大型企业集团合规管理体系建设
陶光辉
/06/15
北京德和衡
当今大型企业集团,尤其是央企、国企,其内部管理,相对成熟和规范,对风险的控制意识比较强,一些合规工作实际上也在实施。但随着国家有关部门要求企业加强“合规管理”,包括“海外合规管理”,部分大型企业集团的“现行合规做法”就显然不够用了。可以说,大多数的大型企业集团,在其内部尚未主动建立起有效的合规管理体系。这与企业对合规管理体系的价值、合规管理体系的组成等认知不足密切相关。大型企业集团要真正建立一套有效的合规管理体系,必须认真思考和回答合规管理体系建设的几个关键问题,即为什么要建立合规管理体系、合规管理体系是由哪些部分组成、构建合规管理体系的步骤是什么,以及合规管理体系建成后的运行机制有哪些等。
01大型企业集团合规管理体系的核心价值
大型企业集团往往员工人数众多,员工素质参差不齐,各类风险层出不穷。在一个拥有10万人,甚至更多人数的集团企业里,作为集团管理层,很难知晓和掌控大多数员工的具体行为,特别是涉及专业领域,涉及他国异地等员工的行为。“将在外,君令有所不受”,这产生了很多的风险。它促使集团公司的管理层必须加强各类风险管控,乃至于“管控”成为他们的日常主要工作。在所有的风险管控中,有一种风险尤为值得注意。这就是合规风险,即因违反法律法规、监管规定、内部规章以及商业道德而引发的风险,特别是违反强制性法律法规的风险。大型企业集团构建合规管理体系的首要原因就是防范企业的合规风险。国务院国资委在年11月印发的《中央企业合规管理指引(试行)》第三条明确规定,本指引所称合规管理是指以“有效防控合规风险”为目的。因此,大型企业集团构建合规管理体系的核心价值,也是首要价值,就是该体系可帮助企业防范合规风险。进言之,就是避免不合规带来的各种损失。
具备成熟管理条件的大型企业集团,历经几十年、十几年的发展,对于各类风险的防控基本上都是有所考虑的。特别是在没有出现一些重大的风险事件时,大型企业集团往往觉得本企业的风险防范工作是“到位”的。很多情况下,再专门建立“一套合规(风险)管理体系”,似乎没有太大必要。殊不知,在当今法律法规变化的速度逐渐加大的背景下,合规管理体系还有一个独特的价值。那就是“合规计划”(合规管理体系)可在企业和其员工之间建立一个“责任防火墙”。这可以说是合规管理作为一种新型的“立法技术”,给企业主体带来的“一根大胡萝卜”。由此,我们说监管者的监管手段更加完善、更加丰富了。建立在类似于“合规不起诉”、“合规免责“等宣传口号的合规计划,即便达不到前述宣传口号的效果,但其作为一种激励机制,对于企业的触动还是非常大的。大型企业集团同样也可因合规激励机制的存在,推动自身建立符合要求的合规管理体系。另外,能享受合规激励机制好处的,不仅是企业自身,当然也包括企业中的大多数其他高管和其他利益相关者。
大型企业集团往往也是声誉卓越的企业,其履行社会责任的决心往往比中小企业大。企业应获取合法的利润,更应只拿合理的利润,应当回报社会和民众等等观念已深入人心。在最佳商业伦理规则下行事,成为大型企业集团的追求。“合规”中的“规“内涵丰富,包括了各项强制性的规定和自愿性的承诺。在某种意义上,合规是公司应当表达出的新的商业道德的基本内容。可以说,“合规”正成为企业的一张新名片。这里的企业,当然包括大型企业集团。与此同时,对企业是否合规的判定,也得到国际标准化组织(ISO)的大力推动,体现为合规管理体系作为一种新的管理体系认证。年4月13日,ISO:《合规管理体系要求及使用指南》国际标准正式发布实施。它修订并代替了之前发布的ISO:《合规管理体系指南》。新的合规管理体系标准可以作为企业符合合规管理体系要求的认证依据。也就是,认证机构可根据ISO:来进行合规管理体系的认证与发证工作。大型企业集团之前获得过诸如ISO等多项管理体系认证证书,当然也会积极获取ISO合规管理体系认证证书。
企业建立合规管理体系的价值是多方面的。不仅是一些外部监管推动或社会认可驱使等因素,还源于企业内部自身的管理需求。防范风险,是首要的。同时,基于合规管理的基本手段是制度设计与建设等原因,规范企业内部管理、提升管理效能也成为大型企业集团进行合规管理的驱动因素。合规管理的起源是合规风险,合规风险主要是因违反法律法规的风险。在企业内颁布的各层面合规制度,实施的各项合规机制,实质是一种降低或规避合规风险的“法治管理”。用“良法善治”的理念,来实施合规管理,正是合规管理价值实现的根本。因此,大型企业集团进行合规管理体系建设,其核心价值也包括合规管理可促进企业规范管理、依法管理。
02
大型企业集团合规管理体系的框架组成
合规管理体系的价值是由合规管理的功能决定的,而合规管理的功能又是由合规管理体系的组成要素共同作用而形成的。那么,大型企业集团的合规管理体系的要素由哪些部分组成?企业合规管理体系的各项要素组合在一起,形成合规管理体系的框架,也被称为企业内部合规结构。它是构建合规管理体系的基础,也是判定合规管理体系是否有效的进一步依据。
