中国律师网:陶光辉 | 疫情后的国企合规管理建设
The following article is from 法务人俱乐部 Author 陶光辉
一场突如其来的大型公共卫生事件(新型冠状病毒肺炎疫情)给中国所有的企业都带来或多或少的冲击。不同行业、不同规模的企业,受到的冲击是非常不一样的。对于住宿、餐饮、旅游、娱乐等行业,简直是致命打击。文化、体育、运输、零售等行业,紧跟其后。中小微企业的生存尤其艰难,60%左右的中小企业现金流将发生困难。大型的央企、国企,也不可避免地受这场疫情的影响。即便是国企目前正大力推动的合规管理工作,也受到一定的影响。不仅如此,这场疫情还给企业合规建设,带来一些独特的启示。
疫情爆发,居民公共出行、聚会等活动戛然而止。随着各级政府、卫生健康行政部门等一道道的通知、限令,全民被要求严格遵守《传染病防治法》、《突发事件应对法》、《突发公共卫生事件应急条例》等法律法规中的各项义务。疫情也促使企业更加重视在法律法规的规定范围内,进行合同履行变更、员工工资发放、企业复工复产等行为。合规(依法行事)的意识,在全民心中,都得到一次唤醒。这对于疫情之后企业推动合规建设,将大有裨益。
在疫情中,众多企业纷纷捐款、捐物,并表示要主动参与疫情防控,减免交易相对方的部分合同义务,积极履行社会责任。从这场疫情中,我们发现企业对高阶合规义务的遵守,达到一个新高度。众所周知,合规义务包括对法律法规的遵守、对企业内部规章制度的遵守、对商业道德和社会责任的遵守等多个层级。对商业道德和社会责任的普遍遵守,是对企业提出更高层级的合规要求。在本次疫情这种特殊时期,不仅国有企业、大型企业展现了其履行高阶合规义务的一面,中小型企业在其能力范围内同样展现了企业其实存在着这种“向善”的本质。以诚信与道德为价值观的企业合规理念,又一次得以验证。
很多企业家认为,对于企业来说,本次疫情是一件典型的“黑天鹅”事件。它基本上是出现在所有人的意料之外。疫情所引发的企业风险,不是某一个企业或某一个行业所能预测和控制的。即,该风险对所有的企业来说,都是一个系统性风险。这对于企业合规管理中的重要一环——合规风险评估,可以带来一些启示。我们之前往往过于相信合规风险评估所能达到的效果,过于相信企业的风险控制能力。但其实,在自然规律和社会规律面前,企业和个人有时是很“无力”的。与其一味强调控制,不如注重平衡。我们所能预测、控制的风险,只能是我们的资源、能力、知识所能覆盖到的风险。
疫情引发的企业风险,是一个系统性风险。它不仅促使我们重新认识风险评估,而且还有另一个启示:风险应对的灵活性。合规管理的主要目标是预防和控制合规风险。合规风险应对措施包括事前的、事中的、事后的。事前的风险应对,应包括的内容是风险预警。本次疫情中,一开始的时候,企业受到的影响可能是相同水平的。但有部分企业,却成功实现了突围。很重要的一个原因是,这些企业的风险预警系统比较发达。一旦嗅到风险,即立即展开行动,灵活地改变之前的风险管理策略。对于合规风险应对水平,同样可按此标准来衡量。
国企合规建设仍须大力推进
早在2014年,国务院国资委发布《关于推动落实中央企业法制工作新五年规划有关事项的通知》时就提出:在未来五年,各中央企业应“大力加强企业合规管理体系建设”。2015年,国资委发布《关于全面推进法治央企建设的意见》,对中央企业提升合规管理能力提出具体要求。该意见要求:“加快提升合规管理能力,建立由总法律顾问领导,法律事务机构作为牵头部门,相关部门共同参与、齐抓共管的合规管理工作体系”。2016年4月,国资委印发《关于在部分中央企业开展合规管理体系建设试点工作的通知》,确定中国石油、中国移动、中国中铁、招商局集团和东方电气5家中央企业为试点企业,探索开展合规管理体系建设。
在前述总结试点企业经验的基础上,2017年国资委相关部门开始研究制定中央企业合规管理指引。经过充分的调研论证,2018年11月,国资委发布《中央企业合规管理指引(试行)》,强调所有的中央企业必须建立健全合规管理体系,并指出加强合规管理是央企主要负责人履行推进法治建设第一责任人职责的重要内容。国务院国资委要求各地国资委参照该指引,推进各地国有企业合规管理工作。自此,国有企业的合规管理体系建设成为国企的一项重点工作。
