浅析构建合规与内控、风险及法务一体化全面风险管理体系
录入编辑:襄策合规 | 发布时间:2022-10-10浅析构建合规与内控、风险及法务一体化全面风险管理体系
[ 郑楚新 ]
【摘要】近年来随着中国企业在世界范围内若干重大合规事件的发生,以及中国政府层面相继颁布央企合规指引及企业境外经营合规指引等文件,合规已经成为中国企业必须要考虑的一个重要问题。但对于合规的一些基本问题,包括概念、起源、范围,以及合规与内控、风险及法务的关系和如何建立健全有效的合规管理体系等,在实务中并没有一个统一的标准。据此,企业应当如何建立健全合规与内控、风险及法务一体化全面风险管理体系的构成,以及合规、内控、风险及法务管理四者的关系,针对四位一体化全面风险管理体系的初步构建并在实务中结合实际不断发展与优化,使合规与内控、风险及法务管理一体化可以充分全面控制企业的风险,从而减少或者降低企业的风险,确保企业稳健经营。本文从合规管理实务的起源入手,对合规的一些基本问题进行研究探讨,并对中国企业建立有效的合规管理体系进行分析研究,本文认为中国企业的合规管理体系建设首先应结合企业自身特点和实际经营情况而制定,不能一概而论。
前 言
2018年6月,中兴通讯因违反美国出口管制法律而与美国政府刚达成和解协议,2018年10月,华为CFO就因涉嫌违反美国出口管制法律而在加拿大国籍机场被逮捕,经过一段时间的辩护维权措施,才得以从加拿大刑事司法程序中释放回国,2019年4月,香港民政局前局长因违反美国《反海外腐败法》(FCPA)被美国联邦法院判处有期徒刑3年,罚金40万。实际上,根据美国司法部公开的案例,仅从2016年1月至2019年1月,因违反美国出口管制法律而被起诉的全球63家企业中,就有25家中国企业和个人,已经超过1/3,在世界银行公布的处罚名单中,中国企业从几年前的屈指可数到目前已经累计至数百家因违反世行规则而先后受到制裁,其中很多涉及建筑行业,且多系在参与世行项目过程中“欺诈”所致。据此,在全球经济一体化的大环境下,以及中国一带一路的倡议和践行过程中,中国企业建立有效的合规管理体系,已经迫在眉睫。
与此相适应,从2018年11月启动合规新标准的制定工作以来,历时3年多,五个阶段,2021年4月13日企业合规领域国际层面的重磅标准——ISO 37301:2021《合规管理体系要求及使用指南》(Compliance management systems —Requirements with guidance for use)正式发布实施,从2016年开始已有五家央企试点建立合规体系,以及后续逐渐出现各专业律师事务所机构亦都重视对企业合规管理体系制度的建设,但实际运行效果如何尚不得而知。然而,随着国际社会对中国企业因重大违规事件进行处罚而引发的中国企业对合规的关注,以及中国政府及司法机关层面对合规的高度重视,可以预见包括央企在内的不同级别的国企以及民企将在接下来的时间会意识到合规的重要性,从而期望可以建立一部有效并可执行的合规管理体系制度。因此,如何建立有效的合规管理体系制度,将是中国企业接下来很长一段时间内将要面对的一个重要问题。
一、合规管理的概念
根据《中央企业合规管理指引(试行)》所称合规管理,是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
在欧美国家早期的合规概念主要集中于诚信经营及反商业贿赂领域。比如美国的《反海外腐败法》(FCPA法案),自1977年立法至今已有四十多年,美国很多公司合规部门主要的职责就是确保公司经营符合FCPA的要求,而对于FCPA而言,其核心的内容就是禁止以贿赂的方法获取或保留业务。在欧美的世界500强公司中,虽然有些仅设法务部,合规部隶属于法务部,是法务部门的一个内设机构,但在很多公司中,合规部门却是一个独立于法务的部门,而且合规部门的工作仍以反商业贿赂为主,以其他领域的合规工作为辅,包括但不限于反垄断、劳动用工、个人隐私和数据保护及出口管制等。这一点也体现在欧美国家的执法部门,经常引人注目的合规案件,大部分仍然集中在反商业贿赂领域。美国的两大执法机构证券交易委员会(SEC)和司法部(DOJ)不定期颁布的FCPA案件,依然被各大欧美公司合规部门密切关注和经常引用,并作为企业日常合规工作的重要官方参考和指引。
