标杆案例
企业合规管理的八个基本问题
2018年,中兴通讯事件爆发,引起中国企业合规管理的热潮。该年也因此被称为中国合规管理元年。经过一年多的探索与实践,业界对“合规”这个舶来品逐渐熟悉起来。越来越多的企业开始建立合规管理体系,不管是出于监管部门的要求,还是出于自身发展的需要。在建合规管理体系的过程中,各类企业的做法很不一致。这固然是企业业务及文化不一样导致的,但其实更体现出企业对合规的认识尚未统一。很多企业对合规、内控、法务、风控等相关职责没有清晰的认知和划分。
对于合规管理建设方案,大部分企业要么参考国资委颁布的央企合规管理指引,要么借鉴合规管理体系指南这一国家标准。但鉴于这两大指引或指南,只是给出基本的操作思路和流程,企业对于“应然的部分”,仍然是一知半解,导致实践中也是困惑颇多。为此,需要深入探究合规管理背后的原理,即基本性问题,方能更好地运用指引或指南,建设本企业的实用合规管理体系。
01
合规管理的起源:合规管理从何而来
合规管理,是以防范合规风险为目的的管理活动。这是合规管理的现时定义。但合规(管理)产生之初,并不是这样的。一般认为,正式意义上的合规,产生于美国。1977年美国因水门事件及当时大量跨国公司向外国政府官员行贿以拿到订单的丑闻等而颁布的《反海外腐败法》(FCPA),可谓现代第一部与合规紧密相关的法案。虽然美国《反海外腐败法》因其域外管辖效力引起一些国家和组织的非议,但FCPA作为最主要的“禁止企业向外部人员,特别是公职人员行贿”的法律规定,仍然是合规领域中最传统的一种合规——反商业贿赂合规的来源。反商业贿赂合规,也称为狭义上的合规。目前企业所称的合规,都属于包括竞争合规、数据合规、环保合规等在内的广义上的合规。
合规管理的起源,可以从两条线来看。一是上述的反商业贿赂(反腐败)合规。由这个狭义的合规,逐渐发展出反垄断合规、出口管制与经济制裁、数据与隐私保护合规等专项合规。加上劳动用工合规、环境保护、生产安全合规等,合称为“大合规”。二是金融行业的合规。以巴塞尔银行监管委员会2005年颁布的《合规与银行内部合规部门》为标志,发展到外贸行业、互联网行业、零售行业、建设工程行业、制造行业等。
合规,不仅是企业主动遵守法律、法规及国际规则等合规义务。合规,还是立法和执法监督部门的一种有效“立法与监管技术”。制度化的合规监管技术原理,最早体现在美国1991年的《联邦量刑指南》第八章“对组织的量刑”里。该章指出“如果企业建立了有效的合规系统,那么,可以减轻其刑罚。按规定的量刑标准,减轻幅度最高可达95%;如果企业怠于合规,最高可处4倍罚金”。正因为存在此类“合规激励”机制,合规管理才在企业整体管理体系中越来越受到重视。
如果说“合规激励”是合规管理产生的拉力,那么“合规处罚”——企业因不合规被执法部门处罚,甚至引来灭顶之灾,则是合规管理产生的推力。大量的企业被执法部门重罚,给同行、同类型的企业带来极大触动,促使他们快速加大对合规管理的重视。
02
合规管理的需求:为什么需要合规管理?
合规管理的产生原因,其实已揭示了企业为什么需要合规?但对于目前正在进行或即将进行合规管理建设的企业来说,仍有必要明白本企业构建合规管理体系的具体驱动力有哪些?这可以从两方面来说。
一是合规管理的外部驱动。因企业外部环境的变化或外部主体的行为,导致企业发生合规风险,从而促使企业必须建立合规体系,以防范该类风险。这样的外部因素包括 ①法律、法规等的变化,导致企业某些原本不受限的行为,随着新法的颁布,变得不合规了。因此需要建立管理流程以识别这种变化,防范企业合规风险。②因竞争者、客户、供应商等的不当行为,给本企业带来合规风险。③监管部门、执法部门要求本企业建立和执行合规管理体系。④如前述,监管部门、执法部门对已建立合规管理体系的企业及其高管实行正向激励。⑤其他同类型企业被监管部门处罚。⑥投资者要求本企业建立合规管理体系以促进合规。⑦外部审计师要求本企业建立合规管理体系。⑧合规已成为一种市场准入门槛。
二是合规管理的内部驱动。因企业内部员工的行为或企业制度或流程的缺陷,导致企业发生合规风险,需要企业建立体系完善相关制度,以防范该类风险。这样的内部因素包括①企业内部员工为自身利益有意违规或其不作为,导致合规风险发生。②企业员工自身能力和认识不足,无意识地犯错,产生合规风险。③企业内部代理人的放任、粗心、作假等,使得合规风险发生。④企业内部设备、存货的物理或化学特征,导致产生污染、事故等合规风险。
这两方面的原因,促使企业有建立合规管理体系的需求。但不同性质、不同行业、不同业务的企业,其建立合规管理的直接动机仍然是不同的。每一家企业仍存在其个性化的合规管理需求,也提示各家企业在建立自己的合规体系时,要注意内在驱动因素是什么?转化为企业合规管理的需求又是什么?
