当今大型企业集团,尤其是央企、国企,其内部管理,相对成熟和规范,对风险的控制意识比较强,一些合规工作实际上也在实施。但随着国家有关部门要求企业加强“合规管理”,包括“海外合规管理”,部分大型企业集团的“现行合规做法”就显然不够用了。可以说,大多数的大型企业集团,在其内部尚未主动建立起有效的合规管理体系。这与企业对合规管理体系的价值、合规管理体系的组成等认知不足密切相关。大型企业集团要真正建立一套有效的合规管理体系,必须认真思考和回答合规管理体系建设的几个关键问题,即为什么要建立合规管理体系、合规管理体系是由哪些部分组成、构建合规管理体系的步骤是什么,以及合规管理体系建成后的运行机制有哪些等。
01 集团公司合规管理体系建设的四重价值
大型企业集团往往员工人数众多,员工素质参差不齐,各类风险层出不穷。在一个拥有10万人,甚至更多人数的集团企业里,作为集团管理层,很难知晓和掌控大多数员工的具体行为,特别是涉及专业领域,涉及他国异地等员工的行为。“将在外,君令有所不受”,这产生了很多的风险。它促使集团公司的管理层必须加强各类风险管控,乃至于“管控”成为他们的日常主要工作。在所有的风险管控中,有一种风险尤为值得注意。这就是合规风险,即因违反法律法规、监管规定、内部规章以及商业道德而引发的风险,特别是违反强制性法律法规的风险。大型企业集团构建合规管理体系的首要原因就是防范企业的合规风险。国务院国资委在2018年11月印发的《中央企业合规管理指引(试行)》第三条明确规定,本指引所称合规管理是指以“有效防控合规风险”为目的。因此,大型企业集团构建合规管理体系的核心价值,也是首要价值,就是该体系可帮助企业防范合规风险。进言之,就是避免不合规带来的各种损失。
具备成熟管理条件的大型企业集团,历经几十年、十几年的发展,对于各类风险的防控基本上都是有所考虑的。特别是在没有出现一些重大的风险事件时,大型企业集团往往觉得本企业的风险防范工作是“到位”的。很多情况下,再专门建立“一套合规(风险)管理体系”,似乎没有太大必要。殊不知,在当今法律法规变化的速度逐渐加大的背景下,合规管理体系还有一个独特的价值。那就是“合规计划”(合规管理体系)可在企业和其员工之间建立一个“责任防火墙”。这可以说是合规管理作为一种新型的“立法技术”,给企业主体带来的“一根大胡萝卜”。由此,我们说监管者的监管手段更加完善、更加丰富了。建立在类似于“合规不起诉”、“合规免责“等宣传口号的合规计划,即便达不到前述宣传口号的效果,但其作为一种激励机制,对于企业的触动还是非常大的。大型企业集团同样也可因合规激励机制的存在,推动自身建立符合要求的合规管理体系。另外,能享受合规激励机制好处的,不仅是企业自身,当然也包括企业中的大多数其他高管和其他利益相关者。
大型企业集团往往也是声誉卓越的企业,其履行社会责任的决心往往比中小企业大。企业应获取合法的利润,更应只拿合理的利润,应当回报社会和民众等等观念已深入人心。在最佳商业伦理规则下行事,成为大型企业集团的追求。“合规”中的“规“内涵丰富,包括了各项强制性的规定和自愿性的承诺。在某种意义上,合规是公司应当表达出的新的商业道德的基本内容。可以说,“合规”正成为企业的一张新名片。这里的企业,当然包括大型企业集团。与此同时,对企业是否合规的判定,也得到国际标准化组织(ISO)的大力推动,体现为合规管理体系作为一种新的管理体系认证。2021年4月13日,ISO 37301:2021《合规管理体系 要求及使用指南》国际标准正式发布实施。它修订并代替了之前发布的ISO19600:2014《合规管理体系 指南》。新的合规管理体系标准可以作为企业符合合规管理体系要求的认证依据。也就是,认证机构可根据ISO 37301: 2021来进行合规管理体系的认证与发证工作。大型企业集团之前获得过诸如ISO9001等多项管理体系认证证书,当然也会积极获取ISO 37301合规管理体系认证证书。
