许多创业者在此之前总觉法律离自己很遥远。对于法律来说,如果不是专业的法务,谁又能处处留心生活工作中的某一个行为触犯了法律呢?但我们生活在法律编织的安全网里,稍不注意就可能触发警报。企业家犯罪,不同于一般人犯罪的最大区别是:它会引起一连串的反应。它可能使企业倒闭,也可能使一大批人失业;可能影响当地的GDP,也会影响当地政府的形象……
俗话说:"离娄之明,公输子之巧,不以规矩,不能成方圆; 师旷之聪,不以六律,不能正五音;尧舜之道,不以仁政,不能平治天下."
其实,缺乏风险意识是最大的风险,合规创造价值才是企业的生存之道。
一、“合规”、“合规风险”和“合规管理”概念
所谓合规,英文即compliance(原意是遵守、服从)。在国际金融保险领域中,compliance逐渐发展有专门的特殊含义。“规”即合规的渊源。
巴塞尔银行监管委员会的《合规与银行内部合规部门》中列举合规的渊源包括:“立法机构和监管机构发布的基本的法律、规则和准则”,“市场惯例”,“行业协会制定的行业规则”,以及适用于金融企业职员的“内部行为准则”等。
因此,“合规”中的“规”不仅是指来自企业外部的具有法律约束力的文件,还包括更广义的诚实守信和道德行为的准则,它们可能是来自企业外部,也可能是由企业自身制定的。
“合规”中的“合”包括两个方面内容,“合”首先要求企业内部的管理制度、业务规则必须符合外部的法律法规、监管规定和行业准则;其次,“合”则要求企业内部的管理制度、业务规则都得到实际的执行。“合规”,是指企业及其员工遵守法律法规、监管规定、行业自律准则,以及企业自己制定的内部规范的总称。
合规风险是指企业因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于企业自身业务活动的行为准则,而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
法律风险是指企业因不遵守法律规定、监管规则或者因和交易方产生合同纠纷,而导致财务损失、被处罚或者产生诉讼纠纷的风险。合规风险与法律风险不同显而易见。合规风险中有些部分无法归入法律风险的范畴,如因不遵守诚实守信和道德行为的准则(包括自律组织制定的某些准则,企业内部制定的管理制度、业务规则等)而遭受声誉甚至财务损失的风险只能称为合规风险,而不是法律风险。因合同不能执行或合同纠纷而导致损失的风险称为法律风险,而不是合规风险。
合规管理或合规风险管理是指企业主动识别合规风险,主动避免违规事件的发生,主动采取各项纠正措施以及适当的惩戒措施,持续修订相关制度流程和详尽描述具体做法的岗位手册,以有效管理合规风险,确保企业合规稳健运行的一个周而复始的循环过程。
企业合规管理是指企业通过制定合规政策,按照外部法规的要求统一制定并持续修改内部规范,监督内部规范的执行,以实现增强内部控制,对违规行为进行早期预警,防范、化解、控制合规风险的一整套管理活动和机制。
合规管理的目的就是通过建立一套机制,使公司能够有效识别、评估、监测合规风险,主动避免违法违规行为发生,从而免受法律制裁或财务、声誉等方面的损失,防范操作风险。
合规管理的重点在于企业应如何开展经营活动,其首要内容包括公司治理、行业监管方面的其他合规事务、法律风险防范、其他内部道德规范和规章制度(包括行为守则)。合规管理的对内任务是从整体上改善内部管理控制,进而提高企业的竞争力。对外任务(也是其首要任务)是保证企业妥善履行其对外部利害关系人所承担的责任,如信息披露、保护公共利益、公平竞争、保护股东利益、不侵犯第三方权益等。
合规管理能够改善企业形象、保护企业免于发生重大风险事件。合规管理是企业管理工作中的下一个主要发展趋势。因此,世界上管理卓越的企业均构建了标准化的合规管理体制。
