合规管理是一种过程管理,由多个相互依存、相互加强的要素组成。在一个成熟的企业合规管理体系内,我们从表面是看不出这些要素之间的关系的。我们只能看到一个又一个的合规管控行为,如合规审查、举报与调查,合规培训等。但如果站在外部咨询机构来看,在一家企业内新建一套合规管理体系,或者退一步讲,将原来零散的若干合规管理举措重新梳理、补缺、强化,形成一套完整的合规管理体系,我们会看到企业合规管理体系的建设是存在一个相对固定的流程的。这个流程把合规管理的关键要素有序排出,由组织到事务,由业务至管控,一共可分为十个步骤,本文称之为合规管理体系搭建十步法。
01合规组织架构设计
搭建合规管理体系的第一步,首先是保证“有人能够持续的、负责任的来做这件事”。这便是设计合规管理的组织架构以及明确各个组织层级的合规职责。一般来说,合规管理工作之所以在企业内开展起来,都是有一定原因的。在央企、国企内,主要是来自国资委的要求和推动。这个工作的启动,大部分是落在现有的法务部门上面,也有个别是放到原来负责内部控制工作的内控部门或负责全面风险管理工作的审计部门等部门上面。
不管是法务部,还是内控部,亦或审计部,都是合规管理组织架构中最为关键的一环。因为合规管理是一个“法律+管理”的专业工作,需要法律与风险管理专业人士作为主导。合规组织架构中,核心是合规部门,其前身可能是前述转型过来的法务人员、内控人员或审计人员等。唯有先明确合规部及合规人员,合规管理体系搭建工作才算有人具体对接和推动。
在合规部门之上,必须再设置一个能够统筹合规部、业务部门、其他职能部门等的更高层的职位或组织。这个“组织”往往被放在董事会层级,即董事会下设一个专门的“合规委员会”。鉴于合规管理的风险管理属性,合规委员会可以是一个单独的委员会,也可和“风险管理委员会”等合署。合规委员会是企业合规管理体系中最高的权力机构,其最终决定合规工作中的一切重要事项。合规委员会一般吸纳董事会内的1-2位董事参与,也将合规部门的负责人——首席合规官作为委员的成员。
与合规部门并行的是各业务部门、各职能部门,这些部门之前一直存在。在合规管理体系建设过程中,必须明确赋予其在合规管理工作上的职责。例如,合规风险自查工作,必须由业务部门定期执行,并将结果向合规部门报送。
在合规部门内,有必要进一步细分为各个合规岗,如负责反腐败调查的合规经理,负责合规检查的合规主管,负责数据合规的合规专员等。如企业规模足够大,可配置多名合规岗,按照合规领域进行人员分工,将更有利于合规管理整体工作。如企业合规人员人手不足,一人兼任多个合规岗也是一种不得已的选择,但应保证最低人数的合规岗。
合规组织架构应自上而下的设计,从企业最高决策层到企业的业务一线,都应考虑配备合规人员。对各层级的合规组织,包括合规委员会、合规部门、合规岗(专职或兼职的),要有明确的职责设计说明。同时,对于非专门的合规组织,从董事会、监事会、经理层、业务部门、职能部门,下属单位,都应有明确的合规职责说明。
02梳理企业的业务流程
合规管理的对象是企业及其员工的经营管理行为,其实就是指企业的业务。这里的业务包括直接帮助企业创造利润的“经营行为”,如投资、采购、销售、运营等行为;也包括致力于提高前述创造利润行为的效率以及防范其风险的“管控行为”,如人力资源管理、财务管理、风险管理等行为。合规管理本质上是一种风险管理,面向投资、采购、销售等经营行为,同时也面向人力资源、财务、行政后勤等管理行为,甚至是内控、监察等风险管理自身的管理行为。作为风险管理,先要由风险专业人员把“管理对象”摸清楚,即梳理企业的业务。
