15010055730

联系电话

地址:北京朝阳区广渠路21号金海商富中心B座705

Copyright ©2019 北京一法企业管理有限公司  All rights reserved  京ICP备16058371号  网站建设:中企动力 北京

战略合作伙伴:   因特律师事务所 |   法智易  |  大连大学人文学部  |  知识产权出版社  |  法律出版社  | 

>
>
>
“三三制” 企业合规管理之道

标杆案例

“三三制” 企业合规管理之道

2019是中国企业合规管理建设之年。越来越多的国企、民企都在说合规、做合规,就不用说一直都很重视合规的外企。但对本身属于泊来的“合规管理”,如何本土化,不同的企业有不同的做法。可以说,有的企业合规是“真合规”,有的企业合规是“假合规”。这一方面跟企业的发展需求相关,另一方面和企业对合规的认识相关。

“三三制”企业合规管理,是笔者提出来的一种简单且清晰并体系化的合规管理逻辑。它的目标,不仅在于做正确的合规,而且在于要把合规做好。其中,“三三制”是指企业合规管理分为三部分,每部分又分为三节,每一节下再细分为若干项。

一、为什么要合规:合规管理的动力源

企业合规管理,从本质上说是企业管理行为的一种。所有的管理行为都是要投入资源的。做合规,同样如此。所有的管理投入,都要有一个原因,尤其是经济学上的原因。即,都是要有所“回报”的。这里的“回报”,亦可称为“目标”、“价值”、“意义”等。只有真正明白和明确“回报”是什么,企业才会真正投入。这是管理行为的原动力。那么,合规作为一种积极的管理,其“回报”是什么?或这样问:合规管理的价值何在?这是“三三制”中的第一部分。

1. 合规是企业的一种必然选择

首先可以从合规的起源与发展来看企业为什么要合规。合规的起源,大致可以从两条线来看。

一是源于美国1977年颁布的《反海外腐败法》(FCPA),其主要内容是对于企业反腐败行为的合规管理,禁止美国企业在海外业务中贿赂当地政府官员。然而很长一段时间内,企业对于该法律并没有足够重视。直到西门子等企业贿赂案件爆发,企业界受到震动,企业反腐败合规管理才终于引起公众的关注。反腐败合规,因此还被称为“狭义合规”。

二是源于巴塞尔银行监管委员会2005年发布的《合规与银行内部合规部门》专门文件,其目的是敦促并指导国际银行业金融机构建立有效的合规政策和程序,在发现违规情况时银行管理层能够采取适当措施予以纠正。

最近十几年,随着企业所处环境的不确定性加大,商事规则越来越复杂,相应的风险也越来越大。来自市场的应对策略,反映在合规逐渐从反腐败合规,扩大到对所有领域法律和规范的遵守。如公平竞争与反垄断、进出口管制、隐私与数据安全、知识产权保护、税务合规、环境合规、劳动合规等。合规监管也从系统性风险最高的金融行业开始,逐步延展到各行各业。

从以上合规的发展趋势看,合规已是企业的一种必然选择。在法治国家,人们不再对是否需要合规有争议。有不同意见的可能是,企业如何合规。合规,未来只会越来越重要。当然,也会越来越复杂。

2. 合规可为企业创造价值

可从合规给企业带来的正向价值,或者说不合规会产生什么样的负面后果,来看企业为什么要合规。合规创造价值,一直是企业推行合规管理的重要理念。有效的合规,确实能给企业带来不一样的价值。

一是减轻监管处罚。通过在企业中实施合规管理,企业高管和员工的行为得到“有原则的约束”。企业及其人员遭遇来自政府和司法部门的行政或刑事责任追究,可能性大大降低。根据《合规管理体系 指南》的引言,有效的企业合规管理体系,甚至可以成为减轻、豁免行政、刑事责任的抗辩理由。这种抗辩,有可能被行政执法机关或司法机关所接受。这一点,恐怕也是合规管理吸引众多研究者和实践者的一大“魅力”。

二是减少民事赔偿。合规管理要求企业规范经营、廉洁合作、公平竞争、合理交易,保护劳工和消费者权益等,如能做到,无疑会减少企业遭受民事侵权索赔的机率。合规管理还要求企业重信守诺、遵守契约,企业的违约责任也会因此而大大降低。

三是避免商誉受损。商誉等无形资产对于企业来说,越来越重要。企业保护无形资产的动力,来源于无形资产的巨大价值。持续的合法合规经营,能给企业带来无形资产的增加。这一点,已被很多成功企业案例所证实。企业违规,则会直接损害企业形象,使得企业商誉受损。

企业合规可以产生价值,企业不合规自然会损耗价值。企业不合规,对企业、企业高管和企业员工,均会产生诸多的负面影响。如内部舞弊,会导致企业高管受到刑事处罚。违反对个人信息和数据的保护条例,会导致企业某些业务被叫停。违反反垄断的规定,会导致企业遭受巨额罚款。这些不合规产生的后果,会增加企业的运营成本,导致企业利润减少,甚至企业破产。

3. 合规乃法律硬性规定

为什么要做合规,是基于法律的硬性规定。例如,公司法第5条规定,公司从事经营活动,必须遵守法律、行政法规,遵守社会公德、商业道德,诚实守信,接受政府和社会公众的监督,承担社会责任。这是法律对公司作为一种特殊的主体而进行的规定。

对于企业高管,法律也有相关的合规要求。如公司法第147条规定,董事、监事、高级管理人员应当遵守法律、行政法规和公司章程,对公司负有忠实义务和勤勉义务。董事、监事、高级管理人员不得利用职权收受贿赂或者其他非法收入,不得侵占公司的财产。

对于企业员工,法律也有相关的合规要求。如劳动法第3条规定,劳动者应当完成劳动任务,提高职业技能,执行劳动安全卫生规程,遵守劳动纪律和职业道德。第25条规定,劳动者严重违反劳动纪律或者用人单位规章制度的,用人单位可以解除劳动合同。事实上,对企业及其人员的大多数合规要求(合规义务)均是法律义务。如果企业或员工有违反的话,那不仅是违规,而且触犯了法律。

法律的硬性规定,是企业做合规的根本保证,也是企业做合规的最大驱动力。

二、如何做合规:合规管理的落地锤

在明白为什么要做合规之后,接下来便是如何做合规。这是“三三制”合规管理的第二部分。如何做合规,与对合规管理的本质认识密切相关。作者认为,合规管理的本质是一项“法律+管理”的事务。它要的是一种综合性的知识,需要懂法律的人和懂管理的人同时参与。

合规管理源于法律,终于管理。这里说的“源于”,是说做合规的前提是识别合规风险。“终于”管理,是说做合规的目标是管控合规风险。为识别合规风险、管控合规风险,并提高两者的效率和效益,需要一套嵌入企业现行管理系统中的专属合规管理体系。因此,如何做合规,自然地分为识别合规风险,管控合规风险,及建立管理体系等三节。

1. 识别合规风险

识别合规风险,即便在整个合规工作中,也极为重要。识别合规风险,首先要知道什么是合规风险?合规风险是指主体(企业、企业高管及企业员工)违反其合规义务所产生的风险。根据《合规管理体系 指南》的定义,合规义务包括合规要求和合规承诺。合规要求是强制性的,包括法律、法规、法律机构颁发的命令、规则、指导,法院的判决等;合规承诺是自愿性的,包括企业对产品质量的承诺,与公益组织签订的协议,自愿加入的行业准则等。主体违反这些要求和承诺,即不合规,由此造成的风险便是合规风险。进一步说,合规风险包括企业因违反合规义务所产生的受到法律制裁、被采取监管措施、遭受财产损失或声誉损失的风险。

其次,要知道本企业的重点合规风险领域包括哪些?合规风险领域,比具体的合规风险,概念要大得多。它和企业的战略、文化、所处行业,所从事业务等密切相关。随着合规在各行业的深入,目前各类型企业比较重视的合规风险领域包括:反垄断义务、反不正当竞争义务、进出口管制义务、商业伙伴合规义务、财务报告真实准确和上市公司信息披露义务、环境保护义务、数据保护和信息安全义务、合法用工、依法纳税义务等。不同的企业,同一企业的不同发展阶段,其关注的重点合规风险领域必不相同。《中央企业合规管理指引(试行)》则列出了市场交易、安全环保、产品质量等七项重点领域的合规管理。

最后,怎样识别出本企业的具体合规风险?每一个企业的重点合规风险领域不同,具体合规风险更是千差万别。这正是合规管理工作的一个难点。具体合规风险,是在熟悉企业的业务、熟悉企业及其人员的行为的基础上,结合对本企业各岗位合规义务的全面认识,才得以识别出来。具体的识别方法包括:小组讨论、头脑风暴、案例启发、业务座谈等方式。具体的识别路径包括:基于岗位的风险识别、基于流程的风险识别等。通过识别合规风险,企业可以整理出一套本企业的合规风险清单。

2. 管控合规风险

在识别出本企业的具体合规风险以后,或者说,在识别合规风险的同时,就需要对具体合规风险进行分析、控制等。这便是合规风险的管控。

首先,从行为过程看,管控合规风险可分为分析、评估与应对等三个阶段。分析和评估合规风险是一件颇有技术含量的事。根据各项合规风险发生的可能性和后果,企业可以量化合规风险的等级,形成风险排序。在合规风险清单的基础上,企业可形成一套本企业的合规风险等级表。在评估完合规风险等级或者真正发生合规风险事件时,企业要制定正确的应对策略。关于对风险发生的应对措施,通用的方法有:风险转移、风险规避、风险降低、风险接受等。

其次,从介入时间看,管控合规风险包括预防和处理两方面。从预防角度,管控合规风险的机制包括:合规风险评估机制、合规报告机制、合规审查机制、合规举报和调查机制、合规记录机制、合规培训机制等。从处理角度,管控合规风险的机制包括:合规整改机制、合规绩效考核机制、合规责任追究机制等。要注意的是,以上这些机制很多是交织在一起的。

最后,管控合规风险的手段,不管是预防机制,还是通过惩处来警示,都需要改变企业的现行做法、现有制度或流程。管控风险往往离不开对现有利益的改变、否定,也势必会遭遇抵抗、反弹。但合规风险管控与一般风险管理之间很大的一个区别在于,合规风险是最低限度的风险,一般必须采取应对措施。一般风险管理,视风险大小和风险主观偏好,可综合采取应对措施或置之不理。因此,在实施合规风险管控措施的过程中,如在企业中引起冲突、麻烦,乃至对抗,都要有坚持推行的意识。这是合规管理落地的一项关键因素。

3. 建立管理体系

识别和管控合规风险等行为,是在企业现有的管理活动和体系之上进行的。要将合规管理真正落地,已有的管理体系显然是不够的。合规离不开企业专门的管理支持。即有必要建立专门的合规管理体系来实施合规管理。

关于合规管理体系,有两方面的问题。一是,合规管理体系的组成。合规管理既然是组织内的行为,当然先是离不开人。故合规管理体系的第一个组成部分是合规管理组织体系,即负责合规管理的人员有哪些?一般认为,合规管理的组织包括专门的领导机构、合规负责人、合规工作小组/合规工作机构、合规工作人员等。人有了,需要规则把他们联结起来。因此,合规管理体系的第二个组成部分是合规管理制度体系。制度体系包括合规管理规定、专项合规管理办法、合规管理工作流程、合规工作方案等。这里值得一提的是,合规管理规定是确定本企业合规管理的原则、合规职责以及合规管理流程等基本问题的企业内部制度,是每一家企业应量身定制的“合规基本法”。合规管理是一项需要全员参与,长期坚持的事。因此,合规管理体系的第三个组成部分是合规管理文化体系。文化体系包括合规理念的宣导、合规培训与教育制度、合规文化的培育等。培育有效的合规文化,甚至是合规管理的唯一目标。

二是,合规管理体系如何与现行管理体系融合。现行与法律、监督相关的企业专项管理体系,如法务、内控、审计、监察,甚至是公司治理等,在合规管理体系进来后,如何融合,这是合规管理的又一大难点。要区分它们,与对几个体系的目标、核心职责认识等有关系。不同的目标及不同的职责,当然要归属于不同的管理体系。重合的目标或交叉的职责,也会导致管理体系部分重合与交叉。合规管理,是企业的底线管理,必须优先得到实施。法务管理,是服务于企业业务发展的,以效率为目标,以法律风险控制为手段。内部控制,更多是出于监管的视角,对企业的内部流程实施合理的控制。审计与监察,多从财务与监督的视角,以确保企业行为与事先预设一致。这几个专项管理体系,如何在特定企业中实现融合、联动,还有待具体情况具体分析。

三、怎样把合规做好:合规管理的方向盘

合规管理的基本方法,事实上是通用的,相关知识是公开的。但为什么有的企业做合规取得了良好的效果,有的却只是“假合规”?这就涉及如何将合规做好的问题。这是“三三制”合规管理的第三部分。它与企业进行合规管理时持有的理念与投入的资源、主观意愿等因素密切相关。

1. 比例原则

合规管理是一项由法律工作者来主导和推进的新的专业管理。企业管理都是在一定的经营环境下进行的。超越经营需求,或落后于经营需求的管理,注定会失败。合规管理也要与业务环境与经营需求相一致。这便是合规管理的比例原则,也叫适用性原则。

首先,合规管理要与业务匹配。不同行业的企业,其合规管理的重点是不一样的。企业要从经营范围、组织结构和业务规模等实际出发,兼顾效率与成本,提高合规管理的可操作性。同时,企业应随内外部环境的变换,持续调整和改进合规体系。如某汽车集团,根据其业务情况,将公司资产利用、反垄断、反腐败、产品质量责任等作为其启动合规管理建设的重点领域,将信息管理、环境保护、员工健康安全等作为一般领域,且定期对合规重点领域进行调整。

