标杆案例
陶光辉论合规 :《简明企业合规管理指引》
2019是中国企业合规管理建设之年。越来越多的国企、民企都在说合规、做合规,一直都很重视合规的外企就不用说了。但对本身属于泊来的“合规管理”,如何本土化,不同的企业有不同的做法。可以说,有的企业合规是“真合规”,有的企业合规是“假合规”。这和企业对合规的一系列认识有关。
一、什么是合规?
合规是什么?与合规密切相关的几个概念如合规义务,合规风险,合规管理等是指什么?认清这一点,是实施合规管理的基础。综合《中央企业合规管理指引》(试行)、《GB/T 35770-2017 合规管理体系 指南》,及金融行业有代表性的《保险公司合规管理办法》等三大类合规管理“法定”来源给出的定义,笔者提出如下归纳。
合规是指企业及其员工的经营管理行为,须符合其合规义务。合规义务包括强制性的义务和自愿性的义务。前者又称为合规要求,包括法律法规、监管规定、规章制度,国际规则等。后者又称为合规承诺,包括企业自愿签署的协议、自愿遵守的公开承诺、自愿加入的行业准则等。
我们平常所说的合规义务,主要是指前者,即合规要求。现阶段企业普遍重视的合规义务,主要包括反垄断义务、反不正当竞争义务、进出口管制义务、商业伙伴合规义务、财务报告真实准确和上市公司信息披露义务、环境保护义务、数据保护和信息安全义务、合法用工、依法纳税义务等。
合规风险是企业违反合规义务所引发的风险。这样的风险包括受到法律制裁、被采取监管处罚措施、遭受财产损失或声誉损失等。合规风险是一种可能性,可能发生,也可能不发生。
合规管理是企业以有效防控合规风险的发生为目标,在企业内展开的一项新型的管理活动。这类型的管理行为包括建立组织、制定制度、识别风险、合规审查、应对风险、追究责任、考核评价、合规培训等。
二、为什么要合规?
首先,合规目前已成为企业的一种必然选择。合规的起源,大致有两条线。一是源于美国1977年颁布的《反海外腐败法》。因西门子等企业贿赂案件被监管部门处于巨额罚款,企业反腐败合规受到重视。二是源于巴塞尔银行监管委员会2005年发布的《合规与银行内部合规部门》专门文件。金融机构一开始即普遍重视合规。随着企业所处环境的不确定性加大,相应的风险也越来越大。合规逐渐从反腐败合规,扩大到对所有领域法律和规范的遵守。从金融行业,扩展到所有行业。在法治国家,企业合规已是一种必然。
其次,合规创造价值。有效合规,确实能给企业带来不一样的价值。一是减轻监管处罚。通过在企业中实施合规管理,企业及其人员遭遇来自政府和司法部门的行政或刑事责任追究,可能性大大降低。二是减少民事赔偿。合规管理要求企业规范经营、廉洁合作、公平竞争、合理交易,保护劳工和消费者权益等,如能做到,无疑会减少企业遭受民事索赔的机率。三是避免商誉受损。持续的合法合规经营,能给企业带来无形资产的增加。这一点,已被很多成功企业案例所证实。企业违规,则会直接损害企业形象,使得企业商誉受损。
再次,做合规是基于法律的硬性规定。如公司法第5条规定,公司从事经营活动,必须遵守法律、行政法规,遵守社会公德、商业道德,诚实守信,接受政府和社会公众的监督,承担社会责任。这是法律对公司作为一种特殊的主体而进行的要求其遵守合规义务的规定。
三、怎样做合规?