现代企业的业务,基本上开始以从职能转向流程的方式展开。流程是一系列活动的总称,流程为用户提供某项具体服务或产品。流程具有重复性、目标性和过程性等特点。在流程思维下,原来的投资、采购、销售、运营等职能行为转为投资流程、采购流程、销售流程、运营流程等。这种转化并不是字面上的文字游戏,而是更为反映业务的真实特点。流程其实是客观存在于企业的业务过程之中的,为更有效地提高业务的效率与效益,现代中大型企业的管理全部转向以流程为基础的管理。从而,梳理企业的业务,其实就是分析企业的业务流程。
所有的企业风险,归根结底都是起因于业务行为,也就是来源于某个业务流程的缺陷、缺失或错误。对业务流程进行梳理,是全部的内部控制及风险管理等类似工作的一个共同基础,当然也是合规管理工作的一项基础。梳理企业的业务(流程),之所以是合规管理体系搭建的第二步,其原因也正在于此。无论是后期的识别合规风险,还是管控合规风险,都需要建立在对业务流程的了解之上。
对业务流程的梳理,属于流程管理学领域的知识。如果企业规模小,业务较为简单,其流程梳理自然简单。但如属于集团性质的大型企业,可能有多个业务条线(事业部或下属控参股公司),同时又是集团层面统一的职能管控,那么梳理该类企业的业务流程,对于平时仅熟悉法律的合规或风控等非业务人员来说,可能存在很大的难度。
在这一块,借助于通用的流程框架,可起到事半功倍的效果。一个比较好的参考工具是美国生产力与质量中心( American Productivity and Quality Center,简称APQC)1992年即开发出来并持续更新的流程分类框架(PCF)。最新版PCF将企业的通用(跨行业)业务流程分为13项一级流程,1855项五级流程。基本上所有的企业实际流程,可在这1855项流程中找到。如此,对企业的业务流程梳理工作,就可转变为比照通用业务流程,对本企业的业务流程进行查找、验证、补漏等工作,从而大大提高效率和效益。这也是克服仅由只具备法律知识的人员来推动合规管理工作所隐藏的天然弊端的一剂良方。
03收集企业的合规义务
梳理企业的业务流程,最终目的是为了发现企业潜在的合规风险。但光有对业务的了解并不能自动地知晓企业面临的合规风险,还需要了解法律、法规的规定及其变化。正是这些法律、法规及其变化,作用于企业的业务流程,或业务流程有存在违反这些规定的地方,才产生了合规风险。因此,除了熟悉业务,我们还必须熟悉企业业务流程进行过程中所应遵守的法律、法规及其变化,即还必须收集企业的合规义务,并随时关注其变化。
企业合规义务是企业业务行为的边界,包括法律、法规、监管规定、道德规范、国际规则,他国域外法等。任何企业是处于层层“规”之下的。在法治经济、法治社会下,这些“规”的数量非常庞大,而且错综复杂,甚至“规”自身也不尽完善,并一直处于变化之中。这些特点,带来了识别本企业应适用哪些“规”的难度。故需要专门的法律与合规人员,对“规”进行收集。
收集本企业的主要合规义务,可从两个方面展开。一是从企业的业务流程展开。企业的研发流程,销售流程,营销流程,投资流程,人力资源管理流程,财务税务管理流程等,所各自应遵守的主要法律、法规、监管规定、国际规则等,分别有哪些?最后形成企业的业务常用合规义务清单。这个合规义务清单,以法律条文或法律规则为基本单位。例如,企业在营销环节,要遵守反不正当竞争法规定的禁止混淆、不得商业贿赂、禁止虚假宣传等,以及遵守广告法规定的不得使用“国家级”、“最高级”、“最佳”等用语,不得发布虚假广告等,以及价格法规定的不得有不正当价格行为等。
二是从企业应遵守的部门法归属角度展开。这就是我们常说的合规管理领域,它包括反贿赂反腐败合规义务,反洗钱合规义务,反垄断反不正当竞争合规义务,数据与网络安全合规义务,环境保护合规义务,知识产权合规义务,劳动用工合规义务。当然,这个角度的合规义务,与部门法也不是完全吻合的,但基本上可对应于某个部门法及某个部门法内的某部主要“法律”。
