如何建立有效的合规体系?美国企业C&E项目实践的启示
近几年,由于中国企业走出去碰上了一些障碍和遭受的一些损失事件,特别是中兴事件之后,从国家层面出台了一些列政策文件加强合规管理工作。
可以说,2018年是中国的合规元年:
2018年7月1日,国家标准GB/T35770-2017《合规管理体系指南》正式实施;
2018年11月2日,国务院国资委发布《中央企业合规管理指引(试行)》发布实施;
2018年12月26日,国家发改委等七部门发布《企业境外经营合规管理指引》发布实施。
所以,企业对合规的重视其实是源于走出去和业务的全球化,如果仅在国内经营,合规的要求比较清晰、容易把握,合规风险应该说也是可控的。
可一旦走出国门,就不一样了。
对于起步较早的美国企业,他们的企业合规之路又是如何呢?
一、美国企业的合规要求
1、美国《反海外腐败法》(FCPA),1977年
1972年,美国总统选举发生了著名的“水门事件”,通过调查发现众多美国公众公司在全球各国经营进行非法捐款和贿赂,为了制止美国企业继续进行这样的行为,美国出台了反海外腐败法案,简称FCPA。
FCPA由两部分条款组成,会计账目条款和反贿赂条款,违反任一条款,均构成刑事犯罪。
之前我们介绍内部控制的前世今生时,也提到过水门事件,这个事件不仅推动了为了保持会计记录有效性的内部控制的发展,也推动了企业合规管理工作。
由此看来,美国企业的合规起点和中国企业一样,都是走出本国国门,进行跨国经营时触发的。
2、《美国审判指南》(USSG),2004年
《美国审判指南》第8B2.1条明确提出了如何建立一套有效的合规管理体系以及其7个要素,这也是近年来美国企业建立合规体系时参考最多的一个框架。
对于FCPA的企业合规内容调查,也参考了这个条款。
该指南明确要求,当公司因其不当行为被定罪判刑时,要看其事先是否建立了一套合规体系,可以尽可能提前识别和阻止犯罪行为,这将直接影响美国司法机关对该公司的罚金与量刑的决定。
这让我想起来前些年,国资委在推行国有企业的全面风险管理体系时,有一位国资委的主管领导表达过的一个观点:
建立了风险管理体系并不能一定保证不出损失,但要看之前是否已经识别出来了这种风险,如果损失发生了,之前连这种风险都没有识别出来,没有在你的风险清单里,要加重处罚。
一样的道理。
3、美国司法部《企业合规程序评估》,2017年
2017年,美国司法部(DOJ)发布了《企业合规程序评估》(Evaluation of Corporate Compliance Programs)。通过在十一个大类项下列出了问题检查清单,让企业可以对照这份清单,对自身的合规体系的有效性进行评估,从而达到评估自身合规体系水平的目的。
在内容上也考虑了2004年《美国审批指南》里的内容。
此文件于去年被重新更新。
除了上面提到的这几个政策,还有一些美国主导的国际组织的相关要求不再列示。
由上可以看出,指导美国企业的合规体系建设工作的文件,《美国审判指南》的第8B2.1条提出的七要素值得重点关注,在美国企业合规体系建设过程中形成了一定的共识,在此基础上,美国企业合规管理的多年实践可以为我们提供一定的参考意义。
下面,我们就和大家把这七个要素展开聊一聊。
二、合规与道德规范并重
首先,美国审判指南中提到的合规并不是单独提出的,而是和道德规范一并提出的,称为Compliance and Ethics Program,简称C&E program。
大家可能听说过,华为有一个委员会,叫道德遵从委员会(Office of Ethics and Compliance),简称OEC,是一个意思。
为什么合规工作要和强调员工的道德规范放在一起?
