来源:赛尼尔法务智库
公司治理中的合规管理
公司治理解决的问题是如何把股东、董事、监事、高级管理人员、普通员工、监管机构和社会公众等利益相关方的诉求有效地转化为公司的决定和行动,并在这一过程中实现各方利益的平衡。
我国《公司法》对公司组织机构的设置、人员构成、职权和议事规则做出了一些强制性规定。对于上市公司,监管机构出台了大量的与上市公司治理相关的规范性文件。这些规定和文件为公司治理中的合规管理提供了政策和法律依据。
2014年12月,国际标准化组织发布了《ISO19600: 2014合规管理体系指南》,该标准适用于各种类型的组织,为在组织内部建立、发展、实施、评估、保持和提升有效的合规管理体系提供指引。2017年12月,我国国家标准化管理委员会发布了GB/T 35770-2017《合规管理体系指南》国家标准,这部国家标准同样采用了ISO19600标准,为中国企业建立合规管理体系提供了指南。2018年11月2日国务院国资委发布的《中央企业合规管理指引(试行)》中明确了董事会、监事会、经理层等不同层级主体合规管理职责,并要求中央企业设立合规管理委员会,与企业法治建设领导小组或风险控制委员会等合署,承担合规管理的组织领导和统筹协调工作。
合规管理是企业稳健运营、发展壮大的基石。良好的公司治理可以促进企业的股权结构合理化,加强企业的内部控制,降低企业的代理成本,增强企业的核心竞争力,提高企业的经营业绩,实现企业的可持续发展。缺失规范优良的治理规范,企业就将面临效率低、内部控制失效、重大风险持续、发展速度受限等困境。因此,完善治理结构、健全规章制度、加强制度执行力、规避企业面临的法律风险都是企业合规管理的重要内容。
完善公司法人治理结构要求在实行所有权与经营权两权分离的制度安排上,建立起科学的激励和监督机制。只有公司的所有者、经营者、管理者、监督者恪尽职守,又不越位,才能形成良好的运行机制,使企业持续保持活力。为此,需要科学地配置公司的控制权,保证股东会的最终控制权,保证董事会的独立决策权,保证监事会的有效监督权,保证经理自主经营管理的权力。
“法人治理结构”是现代企业制度中最重要的组织架构,是企业经营过程中降低经营风险、提高内控水平的组织保障。建立各自独立、责权分明、相互制衡、相互协调的公司治理机制是现代企业改革之路上一个必经的步骤,且刻不容缓。
股东会对合规风险的防控
(一)实体防范和控制
就股东之间而言,股东和股东会层面风险防范和控制的目标是公允地对待所有股东的股东权利,确保股东按照其对公司的贡献和承担的责任相适应的程度行使权利和履行义务,并且原则上按照出资比例行使表决权和受益权等可以量化的股东权益,同时以确保公司利益和股东整体利益为目标,公允行使知情权、质询权、检查权等非量化权益。股东会层面合规风险防控重点是防范和控制控股股东及实际控制人滥用控制权损害公司及公司其他股东利益,尤其是落实公司对重大关联交易的回避表决机制。
就股东与管理层之间而言,股东和股东会层面风险防范和控制的目标是防范公司出现内部人控制,即防范和控制经营管理层滥用运营控制权,损害股东的利益。合规风险防控重点是落实股东(大)会和董事会的职能,尤其在董事和监事的委派或选举方面,在公司发展战略、经营计划和投资策略方面,在公司经营目标、财务预决算和利润分配方案审批方面,在公司重大事项批准方面,落实股东(大)会的批准权。
(二)程序防范和控制
实体权利的享有和行使以及实体义务的承担和履行都依赖程序保障股东和股东会层面的风险防范和控制的程序措施就是完善和严格履行股东(大)会会议制度,通过会议的提议、召集、通知、举行、审议和表决、做出决议、下发等程序安排,将所有股东的权益和权利落实在每一项具体的行为流程中,以控制公司运营中的合规风险。
董事会、监事会对合规风险的防控
企业会计准则将控制董事会视为控制公司的标志。因此,董事会层面的风险防范和控制是公司战略意义上的风险防范和控制。董事会是企业的经营决策机构,对企业的合规管理承担最终责任。
(一)实体防范和控制
董事会层面风险防范和控制的目标有两个方面,一是延续股东和股东会权利,防范公司出现内部人控制,即防范和控制经营管理层滥用运营控制权,损害股权的利益;二是防范决策失误。防范内部人控制的重点是明确董事会与经营层的分工,落实董事会的职能,尤其在高级管理人员的聘任、职能设置、薪酬待遇、考核、奖惩方面,在公司发展战略和经营计划方面,在公司财务预决算和利润分配方案制订方面,在公司重大事项审批方面,落实董事会的决策权。
为了加强合规在公司治理中的作用,董事会之下可以设置合规委员会,作为董事会下设的专门工作机构,主要负责推进和指导公司合规管理工作。委员会负责人通常由董事会的一名主要成员担任;在首席执行官之下设立首席合规官,由后者领导起一个自上而下的合规管理团队;一旦发现公司存在合规风险,合规部门将会承担报告责任,不仅要向高级管理层进行报告,而且还要向董事会直接报告。公司在各项业务运行、财务管理乃至审计监督等环节,都要接受合规部门的独立审查。
作为公司内部的监督机构,监事会的角色定位就是防止董事会、管理层滥用职权,损害公司和股东利益。监事会的合规管理职能,就是监督董事会和高级管理层合规管理职责的履行情况。
(二)程序防范和控制
董事会、监事会层面的风险防范和控制的程序措施就是完善和严格履行董事会会议制度和监事会会议制度,通过会议的提议、召集、通知、举行、审议和表决、做出决议、下发等程序安排,将董事和监事的职责落实在每一项具体的行为流程当中。
经营层对合规风险的防控
企业日常经营层面的风险防范和控制是企业发展战略执行环节的重要组成部分,经营层面的风险防范和控制措施是完善企业的内部风险控制体系,又称内部控制或内控制度、内控体系。
(一)实体防范和控制
公司经营层即以总经理为首的高级管理团队,统一领导各个层次的经营管理活动。其主要的职能是制定经营目标、方针、战略,制定利润的使用、分配方案,制定、修改和废止重大规章制度,指挥和协调各组织机构的工作和相互关系,确定它们的职责和权限。
作为公司经营管理的执行者,经营层根据岗位分工对公司合规管理负相应管理责任,对公司违规或员工违规给股东造成损失的应承担具体的管理责任。经营层应明确合规管理部门及其组织机构,为其履行职责配备充分和适当的合规管理人员,将责任和权利分配给相关角色,并确保合规管理部门的独立性。
企业合规审计是企业内部审计部门对作为企业内部控制核心内容的企业合规管理的适当性和有效性进行的内部审计。企业合规审计既属于企业内部控制范畴,也是企业合规管理体系的重要的、基本的构成要素。这一点已被有关企业合规管理的国际组织的标准、指南以及我国国家标准、指引和办法所确认。定期对公司的合规管理情况进行独立审计也是企业合规风险管理的最后一道防线。
(二)程序防范和控制
生产经营活动的井然有序依赖管理流程,每一项具体的经营管理活动都必须有明确的作业流程,最简单的如公司印鉴使用流程、公司投资立项流程,等等。企业应建立有效的内部控制评价机制。评价机制的参考标准不仅可为企业自我评估和改进其内部控制提供依据,还可以通过评价机制对整个体系的运作状况进行综合评估,使公司高层管理层找到内部控制的薄弱环节,以采取相应的改进措施,促进体系的不断完善。