《企业合规师职业技能标准规范工作要求.docx》由会员分享,可在线阅读,更多相关《企业合规师职业技能标准规范工作要求.docx(23页珍藏版)》请在第一文库网上搜索。
1、企业合规师职业技能标准规范工作要求1范围本标准规定了企业合规师职业技能标准。本标准适用于企业合规师职业技能的获取或提升。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。ISO37301:2023Comp1iancemanagementsystems一Requirementswithguidanceforuse(以下称合规管理体系要求及使用指南GB/T35770/IS037301合规管理体系要求及使用指南ISO31000:Riskmanageme
2、nt-Guide1ines(以下称风险管理体系指南)GB/T19011IS019011:2018管理体系审核指南3术语和定义ISO37301:2023、ISO31000:2018、GB/T19011/IS019011:界定的以及下列术语和定义适用于本标准。3.1企业合规师corporatecomp1ianceofficer从事企业合规建设、管理和监督工作,使企业及企业内部成员行为符合法律法规、监管要求、行业规定和道德规范的人员。注1:企业合规师的主要工作任务包括: 制定企业合规管理战略规划和管理计划; 识别、评估合规风险与管理企业的合规义务; 制定并实施企业内部合规管理制度和流程;开展企业合规
3、咨询、合规调查,处理合规举报;监控企业合规管理体系运行有效性,开展评价、审计、优化等工作;处理与外部监管方、合作方相关的合规事务,向服务对象提供相关政策解读服务;开展企业合规培训、合规考核、合规宣传及合规文化建设。注2:企业合规师的职能和法务分属两个工作范畴。前者更多是一个植根于合规风险管理的综合性职能,其固然需要对相对应的领域的法律法规有所了解,但更重要的是把法律法规转化为日常的规章制度流程框架,来管理相关合规风险。而且合规的规,并不局限于法律法规,还有行业规范,公司制度、合规管理政策、道德准则等。3.2合规comp1iance履行企业的全部合规义务。注:企业的每一个员工的经营行为都应当符合
4、法律法规、监管规定、行业准则、企业章程和规章制度,以及国际条约、规则等要求。3.3合规风险comp1iancerisk不遵守企业合规义务造成的不合规可能性和后果。注:企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性及其后果。3.4合规管理comp1iancemanagement为履行企业全部合规义务、管理合规风险,从事企业合规建设、监督和改进工作,而所实施的管理活动。3.5风险管理riskmanagement指导和控制企业风险的协调活动,包括对风险的识别、评估、监测、应对的程序和流程,也是企业在创造、保持和实现价值的过程中,结合战略制定和执行,赖
5、以进行管理风险的文化、能力和实践。3.6内部控制interna1contro1由企业治理层、管理层和全体员工实施的、旨在实现控制目标的过程。注:内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。3.7合规审计comp1ianceaudit企业内部的一种独立客观的监督和评价活动,通过审查和评价针对合规风险所实施的内部控制的适当性、合法性和有效性来促进企业目标的实现。注:合规审计与财务审计都是对风险所实施的内部控制的适当性、合法性和有效性进行审查和评价的活动。所不同的是,财务审计所审查和评价的往往是财务控制措施,而合规审计
6、审查和评价的往往是合规控制措施或者其他的非财务控制措施。常见的合规审计包括反垄断审计、反贿赂审计、经济制裁与出口管制合规审计、个人信息保护合规审计等。相应地,实施合规审计的专业人员,包括但不限于企业合规师、外部律师等,为了能够对合规风险所实施的内部控制的适当性、合法性和有效性进行审查和评价,参与合规审计的相关人员应当对合规风险所对应的合规义务(包括强制适用的法律法规等)术有专攻。3.8管理体系审核managementsystemaudit为了获得客观证据并对管理体系进行客观的评价,以确定满足审核准则的程度所进行的系统的、独立的并形成意见的过程。注:管理体系审核,比如ISO9001质量管理体系审
7、核、ISO37301合规管理体系审核、ISo37001反贿赂管理体系审核等,是查明企业所建立的合规管理体系与合规管理体系相关标准是否一致的活动,包括内部审核,第二方审核和第三方审核。实施管理体系审核的专业人员应当对合规管理体系相关标准术有专攻。3.9调查investigation为了查明企业相关人员是否违规、违法,客观地收集和评估证据,并将调查结果、违规行为产生的根本原因、给予违规人员的纪律处分、对发现的漏洞的纠正措施,视不同情形传达相关利害关系方的系统过程。注:为了与合规审计(3.7)、管理体系审核(3.8)进行区分,本标准所说的调查是指对企业相关人员是否违规、违法所进行的专项核查,而这些专
8、项核查的发起往往是企业收到了举报线索或者是因为外部监管机构对企业发起了调查。相比较,合规审计(3.7)是企业对其是否存在某类风险所发起的主动性、预防性的“体检”式的核查。3. 10职业技能professiona1ski11应用知识、技能和价值观在合规管理活动或情境中进行类化迁移与整合,所形成的能完成合规管理活动的能力。注:本标准所说的职业技能包括三个维度,分别是知识、技能和价值观,且与合规管理高度相关的具有普适性的知识、技能和价值观。对于企业合规师所要掌握的非通用的、非普适的知识、技能和价值观,比如一个企业所特有的战略、策略、发展规划、业务模式等,本标准就内容不作要求,但企业合规师可以通过本标