03
合规管理的供给:
现实中会出现什么样的合规管理?
在确定合规管理的需求之后,企业开始启动合规管理体系的建设工作。那么,最终会呈现出什么样的合规管理体系呢?毕竟现实和理想,或称执行和设计,是两回事。这就涉及合规管理的供给问题。
首先看一下,是哪些现实因素在推动一套合规管理体系的进展?①合规风险对企业的重要性。纵观目前合规管理工作走在前列的企业,其最开始的时候,都是遭遇重大合规风险之后才痛下决心进行改善的。因为这些合规风险,对于企业来说,异常重要,往往关乎企业生死存亡。②企业对合规管理需求的感知程度。没有发生合规风险事件时,企业仍有合规需求,但是否主动建立体系及建立体系的完善程度,还取决于企业管理层对需求的感知。如企业认为合规并非第一顺位的,那即便有需求,其建立起来的合规管理体系也未必会得到很好的实施。③高层基调。合规管理从管理方法来说,是一种自上而下的管理。可以说,只有自上而下,合规管理才能有效推动。因此,“上头”的推动和支持很重要。即高层基调。高层亲自承诺和身体力行,对于合规管理的落地至关重要。④可用资源。合规管理需要投入人力、财力、技术资源,如资源不充分或错配,则其效果会大打折扣。⑤投入产出效益因素。合规管理,首先无法在有限的时间段内对所有的合规风险进行防范,只能逐步计划、逐年实施。其次,只有在合规管理的产出大于投入的情况下,合规管理才可持续进行。
然后,观察已建成的行之有效的合规管理体系的模式,发现其形态是多样化的。没有固定的模式,最后呈现出的合规管理体系现状,是有效需求与有效供给进行综合的结果。需求足够深,供给技术和资源到位,才能产生真正的合规管理体系。如果光有需求,或仅有供给技术,都不能发挥预期的作用,或进行持续的合规建设与维护。这是判断不少企业是“真合规”,还是“假合规”的标准。
04
合规管理的目标:
合规管理希望的结果是什么?
合规管理,是企业的风险预防活动,也是监管部门的要求。企业和监管部门,想从企业的合规管理活动中得到什么,能得到什么?这就是合规管理的目标。只有建立适宜的目标,才有可执行的行动措施。
合规管理的总体目标肯定是防范合规风险。具体说,就是抑制不合规事件对企业造成负面影响。理想的情况是,抑制所有的可能违规事件造成的所有负面影响。但从经济效益层面来看,这是不可能的。因为抑制了风险,也就抑制了机会,抑制了机会就是抑制了业务发展,而企业存在的根本是业务发展。所以,我们只能进行有限的特定范围内的风险抑制。
抑制风险又分为两方面。一是预防使之不发生。这对于合规风险来说,尤其如此。因为合规风险,不同于其他风险。合规风险经常与企业的销售、市场、人员、生产、品牌等有密切的关系。所以,我们往往说合规是对违规行为零容忍。如前述,这仅仅是合规管理想体现的价值观,事实上不可能做到零风险。二是降低风险对企业的负面影响程度。在一定程度上,这是把接受风险当作风险管控策略的一种,只是尽量降低风险带来的负面影响。在制定合规风险管控策略时,要特别注意。
应然的合规管理目标是希望通过合规管控,能预防和控制所有的合规风险,但实际操作中,合规管理的目标应转变为“对纳入实施范围的合规风险,进行防范”。其原因如前所述。进一步分析,合规管理的目标之所以限定在“对纳入实施范围内的合规风险进行防范”,是基于两点考虑。一是,成本效益原则。企业管理都是有成本的,产出也都是有限的,必须衡量投入产出比。二是,任何企业对风险的控制能力也是有限的。这跟企业领导意识、风险控制部门的人员、企业愿意投入的资源等有关。
在树立合规管理目标时,我们要判断“合规创造价值”这个论断的适用性。这句话本身是没错的,但看要所用场合。如果是为了宣传合规文化,强调合规价值,鼓励建立合规体系,可以说“合规创造价值”。但是,合规管理的目标,是企业价值最大化吗?个人认为,企业任何行为都是为了企业价值最大化,这样表述其实没有什么实质意义。要深究合规管理的价值,仍然要回到合规管理是一种风险管理活动,它只是通过预防和控制风险来间接创造价值。
05
合规管理的内容:合规管理管什么?
