基础施行的外部监管。以政府集中监管的方式进行。
1972年美国水门事件(有些企业为获得业务而向外国政府官员行贿)社会要求加强对政府官员和企业行为的监管。
1977年美国国会以绝对优势通过合规管理发展历史上的一部重要法律《反海外腐败法》“Foreign Corrupt Practices Act)该法案核心目标是遏止对外国官员行贿及公司腐败问题。除了规定了涉案人员的刑事处罚外,还要求上市公司设计一套账簿和记录系统记录其员工对公司资产的处置。
很多企业认识到需要对自己的销售实践、制造过程和行业的整体业务行为有更多的了解,企业的合规责任开始从对公共利益的关注转移到企业自身。人们开始意识到在组织内部建立合规管理的必要性。
管理主体由初期阶段的政府监管逐渐转为政府的外部监管和企业内部自主管理相结合。
管理对象上开始更多关注企业自身治理,探讨董事会的职能职责。
由于要求公司内部设立一定程序以保障公司遵守法律,以合规要求为主的合规义务逐渐增加了组织的内部合规承诺。

受经济大萧条影响,投资者对美国证券市场的信心处于历史低点。1984年8月国会签署通过《内幕交易制裁法》(“Insider Trading Sanctions Act”)  
1988年9月《内幕交易与证券欺诈执法法案》 强化了对内部交易行为的制裁力度,并要求公司制定旨在防止和发现内幕交易的书面合规政策和流程
1991年美国联邦量刑委员会向国会提交《联邦量刑指南修正案》 要求公司具备“合理设计、实施和执行的良好的合规计划,以使该项目在预防和侦查犯罪行为方面普遍有效”。
同年道德与合规官协会(Ethics and Compliance Officer Association,简称EOA)成立。

合规界的开创性案例-> 凯马克公司,美国领先的医疗保健产品和服务提供商,其产品非常依赖客户推荐,并对使用其产品的客户医生进行补偿。政府介入调查其收入的合理性以及盈利模式是否违反联邦关于对医生《反转诊付款法》禁止卫生保健提供者支付任何形式的报酬以诱导医疗保险或医疗补助病人转诊的规定。
在政府调查期间,凯马克制定了公司内部审计计划,以确保遵守国际及美国商业道德准则。此外还聘请外部审计机构对其公司内控系统进行审计。1993年尽管审计报告称其内部控制没有重大缺陷,凯马克仍然制定了一项新的内部审计章程,要求公司政策进行全面审查,并编写关于这些政策的员工行为手册。董事有义务采纳并监督公司合规计划
凯马克案例在合规管理上代表了一个实质性的进步,见证了公司董事职能、责任的演进。将公司如何遵守外部法律的问题转变为公司的内部治理问题。
2002年国会通过《上市公司会计改革与投资者保护法案》 对企业的内部控制提出了非常严格的要求,以应对企业合规管理的漏洞。
2005年4月,巴塞尔银行监管委员会发布了《合规与银行内部合规部门》高级文件中提出“合规”与“合规风险”的定义,成为指导各国银行乃至金融机构合规风险管理的代表性文件,标志着银行业合规风险管理现代管理框架的基本形成。

由于公司的一般特质是投资者所有权与经营权的分离,这种经济组织形态是两种权力的的纠葛,公司股东和董事之间既有共同的经济利益又有利益均衡的诉求,必然要求公司从治理、职能管理及业务行为层面规制利益的流动与分配
企业是其内部合规管理体系的主体,政府监管成为企业遵守的外部合规要求之一
管理对象上,不再局限于对法律条文或制度文件的遵守,而是更加注重商业活动中人的行为
管理内容上,搭建企业组织架构体系、制度构成体系、强化运营流程管理及更加灵活多变的合规管理工具的应用。

本质上,一个真正有效的合规管理体系必须将合规文化理念嵌入到组织中,而不是表面的遵从。
合规管理功能的设计目的应超越历史上狭隘法律义务的行为规范,通过改善企业文化来完善公司治理,反过来,文化上的合规治理将促进更多的行为合规、降低不合规事件的发生。
合规管理的有效运行,重点在于合规文化的培育
1999年,为进一步规范对企业的有效监管,美国司法部发布了第一部公司刑事诉讼“最佳实践”的内部指南——司法部关于起诉和量刑的政策指南(又称《霍尔德备忘录》)要求检察官权衡其他因素推迟对公司的起诉,从而使公司能够避免潜在的毁灭性的刑事处罚(如权衡“公司合规计划的存在和充分性”)通过保留检察官自由裁量权以决定一个合规项目是否设计良好和有效,为后来政策奠定了基础。
2008年《联邦起诉商业组织原则》更新要求检察官根据调查过程中公司提供的相关事实(真正的事实)而不仅仅是表象资料来判断公司的合作度。
根据司法部资料,联邦检察官对暂缓起诉协议(Deferred Prosecution Agreement, DPA)和不起诉协议(Non-prosecution Agreement, NPA)的使用增加。

世界银行集团(the World Bank Group长期以来颁布了一系列与其提供贷款的国际投资项目相关的采购指南以及对企业不合规行为的制裁制度。受到制裁的企业将被列入世行“黑名单”(每3小时更新一次,包括企业名单及个人名单)在一定期限内被禁止参与由其提供资金的项目,并在一定条件下(比如被制裁时限达到12个月以上),根据世界银行集团、亚洲发展银行、非洲发展银行集团、欧洲复兴开发银行、美洲开发银行共同签订的《共同实施制裁决议的协议》规定,由上述五大机构进行联合或交叉制裁。 2010年,世行集团发布《诚信合规指南》(Integrity Compliance Guidelines)发布企业良好治理和反欺诈与腐败的良好实践。

合规管理在国内的发展:
没有规矩,不成方圆。中国传说中的人文始祖女娲与伏羲,女娲持规,伏羲持矩,“规”和“”是中国合规文化的渊源。规就是规则、秩序,用来约束。矩衡量的是尺度。外有约束,内有尺度
2006年中国银行业监督管理委员会发布的《商业银行合规风险管理指引》五章31条
2012年多部委联合发布《中国境外企业文化建设若干意见》第五条提出坚持合法合规,严格遵守驻在国和地区的法律法规,是境外企业文化建设的重要内
2015年2月,国资委发布了《关于全面推进法治央企建设的意见》
2016年,国资委确定了中石油、中国移动、中铁、招商局、东方电气等五家企业试点单位,为中央企业合规管理工作探索经验。
2017年,国家质量监督检验检疫总局和国家标准化管理委员会联合发布《合规管理体系指南》国家标准(GB/T 35770)
2018年,国资委出台《中央企业合规管理指引(试行)》要求中央企业按照全面覆盖、强化责任、协同联动、客观独立的原则,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动,有效管控合规风险。
2018年,国务院发展改革委员会等七部委联合发布实施了《企业境外经营管理指引》进一步明确了对于海外合规的管理要求。对开展对外贸易、境外投资、对外承包工程等相关业务的中国企业加强合规管理明确了原则、方向和要求。
2020年,国务院反垄断委员会印发《经营者反垄断合规指南
2021年,最高检、司法部、财政部、生态环境部、国资委、国家税务总局、国家市场监管总局、全国工商联、中国贸促会九部门联合印发《关于涉案企业合规第三方监督评估机制的指导意见(试行)》在总结前期试点工作经验,业绩评价不同模式利弊得失的基础上,探索建立“检察主导、各方参与、客观中立、强化监督”的第三方监督评估机制。

2.合规管理体系概述

根据《合规管理体系指南》国际标准、国家标准(ISO37301、GB/T 35770) 一个完整的合规管理体系应包含以下内容:
高层领导的承诺、合规方针、组织的角色、职责和权限、合规风险的应对措施、合规目标和实施策划、支持合规管理的资源、确认员工有合规能力的方案及实施记录、培训、员工对合规及不合规后果的认识、沟通、文件化信息、合规管理体系运行的策划和控制、内控流程、外包过程、绩效评价、管理评审、不合规事件发生的纠正措施、持续改进

合规管理有效性的提出,以及对合规管理体系完整性的关注,体现了现代企业合规管理的实践要求。企业合规管理是动态的,企业合规管理体系的组织架构及制度构成是静态的,现代企业合规管理体系的有效性、完整性是在静态和动态的融合推动中发展的。

3.合规分类及内容

A-Z合规话题分类框架:
资格资质合规、企业治理合规、财务合规、税务合规、内部审计合规、外部审计合规、劳动用工合规、安全生产合规、产品质量合规、仓储物流合规、采购合规、直接销售合规、渠道销售合规、消费者权益保护合规、进出口合规、贸易禁运合规、慈善活动合规、基础设施建设合规、信息安全合规、知识产权合规、竞争法合规、环境和资源保护合规、反腐败合规、反欺诈合规、内部控制合规、特别强化的合规要求和其他合规要求

合规话题内容分为四个部分:
第一部分,强制性合规义务。即法律强制性要求企业必须履行的合规义务,包括企业应当采取的行为、达成的结果或者遵守的标准。
第二部分,弹性合规义务,企业可自愿履行的合规义务。弹性合规义务应当比强制性合规义务更严格,其内容的依据是企业主动承担的社会责任、企业对良好声誉的追求和企业伦理。
第三部分,制度设计。企业在实践中的做法,将合规义务内部化,变成企业的内部制度。
第四部分,通用合规实践。具体制度设计下的范例,如制度样本、内部控制要点、流程模型、报告模版、培训资料等。

4.合规文化

培育合规文化,强化合规管理是企业稳健经营的必然要求,是企业高质量发展的有力保证。
合规意味着企业遵守了适用的法律法规、监管规定、也遵守了相关标准、合同、有效治理原则或道德准则。若不合规,企业可能遭受法律制裁、监管处罚、重大财产损失或声誉损失,造成合规风险。
培育合规文化是防范风险的根本手段。不合规行为归根结底是因为合规理念缺失、合规意识不强、合规管理薄弱造成的。积极开展合规文化建设活动、就是要紧密配合案件和风险防范长效机制建设,变堵为疏,变被动为主动,将检查问题与正向引导相结合,着眼源头综合治理,从根本上预防案件和经营风险。
强化合规不仅是为了防范和化解合规风险,更是有助于企业管理体系的再造以及企业文化的重构,最终是为了企业软实力即综合竞争力的增强。
强化合规管理是职业伦理的核心所在,也是履行社会责任的需要。
合规文化是组织成员在长期发展过程中形成、传承、积淀的依法合规、遵章守纪的思想观念、价值标准、道德规范和行为方式的集合。其本质是规章制度与人的意识相结合,它是合规的灵魂
广义的合规文化可理解为“合规的文化建设”,是企业文化的一部分,为了保证一个企业、团队里的所有成员都能自觉做到依法合规。
合规文化的核心是法律意识。合规文化必须通过制度传达。
合规是一种底线思维,这是一个边界理念,是一个底线,一切追求利益最大化的行为一旦越过此线,就是不能容忍的,零容忍的,这也是合规文化的基础。
合规文化由知识、制度、精神、物质四个层面组成
知识层:有关合规管理的基础知识。
制度层:企业对经营管理活动中出现的各种风险进行预防和控制的一整套制度安排。
精神层:企业的管理者和员工在企业经营管理中长期发展过程中形成的共同信守的思想观念、价值标准、道德规范、行为方式等精神因素。合规文化包括诚实、守信、正直等职业道德与行为操守,“合规人人有责”、“合规创造价值”、“合规促进发展”、“违规就是风险”、“主动合规”等理念和行为准则,以及企业对社会负责、企业对员工负责、员工对企业负责、员工对其他员工负责等价值观念取向。
物质层:指向企业内外部传播信息中体现合规文化的物质载体,包括有合规管理组织体系、合规管理系统、合规宣传培训资料、合规风险报告、法律法规信息等内容。
企业合规文化是一个从精神层到物质层、逐步具象化的过程

合规文化建设阶段  服从->认同->内化
树立全员合规的经营理念、健全合规组织体系、完善合规制度流程体系、强化员工日常合规培训、加强合规经营的检查监督、构建科学的激励约束机制。
合规文化的维护:企业应及时了解内外部环境变化所导致的合规义务的改变,及时调整合规应当采取的策略和方案,确保持续合规
合规文化的培育需要一个良好的内部环境基础,需要通过改革旧有的制度范式、变革落后的管理理念方法才能实现,需要长期循序渐进的过程去维护。
企业还应将合规作为企业经营理念和社会责任的重要内容,并将合规文化传递至利益相关方企业应树立积极正面的合规形象,推动行业合规文化发展,营造和谐健康的经营环境
企业还应当建立合规文化建设效果的评估机制,客观检验合规文化在实践中是否得到有效贯彻执行,并有针对性地促进持续提升(评估范围应覆盖公司所有业务、各个分支机构、全体工作人员、贯穿决策、执行、监督、反馈等各个环节)
合规文件建设评估主要分为五个评估:目标评估、尽职评估、能力评估(企业是否有必要的管理资源和合适的合规人员去实现合规目标)、监测评估、学习评估(企业是否从违规行为、风险事件中得到经验教训)
评估方式可通过开展合规文化建设的自我评估、成立专门的合规文化评估小组、合规文档收集和审查、现场检查与评估,问卷调查等进行。
企业合规文化及其核心价值观体现了企业的精神境界和文化品格,全体员工通过认知、认同、信奉企业合规文化,进而转变为自觉意识和实际行动,所形成的企业合规文化力量深深熔铸在企业的生命力、凝聚力和创造力之中,直接影响到企业的核心竞争力。
文化是不可复制的,需要慢慢培养形成。文化所具有的无形,同时又无处不在的特殊性,决定了对企业合规文化氛围、合规文化建设成效的判断必须经过长期观测,需要更为综合的信息。

二、合规师岗位职责

5.合规师职业操守

企业员工所追求的价值感满足,逐渐从低层次的物质需要层次向更高层次的自尊、被尊重和自我实现需要层次升级。企业价值观应以诚信为基础
信任是所有关系的基础,是激励的源泉。真正的成就感、自豪感来源于积极、负责任地参与了企业的经营和管理,没有参与感就没有成就感
当信任缺失后,猜忌和自我保护会大行其道,对员工的激励手段变得十分有限,而物质奖励成为最直接和可行的选择。薪水、奖金、福利的未知越显著,就越会扼杀创造性,降低员工的表现水平

合规管理本质上属于诚实信用管理。对企业合规师而言,最重要的道德操守是遵守规则、诚实信用和公平
企业合规师应成为践行诚实信用的模范,成为企业员工的可靠的沟通伙伴,成为公司管理者的值得托付的合规管理工作者,成为企业的商业伙伴和公众可信赖的对接人。相反欺诈、舞弊、诈骗、诋毁和弄虚作假行为会严重损害企业合规师的职业操守。
廉洁是诚实信用的具体表现。不廉洁的行为即腐败,是企业合规师的禁忌,会对企业合规师的声誉造成致命的打击。
公平要求在从事合规管理工作中能够公平适用合规规范,无歧视地监督和处理管理者和员工的不合规行为。不能偏袒、歧视和恣意
勇气是合规师的另一项重要必备素质,在看到不当行为或潜在风险时,需要挺身而出,据理力争,保护公司和个体权益不受损害。
尊重 企业合规师应该充分了解业务流程,深入理解日常业务挑战和业务风险,尊重每个个体在企业运营中所付出的努力,才能同业务部门共同有效地管控合规风险。