通过归纳诸如美国年联邦量刑委员会颁布的《针对机构实体联邦量刑指南》、COSO年11月发布的《合规风险管理:应用COSO——ERM框架》,特别是国资委发布的《中央企业合规管理指引(试行)》、发改委等部门联合发布的《企业境外经营合规管理指引》等合规指南,以及结合部分企业的最佳实践,我们可以得出大型企业集团合规管理体系的五大组成要素(系统)。
组织系统。合规管理体系作为一种管理体系,与质量管理体系、环境管理体系等一样,在企业内部都需要建立专门的管理机构,赋予专项的职责权限。合规管理体系的组织系统包括三部分。一部分是专门的人员,称为“合规专员”。这类人由持有合规师职业资格,具备合规专业知识和技能的人组成,带头人是首席合规官。第二部分是面向高管人员,对包括董事会、经理层人员在内的人员,在其各自岗位职责上明确增加“合规执行”、“合规监督”等合规要求。因为合规只有“自上而下“才能取得良好实效,因此,高管的合规职责是合规组织系统的关键一环。最后一部分,是除了合规部门以外的其他部门,即通常所说的业务部门,他们在”合规遵从“、”合规执行“上的职责,也是组织系统中非常重要的构成。这涉及合规管理的职责分工以及风险三道防线的设计等问题,也是实践中不少企业存在困惑或混淆的地方,需要在完善合规组织系统的时候进一步梳理。
准则系统。组织系统首先解决了人的分工问题,这是各个管理体系普遍都要解决的问题。作为合规管理体系,特别点在于其准则系统。准则,是指由外部的合规义务经过“内化”转为的“内规”。也就是说,合规管理要求企业及其员工遵守“各项规定、规则、规矩”,先要告诉所有员工都有哪些“规定、规则、规矩”。这是员工“守规”的前提。因此,合规管理过程中的有关合规义务清单、合规管理制度、合规行为规范、业务合规指引等,都属于准则系统。类似于国家治理中的“立法”,合规准则系统也包括实体方面的规定或要求,也包括程序方面的规定或要求。大型企业集团制定制度、颁发指引,梳理合规义务等,其实都属于建立和完善合规准则系统的工作。这部分的工作,在新建合规管理体系的过程中所占比重超过了一半,可见准则系统对于合规管理体系建设的重要。
传递系统。准则系统往往是企业内的合规部门在外部咨询机构或律师事务所的帮助下,予以制定和完善的。但是,光有“规定、规则、规矩”这些纸面的要求,肯定是不够的。我们必须把这些为合规人员所熟知的合规准则系统,让全体员工都熟知。当然,这里说的熟知,是指与员工密切相关的行为准则、合规要求,需要员工自己知晓。这就需要有意识建立一个传递系统。传递系统具体包括合规培训、合规文化宣传、合规准则公布、合规承诺签署等。通过这些动作,保证所制定出来的合规准则以及合规准则遵守的程序,被相关岗位上的员工所知晓,从而有利于合规准则系统内的合规要求得到实施。
审监系统。有了准则,有了传递,还需要执行以及对执行的监督。这主要体现为审查与监控机制。审查包括合规审查、合规强制咨询、合规联席会议等机制。监控包括合规检查、合规考核、合规报告、合规风险预警、合规审计等机制。大型企业集团合规管理体系在这部分的表现,最是多样化的。依据业务、管理、认知等因素不同,每个企业在这一块都表现得很不一致。这部分也与合规管理体系能否真正实施,以及实施是否真正有效密切相关。很多质疑企业合规体系的有效性,其实正是质疑这一部分的有效。因为,其他部分,均是“表象化”的,很容易“模仿”。然而,关于审查与监控,是切实需要企业放弃一些业务机会,增加管控节点等与企业追求商业效率与效益目标暂且不一致的行为。这种放弃和增设流程控制,是相当具有挑战性的。这也是很多建立了“有效合规计划“的企业,违法违规行为仍然不断发生的原因。关键是在合规遵照执行方面流于形式,这与内控建设失败案例里的“管理层凌驾”是类似的。
举报系统。历史上一些重大的企业不合规事件,都是由于举报而被发现的。举报是发现内部不合规问题的重要途径。特别是对于监管部门来说,如果没有举报,他们可能很难发现企业内深藏的不合规之举。因此,判断合规管理体系有效性的一个标准往往是看企业内是否设置举报热线,以及是否运行着一套相适应的内部调查程序。内部调查是企业内的“诉讼程序”,可以“承接”外部的刑事或行政调查程序。个别情况下的内部调查虽有涉嫌侵犯个人合法权益之嫌,但实践证明,自身“合规”的内部调查,仍是整个合规管理体系不可缺少的一环。举报与调查,不仅可以处理不合规的情形,更能起到一种“震慑”的作用,将一些“不合规风险之苗头”扼杀于摇篮。因此,在举报系统上,还需要特别设计鼓励举报的机制以及保护举报人不被报复的措施。
上述五大系统是通过归纳多个合规标准的共同特征而总结出来的内部合规结构。可以说他们只是有效合规管理体系的最低要求。实践中的合规管理体系建设,依据企业业务、企业规模等情形不同,会设置一些特殊的要素。如针对第三方商业伙伴的合规管理,与内部控制等工作的区分与衔接等。
03
大型企业集团合规管理体系的构建流程
框架组成是静态的合规管理体系描述。如何从零开始建设合规管理体系,使得企业内部具备上述合格的合规结构,是企业更为
