合规进入2.0时代,你还在谈Tone from the top?
点击蓝字关注我们
我们曾经发表过《合规进入2.0时代,你还在谈Tone from the top?》(本帖底部重新贴出)。合规2.0的帖子发出后有很多人问我:文中所说的合规2.0与合规1.0的主要区别是什么?这个区别可能在于1.0是基础,而2.0是应用,用英文说就是APP或者说是APPLICATION。
相比较合规1.0,合规2.0在应用上对风险识别提出更高要求,比如“风险识别要实时”;对于解决方案也提出更高要求,比如“云平台一体化解决方案”、“合规管理要完全嵌入业务流程”;对于风险管控的原则也更加贴近实战,比如“风险管控三原则:风险穿透原则、主动管理、集体管理原则”。当然,我们在合规2.0的应用清单中也许还可以加入更多的内容,比如既然合规创造价值,那么合规创造的价值是否可以量化等等,但在众多的合规2.0应用当中,我们长期忽视的、或许是因为困难我们选择性忽视的一个刚需应用就是“危机预警”。
说到“危机预警”,有很多危机我们很多企业本来是可以预警得到并且可以避免的,比如华为的CFO如果落地与美国有引渡条约的国家则可能身犯险境(曾经有中国商人因为与美国企业的知识产权纠纷虽从不落脚美国,但被诳到英国被捕而差点被引渡到美国)。此外,还有很多其他的例子也是令人扼腕叹息。对此,中国合规网在今后将更多地引入与“危机预警”相关的活动与内容,比如:
美国法院日罚5万美元,中资银行该怎样接招?| 大成合规沙龙005(将通过大成上海办公室现场、Skype以及电话拨人的方式参加,敬请大家按照要求先行报名)
合规官对话检察官:中国三家银行能否既不给美国法院要的证据同时又能避免处罚?
我们这么做不是因为“危机预警”容易,而是因为它困难,但好的预警能够帮助企业以及企业家赢得应对危机的时间和空间,并找到更好的应对方法。
而你知道吗?
咱们
的危机预警工程
已经启动
文章重贴:
合规进入2.0时代,你还在谈Tone from the top?
合规管理以风险管理为基础,其目的是通过建立一套行之有效的管理机制,使公司能够有效地识别、评估和控制合规风险,主动避免违规、违法事件的发生。
合规管理是一个系统工程,有很多基础概念和基本理念需要学习和掌握,但合规管理作为一门管理科学也需要不断地自我进化与提升。当合规2.0时代依然到来的时候,老生常谈Tone from the top(亦即“领导重视”)是远远不够的!
“幸福的家庭都是相似的,不幸的家庭各有各的不幸”;合规做得好的企业都是类似的,合规出了问题的,各有各的问题——其中一个重要的问题就是风险控制做得不到位。合规管理还仅仅停留在1.0时代的基本理论和基础概念(再次强调不是不重要),相应地,合规风险识别、评价与控制没有做到学以致用,没有能够为企业真正做到保驾护航,试举几例如下:
1
还是尽调一次管三年?风险识别要实时!
合规管理的目标是控制风险,从而减少不确定因素对企业实现其目标所造成的负面影响。对风险(以及风险源)识别得越及时,对风险的控制也就越及时。建立实时(或近似实时)的风险识别机制,是合规2.0时代的迫切需求。
关于实时识别风险的好处,我们可以看以下这个例子。
某银行贷款给一个私营企业。该银行在贷款的时候,除了将该私营企业的有关情况,以及该企业法人代表的有关情况录入外,还有意识地收集了该企业以及该私营企业主更多的信息,比如该法定代表人家属的有关信息。贷出款项之后,该银行基于大数据分析平台进行实时性的信贷风险识别与监控,每天都会用网络爬虫在网上就大数据分析平台里的一些关键词作舆情搜索。有一天,该网络爬虫发现并预警了一条有关赌博的消息,说是某某因为在境外赌场赌博输了很多钱——这则新闻里面关于这个某某的名字和这个私营企业主的儿子的名字是一样的。银行在接到信息平台的报警之后,就派工作人员去进行调查,发现这个新闻里面的主人公恰恰是这个私营企业主的儿子。银行于是就想办法让这个企业主提前还贷,而且不再贷款给私营企业主。结果是,这个私营企业从其他银行的贷款就出现了坏账,而进行实时性风险识别的银行则先人一步避免了坏账。这个例子告诉我们,一方面,有时候风险识别不实时本身就可能带来风险;另一方面,实时识别风险在技术不是不可能。
当然,这里所说的“实时”是相对的——相对于尽调一次管三年更加贴近实时。另外,“实时”识别风险(及风险源)不可避免地会增加企业合规成本,因此不是所有的企业或者一个企业不是对所有的风险的识别都要(或者能够)做到实时。但是“实时识别”应当成为风险识别的新概念。
“尽调亚洲”(www.DueDiligence.Asia)合规尽调新概念
为企业合规尽调提供实时、动态、持续的风险管理
横过手机看大图
2
风险控制还是纸上谈兵?