到2020年初,已有北京、河北、上海、江苏、山东、四川、内蒙等多个省市的国资委,颁布了适用于本省市的企业合规管理指引。最近的一次是广东省国资委,于2020年3月3日,在仍处疫情之中的时候,颁发了《广东省省属企业合规管理指引(试行)》,要求本地省属企业按照指引在4月30日报送本企业的合规管理实施方案。可以预测,未来会有越来越多的省市国资监管部门,出台相应的本地国企合规管理指引。合规管理将一直是深化企业法制工作的新要求,是提升依法治企能力的新抓手。虽受疫情影响,但企业的基本需求是不变的,相关部门及国企自身必将继续推动合规建设。
《中央企业合规管理指引(试行)》以及参照该指引的各地省属企业合规管理指引,为央企和国企构建合规管理体系,提供了一套相对完整的合规管理框架。它是按照“合规是什么—谁负责—做什么—如何做—如何保障”的逻辑体系来构建的。
这个逻辑体系,与国家标准化研究院发布的GB/T 35770-2017《合规管理体系 指南》的逻辑体系,不大一样。《合规管理体系 指南》内含的逻辑是一种风险管理的过程方法论。它将合规管理视为一个过程,从组织环境入手,强调组织高层的作用,然后是一个PDCA管理循环(计划、执行、反馈与改进),最后是返回到改善组织环境这个初始环节。
两套逻辑体系,目标和内在功能应当是一致的。但在帮助合规建设者的理解和执行方面,却各有千秋。国资委的合规管理体系框架,指导性强,与国企原有的风险管理相关工作切合度高,但存在的问题是缺乏背后的整体解释力。只知道要做哪些,而不知道为什么要做这些。这种不知背后动机的合规管理“规范动作”,在实践中,往往会流于形式。《合规管理体系 指南》作为一项推荐性标准,其处理的合规问题又过于宽泛,导致该框架缺乏操作性,不容易跟国企的实际需求结合起来。
最好的办法是,将两套逻辑体系整合起来,形成国企合规管理体系的落地框架。这个落地框架,是本文作者独家提出,可用于企业合规管理部门指导企业实施合规管理的方法。它既是一个国企合规管理体系的组成,也是一套建立国企合规管理体系的实施指引。具体来说,这个框架包括合规管理落地的九个步骤和一个要素。
(国企合规管理体系落地框架图)
1.识别相关方要求。建立合规管理体系,首先要搞清楚为什么要建该体系?建合规体系的初始动力是什么?国企和民企在这方面的原因就很不一样。是谁在决定性地推动本企业合规管理体系的工作?这些问题,必须先问清。这里说的相关方,可能包括监管部门、出资人、上级主管单位、企业高管、投资者等。他们的诉求不同,他们对合规的理解不同,都会决定最后合规管理做成什么样子。是形式居多,还是实质居多?是偏体系,还是偏项目?这些都与相关方对合规管理体系的需求密切相关。这个步骤,是合规管理体系指南(以下简称为合规管理标准)里所强调的合规管理起点,即对组织环境的认知。
2.梳理现有风控与监督体系。国企建合规管理,都是在现有管理体系之上进行的。本质上没有从零开始的国企合规建设。即便是刚刚组建的公司,也是要按照股东或其所属的集团公司的要求进行的。大部分的国企合规建设,遇到的第一个难题,恐怕是如何与企业内现存的内控、风险管理、审计、纪检监察等部门或职能,划清关系。事实上,这些都属于国企的监督部门,很难一一划清他们之间的界限。梳理这些风控与监督体系的目的,是为了能找到合规管理体系的立身之处。这一步,正是国资委发布的各合规管理指引(以下简称为合规管理指引)提到的“依托现有管理体系推行合规管理,实现合规管理与法务、内控、审计、监察等管理体系的统筹、衔接”。
3.确定合规范围与领域。合规管理指引和合规管理标准均强调了要划出合规的范围和重点领域。这是企业的业务性质不一及企业资源有限等约束性因素所决定的。如中国石化集团根据其业务情况和过去出现的风险因素,以负面清单方式明确了HSSE(职业健康、安全生产、公关安全、环境保护)、市场经营、投资和资产处置、产品数质质量、知识产权、财税金融、劳动用工、维稳维权、国际化经营、党风廉政建设和反腐败等10个合规重点领域。所有已建立合规管理体系的企业,都根据自身情况,选择和确定了本企业的合规管理范围和重点领域。