合规管理实际是内控的一个重要方面,同时也是风险管理的一个关键环节。合规管理作为一项独特的风险管理技术,始于欧美一些大型跨国金融集团。自20世纪90年代以来,基于对一系列重大操作风险事件的深刻反省,这些公司认识到合规管理的特殊性、专业性和重要性,纷纷整合内部资源,创新管理方式,逐渐形成了一整套专门的合规管理机制。
二、合规管理能够改善企业形象、保护企业免于发生重大风险事件。
加强法律风险管理将会使企业获得竞争优势。合规管理很可能为企业管理工作中的下一个主要趋势。
无论三聚氰胺压垮了的三鹿集团破产案件,还是蒙牛、伊利诽谤门事件,无论是360与腾讯“火拼”涉嫌不正当竞争案映射出互联网安全市场竞争乱象丛生,还是西门子、朗讯、雅芳、家乐福、麦当劳等闹的沸沸扬扬的“贿赂门”事件,给很多的企业敲响了警钟。
企业作为合规管理的最直接主体,更应当重视建立有效地合规管理制度,并践诺合规风险管理法律法规和管理制度。杰克韦尔奇曾经说过,“GE业务我并不担心,我担心的是有人做了法律上愚蠢的事给公司声誉带来污点,甚至使公司毁于一旦,”“企业的法律风险是一种商业风险,商业管理人员有责任像管理企业商业经营的其他风险一样管理法律风险”。
合规管理要求企业应根据法律规定去经营所有的业务,世界上管理卓越的企业均构建标准化的合规管理体制。合规管理体制将使企业受益无穷,合规管理能够改善企业形象、保护企业免于发生重大风险事件。加强合规风险管理将会使企业获得竞争优势。建立有效地合规管理制度,并践诺合规风险管理法律法规和管理制度。
对一个追求成功的企业来讲,建立健全有效的风险控制体系,事前防范、事中控制和事后补救三个方面,一个也不能少。对企业管理者来说,无论从经济效益还是从成本角度考虑,企业风险控制,事后补救不如事中控制,事中控制不如事前预防。
法律顾问和内部法务资源科学配置,可以有效预测和评估企业所面对的合规风险。企业是自己利益的最大判断者,合规管理带来效用不言而喻。
西门子公司从前述贿赂事件中吸取经验和教训,从防范(包括内控政策制定和流程管理)、监察(包括对一些案件的跟踪调查)以及应对(惩罚)三方面,立志重建的新的合规管理体系和制度,无不值得我们很多企业学习和借鉴。
三、企业合规机构设置和合规队伍的建立
政府主管部门和企业协会以及企业应根据本地区规模、经营的复杂化程度、业务性质及其区域分布的不同,制定企业的合规管理指引或规范制度,设立不同组织结构的法务合规风险管理部门和人员。为确保合规部门有效履行职责,应配备高素质的专业法务人员。
企业的法务人员要具有与其职责履行相匹配的资质、经验、专业素质和个人素质。适当的专业素质包括能全面、正确地理解法律、规则和标准及其对企业经营运作的实际影响;通过定期、系统的教育和培训,能保持并发展其专业技能,具有对所适用法律、规则和标准最新发展的实时把握能力。
适当的个人品质主要包括诚实正直的品格、思考质疑的能力、职业判断的中立性和独立性、良好的沟通能力、较强的判断力和灵活性等,尤其需要具有对合规问题涉及的相关人员直言不讳的勇气和能力。
除了政府主管部门和企业协会或商会设立专门的机构和/或人员专门负责企业的合规风险管理外,笔者建议企业应考虑设立合规管理委员会,重视指导、规范和管理本行业的合规风险管理问题。
国内外金融机构和其他企业的合规机构设置主要存在两种组织结构:一种是集中化的组织结构,即所有负责合规工作的职员都放在一个独立的合规部门体系之中;另一种则是分散化的组织结构,即负责合规工作的职员分布在不同业务部门或业务条线,但一些国际性活跃机构一般还会设有集团合规部和首席合规官,以及区域或当地合规部和合规官。
国际上,金融企业通常在总部设置独立的合规部门,在分支机构设置当地的合规部和合规官。总部合规部门直接向高级管理层(总裁或董事会主席)报告,并拥有直接向董事会或其下设委员会报告的权限;各分支机构的合规部门则存在矩阵式和条线式两种报告路线,前者在向上一级合规主管报告的同时,还要向合规部门所在分支机构行政主管报告,后者只向上一级合规部门主管报告。
