在现代企业管理中,合规管理被认为是与业务管理、财务管理并驾齐驱的企业管理三大支柱之一。企业合规管理应厘清合规与内控、风控的区别和联系,建立合规管理体系(6要素),并通过3张清单做好合规管理。
2022年10月,国务院国资委发布的《中央企业合规管理办法》、国家市场监督管理总局和国家标准化管理委员会联合发布的《合规管理体系要求及使用指南》正式施行,意味着企业合规管理正式进入规范化阶段。截至目前,最高人民检察院已发布4批20例企业合规典型案例。
随着企业合规进入规范化管理阶段,也意味着过去作为企业管理底线的合规管理,其必要性越来越强,一旦违规或不合规,则可能触发红线警报。
一、合规,不等同于内控和风控
合规、内控和风控是企业运营中非常重要的三个概念,三者相互区别,又相互联系:
部分企业未完全厘清合规、内控和风控的差异,加上三者功能、目的雷同,导致企业未及时整合资源,造成组织重叠、政出多门、编制冗余、运行乏力等不利局面。
因此,企业必须准确把握合规、内控与风控的管理内涵与整体逻辑,以便精准把握和实施。
二、建立合规管理体系的6要素
在中央和地方国资委的大力推动下,多数国有企业在合规管理方面都有一定的基础,大多建立了内控体系、风控体系和法务管理体系,但合规管理的内容大多还只限于某些职能领域或个别业务层面,缺少系统化、体系化的整体规划,流于为经营管理打补丁的尴尬境地,甚至造成合规与经营“两张皮”的现象。
因此,合规管理体系的建设必须全面深入了解企业的实际经营管理情况,因企业而异,设计不同的合规管理体系建设方案。
对于体系相对完善的企业,合规管理需要考虑各体系间的融合;
对于一些新设的企业或者业务领域有特别监管要求的企业,如金融和类金融企业,可以考虑建立完全独立的合规管理体系,单独运行。
企业合规管理体系由合规组织、制度建设、运行机制、合规文化、信息化建设和监督问责六个要素构成。
1.合规组织:搭建基于“三道防线”的合规组织
目前,企业合规工作主要由法务、审计、财务、人事等部门承担,存在管理层级不明确、职责界面不清晰等问题,同时由于人员配置和认知偏差,合规管理效果层层衰减。
《中央企业合规管理办法》明确了合规组织的构成并细化了各层级的工作职责,包括党委(党组)、董事会、企业主要负责人、合规委员会、经理层、业务及职能部门、首席合规官、合规管理部门、纪检监察机构及审计等部门。
同时,应基于合规风险建立“三道防线”,如下所示:
合规组织不仅需要自成体系,而且和企业组织体系紧密相连,将合规管理要求全面渗透到企业的领导机构、管理团队、部门、岗位直至全体员工中。
合规管理主要有三种组织模式:集中化模式、分散化模式和简单模式。
采取哪一种组织模式取决于企业的公司结构、经营规模及业务和产品线的运营管理模式等。无论采取何种模式,都需要充分考虑:
第一,确保合规部门有效、实际地管理合规风险,顺利履行合规职责; 第二,确保合规部门独立地、严肃地开展合规管理;
第三,合规部门与其他相关部门之间的职责分工明确,又相互协调合作;
第四,适当的成本管理,但绝不能因此忽视或者牺牲合规管理。
以中国铁建为例,其合规管理的组织模式采用分散化模式。目前,中国铁建所属46家主要二级单位全部设立合规委员会,任命首席合规官,全系统(含项目部)已任命合规官10650人。首席合规官的变动、专兼职合规官的增减均需报上级单位审批,最大限度地保证队伍的稳定性和人员的专业性。
2.制度建设:构筑“基本制度+专项制度”相结合的合规管理制度体系
合规管理制度体系不是独立于业务管理制度体系之外的,两者要融为一体,在业务管理制度中实现外规内化。
外规内化通常有直接内化法和间接内化法两种方式。