企业建立合规管理体系的价值是多方面的。不仅是一些外部监管推动或社会认可驱使等因素,还源于企业内部自身的管理需求。防范风险,是首要的。同时,基于合规管理的基本手段是制度设计与建设等原因,规范企业内部管理、提升管理效能也成为大型企业集团进行合规管理的驱动因素。合规管理的起源是合规风险,合规风险主要是因违反法律法规的风险。在企业内颁布的各层面合规制度,实施的各项合规机制,实质是一种降低或规避合规风险的“法治管理”。用“良法善治”的理念,来实施合规管理,正是合规管理价值实现的根本。因此,大型企业集团进行合规管理体系建设,其核心价值也包括合规管理可促进企业规范管理、依法管理。
合规管理体系的价值是由合规管理的功能决定的,而合规管理的功能又是由合规管理体系的组成要素共同作用而形成的。那么,大型企业集团的合规管理体系的要素由哪些部分组成?企业合规管理体系的各项要素组合在一起,形成合规管理体系的框架,也被称为企业内部合规结构。它是构建合规管理体系的基础,也是判定合规管理体系是否有效的进一步依据。
通过归纳诸如美国1991年联邦量刑委员会颁布的《针对机构实体联邦量刑指南》、COSO2020年11月发布的《合规风险管理:应用COSO——ERM框架》,特别是国资委发布的《中央企业合规管理指引(试行)》、发改委等部门联合发布的《企业境外经营合规管理指引》等合规指南,以及结合部分企业的最佳实践,我们可以得出大型企业集团合规管理体系的五大组成要素(系统)。
组织系统。合规管理体系作为一种管理体系,与质量管理体系、环境管理体系等一样,在企业内部都需要建立专门的管理机构,赋予专项的职责权限。合规管理体系的组织系统包括三部分。一部分是专门的人员,称为“合规专员”。这类人由持有合规师职业资格,具备合规专业知识和技能的人组成,带头人是首席合规官。第二部分是面向高管人员,对包括董事会、经理层人员在内的人员,在其各自岗位职责上明确增加“合规执行”、“合规监督”等合规要求。因为合规只有“自上而下“才能取得良好实效,因此,高管的合规职责是合规组织系统的关键一环。最后一部分,是除了合规部门以外的其他部门,即通常所说的业务部门,他们在”合规遵从“、”合规执行“上的职责,也是组织系统中非常重要的构成。这涉及合规管理的职责分工以及风险三道防线的设计等问题,也是实践中不少企业存在困惑或混淆的地方,需要在完善合规组织系统的时候进一步梳理。
准则系统。组织系统首先解决了人的分工问题,这是各个管理体系普遍都要解决的问题。作为合规管理体系,特别点在于其准则系统。准则,是指由外部的合规义务经过“内化”转为的“内规”。也就是说,合规管理要求企业及其员工遵守“各项规定、规则、规矩”,先要告诉所有员工都有哪些“规定、规则、规矩”。这是员工“守规”的前提。因此,合规管理过程中的有关合规义务清单、合规管理制度、合规行为规范、业务合规指引等,都属于准则系统。类似于国家治理中的“立法”,合规准则系统也包括实体方面的规定或要求,也包括程序方面的规定或要求。大型企业集团制定制度、颁发指引,梳理合规义务等,其实都属于建立和完善合规准则系统的工作。这部分的工作,在新建合规管理体系的过程中所占比重超过了一半,可见准则系统对于合规管理体系建设的重要。