9、准所要求的沟通技能建立并加强与业务部门的沟通,从而准确把握企业合规风险并进行管理,并为业务提供个性化的、贴近实务的合规咨询服务。4知识4.1合规管理企业合规师应了解、掌握、运用与履行企业合规义务、管理合规风险而实施的管理活动所相关的合规管理知识。注:合规管理相关知识的来源有很多,包括但不限于合规管理体系要求及使用指南。4. 2法律基础知识企业合规师应了解、掌握、运用与履行企业合规义务相关的基础法律知识。注:基础法律知识包括但不限于民法、刑法、行政法、公司法。4 .3风险管理企业合规师应了解、掌握、运用和控制企业风险协调活动相关的风险管理知识,包括对风险的识别、评估、监测、应对的程序和流程。注:
10、风险管理相关知识的来源有很多,包括但不限于企业风险管理整合框架、风险管理指南。5 .4内部控制企业合规师应了解、掌握、运用与实现控制目标过程相关的内部控制知识。注:内部控制相关知识的来源有很多,包括但不限于内部控制整合框架)、企业内部控制基本规范)。4. 5合规审计企业合规师应了解、掌握、运用合规审计相关知识。注:合规审计相关知识可以借鉴的文件包括但不限于内部审计准则、国际内部审计专业实务框架。4 .6管理体系审核企业合规师应了解、掌握、运用管理体系审核相关知识,包括为了查明企业所建立的合规管理体系与合规管理体系相关标准的一致程度,而客观地收集和评估证据,并将结果传递给相关利害关系方系统过程的
11、相关知识。注:管理体系审核相关知识有很多来源,包括但不限于GB/T19011/IS019011:管理体系审核指南。5 .7调查企业合规师应了解、掌握、运用与为了查明企业相关人员是否违规、违法而客观地收集和评估证据,并将结果传递给利害关系方系统过程相关的调查知识。注:管理体系审核相关知识有很多来源,包括但不限于ISOTC309技术委员会正在制定的ISO37008Interna1investigationoforganizations(组织内部调查)。4. 8管理评审企业合规师应当掌握管理评审相关知识,帮助治理机构和最高管理者,或者当自己身处治理机构或者最高管理层时,按计划的时间间隔对组织的合规管
12、理体系进行评审,以确保合规管理体系持续的适宜性、充分性和有效性。4. 9信息化与数字化企业合规师应当掌握信息化与数字化相关知识,以建立健全符合企业实际的合规管理体系,突出对重点领域、关键环节和重要人员的管理,充分利用大数据等信息化手段,切实提高管理效能。5技能5.1 合规义务相关技能5.1.1 识别合规义务企业合规师应了解、掌握、运用对企业所适用的合规义务进行识别的技能。注1:对合规义务的识别应当考虑企业合规管理活动所涉及的组织范围、地域范围、行业、业务模式、专业领域、强制适用的法律法规、选择适用的标准指引等。注2:对于一些合规义务(比如强制适用的法律法规、选择适用的标准)的了解、掌握、运用可
13、以借助企业内部或外部的专业人士的专业力量。5.1.2分类合规义务企业合规师应了解、掌握、运用对企业所适用的合规义务按一定的标准进行分类的技能。注:对合规义务可以按照强制适用类、选择适用类进行分类,也可以按照禁止性、控制性标准分类,或者按照常用、非常用的标准以及其他标准进行分类,以达到做好合规管理的目的。5.1.3编制合规义务清单企业合规师应了解、掌握、运用就企业所识别、分类的合规义务编制合规义务清单相关技能。注:编制合规义务的方法包括列举式、图表式和其他方式。合规风险是不遵守企业合规义务造成的不合规可能性和后果(4.3)因为合规风险锚定了合规义务,因此编制合规义务的同时也是对合规风险的一个整理
14、。5.2合规风险相关技能5.2.1识别合规风险企业合规师应了解、掌握、运用对合规风险予以识别的技能。注:合规风险是不遵守企业合规义务造成的不合规可能性和后果(4.3),因此对合规风险的识别往往可以通过对合规义务的识别来完成一一合规义务就像一枚硬币,合规义务得到履行就是硬币的正面“合规”,合规义务没有得到履行就是硬币的反面“违规”。合规风险的识别往往还可以通过其他的方式来完成,包括合规投诉、举报、法律法规修改、政府的阶段性工作重点、头脑风暴、问卷调查、案例学习等。5.2.2识别合规风险源企业合规师应了解、掌握、运用对合规风险源予以识别的技能,根据部门职责、岗位职责和不同类型的组织活动,识别不同部
15、门、职能和类型的企业活动中合规风险源。注:风险源的识别往往能够帮助企业了解何种岗位、部门或者环节会引发何种风险,比如,行贿风险的风险源往往是销售部门、公关部门、第三方服务商,而员工受贿风险的风险源往往是采购部门、营销部门。5.2.3识别合规风险场景企业合规师应了解、掌握、运用对合规风险场景予以识别的技能,根据企业所适用的合规义务和所面临的合规风险,结合企业的业务活动识别合规风险场景。注:识别合规风险场景可以帮助了解谁做了什么或在什么情况下会引发什么样的风险。同样的风险在不同的企业内部会有共性,但也会呈现出不同的风险场景,把这些风险场景识别出来可以帮助企业更好地预判并防范风险的发生。5.2.4评估合规风险企业合规师应了解、掌握、运用对所识别的合规风险进行评估的技能。注:对合规风险进行评估可以从风险源引发风险的频率、风险导致的危害严重程度、风险发生的可能性等维度开展合规风险评估。5.2.5设计、选用并实施风险控制措施企业合规师应了解、掌握、运用技能,以设计、选用并实施风险控制措施,包括对所识别的合规风险,根据合规风险评估结果,设计、选用并实施风险控制措施,并将风险措施融入业务流程,以达到控制风险的目的。注:风险控制措施包括财务控制措施、非财务控制措施,这些控制措施从广义的角度来说都可以看成是合规控制措施,而这些控
免费区 
