《企业合规管理体系有效性评价》解读-江苏省钢铁行业协会

2022年7月5日，中国企业评价协会发布了《企业合规管理体系有效性评价》（T/CESS 002-2022）（以下简称《评价标准》），该文件为团体标准，可由企业自主决定是否采纳。但由于合规管理体系建设工作在全社会如火如荼推广应用，对于相关建设成果的评价机制却一直不明确，因此该团体标准的出台，非常值得我们予以关注。

企业合规管理体系的评价，包含着两个不同层面：一是合规管理体系建设的完备性，即合规管理体系是否已经包含了合规管理体系所要求的必要组织架构、环节及核心要素；二是合规管理体系的有效性，即合规管理相关规范是否能够有效运行，有效发挥作用。有效性评价不仅能够检测已完成的合规建设的实施效果，同时也能指出企业合规体系中仍存的漏洞，让企业换一种方式去提升，是一个分析、检查和改进的过程。

一、合规管理体系评价体系背景

2018年发布的《中央企业合规管理指引（试行）》第22条要求，“开展合规管理评估，定期对合规管理体系的有效性进行分析，对重大或反复出现的合规风险和违规问题，深入查找根源，完善相关制度，堵塞管理漏洞，强化过程管控，持续改进提升”。然而一直以来，都没有真正能够广泛适用且令人信服的评价指标体系。

美国是最早推进企业建立合规管理体系的国家，美国《联邦量刑指南》从法案层面要求企业组织制定《有效的合规与伦理方案》（Effective Compliance and Ethics Program）。上述有效合规方案确定的七个检验合规管理有效性的要素被称为“合规黄金标准（Gold Standards）七条”，在世界范围内被广泛视作有效合规的基本标准。“七要素”标准从1991年诞生，经历过多次修改和完善，如今已围绕“设计合理性、实施有效性和结果有用性”三大要素，分解为12个一级指标、49个二级指标，进而细化为约160个具体问题。

2021年6月3日最高检会同国家部委印发《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，今年4月宣布涉案企业合规改革试点在全国检察机关全面推开。从实践试点的情况看，缺乏相对明确的评估标准成为制约第三方评估机制运行的最大瓶颈。各地检察机关和监督人仍然处在对评价标准的摸索阶段。

国际标准化组织于2021年4月13日发布最终版的《合规管理体系要求及使用指南》（ISO 37301），标志着企业合规管理有权威的和约束力的标准从事合规管理体系的搭建、运行及提升。ISO 37301标准针对合规管理体系提供了明确的指南与基本准则，不仅有助于企业开发有效的合规管理体系，而且也是企业合规管理体系的评价标准。目前也是国内企业进行合规管理体系评价的重要标准之一。本次《评价标准》也是基于ISO 37301的相关要求制定。

2021年下半年，国务院国资委针对中央企业合规管理体系建设情况制定了一套“调研”体系，包含5个方面30项具体指标，成为中央企业开展合规管理体系评价的重要尝试。但是，该指标作为落实《中央企业合规管理指引（试行）》的一项“阶段性”调研，重在考察企业合规管理体系的完备性，还未能真正涉及企业合规管理有效性。

另外2021年5月，中国证券业协会为更好指导证券公司开展合规管理有效性评估，提高评估实效性，修订形成了《证券公司合规管理有效性评估指引（2021年修订）》。2022年5月，中国中小企业协会企业合规专业委员会牵头起草了《中小企业合规管理体系有效性评价》团体标准。

一时间，各界都在为推动合规管理体系评价而贡献智慧，然而也让合规管理体系评价更为多元和冲突。

二、《评价标准》的评价原则

《评价标准》分为7大部分，30个方面，并从文件的符合性、实施过程的符合性、实施过程的符合性、实施结果的有效性以及持续改进几个维度，设计了评价指标。然而我们更应当关注合规管理体系评价的原则和方法路径。

第一，符合性与有效性相结合原则

合规管理体系并非一套标准模板，不同企业的合规管理千差万别，这决定了合规管理体系有效性评价应当针对不同企业有所差异。因此，评价合规管理体系的首要原则就是看待相关的合规管理体系是否与企业相符合，并能够有效。符合性是前提、基础，而且是为有效性服务的。从《评价标准》来看，更多强调了合规管理体系对于规范要求的符合性：是否符合ISO 37301的要求，是否符合合规规范性文件的要求。然而这种理解并不完整。

符合性应当包含规定要求的符合和使用要求的符合两个层面。对于相关合规规范要求的符合，是通识性的符合要求。然而符合了所有的规范要求，并不一定能够有效控制合规风险，切实地满足企业合规风险控制的合规管理需求。因此，还需要确定企业本身的合规管理使用需求，而符合使用需求的前提就是对于企业自身的特性有充分的理解。

符合性实现了两个层面的要求，辅以有效地运行和保障，则能够保障合规管理体系运行产生预期结果。

第二，全面性原则。

合规管理体系作为企业实现对外部法律法规的系统性遵从的保障体系，全面性是不可或缺的原则要求。《评价标准》谈到的全面性包含全员、全域、全过程三个不同方面。当然这种有效性评价是较为理想的状态，一家企业所有人员、所有经营活动在各个环节都可以有效地实现合规。这种理想目标是否应当作为一种客观评价合规管理体系有效性的标准值得商榷。