在中国涉外律师早期的合规业务中,基本来源于美国在华企业违反美国的FCPA法。因此,在涉外律师早先的概念中,合规基本上指的是要合乎美国FCPA法案要求的反贿赂条款和会计条款。当然,对于其他方面的合规,比如反垄断、反洗钱、劳动、税务、海关进出口以及出口管制等,也会涉及,但在涉外律师早期的合规业务中,反商业贿赂曾一度占据主要地位。而一些全球组织,比如经济合作与发展组织(OECD)、世界银行等,对于合规的定义,也主要在诚信经营和反商业贿赂等方面。但随着时代的发展,合规的概念和范围也在不断延伸和优化。比如随着互联网的普及以及智能化软件、工具和科技越来越多的使用,个人隐私和数据保护合规,最近几年发展迅速,成为合规领域一个越来越重要的分支。再如,随着中兴通讯和华为事件的发生,中国企业也越来越关注美国出口管制领域的合规。
在中国,尤其是伴随着《中央企业合规管理指引(试行)》和《企业境外经营合规管理指引》的颁布,以及最近于2021年4月13日发布的企业合规领域国际层面的标准——ISO 37301:2021《合规管理体系要求及使用指南》,在中国企业的概念中,合规更多指的是全面合规、整体合规,即全方位、各环节、各领域都要合规,包括但不限于反商业贿赂、反洗钱、反垄断、知识产权、出口管制与海关、个人隐私与数据保护、税务、环境保护及劳动用工等。但实际上,如果说合规与其他法律问题有何本质区别的话,那么合规关注更多的是因政府的行政监管或司法机关的刑事追责而可能引起的重大法律风险。如果只是一般的民事法律责任,通常并不需要纳入合规管理体系,比如民法概念中的违约责任或侵权责任等。
从具体的概念层面来看,通常理解合规指的是遵守国家法律、法规及政策,以及国际法中国际条约、国际惯例、行业规范,包括企业内部规章制度等。但对于每一个具体的企业及其员工来讲,合规指的就是遵守企业内部的规章制度,而企业内部的规章制度同时也是来源于国家的法律、法规及政策,以及国际法中国际惯例和国际条约、行业规范等各个不同级别的强制性法律规范,如果企业内部的规章制度没有规定的,才需要到外部的强制性法律规范条文中去寻找行为依据,甚至是更高的道德层面的要求,比如诚信原则。
因此,对于合规的概念,由于合规在中国才刚刚起步,对于中国企业而言,目前会更加关注合规体系制度的建设,而且刚开始,企业通常期望建立全面合规、整体合规,即全方位、各环节、各领域的内部规章制度,且是有效可以执行的一部合规管理体系制度。在建章立制后,企业会自然更加关注合规制度实际运行的效果问题以及树立正确的合规管理理念和文化的问题。与此同时,合规本身也会随着企业的发展变化并不断延伸和优化。即将遵循ISO 37301:2021《合规管理体系要求及使用指南》的标准,其中最重要的优势就是它的整体方法标准将遵循连续提升的模型,即:开发-实施-评价-保持(这就是所谓的“PDCA 循环”——计划、执行、核查、行动——由质量管理开始)。
二、合规、内控、风险、法务的起源
1、合规起源于2017年的中兴事件,通过该事件,使国内企业进一步意识到合规管理的重要性。企业不能为追求短期目标而急功近利,不能因不当商业行为,片面追求收益而不讲条件、范围,认为风险越大、收益越高的观念和做法。同时,也要防止单纯为规避风险而放弃发展机遇。因此,构建合规管理体系,进一步规范企业营商行为,势在必行。
2、内控起源于中国内控体系建设和强化开始于2008年,财政部联合证监会、银监会、保监会、审计署发布了《企业内部控制基本规范》,此规范开启了中国内控体系建设的大幕。与美国不同的是,国内的内控体系目标定位不仅限于财务目标控制,也包括业务目标的控制。国内企业据此构建内控体系,既提升了管理的精细化程度,也为国内企业赴海外上市强化了基础。
3、风险起源于2006年,国务院国资委发布了《中央企业全面风险管理指引》,国企纷纷开始构建风险管理体系。央企投资项目动辄几亿、几十亿资金,而资金的回笼时间较长,中间存在很多不确定性,这些不确定性就是企业需要管理的风险,对此,需要一套科学的系统对这些不确定性进行预测、评估、提出对策,以保证企业的经营目标实现。
4、法务起源于1842年美孚石油公司成立了全球第一家企业法律部门,1981年中国机械进出口、武钢等设立了法律部门。1997年国家经贸委颁布的《企业法律顾问管理办法》,标志着中国企业法律顾问机制的确立。其后,大型企业专设的法律事务部,逐渐成为企业重要的职能部门。2015年国资委发布《关于全面推进法治央企建设的意见》后,依法治企便成为依法治国战略的重要内容,企业法务从审合同、处理诉讼案件的专项法律事务进入到控风险、当参谋的企业管理,其责任和重要性进一步得到了彰显。