其次,合规管理要由点及面。在“大合规”概念的驱动下,企业开展合规,包含的领域很广。很多企业在合规管理建设中往往贪多、求全,在所有领域同时进行合规建设,其结果自然是不大好。要提高合规管理的有效性,可先启动某一领域的合规建设,以此为抓手,逐步覆盖到其他领域。如互联网企业,以数据和信息保护合规,为合规管理的入手点建立合规风险识别和管控机制,然后过渡到反腐败合规、员工健康安全合规等。

最后,合规体系要与现有管理相兼容。合规广义上属于公司治理范畴。合规的目标是预防和控制合规风险的发生以及有效应对已发生的合规风险。公司治理的内涵在逐渐丰富,合规管理要在企业落地,必须是在现行的治理框架下进行。因此,熟悉本企业的公司治理文化,了解公司治理的各项举措,是建立合规计划,搭建及优化合规管理架构的前提。

2. 投入资源

合规管理是新专业管理,当然要拥有该新专业知识的人员来负责实施。合规管理的成效很大程度上取决于企业所投入资源的大小。一些已受益于合规带来巨大价值的企业,其前期往往是投入“巨资”。反观一些因不合规而遭遇巨额处罚的企业,其在合规管理上的前期投入,往往是不够的。企业对合规管理的投入,必须有一个明确的规划。当然,投入必须能与产出相匹配。企业合规管理的投入产出评价,应作为企业实施合规管理的一项日常工作。

企业合规管理的投入,应先有人力资源的投入。企业做合规,先要有懂合规管理的具体负责人,即未来充当首席合规官的人。首席合规官是企业合规团队的中坚分子,承上启下,必须要是专业人士。合规人才是目前企业普遍缺乏的,也是企业合规管理施行的一大痛点。在很多企业,是由法务、内控、监察等人员转行过来的,这需要他们进一步完善自己的知识结构,转变固有的思维方式。如企业内部缺乏可履行首席合规官职责的人,也可考虑从外部聘请专业机构、专家来辅助企业建立、实施合规体系。这正成为一些管理咨询公司、律师事务所的新业务领域。但不管是内部培养,还是外包,企业最终必须拥有一批可以负责合规管理落地的专业人才。

随着互联网技术的深入以及大数据的逐渐完善,目前的合规管理不仅要由人来完成,而且一定还要借助技术的力量。合规之所以在受到监管部门的重视,相当大的原因就是因为技术对法律带来的冲击,技术对经济的影响。没有技术支撑的合规,仅停留在“管理制度”上的合规,不管是效率上,还是效果上,都是“坡脚合规”。甚至本身这就是一种“不合规”的表现。在合规技术的运用上,中兴通讯做了大量的工作。例如中兴通讯在出口管制项目中引进了SAP贸易合规管控工具GTS系统(Global Trade Services);在反商业贿赂项目引进BPS系统(Business Partner Screening),并自行开发了LCM合规管理系统(Legal & Compliance Management),实现中兴通讯合规风险可视化。

3. 高层决心

根据合规管理的来源和发展,可以看出合规管理是一项从外向内,自上而下的活动。基于人性和企业的利益与风险分配机制,合规几乎不可能自下而上地由员工自发完成。合规管理的落地,必须依赖企业最高层的推动。这需要企业高层的决心。

合规管理是在现有管理体系中嵌入新的管控手段,或多或少会对现有公司部门的惯有流程以及利益格局带来冲击。这一点是需要企业高层来协调的。少了高层的支持,可能很多合规管理管控措施就无法落地。另外,合规管理在施行中,合规审查、合规惩处等,可能涉及对企业内某部门、某人员,甚至是高管本人,进行调查、访谈、监督等。如果缺乏相应的“权力”,那么合规管理就会限于表面、流于形式。解决这个问题,同样需要企业高层的决心。

关于企业高层应下定决心,投身于合规的执行和推动中,在很多已取得成效的公司合规管理手册上,甚至是来自监管部门的合规管理法规上,都可以看到明确的表述。如某央企《集团合规管理办法》第一条,便表明:“本集团的合规理念为:合规从高层做起、全员主动合规、合规创造价值”。《商业银行合规风险管理指引》第六条,“合规是商业银行所有员工的共同责任,并应从商业银行高层做起。”在一些企业,成立由董事长或总裁亲自担任一把手的合规管理委员会,全面负责本企业的合规管理事宜。因此,高层表态,从高层做起,这是企业把合规做好的一项重要保证。


*陶光辉:曾任职国美控股集团法务总监,全面负责集团法律事务。现为北京德和衡律师事务所高级联席合伙人,兼任中国人民大学企业法治研究所研究员,大连大学法学院客座教授,出版《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)。

小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。