因合规义务数量非常多,我们几乎无法穷尽一次收集完企业应遵守的全部合规义务。即便耗费大量人力物力收集齐全了,我们也无法消化。故合规义务的收集,需要关注与企业业务的关联度。与企业所在行业、所采取的商业模式、所采用的运作流程密切相关的法律、法规,国际规则,特别是行业监管规定,才是重点收集对象。同时,与企业业务流程梳理的方法类似,我们可集专门力量,先建立通用或某行业的合规义务库,为某具体展开合规义务收集工作的企业提供参考,将收集工作变为筛选、增补工作。
04合规风险评估
在熟悉了企业的业务流程和企业应遵守的合规义务之后,接着就进入合规风险评估的阶段。风险评估,一般包括风险识别、风险分析与风险评价三个环节。合规风险的评估,逻辑上与此类似,包括合规风险的识别、合规风险的分析以及合规风险的评价等环节。但合规风险是一种特殊的风险,基于“合规无偏好,违规零容忍”的理念,合规风险评估工作的重点是合规风险的识别环节。对于合规风险的分析与评价,与一般的风险分析与评价,有相当的不一致之处。
识别或发现企业面临的潜在合规风险,在整个合规管理体系建设过程中来说都是很重要的一环。虽然已有企业的业务梳理和合规义务收集作为基础,但合规风险不是必然地就显现出来,它取决于信息的收集和经验的判断。合规风险是实际的业务可能违反合规义务的地方。一是风险只是一种可能性,不同的人员对其是否发生有不同的判断;第二,对实际业务和合规义务都深入了解的部门和人员不多,这造成了合规风险识别的难度。必须采用一定的方法,设计专门的机制方可将合规风险予以发现。这类常用的合规风险识别方法,包括流程推演法、法规倒推法、案例整理法等。可用的机制,包括部门自查、第三方专家提供,通用合规风险库比对等。
全面风险管理体系框架下的风险分析和风险评价,是在识别风险的基础上,对风险的发生原因、发生来源、发生后的影响程度等做定性和定量的分析,并按重要性进行排序和可视化表达,最后得出风险地图。对合规风险的分析,主要集中在对其发生原因和发生来源进行分析。对其发生后的影响程度,似乎无法像一般风险那样进行定量分析,也无法按数值大小进行排序。这与合规风险的性质密切相关。原因即在于前述的“违规零容忍”的说法,我们无法选出哪些是可接受的合规风险,哪些是不可接受的合规风险。理论上,所有的合规风险都是不可接受的。
这一点,与很多合规管理专家的认识是相反的。不少的合规管理专家,把合规风险完全等同于一般风险或其他风险,在对其进行分析时,也是按发生概率与发生后果等进行定量打分之后进行排序,从而形成合规风险地图。整个合规风险地图,也分为三个区域,一个是红色区域,属于严重违规;一个是黄色区域,属于中度违规;另一个是绿色区域,属于轻度违规或可接受违规的。存在可接受的违规行为,这与“违规零容忍”的原则是相冲突的。因此,需要注意合规风险的分析与评价,与一般的风险分析与评价是不相同的。
实践中,为有效利用合规管理建设所投入的资源,又有必要把那些最重要的合规风险优先选出,集中精力去防范。这就是很多企业所明确强调的“合规红线清单”。这些最重要的合规风险,与企业的合规文化宣传是密切相关的。重点宣传合规底线清单,可更好地培养合规意识,提高合规建设工作的投入产出率。当然,合规风险评估的最后成果,应当是形成合规风险信息库、案例库。这与一般的风险评估的成果是类似的。
05发布合规行为准则
与合规风险评估工作同步进行的,是合规行为准则的制定与发布。合规行为准则对于合规管理体系建设来说,有两方面的作用。一个是对外的,表明企业作为一个社会主体,宣传诚信、强调规则、宣传法治,弘扬社会道德。一个是对内的,作为员工手册的一部分,向员工强调企业守法的原则。这两方面,对于强化合规意识,形成合规文化,非常有必要。几乎所有的大型企业、跨国公司都在极力宣传本企业的合规行为准则,有的直接称为诚信手册。很多公司在新建合规管理体系时,往往会设置一个高调的合规行为准则发布会。
