企业如何自我审查合规体系的有效性？

近几年，涉案企业合规改革快速发展，不少非涉案企业也开始重视合规体系建设。但是，无论是涉案企业还是非涉案企业，都存在只是建立了合规制度，然后“束之高阁”，或者合规制度建立时脱离企业实际，导致客观执行不能的情况。

忽视执行或者执行不能，合规制度就发挥不了应有的效果。ISO37301《合规管理体系要求及使用指南》、《中小企业合规管理体系有效性评价》等多部文件都罗列了合规有效性的评价标准，如何将这些标准付诸实践，是企业需要重视的一门功课。本文在上述文件的基础上，并结合合规实践，对相关标准进行提炼，以期为企业提供参考。

是否给予合规人员足够的支持？

第一，企业要在合规文件中，明确赋予合规人员独立性和权威性：独立性即能够直接向最高机构汇报，以及工作不受干涉和影响；权威性即有权力调查企业内部一切不当行为和相关人员，有访问相关部门数据资源的权限。

第二，是否在合规工作中，确实保证了合规人员能够履职。比如，当某一项新业务不符合合规制度时，是否因合规人员的一票否决权，放弃新业务？当调查不合规案件受到干扰时，高层领导是什么态度？是消除干扰还是置之不理？合规人员在调查不合规事件时，是否可以调动其他部门人员配合，或者申请到足够的资金保证工作顺利进行？

02 是否科学进行合规风险识别？

第一，是否科学确定风险识别依据和方法。识别风险的依据，即确定有哪些合规义务，包括法律文件、监管规范、行业规范、司法文书等，要看确定的义务范围是否合理且全面。风险识别有多种方法，包括外部第三方访谈法、内部员工访谈法、已有案例分析法、权力识别法等，企业采用的是哪种或者哪几种方法，所采用的方法是否符合企业实际情况？合规义务与公司业务都可能发生变化，企业是否及时根据变化进行风险识别？

第二，合规风险识别，包含对风险进行分级。企业是否根据风险发生可能性、发生频率、后果严重性等因素，对风险进行定级，并相应地决定资源投入，即高风险高投入、低风险低投入？

03 是否全面进行合规风险应对？

第一，企业是如何应对合规风险，即制定了哪些措施和程序，保证合规义务得到履行？比如，像销售、采购、财务等腐败、舞弊行为多发的岗位，是否有相应的审核人员和程序，并且嵌入到了日常业务过程中，来控制风险源的现实化。

常见的是，企业在采购时的招标环节，有供应商资质审核、引入流程、招标程序等相关规定，企业是否有相应预案，防范招标相关负责人违反规定引入供应商，或者违规进行招标事宜，以避免出现腐败或舞弊事件？

如果突发不合规事件，企业还要考虑到采取哪些措施、调动哪些人进行应对？比如突发环境污染事件，由谁、怎么去做，以降低污染的影响、与相关部门沟通等。

第二，是否进行合规风险的日常监测？企业是否通过具体方法，对合规风险领域和岗位进行日常监测。比如，对于风险高发的岗位，可以采用岗位分析法，对合规风险定期进行梳理，并在经营过程中定期进行审查。审计是风险监测的一种常用且有效的方式，具有较强的专业性和针对性，企业是否进行定期审计，通过财务数据识别合规风险？

04 举报与调查、处理制度是否有效？

第一，举报制度建立后，是否收到举报线索？如果长期没有举报线索，是否对员工进行调研，了解原因，比如员工不了解举报方式、担心举报后被报复等。是否有根据员工反馈情况，对举报制度进行调整？

第二，有不当行为的线索后，企业有没有投入足够资源去调查，调查结果如何？如果有调查，但总是没结果，就要分析原因，是调查人员的问题还是有阻碍因素等，并对调查制度进行调整。

有调查结果后，高层是否做出相应的反应？比如确有不当行为时，有没有依据奖惩措施，对相关人员进行相应处罚？

以近期发生的“笑果事件”为例，笑果公司虽说有内容审核，但脱口秀有很大的临场发挥空间，如果演员临场发表了不当言论，公司就要有相应的惩罚制度，并且实际进行处罚，这样行政机关可能会减少甚至免除对笑果公司的处罚。

05 员工对合规体系是否熟知并遵守？

培训制度是让员工了解合规制度的重要方式，也是合规体系的一项重要制度，包括针对不同对象有不同培训内容、培训周期等。

培训制度是否被实际执行以及效果如何，是重点。是否被实际执行容易判断，看是否有相关的培训记录即可。是否有效果，就要对员工进行不定期的抽查、测试，看其是否熟知公司相关合规制度、了解高层领导对合规的态度，以及如何举报、是否愿意举报、不愿意举报的原因等。

06 合规体系是否被不断更新与修正？

合规体系不是一成不变的，要根据不同因素，进行相应地更新与修正，包括：控制制度缺失；员工故意为之；合规人员专业度不够；企业外部环境以及内部业务等情况发生变化，等等。

控制制度缺失，反映出来的问题是合规制度不完善，要对相关流程和程序进行改进；员工故意为之，则可能是缺乏定期审查或者事后审计；合规人员专业度不够，则需要加强相关培训等。

内部外情况变化，意味着风险源也有所改变，企业需要对风险识别、评估机制进行改进，并制定相应应对措施。比如，国家颁布新的环保政策，企业需要调整排污参数而未调整，以前合法排污的行为就变成违法排污。

有效的合规体系能够避免企业因个人不当行为（包括行政违法和刑事犯罪行为）被“连带”。典型案例是雀巢公司员工侵害公民个人信息案，雀巢公司员工为提升业绩，向医院相关人员支付好处费，非法获取患者信息，因雀巢公司有禁止员工实施案涉行为的合规制度，且其有效性被法院予以认可，最后只有员工被认定为个人犯罪，单位以合规制度成功隔离了刑事风险。

知道如何对合规体系进行有效性评估，企业才能有效构建并实施合规体系。需要注意的是，衡量合规体系是否有效，因企业业务、规模等不同，没有固定的范式，企业可以基于通用规则，再结合企业实际，在具体操作时进行调整。