一、企业合规管理是如何有效的?
对企业管理有什么价值?近期有客户问,合规管理体系建好后该如何发挥作用?会不会像以前的内控一样,出一堆文件,然后束之高阁?
不仅是包括央企子公司的领导,国企分管领导,都在问,多个项目同行也有这个困惑。个人认为,这个问题,反映出提问者对合规管理和合规管理体系的本质还没有充分理解。
先回答合规管理是如何有效的,理解了这个,对于合规管理有什么价值,建设后又如何发挥作用自然会更加清楚。
合规管理如何有效?
1. 首先要理解是对谁有效,有效的含义是什么。企业合规管理是企业预防,控制与应对可能的“不合规”的过程。即防控合规风险的管理活动。
这个过程通过企业经营管理行为的调整来达到目标,如果经营管理行为没有得到调整和规范,并提升了合规状态,可以说这样的合规管理就没有起到任何作用。
也就是说,企业想通过经营管理行为的调整来实现更加合规的状态,如果没有调整,或者说没有因为合规建设而进行调整,这样的合规建设就是无效的。
企业进行合规建设,当然是想获得合规管理会带来的具体价值。如果不带来具体价值,这是合规管理自身问题,而不是合规建设活动的问题。当然,我们都是假设合规管理一定会有其价值的。
没有价值的是那些没有坚持用有效合规建设方法来进行建设的合规管理建设。
2. 明确了合规管理有效的前提,是经营管理行为得以调整,对于合规管理如何有效,就前进了一步。
要使得经营管理行为因合规建设进行适当的调整,就要关注以下:
1)现行的经营管理行为,按合规建设的标准,应该增设哪些管理活动?如拟增加合规管理制度,拟增加岗位合规职责,拟增加合规管控机制,拟增加合规培训与报告活动。
2)这些增加的管理活动设计,企业现行人员是否认识,理解和接受?这里有两种常见情况,一种是短暂的接受,被迫的接受,最后因为没有真正好处,又恢复原状了;另一种是根本不接受,当前真正的经营管理行为没有任何调整。这两种异常,都导致合规建设无效。最好的情况是企业人员理解和接受了新增加的管理活动,从而起到了设计效果。
3)企业增加的合规管理活动,是否长期会使用,并自然纳入为企业的惯常管理系列里。这是真正意义上的有效合规建设。
3. 关注经营管理行为是否得到了正确的调增,并保障企业持续保留这些调增,是合规管理有效的内核。所以,问合规管理如何有效,就是问企业推动合规体系建设过程中按照有效合规标准得到的经营管理行为调增是否可执行,在执行。
如果是无关痛痒,没有动力,没有压力,没有职责的调整或调整建议,不符合当前管理逻辑的调整或调整建议,注定是没法保留下来的。
4. 要实现合规管理的有效,必须依托于那些可之行,会执行,有压力,有动力,有职责的合规管理方面的调增后的经营管理活动。他们能起到的作用,就是合规管理能起的作用。
就具体经营管理活动而言,包括职责类调整,考核类调整,提示类调整,监督类调整,文化类调整等。各合规管理要素,都是某种类型的调整,都要用上,光靠一种或几种是较难达到调整行为的效果的。例如合规要求清单,合规风险清单,大家很看中,但其实也只是一种提示类的活动。更有杀伤力的是合规绩效考核,违规追责问责,有威慑力的是举报与调查等。对于所谓指南,手册,反而是一种综合性质的提示类活动,效果都是有限的。
二、合规管理有效的判断标准是什么?