合规行为准则的内容,不仅包括对高管和员工的行为的基本准则要求,还可以包括全体员工的合规承诺书,以及对商业伙伴的合规要求。这三方面内容,组成完整的合规行为手册。该手册所包含的内容,可单独制作,也可体现在与商业伙伴的合作协议,员工或商业伙伴的单方承诺函等文件当中。
为便于理解和宣传,合规行为准则可制成图文形式或用一些问答的方式来灵活展现。其具体内容,可围绕企业文化、企业行业惯例等,突出企业在诚信、反腐败、反商业贿赂、反垄断、反不正当竞争、保护知识产权、保护员工劳动权益、保护员工隐私、保护生态环境等方面的承诺和说明。
06拟定合规管理系列制度
合规管理体系作为一种管理体系,其实施最终还是要归于制度。制度的含义很广,企业所提出的所有要求,包括书面的、口头的,都是制度。但这里说的制度,仅是指书面的,正式的,以防控合规风险为目的的企业内部规定。合规管理涉及面很广,管控手段有多种,决定了合规管理制度也是多样的。
合规管理系列制度的第一个层级,就是关于合规管理工作的基本规定,一般称之为“合规管理办法”。“合规管理办法”规定合规管理工作的原则、合规管理的组织与职责、合规管理的重点领域、合规管理体系的运行、合规管理保障等基本内容。“合规管理办法”相当于合规管理的工作总则,是一般性的指导文件,故往往在启动合规管理体系建设工作之前即在企业内颁布。
合规管理系列制度的第二个层级,是关于如何落实合规管理工作的具体实施细则。如合规风险评估实施细则,是关于推动企业内相关部门如何相互配合、相互监督,进行合规风险的识别、分析、评价等工作的规定。具体内容包括合规风险评估的概念、原则、组织实施、评估方法、评估内容以及评估保障等。
类似这方面的实施细则,还可包括合规检查办法、合规审查办法、合规员管理办法、举报与合规调查办法、合规风险预警实施细则、合规绩效考核实施细则、合规培训实施细则、合规报告实施细则、境外合规管理实施细则等规定。这些制度,有的称为“办法”,有的称为“实施细则”,有的还称为“制度“,这没有本质区别。这些办法或细则,与总的“合规管理办法”,形成“1+N”的制度体系,主要解决合规管理怎么做的问题。凡是合规管理体系建设过程中出现的管理操作,均可制定具体的实施细则。
有些合规专家把为落实某一业务领域的合规管控措施而制定的企业规定也纳入合规管理系列制度,如反舞弊反腐败管理办法、商业伙伴合规管理办法等。本文提出,凡是与业务合规管控相关的制度,不管如何称呼,是称“办法”,还是称“细则“,或称”指引“,均纳入“业务合规指引”范畴。合规管理制度仅指与“合规管理本身怎么做“密切相关的内部规定。
07制作业务合规系列指引
业务合规指引,从劳动法的角度,也属于企业合规管理制度的一种。但如前述,本类“指引”,可能也称为“制度“、”办法“等,专指某一个业务领域的合规管控措施,主要解决在某个领域如何合规的问题。
业务合规指引,与合规义务的归纳方法类似,也可按两条线来制定。一是按企业的业务流程制定合规指引。如采购合规管理指引,也可称为“采购合规管理办法”。具体内容可包括采购部门或人员的合规职责、采购活动的禁止性规定、异常情况的报告义务、采购合规尽职调查、采购合规风险评级及其审批程序、采购活动记录规定等。其他类似的合规指引,包括销售合规管理指引、投资合规管理指引、研发合规管理指引、合同合规管理办法、投标合规管理办法、工程建设合规管理办法、商业伙伴合规管理办法等。
