时间:2022-12-30 12:18:40来源:法律常识
原创 陶光辉
目录
一、扫描合规管理环境
二、明确合规管理职责
三、制定合规治理方针
四、发布合规行为准则
五、进行合规风险评估
六、完善合规管理制度
七、推行合规管控流程
八、实施合规管理评价
九、形成合规风控文化
企业合规的本质是一件“法律+管理”的事,其是否有效,取决于对合规的管理措施是否落地。企业合规有效性标准,根本不是来自对监管部门出具的“有效性评估指引”的符合。如果仅仅是对照官方给出的“有效性评估指引”来执行合规管理,那么“表面合规”、“形式合规”等现象将不可避免。把国外的一些合规有效性判断标准直接引进,作为国内企业合规有效建设的“权威参考”,更是一种误导。
企业合规管理的有效性,必须围绕企业自身管理的有效性展开。企业的管理者、企业的部门中层、企业的基层岗位,什么时候真正把“合规要求”作为一种“管理要求”了,企业的合规才算有落地的可能。驱使企业内部的人员付诸行动的,只有企业的愿景、职责、流程、考核、奖惩,文化等及其组合,而不是其他。
个人认为,企业合规建设要取得成效,须建立在一系列精心设计的管理制度和管理流程之上,而且这些管理制度和管理流程,必须以系统和组合的方式共同、循环发挥作用。这种系统及组合,构成企业合规建设的管理模型。
一、扫描合规管理环境
合规管理环境,是企业合规建设的土壤。合规管理,必须建立在土壤之上;但同时,通过合规建设,又能改变土壤。不同的企业,其管理环境显然不同。这决定了企业合规建设,必须“一企一策”。那些希望套用其他企业合规管理建设模板的,一定要注意区分自身企业的环境,与所参考企业的环境,在多大的程度上是相似的。如果只是因为是同一行业、同一产业类型,就认为合规建设基本一致,那么很容易产生“水土不服”的现象。
合规管理环境是企业合规建设面临的综合情境,主要指外部宏观环境、利益相关者的期望和需求以及合规要素的现有状况等。
外部宏观环境包括但不限于政治与法律、经济、社会、技术(PEST)等环境。例如,央企境外合规的建设,很大程度上起源于2017年5月召开的中央全面深化改革领导小组第三十五次会议提出的“加强企业海外经营行为合规制度建设”等政府主管要求。此后,央企的境外合规管理逐渐得到高度重视。这是反映了企业内在需求的国家政策,在驱动企业合规建设。利益相关者的期望和需求,包括来自投资人、管理层、雇员、商业伙伴、债权人、社区等对企业合规的期望和具体需求。例如,投资者希望企业合规经营,不要发生因违反有关法律规定而被行政罚款的事件。这种期望,会促使投资者要求企业必须去建立合规体系,遵守合规要求。
合规要素的现有状况,指组成合规管理体系的所有要素,包括目标、组织、制度、流程、绩效等的现有实际情况。目前缺乏某合规要素,某合规要素不完善,或合规体系未得到真正实施,甚至存在严重的违规问题等,都是现有的某种合规管理状况。其中,非常突出的一种合规管理状况,便是涉案企业合规所面临的环境。这种环境的基本特征,是所面临的合规问题已是一件或多件“不合规事件”,而不是一种可能发生或不发生的合规风险,且已进入司法部门的“管制”范围。这种环境下的合规建设,在国内,其最终有效性须经检察机关的司法判断。
企业合规建设的第一件事,不是颁发一个合规管理制度或召开一次合规会议,而是先扫描当前企业面临的具体合规管理环境。这个具体的管理环境,是今后合规建设的起跑线。扫描合规管理环境,目的不仅是了解合规管理的内在驱动因素,也是观察当前合规管理的背景和现状,更重要是分析未来合规管理的切入点。扫描环境,其实是非常综合的判断,需要经验丰富的企业合规师的亲自参与,须从合规管理系统的所有要素,来判断企业合规管理的现状。可以说,合规管理环境,其实是初始的合规有效性评价,其维度是多方面的。通过合规管理环境扫描,一般输出类似《合规管理现状评估报告》等书面成果,为后续合规建设提供一个现状分析与问题解决的基本思路。
二、明确合规管理职责
在企业合规建设上,优先考虑的还包括如何解决人员及其管理职责的问题。作为一项正式的管理活动,必须设计对应的部门和职责。如果仅是泛泛说属于企业应当实施的,而不落实到具体的人员上,在企业内是无法自动实现的,特别是合规管理这种自我约束型的管理活动。
对于实务中的企业合规管理系统来说,合规管理职责的设计包括两个层面。一是如何分配业务部门与合规部门的各自合规管理职责。这就是合规风险三道防线机制的设计。合规风险三道防线,是一套内涵相对固定的理论。它不仅是指业务(流程)部门、合规(风险)部门、审计(监察)部门等应当组成风险处置三道工序,而且还包括基层对各类不同合规风险的抵御,经营层对合规风险的整体抵御,股东治理机构对合规风险防范的监督等管理职责设计。前者可谓横向三道线,后者则是纵向三道线。在每一道线上,各单位各司其责,共同发挥作用。这种多防线的设计,是与风险管理特点相关联的。因为风险无处不在、无时不在,不同的人对风险有不同的认识和判断,唯有多加几道“防御工事”,组合起来,这样才能起到最佳防范效果。