合规管理是一项管理活动。那么它管的是什么?合规管理这个新兴的管理体系,它管控的是合规风险。这就是合规管理的内容。合规风险,是指违反合规义务所产生的风险。合规义务,即企业及其员工应当遵守的各项“规”。这些“规”有五个层级:一是企业内部的规章制度。二是企业面临的监管规则。三是企业应遵守的国内外法律法规。四是企业周围的社会道德规范。五是企业自身承诺的规定或说明。其中,国内外法律法规无疑是最核心的“规”。
要管控好合规风险,首先要清楚合规风险的产生原因。风险的产生原因,也称为风险源。合规风险源包括:①因为存在重大利益,企业及其员工明知违规仍主动为之,从而引发合规风险。这是非常普遍的情况。②因为企业内监控缺失或监控措施不到位,导致高管或员工有机可趁,产生合规风险。③因为企业及其员工缺乏认识或能力不足,不知道违规,但事实已违规。④因为其企业缺少制度或制度存在缺陷,导致高管或员工有意识地违规。⑤相关惩罚机制的威慑力不够,违规收益明显大于违规成本,促成合规风险的发生。
其次,在理解合规风险的一般发生原因之后,关键是要找到本企业面临的合规风险。这又称为“合规风险识别”。识别的目的是辨识和罗列企业可能会遇到的合规风险。关于风险识别的具体方法,有很多种。它是整个合规管理活动中的关键一个环节,也是几乎所有的合规管控措施的前提。可以通过专家经验法、过往合规事件集、合规义务库等方法予以识别合规风险。
最后,找到合规风险,还要对合规风险进行评估。评估包括分析和评价两个部分。分析是预测合规风险发生的可能性(概率大小),以及一旦发生其影响程度(后果大小)。可以采用定性和定量的方法对合规风险进行分析。评价是经过分析后的风险进行排序,以便直观地观察合规风险,为下一步采取行动措施做准备。
每一家企业的合规风险是不一样的,但往往可以相互借鉴,毕竟同一市场环境、同一法治文化中,企业遇到的风险也是可以类型化的。同样的合规风险类型,集合在一起,便变成合规风险领域了。如企业的数据合规领域、不正当竞争合规领域。对某一类型的合规风险领域进行管理,便成为某专业合规管理。如企业数据合规管理、企业环保合规管理。
06
合规管理的主体:合规管理由谁负责?
谁来负责合规管理,似乎是不言自明的。现实的合规管理体系建设过程中,很多人对此是有误解的。其中一个最常见的误解就是,合规管理当然是企业合规部门来负责的。但其实,合规管理不仅是合规管理部门的事,也是其他部门的事,不仅是中层的事,也是全体员工的事。
合规管理的主体,按层级可分为5个层级。①高层主体,包括董事会、监事会、经理层。他们负责合规管理整体和宏观事宜。②中层主体,包括各单元、各部门的负责人。他们负责职责范围内的合规风险识别与管控措施落地事宜。③基层主体,包括各岗位员工。④合规管理建设职能部门,即通常我们所说的合规管理部。⑤合规管理评价职能部门,如审计部、综合部。这一类主体,很容易被企业所忽视。但其在合规管理体系中的作用是不容小视的。
合规管理的主体,按环节可分为4类。①建立主体,指董事会、监事会、经理层。他们负责合规管理体系的建立。②执行主体,包括企业全员。③评价主体,包括企业高层、审计部门等。④整改主体,包括业务部门、合规管理部门等。从环节上对合规管理的主体进行划分,其目的只是更好地划分合规管理工作中各部门、各人员的职责,便于各自对合规的理解。实践中,基本上还是按层级来划分的。
对不同的合规管理主体,不仅需要赋予不同的合规职责,而且还应当采取不同的激励和考核方式。如对高层主体,主要是合规意识的培养和合规文化的沟通。对于中层主体,则更多的是合规风险的识别以及合规各项举措落地的中转站。对于合规管理部门,则需要认真考虑其职业操守、职业素养等是否与合规岗位相匹配。在对其提要求的同时,还要注意如何提高其推动企业实施合规管理的积极性。
07
合规管理的客体:合规管理措施落到哪里?
