APP下载

“三三制”企业合规管理之道

2019-11-26法人陶光辉

法人 2019年11期
关键词:合规管理体系管控

◎ 文 《法人》特约撰稿 陶光辉

2019年是中国企业合规管理建设之年。越来越多的国企、民企都在说合规、做合规。但对实现属于舶来品的“合规管理”,如何本土化应用,不同的企业有不同的做法。可以说,有的企业合规是“真合规”,有的企业合规是“假合规”。这一方面跟企业的发展需求相关,另一方面和企业对合规的认识相关。

“三三制”企业合规管理,是笔者提出来的一种简单且清晰并体系化的合规管理逻辑。它的目标,不仅在于做正确的合规,而且在于要把合规做好。其中,“三三制”是指企业合规管理分为三部分,每部分又分为三节,每一节下再细分为若干项。

WHY:合规管理的动力源

企业合规管理,从本质上说是企业管理行为的一种。所有的管理行为都是要投入资源的。做合规,同样如此。所有的管理投入,都要有一个原因,尤其是经济学上的原因,即,都是要有所“回报”的。这里的“回报”,亦可称为“目标”“价值”“意义”等。只有真正明白和明确“回报”是什么,企业才会真正投入。这是管理行为的原动力。那么,合规作为一种积极的管理,其“回报”是什么?或这样问:合规管理的价值何在?这是“三三制”中的第一部分。

合规是企业的一种必然选择

首先可以从合规的起源与发展来看企业为什么要合规。合规的起源,大致可以从两条线来看。

一是源于美国1977年颁布的《反海外腐败法》(FCPA),其主要内容是对于企业反腐败行为的合规管理,禁止美国企业在海外业务中贿赂当地政府官员。然而很长一段时间内,企业对于该法律并没有足够重视。直到西门子等企业贿赂案件爆发,企业界受到震动,企业反腐败合规管理才终于引起公众的关注。反腐败合规,因此还被称为“狭义合规”。

二是源于巴塞尔银行监管委员会2005年发布的《合规与银行内部合规部门》专门文件,其目的是敦促并指导国际银行业金融机构建立有效的合规政策和程序,在发现违规情况时银行管理层能够采取适当措施予以纠正。

最近十几年,随着企业所处环境的不确定性加大,商事规则越来越复杂,相应的风险也越来越大。来自市场的应对策略,反映在合规逐渐从反腐败合规,扩大到对所有领域法律和规范的遵守。如公平竞争与反垄断、进出口管制、隐私与数据安全、知识产权保护、税务合规、环境合规、劳动合规等。合规监管也从系统性风险最高的金融行业开始,逐步延展到各行各业。

从以上合规的发展趋势看,合规已是企业的一种必然选择。在法治国家,人们不再对是否需要合规有争议。有不同意见的可能是,企业如何合规。合规,未来只会越来越重要。当然,也会越来越复杂。

合规可为企业创造价值

可从合规给企业带来的正向价值,或者说不合规会产生什么样的负面后果,来看企业为什么要合规。合规创造价值,一直是企业推行合规管理的重要理念。有效的合规,确实能给企业带来不一样的价值。

一是减轻监管处罚。通过在企业中实施合规管理,企业高管和员工的行为得到“有原则的约束”。企业及其人员遭遇来自政府和司法部门的行政或刑事责任追究可能性大大降低。根据《合规管理体系指南》的引言,有效的企业合规管理体系,甚至可以成为减轻、豁免行政、刑事责任的抗辩理由。这种抗辩,有可能被行政执法机关或司法机关所接受。这一点,恐怕也是合规管理吸引众多研究者和实践者的一大“魅力”。

二是减少民事赔偿。合规管理要求企业规范经营、廉洁合作、公平竞争、合理交易,保护劳工和消费者权益等,如能做到,无疑会减少企业遭受民事侵权索赔的几率。合规管理还要求企业重信守诺、遵守契约,企业的违约责任也会因此而大大降低。

三是避免商誉受损。商誉等无形资产对于企业来说,越来越重要。企业保护无形资产的动力,来源于无形资产的巨大价值。持续的合法合规经营,能给企业带来无形资产的增加。这一点,已被很多成功企业案例所证实。企业违规,则会直接损害企业形象,使得企业商誉受损。