借鉴国内外金融机构的合规管理做法,全国性的规模比较大的企业成立独立的法律及合规风险管理部,根据需要可以增加合规管理职能,并设首席合规官;规模小的或区域性的企业可以设立专门的合规风险管理人员或将合规和法务部门与其他部门人员合二为一。规模较小的企业可以设立兼职专门的合规风险管理人员。
在企业股东、负责人、首席合规官的领导下,在职权范围内进行的规章制度建设、合规监督检查、合规培训、咨询、调研、宣传等工作。
无论法务合规部门的组织结构如何,保持其独立性是最重要的原则。对独立性,包含四个相关要素:
第一,合规部门应在企业内部享有正式地位。
第二,应由一名合规官或合规负责人全面负责协调企业的合规风险管理。
第三,在合规部门职员特别是合规负责人的职位安排上,应避免他们的合规职责与其所承担的任何其他职责之间产生可能的利益冲突。
第四,合规部门职员为履行职责,应能够获取必需的信息并能接触到相关人员。
因此,在设置合规部门时,为确保其独立性,应当考虑建立相关的配套机制:
一是合规部门要尽量独立于业务和财务部门,进行独立预算管理,预算管理应与合规部门的工作目标保持一致,而非取决于业务部门或业务的盈利状况。
二是建立科学的激励考核机制,即一方面合规部门要接受上级部门和机构的监督评估,以确保合规职能的有效发挥;另一方面,对各业务部门或业务管理人员的绩效考核,应主动咨询合规负责人对其合规风险管理能力的评价意见。
合规队伍的建设涉及到的股东大会、董事会、职能部门和具体合规人员各个层面。
股东会
股东会的合规职责,包括审批合规政策并确保其制定适当,监督合规政策的实施,在企业推行诚信与正直的价值观念等。并对企业遵守法律法规、监管规定和内部管理制度的情况定期进行检查评估并负最终责任。因此,处于企业最高层的股东大会应充分认识到合规风险管理的重要性,责成高级管理层拟定合规管理的战略方案、合规政策,并由董事会通过执行;同时了解合规部门的功能及其效力范围,并监督和评价高级管理层的合规风险管理状况。当然,股东会会议可以设置专门的合规机构等来承担上述职责。
董事会高级管理层层面
每家企业应该有一位执行官或高级职员全面负责协调合规风险的识别和管理,以及监督其他合规部门职员的工作,该执行官或高级职员被称为“合规负责人”。合规负责人既向管理层负责,也向股东大会负责,并向企业行业协会及时报告企业的重大违规行为。因此,合规负责人更应设置在高级管理层层面,如规模较大的全国性企业股东大会或董事会,而非部门负责人层面,否则将可能难以很好地履行职责。
对高级管理层如董事会而言,应做好以下工作:制定和传达合规政策(包含管理层和员工应遵守的基本原则),说明整个企业上下用以识别和管理合规风险的主要程序;确保合规政策得以遵守,发现违规问题时,采取适当的补救方法或惩戒措施;每年至少一次识别和评估企业所面临的主要合规风险,并制定管理这些合规风险问题的计划;就合规风险管理,特别是重大违规情况向股东大会报告;组建一个常设的、有效的内部合规部门。
合规部门层面
合规部门是合规工作的职能部门,是合规管理体系的重要组成部分。科学地组建适合企业需要的合规部门是做好合规工作的前提和组织保障。
四、合规管理的指导原则
笔者认为企业合规管理的原则也应包括以下几个方面内容:
五、培养企业的合规文化
合规风险管理本身虽然并不能直接为企业增加利润,但是系列的合规活动能够为企业争取到有利于未来发展和业务创新的外部政策环境;形成一整套具有较强执行力的、程序化的内部制度。通过内部制度的持续修订,将日积月累的各种良好做法沉淀下来,并清晰地界定实际工作中的尽职、问责和免责标准,将大大降低企业成本并增强企业风险控制能力,提高资本回报,最终为企业创造价值。