党建
前言
国有企业合规管理体系建设工作正全面推开,监管部门、企业、中介机构对合规管理体系建设的思想认识、具体方法,尚存在较大差异。合规管理有别于内控、法务管理、风险控制,是具有独立边界的风险管理机制,其兼顾内规风险控制的基础上,侧重识别并控制外规风险。突出外规风险识别与防范,是合规管理的基本方法。实操中,要科学设定岗位合规职责,正确认识岗位合规职责的含义与具体内容;要紧扣流程,建立流程合规审查管控机制,将合规要求嵌入流程;要充分识别内外规合规风险,综合采用“岗位职责+X”合规义务识别法,有效识别主要合规义务,并科学设定合规风险等级。
关键词:企业合规、管理体系、岗位职责、风险识别
2018年国务院国资委出台《中央企业合规管理指引》,对中央企业合规管理提出相对明确的要求,2019年-2022年中央企业陆续开展了合规管理体系搭建。2022年国务院国资委出台《中央企业合规管理办法》,在前期合规管理工作总结的基础上,对央企合规管理工作进行制度细化,各省、地市国资委根据上级主管部门的精神,陆续出台了省属、市属企业合规管理办法。
国有企业合规管理体系建设工作尽管已经在中央和省属企业全面推开,并在市属企业层推进,但对合规管理体系建设的方式方法,不同的承办主体采用了几乎完全不同的方法,工作方法、关注重点、逻辑体系均有较大差别,导致国家层面加强合规的战略目标出现一定的偏移,导致国有企业不能正确选择适用何种方法开展合规管理体系建设。
文章综合了现行国有企业合规管理体系的主要做法,进行深入分析,紧扣中央企业合规管理办法的精神和战略目标,详细分析了国有企业合规管理体系建设的建设要点,以期厘清认识,推进合规管理体系建设能够贴近国企实际,真正发挥促进企业合规经营,员工行为合规,实现企业经营竞争力持续不断提升。
一、合规管理的内涵界定
合规管理、内部控制、法务管理、风险控制是一组常见的企业管理方法,目标是对一定的风险进行管理和控制,实现合规、经营、战略等各种目标的实现,其含义覆盖范围既有重合,亦有明确的区别。
1、合规管理的缘起 首先要认清的概念是风险。风险,是对可能发生不利企业各类目标实现的一种可能性,发生可能性大,风险高;发生的可能性小,风险低。前述四种管理方法,是从四个不同的角度,对风险发生的一种预防和控制。 合规管理,是从符合性层面,要求企业经营和员工行为符合国家法律法规、监管规定、行业和各类组织的规范、公司章程、公司规章制度,甚至是公司对外的承诺,其以预防重大合规风险为目的。我们最早的合规风险,典型的案例如中兴事件,美国对出台到伊朗的美国生产的军民两种零件进行出口管制,并发布了禁令,中兴公司可能存在未遵守该禁令的情形,导致被美国商务部调查,并被采取限制出口措施,最终历时8年并付出了巨额罚金。另有中集集团并购马士基旗下MCI业务,也因为涉嫌并购交易完成会形成垄断经营,而受到美国、德国等反垄断机构审查,导致最终交易失败,付出巨额和解金。再有,中航油公司因擅自扩大经营范围,导致被资本围猎,最终申请破产保护。这些案例对国内企业的合规经营产生了巨大影响,引发对境外投资、出口管制、反垄断等合规问题的高度关注。国务院国资委率先推动央企开始合规管理探索,出台专门文件,从合规管理的组织架构、职能职责、重点领域、重点环节、重点人员,到合规管理的审查、检查、调查,以及合规内审、合规管理评审,作出明确规定,对标GB/T 35770-2022/ISO37301:2021标准。可以看出,我国企业在跨国经营中遇到了重大的风险,导致受到重大的名誉和经济损失,是合规管理工作受到重视、推进的一个重要因素。 2、合规管理在外规风险识别方面比内控更具有优势 内部控制,是一套具有成熟经验、标准规范的控制企业风险的体系,其是以实现企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略为目标。其与合规管理目标相比,内控体系建设亦涉及合规,同时还涉及资产安全、经营管理效率效果等。自2010年财务部、证监会、审计署、银保监会出台的18个企业内部控制应用指引,前述指引率先成为上市公司加强内控体系建设的基础性规范,涉及内控的组织设计、风险识别、体系运行等内容。