WHAT:合规管理的落地锤

合规管理源于法律,终于管理。这里说的“源于”,是说做合规的前提是识别合规风险。“终于”管理,是说做合规的目标是管控合规风险。为识别合规风险、管控合规风险,并提高两者的效率和效益,需要一套嵌入企业现行管理系统中的专属合规管理体系。因此,如何做合规,自然地分为识别合规风险、管控合规风险及建立管理体系等三节。

识别合规风险

识别合规风险,即便在整个合规工作中,也极为重要。识别合规风险,首先要知道什么是合规风险?合规风险是指主体(企业、企业高管及企业员工)违反其合规义务所产生的风险。根据《合规管理体系指南》的定义,合规义务包括合规要求和合规承诺。合规要求是强制性的,包括法律、法规、法律机构颁发的命令、规则、指导,法院的判决等;合规承诺是自愿性的,包括企业对产品质量的承诺,与公益组织签订的协议,自愿加入的行业准则等。主体违反这些要求和承诺,即不合规,由此造成的风险便是合规风险。进一步说,合规风险包括企业因违反合规义务所产生受到法律制裁、被采取监管措施、遭受财产损失或声誉损失的风险。

其次,要知道本企业的重点合规风险领域包括哪些?合规风险领域,比具体的合规风险概念要大得多。它和企业的战略、文化、所处行业、所从事业务等密切相关。随着合规在各行业的深入,目前各类型企业比较重视的合规风险领域包括:反垄断义务、反不正当竞争义务、进出口管制义务、商业伙伴合规义务、财务报告真实准确和上市公司信息披露义务、环境保护义务、数据保护和信息安全义务、合法用工、依法纳税义务等。不同的企业,同一企业的不同发展阶段,其关注的重点合规风险领域必不相同。《中央企业合规管理指引(试行)》则列出了市场交易、安全环保、产品质量等7项重点领域的合规管理。

管控合规风险

在识别出本企业的具体合规风险以后,或者说,在识别合规风险的同时,就需要对具体合规风险进行分析、控制等。这便是合规风险的管控。

首先,从行为过程看,管控合规风险可分为分析、评估与应对等3个阶段。分析和评估合规风险是一件颇有技术含量的事。根据各项合规风险发生的可能性和后果,企业可以量化合规风险的等级,形成风险排序。在合规风险清单的基础上,企业可形成一套本企业的合规风险等级表。在评估完合规风险等级或者真正发生合规风险事件时,企业要制定正确的应对策略。关于对风险发生的应对措施,通用的方法有:风险转移、风险规避、风险降低、风险接受等。

其次,从介入时间看,管控合规风险包括预防和处理两方面。从预防角度,管控合规风险的机制包括:合规风险评估机制、合规报告机制、合规审查机制、合规举报和调查机制、合规记录机制、合规培训机制等。从处理角度,管控合规风险的机制包括:合规整改机制、合规绩效考核机制、合规责任追究机制等。要注意的是,以上这些机制很多是交织在一起的。

建立管理体系

识别和管控合规风险等行为,是在企业现有的管理活动和体系之上进行的。要将合规管理真正落地,已有的管理体系显然是不够的。合规离不开企业专门的管理支持,即有必要建立专门的合规管理体系来实施合规管理。

关于合规管理体系,有两方面的问题。一是,合规管理体系的组成。合规管理既然是组织内的行为,当然先是离不开人。故合规管理体系的第一个组成部分是合规管理组织体系,即负责合规管理的人员有哪些?一般认为,合规管理的组织包括专门的领导机构、合规负责人、合规工作小组/合规工作机构、合规工作人员等。人有了,需要规则把他们联结起来。因此,合规管理体系的第二个组成部分是合规管理制度体系。制度体系包括合规管理规定、专项合规管理办法、合规管理工作流程、合规工作方案等。

