中国企业合规管理体系建设已进入攻坚期和深水区
日期:2023-07-12引言
在我过去在从北京到深圳工作三年多期间,根据我与政府工作人员、学者、企业高管、企业法务、法律同行的交流和讨论,结合我多年从事合规法律服务的经验,让我对国内企业合规管理体系的建设产生了诸多思考。据我观察,我国合规管理体系建设进程发展至今,已经进入了攻坚期与深水区,而在这一阶段,我国政府、企业等合规管理主体仍然任重而道远。
一、国内企业合规建设概况
自2018年起,以美国为首的西方国家频频以维护国家安全、保护人权为由,加大了对我国企业的制裁力度,妨碍我国企业“走出去”的步伐,尤其是华为、中兴遭受的重创引起了我国政府及企业对于合规工作的高度重视。面对复杂、严峻的外部环境,深圳乃至全国的高科技企业防御措施严重不足,防范合规风险已经迫在眉睫;除此之外,我国内部营商环境也呼应着合规工作的普及,不规范、不完备的企业管理体系无法保障企业在市场中保持活力与竞争力,严重者还会使企业及其负责人面对行政处罚和刑事指控风险,不利于企业的长远经营,不利于我国的法治营商环境的优化。
在此环境下,中央高度重视合规管理工作,2018年国务院国资委印发《中央企业合规管理指引(试行)》,国家发展改革委等部门印发了《企业境外经营合规管理指引》,并组织编制了一系列重点领域合规指南,回应了我国合规建设的需要。彼时,人们称2018年为中国企业合规管理的“合规元年”,我国合规本土化进程于当时正式开启。
自“合规元年”以来,中央至地方均发布了政策文件以保证合规工作普及并执行落地:中央方面,国务院国资委于2019年发布了《关于加强中央企业内部控制体系建设与监督工作的实施意见》;国务院反垄断委员会于2020年发布了《经营者反垄断合规指南》;2022年被确定为中央企业“合规管理强化年”,为进一步加大合规体系建设的推动力度,国务院国资委发布了《中央企业合规管理办法》,国家标准GB/T 35770—2022《合规管理体系要求及使用指南》也正式发布。为响应中央,广东省国资委也于2020年颁布了《广东省省属企业合规管理指引(试行)》,并于2022年4月出台了《省属企业“合规管理强化年”行动方案》,将省属企业合规分为部署启动、深化推进与总结验收三个阶段,力争3年内,全部省属企业通过ISO 37301贯标认证。
而深圳作为粤港澳大湾区的重要城市,在合规建设中始终走在全国前列。2019年5月,宝安区作为深圳首个企业合规建设示范区,被确定为全国首个信用标准化建设试点,着力推进行政合规、行业合规、园区合规、企业合规、信用合规5个合规重点,并于2020年3月被选为全国6个企业合规改革首期试点基层单位之一。2020年10月,深圳率先推出了“柔性执法8条”,切实保护企业市场主体地位。2021年3月,《宝安区推动企业合规建设 优化法治化营商环境工作方案》正式印发,目标是到2022年,区重点企业合规建设基本实现全覆盖,形成一批可复制可推广的经验做法,初步建成全国企业合规建设示范区。深圳市国资委亦计划在2至3年左右实现全部市属企业通过ISO 37301贯标认证,并部署了市属国企推进合规建设从2023年至2025年的三年行动计划,从“合规管理全面推广年”发展至“合规管理深化拓展年”,最后实现“合规管理巩固提升年”。我非常有幸与徐孟君律师和何谦律师在过去18个月里参与了深圳市属国企的合规建设规则、标准与合规要求的制定;在深圳市国资委推动的市属国企合规建设中参与了4家试点企业(深投控、深圳地铁、深业集团、国信证券)的合规试点工作和评估验收标准制定、试点评估验收工作;在深圳市国资委出台《市属国有企业高质量推进合规管理三年行动计划(2023-2025 年)》(深国资委[2023]97号)和《市属国有企业合规管理体系建设指引(试行)》(深国资委[2023]96号)过程中积极建言献策,并提供了相关咨询。