直接内化法指直接将引入外规的部分条款或全部条款作为业务管理制度的内容,对于一些法律条例、部委规章或地方监管规定等外规,当其内容较为详细且指导性较强时,可采用直接内化法完成外规内化,如招投标领域涉及的一些法律条款。
间接内化法指将外规中的一些强制性条款通过适合于自身业务的管理语言体现到制度流程中,同样可以实现合规经营的目的。
为了统筹合规管理工作,合规管理部门也要建立一些必要的合规管理制度,包括企业全员普遍遵守的合规管理基本制度、合规管理具体制度或者专项指南。
一是合规管理基本制度。企业首先应制定全员普遍遵守的《合规行为规范》,作为企业最重要、最基本的合规制度以及其他合规制度的基础和依据,适用于所有部门和员工。其次要制定合规管理的基本制度,明确总体目标、机构职责、运行机制、考核评价、监督问责等内容。在我国企业的实践中,大多通过制定《合规管理办法》或《合规管理手册》作为企业的合规管理基本制度。
二是合规管理专项制度。根据《中央企业合规管理办法》,合规管理部门负责组织起草合规管理具体制度。合规管理具体制度中一个重点就是各领域的专项合规管理制度,企业应针对重点领域(包括但不限于反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等)、合规风险较高的业务以及涉外业务重点领域,制定专项合规管理制度。
3.运行机制:强化“九位一体”的合规管理运行机制
一是合规风险识别评估预警机制。企业应建立合规风险数据库、制定合规风险识别流程和评估标准,同时优化合规风险预警系统、建立合规应急响应机制,以有效预防和控制合规风险的发生,保障企业稳定发展。
二是合规审查机制。合规审查是一种事前审查活动,主要事项包括重大决策事项(如重大项目立项、新业务开发、重大投资项目等)、组织章程及重要规章制度的制定或变更、重要合同及协议的签订或变更等。
企业可以根据审查事项的具体情况及复杂程度,指派内部人员对送审事项展开审查,也可委托外部专家或机构出具独立审查意见。
合规审查可以采取多种方式,例如会议表决、公文流转会签或现场审查等。 三是合规风险应对机制。应遵循如下原则:
第一,目标导向原则,在合规风险应对中应充分考虑合规风险与战略目标之间的相互关系、影响等因素;
第二,融入管理原则,合规风险应对的结果需要反溯管理漏洞,补强管理短板;
第三,审慎应对原则,风险应对的策略和方法不应违反法律的强制性规定以及企业诚信道德规范;
第四,持续改进原则,合规风险应对应根据公司内外部法律环境的变化动态调整。
四是违规问题整改机制。根据检查环节发现的合规问题,合规管理部门要按照公司合规管理要求,组织对管理制度进行修订,健全规章制度、优化业务流程、堵塞管理漏洞,实现合规管理真正意义上的闭环。
五是举报管理机制。明确举报组织设置、举报事项受理范围和举报调查程序等。同时,设立举报平台,公布首席合规官及职责、举报电话、邮箱和信箱等。企业在收到受理职责权限内的举报后,应按照举报调查相关规定开展违规调查,做到有举报必查。
六是违规行为追责问责机制。追责问责应坚持以下原则:客观独立原则、问责与整改相结合原则和分级分层追责原则。
七是合规、法律、内控、风控等协同运作机制。协同管理的实施步骤包括:统一目标、协同组织、风险统一评估、流程协同设计、制度合并汇编、统一考核等。
八是有效性评价机制。主要包括如下环节:组建核验工作小组、制定核验实施方案、设计有效性核验指标、收集审阅文档资料、现场调研与验证、对标与分析、编制有效性核验报告等。
九是考核与评价机制。程序包括:建立合规管理绩效指标、收集合规管理绩效信息、开展合规管理绩效分析和评价、编制合规考核评价报告、考核评价沟通与考核评价结果执行等。
