[ 鄭楚新 ]——(2022-7-3) / 已閱4371次
淺析構建合規與內控、風險及法務一體化全面風險管理體系
【摘要】近年來隨著中國企業在世界范圍內若干重大合規事件的發生,以及中國政府層面相繼頒布央企合規指引及企業境外經營合規指引等文件,合規已經成為中國企業必須要考慮的一個重要問題。但對于合規的一些基本問題,包括概念、起源、范圍,以及合規與內控、風險及法務的關系和如何建立健全有效的合規管理體系等,在實務中并沒有一個統一的標準。據此,企業應當如何建立健全合規與內控、風險及法務一體化全面風險管理體系的構成,以及合規、內控、風險及法務管理四者的關系,針對四位一體化全面風險管理體系的初步構建并在實務中結合實際不斷發展與優化,使合規與內控、風險及法務管理一體化可以充分全面控制企業的風險,從而減少或者降低企業的風險,確保企業穩健經營。本文從合規管理實務的起源入手,對合規的一些基本問題進行研究探討,并對中國企業建立有效的合規管理體系進行分析研究,本文認為中國企業的合規管理體系建設首先應結合企業自身特點和實際經營情況而制定,不能一概而論。
前 言
2018年6月,中興通訊因違反美國出口管制法律而與美國政府剛達成和解協議,2018年10月,華為CFO就因涉嫌違反美國出口管制法律而在加拿大國籍機場被逮捕,經過一段時間的辯護維權措施,才得以從加拿大刑事司法程序中釋放回國,2019年4月,香港民政局前局長因違反美國《反海外腐敗法》(FCPA)被美國聯邦法院判處有期徒刑3年,罰金40萬。實際上,根據美國司法部公開的案例,僅從2016年1月至2019年1月,因違反美國出口管制法律而被起訴的全球63家企業中,就有25家中國企業和個人,已經超過1/3,在世界銀行公布的處罰名單中,中國企業從幾年前的屈指可數到目前已經累計至數百家因違反世行規則而先后受到制裁,其中很多涉及建筑行業,且多系在參與世行項目過程中“欺詐”所致。據此,在全球經濟一體化的大環境下,以及中國一帶一路的倡議和踐行過程中,中國企業建立有效的合規管理體系,已經迫在眉睫。
與此相適應,從2018年11月啟動合規新標準的制定工作以來,歷時3年多,五個階段,2021年4月13日企業合規領域國際層面的重磅標準——ISO 37301:2021《合規管理體系要求及使用指南》(Compliance management systems — Requirements with guidance for use)正式發布實施,從2016年開始已有五家央企試點建立合規體系,以及后續逐漸出現各專業律師事務所機構亦都重視對企業合規管理體系制度的建設,但實際運行效果如何尚不得而知。然而,隨著國際社會對中國企業因重大違規事件進行處罰而引發的中國企業對合規的關注,以及中國政府及司法機關層面對合規的高度重視,可以預見包括央企在內的不同級別的國企以及民企將在接下來的時間會意識到合規的重要性,從而期望可以建立一部有效并可執行的合規管理體系制度。因此,如何建立有效的合規管理體系制度,將是中國企業接下來很長一段時間內將要面對的一個重要問題。
一、合規管理的概念
根據《中央企業合規管理指引(試行)》所稱合規管理,是指以有效防控合規風險為目的,以企業和員工經營管理行為為對象,開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動。
在歐美國家早期的合規概念主要集中于誠信經營及反商業賄賂領域。比如美國的《反海外腐敗法》(FCPA法案),自1977年立法至今已有四十多年,美國很多公司合規部門主要的職責就是確保公司經營符合FCPA的要求,而對于FCPA而言,其核心的內容就是禁止以賄賂的方法獲取或保留業務。在歐美的世界500強公司中,雖然有些僅設法務部,合規部隸屬于法務部,是法務部門的一個內設機構,但在很多公司中,合規部門卻是一個獨立于法務的部門,而且合規部門的工作仍以反商業賄賂為主,以其他領域的合規工作為輔,包括但不限于反壟斷、勞動用工、個人隱私和數據保護及出口管制等。這一點也體現在歐美國家的執法部門,經常引人注目的合規案件,大部分仍然集中在反商業賄賂領域。美國的兩大執法機構證券交易委員會(SEC)和司法部(DOJ)不定期頒布的FCPA案件,依然被各大歐美公司合規部門密切關注和經常引用,并作為企業日常合規工作的重要官方參考和指引。