三、合规与内控、风险及法务管理的关系
合规与内控、风险及法务管理,都是为了预防、减少公司风险。但四者之间,既有联系,也有区别。
1、合规与内控的联系与区别
首先,内控与合规有明显的区别。比如,内控主要关注企业的财务问题或现金流向等问题。从制度层面来讲,内控通常会关注与财务相关的规章制度等问题,而合规则更关注根本性的、关系公司全局性的问题。如果从一个更高层面来讲,内控仅关注制度,而合规是一个公司全局性的完善的体系,涉及公司内部规章制度、公司管理层态度、沟通与交流、培训、不断持续改进、调查、惩戒等,合规最终的目标是确保公司的各项运营,不但符合法律法规和公司内部规章制度,以避免行政处罚或刑事处罚所带来的风险,而且最终是期望建立一个合法合规的公司理念与文化。从这个角度看,内控只是合规体系的一部分。
其次,这两个部门之间也有很紧密的联系。比如目标都是一样的,都期望帮助公司做好预防工作,将风险防患于未然,而且在做合规审计和持续改进时,合规部门通常会邀请内控部门一起组成工作组,进行合规审计,撰写合规审计报告,并就审计中发现的问题,提出改进意见,以做到持续改进等。
2、合规与风险控制的联系与区别
对于企业而言,风险是各种各样的,按照不同标准划分也可以分成不同的风险,比如按照是否与法律直接相关,就可以简单分为商业风险和法律风险。早在2006年国务院国资委颁布的《中央企业全面风险管理指引》第三条就指出,企业风险是未来的不确定性对企业经营可能产生的各方面的影响,包括战略风险、财务风险、市场风险、运营风险、法律风险等。因此,只要是为控制企业风险而采取的各种措施都可以纳入风险控制体系。而合规风险则是企业整个风险中的一部分,而且通常是法律风险中最重要的一些风险,即与行政监管和刑事司法有关的、容易引起企业生死存亡的重大法律风险,所以现在世界各国普遍把合规风险单独列出来做为一类风险并提倡建立相应的合规管理体系。国务院国资委在出台央企风险管理指引多年后,又在2018年出台央企合规管理指引,或许正是基于这种考虑。
3、合规与法务管理的联系与区别
首先,法务和合规工作范围有明显区别。在公司里,有一些工作明显属于法务部门,比如审核合同、修改合同,投资并购,诉讼,包括债务纠纷、劳动纠纷、产品责任纠纷、知识产权申请、维护及知识产权诉讼等。而有些看似与法务相关的法律工作,则明显属于合规部门,比如对第三方管理、捐赠与礼物、与政府官员交往,内部违规的调查以及审计等。此外,如果是因政府行政监管或司法机关刑事追责有关的事务,包括接受行政监管部门的调查、处理或司法机关的侦查、刑事处罚等,一般也会归属到合规部门职责范围。
其次,从组织结构来讲,欧美很多公司都会设置合规委员会,并定期向董事会报告。然而一般情况下,对于法务部门,则几乎没有就法律问题会成立类似的公司层面的工作委员会。
最后,二者也有很多联系,工作上也有很多需要相互配合。比如合规也会审核合同,但它更多的会看一些法务部门审核以外的法律问题,比如反商业贿赂条款,价格或支付的对价是否符合公允的市场价,是否有垄断嫌疑,交易主体是否曾有不合规历史等。有些则以法务为主,合规部门为辅。比如,跨国公司大型并购,通常是由法务领衔,从一开始的项目论证,到对目标公司的尽调、谈判、起草文件,以及最后到相关政府部门办理股权变更等。而合规则只是整个项目的一部分,比如合规会关注目标公司经营过程中的重大合规问题,比如是否有商业贿赂,经营模式是否有刑事风险,是否有逃税,公司员工社保是否缴纳等。但有些事务也会由合规主导,法务配合。比如对于违规事件的合规调查或审计中,在合规部门主导调查或审计时,也需要法务提供法律意见,以确定违规事件的严重性。
因此,合规与内控、风险及法务管理的关系有其共通之处,如四者都是以风险管理为对象,以法律作为基础。
四、合规、内控、风险、法务一体化全面风险管理体系的构建
中国企业的合规体系建设体系化或者单独的作为一个概念提出来虽然较晚,但并非没有做过与合规相关的工作。比如银行业的合规指引很早就已出台,央企的风险控制指引也很早就出台。但这也恰巧说明风控和合规还是有区别,因为在经历风控之后,现在政府层面仍然提出了合规指引。因此,提倡建立独立的、体系化的合规体系仍有必要。