做合规的前提是识别合规风险。《《中央企业合规管理指引》(试行)列出七项重点领域合规风险,包括市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等;三项重点环节合规风险,包括制度制定环节、经营决策环节、生产运营环节等;三类重点人员合规风险,包括管理人员、重点风险岗位人员、海外人员等。不同的企业,同一企业的不同发展阶段,其关注的合规风险必不相同。
具体合规风险,是在熟悉企业的业务、熟悉企业及其人员的行为的基础上,结合对本企业各岗位合规义务的全面认识,才得以识别出来。具体的识别方法包括:小组讨论、头脑风暴、案例启发、业务座谈等方式。具体的识别路径包括:基于岗位的风险识别、基于流程的风险识别等。通过识别合规风险,企业可以整理出一套本企业的合规风险清单。
在识别出本企业的具体合规风险以后,需要对具体合规风险进行分析、控制等。这便是合规风险的管控。管控合规风险可分为分析、评估与应对等三个阶段。分析和评估合规风险是一件颇有技术含量的事。根据各项合规风险发生的可能性和后果,企业可以量化合规风险的等级,形成风险排序。在合规风险清单的基础上,企业可形成一套本企业的合规风险等级表。在评估完合规风险等级或者真正发生合规风险事件时,企业要制定正确的应对策略。关于对风险发生的应对措施,通用的方法有:风险转移、风险规避、风险降低、风险接受等。
从介入时间看,管控合规风险包括预防和处理两方面。从预防角度,管控合规风险的机制包括:合规风险评估机制、合规报告机制、合规审查机制、合规举报和调查机制、合规记录机制、合规培训机制等。从处理角度,管控合规风险的机制包括:合规整改机制、合规绩效考核机制、合规责任追究机制等。要注意的是,以上这些机制很多是交织在一起的。
识别和管控合规风险等行为,是在企业现有的管理活动和体系之上进行的。合规离不开企业专门的管理支持。即有必要建立专门的合规管理体系来实施合规管理。合规管理体系组由三个子体系构成。第一个子体系是合规管理组织体系,一般认为,合规管理的组织包括专门的领导机构、合规负责人、合规工作小组/合规工作机构、合规工作人员等。第二个子体系是合规管理制度体系。制度体系包括合规管理规定、专项合规管理办法、合规管理工作流程、合规工作方案等。第三个子体系是合规管理文化体系。文化体系包括合规理念的宣导、合规培训与教育制度、合规文化的培育等。
企业内已有的体系,如法务、内控、审计、监察等,在合规管理体系进来后,如何区分与融合?这与对几个体系的目标、核心职责认识等有关系。不同的目标及不同的职责,要归属于不同的管理体系。合规管理,是企业的底线管理,必须优先得到实施。法务管理,是服务于企业业务发展的,以效率为目标,以法律风险控制为手段。内部控制,更多是出于监管的视角,对企业的内部流程实施合理的控制。审计与监察,多从财务与监督的视角,以确保企业行为与事先预设一致。这几个专项管理体系,在特定企业中实现融合、联动,有待具体情况具体分析。
四、如何把合规做好?
合规管理要与业务匹配。不同行业的企业,其合规管理的重点是不一样的。企业要从经营范围、组织结构和业务规模等实际出发,兼顾效率与成本,提高合规管理的可操作性。同时,企业应随内外部环境的变换,持续调整和改进合规体系。
合规管理要由点及面。在“大合规”概念的驱动下,企业开展合规,包含的领域很广。很多企业在合规管理建设中往往贪多、求全,在所有领域同时进行合规建设,其结果自然是不大好。要提高合规管理的有效性,可先启动某一领域的合规建设,以此为抓手,逐步覆盖到其他领域。
合规管理是新专业管理,当然要拥有该新专业知识的人员来负责实施。合规管理的成效很大程度上取决于企业所投入资源的大小。企业合规管理的投入,应先有人力资源的投入。企业做合规,先要有懂合规管理的具体负责人,即未来充当首席合规官的人。首席合规官是企业合规团队的中坚分子,承上启下,必须要是专业人士。合规人才是目前企业普遍缺乏的,也是企业合规管理施行的一大痛点。在很多企业,是由法务、内控、监察等人员转行过来的,这需要他们进一步完善自己的知识结构,转变固有的思维方式。如企业内部缺乏可履行首席合规官职责的人,也可考虑从外部聘请专业机构、专家来辅助企业建立、实施合规体系。这正成为一些管理咨询公司、律师事务所的新业务领域。但不管是内部培养,还是外包,企业最终必须拥有一批可以负责合规管理落地的专业人才。
随着互联网技术的深入以及大数据的逐渐完善,目前的合规管理不仅要由人来完成,而且一定还要借助技术的力量。合规之所以在受到监管部门的重视,相当大的原因就是因为技术对法律带来的冲击,技术对经济的影响。没有技术支撑的合规,仅停留在“管理制度”上的合规,不管是效率上,还是效果上,都是“坡脚合规”。甚至本身这就是一种“不合规”的表现。
合规管理是一项从外向内,自上而下的活动。基于人性和企业的利益与风险分配机制,合规几乎不可能自下而上地由员工自发完成。合规管理的落地,必须依赖企业最高层的推动。这需要企业高层的决心。合规管理是在现有管理体系中嵌入新的管控手段,或多或少会对现有公司部门的惯有流程以及利益格局带来冲击。这一点是需要企业高层来协调的。少了高层的支持,可能很多合规管理管控措施就无法落地。另外,合规管理在施行中,合规审查、合规惩处等,可能涉及对企业内某部门、某人员,甚至是高管本人,进行调查、访谈、监督等。如果缺乏相应的“权力”,那么合规管理就会限于表面、流于形式。解决这个问题,同样需要企业高层的决心。如某央企《集团合规管理办法》第一条,便表明:“本集团的合规理念为:合规从高层做起、全员主动合规、合规创造价值”。在一些企业,成立由董事长或总裁亲自担任一把手的合规管理委员会,全面负责本企业的合规管理事宜。高层表态,从高层做起,这是企业把合规做好的一项重要保证。
小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。