1.合规风险识别和管控机制
风险识别需要企业明确的风险点内容,将全员纳入风险识别主体的范畴,各个部门有不同的合规风险点,需要关注的行为合规内容不同,因此律师需要协助企业建立全员识别风险的有效机制。
在能够有效识别合规风险的前提下,管理层应持续保持合规风险监测。主要是对上市公司股权变动、上市公司重大事项(主要包括上市公司及子公司重大投融资、对外担保、关联交易、同业竞争、信息披露、利润分配等事项)管理、涉及上市公司的具体管理事项(除前述重大项目外的其他管理事项)、重点人员(主要包括上市公司董事、监事、高级管理人员、关键岗位人员)行为、监督机制等(以下合称“上市公司合规管理重点”)是否构成合规风险库中的合规风险进行监测。
在发生或可能发生合规风险时,对应合规风险库进行合规风险识别,确定合规风险是否存在、合规风险发生的原因、合规风险可能产生的影响等。
当能明确识别具体合规风险事件时,则需要及时进行合规风险预警,确保上市公司能对具体合规风险事件及时反应,有效控制合规风险。
2.合规审核和报告机制
合规审核主要是对上市公司合规管理重点进行审核。审核内容包括但不限于具体事项是否符合上市公司、相关部门或单位的权限,具体事项是否履行了必经程序,具体事项的内容是否合规,具体事项依据和内容是否与已有事项内容冲突等。未经合规审核不得实施前述与上市公司相关的具体行为。需注意的是,上市公司的内部规章制度既是合规审核的依据,也是重要的合规审核对象。
此外,除存在或可能存在重大合规风险须及时向上级合规管理机构报告外,合规管理部门应当定期向合规管理负责人报告合规管理情况,合规管理负责人应当定期向董事会、合规委员会汇报合规管理情况。
3.合规检查和整改机制
合规检查和整改机制是一种自上而下的监督机制,有利于发现合规审查与合规监测中未发现的合规风险,全面控制公司合规风险。合规检查方式包括合规管理部门对各相关业务执行部门的合规检查,也包括各业务执行部门的自我检查。
合规检查主要也是对上市公司合规管理重点进行检查。上市公司应结合实际检查情况及时制定合规检查报告,明确合规检查范围、内容、计划与方案;合规检查方法及过程;证据情况及查证属实情况;结果分析及依据;责任追究措施及整改建议。
合规管理部门可根据合规检查情况判断是否完善相关资源配置,是否制定或完善相关制度、规范、流程、指引,是否开展专项整改活动。
4.合规举报和监督机制
合规举报和监督机制是一种自下而上的监督机制,有利于引导员工互相约束和监督,及时预警和识别合规风险,促进上市公司合规文化建设。上市公司应通过建立违规举报制度、违规举报和监督流程规范和指引等方式明确举报的渠道、举报的程序、受理举报的主体、举报事项的处理程序和反馈、举报事项处理结果等,形成合规举报和监督机制。
鉴于匿名举报可能为后续调查及监督产生一定困难,上市公司应鼓励实名举报,鼓励提供线索与证据。实名举报可能面临被受打击报复的可能性,因此应确保对举报者提供有力保护措施,包括但不限于对举报人严格保密、对实施打击报复的被举报人予以严厉惩处。
合规管理部门接到违规举报或发现违规事件时,应就举报事项或违规事件,及时开展调查,并根据调查情况制定调查报告。根据调查报告中的责任追究措施及整改建议内容,落实调查结果。
5.合规责任追究机制
对合规责任进行追究,强化违规处置与问责有利于引导员工自觉合规。
为强化违规问责,上市公司应通过建立合规责任追究相关制度、规范等完善违规行为处罚机制,明晰违规责任范围,细化惩处标准,严格违规行为的责任认定与追究程序。根据合规责任追究相关制度规定,结合检查结果或调查结果,对违规部门、单位或人员,按照上市公司有关制度,分别由各相关部门负责追究问责。
6.合规管理绩效考核机制
将合规管理绩效考核评价结果与各部门、员工考核,干部任用、评先选优、薪酬发放直接挂钩,有利于对员工行为形成有效约束与指导,促成员工合规意识的形成,提高员工行为合规的自觉性。因此,上市公司应建立合规管理绩效考核机制,定期或不定期对员工及各部门合规管理绩效情况进行考核。
首先,建立合规管理绩效指标,包括但不限于部门或员工客观行为符合合规义务库中的相关义务情况,合规管理职责的履行情况,对合规管理的支持与配合情况,执行合规制度的情况,不合规事件处置及问责情况;识别合规风险、应对合规风险的能力,以及程序上符合内部规章制度及规范的要求情况。
其次,收集合规管理绩效信息,对收集的合规管理绩效信息进行分类、分析和评价。应就上市公司的合规管理绩效考核评价整体结果在公司内部进行沟通,让全体员工知晓合规管理运行情况及主要问题,以及合规管理绩效考核机制的落实情况。
最后,对合规管理优秀的部门和员工予以嘉奖,对违规部门和有人予以惩戒。对合规义务库、风险库或合规管理流程进行改善。
(三)上市公司合规管理制度体系
完善的合规管理离不开完善的制度体系支撑,管理制度是合规管理体系的工具,通过建立和完善制度,进一步将合规内容落实为上市公司内部管理内容,从上市公司义务落实为员工行为管理,进一步限缩了管理的内容,有效的控制合规风险。
制度体系从不同角度形成网状管理的布局,从合规事项、合规行为和合规人员多个角度建立立体的规范制度体系,避免管理死角产生。
从合规事项角度,相关制度应集中关注上市公司涉及上市公司重大事项的合规控制,包括股权变动合规、上市公司及其子公司重大投融资、对外担保、关联交易、同业竞争、信息披露、利润分配等事项决策流程合规控制措施等;
从合规行为角度,相关制度应确保上市公司独立性,对信息披露和关键人员行为管理建立有效的控制措施;
从合规人员角度,相关制度应重点关注上市公司董监高人员、关键岗位人员行为合规的控制措施。