然而,说到合规体系建设,目前国内企业对外部律师提出这个要求时,往往认为外部律师只要帮助企业建立一套规章制度就算合规体系建设完成。但实际上合规体系的建立,是一个系统工程。完善的企业制度固然是合规体系建设中极其重要也是非常基础的一部分,但这也只是其中一部分。制度建立以后,比制度更重要的是有效地运行、持续改进以及合规理念、文化的建立等。
(一)“四位一体化”全面风险管理体系制度
1、合规风险
根据《中央企业合规管理指引(试行)》所称合规,是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。
所称合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。
所称合规管理,是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
建立合规制度是有效合规体系最重要的基础。而建立制度的前提,就是要全面、准确识别企业自身的风险。关于合规风险,依据企业所属的行业(比如医疗、银行金融、建筑)、类型(生产、贸易等)及企业经营所在的国别等各种因素,每个企业的合规风险就不同。这就决定了在建立或完善制度时,首先需要清楚地识别企业自身的合规风险,才能有针对性地建立不同的内部规章制度。
比如,金融行业和生产型企业合规要求就会差异很大。此外,并不是每家企业都需要关注美国的出口管制规定,因为并不是每家企业都从美国进口零部件。也不是美国企业都需要去了解美国的FCPA法案,因为不是每家企业都会在美国有经营或者与美国有关联。再如,不是每家企业都需要关注世界银行的合规诚信指南,因为不是每家企业都会参与世行项目。
2、合规制度
根据《中央企业合规管理指引(试行)》的规定,加快建立健全合规管理体系应当遵循以下原则:
(一)全面覆盖。坚持将合规要求覆盖各业务领域、各部门、各级子企业和分支机构、全体员工,贯穿决策、执行、监督全流程;
(二)强化责任。把加强合规管理作为企业主要负责人履行推进法治建设第一责任人职责的重要内容。建立全员合规责任制,明确管理人员和各岗位员工的合规责任并督促有效落实;
(三)协同联动。推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接,确保合规管理体系有效运行;
(四)客观独立。严格依照法律法规等规定对企业和员工行为进行客观评价和处理。合规管理牵头部门独立履行职责,不受其他部门和人员的干涉。
通过五家试点央企公开披露的信息可以看到,在合规体系建设中,一般都在企业颁布合规管理规定或合规手册。这个可以视为是整个合规制度中的重中之重。在这个总则性的文件中,它是纲领性文件。首先它通常都会在引言部分阐明合规的意义和重要性。其次,会将企业认为最重要的问题,以列举的方式一一列出,比如不得以贿赂的方式开展业务,不得性骚扰,反垄断,不得内幕交易,遵守劳动法等等。
在这个纲领性文件之下,则有一系列配套文件,比如第三方管理,捐赠与礼品等。至于具体实施性文件,五家央企均未对外公布。但如果是健全的,应当会涉及合规管理的方方面面,比如合规体系中共同的部分,合规组织架构,包括部门成员、职责等,合规委员会议事规则,合规激励与奖惩,违规事件报告与调查,合规培训,合规审计与持续改进,然后也会有各个法律领域的规章制度,比如反商业贿赂领域的捐赠与礼品制度,对第三方管理制度等。如上所述,因为每个企业的合规风险都不一样,所以每家企业的制度也不会一样,而且不可能一劳永逸。
对于集团性质的企业,在帮助总部建立合规体系后,还要考虑个子公司和分支机构的特点,具体制定切实可行的制度、组织架构和运营方式。对于有境外业务的走出去的企业,则还需要考虑企业经营所在国的不同国别合规风险。
3、合规组织架构
在合规体系的有效运行中,合规部门的设立和组织架构是很重要的一个环节。按照国务院国资委现行颁布的《中央企业合规管理指引(试行)》第十条:“法律事务机构或其他相关机构为合规管理牵头部门”。这种设置并不是说一定不合适。但这是否会影响合规部门的独立性、自主性?比如,涉及公司高管的违规问题,合规部门去调查,是否有足够的权威性和足够的独立性?在欧美国家很多公司中,为保障合规部门能够有效地履行职责,虽然在部门设置上和其他部门都是平行的,但合规部门通常是独立的部门,享有极高的自主性,实际上也享有很高的地位,因为首席合规官可以展开独立调查,可以向董事会和CEO直接汇报。