在中國涉外律師早期的合規業務中,基本來源于美國在華企業違反美國的FCPA法。因此,在涉外律師早先的概念中,合規基本上指的是要合乎美國FCPA法案要求的反賄賂條款和會計條款。當然,對于其他方面的合規,比如反壟斷、反洗錢、勞動、稅務、海關進出口以及出口管制等,也會涉及,但在涉外律師早期的合規業務中,反商業賄賂曾一度占據主要地位。而一些全球組織,比如經濟合作與發展組織(OECD)、世界銀行等,對于合規的定義,也主要在誠信經營和反商業賄賂等方面。但隨著時代的發展,合規的概念和范圍也在不斷延伸和優化。比如隨著互聯網的普及以及智能化軟件、工具和科技越來越多的使用,個人隱私和數據保護合規,最近幾年發展迅速,成為合規領域一個越來越重要的分支。再如,隨著中興通訊和華為事件的發生,中國企業也越來越關注美國出口管制領域的合規。
在中國,尤其是伴隨著《中央企業合規管理指引(試行)》和《企業境外經營合規管理指引》的頒布,以及最近于2021年4月13日發布的企業合規領域國際層面的標準——ISO 37301:2021《合規管理體系要求及使用指南》,在中國企業的概念中,合規更多指的是全面合規、整體合規,即全方位、各環節、各領域都要合規,包括但不限于反商業賄賂、反洗錢、反壟斷、知識產權、出口管制與海關、個人隱私與數據保護、稅務、環境保護及勞動用工等。但實際上,如果說合規與其他法律問題有何本質區別的話,那么合規關注更多的是因政府的行政監管或司法機關的刑事追責而可能引起的重大法律風險。如果只是一般的民事法律責任,通常并不需要納入合規管理體系,比如民法概念中的違約責任或侵權責任等。
從具體的概念層面來看,通常理解合規指的是遵守國家法律、法規及政策,以及國際法中國際條約、國際慣例、行業規范,包括企業內部規章制度等。但對于每一個具體的企業及其員工來講,合規指的就是遵守企業內部的規章制度,而企業內部的規章制度同時也是來源于國家的法律、法規及政策,以及國際法中國際慣例和國際條約、行業規范等各個不同級別的強制性法律規范,如果企業內部的規章制度沒有規定的,才需要到外部的強制性法律規范條文中去尋找行為依據,甚至是更高的道德層面的要求,比如誠信原則。
因此,對于合規的概念,由于合規在中國才剛剛起步,對于中國企業而言,目前會更加關注合規體系制度的建設,而且剛開始,企業通常期望建立全面合規、整體合規,即全方位、各環節、各領域的內部規章制度,且是有效可以執行的一部合規管理體系制度。在建章立制后,企業會自然更加關注合規制度實際運行的效果問題以及樹立正確的合規管理理念和文化的問題。與此同時,合規本身也會隨著企業的發展變化并不斷延伸和優化。即將遵循ISO 37301:2021《合規管理體系要求及使用指南》的標準,其中最重要的優勢就是它的整體方法標準將遵循連續提升的模型,即:開發-實施-評價-保持(這就是所謂的“PDCA 循環”——計劃、執行、核查、行動——由質量管理開始)。
二、合規、內控、風險、法務的起源
1、合規起源于2017年的中興事件,通過該事件,使國內企業進一步意識到合規管理的重要性。企業不能為追求短期目標而急功近利,不能因不當商業行為,片面追求收益而不講條件、范圍,認為風險越大、收益越高的觀念和做法。同時,也要防止單純為規避風險而放棄發展機遇。因此,構建合規管理體系,進一步規范企業營商行為,勢在必行。
2、內控起源于中國內控體系建設和強化開始于2008年,財政部聯合證監會、銀監會、保監會、審計署發布了《企業內部控制基本規范》,此規范開啟了中國內控體系建設的大幕。與美國不同的是,國內的內控體系目標定位不僅限于財務目標控制,也包括業務目標的控制。國內企業據此構建內控體系,既提升了管理的精細化程度,也為國內企業赴海外上市強化了基礎。
3、風險起源于2006年,國務院國資委發布了《中央企業全面風險管理指引》,國企紛紛開始構建風險管理體系。央企投資項目動輒幾億、幾十億資金,而資金的回籠時間較長,中間存在很多不確定性,這些不確定性就是企業需要管理的風險,對此,需要一套科學的系統對這些不確定性進行預測、評估、提出對策,以保證企業的經營目標實現。
4、法務起源于1842年美孚石油公司成立了全球第一家企業法律部門,1981年中國機械進出口、武鋼等設立了法律部門。1997年國家經貿委頒布的《企業法律顧問管理辦法》,標志著中國企業法律顧問機制的確立。其后,大型企業專設的法律事務部,逐漸成為企業重要的職能部門。2015年國資委發布《關于全面推進法治央企建設的意見》后,依法治企便成為依法治國戰略的重要內容,企業法務從審合同、處理訴訟案件的專項法律事務進入到控風險、當參謀的企業管理,其責任和重要性進一步得到了彰顯。
三、合規與內控、風險及法務管理的關系
合規與內控、風險及法務管理,都是為了預防、減少公司風險。但四者之間,既有聯系,也有區別。
1、合規與內控的聯系與區別