云平台一体化解决方案是重点!
合规管理的三道防线光靠纸面推演,尤其是针对复杂的、系统性的风险,已然不够;企业应当适时地引进一体化的云平台解决方案。
我们这里也试举一例。一家德国客户通过其在中国的全资子公司进口、销售机器并提供售后服务。但在市场上同时提供售后服务(包括提供真真假假零部件的)还包括形形色色的、如假不包换的“李鬼”。对于这些假“李逵”固然要打假,我们还建议客户通过云平台一体化的控制手段提供更好的解决方案,从而更好地应对如下风险:1、客户的最终用户常常到客户之外的维修网点寻求性价比更高的售后维修服务(当然,对于一些小修小补是正常的);2、客户的售后服务出现飞单,但客户对此似乎束手无策;3、第三方售后服务网点所使用的配件有可能是平行进口配件,抑或进口整机后拆机销售的维修配件,甚至是假配件;4、客户售后服务销售收入远远没有达到预期水平……。
对此,我们在提出打假等法律救济途径,还提出如下云平台一体化解决方案来整合客户的物流、信息流和售后服务流。
通过使用经销商、售后服务云平台系统链接厂家、各级代理商、各地售后服务中心及各地市特约维修网点,从而使得该客户实现了从销售线索到汇款、渠道经销商管道、售后服务的全程监控,构建了完备透明、从销售到售后服务的一体化互联网管理体系,从而使企业和客户的利益得到全面保障。
通过系统中的货品唯一序列号,该企业可以查出各地市场的串货和假货。同时,通过主动管理渠道商的所有客户,一方面主动发起售后服务流程和360度客户满意度分析,从而渐次打消最终用户到第三方维修点去维修的需求和冲动;另一方面,渐渐迫使假配件或者平行进口配件难以对客户的真配件、原厂配件构成不正当竞争,使得售后变成二次营销的开始,详见下图:
横过手机看大图
3
合规还仅仅是反贿赂反垄断吗?
合规管理可以完全嵌入业务流程、管控操作风险!
合规2.0要求合规管理嵌入公司业务流程,实现合规管理与公司业务的深度整合。
以无人驾驶安全出行中的风险控制为例。随着人工智能时代的到来,无人驾驶被视为AI最重要的落地场景。传统汽车巨头、跨国科技巨头和互联网新势力纷纷加码智能互联和汽车共享,抢滩无人驾驶的未来。但这个已来的未来还面临一个重要问题需要解决,那就是无人驾驶的安全出行问题。
场景回放1:2018年3月18日
在美国亚利桑那州,Uber的一辆自动驾驶汽车完全不减速径直撞向一名路人致其死亡(横过手机看大图)
如何让无人驾驶出行更加安全?如何识别评价并控制好风险?对此,根据我们在智能网联实操项目所积累的经验,我们向我们的客户提出无人驾驶风险管控三原则:
国资委要求强化企业合规管理—合规审计势在必行
一、风险穿透原则
无人驾驶涉及的产业领域广阔,从雷达传感,再到AI算法、汽车制造,一些原本毫无关联的产业、平台和企业被智能网联这一根线串联了起来,并开展多方合作。而无人驾驶肇事的风险源也变得更加分散和难以识别,比如车辆本身存在质量问题(比如制动装置不合格)、传感设备(比如雷达和摄像头)突然失灵、AI算法不够先进(在特殊场景下的错误决策)、系统有安全漏洞(比如被黑客攻击、劫持)甚至是驾驶员注意力不集中等,都可能引发一起严重的事故。
这些风险既可能存在于直接参与无人车生产的企业(我们称其为“直接利害关系人”)中,也可能存在于那些本身不参与无人车研发与生产,但是其产品、技术应用其中的下游供应商(我们称其为“间接利害关系人”)。直接利害关系人的重要性不言自明,但我们认为无人驾驶的风险控制工作不能局限直接利害关系人,而应穿透到间接利害关系人,其原因在于:间接利害关系人提供的技术、产品、服务等也是无人驾驶肇事的风险源。
因此,无人驾驶安全风险控制的首要原则应当是“风险穿透”——无人驾驶业务中的合规管理和风险控制尤其应实现与整个业务流程的深度地穿透式地整合,将合规管理嵌入地图及软件集成、核心部件供应、整车制造和运营服务提供的方方面面。