4.合规文化:培育具有企业特色的合规文化
企业合规文化的基本内容包括:
合规理念,如合规从领导做起、全员主动合规、合规创造价值等; 合规价值观,如诚信与正直、诚实守信、依法合规等;
合规行为,如与外部监管部门有效互动、合规培训、制定和发放合规手册、签订合规承诺、合规激励与违规惩处等。
企业如何开展合规文化建设呢? 一是抓住“人”这一核心,牢固树立“人人合规”理念;
二是践行合规行动,领导率先垂范,层层落实“事事合规”; 三是合规教育培训和文化活动要持续强化,促进“时时合规”;
四是加强制度落实和监督检查,实现“处处合规”。
5.信息化建设:建设合规管理信息系统
企业合规管理信息系统与企业运营管理信息系统、内控管理信息系统、财税管理信息系统、采购管理信息系统等一道成为企业管理信息系统的重要组成部分。
企业通过合规管理体系信息化建设,包括合规制度、典型案例、合规培训、违规行为记录等纳入信息系统,合规要求和防控措施嵌入流程,合规管理信息系统与其他信息系统的互联互通、数据共享应用,重点领域、关键节点的实时动态监测等,推动企业管理的全面信息化变革。
6.监督问责:建立企业内部合规问责制
合规管理的监督问责主要分为两类:
一是合规管理不到位引发违规行为,责任主体是企业合规管理主责部门;
二是因故意或者重大过失应当发现而未发现违规问题,或者发现违规问题存在失职渎职行为,责任主体是企业经营管理业务部门。
企业建立有效的内部合规问责制,必须贯彻“合规从高层做起”和“合规人人有责”的合规基本理念,坚持违规必究、奖惩分明,并且注重追究过错与责任相适应、教育与惩戒相结合。
合规问责的主要方式包括:通报批评、诫勉警告、书面检查、停职检查、调离岗位、降级减薪、引咎辞职、免职以及解雇除名等。
合规问责应当以责任体系搭建为起点,以合规事件总结分析进而修正合规管理体系为终点。
三、做好合规管理的3张清单
企业合规管理要扎实做好“三张清单”,即重点岗位职责清单、关键流程管控清单和合规风险清单。
清单一:重点岗位职责清单
不仅要包含首席合规官的具体职责、承担合规管理主体责任的业务部门和职能部门的具体合规职责、合规管理部门所有工作人员的具体职责、企业其他相关部门(如法务、风控、审计等)及工作人员的具体合规职责,也包括企业主要负责人(法治建设第一责任人)合规岗位职责。如下示例:
只有所有岗位的合规职责清晰明确,全面无缝对接,合规管理工作才能高效推进。
清单二:关键流程管控清单
需要根据企业的具体业务和实际运营情况,有针对性地量身定制。
因多数业务人员和一线管理人员制定流程的能力较弱,加之对合规的理解尚不够深入,企业可通过指派专业合规人员或委托第三方机构,支持业务部门及职能部门制定“关键流程管控清单”。如下示例:
清单三:合规风险清单
合规风险清单即“合规风险数据库”。
不仅需要对企业已发生的各项风险及案例进行梳理和总结,对企业所涉及的所有“规”的义务和对应的合规风险进行梳理和总结,还要对企业所在的行业风险进行梳理和归纳。
不仅要对与企业有关的民事风险进行梳理,还要对企业有关的行政风险、刑事风险进行梳理。
不仅要对企业在国内经营的各项风险进行梳理,还要对涉外业务需要关注的风险进行梳理等。
企业可通过建立相关长期工作机制或委托外部专业机构共同制定合规风险清单。如下示例:
结语
合规是企业可持续发展的基石,企业应围绕合规管理六个要素,打造合规管理体系,同时做好“三张清单”,实现对风险的有效应对和管控。可总结为“五个关键”并确保“五个到位”:
综上,企业合规不是一次性就可以完成的事情,它需要企业管理层、全体员工和外部监督管理机构的相互协调与配合,并在实践中不断调整和持续改进。