可见,从中央至地方的各级政府均对合规建设提供了指引与部署,但实际上,即使如今合规建设发展到了攻坚期与深水区(注:有法律界的朋友对我说我国企业的合规管理体系建设还是处于“浅水区”而不是“深水区”,我这里所说的“深水区”指的是经过2018年以来的五年左右的努力和实践,我国企业合规管理已经进入“深水区”),企业在具体实践中仍面对着合规工作的诸多痛点难点。以我处理的几个大型企业合规业务为例,尽管在企业管理层的努力下,企业内部已经搭建起了合规管理体系、绘制了合规风险地图、罗列了详细的风险清单、制定了《合规管理办法》、建设了专项合规体系并开展了合规信息化建设,但企业在合规体系搭建中仍面临着以下几种困难与阻碍:
(1)合规范围广泛,无从下手;
(2)由于企业内人员增长快,合规时间短,理念不统一,导致企业合规文化建设不足,理念不统一;
(3)合规人员本身对合规的理念与要求无法讲透,导致合规管理团队专业化不足、影响力不够;
(4)企业内部合规的涉及面广,加之外部环境变化快,风险层出不穷,难以彻底应对,因此目前企业内仍缺乏行之有效的合规风险识别、预防和应对机制;
(5)企业合规人员仍不清楚如何把合规内容纳入绩效管控,将合规工作常态化,导致目前合规工作缺乏全覆盖、全渗透的方式流程;
(6)如何借助IT工具,通过智能化、信息化的工具使公司在动态发展中持续合规、搭建一个可持续发展的合规体系仍是问题。
(7)法务、合规、风控、内控、审计、监察六个部门职能存在重合,在合规体系建设中各部门权责并不清晰,分工并不明确,存在着一个合规体系“六张皮”的情况。
这些痛点与难点目前在企业合规建设的攻坚期阶段仍无法得到有效解决,成为企业合规体系搭建中的“硬伤”、“深水区”,若不着手寻求方法解决,将成为各企业合规建设中普遍遇到的问题。
二、合规体系建设进入攻坚期和深水区,企业应当如何做?
在我看来,合规体系建设至今,人财物等问题已经基本得到重视,企业合规建设推广阻碍大大减小,但在具体合规体系建设过程中,合规人员却仍未得到有效的方法论指导。因此,我认为,在当前阶段,合规体系建设的首要问题是合规的方法论问题。例如,若企业领导层在合规体系搭建中发现法务、合规、风控、内控、审计、监察六个部门均在做合规,则他们会对合规的具体资源与职能分配产生巨大疑问,这将不利于企业合规体系的有效建立,亦不利于企业合规的长远推行。以我从事合规工作的经历为基础,我认为,合规建设方法论应当做到合规管理体系的“三到位”。“三到位”是指合规建设应当做到意识到位、制度到位、落实到位,即通过“五大维度”(“领导参与”、“风险评估”、“合理的制度和程序”、“培训和沟通”、“监管、审核和响应”)进行企业合规建设,并在过程中建立合规的“三张清单”(合规义务清单、合规风险清单、合规责任清单)和“三道防线”(业务部门——合规、风控、内控等部门——纪检监察机构、审计等监督部门),最终实现合规管理委员会、首席合规官、合规管理部门、专业合规管理人员的合规工作到位,并通过搭建分级分类的合规管理体系(“道、法、术、器”)的加持实现合规流程的PDCA【(Plan)计划、(Do)执行、(Check)检查和(Act)处理四大质量管理阶段】循环,做到企业合规的系统化、制度化和常态化,从而在企业的治理层、决策层、执行层、监督层四大工作层面实现合规治理架构的“三全”(全领域覆盖、全级次穿透、全员高度认同),并在合规治理架构中以持续合规的“八板斧”(合规审查、检查、报告、考核、追责、处罚、奖励、评价)使企业合规具备完备性、实操性与有效性,从而实现合规的动态管理,同时,在合规过程中持续关注法律法规、监管规定、客户及商业合作伙伴的合规要求的变化,从而实现外规内化、内规优化,加强对企业风险边界的感知。
以下的图可以帮助大家更加清楚看到我以上的文字描述的含义。
方法论具体包括以下几个方面:
(一)建立“1+N+手册”的合规体系
企业应当以“领导参与”、“风险评估”、“合理的制度和程序”、“培训和沟通”、“监管、审核和响应”五大维度为基础进行合规管理体系的搭建,此即“1+N+手册”中的“1”。在此基础上,依据企业从事业务领域的具体情况,在合规中尽进行如出口管制合规、反商业贿赂合规、反垄断合规、数据合规、商业合作伙伴管理合规等不定项“N”方面的专项合规,并以风险为导向进行动态调整。最终形成企业独特的合规管理体系,并制作合规风险手册在企业内进行普及。专项合规就像手机里面的各个app,但如果没有手机里面的“操作系统(operating system)”,所有的app都是无法运行的,因此,我们需要重视合规管理体系(也即操作系统)的搭建。