目前从事企业内控体系建设的主体,集中在会计师事务所和部分咨询公司。不相职务分离控制、授权审批控制、预算控制等内部控制措施,能够有效发挥内部风险控制作用,能够及时控制、减少内部违规风险。内控体系与合规管理体系,在遵守公司内部规章制度层面,具有一定的重合性,但对于涉及法规、监管规定等外规层面,内控体系难以关注,尤其对专项领域的合规管理,因主要涉及的合规义务均为外部法律法规、司法解释等,会计师事务所和咨询机构不具有专业优势。在是否涉及外部违规,则难以发现。如我们常见的增加交易环节实施职务侵占、违法实施劳务外包、垄断经营、甚至违反出口管制政策,则是内控无法解决的问题。 3、合规管理在嵌入业务流程方面覆盖法务管理 法务管理,亦是最为常见的经营风险的一种防范措施。严格而言,法务管理主要是涉及法律事务的合法性审查,最为常见的是公司所涉各类合同的审查,各类争议发生后的法律处置。法务管理,相当于内部的法律顾问,主要是解决法律层面的民事违约、侵权,以及涉及行政违法、刑事违法的咨询处理,其并不是从体系层面解决合规问题,其应对的主要是法律风险。合规风险与法律风险的区别是明显的,合规风险简言之系符合性风险,是否系不符合法律法规、监管规定、制度等而导致受监管或刑事处罚;法律风险,常见的如违约风险。例如公司出租资产,整个出租流程均按规定程序开展项目尽调、价格评估、合同签订、违约催告,但最终承租人因经营困难,无法缴纳租金。前述行为,如果考察合规风险,则主要关注的企业及行为人是否按照规定程序履行出租资产的管理,只要符合规定流程,则合规。对于发生承租人无法缴纳租金,则属于违约风险,即法律风险。可以说,法务管理与合规管理是两个具有比较明确界限的领域,合规管理已经明确介入企业决策、审批、执行、监督的整个流程,将法务管理所涉主要合同领域的风险已做到提前预防和覆盖。按照现行的各层级的国资监管部门发布的企业合规管理办法,均将合同管理作为重点领域,将合同风险纳入合规管理。 4、合规管理是实现全面风险控制的重要内容 全面风险控制,系战略风险、财务风险、市场风险、运营风险、法律风险的综合性风险的统称,涵盖了社会政策变动、经济形势变化、违法违规经营、合同违约等各类风险。例如,产业投资、私募基金投资、收购与并购、业务连锁经营等各类业务活动,既涉及是否符合反垄断法、环保法等规定的合法风险,也涉及是否符合企业内部财务目标实现风险,还涉及是否会有社会政策变化导致经营行为出现亏损等外部无法控制的风险。全面风险控制,一方面是在政策、法律层面可预期进行控制,另一方面是预测经济走势、预测政策走向、预测国内国际形势变化而作出的风险控制,其包含了合规风险、内部控制、法务管理等多领域风险的综合控制。可见,全面风险控制,在实现难度上较大,实现路径上依赖合规管理、内部控制和法务管理、经济社会形势预测判断等。合规管理遵循帕累托原则,在关注企业内规、控制内部常见风险基础上,增加了对外规的关注,并将内规外规要求嵌入合规审查流程,是实现企业风险管理的重要内容。 二、合规管理体系建设的方法论 科学的方法是建设合规管理体系建设的基础。当前,国有企业合规体系建设,由不同领域的专家、专业人士从各自的角度去构建合规管理体系,以自认为准确、正确的方法去设计管理体系,导致做法不一、体系建设成果的千差万别,难以真正实现国有企业合规管理体系的真实目标。 1、以内控体系建设视角构建合规体系,导致合规体系建设等同于内控体系,无法实现合规管理初衷 企业合规管理体系有一套明确的国家标准,等同适用国际标准。但实务中,以会计师事务所为代表的中介机构以18个内控指引作为指导,建立了一套完整的内控体系,冠以合规管理体系之名,完全不能实现合规管理目标。应当认为,内控体系与合规管理体系有一定交叉,即是在合规经营方面的交叉,内控体系也是完全被合规管理体系所覆盖。内控体系所涉合规经营,系以企业内部规章制度为基础,主要是采用不相容职责分离、授权审批等措施,避免出现权力滥用、行为过失导致舞弊、错弊等风险的发生,进而导致公司出现损失或财务报告失真。而合规风险,是全面的符合性风险,即违反了法律法规、监管规定、公司规章制度导致企业出现声誉、财产损失的风险。