传递系统。准则系统往往是企业内的合规部门在外部咨询机构或律师事务所的帮助下,予以制定和完善的。但是,光有“规定、规则、规矩”这些纸面的要求,肯定是不够的。我们必须把这些为合规人员所熟知的合规准则系统,让全体员工都熟知。当然,这里说的熟知,是指与员工密切相关的行为准则、合规要求,需要员工自己知晓。这就需要有意识建立一个传递系统。传递系统具体包括合规培训、合规文化宣传、合规准则公布、合规承诺签署等。通过这些动作,保证所制定出来的合规准则以及合规准则遵守的程序,被相关岗位上的员工所知晓,从而有利于合规准则系统内的合规要求得到实施。
审监系统。有了准则,有了传递,还需要执行以及对执行的监督。这主要体现为审查与监控机制。审查包括合规审查、合规强制咨询、合规联席会议等机制。监控包括合规检查、合规考核、合规报告、合规风险预警、合规审计等机制。大型企业集团合规管理体系在这部分的表现,最是多样化的。依据业务、管理、认知等因素不同,每个企业在这一块都表现得很不一致。这部分也与合规管理体系能否真正实施,以及实施是否真正有效密切相关。很多质疑企业合规体系的有效性,其实正是质疑这一部分的有效。因为,其他部分,均是“表象化”的,很容易“模仿”。然而,关于审查与监控,是切实需要企业放弃一些业务机会,增加管控节点等与企业追求商业效率与效益目标暂且不一致的行为。这种放弃和增设流程控制,是相当具有挑战性的。这也是很多建立了“有效合规计划“的企业,违法违规行为仍然不断发生的原因。关键是在合规遵照执行方面流于形式,这与内控建设失败案例里的“管理层凌驾”是类似的。
举报系统。历史上一些重大的企业不合规事件,都是由于举报而被发现的。举报是发现内部不合规问题的重要途径。特别是对于监管部门来说,如果没有举报,他们可能很难发现企业内深藏的不合规之举。因此,判断合规管理体系有效性的一个标准往往是看企业内是否设置举报热线,以及是否运行着一套相适应的内部调查程序。内部调查是企业内的“诉讼程序”,可以“承接”外部的刑事或行政调查程序。个别情况下的内部调查虽有涉嫌侵犯个人合法权益之嫌,但实践证明,自身“合规”的内部调查,仍是整个合规管理体系不可缺少的一环。举报与调查,不仅可以处理不合规的情形,更能起到一种“震慑”的作用,将一些“不合规风险之苗头”扼杀于摇篮。因此,在举报系统上,还需要特别设计鼓励举报的机制以及保护举报人不被报复的措施。
上述五大系统是通过归纳多个合规标准的共同特征而总结出来的内部合规结构。可以说他们只是有效合规管理体系的最低要求。实践中的合规管理体系建设,依据企业业务、企业规模等情形不同,会设置一些特殊的要素。如针对第三方商业伙伴的合规管理,与内部控制等工作的区分与衔接等。
大型企业集团构建合规管理体系往往需要处理几个重要问题,包括合规管理与法务管理、内部控制、全面风险管理的关系,大合规与专项合规的关系,全面合规与刑事合规的关系,集团合规体系与子公司合规体系的关系等。
合规与法务、内控与风险管理的关系,这是大型企业集团构建合规管理体系会遇到的第一个难题。如前述,大型企业集团一定不是从零开始构建合规体系的,从一开始,企业就已有法务、内控、风控等工作体系了。如何区分这几者的关系,又如何将合规体系这个后来的体系“融入”到原有的法务、内控体系之中,这是一个现实的问题。特别是涉及相关部门人员的调配与安置,它有时候成为质疑合规体系是否有必要的一个“杀手锏”。限于文章篇幅,本文不再专门介绍四者的关系与融合,即有人所称的“四位一体化”。这里只提示一个关键点,我们应该站在对风险属性的准确认识和精准界定上来重新认识四者,唯有此,才可消除一些矛盾或令人困惑之处。