以下的图可以帮助大家更加清楚看到我以上的文字描述的含义。
(二)搭建分级分类的合规管理体系(“道、法、术、器”)
首先,企业应该形成企业独特的合规文化与合规核心价值,此即合规的终极之“道”。其次,在此基础上,合规部门应当在企业内部颁布《合规管理办法》《合规手册》《法律事务管理办法》《控股企业风险管理与内部控制管理办法》等在内的合规指引或操作办法,从而将合规之“法”在企业内部进行普及宣传。接着下来,企业应当针对运营的具体业务,建立包括出口管制合规、反商业贿赂合规、反垄断合规、数据合规、商业合作伙伴管理合规等在内的专项合规制度,此即合规管理体系搭建之“术”;最后,合规体系搭建应当有具体的工具,此即“器”,具体来看,也就是企业应当制定合规执行计划与程序,如流程、表单、审批等工具,从而实现合规建设的信息化、智能化。如此分级分类搭建合规管理体系方能实现合规的PDCA循环。
以下的图可以帮助大家更加清楚看到我以上的文字描述的含义。
(三)从六要素开展合规管理体系建设工作
第一,让合规工作覆盖企业治理层、合规管理部门、业务部门、监督部门乃至全体员工,建立全面的合规组织体系。
第二,建立合规管理制度体系,颁布如《合规管理办法》《合规手册》等企业内部文件,并做好制度“立改废”工作,实现全层级制度搭建,动态化建设合规管理制度。
第三,建设合规管理协同机制、合规风险的识别/预警/报告及应对、合规咨询与审查机制、合规检查与整改机制,实现全覆盖流程管理,完善合规管理的运行机制。
第四,规范合规举报和问责、合规考核与评价、为合规建设配备充足的人财物资源,从而实现合规建设工作全方位保障到位,形成高效的合规管理保障机制。
第五,通过领导层承诺与推广、合规培训和宣导、合规奖惩等,实现全范围合规化管理。从而形成合规管理文化并实现合规的信息化建设。
第六,企业应当建立专项合规制度合规执行计划与程序,建立相关业务表单、合规审批流程,并开发合规业务的审批工具。
此外,在这合规六要素的建设过程中,应当使企业核心价值观与合规管理理念契合,从而重塑企业的核心价值。
(四)充分发挥合规管理部门在合规建设中的作用
前文已经提到,在合规体系建设的攻坚期与深水区,企业合规建设常常遇到一个合规体系“六张皮”的问题,因此,准确定位合规职能部门是企业合规体系建设的重中之重问题。
企业应当界定各个部门之间就专项合规领域(比如出口管制合规、反商业贿赂合规、反垄断合规、数据合规、商业合作伙伴管理合规等)的职责、分工和协同。其次,各个专项合规领域的牵头部门(Owner)应依据合规目标和政策、组织架构和职责分配、风险评估、培训、管理措施和工具、举报调查、绩效考核7个方面来界定自己需要做什么来管控对应的合规风险,并将各个专项合规覆盖和渗透到企业的集团总部、全资子公司、控股子公司、参股公司。
此外,企业应当充分发挥合规管理部在合规建设中的重要作用,从而推动集团对所属企业的有效合规管控,防范风险。
以下的图可以帮助大家更加清楚看到我以上的文字描述的含义。
在具体合规工作中,合规管理部门应当明确划分企业合规的“三个重点”范围(重点领域、重点环节和重点岗位),并针对“三个重点”,明确合规管理部门的具体职责,从而将其嵌入相关业务制度、流程和系统,并制定合规部履行具体职责的工作流程/指引。其次,针对重点领域的合规风险,合规管理部门应当建立预警模型,并确定模型中的指标与对应阈值,探索如何将其嵌入相关业务系统,从而确保监测平台可获取到相关数据并进行预警。
而论及人员职责,合规管理部门内部则应当对所属企业的合规管理负责人拥有任免权并建立合规考核机制,设置考核指标,并将合规考核纳入绩效合约中。此外,应当建立合规问责机制,明确合规问责的情形、范围、对象和程序,将责任落实到人,将合规具体到人。
三、结语
在深圳工作三年多我受益匪浅,作为专门从事合规业务的律师,我希望为国内企业提供更多专业方案,进一步推进企业合规管理本土化进程,为顺利渡过合规管理体系建设的攻坚期和深水区贡献自身的一份微薄力量。
审稿人:徐孟君