6.合规职能定位和架构

企业的每个员工和部门都或多或少地承担着一定的合规职责。
董事会对全体股东和公司负有受信义务,受信义务可分为忠实义务和注意义务。前者指董事会要以股东利益最大化为行动出发点,努力避免利益冲突;后者指董事要审慎经营并进行良好的商业判断。落实到合规方面,受信义务意味着其应当尽最大努力确保公司以合法合规的方式运营。
董事会应当负责批准企业合规管理战略规划、推动完善合规管理体系、任免合规管理负责人等。
国际实践中,通常在董事会下设合规委员会,一般由董事会指派具备法律、财务、人事管理背景的董事组成。
合规委员会的职责应包括:确保公司内部制度和合规体系能够准确、有效地反映公司经营相关法律法规的要求并能够对相关的合规风险形成有效管控;监督公司合规管理部门的组织架构、工作计划、财务预算、人员配置和权责履行情况,以及其独立性、权威性、汇报路径;审查公司和桂冠的任命解雇;审查针对已识别的重大合规风险漏洞、违规行为的纠正和改进方案,并监督、确保方案的执行完毕。

企业管理层受董事会的委托在日常基础上负责企业的经营和管理。管理层也称为领导层,其人员范围由企业自行决定。
管理者应配合和支持合规职能,并鼓励员工共同参与。确保其管理范围内员工都能遵守组织的合规义务、方针、过程和程序。识别其运行过程中的合规风险并进行沟通。在其职责范围内将合规义务融入现有的商业惯例和程序。还应确保一经确定需要采取纠正措施时,适当的纠正措施能够得到推荐并实施(及时制止并纠正不合规的经营行为,按照权限对违规人员进行责任追究或提出处理建议

企业合规部门应领导和组织企业内部和外部资源,对企业的合规义务进行全面的识别、评估和监控。确定企业的合规目标,识别和评估合规风险。拟定企业合规管理体系整体方案。落实合规措施并逐步改进。组织合规沟通、教育和培训。建立健全企业的违规举报、调查和补救机制。就企业合规管理体系运行有效性向最高管理层和董事会等治理机构提交定期报告和特别报告。

合规负责人应贯彻执行董事会、监事会和管理层对合规管理工作的各项要求,全面开展并实施合规管理各项工作。协调合规业务与公司各项业务之间的关系,领导合规管理部门,完善组织队伍建设,认真有效地完成工作任务。
合规负责人除了诚信、公平、正义外,还应具有较强的逻辑分析能力,善于迅速从纷乱复杂的现象中抓住主要矛盾,并在信息不充分的情况下作出判断且不严重偏离事实。
企业实现合规目标需要全体成员参与并作出贡献。合规是每个企业员工应履行的责任

合规风险需要防范的合规风险,在法律合规风险方面存在重合,但两者不能彼此覆盖,各自具有其独立性。合规风险还包括违反诚实守信和道德准则而遭受的名誉损害甚至财物损失的风险法务的工作更多是被动的,而合规工作除了被动地咨询外,还有很多主动的内控、监督、评估等工作。
合规作为风险之一。合规管理和风险管理各有侧重,但都是企业治理中不可缺少的部分,两者相互配合实现企业的良性、健康、合规发展。合规部门针对合规管理中识别到的风险,将其提示给风险管理部门以帮助其对企业风险管理计划、战略作出安排和调整。风险管理部门也可以就其工作中发现的合规问题、信息共享给合规部门,支持合规部门对风险的监控和反应。
内部控制是实现合规的手段之一,但内部控制并不等同于合规。内部控制一般关注两个方面——财务内部控制业务流程内部控制。合规与内部控制的主要区别在于——合规既是合规工作的内容也是合规工作的目标。内部控制的目标是基于运营目标而设定的,如果运营目标是错误的,有效的内部控制只会强化这种错误,让企业偏离运营的轨道。专职合规团队可以借助内部控制团队的专长,优化与合规相关的内部控制机制。
内部审计部门是企业设立的负责经营管理合规审计,对合规管理体系的运行状况进行监督的部门。与隶属于咨询机构的外部审计团队相区分。内部审计部门应保持高度的独立性,在工作中不受内部任何其他团队的影响和干扰,另一方面审计团队不介入前端业务建议和决策,只在事后基于收集到的客观证据进行审计

合规部门和内部审计部门相互独立,合规部门和企业的合规管理体系是审计的对象。审计部门负责公司各项经营活动的合规性审查
审计部门的审计结果是合规部门发现、识别合规风险的重要来源和依据
审计工作体现的是事后控制,而合规管理包括事前预防、事中风险侦测以及事后应对

合规风险管理的三道防线:
第一道防线——核心业务部门,作为风险管理的第一责任机构。业务部门是日常执行公司政策、程序、流程的主要群体,他们直接面对客户和市场,可能最先接触到风险源,因此第一道防线的有效性是事前风险控制的关键
第二道防线——支持职能部门,包括风险、法务、合规、财务、人力、质量、安全等所有可以协助一线核心业务部门进行风险管控智能的部门。第二道防线应对第一道防线的执行提供专业化协助、技术支持和培训服务、风险监控。
第三道防线——保证职能部门主要指内部/外部审计部门,以及案件调查部门。审计是对公司治理、风险管理和内部控制的效率和效果进行审计。案件调查部门通过案件调查形成结论,对后续的人员纪律处分和流程优化提供依据。
前两道防线更多体现事前防控,第三道防线主要是事后审计。三道防线是一个相互制约、相互补充的立体式系统

7.合规风险

合规是立规的初衷,也是管控风险的核心手段。规章制度越完善,组织成败风险就越是集中体现为合规风险。合规风险成为组织的核心风险,并成为其他风险发生的重要诱因。
风险,指不确定性对目标的影响。由于不确定性事件或因素产生作用,可能导致实际结果与预期目标相比出现偏差,这种偏差有可能是负面的,也可能是正面的。所谓不确定性,是指发生什么事件、产生什么后果、以及事件和后果的发生有多大可能性,存在信息方面的缺失或信息不完全。
固有风险,识别和评估固有风险可以掌握组织各领域及各部门在风险管理方面的重要程度,便于合理配置风险管理资源
剩余风险(残余风险) 指组织采取相应的风险控制和管理技术后,仍未达到组织可接受标准的风险识别和评估剩余风险可以评价风险管理绩效、据以确定下一轮风险管理的改进方案。
风险管理是指导和控制组织风险的协调活动。即组织通过风险识别、风险分析、风险评估、风险应对管理等方式对风险实施有效控制和妥善处理损失的过程。风险管理的目的是创造和保护价值并支持组织目标的实现

风险评估是风险识别、风险分析和风险评价的整个过程。
风险识别是指对现实和潜在的风险进行系统的辨别和认识的过程。目的是发现和完整描述可能影响组织目标实现的风险,避免产生重要的遗漏,为风险分析和评估提供信息。风险识别的成果是形成风险清单列表
风险分析是指理解风险性质、确定风险等级的过程。即对风险发生的可能性及影响程度进行估测、量化和确认的过程。风险分析的目的是确认包括风险水平在内的风险性质和特征。风险分析涉及对不确定性、风险源、后果、可能性、事件、情景、控制及其有效性的详细考虑。分析技术可以是定性的或定量的,也可以是两者相结合。
风险评估指在风险识别和分析的基础上,对风险发生的概率,损失程度及影响,结合其他因素进行全面考虑,评估发生风险的可能性及危害程度风险评价的目的是支持决策

识别和评估风险的具体方法:
风险清单筛查法:专业人员设计标准表格和问卷,全面罗列单位可能面临的风险,由主管和资深员工逐项筛选的风险识别方法。如风险分析调查表等。
流程分析法:根据业务处理流程或管理流程找出各环节潜在风险并分析风险可能造成的后果。包括静态分析和动态分析。
因果分析法(鱼骨图分析) 将工作目标进行六个纬度的一级分解,分别为人员、设备、原料、方法、环境、测量;英文缩写为“4M1P1E”。
情景分析法:通过分析未来可能发生的各种情景,以及各种情景可能产生的影响来分析风险的一类方法。未来是不确定的,而情景分析使我们能够预见未来,为管理者决策提供依据。

固有合规风险识别与评估方式:
新法规、监管政策收集、研判、解读与合规策略规划。合规管理部门可设置专人组织收集法律、法规及各监管机构政策规定,关注行业规则及行业最佳实践,定期发布新法规解读及合规策略建议。
对企业新制度、新流程、新产品、新业务、重大决策事项容易引发系统性合规风险的 “四信一重”进行合规评审。做好从立项、初评、评审、审批决策、跟踪评估全流程。

剩余风险识别与评估方式:
监管检查信息整理与行政处罚跟踪。
内审监察信息与损失数据统计分析。
紧急风险事项的报告信息处理。
网络事件、组织舆情监测与客户投诉、抱怨信息分析
日常经营异常情况分析
合规风险提示书

合规风险控制基本手段:
将来自外部的和内部的组织合规义务整合体现在组织运营管理的流程、制度和管理系统中,通过内部规章制度的严格执行达到全面、持续合规的目的。
培训、宣导合规文化建设。对违规行为进行处罚,提高舞弊成本。
建立违规投诉、举报处理机制。
通过内外部审计进行监督,主动发现合规风险防控的薄弱环节,持续完善合规管理体系。

风险控制流程:对已发生违规事项进行调查和处置——>制定和选择风险应对方案——>计划和实施——>评估管控有效性——>确定剩余风险是否可接受——>若不能接受进入新的管控流程
风险控制活动:指发生于整个组织的所有层级和所有职能中,包含一系列不同的活动,如批准、授权、验证、调节、经营、业绩评价、资产保管以及职责分离等。
授权审批机制:组织制定常规授权特别授权的制度,明确各岗位办理业务和事项的权限范围、审批程序和相应责任,要求各级管理人员在授权范围内行使职权和承担责任。严格控制特别授权
不相容职务分离控制(各司其职、各负其责、相互制约)、会计系统控制(明确会计凭证、会计账簿和财务会计报告的处理程序)、财产保护控制(财产日常管理与定期清查制度)、预算控制、运营分析控制、绩效考评控制(定期考核和客观评价)、重大风险预警和突发事件应急处理控制。

现代社会能由一个人完成的工作越来越少,必须由很多人分工合作完成,制度是分工、合作协调的依据。内外部的合规需求都需要整合在组织业务流程、 管理流程和作业规则之上。合规需求只有固化为组织制度,才可以保证自动重复执行,实现持续合规。制度管理的完整性(健全性)、有效性、合理性(适当性)

8.举报与调查

合规举报机制有利于发现企业潜在或隐藏的合规风险;有助于减少对公司负面声誉的影响;是衡量企业合规管理体系是否完善的有效指标之一。
举报相关方:企业、合规管理团队、举报人和被举报人
举报范围:发生在企业内部或针对企业的欺诈行为、行贿受贿索贿行为、财务作假行为、滥用职权、严重失职、严重的歧视和性骚扰行为、严重危害人身健康和安全行为、针对举报人的打击报复行为等违规行为。
国有企业举报范围还应包括领导干部滥用职权、铺张浪费、腐化堕落、伤风败俗、违背企业文化等给企业造成不良影响的行为。
消费者对产品或服务不满意进行的投诉不属于违规举报范畴,应由企业售后部门负责。员工对薪资、晋升、业绩考核结果、培训机会分配等问题的争议应由企业人力资源部门牵头处理。
举报渠道:举报邮箱、线上举报平台、举报热线和其他举报渠道。大部分企业设立专门接受举报的电子邮箱。邮箱名称应直观表明本邮箱的用途。
企业应注意电子邮箱系统的安全,至少保证两人以上有登陆权限,应当有防删除的设置,以保留未来用于审计的证据,且防止任何人徇私删除举报信息
举报信息必须注意保密性,不应将其随意泄露。国有企业一般由纪检监察部门统一受理违规举报
举报信息收集处理流程:
对举报信息开展初步评估(举报范围、信息完整性、关联性) 还应对该举报信息可能隐藏的风险,如举报人缺乏事实依据,捏造事实,诬陷他人,造成同事关系紧张,带来不良影响等。
合规管理团队应根据初步评估的结果,一般在72小时内跟举报人进行初步反馈。若举报信息完整,足以启动调查,将按照企业内部调查制度和流程启动调查。若举报关键信息缺失,过于笼统,不足以启动调查机制;合规管理团队应向举报人说明情况,给举报人留出足够的时间补充提供信息或者证据材料。如果举报人没有放弃举报但也不能再提供更充分的信息,合规管理团队可以在最后一次有效沟通后按照现有信息和证据决定启动调查、关闭案件或作出其他处理。调查处理的结果一般不需要反馈给举报人,因为调查过程和处理结果都是企业内部的流程。企业可以在调查结束后,概括地通知举报人,举报信息已查实并处理;或者举报信息部分查实已处理;或者举报信息未查实
严禁打击报复举报人:担心打击报复是员工不愿举报或者不愿实名举报的主要原因。因此企业应严格保护举报人的安全。严禁任何人对举报人进行任何形式的打击报复,无论是明显的或隐性的、公开的或秘密的、减薪或降职、转岗或辞退以及其他任何经济方面或声誉方面的报复行为。企业应对实施打击报复的被举报人给予严厉惩处,并且在合规宣传与培训中鼓励违规举报,并阐明公司保护举报人、严惩打击报复行为的政策和决心。
鼓励举报:企业应倡导和鼓励员工进行积极举报。所有员工均负有“诚信举报”义务,员工认为有任何实际或潜在违规行为应立即汇报。企业还应鼓励客户或第三方投诉在与客户或第三方进行商业活动过程中,应向其明示企业禁止商业贿赂及其它违规行为
举报机制的维护定期对举报制度和流程进行审核,对于有漏洞或不完整的地方及时更新,及时对举报热线、邮箱进行测试;通过各种培训场合向员工宣传举报渠道,鼓励员工积极举报。

调查机制:内部调查是合规管理体系中重要的应对机制之一。通过内部调查,企业可以发现违规行为,识别违规责任人,并针对企业内控机制的漏洞和缺陷,及时补救,完善合规管理体系
调查对象一般为企业员工,也可以是违规事件涉及的外部组织或外部组织的成员
调查的基本原则:独立性原则(调查团队人员不应包括与调查事项存在利益关系的员工或高管)、保守秘密原则(应保守内部调查中所了解的国家秘密、个人隐私、商业秘密等)、合法性原则(收集证据要合法,取证手段、程序、形式要符合法律法规要求)。
可能触发内部调查的情形:举报、管理层的疑虑或询问、执法部门的询问和调查要求
内部调查流程:初步评估——>制定调查计划——>实施调查——>形成调查报告
合规管理团队要对潜在违规行为的严重程度进行评估,以确定案件的优先等级。便于决定企业是否要对案件在多大程度上投入调查资源,例如是由内部调查还是委托外部调查,是否开始启动前置保护程序等。
内部调查的首要目的是查明可能的违法事实,并且发现、收集相关证据。同时从是否存在制度瑕疵及系统性风险的角度来决定是否扩大调查范围。调查范围的确定,合规管理团队应和相关职能部门进行密切沟通,尽可能确保调查范围合理、全面、明确可操作,避免将调查范围盲目扩大。
内部调查团队可以是兼职团队,包括律事务部、内部审计部、人力资源部、内部控制部和安全保卫部等。内部调查人员的选择应综合考虑调查人员的个人能力,调查人员的专业知识背景和时间分配等,同时应避免团队成员与案件有利益冲突。根据案件的复杂程度、敏感性,企业可以选择外部调查机构进行调查。对外部调查机构的选择,应选择有合法资质、有丰富调查经验的机构。
调查机构的违规行为包括在调查过程中使用非法的调查手段、侵害调查对象的合法权益、对调查对象进行恐吓、威胁等,给企业造成声誉影响
证据收集手段:文件审阅、账目审阅、背景信息调查和关系梳理、第三方调查、访谈等。一般来说对被调查人员的访谈应放在最后面的阶段。
安排访谈对象的顺序可以遵循从次要到主要、从级别低到级别高、从外围到核心的原则。访谈以面谈为主,应安排至少两个访谈人进行访谈,需要一个人主问,另一个人辅助并帮助记录访谈内容,这样有利于访谈的流畅与记录的完整。调查人员在提问时应采用五个W原则,即什么时间、什么地点、谁参与了、发生了什么情况、发生的原因。访谈笔录应清晰准确,避免歧义并要求被访谈对象签字确认。中国法律下访谈笔录需要被访谈人签字确认后才具有证明力。
在调查结束后,合规管理团队人员根据所掌握的事实和证据,撰写调查报告,其应包括案件的基础信息(背景、线索来源、主要调查对象及相互关系等)、调查过程、主要发现,并给出调查结论,查明属实或部分属实;查明不属实;无法查明事实。证据是支持事实和结论的关键证据。