这次中兴通讯也是个值得关注的例子。之前它也有自己的法务合规部。但从最后事件的发生来看,它的合规部门可能在事发当时就很难做到独立,因为在经营过程中虽明知违反美国出口管制法律,但并没有制止。甚至在2012年左右发生过一次违规事件后,仍然发生公司管理层伪造相关文件,以应付美国调查,但最终还是被美国相关部门在机场当场查出文件,被证明违反了美国的出口管制法律。而中兴通讯的产品很大程度上仍依赖于美国,因此它最终不得不接受了美国政府的安排。最后在合规部门的安排上,中兴通讯接受了美国执法部门直接指派的一位美国律师过来担任中兴通讯的合规官。虽然我们无从知晓合规官具体职责及效果,但从它的设置程序来看,它现在是独立的,且有权向美国相关执法部门直接汇报。
3、合规运行
按照《中央企业合规管理指引(试行)》的规定,企业应当建立健全合规管理制度,制定全员普遍遵守的合规行为规范,并对重点领域制定专项合规管理建立有效的运行制度,并根据法律法规变化和监管动态,及时将外部有关合规要求转化为内部规章制度,加强对以下重点领域的合规管理:
(一)市场交易。完善交易管理制度,严格履行决策批准程序,建立健全自律诚信体系,突出反商业贿赂、反垄断、反不正当竞争,规范资产交易、招投标等活动;
(二)安全环保。严格执行国家安全生产、环境保护法律法规,完善企业生产规范和安全环保制度,加强监督检查,及时发现并整改违规问题;
(三)产品质量。完善质量体系,加强过程控制,严把各环节质量关,提供优质产品和服务;
(四)劳动用工。严格遵守劳动法律法规,健全完善劳动合同管理制度,规范劳动合同签订、履行、变更和解除,切实维护劳动者合法权益;
(五)财务税收。健全完善财务内部控制体系,严格执行财务事项操作和审批流程,严守财经纪律,强化依法纳税意识,严格遵守税收法律政策;
( 六)知识产权。及时申请注册知识产权成果,规范实施许可和转让,加强对商业秘密和商标的保护,依法规范使用他人知识产权,防止侵权行为;
(七)商业伙伴。对重要商业伙伴开展合规调查,通过签订合规协议、要求作出合规承诺等方式促进商业伙伴行为合规。
关于有制度而运行出问题的,这方面的例子并不少。2013年发生在中国的葛兰素史克(GSK)案是近年来发生的一个有合规制度却并无有效运行机制的典型案例。GSK作为一家在制药领域处于世界领先地位的全球性企业,它的合规制度不可谓不完善。然而,2013年5月份该公司却爆发丑闻,该公司四位核心高管,包括总经理、人事总监、市场总监及法务总监,均被逮捕并最终均被判处刑罚。作为一家世界500强企业之一,而且是研制开发制药企业协会(RDPAC)会员单位之一,它的内部规章制度应该很健全。然而就是在这种背景之下,却仍然能发生这样的重大违规事件并构成犯罪,只能说明它的合规制度运行有问题。其法务总监也卷入其中就说明合规在这家公司没有得到很好的运行。事后证明,至少它的合规部门在公司日常经营中没有真正做到独立。同样,它没有事后持续的审计和持续改进,也没有很好的对于公司内部违规事件的报告和调查机制等。从事后报道来看,GSK经营过程中出现的不合规并不是一天两天,而是持续若干年。业务部门几乎造假成风。他们在平时组织的所谓学术会议中,基本全部采用虚假的申请文件。而在后面的报销流程中,则大量伪造会议照片、会议参与者假的签名、虚假的演讲PPT以及与旅行社合谋,开具虚假的会议场所使用发票等。然而从会议召开之前的审批到事后费用报销,偌大的公司法务部、合规部、财务及内控等部门,却都没有发现。其制度和运行机制,完全形同虚设。一直到最后中国的执法部门收到涉嫌犯罪举报进行刑事立案,才发现GSK极其严重的违规行为。以致最后构成犯罪,GSK中国区四大高管均被判处刑罚,而公司也被处以30亿罚金而收场。
因此,一个完善的合规体系,应该远远不止是建立全面而完善的内部规章制度。在有制度的情况下,如何确保它持续、有效地运行,或许是比建规立制更重要的工作。而它的有效运行,如果参考美国司法部2012年颁布的FCPA指引,可以看到至少包括以下若干要素:企业最高层对合规的态度、合规组织、架构的建立、对于违规事件的内部汇报与调查机制、合规的沟通与培训、对第三方的管理、合规激励与惩罚、合规审计及持续有效的合规体系改进等。除此以外,一些国际组织的合规制度,也可作为参考,比如世界银行颁布的《世界银行集团诚信合规指南摘要》。
