【律师视点】陶光辉 | 合规四库:合规管理落地清单
The following article is from 法务人俱乐部 Author 陶光辉
北京德和衡律师事务所
高级联席合伙人
随着合规管理逐渐进入实施阶段,企业根据自身情况开展各项合规管控措施。有的企业以制度与流程为抓手,有的企业以合规风险为主线,有的企业以合规调查为关键。这些举措,均是企业实施合规管理之必要。
但从建立健全合规管理体系来说,它们显得有点散。很多企业缺乏完整的落地措施,东一榔头西一棒,导致合规建设仍处于盲人摸象的境地。因此,有必要整理企业合规管理建设过程中出现的最佳做法,归纳出一套简便但高效的合规管理落地清单。
笔者认为,合规管理的本质,其实是一场合规风险识别和应对的过程。在企业内如何设计好以及执行好各种管理措施,以主动识别和应对合规风险,正是合规管理的精髓。合规四库,指合规义务库、合规风险库、合规制度库及合规指引库等。对“合规四库”的整理、归纳,正好可以很好地帮助企业发现合规风险、应对合规风险。因此,可将合规四库的建设,作为企业合规管理落地的核心。
合规义务库:合规管理的边界
合规义务,是企业应遵守的合规要求和合规承诺。合规要求是强制性的,不以企业意志为转移。合规承诺是非强制的,但一经企业做出,便具有约束力。合规义务,实践中主要包括三方面。一是企业应遵守的法律法规,含国际法律、惯例;二是企业应遵循的内部规章制度;三是企业应遵照的职业道德规范。在国有企业中,党规党纪也是当然的合规义务之一。
在法治社会中,企业的一切行为均受法律调整。合规义务,对于所有的企业来说,并不陌生。但合规义务(主要是法律法规)自身的三个特性,决定了合规义务是企业实施合规管理的一大难点。合规义务的第一个特性,是数量庞大。截至2019年底,中国已有法律270余部、行政法规700多部,地方性法规11000多部。另有司法解释500多个,部门规章和地方政府规章11000多件,现行有效国家标准37000多个。还有所在国法律法规、国际惯例、行业标准等多层合规义务。术业有专攻。法律专业人士对这些规定,尽其所学,尚不能完全掌握,外行就更不用说了。合规义务的第二个特性,是持续变化。法律法规必须不断适应和调整经济生活中出现的新情况、新问题。法律一直在或多或少地变化着,新法永远在颁布。这给合规义务库的维护带来了困难。合规义务的第三个特性,是本身存在不确定性。法律规定在适用时,会遇到不同的情况。可能法律规定已落后于现实,可能法律规定本身不明确,都会导致企业遭遇“合规风险”。
通用合规义务是企业应当遵守的,但合规管理要落地,企业还必须找出其所有经营管理行为所可能涉及的特定合规义务。与业务相关的特定合规义务组合,便形成企业的合规义务库。它是企业进行合规管理的前提,也是合规管理的范围。否则,合规管理漫无边际,无法达到预期目标。
每个企业都应当建立和更新自己的合规义务库。这个“库”,核心是企业目前业务经营涉及的法律法规库。但不是罗列法律条文,而是要内化于企业的内部管理行为之中。要让管理者知晓,要对管理行为有所约束。建设合规义务库,多数企业当前都集中在反腐败、数据与信息保护、税收、产品质量、反垄断、贸易管制等领域。在每一个领域,企业面临多层的合规义务,上是法律,中间是行业监管规定,下是企业内部规定。比如数据合规,企业如何利用和保护数据相关的法律、法规、规章已达30多件,大都是最近几年颁布的。这些针对企业某一类行为的合规义务,组合起来是一个二级的合规义务库,同时也构成一个专项的合规管理领域。合规管理落地的第一步,便是划出本企业合规管理的边界,形成针对性的合规义务库。
合规风险库:合规管理的对象