对于查明属实的违规行为,合规管理团队协调相关部门,进行纠正和改进。纠正措施包含两个方面:一是对违规员工制定纪律处分措施;二是调查中发现的管理缺陷和漏洞,应当责令相关部门采取措施加以弥补
对违规员工的纪律处分包括训诫、口头或书面警告、降级、降职、调职、解雇等

企业外部调查一般为政府执法部门根据投诉或举报的线索,针对企业展开的特定目的的检查或调查行为。例如执法部门有权针对怀疑危害市场秩序或不法商业行为进行调查。企业有义务配合政府执法部门的每次检查和调查,提供合法有效的应对,减少经济损失和负面社会影响。合规管理部门应时刻关注政府执法的法律法规、趋势、及时给企业管理层,相关员工提供培训

9.合规培训与沟通

合规培训是一个企业合规管理体系中的一个重要组成部分。也是一个企业合规文化建设内容中不可缺少的部分,是指提供给员工、高管、甚至第三方商业伙伴的,针对相关合规风险,进行传授相关合规知识和法律责任,提供相关人员合规意识,减少相关合规风险,帮助企业进行合规管理的一种有效方式。
合规培训中最好列出一些常见的不合规的行为场景,对可能导致的合规处罚甚至法律责任的后果要明确且强调。最好还能结合一些实践案例去引导员工。场景设计时,最好结合企业过去发生过的案例,近期同行业里发生的案例,充分考虑被培训人员的文化水平程度,尽量用大白话去有效沟通。一般认为,一名员工的合规意识不佳及不合规行为的发生,与其上级管理层的合规管理水平直接相关。所以应当在制度设计上强调管理职位的合规责任。
专项合规培训:目的是要达到合规专项风险控制。针对性很强的,比如像反垄断、出口管制、个人信息数据保护等,这些领域需要专业深入的讲解和分析,深入的专项培训来达到有效的预防相关合规风险的目的。
企业在对第三方合规管理的内容里包含了对第三方的合规培训。第三方可以是供应商、经销商、代理商、分销商、长期合作伙伴等。企业在对第三方的合规培训一方面是将企业对商业合作伙伴的商业行为的合规要求明确传达,一方面也是企业针对自身风险点,对自己的完整合规体系建设的一个有力证明如果将来被外部执法机关调查追求合规责任的时候,对第三方的合同以及培训上的合规要求等,是一个辩护点
合规培训形式:面授培训与网络培训、合规官培训或管理层培训、内部人员培训或外请专家培训。由于合规官平时离业务比较远,无法引起员工的共鸣,给人以距离感,容易法言法语,忽略听众的法律与合规知识的基础。这种情况下最好的方式是尝试让一些管理人员来担任合规培训讲师,管理层在部门的威望能够确保员工积极参与合规培训,并且管理人员可以结合本部门业务特点,讨论身边的真实案例
合规培训频率:一般性的全员合规培训可以一年一次员工职务、职能发生重大变化时,需要针对新的职务进行针对性的合规培训;企业外部法规政策市场环境等因素发生重大变化企业内部战略政策方针发生重大变化时需要对企业全体员工或与该合规风险相关的内外部人员进行针对性培训,同时对培训体系进行必要的更新。
有效的合规培训:制定合理的培训计划、设计有效的培训内容、开展有序的培训活动、保持完整的培训记录。
当发生违规事件,被外部执法机构挑战的时候,企业可以用这些记录来证明本企业已对涉事员工进行了充分的合规沟通和培训
合规沟通作为一项重要的软技能,首先应注意沟通的态度,只有让对方感觉到有诚意的时候,甚至能产生共情的时候,才能做到好的沟通与循环。合规官应该换位思考,我们的被访谈对象是不是更容易放下心理戒备,开始跟我们倾诉各种我们平时根本听不到的一线真实情况?是不是有助于我们分析合规事件背后的根本原因?
沟通的目的和效果是逐渐在企业内部以及员工之间形成一种观念,那就是合规不是业务部门的敌人,合规是业务部门的生意伙伴,是站在业务部门立场为业务部门守住底线、出谋划策一起努力实现业务目标的利益共同体

10.合规审计

合规审计的三道防线:
第一道防线主要由基层业务部门承担,通过严格执行企业合规管理的逐项制度及操作要求,规避底层执行合规风险,确保企业主营业务合法合规
第二道防线主要由合规管理职能部门承担,通过制定企业内部合规管理逐项制度并监督其实施情况,防范企业内部各流程环节合规风险,确保企业内部日常运营合法合规
第三道防线主要由内外部审计部门、调查部门或工作小组承担。通过对合规管理实施全面内外部审计,评估企业合规管理从设计到实施的全过程合规风险,提出合规管理的优化改进建议并监督实施,从而确保企业合规管理的持续改进
合规管理的内部审计即合规管理体系监督及改进的内部审核过程,是一种独立、客观的管理活动,其目的是为了提升企业管理价值及运营效率。该过程采取一种系统化、规范化的方法来对合规管理的建立、实施及监督改进过程进行评价进而提高过程的运作效率,助力实现企业合规目标。
审计工作的原则:诚实正直的职业基础;真实准确地报告义务;在审核中勤奋并具有判断力;保密信息安全;保持审核的公正性和结论的客观性;基于证据得到结论
获取审计证据是审计工作的重要基础,目的是支持审计结论和审计意见,有的审计资料查阅审核并记录即可,有的审计资料不仅需要审核,还需要进一步核实,以及审计人员的专业判断
审计证据通常包括有:内部控制制度(含财务会计制度)、合规管理制度、其他管理制度、会计报表、总账、明细账、会计凭证、原始凭证、合同协议、审批单、销售及采购发票、对账记录、文件、会议纪要等。
审计报告应包括:对被审计对象的被审计内容的总体评价,对所发现的问题逐项说明,以及针对发现问题进行风险或影响程度的分级,报告内容还应包括针对发现问题的整改措施,责任人及措施完成时间
审计报告草稿完成后,应该与被审查对象的领导层和各相关方进行分享,听取意见并最终完稿。

企业开展对外货物和服务贸易,应确保经营活动全流程、全方位合规,全面掌握关于贸易管制、质量安全与技术标准、知识产权保护等方面的具体要求,关注业务所涉及国家(地区)开展的贸易救济调查,包括反倾销、反补贴、保障措施调查等。
企业开展投资,应确保全面掌握关于市场准入、贸易管制、国家安全审查、行业监管、外汇管理、反垄断、反洗钱、反恐怖融资等方面的具体要求。
企业开展承包工程,全面掌握关于投标管理、合同管理、项目履约、劳工权利保护、环境保护、连带风险管理、债务管理、捐赠与赞助、反腐败、反贿赂等方面的具体要求。
企业开展境外日常经营,全面掌握关于劳工权利保护、环境保护、数据和隐私保护、知识产权保护、反腐败、反贿赂、反垄断、反洗钱、反恐怖融资、贸易管制、财务税收等方面的具体要求。 

11.合规管理有效性评估

合规管理的有效性在于:有效提升企业合规风险防控能力,避免财务的损失;帮助企业/高管免除或减轻刑事责任;提高企业品牌价值,增强企业竞争力
企业的合规管理体系需要不断地完善,需要定期或是根据需要对其有效性进行评估,以发现和纠正合规管理中可能存在的问题或缺陷,不断改进和优化。
有效性评估的要素应从“设计、执行、效果”三维度进行评估。主要包括:对不合规行为的预防、监测、回应和处置;对公司治理机构、高管人员、实权人员合规领导力和执行力的考察;合理设计、有效执行的合规方案及持续提升;周期性的合规风险评估等内容
合规管理体系有效性评估形式:合规监控、审计、管理层评审
监控是一个日常持续进行的风险监测、识别、审查和分析的过程。测试是一个动态的、基于风险的、独立的、定期的检查过程。测试程序包括选取样本、对样本按照设定的标准和方法进行评估检查。另外测试样本的选取应遵循相关性、充分性、代表性原则。重大的违规事件容易发生在高风险业务领域或流程里,所以对这些业务活动和流程进行测试,比较能够判断出现有的管控措施是否可以有效地防控风险或是否需要改进
企业可以借鉴专业领域的先进经验,利用矩阵反映企业当前的合规管理体系的设计、执行状态和效果,并对应目前行业领先合规管理评审采用的框架,将各个要素进行对标评分。
a."领先" 其他企业相比,企业的实践和管控更谨慎有效。
b."同步" 企业的实践和管控跟其他企业相似。
c."滞后" 企业的实践和管控不太成熟,有改善的机会。
企业通过对企业的经营管理的合规性进行检验,对不完善的地方提出改进的建议,并推动落实执行。改进建议除改进措施外,还应包括完成的时间、实施部门,落实责任
企业需要指派专人关注、跟踪、记录改进措施的执行和完成情况,并向企业的有关管理机构或负责人报告。这些记录应该被妥善保存

12.合规价值观

价值观是基于人的一定的思维感官之上而做出的认知、理解、判断或抉择,也就是人认定事物、判定是非的一种思维或取向,从而体现出人、事、物一定的价值或作用。
价值观具有稳定性和持久性、历史性与选择性、主观性的特点。通常认为建立以诚信为基础的合规制度,让合规成为工作的精神内核,做正确的事,并且正确地做事,是一种被普遍接受的合规价值观。
合规价值观的一般内容:既遵守法律法规,又符合道德标准。建立诚信文化,流程公正透明,注重保护隐私和数据安全,合规人人有责,倡导提出诚信疑虑并严禁报复
以较高的诚信或道德标准为基础进行合规判断,是一个企业可以历久弥新的核心生存法则。合规是一个企业的真正优势,形成企业的核心竞争力,合规制度的建立和实践不可或缺。

三、专项合规

13.反腐败合规

企业反腐败合规主要包括反商业贿赂反舞弊行为两大部分内容。
中国反商业贿赂相关法律法规:
2019年4月23日修订的《反不正当竞争法》对商业贿赂行为的内涵和外延进行了明确规定。其中第7条规定:“ 经营者不得采用财物或者其他手段贿赂下列单位或者个人,以谋取交易机会或者竞争优势:(一)交易相对方的工作人员; (二)受交易相对方委托办理相关事务的单位或者个人;(三)利用职权或者影响力影响交易的单位或者个人。经营者在交易活动中,可以以明示方式向交易相对方支付折扣,或者向中间人支付佣金。经营者向交易相对方支付折扣、向中间人支付佣金的,应当如实入账。接受折扣、佣金的经营者也应当如实入账。经营者的工作人员进行贿赂的,应当认定为经营者的行为;但是,经营者有证据证明该工作人员的行为与为经营者谋取交易机会或者竞争优势无关的除外。
我国《刑法》中并无“商业贿赂罪”这一罪名,它并非刑法上具有独立意义的具体犯罪概念,仅用来表述发生在商业交往领域的贿赂犯罪。
2008年,最高人民法院与最高人民检察院联合发布的《关于办理商业贿赂刑事案件适用法律若干问题的意见》明确了商业贿赂犯罪涉及刑法规定的八种罪名:非国家工作人员受贿罪、对非国家工作人员行贿罪、受贿罪、单位受贿罪、行贿罪、对单位行贿罪、介绍贿赂罪、单位行贿罪
医疗机构中的医务人员,利用开处方的职务便利,以各种名义非法收受药品、医疗器械、医用卫生材料等医药产品销售方财物,为医药产品销售方谋取利益,数额较大的,依照刑法第一百三十六条的规定,以非国家工作人员受贿罪定罪处罚。
我国于2005年加入《联合国反腐败公约》其对贿赂犯罪进行了全面的规定,对于禁止贿赂本国公职人员、禁止贿赂外国公职人员或者国际公共组织官员、禁止私营部门内的贿赂以及禁止影响力交易均予以规制。
在企业内部,采购、销售、财务是违规风险的高风险环节,请客送礼接待方面是我国企业合规经营面临的难点问题。我国跨国企业必须建立健全境外投资风险防控机制,完善风险预警体系,以积极应对目前国内外的合规审查政策。
国外反商业贿赂法律规范体系:
美国《反海外腐败法案》(Foreign Corrupt Practice Act, 简称为"FCPA"包括1个会计条款,3个反贿赂条款,1个法律责任条款。FCPA是美国单行法《证券交易法》的一部分。
反贿赂条款禁止向外国官员、政党官员等公职人员支付任何有价值的物品,以获取或维持商业机会,或者获得不正当利益。会计条款则要求在美国上市的公司或者有义务向证券交易委员会提交报告的公司保证会计账目管理正确,严禁做假账掩护对外行贿的行为。
英国2010年《反贿赂法案》(Bribery Act) 被称为“世界上最为严厉的反腐败立法”。 该法案规定了“商业组织防止贿赂失职罪”,指商业组织的关联方(包括但不限于公司的员工、代理人、子公司等),为了使企业在经营活动中取得竞争优势或者提高交易机会,如果商业组织未有效防止贿赂发生的,该商业组织构成商业组织防止贿赂失职罪。但是如果企业能够证明已经制定了“充分程序”来防止关联方发生贿赂,则可以豁免刑事责任。
法国2016年《萨宾第二法案》(Loi Sapin II同时增设反贪局AFA于2019年发布了《反腐败合规指南》
世界银行 (The World Bank) 是当今世界上最大的多边开发银行组织。其要求所有参与世行资助项目的主体,包括借款人、子借款人、供应商、投标人、承包商、分包商、咨询顾问、分包咨询顾问和任何代理,都要在合同的采购和执行期间遵守最高道德标准,规定了五类禁止行为:腐败行为、欺诈行为、胁迫行为、共谋行为和妨碍行为。同时针对上述禁止行为,规定了5种制裁措施:谴责、附条件下的不予除名、除名、附解除条件的除名和赔偿

判断是否具有商业贿赂性质的原则:是否会影响企业获得交易机会或竞争优势;是否符合相关法律法规规定和程序;相关费用是否合理并如实入账
商业贿赂的具体表现形式
回扣、手续费:回扣指经营者销售商品时在账外暗中以现金、实行或者其他方式退给对方单位或者个人一定比例的商品价款。但“如实入账”的也并非都不属于商业贿赂,比如借助会计的“其他应收账款”及“其他应付款”科目,以各种名义将款项使用权转移,同时转移该笔款项孳息的所有权,存在被认定为商业贿赂的可能。
礼品:商业活动中馈赠礼品的行为,如超过正常商业礼仪的必要限度,则可能被认定为商业贿赂。(按照商业惯例赠送小额广告礼品的除外)
招待:一般包括接送、交通、餐饮、娱乐、住宿等内容。招待是为了谋求特殊待遇、企图获得不当利益回报为目的;为与当次业务无关的其他同行宾客支付费用的;直接或间接地向被招待方提供现金;提高超出本企业员工同等待遇
商业赞助和公益捐赠:不得在缺乏正当理由的情况下将个人、政府部门、处在业务敏感期的商业合作伙伴作为接受赞助的主体。捐赠应注意目的、用途、受赠人与受益人的选择等问题,是受商业贿赂的重灾区。
人事聘用:为获取、维持业务或商业行为中的不当利益,向利益相关方如官员、客户或其近亲属或关系密切的人提供职位、兼职、返聘和实习岗位等类似工作机会以及晋升、培训、补贴等福利待遇作为利益交换的筹码(招聘应当客观评价,杜绝因人设岗)
商业伙伴:在企业自身不存在行贿行为的情况下,商业伙伴的商业贿赂行为也可能导致企业承担相应责任。此外,也有企业意图通过商业伙伴、将部分需要以商业贿赂手段进行的业务分包给他们,并直接或间接地向其表达向第三方行贿的需求。这样根本无法避免企业自身的法律风险,在穿透认定企业责任时,仍可能被识别、判定为行贿的当然主体并承担相应法律后果
其他:诸如培训、债务免除、预付费借记卡、会员卡、电话卡、加油卡等形式