5、合规人才
在国家层面从2018年底开始,从上往下推行合规管理体系建设的背景来看,目前中国企业对建立合规体系的意识,尚没有达到普及的程度。合规工作不仅要求具备广泛的知识,尤其是法律,而且需要极其丰富的管理和协调能力,因为合规往往面对的都是企业重大问题,而且在为企业把好关的同时,还要保护企业正常的业务发展,这会导致业务部门与合规部门之间会有天然的矛盾。中国企业目前对于合规的需求并不完全相同,其中国企(包括央企和地方国企)基本上是应国务院国资委或各级地方国资委的要求才会去被动建立合规体系,而民企则更多是碰到行政处罚或刑事处罚时,才会想到去建立合规体系。与此相应,中国国内的合规人才目前并不是很多。从目前中国市场中比较活跃的合规从业员来看,主要有较早接触合规业务的国际律师事务所律师,跨国公司合规部门的从业人员,以及大型央企、国企或民企中合规部门从业人员,还有国内一流律所中从事合规业务的律师,是目前国内主要的合规力量。因此,在目前起步阶段,中国企业要建立合规体系,还需要外部有合规经验的律师协助。之后,在企业建立合规体系的过程中或者积累一定经验后,可以再发掘、培养了解和适应企业自身特点的合规从业人员。
6、国企与民企
国企与民企在建立合规体系时,在某些方面具有共通的地方,比如都要有基本的合规架构和运行机制,都要根据企业自身的特点、风险建立具体领域的合规制度,但国企也会有一些不同于民企的地方。比如,国企里面因为有国资成分,所以对于国资的合规运行可能会有不同于民企的专门规章制度。再如,国企的机构设置上,通常会有纪检、党委等不同于民企的部门设置,那么在合规机构的设置上,可能需要根据这些机构在国企的分工来合理设置。同时在企业员工的构成上,国企还会有国家工作人员这一主体,那么他们跟民企员工可能涉及的刑事合规风险也并非完全一致,因此这个也可能需要在制定合规制度时,予以综合考虑。
7、刑事合规
自政府层面颁布两个合规指引以来,国内从事刑事领域的部分律师和学者先后提出了刑事合规的概念,部分检察机关在试点的过程中也出现刑事合规不起诉的提法。不可否认,在实践中,合规作为法律的一个重要领域,起初是来源于行政处罚或刑事处罚,比如美国FCPA项下的反商业贿赂合规,但实际上刑事风险只是合规风险中最高级别的风险,而且各个法律领域的合规风险都可能涉及各自领域独特的刑事风险,比如反商业贿赂可能会涉及行贿罪或受贿罪等,数据与隐私可能会涉及非法获取、出售、非法提供公民个人信息罪等,因此,将刑事合规风险归类至各法律领域中的最高级别风险可能更合适,而无需单独列为一类合规风险。在检察机关推行的刑事合规不起诉试点改革中,对涉罪企业要求的合规体系通常也是要求企业首先要建立一个全面的合规体系,其次才是针对涉嫌罪名所对应的特定领域进行整改。
(二)“四位一体化”全面风险管理的逻辑交互关系
基于“四者”的共通属性,以实现合规要求为目标,以内控和风险为管理抓手,以法务思维为底层连接,构建“四位一体”的全面风险管理体系,是实现依法治企的积极尝试。以华侨城集团作为例子,在华侨城集团就是法务部门具体负责,融合合规、内控、风险、法务四项管理职能的一体化综合管理体系。华侨城集团将公司管理制度汇编成册,建立了涵盖董事会事务、战略管控、投资管理、财务管控、人力资源管理、法律事务管理、采购管理、信息化管理、安全管理、综合事务管理和党建工作等方面近200部制度的企业内部规章制度体系,为全面加强企业内部建设、培育“具有全球竞争力的世界一流企业”奠定了良好的合规管理基础。
首先,合规侧重于“建”。一是完成“外规内化”,即将国家的法律法规精神、商业道德的共识和外部监管要求嵌入企业内部规章制度,形成以公司章程规范公司治理、以管理制度规范企业运营、以工作指引规范业务开展的合规管理总体框架;二是建立如财务税收、知识产权、安全环保等重点领域的合规管理工作机制,在信息化系统中固化重点合规管理工作流程,在合规管理全面覆盖的前提下,突出合规重点;三是持续“整章建制”,将实际运营过程中形成的管理经验进行归纳总结,以此为基础不断固化为企业内部规章,为企业管理搭建运行顺畅的轨道。
其次,内控侧重于“控”。将重要业务领域关键控制点嵌入业务流程。华侨城集团业务开展过程中,在谈判、签约、运营、退出等各个环节明确了责任部门和责任人,并对重点环节和重要流程进行监督,确保内控工作落到实处。同时,华侨城集团还致力于加强内部控制体系建设,整合内部监督资源,加强信息共享和成果共用,形成防控合力。实践表明,内控不是一家的事,而是所有与企业经营相关的职能部门和业务单位的职责,经营运作部门、单位和员工要执行内控要求,保证企业运转不偏离已定的合规轨道。