4.制定合规方针与原则。在划出合规管理的范围之后,需要最高管理者确定本企业的核心价值观,建立本企业的合规方针和原则。合规方针与原则,类似于本企业的合规宣言,与企业规模、性质、复杂性和环境密切相关,也将前几个步骤明确的相关方要求、管理体系融合、合规重点领域等以文件化形式予以固定。本步骤是合规管理标准所强调的,也是合规管理指引所内含的重要举措。如招商局集团制定并由董事长亲笔签名对外发布《招商局合规手册》。
5.评估合规风险。合规风险的识别、分析与评价,构成合规风险评估。这个环节,恐怕是合规管理体系框架搭建过程中遇到的第二个难题。风险本身的复杂性,对业务的熟悉情况,对合规义务的了解深度,相关人才知识结构的匹配程度,都会影响该步工作的推动和效果。这一步,也是后面进行合规风险管控PDCA循环的前提。评估企业合规风险,需要企业投入大量的资源和人才。相关的风险评估技术,可借鉴风险管理理论和实践所指包含的内容。此处不再详述。
6.制定合规应对方案。在合规管理标准中,本步骤体现为策划如何实现合规目标。在合规管理指引中,本步骤体现为合规管理运行实施前的举措。综合起来,合规应对方案,是根据合规管理重点领域以及合规风险评估的成果,提前设计、制定、颁发相关的合规风险应对方案。应对方案具体包括建立健全合规管理制度、公布合规行为规范、推出专项合规管理指引,修改与第三方的合同合规文本,以及建设合规管理信息化系统。如中国铁建结合企业实际制定并发布《合规管理工作总则》、《合规行为准则》等10项合规制度,形成了“1+9”合规制度体系。
7.实施合规应对措施。合规应对措施是合规管理落地框架最重要的一步。在合规管理指引中,合规应对措施与合规管理运行、保障中的各项合规工作机制是一脉相通的。北京市国资委在其发布的《市管企业合规管理工作实施方案》中,提出企业要“建立合规联席会议机制、合规风险识别和评估机制、合规审查和强制咨询机制、合规风险反馈机制、合规风险嵌入机制、合规举报和调查机制、合规考核评价机制、合规培训机制、合规管理信息化建设机制、合规风险报告和应对机制等十项机制”。本文作者认为,除了合规风险识别与评估机制应前置以外,合规联席会议机制等机制,可以作为本合规应对措施的工作内容;但合规举报与调查机制、合规考核评价机制两个机制,适宜作为下面环节的工作内容。另外,在前面七个机制基础之上,还可以加上风险预警机制、合规责任追究机制,作为合规风险应对措施的工作内容。
8.不合规的举报与调查。如前述,合规举报与调查本质上也属于合规应对措施的一种,但因其特殊性,个人认为,对不合规的举报与调查,更适宜作为独立的一个举措来实施。这个步骤包含了一个重要的合规原理,便是“吹哨人制度”。2019年9月12日国务院发布《关于加强和规范事中事后监管的指导意见》,第一次正式提出“建立吹哨人制度”,为企业合规管理建设提供了有力的法律保障。在已建立合规管理体系的企业中,关于不合规举报与调查是非常重要的一个环节。如《中国铁建股份有限公司合规行为准则》规定,“任何部门、员工或业务合作伙伴,若知晓任何违反或疑似违反公司合规政策、相关法律法规和其他要求的情况,无论情节是否重大,可实名或匿名向合规主管部门或通过以下渠道进行咨询或举报”。
9.合规绩效评价与有效性改进。这是合规管理落地的最后一步,也是合规管理循环进入下一阶段的开始。按照过程方法论,对过程的管理,一定要有对过程的监测和反馈。企业管理系统之所以能取得成效,就在于可以不断地吸取经验和教训,逐步地改进和优化。合规管理也不例外,也必须借助反馈回路。合规绩效评价的手段,包括合规监测、合规考核、合规审计等。合规有效性改进的手段,包括合规有效性评估以及持续改进等。合规有效性评估,也可以是事前的,即用于改造和优化某个合规管理体系之前,所用到的合规管理方法。当然,更多时候,它被作为衡量合规管理工作成果的指标。
10.合规职责、承诺与支持。这是合规管理落地框架的核心,它与合规管理步骤是同一问题的不同侧面。以上九个步骤,均离不开合规职责、承诺与支持这个要素的介入。合规职责,是合规管理标准和合规管理指引都非常强调的事项。所有的合规管理指引都详细地规定了合规管理各个机构的岗位职责,从董事会内设的合规委员会、首席合规官、合规管理部等等,在合规工作中都要各司其职。合规承诺,是合规管理标准中极为重视的要素。它是实现有效合规管理的前提和基础。承诺水平决定了合规管理内重要步骤的实现程度,如合规管理制度的执行。合规支持,也是合规管理标准中的重要因素。合规管理标准,专门用一章的内容来详述合规支持。合规支持包括合规资源、合规能力和培训、合规意识、合规沟通以及文件化信息等。合规职责、承诺与支持本身的落地与建设,恐怕称得上是合规管理的第三个难点。