商业贿赂风险的识别应包含五个要素,涉及的人员、诱因、时间、地点及一般场景
识别商业贿赂流程:理解企业及其环境(必要的尽职调查 书面调查或访谈)——合规义务的归纳——风险实证(案例辨析 场景模拟)——新增项目、交易活动合规性审查——行业或商业惯例——利益相关方审查——业务伙伴调查——周期性风险评估
商业贿赂合规风险评价指对已经识别出的商业贿赂风险进行评价以确认它的风险值。风险值定量的过程。应当从风险发生的严重程度、风险源频率以及风险发生的可能性等维度进行评价
商业贿赂的法律风险:民事责任风险、行政责任风险、刑事责任风险。我国刑事司法领域正在探索建立合规不起诉的激励机制,并且重点打击行贿行为,探索推行行贿人“黑名单”制度,将导致企业面临商誉受损、市场准入限制、资质受限等风险。

反腐败合规体系:企业管理层的反腐承诺、合规政策与行为守则、合规风险评估、合规人员与资源、合规培训、奖惩激励机制、将第三方纳入合规体系、举报与内部调查、持续改进。
体系有效需要高层的高度重视、健全的合规组织、充分的资源投入、系统的风险评估、全面的合规政策体系、有效的流程管控、全方位的培训沟通、持续的监督与改进
有效性评估方式:
评估应以考虑风险为原则,选择合理适当的方法,以检查程序、管控措施和体系是否出现贿赂或涉嫌贿赂、商业伙伴的违反以及体系的不足等问题。
合规管理有效性基本调查方法主要有文档审阅、现场审查、问卷调查、合规审计、调研访谈以及穿透测试与试运行等。企业应根据自身规模选择相应的方式,合规有效性评估至少每年开展一次,如出现遭受主管部门重大行政处罚或刑事处罚、发生重大违规行为、被主管部门要求开展评估的,应当及时开展专项评估

14.反垄断合规

各国反垄断法规制的垄断行为类别集中于垄断协议、滥用市场支配地位与经营者集中的行为。其中对垄断协议的规制又具体分为对竞争经营者间达成的横向垄断协议的规制,以及对交易相对方间达成的纵向垄断协议的规制。
美国反垄断制度
1890年《谢尔曼法》(Sherman Antitrust Act)   1914年《克莱顿法》(Clayton Antitrust Act) 与《联邦贸易委员会法》(Federal Trade Commission Act)
横向垄断协议竞争对手之间通过联合或共谋统一行动时,构成横向垄断协议违反《谢尔曼法》第1条。《竞争者间合作行为反垄断指南》为鼓励竞争者间的合作,进一步明确:若合作的竞争者占相关市场总额小于20%,其合作行为被认定为违法的可能性很小。而只有对“固定价格” “串通投标” “划分市场” “联合抵制” 等严重妨碍贸易的行为,应适用“本身违法原则”,不考虑其所占市场的份额,实施行为本身即被认定为违法
纵向垄断协议:处于产业链上下游经营者间达成的纵向垄断协议,具体包括纵向价格协议与纵向非价格协议。纵向价格协议中限制销售商最低转让价格协议最为典型。
纵向价格协议虽有抑制竞争的消极作用,但同时也有促进竞争的积极作用。比如“限定转售最低价格”政策可阻止下游经销商通过降低价格争抢客源,鼓励其提供更多附加服务吸引消费者。零售服务质量的提升,变相增加了不同品牌间的竞争,最终将惠及消费者。纵向垄断协议通常与横向垄断协议存在交织的状态,即多个制造商横向就商品定价进行沟通,后与各自的下游销售商签订纵向价格协议,最终会被认定为构成横向价格垄断协议。
对于纵向非价格协议,因其对竞争的抑制作用更为不确定,因此仅当具有垄断地位的经营者以此为手段,维持其垄断地位时才会构成违法。例如排他交易(Exclusive Dealing),即上游制造商明确规定与其签约的零售商不能销售其竞争对手的产品,仅当上游制造商在其行业中本就具有垄断地位,并以此为手段维持其垄断地位,才会被认定为违法
滥用市场支配地位:《谢尔曼法》第二条规制滥用市场支配地位行为,是对单方垄断行为的规制。该条规定:“任何人若从事垄断或谋求垄断,或与他人联合或者共谋以实现对州际或对外贸易或商业的任何部分的垄断,都应被视为犯有重罪。” 首先应确定该经营者具有市场支配能力。市场支配能力不仅体现在所提供商品的市场份额上,更体现在这种支配力的可持续性上,即不会因其他竞争者进入市场而轻易丧失。其次具有垄断地位的经营者实施了滥用其垄断地位的行为,包括但不限于排他性购买或销售协议、搭售、掠夺低价与拒绝交易等。最后由经营者行使抗辩权,法院判断其在相关市场所取得的成就是否源于其垄断行为,还是源于正当商业竞争
经营者集中:即并购,一般通过并购前的申报审查进行监管。因并购可能导致竞争者在相关市场占有率的扩大,因此并购前的审查是面向未来的预防性审查。《克莱顿法》第7条规定:“若企业并购可能实质上减少竞争或形成垄断,应禁止该并购。”  事实上,对已完成的并购,若其损害了消费者的利益,执法机构同样有权对此展开调查。并购可具体分为横向合并、纵向合并与混合合并。横向合并即存在竞争关系的经营者之间的合并。其直接导致相关市场竞争者数量减少、达成横向垄断协议的可能性陡增,同时因相关市场内可替代商品种类减少,更加不利于消费者权益的保护。相比之下,纵向合并即产业链上下游经营者间的合并对相关市场竞争的危害相对较小,对其规制的力度也远小于横向合并。

欧盟反垄断制度
《欧洲运行条约》简称TFEU,是欧盟反垄断法律体系中的基本法,该条约仅宽泛和框架性地规定了欧盟的目标和架构,对于反垄断法的实施而言,还需要依赖条例、指令、决议等次级法,如《欧盟并购条例》《纵向集体豁免条例》
欧盟反垄断法主要规制三种垄断行为:垄断协议、滥用市场支配地位和经营者集中。除此之外,国家补贴(State Aid)属于广义上的国家限制竞争的行为,作为广义的欧盟反垄断法的一部分,欧盟还对欧盟成员国间的国家补贴进行审查
主要的横向垄断协议类型包括固定价格、产量限制和划分市场。固定价格指竞争对手之间达成固定或者变更商品和服务的价格水平、变动幅度、手续费、计算公式等行为。产量限制通过约定限制、固定产量或停止生产、拒绝供货或限制商品投放量等方式限制生产数量。划分市场表现为划分商品销售地域、销售对象或者销售商品的种类、数量;原材料采购的区域、供应商等。
就地域和客户限制而言,欧盟十分重视商品和服务在各成员国之间自由流通,因此欧盟不能随意对经销商的销售地域或客户进行限制,包括限制欧盟各成员国经销商交叉供货、限制欧盟一成员国经销商从另一成员国进货等。但欧盟反垄断法规定了两种例外情况,一是对独家经销商的保护;二是允许对批发商的限制。
对独家经销商的保护是指欧盟允许公司将一个区域或某类客户独家保留给某个经销商,规定其他经销商不得在该区域或向该类客户进行主动销售,但不得限制被动销售,比如其他经销商应客户的主动要求,向客户交付商品等。
允许对批发商的限制是指允许公司限制其批发商直接向终端用户销售。
滥用市场支配地位前提是在欧盟市占率达到40%以上
根据《欧盟并购条款》,经营者集中是指将导致企业控制权发生持续性变化结果的各类交易,包括三种形式:企业合并、获得企业全部或部分控制权、设立合营企业。其中“控制”是指对一家企业的经营决策施加决定性影响
欧盟经营者集中要求事先申报,在投资并购项目实施前,达到规定的门槛,就必须进行申报,只有执法机构批准申报后,才能实施投资并购项目
国家补贴:除非另有规定,欧盟成员国提供的或通过无论何种形式的国家资源给予的,在优待某些企业或某些产品生产的情况下,扭曲或威胁扭曲竞争的补贴,如果此项补贴已阻碍到成员国之间的贸易,则此项补贴与欧盟内部市场竞争机制相抵触。欧委会可依职权要求受补贴企业退还补贴等救济措施,白皮书还规定了强制申报制度,要求交易企业申报已获得或将获得外国补贴的收购活动进行交割前审查。如企业未申报经调查发现上述补贴会导致市场扭曲,申报人可能会失去参与公共采购程序的资格。违反垄断协议和滥用市场支配地位行为,欧委会有权对违法企业处以最高不超过交易各方营业总额10%的罚款。申报过程违反如实提供材料义务的处以不超过营业额1%的罚款

中国的反垄断立法
2008年实施的《中华人民共和国反垄断法》在保护市场公平竞争,维护消费者利益等方面发挥着日益重要的作用。
2018年起反垄断法的实施由国家市场监督管理总局单独行使,执法机构同时负责出台配套规章制度。
2019年国家市场监督管理总局相继公布了《禁止垄断协议暂行规定》《禁止滥用市场支配地位行为暂行规定》
2020年正式公布了《关于汽车业的反垄断指南》《横向垄断协议案件宽大制度适用指南》《垄断案件经营者承诺指南》《关于知识产权领域的反垄断指南》4部指南。
2021年公布了《关于平台经济领域的反垄断指南》为未来企业合规提供了重要指引
垄断协议:《反垄断法》第十三条将其规定为”排除、限制竞争的协议、决定或者其他协同行为“ 其核心是共谋。  
横向垄断协议又名卡特尔,是指与具有竞争关系的经营者达成的,固定或者变更商品价格、限制商品的生产数量或者销售数量、分割销售市场或者原材料采购市场、限制购买新技术、新设备或者限制开发新技术、新产品与联合抵制交易等协议。因固定价格数量限制分割市场一般只会产生阻碍竞争的效果,被严格禁止,又称为核心卡特尔
纵向垄断协议指与交易相对人达成的,固定向第三人转售商品的价格或限定向第三人转售商品的最低价格的协议。纵向垄断协议达成于处于供应链上下游的供应商与销售商之间,且明确禁止纵向价格垄断协议
垄断协议豁免事由包括达成协议是为促进创新、实现标准化、增强中小经营者竞争力等情形
滥用市场支配地位:主要针对经营者的单独行为。根据《反垄断法》第十七条,滥用行为主要包括:以不公平价格销售或购买产品;没有正当理由,掠夺性定价、拒绝交易、限定交易、搭售商品或者附加其他不合理条件、差别待遇等行为。市场支配地位判断的考量因素包括但不限于该经营者在相关市场的所占份额与相关市场的竞争情况、经营者对销售或原材料市场的控制力、经营者的财力与技术条件、其他经营者对其依赖程度以及进入市场的难易程度
经营者集中:采取事前审查制,若经营者达到《国务院关于经营者集中申报标准的规定》第三条所列标准,应当事先申报,未经申报不得实施集中。经营者集中的三类形式:经营者合并;经营者通过取得股权或者资产的方式取得对其他经营者的控制权;经营者通过合同等方式取得对其他经营者的控制权或者能够对其他经营者施加决定性影响。
2021年《关于平台经济领域的反垄断指南》的发布意味着平台经济将成为与汽车领域、原料药领域类似的反垄断重点监管领域之一。其对涉及VIE架构的交易是否需要申报首次进行澄清,明确了:涉及协议控制VIE架构的经营者集中,属于经营者集中反垄断审查范围。曾涉及VIE架构的经营者集中案件可能需要补报。2020年12月14日,市场监管总局公开了对3起涉VIE架构、但未进行经营者集中申报的并购案件的处罚,分别是阿里巴巴投资收购银泰商业、腾讯控股企业阅文收购新丽传媒、丰巢网络收购中邮智递。总局明确表示:互联网平台企业要对之前的经营者集中行为进行系统梳理,主动向市场监管总局报告有关情况,并积极配合调查工作
对纵向垄断协议的规制无需考虑行为主体的市场份额,即行为主体的市场份额在30%以下也不应被豁免。这意味着即使企业的市场份额不大,也有可能因从事了限制被动销售、交叉供货与向最终客户销售的行为,构成纵向垄断协议,从而被执法机构规制。《宽大指南》还另外规定了对宽大申请人的登记制度以及提供给其60天"先占期" 用以准备拟提报的证据。同时还设置了与登记制度相呼应的顺位制度,即先登记申请宽大的经营者享受更大幅度的减免。这为在涉嫌构成垄断协议时,如何减轻企业责任提供了细致指引。
《承诺指南》是对涉嫌违反《反垄断法》的经营者,在执法机构作出行政处罚以前,主动承诺采取措施,消除其行为后果的制度。其本质是经营者与反垄断执法机关的行政和解。指南明确规定针对横向竞争经营者间达成的关于价格、数量、分割市场的核心卡特尔协议不可进行承诺经营者承诺采取的措施通常涉及反垄断合规承诺,包括但不限于对员工进行反垄断培训、制作反垄断合规手册与进行反垄断合规审计等行为,这从侧面反映了企业日常反垄断合规体系建设的重要性
《知识产权指南》反映了执法机构对知识产权领域最新的执法实践与最新研究成果,为企业知识产权领域合规与否的判断提供了详细指引。其针对垄断协议规定了 "安全港规则" 充分体现了对知识产权的尊重。 指只要满足规则要求,通常不将涉及知识产权的协议认定为《反垄断法》禁止的垄断协议。除核心卡特尔不适用"安全港规则"。(有竞争关系的经营者在相关市场的市场份额合计不超过20%;或不具有竞争关系的经营者在相关市场的市场份额均不超过30%;存在四个及以上能够以合理成本的有其他经营者独立控制的、具有替代关系的技术,即不认定为其构成垄断协议)