二、主动管理原则
目前无人驾驶项目主要采用的风险应对措施大多集中于事故发生后的补救和责任分担,比如向保险公司购买事故责任保险、事先约定事故责任分担方式等。但这些风险分担、转嫁措施的效果实际上是有限的,因为除了民事赔偿责任,利害关系人还可能面临行政处罚,甚至被追究刑事责任,而后两种风险都无法以协议或保险规避。
另外,无人驾驶肇事风险还将引发公关危机,由此引发的负面影响同样难以事后补救。就以Uber事故为例,即使Uber不必为事故承担法律责任,但“世界第一起无人车肇事致人死亡事件”引发的社会影响也迫使Uber暂停了无人车测试。
因此,与其将重点放在事故发生后的责任分担、被动“等待”事故的发生,不如选择主动出击,构建无人驾驶风险管理体系,尽可能降低事故可能性,把风险管控于萌芽之中。
三、联合管理原则
在以上两点原则的基础上,我们提出联合管理原则,意思是无人驾驶项目的各个利害关系人应共同建立跨行业、跨平台、跨企业的风险管理体系,而非各方“单打独斗”。原因有二:首先,基于风险穿透原则,单靠内部风险管理制度,即使再严格,也无法保证其他环节不出错;其次,为了防止无人驾驶肇事,各利害关系人的目标是一致的,都希望尽可能控制无人驾驶风险,因此都有动力共同搭建风险管理体系。
横过手机看大图
在实际操作中,我们建议搭建双层风险管理架构:与无人驾驶项目具有强相关性的直接利害关系人构成第一层,各方组建统一领导机构,制定风险管理政策、设计风险管理流程、明确各方义务并制定罚则;与无人驾驶项目相关性相对较弱的间接利益方则构成第二层,领导机构可对其提供的产品、服务、技术提出要求,并由与其直接关联的直接利害关系人负责落实,落实的情况应及时向领导机构反馈,同时接受其他直接利害关系人的监督。此架构既可保证风险管理体系的强制力,又避免了因参与方过多导致的效率低下、成本过高等不足。
总之,无人驾驶从研发、落地到生产、销售,无人驾驶安全出行是一个必需完成的任务,而科学地识别、评价并控制风险才能帮助无人驾驶产业链上的方方面面一起完成这个貌似不可能完成的任务并真正实现无人驾驶安全出行与风险管控的闭环管理。
合规2.0时代已经到来,合规管理的新姿势你准备好了吗?
栏目由北京大成(上海)律师事务所高级合伙人陈立彤律师主持。陈立彤律师是大成上海办公室高级合伙人、中国律师、美国纽约州律师、福特公司前亚太区合规总监、香港国际仲裁中心仲裁员、国际风险与合规协会副会长(Deputy Chairman of International Risk and Compliance Association)、中国企业文化促进会合规文化工作委员会会长、国际标准组织ISO技术委员会TC309相关工作组成员,作为中国代表团成员参与制定合规管理体系、反贿赂管理体系、法律风险管理等ISO标准并担任中国国家标准《合规管理体系指南》工作组副组长;著有《商业贿赂风险管理》、《企业国际化中合规风险的爆发与防控》(即将出版);担任中兴康讯的独董及出口委员会委员;入选司法部“全国千名涉外律师人才名单”。陈立彤律师是“全球智能网联论坛”首席数据合规顾问,该论坛的运营公司是全国信息安全标准化技术委员会SWG-BDS大数据安全特别工作组公司成员——该工作组负责起草的标准之一是《信息安全技术 个人信息安全规范》。陈立彤律师的联系方式:
henry.chen@dentons.cn
点击阅读原文加入中国企业文化促进会合规文化工作委员会
长按二维码关注我们
铁肩担道义,拳拳报国心—— 专访陈方 中国航发商用航空发动机公司法律事务部副部长
惠氏中国法务与合规负责人陈放专访| 从未停止思考,一直追求变化
您也可以点击左下方“阅读原文”在线报名加入合规文化工作委员会: