五、合规管理体系有效性评价的标准

（一）背景概述

近年来，中国企业主要依据国务院国资委《中央企业合规管理办法》和早期发布的《中央企业合规管理指引（试行）》、国际标准化组织（ISO）发布的ISO 37301:2021《Compliance management systems - Requirements with guidance for use》（以下简称“ISO 37301”）及早期的ISO 19600:2014等来搭建企业的合规管理体系。但如何评价合规管理体系的有效性，目前尚没有特别统一、明确的方法论和评价标准等。中国企业评价协会发布的《企业合规管理体系有效性评价指引》、中国中小企业协会发布的《中小企业合规管理体系有效性评价》、多部委联合发布的《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》、《涉案企业合规建设、评估和审查办法（试行）》以及一些地方性合规指南等为企业开展有效性评价提供了参考。合规管理的有效性评估标准作为衡量企业是否提升自我监管能力以及预防犯罪实际效果的重要因素，一方面与企业行政或刑事责任相联系，决定了执法机关是否对其作出不起诉、减免刑罚甚至出罪的处理。同时，另一方面也是企业提升犯罪预防能力，优化企业治理结构的重要手段。但在现阶段，合规管理有效性的评价标准仍面临着明确性缺乏，可操作性不强、形式化色彩浓厚等现实困境。具体分析如下，

1、评价标准缺乏明确性，可操作性不强。

从七部委联合发布的《企业境外经营合规管理指引》的第27条到《中央企业合规管理指引（试行））第22条和《中央企业合规管理办法》第27条，[1]均要求企业应定期对合规管理体系进行系统全面的评价，规定了评价应考虑的因素，并强调了评价结果的运用。2022年4月19日，中华全国工商业联合办公厅、最高人民检察院办公厅、司法部办公厅等多部门联合发布《涉案企业合规建设、评估和审查办法（试行）》（以下简称《办法》）第14条也对第三方组织对于涉案企业合规计划有效性的评估标准做出了规定，但“有效识别”“及时处置”“合理配置”“充分保障”以及“评价机制正常运行”等表述过于笼统，难以据此作出有效且客观的评估判断。

2、评价标准形式化色彩浓厚，实效难以保证。

目前，企业的合规管理很容易呈现出形式统一化的倾向。特别是国有企业在国资委统一文件要求的背景下，国企的合规管理很容易出现相互借鉴、相互吸收的情形，从而忽视了企业因经营规模、业务范围、行业特点等差异性因素决定特有的合规风险，导致中央或者地方国有企业搭建形式化、雷同化的合规管理体系，难以保证合规管理的取得实际成效。这个问题在合规整改阶段中更为突出，由于前述的《指导意见》、《办法》关于合规计划有效性的评估标准不够清晰、评价工作具有形式化的特点，导致一些具体案例中涉案企业合规管理的实效果有待考察。例如，最高人民检察院发布的《企业合规典型案例（第二批）》中的“山东沂南县 Y 公司、姚某明等人串通投标案”。对涉案企业的合规考察，需要经历审查、制定合规管理计划、执行计划、监督评估、检察院作出宽大处理决定等流程。而在短短不到一年的时间，本案就完成了合规计划的制定、执行和评估等流程，其合规计划的实际效果如何令人难以信服。这种以形式化评价标准衡量企业合规计划的有效性既也不利于充分激发企业开展合规管理的积极性，也会降低评价标准对企业合规工作的指导作用，难以实现督促企业进行有效合规管理的根本目标。

因此，操作性不足和形式化的有效性评价标准既难以为评估组织提供合规管理机制有效运行的参照标准，也难以为企业在搭建有效合规管理体系的进程中提供指引。针对有效合规评估标准面临的现实困境，应充分考虑风险防范的针对性等因素，从方法论基础、评价内容和评价方法等方面入手，制定并不断优化合规管理体系有效性的评价标准。

（二）合规管理有效性标准的内容

1、合规管理体系的构成要素

纵观国内外的法律规定、各类型标准与合规管理实践，一些国际组织和各国关于合规管理体系构成要素的要求并不尽相同。但是，无论是日常合规管理体系还是专项合规制度一般都包括如下核心内容：

（1）完备的伦理规范或者行为准则，为企业内部合规管理奠定合法性基础；（2）清晰的合规政策和程序；（3）最高管理层积极参与制定与实施合规计划；（4）配置专业合规机构与人员；（5）定期培训计划；（6）内部举报与调查制度；（7）内部纪律与制裁措施；（8）奖励制度，鼓励促进合规、廉洁企业文化的行为；（9）监测和审计制度；（10）定期评估和改进程序，保证合规管理的适时性。[2]

合规管理体系的构成要素是合规管理有效性评价的物质基础，如果没有这些构成要素，合规管理有效性将成为空中楼阁，而无从谈起。但在另一方面，就如许多失败的教训所揭示的，仅有这些构成要素可能实现“纸面合规”，并不一定能保证合规管理取得实际效果。因此，有效性才是合规管理的灵魂和最终目标，而实现这一目标的手段就是通过合规管理有效性评价标准来进行验证。

2、合规管理有效性评价标准的内容

根据《合规管理体系要求及使用指南》第9.3.1条的要求，治理机构和最高管理者应在策划的时间间隔内对组织的合规管理体系进行评审,以确保合规管理体系持续的适宜性、充分性和有效性。因此，合规管理体系有效性评价标准可以进一步分解为三个方面，分别是“合规管理体系设计的适宜性”、“合规管理体系执行的充分性”和“合规管理体系实施结果的有效性”。分别讨论如下，

（1）“合规管理体系设计的适宜性”，是指企业是否在充分识别和评估企业合规管理风险的基础上，搭建一套可以有效预防合规风险、监控违规行为和应对违规事件的合规管理体系。设计适宜性需要重点考察设计合规管理体系是否满足符合性、全面性和可及性等要求 ，具体内容包括合规章程、合规政策和程序、合规组织体系和人员保障、合规风险预防体系、合规风险监控体系以及违规事件应对体系等基本构成要素，尤其需要强调如下几个方面，

一是合规风险评估制度。风险评估是制定合规管理制度的基础，也是保证合规管理设计符合企业实际的逻辑起点。重点考察企业合规风险评估的相关制度和流程包括，对内外部环境分析与应用、识别利益相关方的需要与期望、明确合规管理体系的覆盖范围（涉及地域边界、组织边界和业务边界）、梳理和识别合规义务等，以及是否根据内外部环境的变化定期更新和修订等。没有扎实的风险评估工作做前提，企业合规管理体系就会成为无本之木。

二是合规管理制度。重点考察企业设计合规管理制度的完整性和规范性，主要包括合规管理的基本制度是否完善，明确了总体目标、机构职责、运行机制、考核评价、监督问责等主要内容。与之配套的文件化信息是否完备，包括纲领性文件（例如手冊、管理制度等）、流程性文件（例如程序、管理规定、管理办法等）和作业指导性文件（例如操作规程、工作流程、作业指导书等）。企业是否根据使用范围、效力层级等构建了分级分类的合规管理制度体系。是否针对反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护、国际化业务等重点领域制定了专项合规管理制度。

三是合规运行机制。重点考察合规风险识别评估预警机制、合规审查机制、合规报告制度、培训与沟通机制、违规问题整改机制、举报与调查机制、协同运作机制、有效性评价机制等。参考各国的相关实践，在对企业合规管理运行机制进行评估时，尤其关注企业的培训与沟通机制、举报与调查机制是否得到切实可行。

培训与沟通机制，侧重评估企业是否是以适合受众的规模和满足特定的实际需求、采用适当的方式来传达企业合规的各种合规信息，以及评估企业为确保将合规管理纳入组织管理体系而采取的有关活动，包括通过对所有董事、管理人员、相关人员和第三方业务伙伴进行定期培训和认证。以及为了解决现实中的合规问题，企业是否向员工提供以前的合规案例和实用的合规建议，让第三方了解公司的合规政策，确保其学习到必要的合规知识、掌握合规管理工具并帮助其做出合规决定。

举报与调查机制是是企业发现不当行为的重要渠道之一，设计良好的合规管理体系的一个标志是存在一个高效且可信的举报机制，员工可以通过该机制匿名报告涉嫌或实际违反公司合规政策的各类行为。应评估企业是否设计了适当的投诉处理程序以创造一个不担心报复以及保护举报人的机制。同时，还应该评估企业处理此类投诉的调查程序，包括将投诉转交适当的人员，及时完成彻底的调查，以及适当的后续处罚措施等。

总之，企业在合规管理领域所有旨在建章立制的活动都应被纳入“合规管理体系设计适宜性”的评价范围。

（2）“合规管理体系执行的充分性”，是指企业在经营管理中是否投入足够的资源和赋予足够的权力来“真诚地”落实和执行合规管理的书面要求，保障其在企业经营管理活动中发挥了监管作用。主要包括三个方面，管理层参与合规管理的程度，合规管理部门的职能与资源，以及合规后果管理机制等。其中的要点如下，

一是管理层的支持和参与程度。主要考察企业最高层合规承诺的落实情况，最高层的合规承诺为企业定下了合规基调，包括向企业传达价值观，推行员工行为准则以及其它主要合规文件来促进企业合规。在执行层面，考察企业高中级管理层的言行举止是否为下属树立了合规榜样，在日常经营管理中能够共同以身作则来鼓励合规和不容忍不当行为的发生。以及当出现不当行为时，高级管理层特别是董事会在企业查处不当行为的过程中是否发挥了适当的监督作用等。

二是合规管理部门的职能与资源。主要考察设置合规管理部门其合规管理人员是否具有胜任的能力，并保持其独立性、权威性并具有足够的资源渠道。合规管理部门的独立性，考察涉及是否设置独立的合规部门以及合规管理委员会等。合规管理人员的资历与能力能否胜任，需要结合人员自身能力、企业岗位要求和企业绩效考核安排等进行考察。而是否有效地行使合规管理职能，考察是否明确规定了合规部门的职责和权限，以及独立性、汇报层级、发言权、重要決策者直接接触方面等事项。最后，考察企业是否投入足够的资源保障合规管理部门履行职责与权限，包括是否有足够的合规管理人员来履行合规管理的监测、检查和控制等职能，以及对合规管理工作的预算投入情况，合规管理人员是否对企业相关数据和资源具有足够的访问权限等。

三是合规后果管理机制。主要是指企业是否有清晰明确和统一适用的合规激励和处罚机制，通过对企业合规管理奖惩效果的评估来衡量合规管理制度执行的有效性。其中，企业的人力资源绩效体系是否保证企业各级管理人员和所有员工在业务考核、职务晋升、岗位调动等方面都要经过合规考核环节等。处罚机制关注参与处罚部门构成，处罚措施是否明确具体，如何保证对企业各级员工的公平和统一的适用，惩戒情况在企业内部公开和披露的程序等。

总之，执行的充分性反映了企业是否以积极和真诚的态度投入资源将合规管理纳入到了企业决策、业务、财务、经营、人事等各个管理环节，并使其得到充分和有效地执行落实。

（3）“合规管理实施结果的有效性”，是评价企业通过实施合规管理体系是否产生了积极的成效，主要包括企业通过定期的合规监测和内部合规审计，针对违规行为进行调查，分析管控漏洞，并采取补救措施和追究责任，持续地改进合规管理体系等，结果有效性评价的性质和频率可能取決于企业的规模和业务复杂性等因素而不尽相同。

一是开展合规监测。是指为了使企业及时识别潜在或已发生的合规风险和违规行为，企业合规管理部门针对重要的管理和关键的业务领域进行定期的监督、审查和分析的过程。定期监测试是确保合规管控运作良好的重要保证，考察的要点在于，企业开展定期测试的覆盖范围，具体采取了哪些监测的措施，如何收集和分析合规数据，监测分析报告的结果如何进行进一步的应用等。借助有效的合规监控程序，企业不仅可以掌握到合规管理体系中信息的不足，也可使企业在合规风险引发具体违规行为、遭受监管处罚、造成经济损失或破坏声誉等不良结果之前得到预警，防患于未然。

二是定期的内部合规审计。是指为了掌握企业合规风险管理的实际运作及其有效性情况，由合规管理部门对企业各部门（包括各管理部门和业务部门）的经营管理行为以及员工履职行为的合规性所进行的检查和评估。重点考察企业是否采取了“合理的步骤”来确保企业的合规要求得到遵守，并定期评估其合规管理的的有效性。包括内部合规审计的文件依据、周期（特别是在高风险领域进行检查和评估的频次）、执行程序、审计结果以及采取的补救措施等，特别是哪些审计结果和补救措施需要定期报告给管理层和董事会，管理层和董事会对此采取的后续有关措施等。

三是对不当行为的调查。是指考察企业能否对企业及其员工或代理人的任何指控或可疑的不当行为进行及时和彻底的调查、保留适当的书面记录和采取纪律处分或其它补救措施。并且，调查结果是否被企业用来分析不当行为发生的根本原因、填补管理系统漏洞和处理问责缺失等的依据。

四是持续改进和发展的能力。是指随着企业的内外部环境的不断变化，以及针对合规监测、内部合规审计和调查中发现的问题进行持续改进的机制。主要考察企业是否进行了有意义的努力来审查其合规管理体系，确保其合规管控措施始终聚焦在企业合规风险的领域，并确保其运行良好和与时俱进。具体包括公司更新风险评估并审查其合规政策、程序和做法的周期，以及是否通过差距分析来保证特定的风险敞口在其政策、控制或培训中得到充分和适当的处置等。

总之，通过合规管理体系的实际运行，企业不仅有效地预防合规风险、监控违规行为堵塞和消除了合规管理漏洞，企业合规合规管理体系实现了企业的自我监管，并最终形成了依法依规经营的企业文化。

（4）三方面之间的关系

合规管理体系有效性的这三个方面之间存在了内在的层层递进的逻辑联系。合规管理体系设计的适宜性，是合规管理执行充分性的前提和基础。一言以蔽之，合规管理体系运行的充分性离不开设计的适宜性，如果合规管理体系在设计上存在漏洞，即使这些合规管理制度能够得到一贯地执行，那么也不能认为其运行是有效的。而合规管理有效运行的充分性，则是合规管理体系从“纸面合规”走向“实效合规”的关键环节。相对于合规计划设计和运行而言，合规管理实施结果的有效性更注重合规管理体系所产生的积极效果。这种效果既不等于提出了良好合规管理的书面承诺，也不等于执行了一整套全新的合规管理体系，而是发挥了预防合规风险、监控违规行为和补救制度漏洞的实际作用。这三个方面的层层递进才保证了合规管理形成了PDCA循环，得以周而复始地持续改进。当一个循环结束，解决了一些合规问题，那些未解决的合规问题将被列入进入下一个循环，推动企业逐步实现合规管理的阶梯式飞跃。

此外，合规管理体系有效性评价可以结合评价内容和指标的具体情况，采用文件审阅、问卷调查、访谈调研、飞行检查、穿行测试、感知测试、模拟运行等评价方法，介绍的文章很多，非本文讨论的重点，就不再一一赘述。

注释：

[1]《企业境外经营合规管理指引》第27条 合规管理体系评价 “企业应定期对合规管理体系进行系统全面的评价，发现和纠正合规管理贯彻执行中存在的问题，促进合规体系的不断完善。合规管理体系评价可由企业合规管理相关部门组织开展或委托外部专业机构开展。企业在开展效果评价时，应考虑企业面临的合规要求变化情况， 不断调整合规管理目标，更新合规风险管理措施，以满足内外部合规管理要求。”

《中央企业合规管理指引（试行））第22条 “开展合规管理评估，定期对合规管理体系的有效性进行分析，对重大或反复出现的合规风险和违规间题，深入查找根源，完善相关制度，堵塞管理漏洞，强化过程管控，持续改进提升。”

2022年8月23日，国资委发布的《中央企业合规管理办法》第27条也仅规定中央企业应当定期开展合规管理体系有效性评价，针对重点业务合规管理情况适时开展专项评价，强化评价结果运用。

[2]See Stefano Manacorda，Francesco Centonze and Gabrio Forti eds.，Preventing Corporate Corruption， Springer，2014，p.416. 

作者简介

陈 宇

北京德和衡律师事务所高级联席合伙人

陈宇律师获得中国人民大学法学博士，对外经济贸易大学法学硕士，美国匹斯堡大学访问学者。陈律师擅长国际能源工程招投标和建设、国际、国内公司合规体系建设、国际反腐败合规、网络安全和数据隐私、跨国投资和并购、国际和国内仲裁以及其它诉讼业务，中国和香港上市公司常年法律顾问。

邮箱：chenyu@deheheng.com