二是,合规管理体系如何与现行管理体系融合。现行与法律、监督相关的企业专项管理体系,如法务、内控、审计、监察,甚至是公司治理等,在合规管理体系进来后,如何融合,这是合规管理的又一大难点。要区分它们,与对几个体系的目标、核心职责认识等有关系。不同的目标及不同的职责,当然要归属于不同的管理体系。重合的目标或交叉的职责,也会导致管理体系部分重合与交叉。合规管理,是企业的底线管理,必须优先得到实施。法务管理,是服务于企业业务发展的,以效率为目标,以法律风险控制为手段。内部控制,更多是出于监管的视角,对企业的内部流程实施合理的控制。审计与监察,多从财务与监督的视角,以确保企业行为与事先预设一致。这几个专项管理体系,如何在特定企业中实现融合、联动,还有待具体情况具体分析。

HOW:合规管理的方向盘

合规管理的基本方法,事实上是通用的,相关知识是公开的。但为什么有的企业做合规取得了良好的效果,有的却只是“假合规”?这就涉及如何将合规做好的问题。这是“三三制”合规管理的第三部分。它与企业进行合规管理时持有的理念与投入的资源、主观意愿等因素密切相关。

比例原则

合规管理是一项由法律工作者来主导和推进地新地专业管理。企业管理都是在一定的经营环境下进行的。超越经营需求,或落后于经营需求的管理,注定会失败。合规管理也要与业务环境与经营需求相一致。这便是合规管理的比例原则,也叫适用性原则。

合规管理要与业务匹配。不同行业的企业,其合规管理的重点是不一样的。企业要从经营范围、组织结构和业务规模等实际出发,兼顾效率与成本,提高合规管理的可操作性。同时,企业应随内外部环境的变换,持续调整和改进合规体系。如某汽车集团,根据其业务情况,将公司资产利用、反垄断、反腐败、产品质量责任等作为其启动合规管理建设的重点领域,将信息管理、环境保护、员工健康安全等作为一般领域,且定期对合规重点领域进行调整。

投入资源

合规管理是新专业管理,当然要拥有该新专业知识的人员来负责实施。合规管理的成效很大程度上取决于企业所投入资源的大小。一些已受益于合规带来巨大价值的企业,其前期往往是投入“巨资”。反观一些因不合规而遭遇巨额处罚的企业,其在合规管理上的前期投入,往往是不够的。企业对合规管理的投入,必须有一个明确的规划。当然,投入必须能与产出相匹配。企业合规管理的投入产出评价,应作为企业实施合规管理的一项日常工作。

随着互联网技术的深入以及大数据的逐渐完善,目前的合规管理不仅要由人来完成,而且一定还要借助技术的力量。合规之所以受到监管部门的重视,相当大的原因就是技术对法律带来的冲击,技术对经济的影响。没有技术支撑的合规,仅停留在“管理制度”上的合规,不管是效率上,还是效果上,都是“跛脚合规”。甚至本身这就是一种“不合规”的表现。在合规技术的运用上,中兴通讯做了大量的工作。例如中兴通讯在出口管制项目中引进了SAP贸易合规管控工具GTS系统(Global Trade Services);在反商业贿赂项目引进BPS系统(Business Partner Screening),并自行开发了LCM合规管理系统(Legal & Compliance Management),实现中兴通讯合规风险可视化。

高层决心

关于企业高层应下定决心,投身于合规的执行和推动中,在很多已取得成效的公司合规管理手册上,甚至是来自监管部门的合规管理法规上,都可以看到明确的表述。如某央企《集团合规管理办法》第一条,便表明:“本集团的合规理念为:合规从高层做起、全员主动合规、合规创造价值。”《商业银行合规风险管理指引》第六条,“合规是商业银行所有员工的共同责任,并应从商业银行高层做起。”在一些企业,成立由董事长或总裁亲自担任一把手的合规管理委员会,全面负责本企业的合规管理事宜。因此,高层表态,从高层做起,这是企业把合规做好的一项重要保证。

猜你喜欢

合规管理体系管控
合规不起诉在企业犯罪中的适用及边界
水利水电工程三标一体化管理体系研究与实践
企业如何做好反商业贿赂合规
装配式建筑施工混凝土质量管控
基于KPI的绩效管理体系应用研究
企业合规管理与内部控制建设整合策略
疫情防控对高校学生管理体系完善的启示
企业合规高等教育即将到来
全程管控在机电工程设备安装的实施
当代经济管理体系中的会计与统计分析