垄断案例风险
如公司有建议零售价,应明示该建议不具有强制性,经销商或分销商可以自由选择是否遵守。
企业不得以任何方式干涉或限制下游经销商的自主定价权。
企业不得以被动方式变相限定价格,如经销商、分销商向企业发出“售价请示”,不宜回复。
即使经销商的转售价格政策与企业利益不符,也不应采取终止供货或其它威胁、报复性的惩罚手段。
企业作为下游公司,若上游供应商涉嫌干涉公司定价的要求、约定、协议等,及时上报公司领导和法务组织,咨询处理意见。
滥用市场支配地位行为 如收取不公平的高价专利许可费、没有正当理由搭售非必要专利许可、销售合同附加不合理条件、无正当理由限定交易、以不公平的高价销售商品等。
商品定价应考虑提价幅度、历史定价、竞争对手的定价、区域定价等,避免过高定价,避免在成本基本稳定的情况下短期内超过正常幅度提高销售价格
建议业务部门避免以拒绝交易为手段强迫交易相对方接受某些附加条件,即使这些条件只是暗示对面而未向对方明确提出。
搭售风险——业务部门可以建议客户同时购买两种产品并对此给予更多的折扣优惠,但应避免以任何形式的强制(无论直接、间接、暗示)并应同时告知其也可以单独选购两种产品。
即使客户同意搭售,如果明显偏离或违背交易惯例、消费习惯等或无视商品的功能,仍可能被视为反垄断法下的“不合理”行为。
谨慎使用“最惠国待遇”等折扣优惠条款。带量采购条款具有反垄断风险,既可能是限定交易,也可能是纵向非价格限制。
照付不议条款与排他性条款结合将提高排他性条款的反垄断风险,但照付不议条款并非本身违法。
市场支配地位推定制度:一个经营者在相关市场份额达到1/2;两个经营者在相关市场份额合计达到2/3;三个经营者在相关市场份额合计达到3/4。
滥用行政权力排除限制竞争包括实施地区封锁行为,对外地商品设定歧视性收费项目、规定歧视性价格;规定与本地同类商品不同的技术要求和检验标准;限制外地商品进入本地市场;妨碍地区间自由流通等行为。
与价格相关的敏感信息:限定产量销量、划分市场、联合抵制交易。
《反垄断法》的协议并非通常理解的“合同”,不要求书面和形式,不需要签字或盖章。垄断协议的关键看是否对敏感信息和内容形成一致的默契并实施执行。垄断协议可以通过各种形式达成,包括口头、邮件、会议、自律公约、建议书等方式。肆意交换价格等敏感信息已构成《反垄断法》禁止的垄断协议。协同行为可以表现为企业在交换价格等敏感信息的场合,并未明确表示反对,且后来也实施了相同的行为,也被视为垄断协议。
《反垄断法》第十六条明确规定行业协会不得组织本行业的经营者从事(垄断协议)禁止的垄断行为。行业协会召集的会议可能被视为达成和实施垄断协议的平台。
市场滥用行为包括:宣传高市场份额、过高定价、价格歧视区别待遇、定价明显低于成本、拒绝交易(直接/变相)、限定交易、搭售、忠诚折扣(特定市场条件下有风险  增量折扣、追溯折扣、总量折扣、市场份额折扣、个性化折扣、标准化折扣)
经营者集中的高危领域:并购合资重组项目中未进行反垄断尽调、未申报;经营额计算误区、经营者集中判断错误;不能正确识别控制权变化、境外交易中国未进行申报风险;相关市场界定存在偏差、不能准确计算市场份额。
反垄断执法重点行业:医药行业、汽车行业、水泥行业(产能过剩行业)、公用企业(基于自然垄断的不公平高价)、网络平台(手续费、会员费、大数据杀熟行为)。

反垄断合规体系建设:
根据企业业务场景展开,将垄断协议、滥用市场支配地位和经营者集中的法律要求分配到企业采购、销售、投资、技术合作和市场推广等几个场景中去,把法律语言转换为业务语言。指引应具备实操性,符合实际需要
明确合规边界后,在内控流程中嵌入合规控制点,确保各方面高风险业务的有效管控
重点领域的经营合同中嵌入独立的反垄断审查流程,与合同审查相关联,规定一定的合规审查触发点,例如合同条款类型、市场份额门槛、客户和供应商规模等,一旦触发,马上要求业务部门填写表单,与合同审查并线启动反垄断合规审查。
在投资并购等流程嵌入反垄断咨询和控制点相关协议谈判阶段邀请反垄断合规官进入。
培训应结合反垄断重点领域业务场景展开,包括高管、采购、销售、技术研发、海外业务等不同场景。将法言法语翻译成直观朴素的业务语言,达到培训落地的效果。
根据国际公认的合规管理PDCA模型,即Plan计划、Do执行、Check检查、Action处理四个环节形成闭环。结合外部法规变化情况持续更新,定期检查合规审查和风险管控落地情况。

反垄断执法调查应对
不得阻碍执法:《反垄断法》第五十二条规定了经营者在被调查过程中提供虚假材料、隐匿或销毁证据等情形的法律责任,情节严重的依法追究刑事责任。执法实践中出现过暴力抗法被重罚甚至追究刑责的极端案例。
妥善应对调查:公司应按照提前部署的预案有序进行,包括查验执法证件和调查令、通知合规官/外部律师、陪同检查、记录重要证据调取情况等,积极配合检查。
公司法务合规部门牵头制定反垄断调查应对流程,并配套调查记录表,由陪同调查人员填写,包括调查时间、地点、事由、调取人员、调取证据、后续执法配合要求等,为下一步专业、有效地应对做好准备。

15.数据合规

数据是任何以电子或者其他方式对信息的记录,处理各种形式的信息记录都受到《数据安全法》系列规范群约束。
数据分类:按照处理数据的形式可以将数据分为网络数据非网络数据;按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度将数据分为一般数据、重要数据、核心数据;按照数据产生与使用的主体将数据分为政务数据、公共数据、企业数据和个人数据;按照对个人权益造成的风险程度将数据分为个人信息与敏感个人信息;按照数据取得方式将数据区分为原始数据与衍生数据
网络数据是通过网络收集、存储、传输、处理和产生的各种电子数据。处理以电子方式记录的数据除了应当遵守《数据安全法》的一般性规定外,还受到《网络安全法》系列规范群约束
重要数据是根据数据在经济社会发展中的重要程度,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度而受到特别保护的一类数据。
核心数据是关系国家安全、国民经济命脉、重要民生、重大公共利益的一类数据,因此需要实行比重要数据更加严格的管理制度
国家秘密指关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。开展涉及国家秘密的数据处理活动,应当适用《保守国家秘密法》相关规定
政务数据指国家机关为履行法定职责开展数据处理活动涉及的数据。公共数据除了政务数据,还包括了法律、法规授权的具有管理公共事务职能的组织履行法定职责、实施公共服务时涉及的数据。
个人信息指电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。例如,姓名、生日、性别、职业、工作单位、教育经历、行踪轨迹、住宿信息、经纬度等。
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,以及不满十四周岁未成年人的个人信息
个人信息属于需要突出保护的数据,部门规章一般把重要数据和个人信息并列。个人信息经过匿名化处理后,无法识别特定自然人且不能复原,就不再受到《个人信息保护法》规范
广义上的数据合规工作涵盖网络安全、数据安全、个人信息及隐私保护三个方面的内容。围绕这三个方面,数据合规工作又包括网络运行安全、核心数据及重要数据管理、个人信息安全与隐私保护、商业数据合规应用等具体内容。
从数据处理的环节上看,数据合规涉及数据收集、使用、共享、传输、披露、存储、删除等通用场景下的合规工作,以及第三方数据处理、数据出境及境外数据处理等特定场景下的合规工作
从国家主权与安全角度看,数据安全是总体安全观的重要组成部分。从国家经济建设层面看,数据是数字经济发展的基础,数据安全关乎数字经济的健康发展与平稳运行。从社会治理与公共服务层面看,数据安全是国家数字治理的重要议题,与治理体系与治理能力现代化密切相关。从企业层面而言,数据合规对于提升企业商业信誉和社会影响力也有着深远意义

数据安全立法现状:
2012年全国人大常委会通过了《关于加强网络信息保护的决定》明确了网络服务提供者所负有的个人信息保护义务以及与个人信息收集使用相关的规则。
2013年修订后的《消费者权益保护法》新增了关于消费者个人信息保护的相关规则,同年9月,工业和信息化部发布《电信和互联网用户个人信息保护规定》
2017年《网络安全法》实施,作为网络安全领域第一部法律,就网络运行安全和网络信息安全等方面的内容搭建了基本的制度框架。
2021年1月1日实施的《民法典》从民事基本法律层面明确了对个人信息的保护原则。
2021年9月1日《数据安全法》实施,明确了我国数据安全领域的合规治理框架。
2021年11月1日《个人信息保护法》作为我国首部个人信息单独立法的正式实施,标志着我国个人信息保护事业的进一步发展。
《网络安全法》《数据安全法》《个人信息保护法》作为我国数据合规领域的三部核心立法既相互联系,又存在区别。
2015年7月1日《国家安全法》实施,明确将网络安全作为国家总体安全观的重要组成部分。《网络安全法》作为维护网络领域国家安全的法律,通常被认为是《国家安全法》的主要配套法律之一。国务院、国家互联网信息办公室等监管部门制定了《关键信息基础设施安全保护条例》《网络安全等级保护基本要求》《网络安全审查办法》多项配套法规,进一步细化了各项制度规定及主体义务。
《网络安全法》适用于在中国境内建设、运营、维护和使用网络以及网络安全的监督管理。
《数据安全法》适用于在中国境内开展数据活动的组织和个人。其中规定了国家数据安全制度、如数据出境制度、数据分类分级保护制度、数据审查制度,并明确了相应监管部门的权责。除数据安全保护外,《数据安全法》还兼顾数据利用,对信息共享、国家机关的数据开放义务等进行了规定。
根据数据分类分级保护制度,不同数据处理者均负有建立数据安全管理制度,对数据进行安全检测、评估与认证,配合调查执法、针对数据安全事件采取处置措施等义务,此外重要数据处理者还负有更高层次的增强义务。
《个人信息保护法》适用于在我国境内处理自然人个人信息的活动。在境外处理我国境内自然人个人信息的活动且存在向境内自然人提供产品或服务为目的,或分析评估境内自然人的行为,或存在其他法律法规规定的情形,均适用。
《个人信息保护法》明确规定了个人信息主体所享有的知情权、查询复制权、更正权、删除权、自动化决策权、撤回同意权、可携带权等权利。此外在涉及敏感个人信息、自动化决策、个人信息公开、以及个人信息跨境等特殊场景时,个人信息处理者还需要履行个人信息保护评估等更高层次的合规义务。
除民法典外,2021年7月,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》对于使用人脸识别技术处理个人信息相关民事案件可能存在的侵权及违约情形、免责事由、举证责任等问题进行了细化规定。
《刑法》规定了侵犯公民个人信息罪,该罪名以公民个人信息权作为保护权益。
除通用法规外,还存在大量针对特定领域的规范,如《未成年人保护法》《儿童个人信息网络保护规定》按照最有利于未成年人的原则保护其隐私和个人数据并对未成年和儿童个人信息予以特殊保护
《信息安全技术 个人信息安全规范》(GB/T 35273-2020)《信息安全技术 个人信息安全影响评估标准》(GB/T39335-2020)等国家推荐标准为个人信息处理提供了实践指引。
数据合规监管现状,《网络安全法》规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作。
2019年以来,数据合规领域监管日趋严格,监管力度不断加强。一方面表现为监管法规出台进程加快、密集程度增高,另一方面表现为各类监管主体针对不同领域开展的专项治理行动不断增加。
《网络安全法》《数据安全法》《个人信息保护法》均规定了责令改正、警告、罚款、没收违法所得、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照或类似的责任类型。此外针对企业开展数据处理活动存在较大安全风险的情况,《数据安全法》规定了约谈制。而对于直接负责的主管人员,除罚款外,《网络安全法》针对此类人员规定了将违法行为被记录到信用档案,乃至职业禁入的处罚措施。
非法处理数据还可能触犯《刑法》规定,构成例如侵犯公民个人信息罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、破坏计算机信息系统罪、拒不履行网络安全管理义务等罪名。个人构成犯罪还将面临被判处有期徒刑、拘役、管制、并处罚金或单处罚金刑。

企业数据合规义务:
企业处理数据应保障数据安全,通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
数据处理覆盖了企业利用数据的整个生命周期,即数据的收集、存储、使用、加工、传输、提供、公开等环节。对于个人信息,《个人信息保护法》特意将”删除“也纳入规范。
企业收集数据应当采取合法正当的方式,在收集个人信息时,还应当限于实现处理目的的最小范围,不得过度收集个人信息。从事数据交易中介服务的企业,在提供服务时应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核交易记录。如果企业提供的网络产品或服务具有收集用户信息(不限于个人信息)功能,应当向用户明示并取得同意。特定类型App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务
如果企业受托建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当接受监督,依照法律、法规的规定和合同约定履行数据安全保护义务。
如果企业是关键信息基础设施运营者,其在境内运营中收集和产生的个人信息和重要数据应当在境内存储
如果企业确需要向境外提供个人信息,应履行通过国家网信部门组织的安全评估,经专业机构进行个人信息保护认证,按照相关规定与境外接收方订立标准合同或满足其他规定条件
企业还需密切关注相关部门发布的针对特定数据的出口管制信息,针对境外的组织、个人的限制或者禁止个人信息提供清单,针对特定国家或地区的制裁信息等。
企业在使用和加工个人信息过程中,企业应依法履行数据处理的一般义务,一旦违规,则应履行删除义务。
通过自动化决策方式向个人进行信息推送、商业营销、应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并享有拒绝权。
企业因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当履行告知义务。
根据《电子商务法》第31条规定,商品和服务信息、交易信息保存时间自交易完成日起不少于三年。

建立数据合规管理体系:
网络安全防御体系:实现对外部风险的防御,强调网络边界和安全域、网络入侵防御、网络通信系统或数据安全、强调网络空间主权。
数据安全管控体系:实现对企业内部静态的、强调安全保护的目标,强调对信息载体的管控,强调对数据的合法合规收集、使用、存储及传输。
个人信息保护合规体系:实现对某类特殊数据(即个人信息)的专项保护,尤其强调敏感个人信息、全生命周期的保护,强调对特定的具体法律法规的适用。
数据安全一方面强调对数据本身安全的保障,即采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,防范因内部员工问题导致数据的不正当获取、泄露;另一方面强调数据防护手段的安全性,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。
识别风险(基于企业所处行业及主营业务结合外部适用的法律法规及内部制定的合规管理制度)——审视数据资产(分类数据资产用于评估数据安全风险等级)——布局数据合规管理架构(组织决策层、执行层与管理层职责)——完善的数据合规管理制度——必要的数据合规培训——合规监控与审计——持续改进
网络运营者确定网络安全负责人,落实保护责任,关键信息基础设施运营者CIIO还负有特别责任,应当设置专门安全管理机构和安全管理负责人并对该负责人和关键岗位的人员进行安全背景审查。审查时公安机关、国家安全机关应当予以协助。运营者还应建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。
《数据安全法》规定重要数据处理者明确数据安全负责人,成立数据安全管理机构,落实数据安全保护责任。《个人信息保护法》规定处理个人信息达到一定数量的个人信息处理者,应当指定个人信息保护负责人,对个人信息处理活动以及采取的保护措施等进行监督,公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。(处理超过100万人的个人信息或10万人的个人敏感信息的组织应当指定个人信息保护负责人
企业应将涉及外部合作的合作方安全评估、接口安全规定、第三方系统接入、第三方人员安全规定也纳入数据合规管理的闭环管理,将基于安全管理制度体系和技术防护手段进行综合评估,以确保业务合作的数据安全和合规。
企业可以结合实际统一编制数据资产清单,根据数据价值、法律规定、对组织敏感度和重要度进行分类,做好数据标识及处置,采取不同等级的保护措施
企业在发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患,并规定了具体告知对象、事项、时限和方式,规定安全事件涉及犯罪的应当及时向公安机关报案。
企业制定并组织实施个人信息安全事件紧急预案。发生或可能发生个人信息泄露、篡改、丢失的,个人信息处理者应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。
个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼。企业在处理个人信息前,应当告知个人行使个人信息权利的方式和程序。
企业应当在十五个工作日内处理并反馈个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号的申请。
《个保法》规定自然人死亡的,其近亲属有权依法对死者的相关个人信息行使规定的查阅、复制、更正、删除死者的个人数据。
企业应当签订合同以保障数据安全,与合作方签订安全保密协议,明确安全和保密义务与责任。
《数据安全法》规定企业在公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要依法依规调取数据时予以配合。
2021年11月14日发布的《网络数据安全管理条例》(征求意见稿) 数据安全相关的技术和管理人员每年教育培训时间不得少于二十个小时。
企业合规师应当根据企业的相应合规义务开发、使用、完善数据合规管理工具。例如数据安全事件评估工具、第三方合作伙伴尽职调查工具、统一的SDK接入管理工具、人力资源管理工具等。另一方面合规师还可以根据企业自身需求借助第三方工具进行数据风险管理。实践中企业常用的数据合规管理工具包括数据处理情况表、个人权益影响分析表等。