国企合规管理体系的落地框架,对于国企建设合规管理体系来说,仍然只是提供了一般性的参考。毕竟国企是多样化的,每一家企业的业务、管理、文化,是存在差异的。如何在通用框架的基础上,结合自身情况,选择一个最适合的切入点,特别是找到本企业操作起来最为便利的“抓手”,是很多国企正在尝试的。
国企合规管理的切入路径,目前看有三种主要的思路。第一种是以制度制定和执行为主线。合规管理制度,属于我们所说的合规管理落地框架的第六个步骤。但是,公司规章制度既是企业最高管理层意志的体现,也是企业业务运行的操作指南。抓住制度建设与制度执行,可全面调整企业和员工的行为。合规管理的本质是对企业及员工行为进行调整的过程。与制度的设计、颁发、执行与监督,可以很好地成为这一过程的关键。这也是很多央企、国企的合规管理体系建设过程中被屡屡强调的。例如中国航空无线电电子研究所提出,“制度建设是合规体系建设的基础和核心,制度执行是合规管理的关键”。通过有组织的制度梳理,他们在2018年一年期间,组织制度评审12次,评审制度134份次,最后形成17个业务域,134个业务组件的制度体系架构。
第二种是以合规操作指引为主线。合规操作指引,本质上也是公司的规章制度。但不同的是,合规操作指引,不仅规定应该做什么,怎么做,而且还给出了操作步骤,甚至是通过信息化手段,牢牢控制操作步骤。不按操作的指引,在企业内将无法完成业务流程。很显然,这条主线的要求比制度制定更高。当然,过于强调流程、标准,可能会限制企业内的一些正常业务循环,甚至会扼杀创造性。但在合规管理层面,这种模式,仍然值得借鉴。南方航空便是采取操作指引为主线的典范。在南航,操作指引被称为“手册管理”。南航按照“一切行为形成制度,一切制度形成手册,一切手册落实到行动”的指导原则,全面推行手册管理。南航的手册,分为公司级手册和部门级手册。公司级手册又分为公司治理类手册、运行管理类手册和基础管理类手册。为协调各手册本身的关系,南航专门制作了《手册管理手册》。
第三种是以风险识别与评估为主线。如前述,合规风险评估是合规管理的一大难点。它需要的综合知识与判断,让很多合规管理从业者为之却步。但精准和系统的合规风险评估,又是绝对有益于提升合规管理的整体绩效的。根据中兴通讯的首席合规官介绍,中兴通讯在合规体系建设之初以管理为导向,围绕合规体系建设要素,即合理规则的制定、全面无死角的培训、坚决的执行和有效的稽查,构建了合规管理体系。这种以管理为导向的合规管理体系,在企业合规建设初期有着明显的优势:能够在短期内集中公司整体的力量,自上而下快速地建立体系,保障实施与穿透。但随着合规体系建设进入新阶段,他们发现需要推动风险治理前移,探索以风险为导向的合规管理体系。在自上而下的合规体系建设的基础上,推动自下而上规则的场景化、判例化,推进合规规则与具体业务的深度融合,从而形成契合业务实际的合规管理体系。中国交建在构建海外业务合规管理体系时,也非常重视和强调以风险评估为导向,以致于他们的体系就叫“海外合规风险管理体系”。该体系针对海外业务员工行为、第三方聘用、采购、投标、合同签订、业务招待、捐赠与赞助、业务付款等八个高风险领域,设置了合规审批、审查等应对措施。
国企合规管理体系建设采用何种思路切入,视该企业的历史情况和管理优势而定。个人认为,不必刻意统一,也不限于以上三种。
企业合规管理是企业的整体事项。在这一点上,合规管理与法务管理有明显的区别。法律事项,基本上可依赖法务部独立完成;但合规事项,合规部的参与仅仅是其中的一部分。合规管理工作,需要企业整体的投入,包括硬性的和软性的投入。硬性投入,如资金、设备、信息技术系统等;软性投入,如认知改变、合规承诺、智力成果等。
如前所述,在合规管理建设中,有九个步骤和一个要素。在这些工作中,国企可以选择哪些事项进行外包,以获得最好的投入产出效益?