如果不考虑成本和能力,合规管理体系建设到底对企业有什么作用?对国企和对民企分别有哪些作用?这是一个好问题,引发了个人的一些思考。
这个疑问,与“合规管理体系有效性评价”不同,体系评价,包括认证,本身即存在“有效与否”的问题;与“有效合规管理体系建设如何开展”也不同,后者是从咨询者角度,如何落实合规管理体系建设的各要素。
如果不考虑其他因素,单纯思考合规管理对企业的终极价值或最大价值,个人认为,首先应排除防控合规风险。防控合规风险是合规管理建设的直接作用、本来作用。在当前企业可能没有那么多合规风险的情况下,合规管理的价值很显然不能满足于此。
其次,也无法寄予合规不起诉,合规免罚等特别情景下的价值。这种情景发生概率对企业来说,其实并不大,我们看到的都是已发生问题的案例,大量没发生问题的是看不到的。况且,这个价值,最终依赖于司法机关,行政机关的认定。
再次,合规管理的风险管控价值如何?合规管理本质上是风险管控的一部分,风险管控对企业的价值非常高,但其采用方法和具体实施又不同合规管理,或者不限于合规管理,合规管理只是其一小部分,所以寄托于合规管理的扩大风险管理价值,也不现实。
所以,最后,个人提出,我们这么看中合规管理,应该现在在企业整体角度,企业管理层,特别是最高管理者的角度,希望合规管理能做什么?这个价值是合规管理的最终价值。
这个价值,我目前界定为对“企业的规范管理”起重新的奠基作用。企业通过合规管理建设,把公司治理,集团管控,制度管理,流程管理,监督管理,部门考核这几项工作重新以“法治的方式”重新梳理,形成“以规则管理事”,以“文化管理人”的最佳管理模式。
当然,这个价值,依托于现有合规管理手段,显然是不够的。我们必须通过合规管理走向合规内控风险管理一体化。
三、有效合规管理体系的建设过程
1. 业务事项与业务场景(业务流程)的梳理,方法:基于通用经营管理行为库,部门职责,部门流程,部门制度以及公司可能已梳理的业务流程清单。成果物:业务及职能管理流程清单。
2. 基于事项与场景的外部规范与内部规定的适配,方法:基于通用合规要求库和通用内控标准库。成果:合规要求清单(外规与内规)。
3. 对风险进行识别并精确描述出来,存在通用型,具体型,案例型等三种类型的风险,方法:推演,访谈归纳,案例检索。成果物:合规风险识别清单。
4. 对风险进行分析与评价,分析从风险发生概率,风险发生影响程度,风险发生原因三个方面,评价从风险等级排序,风险后果,风险现有控制措施三个方面,目的是为重要风险、重点风险确定依据,方法:主观评价,专家评价,部门确认。成果物:合规风险综合清单。与风险识别清单可合一。
5. 提出风险清单上的风险针对性应对措施。在风险成因分析基础上,从具体职责,制度条款,流程节点等方面配套针对性解决措施。方法:管理控制理论的方法与运用。成果物:合规风险综合清单,合规风险管控改善建议。
6. 从整体建立,优化与提升现有合规管理要素,升级为适宜的合规管理体系性解决,围绕合规管理体系的五大子体系,落实本企业的子体系举措。主要是职责,制度,机制与评价。方法:合规管理体系的方法与运用。成果:合规管理三道防线设置报告,合规管控职责说明,合规管理系列制度,合规管控系列流程。
7. 进一步提高本企业合规管理体系的适用性和有效性。对子体系的表现工具和管理方法,进行设计,制作一些类似指南,清单,手册,报告类的文件。方法:与企业现有管理工具进行适配,找到企业可用的,能用的,不得不用的管理方式,并形成管理系列文档。成果物:合规管理系列指南,合规管理手册,合规审查清单,合规检查清单,合规考核指标产,合规有效性评价表。
作者介绍
陶光辉taoguanghui@deheheng.com
微信:Krokso
北京德和衡律师事务所高级合伙人
合规与企业法治业务中心总监
第四届朝阳律协企业合规建设业务研究会副主任
高级经济师,高级企业合规师,大连大学法学院客座教授,上市公司独立董事资格,北大全球高端法商人才计划未来领袖班授课专家,广州青岛武汉兰州等多地仲裁员,中国人民大学企业法治研究所兼职研究员,青岛仲裁委互联网仲裁院副院长,北京市律师协会企业法律顾问专业委员会副主任,北京朝阳律协企业合规建设研究会副主任
《企业合规管理咨询师能力评价规范》团体标准主要起草人,中国五矿化工进出口商会合规委员会专家委员,中国船级社ISO 37301 合规管理体系内部审核员,BSI基于ISO 37301合规管理体系实务合规师认证,上海企业合规研究中心法律顾问,西藏/宁夏/长春涉案企业合规第三方监督评估机制专业人员名录库入选人员
独著《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)、《合规管理十论》(内部出版)等 ,《以合规管理为核心的企业法治运行》发表于《中国律师》2022年第3期
企业合规管理建设实务【2024升级版】