有主体,就必然有客体。合规管理的主体,是合规管理由谁来负责。那么,合规管理的客体呢?它是指合规风险管控的作用对象。也即合规管理的措施最终落到企业何处?是某个人身上,还是某个流程上,还是某个实物上?这些组合起来,构成了企业的交易循环,这便是合规管理的客体。
交易循环,其实就是指企业的业务流程。企业内的所有经营和管理行为,都可以细分为若干个交易循环(业务流程)。每一个交易循环,如采购循环,包括请购与审批,询价及确定供应商,订立采购合同采购执行,验收,相关会计记录,货款支付,纠纷处理与审计等子行为。这些子行为融合了人、信息、资金、实物等要素。这些要素的不断交换、互动,即形成交易,交易是风险的来源。
不断的交易,形成不断的交易循环(业务流程),也就形成不断的风险。合规管理就要对这些交易循环进行合适的限制、改变、叫停。系统的、有组织的、按事先计划执行的这些限制动作,便是合规风险管理。即作为对风险的管控,是要将“措施”作用到交易循环之上的。
交易循环(业务流程)中的人,既是合规管理的客体,也是合规管理的主体。人既会采取措施控制风险,本身也是风险的来源。信息和实物,同样如此。它们既是风险管理作用的对象,即风险的承载者,同时本身也是风险的来源。
交易循环是合规管理的客体。那么,将“措施”作用到交易循环上的“措施”是什么?这可谓是合规管理落地的精华。一些被证明行之有效的活动或活动的机制,被用于合规管理。如培训、调查与举报、授权审批控制、不相容职务分离机制、绩效考评机制等。另外,如能借助计算机软件程序,将这些活动或机制内化于企业的业务流程之中,那么效果将更好。这便是合规管理的信息化。
08
合规管理的本质:合规管理的内在是什么?
对合规管理,我们可以从不同的维度来看。①从企业自身需求维度,合规管理是一种风险预防和控制的机制。②从监管者维度,合规管理是激励企业守法经营的良好手段,也是减轻监管者自身任务的好办法。③从国家标准的推行者来看,合规管理是一种新的管理体系认证标准。
虽然可多角度观察合规管理,但合规管理最终的推动还是要依靠企业自身的自觉行为。在回答了前面7个问题之后,我们可以看出,企业合规管理的本质还是一种特殊的风险预防和控制机制。
不管是从合规管理的来源上,还是合规管理的目标上,我们都可以看到,合规管理作为一项新增的管理活动,其内在还是在于应对合规风险。企业面临合规风险,是一种必然。随着法治作为治理手段的完善,企业利益与社会利益更加紧密结合,企业的合规风险只会越来越大,越来越多。要想持续发展,只有合规经营。
归纳一下,合规管理的本质是企业内建立和实施的合规风险应对机制。它包括如下几方面的内容。①进行合规管理的设计,是合规管理的起点。即企业内要先有意识地建立合规管理计划,并作相应的设计。②发现合规风险,是合规管理取得成效的关键。包括识别、分析与评价合规风险,是合规管理职能部门与业务部门通力合作的成果。③执行合规管理的措施,是合规管理达成目标的核心。没有完美的计划,但可能存在完美的执行。
合规管理,是新生事物,是从内部控制、(全面)风险管理等体系中发展出来的企业管控手段。它的起源、发展及进化,都必然会和企业对法律的遵守、对风险的认识,对效率与风险的平衡等戚戚相关。只有认知到这一点,才可能对企业合规管理的基本问题有一个全面且深刻的认识。
北京德和衡律师事务所总所联席执行主任、高级联席合伙人,一法网创办人,兼任大连大学法学院客座教授、北京市律师协会企业法律顾问专业委员会副主任、“北大全球高端法商人才计划”未来领袖授课专家、中国人民大学企业法治研究所研究员、青岛仲裁委互联网仲裁院副院长、北京创业投资法学研究会常务理事等。陶律师拥有仲裁员、高级经济师、上交所独立董事、证券/期货从业人员、企业法律顾问、企业管理咨询师等资格,出版《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)等著作。
联系方式
手机:15701025272(微信同号)
邮箱:taoguanghui@deheng.com
小编微信:Crocso 如欲就法务与合规管理进行交流、培训、咨询等,可与我联系,将为您推荐大咖老师、资深专家和律师。