大合规与专项合规,包括与刑事合规等的关系,这个问题相对容易理解。这是因为合规的起源本身是来自于各个专项领域的合规,如反商业贿赂合规、反腐败合规、反垄断合规等都是独自出现的。到现在,反商业贿赂合规还被称为狭义合规。历史上,这些独自出现的(不)合规事件,引起了各个领域监督部门或国际组织的关注,纷纷分别推出自己的合规管理指南或法规规定,这造成了“合规万象”。在中国,由于国资委的监管是基于对中央企业、国有企业的全面监管,而非行业或专业监管,因此出现了国有企业合规管理这个特有的现象。对国企进行合规管理的要求,一经提出,便是“全面合规”,即大合规的理念。其他来自各个行业或专业的合规监管,便成为专项合规。如基于市场监督管理局的竞争合规,基于商务部的出口管制合规,基于最高检主推的企业刑事合规等。但不管是大合规,还是专项合规,我们认为其构建有效体系的理念、方法和流程基本是一致的。
对于集团合规体系与子公司合规体系的关系,我们认为可从集团管控、公司治理等方面予以理解。集团作为总部,在对子公司进行管理时,已有一套集团管控的模式。在进行合规管理体系构建时,可基本依附于现行的集团管控模式。如果是集中式的集团管控,那么合规管理体系也应是集中式的。如果是授权式的,那合规管理体系也可是授权式的。总之,合规管理与其他管理是一样的,特别是与法务管理,其管控模式基本是类似的。实践中,一些集团公司先行构建总部的合规管理体系,然后再由各子公司、各业务板块公司自行构建自身的合规管理体系,这个做法是无对错之分的。关键是看其其他领域的管控模式,这个要相一致。但不管怎样,不管集中,还是授权,对于合规相对独立性原理,是不能被破坏的。这是把握集团合规体系与子公司合规体系关系的关键。
陶光辉,大型企业合规管理体系建设咨询与培训集大成者。
法律合规大风控管理体系构建暨法务合规内控风险一体化管理高级研修班
第一天上午:法律合规大风险管理体系构建及一体化管理的基础:思维方式与各自侧重
第一天下午:法务管理的最佳运作与合规管理体系建设流程:基于效率与底线管理
第二天上午:内控框架的搭建与全面风险管理体系建设:相互制衡与风险能力
5.全面风险管理体系建设的逻辑与流程:从顶层设计到岗位管控
第二天下午:法律合规大风险管理体系构建及一体化管理的路径:高阶架构与风险三重防范
6.风险管理工作的最终价值观:效率、合规与风控并行
3. 获得与优秀同行进行线下交流、专业探讨的机会。
5800元/位(含资料费、场地费、授课费、午餐费等,不含差旅住宿费)
课程讲师
现任职务:北京德和衡律师事务所高级合伙人,北京大学全球高端法商人才计划未来领袖授课专家,大连大学法学院客座教授等。
职业资格:律师,仲裁员,高级经济师,同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。
职业经历:武汉大学法学硕士,前后18年企业法律工作经验。其中,8年企业法务经历,曾任中国100强集团法务总监,获ALB2016中国最佳企业总法律顾问称号;3年法律创业经历,系知名法务教育平台(一法网)的创始人;7年执业律师经历,现任德衡律师集团副总裁。
学术成果:著有《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)、《合规管理十论》(内部出版)。在合规管理体系建设领域,陶律师创建“DHH合规内控风险一体化建设五环模型”。
服务客户:中广核新能源、中国新时代、中国兵器、中国纸业、中交规院、河钢集团、泰康健投、京煤集团、长城汽车、北京供销社、北京昌平国资委、北京建工、北京地铁、上海企业法律顾问协会、潍柴集团、华为、中兴通讯、上海铁路局、上海杨浦国资委、青岛地铁、青岛港、银川建发、华润集团、国网江西电力、桂林交投、深圳投资控股、深圳航空、聊城信发、甘肃地矿、北京大学法学院、中国政法大学网络学院、上海海关学院、北京联合大学法学院等。