再次,风险侧重于“化”。明确风险管理策略,建立全面风险管理制度,执行风险管理流程,制定风险管理方案,预判和警惕风险趋势和事项,及时发现风险苗头,对出现的重大风险或风险事件,妥善化解,依法处置。华侨城集团坚持以防范和化解重大风险作为业务开展的基础,规范执行,强化决策相应程序的执行和监督,确保重大决策事先做到调研、论证、讨论“三充分”;对业务开展可能产生的风险进行评估,并针对风险评估中提示的风险制定相应的预案,以有效防范重大风险。
最后,法务侧重于“用”。统筹合规管理、内控管理、风险管理,开展纠纷案件管理、律师律所管理和合同管理等具体业务的事务管理,积极运用法治思维和法律手段,培养企业全员依法办事的法治理念和行为习惯。具体业务出现的问题,根据其实际情况分别归纳到合规管理、内控管理、风控管理中处置和解决,使“四位一体”全面风险管理体系有效运转起来。
(三)聚焦企业风险,“四位一体化”全面风险管理体系的应用
早在2006年国务院国资委颁布的《中央企业全面风险管理指引》第三条就指出,企业风险是未来的不确定性对企业经营可能产生的各方面的影响,包括战略风险、财务风险、市场风险、运营风险、法律风险等。而全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统,从而为实现风险管理的总体目标提供合理保证的过程和方法。为防止发生企业风险,企业开展全面风险管理工作,应注重防范和控制风险可能给企业造成损失和危害,也应把机会风险视为企业的特殊资源,通过对其管理,为企业创造价值,促进经营目标的实现。
因此,“四位一体化”全面风险管理体系可以按照以下顺序运行:
第一,收集风险管理初始信息
结合企业不同发展阶段和业务拓展情况,持续收集与风险变化相关的信息。
第二,进行风险评估
企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。
第三,制定风险管理策略
企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。
第四,提出和实施风险管理解决方案
企业应当综合应用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
第五,风险管理的监督与改进
分析问题,吸取教训,总结经验,形成制度,使四者形成封闭、自洽的有效循环。
企业应本着从实际出发,务求实效的原则,以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点,积极开展全面风险管理工作。具备条件的企业应全面推进,尽快建立全面风险管理体系;其他企业应制定开展全面风险管理的总体规划,分步实施,可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作,建立单项或多项内部控制子系统。通过积累经验,培养人才,逐步建立健全全面风险管理体系。
与此同时,企业开展全面风险管理工作应与其他管理工作紧密结合,把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。
(四)选择风险管理策略
根据 《中央企业全面风险管理指引》所称风险管理策略,指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。
一般情况下,对战略、财务、运营和法律风险,可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险,可以采用风险转移、风险对冲、风险补偿等方法。
(五)“四位一体”全面风险管理体系的边界问题
由法务部门牵头“四位一体”管理体系有其专业优势,因为法务思维是以逻辑思维、程序思维、规则思维、证据思维为基础,在解决涉及规则、程序、风险等问题时,法务思维的价值会特别凸显。而合规管理、内部控制和风险管理不是一个部门能包圆的事。法务部门在体系建设和运行中,要处理好与战略、投资、财务、人力资源、审计等业务部门及纪检部门的关系,涉及依法治企事项,既需要法务部门有较强的统筹能力,又需要业务部门的重视和配合。以合规为例,法务部门要熟悉业务领域各项法规政策,并及时完成外规内化,业务部门要不断总结管理经验,并形成各种制度和规章,仅靠法务部门或仅靠业务部门均不能很好的实现外规内化、整章建制的目标。