先看其中的三大难点。一是现有风控与监督体系的梳理,即合规管理如何处理好与法务、内控、审计、纪检监察等的关系。这个难题的解决,是需要企业自身根据管理模式、业务发展情况,进行整合和协调的。整体外包,似乎不合适。但在借鉴同行经验,整合管理体系的方法上,可以参考一些外部机构提供的咨询和建议。二是合规风险评估。这方面成为难点的原因是,其需要的综合知识与能力要求相对高,企业内部人才相对缺乏。很显然,这方面最适合外包了。外部机构,如律师事务所,对于企业的合规义务具有丰富的综合经验,对于风险的辨识度,相对更高;对于风险评价及分析工具的掌握,也相对成熟。事实也确实如此,我们看到很多的国企,将一些专项的合规风险评估工作外包出去。如企业因违反美国出口管制和经济制裁的相关合规风险点收集,违反世界银行制裁的合规风险识别等工作,可以看到很多类似的招标项目。三是合规职责、承诺与支持。这方面成为难点,是因为需要调动、激发企业内的全体成员来积极参与。这项工作,向来就是一个管理学难题,需要企业自身解决。
在剩下的合规管理活动中,个人认为,适合外包或可能需要外包的,有这么几种。一是,合规应对方案中的合规管理指引的初始版本制作。合规管理指引,需要结合企业的合规风险点,制定可嵌入业务流程的合规操作指南。其原因在于,企业内部可能缺乏足够的或匹配的合规人员。初始版本如外包出去,既可节省人力成本,又可吸收多个专业人士的共同经验。二是,合规应对措施中的适合外包的几个机制。如合规审查。对于企业内一些重大的项目、决策,可建立双重审查机制,部分外包给专业律师事务所。另,合规培训,也可借助外力,形成合力。三是,不合规的调查。这其实是传统的合规管理行为的重要活动。对于企业内存在的腐败、舞弊与利益输送等情况,完全可委托外部机构实施调查。四是,合规有效性评估。这方面的工作内容,需要外部客观、独立的评价意见。必要时,还可由外部机构出具合规有效性认证证书。
国企建立健全合规管理体系,是一个需要以年来计算完成周期的过程,不能指望几周或几个月就能快速完成。在该过程中,可采用的框架和可凭借的资源,每家国有企业自行或在一些专业机构的帮助下,各有不同。可以总结的是,2020年初爆发的新型冠状病毒肺炎疫情给国企合规工作带来很多启示,但合规管理的框架没有变,甚至是必须加快合规建设的步伐。
(注:点击阅读原文查阅“中国律师网”发布内容)
陶光辉,北京德和衡律师事务所总所联席执行主任、高级联席合伙人,一法网创办人,兼任大连大学法学院客座教授、北京市律师协会企业法律顾问专业委员会副主任、“北大全球高端法商人才计划”未来领袖授课专家、中国人民大学企业法治研究所研究员、青岛仲裁委互联网仲裁院副院长、北京创业投资法学研究会常务理事等。陶律师拥有仲裁员、高级经济师、上交所独立董事、证券/期货从业人员、企业法律顾问、企业管理咨询师等资格,出版《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)等著作。
联系方式
手机:15701025272(微信同号)
邮箱:taoguanghui@deheng.com