第二条线是按合规管理的领域来制定合规指引。如反垄断合规管理指引、反不正当竞争合规管理指引、反洗钱合规指引、反腐败反贿赂合规指引、数据保护与网络安全合规管理指引、劳动用工合规管理指引、安全生产合规管理指引、出口管制与经济制裁合规指引、知识产权保护合规指引、环境保护合规指引等。
业务合规指引是指明企业应当遵守的合规义务,并给出如何不触犯的一些操作形式指南。形式同样可以多样化,以图文方式,以文字方式,以清单方式,均可。在有一些业务领域,如反腐败,甚至可单独制作成一个“反腐败合规手册”,把相关内部全部包含进去。如关于礼品招待的、关于慈善捐赠的、关于商务旅行的,关于销售代理人的,关于合伙伙伴的以及关于海外FCPA反腐败的,等等相关规定,都可放在一起,形成该领域的一套完整手册。不少跨国公司为有效执行美国FCPA法案,正是如此操作的。
08合规管理系列机制设计
合规管理体系的运行,除了要有书面的制度规定以外,当然更需要实际的制度实施或制度所规定的管理举措的运行。这便是合规管理的实施机制,相对于合规管理制度制定以后便是一种静态的书面规定,合规管理机制是一种动态的实际做法。它可以是贯彻制度,也可以是在没有书面制度的情况下而由企业相关部门采取的管理举措。作为新建合规管理体系的流程,进行良好的、适宜的合规管理机制设计,与拟定合规管理书面制度,是同等重要的一步。
其实,合规管理机制大部分在拟定合规管理制度时即已提及。如合规审查,一般会先制定一个合规审查办法,然后依据“合规审查办法”进行合规审查。当然,在没有制定书面的“合规审查办法”的情况下,也可以进行合规审查。类似的合规管理机制包括:合规强制咨询机制、合规联席会议机制、合规检查机制、合规尽职调查机制、合规风险监测与预警机制、合规报告机制、合规问责机制、合规有效性评估机制、合规审计机制等等。这些机制,可以形成一个书面的管理制度,也可以直接用实际的管理行动来付诸实践,还可以用一些工作表单、工作报告的方式来完成合规管理机制的设计。
合规管理机制设计的目的是在于把合规管理制度和业务合规指引的举措落地,将合规风险的发现、预防、控制等责任落实到相关责任人员,并建立起事前、事中、事后多层级的合规风险防范机制。合规管理机制设计,属于管理控制学的范畴,需要结合企业的管理文化、管理机制予以实效化。每一项合规管理机制,不是每一家新建合规管理体系都必须用得到的。一般来说,以少数几个投入少、见效快的合规管理机制作为抓手,是新建合规管理体系快速取得成效的一大经验之谈。
09编辑合规管理手册
在完成合规管理机制设计之后,合规管理体系搭建工作的内核即算完成。为有效地展现合规管理体系建设成果,并能为各业务部门和职能部门以及合规部门自身提供一套方便阅读且易于查询的工具,将之前八个步骤的工作成果有选择地进行汇编,形成合规管理手册,也是一项非常重要的事项。这种表达方式,同样也是内部控制体系建设、全面风险管理体系建设时常用到的。
一份合规管理手册,其实是一个汇编文件。根据已发布合规管理手册的若干企业实例,手册大致的内容包括:手册说明、关键术语和定义、合规管理框架概述、合规管理的组织架构与职责、合规行为准则、合规风险评估、合规管理制度体系、业务合规指引体系、合规运行机制、合规管理保障、合规培训与合规文化等。
不同的企业,对合规管理手册的内容,有不同的取舍。有的希望篇幅长一些,有的希望篇幅短一些。有的希望有更多的业务合规操作方面的内容,有的希望有更多的合规理念和企业文化方面的内容。决定汇编哪些文件在合规管理手册,依企业业务的跨度、企业的管理风格、企业的合规人员的认识等而定。
10进行合规培训
合规管理体系持续良好运行,离不开全体员工的合规意识。合规意识,对大多数人来说,必须不断地提示、提醒,方可养成或提高。合规培训的目标就在于强化员工的合规意识,提高员工的合规能力。员工了解了企业的合规理念、合规价值观、合规目标,才能按照企业的对外承诺,遵守企业制定的合规行为准则。