我们之前和大家介绍过企业风险管理的原则,企业建立合规体系是为了防范合规风险,所以本质上合规体系也是企业风险管理体系的一部分。
要防范(合规)风险,一要靠规则、靠制度,让大家知道哪些是红线,不可逾越,这是硬要求。但是,硬要求还需要有软环境配合,比如风险(合规)文化、风险(合规)意识、一些灰色地带的处理等等,虽然没有硬性要求,但同样重要,有时是对员工在道德层面提出要求,使其在核心价值观上与企业保持一致。
软硬结合,才能发挥最大效用。
三、合规体系的七个要素
1、标准和程序
组织通过建立标准和程序表明对合规和道德的承诺以及遵守法律和法规的文化。这样的标准应适用于所有员工,管理层和董事会。
有些准则也应适用于第三方,例如供应商和客户等。
合规体系必不可少的两种类型的政策和程序:结构性和实质性。
结构性政策为程序的运行创建了框架。
实质性政策针对组织在适用于其业务活动的关键法律、法规和标准上的立场和偏好。
结构性政策和程序包括设立合规官、合规委员会,定义董事会的角色和职责的结构和程序。
实质性政策的重点是通过传达组织对员工在个别风险领域中的期望,防止和发现特定的合规违规行为(例如贿赂,虚假索赔,反托拉斯,环境,记录保留)。
在这一要素的要求下,我所了解的很多外资企业都起草了行为规范手册(Code of Conduct)。
2、治理、检视和授权
合规和道德规范应受到董事会,管理层和首席合规官级别的有效监督。
董事会负有明确责任确保有效的C&E工作到位,并对该工作进行充分的监督。董事会还必须确保首席合规官处于组织的高级职位,并拥有足够的资源和权限来有效地管理该计划。
董事会可以将合规监督委派给一个委员会,例如风险管理委员会、合规委员会、审计委员会等。
合规管理职能的独立性和自主性非常重要。首席合规官应该建立与董事会或专业委员会的报告关系,即使他可能也同时需要汇报给首席执行官。
CCO日常负责执行C&E工作,并且必须拥有必要的资源和信息访问权以运行该项工作。
3、对授权的尽职调查
组织应在雇用新员工之前的合规及道德情况进行背景调查,并在法律允许或要求时进行定期检查。此外,在将员工提升为更高权限的职位时,组织应考虑此人过去对组织的C&E工作的支持情况。
这让我想起了互联网领域的成立的一个联盟,叫阳光诚信联盟,所有的成员企业互相分享违法违规的员工信息,一旦此员工由于此行为被开除,成员单位招聘时很容易对其进行背景调查,提高其违法违规的成本。
尽职调查的范围应随着责任级别的提高而增长,合规职能可能希望与人力资源和其他职能部门一起设计这些工作。
4、沟通和培训
对董事会和所有员工每年至少进行一次常规培训,涵盖行为准则、保持合规和道德文化,如何寻求指导和报告可疑问题、组织的保护举报人政策等。
重点培训将深入特定合规风险领域,关键内部控制以及与特定风险相关的其他程序。因此,通常只要求那些担负着涉及那些风险领域关键角色的员工参加此类培训。
培训方式可以是多种多样,可以线下或线上,可以采取实时和录播等等,还有一些案例分享。
我印象中比较大型的跨国企业都非常重视合规培训工作,而且是强制每个员工按时完成的。
5、监督、审计和报告
监督是指对过程是否按预期进行操作以评估系统的改进进行评估。有时,“监督”一词的使用范围较窄,与“审计”形成对比,其中审计是指独立于系统的个人进行的评估。
审计和监督都使用相同的方法和技术,目的是确保系统性能随时间推移的质量,并有助于其不断改进。
审计可以由内部审计部门,其他第三方执行,也可以由合规职能部门内的个人(如果结构合理)来保持独立性。监督通常由保证职能部门或正在审查的职能部门内的经理,主管和其他员工执行。
监督和审计计划是合规计划有效性的重要驱动力,应基于定期风险评估来设计和更新。监督和审计活动的目标应是:
(1)发现不合规(或不合规的迹象)
(2)识别合规内部控制中的故障,例如预防性或侦查性控制未按设计起作用的区域。
某些员工在离开组织之前也可能不习惯报告错误行为。因此,离职员工的离职面试应为员工提供最后机会,以报告可疑的不当行为,并提供与C&E计划相关的其他领域的反馈。
6、激励和执行
有些不遵守的行为可能是完全无意的,通常是由于无效的内部控制,无效的培训或新员工入职,对程序的误解,不良的文化或只是粗心的结果。
除非持续执行优化流程或内部控制,否则流程和内部控制会随着时间自然恶化。不遵守也可能是故意的,由知道自己违反组织政策并且可能知道自己在此过程中违反法律和法规的员工执行。
USSG要求使用激励措施和类似工具来促进持续参与和/或执行C&E计划。激励措施可以是财务方面的,也可以是非财务方面的,可以与组织的绩效管理系统有效地集成在一起。
7、对错误行为的反应
如果一个组织的时间足够长或足够大,那么无论该体系的有效性如何,都不可避免地会出现违规行为。
组织为应对违规行为所做的工作是区分有效和无效的重要因素。应对不法行为有两个关键方面:调查和补救。
合规性调查必须迅速,彻底,对所有各方公平,并且应由独立于主题且没有其他冲突的个人进行。
进行合规性调查的其他主要注意事项包括:
1.通知-应向谁告知调查情况(例如,领导人,法律,外部人士)?
2.专业知识-组织是否具有进行调查所需的全部专业知识,还是应引入外部援助?
3.合规性的介入-无论合规性官员是否在进行调查,都应在此过程中告知合规性官员并让其参与进来。
4.文件-收集,保护和保存作为调查一部分收集的证据和其他文件。
5.监督和管理-调查越大,以使所有相关方对其工作进行监督和审查,并扩大范围要对调查进行妥善管理。
6.范围-从一开始就了解调查的范围,并据此制定调查计划。
如果现有政策和程序的设计合理,但执行这些控制措施失败,则补救措施只需要对某些员工组进行这些控制措施的培训(或再培训),以及恢复或引入适当的监控流程。
在其他情况下,补救工作涉及更多的工作,如修改政策和程序,改进预防控制,更改业务流程或激励措施以及任何其他补救措施都应旨在确保不再发生特定的违规行为。
以上就是美国企业合规体系建设中必须考虑的七个要素。
ISO国际标准化组织在2014年发布了《ISO19600:合规管理体系-指南》,并于近期转变为有更高实施力度的ISO37301标准,其中的五要素框架在内容上和上面的七要素有很多重合地方。
所以,我们今天再来看一看美国企业的合规管理工作一路走来的经验是很有必要的。
参考阅读
精华汇总