合规是组织生存和发展的基础,反贿赂是合规的一个重要主题。ISO组织分别在2014和2016年发布ISO19600和ISO37001,为组织合规以及反贿赂提供标准化管理的指南和要求。各国间的执法存在较大差异,文化传统和风俗也各异,这些都给对外承包工程企业的境外运营带来巨大挑战。导入国际标准,建立长效的风险管控机制,系统化管理这些义务和风险,对公司的稳健经营意义重大。《合规管理体系指南》(ISO19600:2014)和《反贿赂管理体系——要求及使用指南》(ISO37001:2016),为不同的合规议题提供了建立相应管理体系的指南和要求。
ISO19600标准及其应用
一、标准介绍
ISO19600中合规的定义为:履行组织的全部合规义务。组织通过将合规融入其文化及其工作人员的行为和态度中,使合规具有可持续性。组织依据ISO19600标准建立合规管理体系,有效管理和控制合规风险。标准采用《ISO Directives 2013》附件SL的管理体系标准通用结构,强调以风险为基础,应用流程遵循过程方法和策划——运行——检查——改进(PDCA)方法论(见图1)。
二、ISO19600的应用
1.确定合规管理体系的范围、方针和原则
组织基于自身的规模、结构、业务范围、性质和复杂程度确定合规管理体系的边界和范围。依据内外部的运营环境确定自身的合规原则和方针。
2.确定合规义务
组织的合规义务来自合规承诺和合规要求。合规要求可能包括法律法规、授权、监管命令、条例或指南、法院或行政法庭的判决书、条约、惯例和协议。那些与控制风险高度相关、具有非常强的强制性、一旦违反就会引发风险或者让风险管理失去控制的合规义务,是组织的重要合规义务。重要合规义务是合规管理体系的核心议题。组织的价值观、目标、战略、治理原则、资源配置和管理程序,主要围绕重要合规义务展开。
对外承包工程企业的合规义务可从三个层次考虑:(1)法律法规及合约要求,包括公司总部所在国和经营所在国家或地区的法律法规及监管规定;(2)规章制度要求,包括企业价值观、商业行为准则等规章制度;(3)社会规范,包括道德规范、所在国家和地区的文化传统、职业操守等。
3.风险评价和策划
组织的业务区域或过程中存在与合规义务相关的风险。这些风险应予以识别和评价,对风险水平(Danger)达到一定阈值的风险重点管控。(见表1)
风险评价通常从三个维度进行:风险发生的可能性(Likelihood)、频率(Frequency)和后果的严重程度(Consequence)。(见表2)
应针对组织不可容忍的合规风险进行控制策划,建立合规框架,包括合规风险的应对措施和目标。管理目标应分解为各过程或者层次的绩效指标(KPI)。KPI可能包括经过有效培训的员工比例、监管部门的联系频率、一定时期内已识别的问题、不合规或不合规风险、不合规的后果(如罚款、补救成本、声誉影响等)、不合规趋势等等。领导作用和资源的配置很大程度上决定了合规风险的控制措施力度以及目标和方针的实现程度。
4.合规风险管理、绩效评估和改进
在既定的合规方针、管理框架、风险应对措施和目标下,管理体系在各业务过程中展开,按照确定的程序运行,实现各层次的目标。运行过程中,组织应制定监控机制对体系运行的绩效进行评估,包括合规KPI的监视、审核和管理评审。监控机制中发现的任何问题或者异常趋势,都应及时采取适宜的措施,实现合规管理改进,最大程度规避风险。
ISO 37001标准及其应用
贿赂是合规管理中最为突出的议题。《反贿赂管理体系——要求及使用指南》(ISO37001:2016)为组织建立系统的反贿赂管理体系提供要求和应用指南(见图2)。
一、标准介绍
ISO37001标准亦遵循过程方法和PDCA方法论,强调以风险为基础。与ISO19600不同,ISO37001标准可用于认证目的,组织通过获取认证证书证明其返贿赂管理体系符合了标准要求或者合同要求。
二、ISO37001的应用
1.确定合规管理体系的范围、方针和原则组织反贿赂管理体系的范围主要针对组织活动有关的所有行贿和受贿的行为,包括:
●在公有、私营和非营利部门的贿赂;
●组织实施的贿赂;
●组织员工代表组织或为组织利益实施的贿赂;
●组织的商业伙伴代表组织或为其利益实施的贿赂;
●对组织实施的贿赂;
●对组织员工实施的与组织活动有关的贿赂;
●对组织商业伙伴实施的与组织活动有关的贿赂;
●直接和间接的贿赂。
对外承包工程行业运营环境复杂,须充分理解内外部的运营环境,考虑涉及的贿赂风险,以合理确定反贿赂管理体系的范围,明确反贿赂方针和原则。
2.贿赂风险的识别、评价和策划
贿赂管理体系的基本逻辑和方法论仍是风险管理、过程方法和PDCA方法。贿赂风险的识别和评价是实现有效控制贿赂风险的基础。对外承包工程行业企业应充分收集和理解运营所在国家的法规和传统文化,以准确界定贿赂风险。对外承包工程企业可以分区域和业务过程识别贿赂风险。如依据招投标——中标——采购和分包——合同实施——合同变更——竣工和验收和其他行政和商务活动的过程梳理,再将这些大的过程细分成子过程,针对每一个子过程的业务节点(含商业伙伴)识别行贿和受贿风险。贿赂风险的评价通常也采用LEC法。(见表3)
对超出容忍阈值的贿赂风险,应进行控制策划,建立合规框架,包括合规风险的应对措施和目标,控制措施应是合理的和与风险水平相匹配的。管理目标应予以分解为各过程或者层次的绩效指标(KPI)。实施控制措施和实现目标指标的过程中,领导作用、授权决策和各项资源的匹配和支持起着关键作用。
3.贿赂风险管理、绩效评估和改进
组织通过程序的运行和过程控制(含外包过程)实施风险控制措施,实现其控制目标,包括(1)尽职调查;(2)财务控制;(3)非财务控制;(4)受组织控制的组织以及非受控商业伙伴的贿赂风险控制;(5)反贿赂承诺;(6)礼物、款待、捐赠及类似利益管理;(7)反贿赂控制不力时的管理;(8)鼓励举报和报告;(9)调查和处理贿赂。
组织应制定监控机制对反贿赂管理体系运行的绩效进行评估,包括合规KPI的监视、审核和管理评审。其中管理评审包括了反贿赂合规职能的评审、最高管理者评审和管理机构评审。监控机制中发现的任何问题或者异常趋势,都应及时采取适宜的措施,实现改进,最大程度规避贿赂风险。
ISO19600和ISO37001的异同及使用方案选择
均供组织用于建立其与合规相关的管理体系,组织在应用这两个标准时需要了解二者的不同之处(见表4),根据自身的实际情况和目的选择适宜的应用方案。
建立有效的合规和反贿赂管理体系并不能杜绝不合规的发生,但是能够系统性地降低不合规和贿赂发生的风险并成为司法抗辩的有力证据。这对于组织在国内和国外的经营和发展都尤为重要。