2021年4月,国际标准化组织(ISO)发布ISO 37301:2021,全称《合规管理体系 要求及使用指南》。2022年10月,中国标准化研究院等同适用ISO标准发布实施同名推荐性国家标准GB/T35770-2022。ISO37301: 2021和GB/T35770-2022规定了组织建立、运行、保持和改进合规管理体系的要求,并提供了使用指南,为各类组织提高自身的合规管理能力提供系统化方法。
ISO37301标准基于PDCA的理念搭建。PDCA循环法是美国质量管理专家休哈特博士首先提出的,由世界著名的质量管理专家戴明宣传普及,所以又称戴明环。PDCA循环的含义是将质量管理分为四个阶段,即计划(plan)、执行(do)、检查(check)、处理(action)。
本文旨在以PDCA循环管理思维为基础结合ISO37301标准分析合规管理体系建立后如何有效落地。
ISO37301标准采用的PDCA循环管理思维完整覆盖了合规管理体系建立、运行、保持和改进的全流程,基于合规治理原则,为组织建立并运行合规管理体系、传播积极的合规文化提供了整套解决方案。从ISO37301合规管理体系的结构看,其构成要素包括组织环境、领导作用、策划、支持、运行、绩效评价和改进七大模块。其中,策划、运行、绩效评价、改进构成了合规管理的PDCA循环,为合规管理体系的持续改进提供了保证。
(一)从有效性来看,合规管理流于纸面。合规的生命力在于实施,合规管理必须运行起来才能发挥价值。从实践中来看,部分企业的合规管理仍处于初级阶段,尽管建立了合规管理体系,但是仍停留在制度层面,各种运行机制和保障机制并未实际施行,如合规风险管理机制、合规审查机制、合规联席会议机制、合规报告机制、合规举报机制、合规绩效考核机制、合规有效性评价机制等。比如,《中央企业合规管理办法》提出企业应“定期开展合规管理体系有效性评价”,ISO37301标准也提出企业应“组织合规管理体系的评审”,但是部分企业仅在制度层面策划了有效性评价的机制,缺乏有效性评价的方案和表单,有效性评价无法落地实施,合规管理体系的持续改进更无从谈起。
(二)从全面性来看,合规管理与业务活动分离。管业务必须管合规,合规管理需要融入岗位职责、业务流程,需要人人参与。实践中,部分企业的合规管理职责仍集中于合规管理牵头部门,其他部门未实际参与合规义务、合规风险的管理和完善,合规目标、合规职责、合规绩效均未分配至各部门、各岗位,这不仅使合规管理与日常业务脱节,还将导致企业无法推广合规文化,员工合规意识难以提升。
三、PDCA循环管理理念在企业合规管理体系中的运用
(一)完善合规管理流程
1.执行阶段
针对已建立合规管理体系的企业,企业在计划阶段已开展合规义务识别、合规风险识别等行为对企业所处环境进行了现状分析,确立了企业的合规方针、合规目标,并通过评估合规风险制定了合规风险的应对措施。为达成合规目标,企业三道防线分别按照企业策划的运行和保障机制有序开展合规管理工作,如动态识别合规义务,持续完善合规风险库,日常进行合规审核,定期开展合规联席会,及时调查合规举报,严肃追究合规责任,常态实施合规培训等。
2.检查阶段
企业应对合规管理体系进行评价,以确保合规目标的实现。合规管理体系的评价方式可分为三种,包括合规绩效考核、合规内部审核和合规管理评审。合规绩效考核可结合企业的实际情况通过多种形式制定详细的考核标准,如是否参加合规培训、是否违反合规义务、是否合规职责等。合规内部审核的目的是为了评价企业合规管理体系是否符合企业自身的要求,以及合规管理体系是否有效实施和维护,由企业组织内审员按照内审方案的要求定期开展。企业管理评审由企业领导层组织,一般通过会议和报告的形式总结管理体系的成效和合规目标达成情况,并分析当前体系运行与设定目标的可能差距和问题,同时还应考虑任何可能改进的机会,从而找出自身的改进方向。
3.处理阶段
合规管理体系建立和完善不是一日之功。经过合规管理体系的评价,企业一般会发现合规管理体系存在的问题,一方面是不符合情况,即不符合体系运行规则;另一方面是不合规,即不合乎合规义务的要求。企业应针对不符合和不合规开展根因分析,对不符合和不合规制定纠正措施,以消除造成不符合和不合规的原因,从而保证企业不再出现同样的合规风险或不合规事件。
4.计划阶段
经历了一轮PDCA循环,企业发现部分不符合和不合规是由于合规管理体系的策划失败而产生,则企业应当及时调整体系的策划。另外,随着上一轮循环企业合规目标的达成情况,企业在新一轮循环中应当结合环境和现状的变化重新调整合规方针、合规目标,促进企业合规管理持续提升。
(二)运用PDCA方法规范业务管理行为
1.执行阶段
针对已建立合规管理体系的企业,开展合规义务识别、合规风险识别等行为离不开业务部门和职能部门的参与和支持,各业务部门和职能部门必须立足本部门的特点,梳理重点义务、识别重点风险、确定合规目标,从而确定企业的重点领域、重点环节、重点人员。在2022年年初的中央企业合规管理工作专题推进会中,国资委对中央企业的合规管理提出了“五个一”的要求,其中包括“抓紧制定一组合规管理清单”。“一组管理清单”的核心内容是合规风险清单、岗位职责清单、流程管控清单、合规义务清单。各业务部门和职能部门应根据各部门以及各岗位的合规义务、岗位职责、工作流程开展业务管理工作,从而防控合规风险。
2.检查阶段
各业务部门和职能部门合规目标的达成与否关系到企业合规目标的达成。在日常业务管理过程中,企业应通过合规绩效考核评价各部门甚至各岗位的合规工作。同时,企业在开展内部审核时,应由内审员审核各部门的合规职责的履行情况,评价各部门的合规目标达成情况。只有各部门均达成了合规目标,才能认定企业达成了合规目标。
3.处理阶段
企业通过合规管理体系的评价,确定的不符合和不合规情况应结合部门合规职责或岗位合规职责分配至各业务部门和职能部门,各部门根据实际情况制定纠正措施。如果在评价阶段,企业将部分不合规和不符合的原因认定为某员工个人责任,还应按照相关制度对员工违规行为严肃问责。
4.计划阶段
经历了一轮PDCA循环,随着企业合规管理体系的调整,各业务部门和职能部门的合规职责可能也需要作出相应的调整。并且,各部门的合规义务和合规风险也处于动态识别过程中,因此,各部门需要总结经验,修订目标,调整风险管控措施。
合规管理体系的有效落地可以提升企业防范风险的意识与应对风险的能力,提升企业的管理效率,但同时也是一项持续性、系统化的工程。ISO37301标准运用PDCA循环管理思维,为企业合规管理体系的提供了科学的依据,助力企业形成高质量发展的格局。