合规管理职责设计的另外一个层面是,合规是全员合规,企业内各机构、部门、各岗位,都有其合规管理职责。企业合规建设,必须把合规作为每一个人的管理职责,只是这个职责的内容和分工,大家不一样而已。例如,销售经理岗,有销售经理合规管理职责;投资部门,有投资部门合规管理职责。这两种管理职责的内容,是需要根据其各自负责的业务流程以及该业务流程上产生的合规控制措施来描述的。在企业合规建设中,限于时间和资源,一般仅会对重点部门和重点岗位进行合规管理职责设计,最后输出《合规管理职责清单》等书面成果。
必须注意的是,合规管理职责与合规职责,还是存在一定区别的。合规管理职责,主要是从各部门、各岗位的合规遵守程序上的义务;而合规职责,主要是基于各部门、各岗位的应遵守的实体合规要求。当然,在实践中,有时两者是一并规定的。
为确保合规管理职责能够为员工所遵守,并产生劳动法上的效力,企业合规建设时应注重自身操作程序的合法合规性,把合规管理职责明确为岗位职责之一。同时,该管理职责的内容,也应是明确的、具体的。岗位职责之所以能被员工所遵守,其关键还在于后面有持续的评价、考核。很多企业合规建设实践中,只注意了规定部门的合规管理职责,而未落到岗位职责之上,或者光有宏观的制度文字,而缺乏操作性、可考核性,这也是导致合规管理未能真正落地的根本原因。
三、制定合规治理方针
在了解企业内外环境,匹配合规管理职责后,便是制定合规治理方针了。所谓治理方针,是规定企业合规建设的总体原则、基本政策和实施流程。合规治理方针,既可包括实体上的合规基本态度,又可包括程序上的合规实施步骤。它反映了宏观环境对企业的要求以及企业利益相关者的博弈,表明了企业治理机构在合规建设上的基本态度。这对于指导企业管理层设计和实施合规管理体系,起类似奠定基调的作用。
合规治理方针在每一家企业可能有所不同,但至少应涉及以下几项核心命题。一,合规与业务的关系。当某业务的开展,可能触犯某个合规义务,特别是违反这个合规义务,在短时间内不会给企业造成很大影响时,企业如何选择?是选择合规遵从,从而放弃这个业务,还是业务优先,牺牲本次合规遵从,企业的合规治理方针应明确企业进行何种选择的态度,而且这种态度是由谁发出的?多数情况下,在一些已真正形成合规文化的企业,我们看到了“合规高于业务”、“合规优先于业务”的明确表态。但也有大量企业,并未明确或不愿明确这种“二难选择”,希望能“具体问题具体分析”。
二,合规在企业体系中的位置。合规是企业中某位管理者负责的某项职责而已,还是独立地存在于企业的监督体系之中。合规部门、合规职责、合规人员的独立性问题,一直是企业需要解决的难题。它考验企业的合规决心和现有机制的支持力度。一份有效的合规治理方针,应明确合规的独立性,把合规独立性贯彻于合规体系的设计与实施,运行与评价之中。
三,企业在合规管理事务中愿意投入多大的人、财、物。企业能为合规建设提供多少支持,也反映了企业合规建设的决心。如具备这种决心,明确在合规治理方针中,对于引领合规建设,将起到事半功倍的效果。企业内的合规义务遵守主体,正是需要看到合规建设的力度。如果非常清楚地表明企业将提供相当的资源保障来推动企业合规建设,那么那些不合规的情况自然也会“受到威慑”而大大减少。
四,不合规时的内部处置。当发生不合规的情况时,合规治理方针是否明确将对责任人实施追责,对不合规的情况进行“零容忍”。这也是企业员工希望看到的,由治理机构发出的这种信号,对于合规管理落地也是非常有效的。同时,鉴于合规激励机制的独特价值,合规治理方针也有必要考虑“尽职合规免责”的处置方式。对于实施了合规制度中规定的合规遵守行为,如依据发生不合规情况,可根据制度的例外规定,予以免责。
合规治理方针,是企业合规建设的基础性文件,也是展开合规建设的指导性文件。在实践中,合规治理方针的制定,容易被企业所忽略。但纵观企业合规风险事件,那些大的“不合规”、频繁出现的“不合规”,其根本原因还是在于对于合规管理的基本态度不清晰、不明确。因此,合规治理方针作为企业合规建设的重要一环,应进行强化,其最后输出的成果是《企业合规治理方针》,或在《企业合规管理建设实施方案》的重要章节中体现“合规治理方针”。
作者介绍
陶光辉
北京德和衡律师事务所高级合伙人。兼任北京大学全球高端法商人才计划未来领袖授课专家,大连大学法学院客座教授,中国五矿化工进出口商会合规委员会专家委员等。律师,仲裁员,高级经济师,同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。武汉大学法学硕士,18年法律工作经验。其中,8年法务经历,曾任大型集团法务总监;3年创业经历,系一法网的创始人;7年执业律师经历,现为律所管委会委员。在企业合规管理建设领域,陶律师创立“DHH合规内控风险协同建设五环模型”、“企业法治管理系统八要素模型”。