企业合规管理的三重价值及其对应形态
企业为什么要投入较大的资源进行合规体系建设?这一直是一个不断有人提出的问题。企业的所有者、管理者或执行者如果没有清晰地看到合规管理体系建设的价值,的确会产生很多疑问。对于国有企业来说,有人认为合规体系建设主要是用来应付监管的指令或要求。这种认识,显然是不充分的和肤浅的。果真如此,不仅会带来国企合规管理体系建设成果浮于“形式”,而且会使得国企丧失一次加强规范管理,建立“责任防火墙”的绝佳机会。企业合规管理,包括国有企业的合规管理,其实存在多重价值。
一
防控合规风险:预防式合规
《中央企业合规管理办法》第三条第三款规定,“本办法所称合规管理,是指企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动”。据此,央国企推动合规体系建设,实施合规管理,其直接目的,就是为了有效防控合规风险。这也是央国企合规管理的首要价值。
防控合规风险,意味着在合规风险事件发生之前,即采取有组织、有计划的管理活动,以避免未来的合规风险实际发生。也就是说,这些管理活动的目的,在于预防合规风险的发生。因此,这种合规体系,也称之为“预防式合规”。
预防式合规,其本质是假设在企业的各业务领域和管理模块中存在各种各样的合规风险,然后对此进行专门的评估,形成风险清单,最后赋予各种措施的管控。可以看出,这种模式下形成的合规管理是企业主动实施的,是假设存在风险而触发的管理活动。所以,预防式合规的重要前提是充分识别和评估企业经营管理中存在的合规风险。在实践中,我们看到的“合规风险清单”、“合规要求清单”等,都源于此需求。
央国企的预防式合规,不表示仅仅是预防合规风险的发生,当然也包括控制合规风险放大或衍生的可能、应对已发生的合规风险事件等。重点是“事前预防”,但也有“事中控制”、“事后应对”。综合起来,才能“有效防控”。当然,作为预防式合规,假设风险存在是企业启动系列管理活动的动因。“无风险,则无管控”。但事实上,鉴于当前“乌卡”时代,风险不处不在、无时不在,风险防控工作必须未雨绸缪。因此,预防式合规是企业合规管理的常态,适用于任何一家企业,特别是能大力投入合规建设资源的央国企。
预防式合规管理所采取的措施(即系列管理活动),是建立在假设企业业务和管理的过程中存在各类合规风险的基础之上的。那么,如何判断这些措施是否有效地防控了风险,实现了管理预期?这构成预防式合规的一个难题。它是预防式合规不受重视,或企业就此原因进行合规建设而动力不足的原因。当前实践中,企业往往通过“合规管理体系有效性评价”这种方式,自行或引入外部第三方对合规管理活动的效果进行评估,以判断所采取的系列合规管理活动是否有效。
二
提升规范管理水平:治理式合规
企业进行合规建设的前提是先识别与评估合规风险,但最后落脚点是实施针对风险的管控措施。这些措施中,最为主要的便是合规管理系列制度。以制度为管控依据,推动(合规)管理体系的运行。这种方式,与企业的制度建设工作,其目的是一致的,都属于企业的规范管理与内部治理范畴。因此,合规管理产生第二重价值,即通过合规管理,提升企业的规范管理水平。这个更高维度的合规建设,也称之为治理式合规。
提升依法合规经营管理水平,是企业的长期需求。与防控合规风险不同的是,对这种需求的满足,其着眼点不在于风险,而是公司内部治理与管理控制的能力。治理式合规与预防式合规,区别是治理式合规更加注重企业的基础能力以及长期发展,预防式合规更加重视企业的当前合规风险以及问题解决。两者可形成补充、有交叉,但不矛盾、也不重复。
治理式合规,与治理合规也不是一回事。治理合规,是指公司法人治理结构、集团管控、授权体系等领域的合规建设。从层级上看,治理合规指企业顶层架构设计首先要合规;然后,从领域看,治理合规与刑事合规、行政合规等属于不同的合规专项领域。治理式合规,是通过合规管理措施的普及、合规意识与理念的灌输,来提升企业的内部治理水平。这种需求,在“企业合规”作为一个专门的管理体系出现之前,其实一直存在于企业内部,只是“合规”作为一个新术语出现后,借用“合规”来进一步促进企业内部治理能力建设。
治理式合规建设的主要内容包括合规管理战略规划设计、合规管理实施方案的编制、企合规内控环境的优化、公司规章制度的完善、业务与合规的平衡准则确定、管理权限与管理责任的分配、合规文化的塑造等。可以看出,这些内容,与企业的制度建设、治理准则、文化建设等企业管理层面的内容,基本是吻合的。从这个维度,合规管理是一种新型的企业治理方式,能够更好的促进企业“规范管理”,提高其“法治”管理的水平。
与预防式合规存在的难题一致,如何判断治理式合规的有效性?当然,首先我们承认管理本身的有效性就是一个难题。如何衡量“管理”是否有效,这是一个不容易回答的问题。治理式合规,其效果可由“规范的管理活动”的专业化、体系化、有序化等体现。实践中,治理式合规的有效评价标准,可尝试通过是否取得“基于ISO 37301或GB/T-34770合规管理体系认证”证书或具备相应的管理程序文件、管理过程等来判断。
三
从合规激励机制中受益:整改式合规
预防式合规和治理式合规,都是企业的“日常态”。除此之外,企业进行合规建设,还有第三种形态,也就是企业处于合规风险事件爆发后,应外部力量要求进行整改的状态。该形态下,企业进行合规管理的动机,是获得外部力量所给予的“激励”或“好处”。这个激励或好处,是企业在该状态下所特别重视的或不得不重视的。它也是企业通过合规建设所带来的另一种价值。这种维度下的合规建设,也称之为整改式合规。
整改式合规,当前主要针对的是所谓涉案企业。根据全国工商联, 最高检等联合颁发的《涉案企业合规建设、评估和审查办法(试行)》的规定,涉案企业是指涉嫌单位犯罪的企业,或者实际控制人、经营管理人员、关键技术人员等涉嫌实施与生产经营活动密切相关犯罪的企业。这种企业合规建设,显然是一种“非常态”。根据前述办法的规定,涉案企业合规建设的主要内容,包括针对与涉嫌犯罪有密切联系的合规风险,制定专项合规整改计划,完善企业治理结构,健全内部规章制度,形成有效合规管理体系等活动。
整改式合规的目标很明确,就是涉案企业通过第三方监督评估组织对涉案企业专项合规整改计划和相关合规管理体系有效性进行的考察,并通过负责办理案件的人民检察院的审核,由此“换取”人民检察院依法作出不批准逮捕、变更强制措施、不起诉的决定,提出从宽处罚的量刑建议,或向有关主管机关提出从宽处罚、处分的检察意见。通俗地说,即换取“合规不起诉”的决定或“从宽量刑”的建议。
因此,“合规不起诉”,是整改式合规的核心价值。这种企业合规管理模式,也称为涉案企业合规。要注意的是,涉案企业合规与刑事合规,严格来说,不能等同。刑事合规,是从违反的合规义务是刑事法律这个角度来说的。从内容上,刑事合规包括刑事预防式合规和刑事整改式合规。刑事整改式合规,即涉案企业合规。当然,整改式合规,也可包括行政整改式合规。
参照合规不起诉的激励机制,企业也可发展出其他类似的“整改式合规”管理模式。例如,企业建立尽职免责合规事项清单。对于具备规定的多项条件,包括没有违反或者规避有关强制性规定,已尽谨慎、注意、审核、合理判断等勤勉尽责义务,严格执行“三重一大”决策程序等等,虽造成了经济损失或其他严重不良后果的行为人,企业内部可在不违反相关责任追究规定的前提下,对其免于追责。这一方面可调动和保护经管管理人员担当作为的积极性、主动性,另一方面,起到一种责任防火墙的作用,做到严管和厚爱结合,激励和约束并重。
四
小结
预防式合规、治理式合规、整改式合规是企业合规管理的三种形态。目前中国企业合规建设,三种形态同时存在,无孰优孰劣的问题。反而是这三种形态的合规建设,有逐渐融合的趋势。央国企的合规管理,可以说是典型的预防式合规与治理式合规的综合。在中国的外资企业,有一部分是以针对风险及问题的预防式合规,另一部分是加强规范管理层面的治理式合规。多数民营企业,是在出现合规风险事件之后,才对合规管理予以重视。要么进入了整改式合规,要么开始逐渐加强治理式合规建设。
由此,央国企的合规管理建设效能,与防控风险与治理提升密切相关。在当前央国企合规管理建设过程中,北京德和衡律师事务所合规与企业法治业务中心陶光辉律师团队认为,必须同时重视以下两个方面,才能真正推动央国企合规管理多重价值的发挥。一是基于业务的合规风险深度识别与评估,以及针对性的管控流程与机制设计;二是基于治理有效性的内部措施完善,以及对于将措施嵌入业务的内控节点与信息化夯实。
具体的体系建设过程、成果清单以及项目实践案例,可与陶律师(微信:krokso)进行一对一交流。