16.安全合规

安全生产应当是指企业通过设定安全目标,建立完整的安全管理体系,有效推动制度及管理措施的落实,从而实现“人—设备”有序运行,避免产生危险因素,保护劳动者、企业及第三方的生命及财产的活动与必要举措。
安全合规应当是指企业及其员工在生产经营过程中通过履行我国安全生产监管法律法规、技术标准、政策文件、企业内部安全管理制度、安全管理协议以及国际条约、规则等全部义务,以实现企业有效防控生产安全事故及行政处罚发生,减少经济损失与声誉损失的目标。
安全生产是企业的法定职责,也是企业持续经营的基本要求。《安全生产法》要求企业必须加强安全生产管理,推进安全生产标准化。
GB/T 33000 —2016《企业安全生产标准化基本规范》对企业安全生产标准化的定义为:企业通过落实安全生产主体责任,全员全过程参与,建立并保持安全生产管理体系,全面管控生产经营活动各环节的安全生产与职业卫生工作,实现安全健康管理系统化、岗位操作行为规范化、设备设施本质安全化、作业环境器具定置化,并持续改进。 2021年9月1日,修订后的《安全生产法》正式施行,对企业的安全生产保障措施提出了更高的要求,强化了法律责任的承担。在安全生产规范日趋严格、执法力度不断加强的大背景下,安全生产合规体系建设刻不容缓
《安全生产法》以及各省市出台的安全生产条例等综合性监管的地方性法规,作为安全生产的基本法律规范,对于企业合规有方向性、通用性的规定,在整个安全生产法体系中处于领导性地位,无论从事哪一行业的企业都应遵守,具有普适性。而对于涉及消防、道路交通、核辐射等领域的安全监管要求,我国又出台了具体的法律法规,同《安全生产法》是特别法与普通法的关系。
安全合规要求还见于具体的行业法律法规的规定中,对于建筑施工行业监管,我国建立了以《建筑法》为基础的监管法律体系,包括《建设工程质量管理条例》《建设工程抗震管理条例》《建设工程安全管理条例》等行政法规以及相关的部门规章。
由于对特种设备、危险化学品、烟花爆竹等极易发生生产安全事故的特定物品及设备监管专业性强、流程繁琐。因此安全监管部门专门制定了《特种设备安全法》《危险化学品安全管理条例》《烟花爆竹安全管理条例》等已明确具体合规要求,包括涉及的项目准入、交易、运输、仓储、使用、废物处置等一系列环节的安全管理。
依据《安全生产法》的规定,企业除了要遵守法律法规规章的规定外,还要遵守涉及安全生产的国家标准与行业标准,特别是标准中的强制性规定。如《安全标志及其使用导则》中的技术部分是强制性规定等,若不遵守,则应承担法律责任。
我国批准执行的国际公约与国际准则也应当作为安全生产合规的要求,如《职业安全管理体系导则》《国际消防安全系统规则》等
安全生产合规风险是指企业及其员工、相关方因违反安全生产义务,引发法律责任,受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。一方面来自于企业不具备安全生产条件,违反法律法规及标准要求生产经营而带来的被行政机关行政处罚的风险;另一方面来自于不及时处理事故隐患或员工(相关方)在违规操作导致发生生产事故给企业造成的经济损失与声誉损失。
《安全生产法》第三十六条规定,“生产经营单位必须对安全设备进行经常性维护、保养、并定期检测,保证正常运转维护、保养、检测应当做好记录,并由有关人员签字”,管理实践中,企业在相关的设备设施的管理制度中应当明确定期检测的频次,并做好相应的检测记录
生产经营项目、场所发包或者出租给其他单位的,生产经营单位应当与承包单位、承租单位签订专门的安全生产管理协议,或者在承包合同、租赁合同中约定各自的安全生产管理职责,生产经营单位对承包单位、承租单位的安全生产工作统一协调、管理、定期进行安全检查,发现安全问题的,应当及时督促整改。一旦发生安全事故,调查组对双方签订的安全生产管理协议及安全条款进行审查,明确双方是否已经履行安全管理责任,如果发包方或出租方未履行,虽然可能不会被认定为事故发生单位,但依然存在被“牵连”追责的法律风险
单位行政责任:限期改正、警告、罚款、没收违法所得、停止建设/施工/使用/作业/违法经营,暂扣、撤销或吊销有关证照,限期治理,停产停业(整顿) 关闭。
公司违反安全生产管理规定,主要负责人、直接负责人的主管人员和其他直接责任人员也同样需要承担相应的行政责任。包括撤职、罚款、暂停或撤销证照,其中属于国家工作人员的可能受到行政处分。
在特殊情况下构成犯罪的,企业也需要承担相应的刑事责任,主要为有关责任人的刑罚。
政府通过实行安全生产“黑名单”制度并通过企业信用信息公示系统向社会公示,对列入安全生产“黑名单”的企业,在经营、投融资、政府采购、工程招投标、国有土地转让、授予荣誉、进出口、出入境、资质审核等方面依法予以限制或禁止。
安全生产合规风险识别:企业内部风险识别(建立合规法规库、定期自查、具体案例分析)、相关方风险识别(安全资质与管理能力审查、监督相关方工作)
安全生产合规风险评估是指在发现安全生产合规风险后,对不合规严重程度、风险发生概率、承受能力、控制范围、初步应对措施等因素进行分析评估,确定安全生产风险等级。
严重程度:企业违反企业内部规章制度,尚未发生生产安全事故,属于轻微;企业或相关方违反法律法规规章、技术标准,尚未发生生产安全事故,属于严重;发生较大及以上生产安全事故,属于较为严重发生重大及以上生产安全事故,属于特别严重
风险发生概率判断因素:应急管理部门是否已经掌握此类不合规行为;导致发生生产安全事故的可能性。
风险承受能力判断因素:企业是否能缴纳罚款承担民事赔偿责任;企业信用是否能够修复,修复耗时长短;企业是否存在被关闭风险。
风险控制范围判断因素:企业能否在追责前及时消除合规风险;能否免于刑事追责(合规不起诉);能否减免行政处罚;企业是否存在被关闭风险。
风险初步应对措施:是否已经采取具体的控制措施;改进工艺、教育培训、加强管理等措施是否有效;与政府监管部门沟通是否有效;提起听证、复议及诉讼结果是否有利于企业。
风险等级划分不合规行为轻微且已经消除属于5级,应加强内部管理;不合规行为较为严重,应急管理部门已经掌握,风险可承受,应对措施有效属于3级风险,应加强内部管理并采取法律救济途径;不合规行为较为严重,应急管理部门已经掌握,风险不可承受,应对措施无效或者发生较大及以下生产安全事故属于2级风险,应加强内部管理并采取法律救济途径发生重大及以上生产安全事故属于1级风险,应加强内部管理并采取法律救济途径。
在安全生产合规风险的识别与评估基础上,企业可以制定相应的合规风险清单(事项、严重程度、概率、承受能力、控制措施、风险等级、管控措施、完成进度),并及时采取相应的管控措施,尽可能的消除风险,同时应根据经营环境、法律法规的变化、自查结果对清单进行更新。
安全生产合规风险管控措施主要包括两个方面,一是企业保证日常安全经营避免发生生产安全事故而采取的管理措施,主要包括建立完善的合规管理制度提出详细的管理要求以减少违法违规行为;二是在突发安全生产合规事件后,特别是发生生产安全事故后,企业为降低风险而采取的管理措施,主要包括建立完善的应急管理制度,提出详细的管理要求,以避免风险的进一步扩大
安全生产责任制度是生产经营单位最基本的安全生产管理制度,即根据安全生产法律、法规,按照“安全第一、预防为主、综合治理”的方针以及“管生产经营必须同时管安全”的原则,将单位的主要负责人与其他负责人员、职能部门及其工作人员、工程技术人员和各岗位操作人员在安全生产方面应做的事情及应负的责任加以明确规定的一种制度。安全生产责任制应当做到三定,定岗位、定人员、定安全责任
安全生产资金投入制度是生产经营活动安全进行,防止和减少生产安全事故的重要保障。安全生产费用是指企业按照规定标准提取在成本中列支,专门用于完善和改进企业或者项目安全生产条件的资金。安全生产费用按照“企业提取、政府监督、确保需要、规范使用”的原则进行管理。在费用的管理上,生产经营单位应明确安全生产费用提取和使用的程序、职责及权限;编制年度安全生产费用提取和使用计划,纳入企业财务预算;按规定提取和使用安全生产费用。年度安全费用使用计划和上一年安全生产费用的提取、使用情况按照管理权限报同级财政部门、安监部门和行业主管部门备案。在费用的使用上,主要涉及的安全事项包括:安全技术改造、安全设备设施更新改造维护、安全生产宣传教育培训、劳动防护用品购买配备、事故隐患整改和重大危险源监控、作业现场职业危害治理及其他保障安全生产的事项
建设项目安全评价与“三同时”制度,指的是在建设项目期间,对项目运用科学的评价方法、分析和预测该建设项目存在的危险、危害因素的种类和危险、危害程度,提出合理可行的安全技术和管理对策,可以为建设项目安全实施设计以及安全生产管理提供依据;而且建设项目安全设施必须与主体工程同时设计、同时施工、同时投入生产和使用
安全生产教育培训制度是强化企业安全生产基础建设,提高企业安全管理水平和从业人员安全素质的重要途径,企业从业人员应通过教育培训,熟悉有关安全生产规章制度和安全操作流程,具备必要的安全生产知识,掌握本岗位的安全操作技能,提高预防事故、控制职业危害和应急处理的能力
安全生产检查与隐患排查治理制度是为消除隐患,防止事故发生、改善工作条件而开展各项安全生产检查活动,并全面排查违反安全生产法律、法规、规章、标准、规程和安全生产管理制度等规定,或因其他因素在生产经营活动中存在的可能导致安全生产事故发生的人的不安全行为、物的不安全状态、场所的不安全因素和管理上的缺陷,采取技术、管理措施,及时消除事故隐患,防范发生次生事故。生产单位应建立隐患排查、告知(预警)、整改、评估验收、报备、奖惩考核、建档等制度,实现隐患登记、整改的全过程管理
设备设施安全管理制度主要是对设备设施计划和采购,安装(建设)、调试和验收,使用、维护及报废过程,通过操作规程,维护、检验、测试以及技术资料、图纸和记录管理等要求,实现安全控制与管理,确保设备设施安全运行。

生产安全事故应急管理制度主要是指生产经营单位根据本单位的实际,针对可能发生的事故类别、性质、特点和范围等情况制定的事故预防与应急准备,以及事故发生时组织、技术措施和其他应急措施。其应开展的工作包括:进行风险辨识和评估、制定应急救援预案、事故预防与应急准备、应急预案编制与实施涉及培训教育、应急响应分级报告处置救援等工作、监控重大风险源、现场处理能力评估预案评审与修订总结经验等工作、评定与持续改进。
生产安全事故报告制度主要是指发生生产安全事故后,生产经营单位负有报告义务的人员应当履行报告义务避免生产经营单位承担瞒报、谎报、迟报、漏报责任而采取的管控措施。建立事故内部报告程序来明确事故责任人、时限内容等。建立外部报告程序和补报情况。
生产安全事故应急救援制度主要是指发生生产安全事故后,生产经营单位应按照应急救援方案采取具体的救援措施,组织抢救、防止事故扩大、减少人员伤亡和财产损失而采取的管控措施。应急救援工作主要包括:迅速控制危险源并组织抢救遇险人员、组织现场人员撤离或采取可能的应急措施后撤离、及时通知可能受到事故影响的单位和人员、采取必要措施防止危害扩大和次生衍生灾害发生、根据需要请求邻近的应急救援队伍参加救援、维护事故现场秩序、保护事故现场和相关证据。

抓好安全管理、培育安全文化,各级领导的意识到位、责任落实和亲自参与是安全合规管理工作成败的关键。企业负责人安全管理意识决定了安全合规管理体系的建立与执行,决定了安全生产目标设立的准确性与科学性,决定了安全生产物质保障与经费投入的及时性,是解决安全投入与经营利润之间矛盾的关键因素。企业应当在实践中做到:明确安全生产责任制中负责人的具体职责、加强安全生产培训包括专业相关技术培训与法律培训,提高安全管理水平与风险意识、培养责任关怀意识,建立社会责任感。安全生产合规管理措施的落实首先需要组织机构的保障,要求企业有专业的管理机构或管理人员进行专业监督管理
企业应建立举报奖励制度,受理本单位从业人员举报的安全生产问题,对查证属实的,生产经营单位应进行自我纠正与整改,同时可以对举报人予以相应奖励。此措施出台能大大地调动全体员工参与安全生产的积极性和创造性。
安全生产合规管理体系就是通过采取措施将安全生产合规的风险“关口前移”,而前移的一个重要环节就是信息的共享。实现信息共享,需要建立完善的沟通汇报机制,为落实安全生产合规管理措施,沟通汇报机制的设置应考虑:沟通汇报的组织结构(沟通层级、具体汇报的人员)、汇报时限(定期、突发事件1小时内汇报等)、汇报方式(日常层层汇报、突发事件越级汇报)、汇报形式(会议电话微信邮件)、汇报处理(信息共享后在最短时间内对风险进行识别评估,做出相应的应对策略和具体的管控措施)
培养企业安全生产合规文化:加强日常合规检查监管的频次与力度、加大安全生产合规宣传、建立相应考核制度、树立安全合规典型与事故案例分析,激发从业人员内心深处对安全的需求感,达成对安全合规文化的高度共识。
安全生产合规风险措施应当是持续改进的,特别是同行业发生类似的风险事件后产生的经验教训应当成为企业日后借鉴的案例,以保证合规措施的有效性

17.环保合规

环境合规是指企业的经营管理行为符合相关环境法律法规、监管规定、行业准则和企业章程以及环境国际条约、规则等的要求。环境合规风险是指企业因环境不合规的行为,引发法律责任、受到相关处罚,造成经济或声誉损失以及其他负面影响的可能性。
我国的环境法律规范体系
污染防治类:《大气污染防治法》《水污染防治法》《海洋环境保护法》《环境噪声污染防治法》《土壤污染防治法《固体废物污染环境防治法《放射性污染防治法《环境影响评价法》《环境保护税法》以及《危险化学品安全管理条例》等。
自然资源与生态保护类:《森林法》《草原法》《渔业法》《野生动物保护法》《野生植物保护条例》《土地管理法》《水土保持法》以及《矿产资源法》《可再生能源法》《节约能源法》《资源税法》等。
气候变化应对类:《碳排放权交易管理办法(试行)》
企业循环经济与清洁生产类:《清洁生产促进法》《循环经济促进法》等。
其他部门法中相关的环境法律规范:如《民法典》中关于环境侵权的法律规范、行政法方面的《行政许可法》《行政处罚法》《行政强制法》等相关法律规范;刑法方面关于破坏环境资源类犯罪的刑事法律规范以及经济法领域的关于绿色证券、绿色贸易、绿色投资等方面规范。
环境标准:国家制定的各种技术性规范,由环境质量标准、污染物排放标准及基础标准和方法标准等组成。在我国环境质量标准、环境风险管控标准、环境污染物排放标准为强制性标准必须执行,具有法律约束力。强制性标准以外的推荐性标准,一旦被强制性生态环境标准或者规章、行政规范性文件引用并赋予强制执行效力,其被引用的内容也必须执行。
除发达国家外,发展中国家也都建立了自己的环境法律规范体系,在开展“一带一路”等海外投资、基础设施建设时,需要遵守当地政府的环境法律规范
国际环境法律规范包括国际环境条约规范以及国际环境大会通过的宣言、声明等“软法”性规范。此外,世界贸易组织框架下诸如《关税贸易总协定》等中也有相关的环境规范。