违反合规义务,会产生合规风险。合规风险库是企业可能遇到的合规风险的集合。合规风险库所指的合规风险,既包括已发生的风险事件,也包括未发生的风险可能性。已发生的风险事件可以是本企业发生的,也可以是同类型企业或其他有关联企业发生的。未发生的风险可能性,可以根据数据归纳得出,也可根据逻辑推导得出。但一般来说,对合规风险有价值的判断,往往是基于经验的。
虽然风险本身是个中性词,既包含威胁,也包含机会。但合规风险,却只包含威胁。合规风险,其实就是不合规造成的负面影响。考察这种负面影响,可从发生的概率大小和发生的后果程度两个维度来衡量。合规管理是一种主动减轻、规避合规风险的过程。因此,合规管理要落地,必须学会识别、分析以及评价企业可能遭遇的合规风险。
形成合规风险库的第一步是识别企业交易循环中的可能的违反合规义务的情形,并记录下来。交易循环,指企业运行中涉及的采购、销售、生产、研发、投资、财务、人力资源、信息传递等行为及其过程。可以看出,合规风险的识别取决于两个因素。一是对合规义务的理解深度与广度,这正是建立合规义务库所要解决的。二是对交易循环的理解深度与广度。这一点也是法律人士的薄弱之处。综合这两个因素,在交易循环中发现可能违反合规义务的情形,便能找到合规风险。实践中,需要分别熟悉两个因素的人员,即法律人员与业务人员的通力合作,才能更有效地识别合规风险。
形成合规风险库的第二步是对已识别并记录下来的合规风险(清单)进行分析。这一步骤,是对合规风险进行进一步的筛查、确认和整理。分析的内容,包括对风险的来源进行分析,对风险发生的可能性进行分析,对风险发生的后果进行分析等。分析合规风险来源,是非常有必要的。因为,它不仅对合规风险库建设的后一步骤的操作有所帮助,而且对整个合规管理的措施落地及是否可取得成效,都密切相关。对发生可能性和发生后果进行分析,是所有的风险管理技术中都要求的任务。
形成合规风险库的第三步是在分析的基础上再进行评价。评价,是在分析的基础上,对合规风险再进行量化排序。分析,其实已包含一部分的量化工作。评价是更细致的量化,并用直观的方式展现出来,为合规风险管控措施落地打下扎实的基础。这一步骤的工作成果,部分专家喜欢表述成“合规热力图”。
合规风险库,看似是一堆合规案例/故事的集合。但其实更重要的是,它是一套有体系、有取舍的不合规案例汇编。每一次不合规的事件,每一次不合规带来的启示,都会成为合规风险库的有用素材。记录、分类、排序,一直伴随着风险库的建设过程。通过三个步骤,企业可形成本企业的合规风险库,作为下一步合规管理的管理对象。
合规制度库:合规推动的保证
有了风险库,便有了管理的对象。接下来就是如何管理的事了。管理,涉及人、财、物的投入,需要计划、协调、控制与激励等机制。在现代法人治理结构的企业(集团)内部,规范化的制度与流程,承载着前述管理机制。因此,合规制度库很自然地成为合规管理落地的第三只靴子。
企业内存在大量的制度。合规制度库是指导合规管理在企业如何推进,合规人员在合规开展中的职责,合规管理开展效果如何评价等方面的内部制度集合。一套完整的合规管理制度,既与公司其他管理制度相互呼应,同时也要自成体系。
合规制度体系,可分为三个层级。第一个层级,是纲领性的合规行为准则。这方面的制度,数量不多,可能就是一个,但覆盖面最广。如招商局集团发布的《集团合规手册》、华润集团发布的《诚信合规承诺》、西门子发布的《商业行为准则》。它是企业合规价值观的集中体现,向全体员工明确本企业合规管理的基本理念、基本原则和基本要求,作为全体员工普遍遵守的合规行为规范。
第二个层级,是基本性的合规管理办法。这方面的制度,重点是明确合规管理的基本目标、基本准则、机构和人员职责、运行机制、考核监督、奖惩问责等一般性的内容。如《中国铁建合规管理工作总则》、《福田汽车集团合规准则管理办法》、《中国西电电气股份有限公司合规管理制度》、《中水渔业合规管理实施办法》。
第三个层级,是合规管理在企业的运行过程中,从合规职责、合规风险评估、合规审查、合规检查,到合规培训、合规考核、举报与调查、合规文化建设等,所依赖的具体操作性规定。如《招商局集团合规风险识别机制方案》、《上电所日常监督检查活动清单》、《中国同辐合规审查流程》、《某保险公司合规培训与宣传管理制度》、《NIO INC.道德与合规举报政策及程序》。
要说明的是,合规制度库中的制度,仅是与推动合规管理相关的规定。针对某一类合规风险如何应对,或某一个主体如何实施合规风险管控,则是另一套合规管理相关规定,即接下来要说的合规指引。
合规指引库:合规管控的抓手
为进一步促使合规管理落地,还有必要把合规操作层面的措施、流程予以制度化,这便是各专项合规操作指引,组合起来就是合规指引库。合规指引,是运用企业管理的手段,来应对业经评估的合规风险,往往体现为某一专项合规领域的综合规定。如《招商局集团反垄断合规管理指引》、《中国商飞美国出口管制合规指引》、《中国建筑交建铁建海外业务合规管理指引》。
合规指引,是在充分挖掘企业在某一个领域内的合规义务,辨识企业合规风险的基础上,依据企业现有的管理模式和管理资源制定的操作指南。可以从多个角度来构建本企业的合规指引库,一个比较好的方法是根据企业的重要合规义务清单进行合规指引库的建设。
首先,在市场交易方面。企业可根据自身情况制定《反商业贿赂合规指引》、《反垄断合规管理指引》、《公平竞争合规指引》、《对外贸易合规管理指引》等。每个专项领域,可以再细分,制定二级指引。如《公平竞争合规指引》下,可继续制定《广告合规指引》、《对外宣传合规指引》等。《反商业贿赂合规指引》下,可继续制定《捐赠与赞助合规政策》、《礼品与接待合规政策》等。当然,在不同的企业,他们也可能成为同级别的合规指引。
其次,在产品、安全、劳动等方面。企业可制定《产品质量合规管理办法》、《安全生产合规指南》、《劳动用工合规管理办法》等。这些属于传统领域的规范操作,可在已有的管理指引基础上进行修改、优化,也可转换视角,从合规的角度,对原有的制度进行修订。
再次,在数据与隐私保护、环境保护、知识保护等方面。企业可制定《互联网数据合规管理指引》、《用户数据使用合规指南》、《企业知识产权合规管理办法》等。这些属于新兴领域的规范操作,企业可借助外部专业律师进行制定。
最后,在商业合作伙伴方面。企业可制定《商业伙伴合规管理办法》、《商业伙伴合规手册》,或作为合同的附件制定《商业伙伴廉洁合作协议》。
以上合规指引,要真正成为合规管控的抓手,仍须做到两点。一是面向业务,可指导业务实施。二是融入决策,可判断业务走向。如此,合规管理才算真正落地,合规创造价值才算真正得以体现。
或许您还想看
陶光辉,北京德和衡律师事务所总所联席执行主任、高级联席合伙人,一法网创办人,兼任大连大学法学院客座教授、北京市律师协会企业法律顾问专业委员会副主任、“北大全球高端法商人才计划”未来领袖授课专家、中国人民大学企业法治研究所研究员、青岛仲裁委互联网仲裁院副院长、北京创业投资法学研究会常务理事等。陶律师拥有仲裁员、高级经济师、上交所独立董事、证券/期货从业人员、企业法律顾问、企业管理咨询师等资格,出版《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)等著作。
联系方式
手机:15701025272(微信同号)
邮箱:taoguanghui@deheng.com
✦质控人:黄振达 公司业务中心总监
✦本文仅代表作者观点,如需转载、节选,请在后台留言联系小编