“四位一体”的全面风险管理体系,偏向于事前预防、事中控制和事后救济,而审计部门主要负责对体系的运行状况实施监督和事后评价,对体系的健全和有效提出整改建议。因此,业务执行部门与效果监督评价部门相分离,即运动员和裁判员分离,是一种科学的安排。
“四位一体”管理体系要注意与纪检监察部门的区别。纪检部门是党内监督和追责部门,其主要职责虽与合规管理的部分领域相重合,例如反腐败、反商业贿赂领域,但合规管理侧重事前设立好规则,而纪检监察则侧重事中监督和事后的责任追究。
五、合规管理领域最新发展及未来展望
欧美国家的法律对于企业合规,大多有相应的激励机制。比如,根据美国的法律,如果公司员工违反FCPA,除了直接责任人会被处罚外,公司和相关管理层人员如果参与其中,也可能会被追究法律责任。但如果公司在发生违规事件后,主动配合调查或自行展开调查并主动向司法部披露,且证明公司有完善的合规体系,承诺并将进一步完善、执行切实有效的合规体系,则美国的司法部(DOJ)和证监会(SEC)有权根据企业合规体系建设和运行的实际情况决定延缓起诉或不起诉,而仅处以罚款。正是因为美国在法律制度层面有合规激励,才极大地推动美国企业对合规体系建设的重视,比较普遍地主动建立合规体系,培育合规理念和文化。
在中国现有的法律制度下,在立法层面,尚并无法律明确规定企业有完善的合规体系而发生重大合规风险时,尤其是可能引起行政处罚或刑事处罚时,可以免于、减轻行政处罚或暂缓起诉以及不起诉。然而,在司法实践中,尤其是刑事司法层面,在最高人民检察院的推行下,已经出现若干刑事合规不起诉的试点单位和案例。这一制度的试行,已经彰显出其巨大的制度价值以及对于全社会建立合规体系的引导价值。因此,如果中国的立法机关在立法层面,或者司法机关通过司法解释的形式,将刑事合规不起诉制度化,必将极大推动企业合规体系建设和合规理念、文化在中国的发展,而这最终将最大程度保障企业依法合规稳健发展,并形成良性的公平竞争的商业环境。
结 语
当前,中国企业合规管理体系制度建设刚开始,虽有央企试点,并在政府层面及司法机关颁布了相关的合规管理指引及合规管理体系国际标准ISO 37301:2021《合规管理体系要求及使用指南》,但要全面建立合规管理体系,树立、形成合规管理理念和文化,有效运行合规管理体系,充分发挥合规管理体系的价值,仍然任重而道远。因此,中国企业只有根据自己所处的行业、经营特点及经营国家的法律、法规及政策等各方面因素综合评审考虑后,建立切合实际的合规管理制度体系,并确保有效运行,才能建立有效且可执行的合规管理体系,真正实现合规创造价值,让企业行稳致远。
参考文献:
[1]世界银行网站:
https://www.worldbank.org/en/projects-operations/procurement/debarred-firms.
[2]国务院国有资产监督管理委员会网站:http://www.sasac.gov.cn/n2588025/n2588164/n4437287/c9806875/content.html.
[3]国家发展改革委网站:
http://www.ndrc.gov.cn/gzdt/201812/t20181229_924456.html.
[4]中央企业境外投资监督管理办法
[5]中央企业全面风险管理指引
[6]中央企业合规管理指引(试行)
[7]关于加强中央企业内部控制体系建设与监督工作的实施意见
国资发监督规〔2019〕101号
[8]ISO 37301:2021《合规管理体系要求及使用指南》(Compliance management systems —Requirements with guidance for use)
免责声明:
声明:本论文由襄策收藏,
仅供学术研究参考使用,
版权为原作者所有,未经作者同意,不得转载。
若您有资金合规出境、企业内部控制、编制合规性报告、碳资产管理等方面的疑问的话,可以随时联系我们!
北京襄策信息服务有限公司
微信公众号:81Invest
官方客服:13366802507
下一篇:合规!中央企业合规管理办法!