环境合规义务由合规要求和合规承诺两方面内容组成,其中合规要求是指企业有义务遵守的要求,包括明示的、通常隐含的或有义务履行的需求或期望;合规承诺是指企业选择遵守的要求,其本身具有自愿性,但承诺一旦做出,就成为企业必须遵守的合规义务的一部分。就环境合规要求还可进一步细分为强制性环境合规要求经济激励性环境合规要求两类。
强制性环境合规要求(命令控制性环境合规要求),政府通过法律法规为企业设定环境要求,强制企业遵守,否则企业就要承担相应的环境法律责任。
排放污染物不得超过污染物排放标准或者超过重点污染物排放总量控制指标,企业应按照规定缴纳排污费,按照规定取得排污许可证并按照许可证要求排污。
严禁通过暗管、渗井、渗坑、灌注或者篡改、伪造监测数据,或者不正常的运行防治污染设施等逃避监管的方式去违法排放污染物。
重点排污单位应当如实向社会公开其主要污染物的名称、排放方式、排放浓度和总量、超标排放情况,以及防治污染设施的建设和运行情况,接受社会监督。
企业应制定突发环境事件应急预案,报环境保护主管部门和有关部门备案。企业应在建设项目开工建设前,依法报批建设项目环境影响评价文件。
建设项目中防止污染的设施应当与主体工程同时设计、同时施工、同时投产使用。防止污染的设施应当符合经批准的环境影响评价文件的要求,不得擅自拆除或者闲置。
经济激励性环境合规要求是对符合法定条件的企业给予一定的经济激励,以促使企业更好地改善其环境绩效。财政补贴、税收减免等是政府常用的环境经济激励的手段。
纳税人排放应税大气污染物或者水污染物的浓度值低于国家和地方规定的污染物排放标准百分之三十的,减按百分之七十五征收环境保护税。纳税人排放应税大气污染物或者水污染物的浓度值低于国家和地方规定的污染物排放标准百分之五十的,减按百分之五十征收环境保护税。显然遵守相应的法律条件是企业获得经济激励的前提,如果违反相关条件就失去获得经济激励的资格,甚至之前获得的经济激励也会被依法追回
环境合规承诺是企业自愿承担的环境合规要求,例如企业与政府有关部门签订环境协议,自愿承担法定义务之外的环境义务;或者以自我承诺的方式宣布企业实施了比污染物排放标准更为严格的排放标准等。

环境合规风险是指企业生产经营过程中的环境不合规导致的风险包括环境相关法律风险市场风险两类。
市场风险是指因企业环境不合规行为给企业带来的市场经济损失和声誉损失等。适应当今生态环境保护以及绿色低碳发展的现实需要,世界各国市场也呈现出“绿化”倾向,绿色产品、绿色投资受到追捧,企业的环境合规状况借助环境信息公开而对企业的投融资以及产品销售等产生直接影响。ESG是一种关注企业环境、社会、治理绩效而非财务绩效的投资理念与企业评价标准。基于ESG评价,投资者可以通过观测企业的ESG绩效、评估其投资行为和企业(投资对象)在促进经济可持续发展、履行社会责任等方面的贡献。实践表明ESG表现优异的公司声誉更佳,客户粘性更强,公司财务业绩更优,并能够显著降低其融资成本

建设项目环境影响评价制度是指企业在进行建设活动前,对建设项目实施后可能造成的环境影响进行分析、预测和评估,提出预防或者减轻不良环境影响的对策和措施,以及进行跟踪监测的方法和制度。其应包括委托有相应资质证书的单位编制环评文件;若建设项目对环境可能造成重大影响或应当编制环境影响报告书,在批报前举行论证会、听证会,或采取其他形式征求有关单位、专家和公众的意见,并在报告书中加以说明;发生重大变动的应重新报批环评;在项目建设中发生不符合经审批的环评文件的,企业应当组织环境影响的后评价,采取改进措施并报环评文件审批部门和建设项目审批部门备案。
建设项目三同时制度:建设项目中防止污染的设施应当与主体工程同时设计、同时施工、同时投产使用。防止污染的设施应当符合经批准的环境影响评价文件的要求,不得擅自拆除或者闲置。
排污许可证制度:按我国环境法规定,纳入排污许可分类管理名录的排放污染物企业和其他生产经营者应当按照法定程序申请和承诺取得排污许可证,按照排污许可证的要求排放污染物;未取得排污许可证的不得排放污染物。
突发环境事件应急制度:企业根据本单位实际,针对可能发生的事故的类别、性质、特点和范围等情况,开展的突发环境事件风险控制、应急准备、应急处置、事后恢复等工作。其应包括突发环境事件风险评估并建立健全环境安全隐患排查治理制度;制定应急预案并备案;定期开展应急演练并撰写演练评估报告;突发事件应急培训并备案;必要应急装备和物资的储备与管理;应急预案启动、应急措施实施、协助工作、保存事件有关证据等工作;以及应急处置工作的信息公开。
环境信息公开制度:企业按照强制公开和自愿公开相结合的原则,及时、如实地公开其环境信息,并指定专门机构负责公开工作的制度。企业环境信息指企业以一定形式记录、保存的,与企业经营活动产生的环境影响和企业环境行为有关的信息。重点排污单位应依法强制进行环境信息公开,其他企业自愿公开有利于保护生态、防治污染、履行社会环境责任的相关信息
节能减排方面:《节约能源法》规定,节能是指加强用能管理,采取技术上可行、经济上合理以及环境和社会可以承受的措施,从能源生产到消费的各个环节,降低消耗、减少损失和污染物排放,制止浪费,有效合理地利用能源
企业应当按照合理用能的原则加强节能管理,制定并实施节能计划和节能技术措施,降低能源消耗。对内建立节能目标责任制,对节能工作取得成绩的给予奖励,还应定期开展节能教育和相关培训。
企业应加强能源计量管理,按规定配备和使用经依法检定合格的能源计量器具。禁止生产、进口、销售国家明令淘汰或不符合强制性能源效率标准的用能产品、设备;对列入国家能源效率标识管理产品目录的用能产品标注能源效率标识,在产品包装物上或者说明书中予以说明;属于建筑工程的企业还应遵守建筑节能标准。
清洁生产方面:企业不断采取改进设计、使用清洁的能源和原料、采取先进的工艺技术与设备、改善管理、综合利用等措施,从源头削减污染,提高资源利用效率,减少或者避免生产、服务和产品使用过程中污染物的产生和排放,以减轻或者消除对人类健康和环境的危害。企业在进行技术改造时应采用无毒、无害或者低毒低害的原料替代毒性大危害严重的原料;采用资源利用率高、污染物产生量少的工艺和设备;对生产过程中产生的废水废物和余热等进行综合利用或循环使用;采用能够达到国家或地方规定的污染物排放标准和污染物排放总量控制指标的污染防治技术。
碳排放交易方面:我国正积极推进碳排放总量和碳排放强度的双控制措施,其中碳排放交易是利用市场机制实现碳排放总量控制的重要工具。发布了《碳排放权交易管理规则(试行)》等。
全国碳排放权交易机构负责组织开展全国碳排放权集中统一交易重点排放单位应在全国碳排放权注册登记系统开立账户,进行相关业务操作。交易可以通过协议转让、单向竞价或者其他符合规定的方式。重点排放单位应当根据生态环境部制定的温室气体排放核算与报告技术规范,编制该单位上一年度的温室气体排放报告,载明排放量,并于每年3月31日前报生产经营场所所在地的省级生态环境主管部门。原始记录和管理台账应当至少保存五年,并对温室气体排放报告的真实性、完整性、准确性负责。重点排放单位应当在规定的时限内向分配配额的省级生态环境主管部门清缴上年度的碳排放配额

环境合规管理是全过程管理,涵盖企业生产经营的全过程。环境合规管理是全员管理,需要梳理全员合规的理念。公司领导应强化环境合规意识,带头合规开展经营管理活动,认真履行其环境合规管理职责。
环境合规管理从单一企业管理向供应链管理延展。随着现代环境保护和企业环境管理实践的发展,绿色供应链管理成为企业管理的重要内容,特别是对于外向型企业而言,供应链环境合规成为采购方选择供应商的基本条件
企业应强化环境合规风险应对。对于环境行政违法风险,充分行使企业的陈述申辩权,并运用好行政处罚听证程序,通过陈述申辩和听证来提出自己的主张,对于不合规事实清楚的案件,除了积极配合整改外,也可以结合案件具体情节,依据行政处罚法律法规,提出从轻、减轻和免于行政处罚的抗辩。对于涉及环境犯罪的不合规案件应当高度重视,由合规部门牵头拟定应对方案,尽可能化解风险,降低损失
建立环境合规审查机制,对于重大决策、重大项目运营、重要合同签署等经营管理行为要进行环境合规审查,将其作为必经程序,及时发现不合规风险,并加以防控。例如在企业并购决策过程中,应对并购方的环境行为进行尽职调查,并进行环境合规风险评估,以保障并购决策的有效实施。
建立举报与违规问责制度、合规管理评估与持续改进机制
实行环境合规目标责任制;建立环境合规管理工作机制;建立环境合规管理的技术监督与支持体系;建立环境合规报告与合规考核评价制度;建立系统的环境合规培训制度;培育企业环境合规文化,通过制定发放环境合规手册、签订环境合规承诺书等方式,强化全员环境合规意识,树立依法合规、守法诚信的价值观,筑牢合规经营的思想基础

18.采购合规

采购行为是企业最为重要的生产经营行为之一,因此采购合规是企业合规中的重要组成部分。
采购是指企业购买物资(或接受劳务)及支付款项等相关活动。其中物资主要包括企业的原材料、商品、工程物资、固定资产等。
从采购方式来看,常见的采购方式主要有:集中采购、招标采购、谈判采购、询比采购、竞价采购、直接采购、协议采购等。
根据采购主体不同,标的物不同,不同的采购行为受到不同的规范约束。采购合规的规范包括《民法典》《招标投标法》《政府采购法》《招标投标法实施条例》及相关地方性法规、部门规章等
建立采购合规管理体系,可以有效规范企业的采购行为,对企业采购行为起到指引的作用。一旦发生采购风险,采购合规管理体系的有效建设能够有助于企业及时挽损、减损、明晰责任,亦有可能据此豁免或减轻部分民事、行政和刑事责任。同时采购合规作为企业合规的重要组成部分,将其有效融合至企业合规管理体系的构架中,可协助实现企业长久的可持续发展
采购风险是指采购过程中出现的某些事故或意外事件导致采购行为出现一定可能性的特定危险,采购流程是企业运营中风险较为高发的环节。其中最为常见的采购风险包括:政策风险、供应商风险、合同风险、管理风险、税务违法风险、商业贿赂风险、知识产权侵权风险。
采购法新规修订后采购当事人删去了采购代理机构,采购商需承担更重的法律义务。供应商不具备特定资质、供应商不具备履约能力、标的物不符合质量要求及特殊要求会带来供应商风险
采购合同根据需求不同可分为意向协议、框架协议、具体供货协议等。采购合同是采购行为履行的依据,因此合同风险在采购风险中占有重要地位。合同风险包括但不限于合同约定不明确、条款不齐全、合同内容违反法律规定、未约定有利于采购方的单方解除条款或违约责任条款等
管理风险指企业在统筹管理采购行为时因各项管理行为不当产生的风险。其中计划风险(制定采购计划与生产经营不匹配)、采购流程及方式不合规/不当风险(应采用招标项目未进行招标、未建立采购申请制度、采购审批权未分离 可能会导致采购合同无效)、采购行为监管不当风险(验收标准不明确、出货单据不齐全、供应商名录未实施动态监管)尤为重要。
税务违法风险主要为虚开发票风险。常见情形包括:采购人员为虚假报账套利而虚开发票;采购人员因交易相对方无法开具发票而找第三方开票,构成虚开发票;供应商自身存在虚假登记恶意走逃或接受虚开情形导致税务机关将其开具发票认定为异常或虚开等。
商业贿赂风险:采购相关岗位人员因有机会决定大额交易的交易相对方而成为不良供应商为谋取商业机会而行贿的对象,采购可能被用作实施行贿的工具。
知识产权侵权风险表现为两类:一是企业因引入不良供应商、工作人员疏忽等原因采购了侵犯第三方知识产权的货品,从而遭受第三方的侵权指控;二是企业因供应商泄露图纸、擅自将受托生产的含知识产权信息的产品售卖给第三方等原因,导致企业遭受第三方侵权等。
引起合规风险的主要风险源是权力的不正当使用,故利用权力清单在组织内部采购活动中的分布规律,基于岗位职责进行分析。采购过程可能存在的权力有审核权、采购权、放行权、计量权、财务资金权、拥有关键信息权等
企业内部风险识别方法还包括案例分析法、专家意见法、情景分析法、特定情况列明并分级识别法(特定、第一、第二、第三级别风险最低)
供应商风险识别方法:尽职调查法(资质、履约、财务等风险点)、问卷调查法、供应链过程分析法。
采购风险评估:针对已经识别的风险从风险源频率、风险发生的严重程度以及风险发生的可能性等维度进行评估以确定合规风险敞口大小。合规风险敞口及风险发生的后果的严重性以及后果发生的可能性的综合量值,直接决定合规风险的等级排序。风险矩阵法是通过两个指标来衡量风险的程度,即风险的可能性和风险影响。风险影响(也称强度)是指对企业造成的可能损失,可用“1~3”或“高中低”来表示,风险影响程度越大,优先级越高。风险矩阵根据不同的准则可划分为2x2 3x3 5x5等不同的模式。

招投标项目的采购合规
招标指采购人事先提出采购的条件和要求,邀请众多潜在投标人参与投标,然后由采购人按照规定的程序和标准一次性从中择优选择交易对象,并与提出最有利条件的投标方签订协议的过程。
必须招标的采购项目范围(建设项目的勘察、设计、施工、监理以及与工程建设有关的重要设备、材料等的采购)
大型基础设施、公用事业等关系社会公共利益、公众安全的项目;全部或部分使用国有资金投资或国家融资的项目;使用国际组织或者外国政府贷款、援助资金的项目。
施工单项合同估算价值在400万元人民币以上;重要设备、材料等货物采购单项合同估算价在100万元人民币以上;勘察、设计、监理等服务的采购单项合同估算价在100万元人民币以上的必须进行招标。
涉及国家安全、国家秘密、抢险救灾或属于利用扶贫资金实行以工代赈、需要使用农民工等特殊情况;需要采用不可替代的专利或专有技术;采购者依法能自行建设、生产或提供的可以不进行招标。
招标的实施方式包括公开招标和邀请招标,其中公开招标是指招标人以招标公告的方式邀请不特定的法人或其他组织投标;邀请招标是指招标人以投标邀请书的方式邀请特定的法人或其他组织投标
公开招标主要针对采购需求明确、可量化、标的具有竞争条件,采购时间允许、成本合理的采购项目。流程:招标策划——资格预审公告——投标邀请书——招标公告——评标——定标——通知中标——签订合同
邀请招标条件是国务院发展计划部门确定的国家重点项目和地方政府确定的重点项目不适宜公开招标的,经批准可以进行邀请招标。邀请招标没有资格预审程序,招标人直接向三个以上特定潜在投标人发出投标邀请书,投标人应递交投标文件,其余程序与公开招标基本一致。
招投标环节常见风险:招标人妨碍投标人的公平竞争(不合理的条件限制或排斥潜在投标人 实行歧视待遇 强制要求投标人组成联合体共同投标的 限制投标人之间竞争的)、招标人泄露依法应当保密的招标信息(投标人名称、数量或者泄露标底的)、招标人与投标人进行实质性谈判(投标价格、投标方案谈判)、招标人与投标人背离招投标文件订立合同招标人未依法履行招标程序(应公开招标的采用邀请招标)、串通投标风险、弄虚作假骗取中标风险(以他人名义投标或伪造变造资质证书许可或以其他弄虚作假手段骗取中标的投标舞弊风险)
招投标合规:建立健全招标管理制度、尽可能扩大竞争范围(扩大发布媒体的层次和范围)、做好对投标人的资格审核、完善对招标文件的审查机制(明确具体的评标方法和打分标准)、加强对投标流程中相关负责人员的培训和监管、完善举报途径接受社会监督、选取有资质有信誉的招标代理机构、如需委托招标代理机构进行招标工作的,应事前对其资质、过往业绩、信用情况等进行充分审查,并由专人对招标代理机构的工作开展情况进行持续监督,以防因代理机构违规操作给招标人造成损失