在全面性的三个不同方面上，全员是不可或缺的评价标准。企业的任何一项业务活动，都需要全员参与才能保障合规管理落实到位。因此全员是全面性的必须解决的问题。而全域和全过程则是可以循序渐进的部分。只要全员参与合规管理体系，则可以在一些领域及其支撑过程先行实现合规管理。此后通过深化，扩大领域，增强过程管控。

第三，企业自评和专业评价相结合原则。

《评价标准》将评价主体作为基本原则之一，这似有不妥。所谓原则，应当能够反映事物本身的内在规律，贯穿始终。然而作为一个评价主体的选择，并不能够成为合规管理体系评价全方位的遵从逻辑起点。《评价标准》在引言部分阐述，“实践中，企业合规管理体系有效性评价可由企业自行组织开展，也可委托行业协会、认证机构等机构开展。”因此，笔者认为该评价主体的选择可以成为对于企业的一种选择建议，而不应当作为原则出现，同时企业是否需要通过第三方评价来确定合规管理体系的有效性，也是企业自主选择的事项，而不应成为必须。

第四，独立客观原则。

评价独立客观，是一种必然原则性要求。独立性是实现客观性的保障基础，客观性才是评价的核心价值主张。《评价标准》明确“评价机构应和人员与被评价企业保持相对独立”。这一原则要求与前面“企业自评和专业评价相结合原则”存在一定冲突。《评价标准》将评价实施过程依据ISO 37301的要求进行作为独立客观原则的内容，局限了该团体标准适应性。毕竟，ISO 37301作为合规管理体系标准之一，并非唯一的标准。未来是否有更被广泛接受的标准出现难以预知。尤其在特殊领域里，如证监会颁布的《证券公司合规管理有效性评估指引》则更适合特殊行业的评价。

三、《评价标准》其他亮点

第一，《评价标准》提供了一套合规管理体系的评价模型。

推动合规管理体系建设科学化，必然需要有效性评价标准。然而从国际经验来看，企业合规有效性评估标准经历了从形式到实质、从抽象到具体的过程。《评价标准》虽有不足，但整体上设计了一套组织建立、实施、绩效和改进等四个维度的合规管理体系有效性评价通用模型，一定程度减少测评过程中评审人员的个人因素影响。《评价标准》为我国合规管理体系评价实践作出了有益的尝试。

第二，《评价标准》确立了较为客观的计分式评估模式。

在过去，一些企业对自身合规管理状况作出简单的定性评价，如健全有效、基本健全有效、部分健全有效等。这种评价方式，不仅不利于发现原有合规管理体系存在的问题，反而容易隐蔽问题。《评价标准》在各类评价方式中选择了计分式评估。将企业合规建设和相关制度、管理流程的有效性量化为参数，以加权求和法进行计算，综合呈现企业合规建设有效性的得分。其优点是清晰直观、具备可推广性；缺点是标准的制订本身是否具备客观全面、科学合理直接影响到计分体系结果。

第三，《评价标准》给出了合规管理体系评价工作流程。

《评价标准》第六部分，专门阐述了“评价实施和评价结果”。其中确立了规范性文件和和证据性文件两类文件作为合规管理体系有效性评价的主要证据。通过日常监测、内部审核、交叉检查、管理评审、年度工作总结等构建相应的评估工作流程。并确立了合规管理体系策划评价、体系支持评价、体系运行评价、体系改进评价等四大核心合规管理体系评价内容。对于合规评价报告的书写规范，亦明确重点为内容的完整性。

四、对《评价标准》的评价和展望

应当来讲，《评价标准》作为团体标准，在企业合规管理体系评价方面作出了有益尝试，并在一些评价方案上较之ISO 37301更为具体，更易操作。然而，合规管理体系本身具有复杂性，不同企业难以通过统一的模式实现合规管理有效性实施，因此《评价标准》也存在其不足：

第一，评估标准与企业合规体系建设一样，都是与企业匹配的“最佳实践”。不同的企业应该如何确定自身的合规计划，应当基于企业本身特性，合规环境和内部合规建设基础条件等，因此不同的合规计划也有不同的评估标准，评估不是“公式化”的套用。《评价标准》为保障客观性，过分强调了分值划分，从而让评价适应性、灵活性不足。

第二，合规文化是企业合规计划有效性的终极标准。合规有无融入企业文化才是终极标准，然而这很难通过数值化的评价确定。公式化、程序化的评价模式容易割裂了合规与文化的关系。

第三，合规管理体系评价的目的是为了发现合规管理体系的不足。企业通过评价自身合规管理体系是否有效，从而进一步为企业合规管理体系的完善提供方向和科学依据。评价本身不是要进行行业评选，也不是单纯为了获取更高的评分。因此企业需要正确认识《评价标准》提供的评分体系，避免在评价中掩盖真相，不能有效暴露合规管理体系缺陷。

第四，《评价标准》未涵盖专项合规评价。从合规管理体系的评价来看，除了对于企业整体合规管理体系评价外，对于特定领域、特定事项的专项合规评价也是非常重要的板块。非常遗憾的是，《评价标准》并未对专项合规评价给予关注。

合规管理体系评价是一项综合性的工作，随着我国企业合规管理体系建设实践推进，我们需要以发展的眼光看待有效性评价。不要拘泥于各类合规管理体系评价标准。企业必须明白，单纯为了适应相关的标准不是合规管理体系有效性的评判本质，如何实现合规风险的有效管控，提升管理才是目标。