除了前述的覆盖范围的短缺外,合规管理体系有一套完整的运行机制,主要表现为“三查”,即审查、检查、调查。对企业的业务和职能部门开展的经营管理和业务活动,进行合规审查、对业务和经营管理活动进行文件化信息的检查,发现举报线索开展调查。同时,还可以开展合规内审和管理评审、合规绩效评价等方式进行管控。由于合规管理体系,在考量企业内部规章制度的基础上,还需要审视、分析大量外规(包括但不限于法律法规、部门规章、监管部门文件),以内控体系建设的方式去做合规管理体系,具有先天性不足。 2、以法务管理视角构建企业合规管理体系,导致合规管理基本等同法律顾问服务,不能满足合规管理需要 法律风险防控是企业防控的一个重要方面,也是当前预防企业经营风险的主要方式。无论是外聘律师顾问,还是内部设立法务部门,加强对合约的管理,避免投资经营、并购、各类交易的法律风险,已是一项成熟的法律服务市场。绝大部分律师的主要工作,就是从事法律风险的防范,通过对交易合同的审查、纠纷案件的仲裁诉讼代理,维护企业的合法权益。但我们应当认识到,法务管理与合规管理是两个具有明确界限的风险管理方式。合规管理体系涉及组织体系、制度体系、运行体系、文化体系、考核与评价体系的多重整合,还涉及组织环境的分析,即对相关的合规需求、合规义务的梳理与甄别、合规风险的识别、岗位合规职责的设定、流程管控措施的制定等,远远超过了法务管理的范畴。法务管理的重要工作内容是制度的修订和完善,基于现有合规义务违反所致的法律风险,进行制度的修改。但制度是沉睡的,如果制度不能够有效运行,则导致无法发挥有效的作用。只有将制度运行起来,形成体系的运作,才能实现制度的根本作用。可以说,法务管理活动无法满足合规管理的基本要求。 3、突出外规风险识别与防范是合规管理的基本方法 合规风险是企业经营管理行为和员工行为出现不合规的可能性,而导致的重大声誉、财产损失,以及企业、员工承担民事、行政、刑事责任的风险。建设企业合规管理体系,要充分依据企业现有经营管理流程、现有风险控制(如审计、监察监督、内控机制)方法的基础上,强化突出外规的风险。 合规管理体系,是一项综合组织设计与权责设计、制度配套、运行机制、运行反馈、运行结果评价与运用的综合体系,是一套管理方式,而不是简单的制度的修订。在商业秘密保护合规领域,从合规角度是一个专项合规计划,需要从商业秘密保护的组织环节入手,分析当前商业秘密保护的物理、信息、文件管理的现状,开发存在阻碍商业秘密保护目的实现、发生商业秘密漏洞的各类风险,进行从组织架构(商业秘密保护的责任主体)、制度体系(商业秘密保护的制度)、运行机制(商业秘密保护的检查、监督)、文化体系(宣传保密法和保密要求)考核与评价(商业秘密保护情况的评价)等多重角度,在物理保护措施、信息化保护措施、文件化保护措施,以及员工预防违反商业秘密保护措施的劳动合同、竞业限制协议的签订、保密协议的约定等多层面,构建完整体的商业秘密保护合规体系。而从内控或法务管理层面,囿于会所、律师的专业领域,对同一个企业的商业秘密保护体系的构建,不同专业的领域会呈现完全不同的成果。劳动法专业领域的律师,会以员工劳动合同设计、竞业限制与商业秘密保护协议条款设定等角度,去规范员工行为,以期实现员工维护企业商业秘密;而从专利法专业律师的角度,重点从技术秘密和经营信息秘密的秘点梳理,去查找可能泄密的风险点。无论劳动领域或是专利保护领域,其在整体的体系化构建方面,稍显能力不足,不能够实现商业秘密保护这项管理活动的目标实现。故,应当从体系化层面去分析合规风险,主要是识别外规合规风险,并形成组织、制度、运行、监控、评价等一整套管理机制,实现对专业领域或企业整体的合规风险管理。 三、合规管理体系建设的实操要点 GB/T 35770-2022/ISO37301:2021标准,聚集了国内、国外关于企业合规管理的大量专家、学者的智慧,也集中体现了国内一线在合规管理方面具有丰富经验的理论专家、企业法务专家和精英律师的智慧,应当作为我们开展企业合规管理工作的基准。 国有企业合规管理体系建设的要点,在于组织环境的考核与诊断,核心是企业内部(尤其是主要负责人)对企业合规管理认识、关联方(包括客户、供应商、监管部门、社会组织)对企业合规管理的要求、企业目前的合规管理现状、企业现有合规管理的措施以及企业目前的合规管理风险敞口。制度体系、文化体系、运行体系、绩效与评价体系,也是企业合规管理的重要组成部分,但组织环境的考量,是企业合规管理体系建设的重中之重。现仅就该要点作出论述,并提供方法步骤。 (1) 抓住核心,科学设定岗位合规职责 1、正确认识岗位合规职责的含义 当前存在一个极为严重的误区是岗位合规职责清单的真实含义认识偏差,岗位合规职责清单与岗位职责清单有何区别,认识不清。岗位职责的认定,可以来源于“三定方案”(定人、定岗、定编),也可以企业根据“三定方案”,制作具体的岗位职责清单。岗位职责清单是基于企业现有经营管理业务,明确各领导岗位(主要是决策层、经理层)、各职能部门(主要是办公室、财务部、人力资源部、审计监管等)、各业务部门(主要是生产部、销售部、采购部、研发部、投资部等)的组成人员的岗位职责。 而岗位合规职责清单,是就合规管理的职责,要列名前述人员相应的合规管理职责。职能部门和业务部门是合规管理“三道防线”中的第一道防线,承担主体责任,概言之,控制合规风险的第一道关口就是职能部门和业务部门,即对本部门开展的经营管理活动,首先要承担合规管理责任。 2、岗位合规职责的具体内容 根据中央企业合规管理办法和省市属企业合规管理办法的规定,合规管理职责主要表现为构建本部门的业务合规管理流程与制度,开展本部所涉合规风险的识别并实时更新合规义务和风险库,负责本部的经营管理行为的合规审查,对于出现合规风险事件要求开展或配合开展调查处置并整改。可以看出,岗位合规职责集中表现为合规风险控制的一项管理工作,通过制度合规管理制度、识别本部门的合规风险、开展本部门所涉业务的合规审查、开展或配合开展合规调查,实现对合规工作的管理。那么,岗位合规职责清单包括的内容就必然包括岗位职责、岗位合规管理职责。但如果仅仅是呈现岗位合规管理职责,必然会出现部门岗位人员仍然无法充分了解岗位合规职责具体含义的尴尬局面。企业部门如何去行使岗位合规管理职责,如何履行合规管理职责,亦是不可或缺的问题。如何解决前述问题?我们要继续呈现合规管理的对象,即企业经营行为和员工行为的合规义务,要呈现到岗位合规职责中。 3、有效识别合规义务的方法 合规义务的梳理,有不同的方法。会计师事务所或咨询机构会从企业制度去挖掘企业内部合规义务,即按照企业制度规定,部门对某项业务活动,应当承担何义务,但显然难以兼顾外规,前述已论述,不再赘述。律师事务所从专业角度,去开发合规义务,从国家法律、行政法规、部门规章、国际组织条约、上级行政机关的文件、监管部门的文件、企业章程与规章制度中挖掘。按前述方法,很快发现不具有可行性,因为仅仅国家现有有效法律300余件,行政法规600余件,地方性法规13000余件。从如此浩瀚的文件中去探寻合规义务,如大海捞针。尤其是各个企业千差万别,业务类型、人员结构等各类因素千差万别。那么,我们要寻找一种贴近企业实际的方法去开发合规义务。根据帕累托原则,我们要去寻找重点合规义务,去发掘最接近企业风险的合规义务。要综合采用经验判断法、领导决策法、集体讨论分析法、案件检索法、审计监察建议法等方法,从场景出发,在浩瀚如烟的义务中开发核心的合规义务。例如,人力资源管理领域涉及劳动法、劳动合同法、社会保险法以及各类法律法规和司法解释、判例等,要根据企业实际情况进行识别,如果企业人数较少(如50人以下),则该领域的风险总体可控,那么就要从招聘合规、劳动合同签订与履行合同、劳动合同解除等角度去筛选,员工权利保护、社会保险、童工禁用、妇女权益保护等均不需要特别细化;相反,如果企业属于大型生产企业,则要考虑劳务派遣、员工休假、调岗、调薪、特殊资质许可等全方面识别合规义务。在岗位合规职责清单制定的基础上,要深入到流程。 (2)紧扣流程,建立流程合规审查管控机制 1、企业经营管理活动均具有相应流程 流程是所有业务的过程的记录,任何一项业务,无论是采购、招聘、经理办公会议的召开、投资项目的启动与执行均涉及流程的审查审批。从企业决策层面到管理层,以及到各个部门及其工作人员,综合形成企业的人力架构。所有经营管理活动和员工行为,均是在相应经管活动的流转与权力(审查、审核、监督等)的运行,均可以对应相应的流程。而发生合规风险,往往都可以在流程中发现相应的问题。对于流程的管控,是实现合规风险管理的重要方法。 2、合规要求嵌入流程的方法 合规管理,就是要将合规审查嵌入到流程中。如何梳理流程并制作流程管控清单,要根据企业具体岗位的职责逐一开展。任何一个岗位,都有相应的岗责,在梳理岗位合规职责清单的基础上,以每个岗位职责的履行作为基础,制作流程清单,在流程节点中加入合规审查要求,形成流程管控清单。例如,人力资源部基于新招录两名工作人员,需要为员工配备两台电脑,按公司的流程,由人资部门提起需求,提交至负责办公设备采购的综合部,综合部要提交分管领导审批,审批通过后由综合部负责采购,并完成安装。在此流程中,人资部门发起该采购事项时,应当提供合规审查意见,明确采购需求的原因,由人力资源部门承担该业务的合规管理职责,综合部负责对合规性进一步审查后,提交分管领导审批决策。流程管控的核心是增加一个环节,或者与同一个审查环节合并但增加合规审查内容,对某一项业务活动的合规性进行审查。 3、合规审查嵌入流程是流程管控的关键 根据前述所述的岗位合规职责清单,相应岗位的人员在履行职责时,负有相应的合规审查职责,避免合规审查的风险并依法履职。如前述案例中,综合部负责人负责依法履行采购职能的职责,在收到人力资源部的采购申请后,要按照企业和法律规定的采购规则,进行采购并完成交付安装。按此流程,人力资部门和综合部门的行为所有流程均嵌入了合规审查要求,均符合合规要求。 (3)综合开发,充分识别内外规合规风险 1、识别合规风险常见方法评析 识别合规风险的前提,是识别合规义务,两者相互关联、密不可分。应当从企业的实际出发,从企业的岗位出发识别合规风险。常见的方法有重点领域识别法、关键环节识别法、关键人员识别法等。中央及省市合规管理办法均有明确规定,合规管理可以从重点领域、关键环节、关键人员三个层面展开,那么合规义务亦可从领域、环节、人员去开发。这种观点不具有可操作性,领域具有独立性,但落实时涉及的人员遍布各部门,无法形成统一的合规义务;环节是从流程出发,如果仅从流程去识别合规风险,而每个企业的经营管理活动有大量的流程,则会出现大量流程涉及每个流程有多个风险,导致从流程中去找相应的人员来确定合规风险,难以操作;如果从人员角度去识别,也脱离了经营管理实际,难以确定执行主体。 2、“岗位职责+X”识别法 风险识别清单制作的核心目的,是明示企业行为、员工在履职活动中,可能会存在的风险类型、风险后果,并关注相应的风险防控措施。如果我们在构建合规管理体系时,直接进行合规风险识别,则寸步难行。首先遇到的第一个困难就是从浩瀚如烟的法律法规中去寻找合规义务,而这些合规义务可能与企业经营管理行为关联度极低。而从前述分析的多个分析法,均具有相应的局限性。从岗位合规职责出发,识别了典型、重点的合规义务,以岗位职责清单的合规义务去映射全面的合规义务,则非常可靠、贴近企业合规实际。同时,要注重关键领域、关键环节、关键人员,即“岗位职责+X”识别法,该处“X”即为其他方法,要在岗位职责识别法的基础,综合关键领域、流程、高风险人员,综合运用经验判断、头脑风暴、往年风险事件库等,全面、正确识别企业主要合规义务。 3、合规风险等级设定 在识别出合规义务后,再去评价合规风险,可以采用集体讨论法、案例分析法,也可以采用SOD分析法(severity,风险严重性;occurence,风险发生可能性;detection,风险可能发生的后果)等其他风险评估方法,确认风险的高、中、低等级,并确定相应的防控措施。合规风险等级设定,是整个合规体系建设的一项基础性工作、过程性文件,不属于体系运行机制,其主要目的是提示企业、各岗位人员可能存在的合规风险,为下步完成相关合规管理文件制作、机制运行提供基础。同时,合规风险等级设定后,亦仍然遵循PDCA方法进行更新维护;出现新的风险场景时,可以及时修正完善。
97046009