采购合同审批及订立
采购合同的审查和批准通常由业务部门和法务部门配合完成。采购合同的主要条款包括:合同主体、合同标的物、合同价款、结算方式及支付方式、标的物运输及交付、质量条款、验收条款、质保条款、违约责任、争议解决、合规条款、审计条款、合同生效与解除规定、其他规定(甲方代指采购方,乙方代指供应商)
审计条款又称审计权条款,即约定采购人有权根据评估合规风险的需要对与合同相对方在该合同项下义务有关的经营情况进行审计,并根据审计结果追究乙方责任
合规条款即合同相对方在采购合同中就遵守法律法规、履行合规义务作出的声明和承诺。合规条款主要包括陈述与保证条款、不侵犯第三方权利条款、反商业贿赂条款、保密条款、个人信息保护条款、网络安全合规条款或其他与采购人所处行业及经营业务相关的合规要求

违规行为调查及处理
流程:组建调查团队——制定调查计划——开展调查——撰写调查报告;应注意尽可能保留调查的记录、文档及相关证据材料。可采用的调查途径包括收集并审阅相关文件、访谈询问相关人员、通过对相关采购数据的分析发现违规线索等。
供应商行为评价:企业应当建立一套行之有效的供应商管理体系,在筛选出符合标准的供应商后,还应对其进行长期的动态监管,通过对其行为进行评价,确保其持续符合企业的合规要求,与企业保持健康、互益的合作关系。
供应商相关资质到期未及时通知企业且向企业供货属于严重违规行为;供应商伪造相关资质向企业供货属于恶劣违规行为。
企业应结合自身实际,建立供应商黑名单和灰名单,对恶劣违规、违规达一定次数的供应商将其纳入黑名单,终止与其合作。建立供应商等级制度,对供应商进行定期评级,并根据定级结果动态调整与其合作频率,合作优先级等合作策略。
当供应商出现违规行为时,企业应及时反应,对违规行为进行调查、处罚,以防止违规行为再次发生,同时提升供应商的合规意识。

采购合规培训:针对员工培训内容包括但不限于采购相关法律法规规定、采购合规的目标、采购岗位的合规义务、采购合规的意义、采购中的违法违规风险、违规举报机制、违规行为调查和处罚制度等,培训内容应实用并易于理解,应与员工的日常工作相关,并且辅以大量案例进行学习;管理层因负有采购决策、推动采购合规措施的落实、对一线采购人员进行管理和监督等特殊的职责,还应针对管理层开展专项合规培训,包括但不限于合规管理体系及职责分工、合规管理有效性评估标准、采购决策的合规考量要素等。
为了提高供应商合规意识,促进供应商对企业合规措施的理解和配合,确保供应商合规管理体系的有效落实,应当定期对供应商开展采购合规相关培训,培训内容包括但不限于供应商行为守则(包括反贿赂、利益冲突、诚信经营和会计操作准则等) 企业的供应商管理制度(包括供应商行为评价标准和违规处罚机制等) 企业的违规行为举报途径等,培训内容应随着相关法律法规、企业制度和政策的更新及时更新。
企业应在日常经营中对合规价值观、合规行为准则宣传,全方位输出合规文化和合规价值观,企业应综合利用多渠道开展宣传(合规标语、横幅宣传海报、周会例会)营造浓烈的合规文化氛围,由部门负责人针对重点领域的合规风险防控进行专门的讲解,增强员工对合规风险的重视程度等。

四、合规案例实务

19.合规体系框架搭建

合规的本质是将法律法规和行业规范变成企业的内规,使其嵌入到管理、融入到业务中,使得业务的运营规范化和合规化
一个企业的合规规范体系建立之后,我们需要关注合规规范的适用、落地和实施,这需要我们进行合规培训和宣贯,需要确保合规在业务的闭环流程中发生作用(例如商业模式的合规义务和风险识别、项目的合规审查、合规案件的处置、合规流程和制度的评估与优化) 实际中我们接触的合规工作会以案件等各种场景呈现,包括内审、自查和抽查、某些纠纷和矛盾的爆发、某人被举报、政府调查、发生到企业进行非正常访问的事件。
合规案例分析法是通过对一个个独立的违规事件进行分析,从而得出该组织在组织治理、组织日常生产经营及合规管理方面存在的问题。
组织的违规事件包括内部违规事件、外部违规事件、损失事件和未遂事件
外部违规事件是指发生在组织外部,虽未造成直接影响组织但对组织具有警示借鉴作用的违规事件。
未遂事件是指某一事件/事项存在隐患或险情,发生或发现后得到了及时、有效处理,未对组织造成损失的事件。
合规案例总结管理的目的:满足组织外部监管的要求对违规事件进行整改;对组织进行合规调查与评估,锁定合规风险完善合规风险应对措施;有针对性地建立合规体系并确保合规工作落地
  • 了解业务主体需求和场景、案件事实以及涉及的利益主体(与管理层、业务部门沟通,了解公司战略、发展目标、业务模式等)
  • 发现问题所在,识别合规义务、合规风险,做出专业分析和结论,提出解决方案(基于案件事实、相关方的法律关系引发的利益冲突/纠纷/诉讼/政府调查等,依据适用的法律进行法律分析)
  • 实施解决方案:与相关方进行谈判,解决合规问题,并处置相关责任人
  • 复盘,制定相应的合规规范、指引和制度:人员职责分工、风险管理应对、考核评价、奖惩、信息反馈及处理
  • 对关键员工进行培训、设计培训内容;设计并开展合规文化宣传工作
  • 评价改进PDCA 设计评价改进方案(包括评价指标的设定、评价方式、周期等)

对于职场不当行为的投诉处理不当,可能会导致事件升级,引发全社会的讨论和谴责,对用人单位的声誉和形象造成重大损害。首先应该厘清案件事实,解决双方的冲突并及时遏止性骚扰行为。企业收到投诉人或举报人线索后,应及时约见当事人双方及证人了解事件经过,对事件性质进行初步判断。如果遭遇轻微且独立性骚扰事件,及时开启内部调查并对当事人做好沟通和心理疏导工作。如果性骚扰事件较为严重,事件涉及行政违法乃至刑事犯罪的,合规人员应主动建议当事人报警或向有关部门举报。应当关注当事人心理状态,对当事人做好沟通和心理疏导工作,了解当事人的诉求,酌情对当事人与行为人的工作进行合理的分配与安排,确保双方的工作交集保持在合理的程度范围内,避免事件发酵影响品牌美誉度。
  • 建立职场不当行为的预防机制(从认知角度提高员工对于职场不当行为的意识,明白什么样的场景会被定义)
  • 建立职场不当行为的受理投诉机制(畅通内部投诉渠道和程序,受理投诉应当具有时限性,须明确在一定时间内受理并告知相关结果)
  • 建立职场不当行为调查处理机制(明确调查人员的义务及工作程序,指导调查人员对调查事项做出正确判断)
  • 建立受害人的人身及隐私保护机制(对当事人进行合理管理和保护,如暂停工作、接受调查、安抚情绪、由专人跟进并及时反馈事件进展;相关人员签订保密协议等)
  • 合规制度/指引更新(从制度和业务层面避免职场不当行为:修订员工行为规范手册、制定预防职场不当行为指南)
  • 培训与文化宣传(入职培训、关键岗位培训、活动宣贯等加强员工对职场不当行为的保护意识和辨别能力)
  • 评价改进PDCA (各部门进行合规综合考评,纳入绩效考核,做到有奖有罚不断改进)
采购属于一种经济行为,整个过程会涉及多方利益,采购管理者和实施者经常会面临巨大的利益诱惑,因此采购招标一直是腐败与商业贿赂、利益冲突与利益输送等违规问题高发的领域,所以也是合规体系建设重点关注领域之一。
供应商提供的产品/服务质量不符合国家标准要求,那是如何通过资质审查和厂验环节进行到供应商库,是否存在采购人员未严格履行核验职责?
供应商提供伪造的质量检验证书是严重违规甚至违法行为,给公司造成巨大的经济损失和负面影响,应当如何进行追偿以最大限度保护公司权益?
供应商公司即便开除造假员工也不能减轻其对采购方应承担的法律责任,应同时邀请第三方权威监测机构在各方在场的情况下,对产品质量进行重新检测,如谈判未果则及时启动诉讼程序进行维权,加强证据材料的收集与整理。
将供应商列入采购黑名单永不合作;针对公司验收人员可能存在的违规操作或者利益输送行为,以及相关公司管理人员的管理责任,由审计检查部门介入开展调查,依照具体事实与情节给予相应处理。
  • 建立和完善采购规则流程(《供应商认证管理规则》《质量问题处理规则》《采购员工违纪行为处罚管理规定》等)
  • 强化合规和法务赋能,对供应商准入、质量事件处理、资金支付等高风险业务进行全程监督(完成对重要岗位人员合规诫勉谈话和采购领域核心风险识别评估,及时预警合规风险)
  • 针对存在风险隐患的重点供应商由采购人员协同外部律所资源开展合规尽调(对有严重风险隐患的供应商提前示警,将风险防控关口前移)
  • 培训与文化宣传(全体员工学习《诚信合规诚信手册》法务合规部门为采购重点岗位人员开展专项合规培训)
  • 完善采购管理制度体系、全面推行数字化的采购管理平台(采购组织者通过严格的审核和筛选将合格供应商纳入供应商库) 加强对采购的监督和评价体系建设
  • 良好的沟通谈判能力(与供应商之间沟通与谈判最大程度地降低公司损失;与政府有效沟通与协调争取谅解与支持)
平台合规管理场景,按照专项合规工作思路制定相应的工作计划,包括了解需求和调研,合规义务、合规风险识别,合规建设方案制定,合规管理指引制定,文化宣贯培训、评价改进。
平台主体经营资质合规、平台经营应依法设立并取得相应的行政许可/备案、平台应合法公示主体经营资质信息
反垄断合规风险——禁止实施垄断行为、禁止达成垄断协议、禁止滥用市场支配地位、防范经营者集中风险
禁止不正当竞争行为——采用谎称现货、虚构预定、抢购等方式进行虚假营销、混淆误人以为是他人商品、编造传播误导性信息、其他明显反不正当竞争行为、避免价格合规风险
其他专项合规风险——广告推送中的合规风险、平台的审核管理义务、数据合规与个人信息保护、合作数据的合法性与合规性、维护消费者权益角度平台需注意的义务
平台需注意的其他合规义务,建立平台合规的信息反馈与应对机制。
补充平台合规重点法律法规《电子商务法》《网络交易监督管理办法》(2021)《国务院反垄断委员会关于平台经济领域的反垄断指南补充平台经济反垄断案例

20.数字化与合规管理工具

没有合规,就没有量质效。
隐形技术显性化、显性技术标准化、标准技术软件化、软件技术交易化、交易技术知本化、知本技术资本化的微观创新生态。
除财务指标外,还有很多非财务指标,例如管理创新、技术创新对应的指标,这需要构建相应的《制度报表》和《技术报表》才能形成类似《财务报表》那样的结构化的指标体系。
权责平衡表的科学范式:4x3x3权责动态平衡表,其中4指国资委(出资人)、集团公司、分公司、子公司四级;3是指每一级组织都具有事财人三种权责;3是指每一级组织的每一种权责都具有决执监三个时态。所有的部门和岗位都可以归为三种权责。并且根据权责发生制方便确定当期绩效。
企业分配模型=按劳分配(30%)+按知分配(40%)+按资分配(30%)  建立5W薪酬结构体系=W1(基本工资+年功工资)+W2(岗位工资)+W3(津补贴+保险)+W4(知识创新+技术创新+管理创新+指标刷新)+W5(中长期激励)
理解组织及其环境、理解利益相关方的需要和期望、确定合规管理体系的范围、合规管理体系、合规义务、合规风险评估等六个方面的要求。
落实组织环境:项目人才组织(PTO/ Project, Talent, Organization)、质量成本进度(QCD/ Quality, Cost, Delivery)、计量评价交易(MEE/Measurement, Evaluation, Exchange)、量质效(QQE)、事财人(TBP/Task, Budget, Operator)、前中后(APF/In advance,In progress,In follow-up)
落实领导作用:决策层(事前事中事后作用)、执行层(激励约束机制)、监督层(插手具体事物,知行匹配排序、负面清单)
落实策划:高质量发展指数HQI 品质指数QI 创新指数Innovation index  企业创新驱动发展指数IDI=管理创新+技术创新+卓越运营
落实支持:隐性技术显性化确保持续创新组织素质改变个人素质(员工素质很难改变组织素质)、激励约束匹配度>70%(职位和薪酬的排序与业绩的排序相一致的程度)
落实运行:WBS工作分解结构(WBE工作分解单元)、 TIL技术创新水平(将技术创新全过程,从创意形成到实现商业成功划分为13个里程碑,每一个里程碑上设置3~5个检测要素,用于判断当前已达到的级别)
关于绩效评价:作业与项目(工作分解结构WBS表、质量成本进度QCD表、项目风险控制表TRC)、力与能力(方向、大小、作用点三要素缺一不可)、做功与工作(Work and job 量质效)
以人为本:员工是企业之本,一切管理活动应当以激发和调动员工的主动性、积极性为中心,促进员工的发展,保障员工的权益,提高员工的满意程度。
建立技术创新能力系统管理指标体系:
硬实力是基础,是创新能力必须具备的条件,基本要求是在人机料法环五个层面没有短板。
软实力是动力,是每个岗位、团队和全员创新的基本动力,基本要求是在权责利职义五个方面没有软肋。
创新力是灵魂,既要融入每个人的工作中,又要聚集成为可以计量的创新结果指标,基本要求是在知力功率效五个环节最终形成一流的技术创新速度。
确保具备一流的在单位时间成本约束QCD下取得技术增加值TVA的能力,确保具备一流的将技术变成价值EVA(经济增加值)的能力。
对于目标审计的要求高于违规审计的要求,首先衡量一笔钱花下去是否达到预设的目标,其次审计是否有违规。

21.企业合规师职业技能评价标准

企业中(高)级合规师应通过构建一套具有函数关系的架构模型,能够将企业的结构化数据率提升到60%(90%)以上,能够将企业法人合规的“文字”要求转化为数字工具在60%(90%)的部门(岗位)落地,并形成点上可计量、纵向可合成、横向可对比的指标指数体系。
企业合规师是一个新职业,需要解决非财务指标(制度指标体系、技术指标体系)的问题,能够推动各部门(岗位)的合规要求与岗位绩效事前标准化表达、事中结构化统评、事后学习型曲线链接

内容摘自《企业合规事务管理》企业合规专业委员会组编 中国企业评价协会监制
仅供交流学习 -