合规培训有助于帮助企业员工从“要我合规”转向“我要合规”。将合规嵌入自身的一切经营管理行为当中,“自觉”遵守各项合规义务。这种境界,可以覆盖合规行为准则或合规管理手册可能无法对所有的合规义务或风险给出具体的行为指引的地方。在这些“空白”之处,需要员工根据企业的合规价值观,发挥主观能动性,做出符合企业合规要求的判断。
根据总结,合规培训必须常态化、制度化,其内容应当包括以下几个层面。一是要导入企业的合规价值观。合规意识尚未普及,要建立有效的合规管理体系必须先培育合规的理念。二是介绍合规管理的部门职责,解读合规文件。对于合规部门在合规管理工作的定位与价值、合规管理制度与指引,合规运行机制等,全体员工均应熟悉,以便贯彻执行。对于合规承诺、合规行为准则,全体员工更应熟背于心。这些均需要通过培训来落实。三是面向企业中高管,通过培训传授一些法律、法规等合规义务知识,以便在决策时,有能力将合规风险纳入到考量因素中。四是面向企业的合规专业人员,培训一些合规管理技能。例如,对新法律法规是否会影响企业的合规义务,必须要有识别能力。对于合规调查,相关的信息收集、证据固定,包括责任追究等,都需要一定的专业技能。针对不同岗位需要掌握的合规履职技能,必须通过针对性的培训课程来提高或补足。
合规培训,应该纳入部门和员工的绩效考核中。企业应记录部门人员参加合规培训的时间、课程、成绩等培训信息,对培训效果进行打分,作为个人的绩效指标之一,并与职务晋升和薪酬待遇挂钩。
关于合规培训,一个重要的事项就是合规培训的记录应当留存。基于我们前文所述的“合规激励机制”,合规培训记录是企业开展合规管理、履行合规管理义务的重要证明,在企业人员涉嫌违规时,记录可以用于证明企业已向行为人开展了合规培训。在面对司法机构、监管机构提出的“违规”指控时,如合规培训记录证明有效,企业可能只需承担较轻的处罚,有关高管人员则可能达到免除处罚的效果。因此,务必重视留存包括合规培训记录在内的合规管理活动资料。这也是合规管理体系有效性的有力证据之一。
附:新建合规管理体系的搭建步骤
陶光辉,大型企业合规管理体系建设咨询与培训集大成者。
现任职务:北京德和衡律师事务所高级合伙人,北京大学全球高端法商人才计划未来领袖授课专家,大连大学法学院客座教授等。
职业资格:律师,仲裁员,高级经济师,同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。
职业经历:武汉大学法学硕士,前后18年企业法律工作经验。其中,8年企业法务经历,曾任中国100强集团法务总监,获ALB2016中国最佳企业总法律顾问称号;3年法律创业经历,系知名法务教育平台(一法网)的创始人;7年执业律师经历,现任德衡律师集团副总裁。
学术成果:著有《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)、《合规管理十论》(内部出版)。在合规管理体系建设领域,陶律师创建“DHH合规内控风险一体化建设五环模型”。
服务客户:中广核新能源、中国新时代、中国纸业、中交规院、河钢集团、泰康健投、京煤集团、长城汽车、北京供销社、北京昌平国资委、北京建工、北京地铁、上海企业法律顾问协会、上海铁路局、上海杨浦国资委、青岛地铁、青岛港、国网江西电力、桂林交投、深圳投资控股、深圳航空、聊城信发、甘肃地矿、北京大学法学院、中国政法大学网络学院、上海海关学院、北京联合大学法学院等。
如您对企业法务与合规的培训、咨询等感兴趣,可加“一法”官方微信crocso,将有专人为您提供优质服务。
010-57804780