首先,內控與合規有明顯的區別。比如,內控主要關注企業的財務問題或現金流向等問題。從制度層面來講,內控通常會關注與財務相關的規章制度等問題,而合規則更關注根本性的、關系公司全局性的問題。如果從一個更高層面來講,內控僅關注制度,而合規是一個公司全局性的完善的體系,涉及公司內部規章制度、公司管理層態度、溝通與交流、培訓、不斷持續改進、調查、懲戒等,合規最終的目標是確保公司的各項運營,不但符合法律法規和公司內部規章制度,以避免行政處罰或刑事處罰所帶來的風險,而且最終是期望建立一個合法合規的公司理念與文化。從這個角度看,內控只是合規體系的一部分。
其次,這兩個部門之間也有很緊密的聯系。比如目標都是一樣的,都期望幫助公司做好預防工作,將風險防患于未然,而且在做合規審計和持續改進時,合規部門通常會邀請內控部門一起組成工作組,進行合規審計,撰寫合規審計報告,并就審計中發現的問題,提出改進意見,以做到持續改進等。
2、合規與風險控制的聯系與區別
對于企業而言,風險是各種各樣的,按照不同標準劃分也可以分成不同的風險,比如按照是否與法律直接相關,就可以簡單分為商業風險和法律風險。早在2006年國務院國資委頒布的《中央企業全面風險管理指引》第三條就指出,企業風險是未來的不確定性對企業經營可能產生的各方面的影響,包括戰略風險、財務風險、市場風險、運營風險、法律風險等。因此,只要是為控制企業風險而采取的各種措施都可以納入風險控制體系。而合規風險則是企業整個風險中的一部分,而且通常是法律風險中最重要的一些風險,即與行政監管和刑事司法有關的、容易引起企業生死存亡的重大法律風險,所以現在世界各國普遍把合規風險單獨列出來做為一類風險并提倡建立相應的合規管理體系。國務院國資委在出臺央企風險管理指引多年后,又在2018年出臺央企合規管理指引,或許正是基于這種考慮。
3、合規與法務管理的聯系與區別
首先,法務和合規工作范圍有明顯區別。在公司里,有一些工作明顯屬于法務部門,比如審核合同、修改合同,投資并購,訴訟,包括債務糾紛、勞動糾紛、產品責任糾紛、知識產權申請、維護及知識產權訴訟等。而有些看似與法務相關的法律工作,則明顯屬于合規部門,比如對第三方管理、捐贈與禮物、與政府官員交往,內部違規的調查以及審計等。此外,如果是因政府行政監管或司法機關刑事追責有關的事務,包括接受行政監管部門的調查、處理或司法機關的偵查、刑事處罰等,一般也會歸屬到合規部門職責范圍。
其次,從組織結構來講,歐美很多公司都會設置合規委員會,并定期向董事會報告。然而一般情況下,對于法務部門,則幾乎沒有就法律問題會成立類似的公司層面的工作委員會。
最后,二者也有很多聯系,工作上也有很多需要相互配合。比如合規也會審核合同,但它更多的會看一些法務部門審核以外的法律問題,比如反商業賄賂條款,價格或支付的對價是否符合公允的市場價,是否有壟斷嫌疑,交易主體是否曾有不合規歷史等。有些則以法務為主,合規部門為輔。比如,跨國公司大型并購,通常是由法務領銜,從一開始的項目論證,到對目標公司的盡調、談判、起草文件,以及最后到相關政府部門辦理股權變更等。而合規則只是整個項目的一部分,比如合規會關注目標公司經營過程中的重大合規問題,比如是否有商業賄賂,經營模式是否有刑事風險,是否有逃稅,公司員工社保是否繳納等。但有些事務也會由合規主導,法務配合。比如對于違規事件的合規調查或審計中,在合規部門主導調查或審計時,也需要法務提供法律意見,以確定違規事件的嚴重性。
因此,合規與內控、風險及法務管理的關系有其共通之處,如四者都是以風險管理為對象,以法律作為基礎。
四、合規、內控、風險、法務一體化全面風險管理體系的構建
中國企業的合規體系建設體系化或者單獨的作為一個概念提出來雖然較晚,但并非沒有做過與合規相關的工作。比如銀行業的合規指引很早就已出臺,央企的風險控制指引也很早就出臺。但這也恰巧說明風控和合規還是有區別,因為在經歷風控之后,現在政府層面仍然提出了合規指引。因此,提倡建立獨立的、體系化的合規體系仍有必要。
然而,說到合規體系建設,目前國內企業對外部律師提出這個要求時,往往認為外部律師只要幫助企業建立一套規章制度就算合規體系建設完成。但實際上合規體系的建立,是一個系統工程。完善的企業制度固然是合規體系建設中極其重要也是非常基礎的一部分,但這也只是其中一部分。制度建立以后,比制度更重要的是有效地運行、持續改進以及合規理念、文化的建立等。
(一)“四位一體化”全面風險管理體系制度
1、合規風險
根據《中央企業合規管理指引(試行)》所稱合規,是指中央企業及其員工的經營管理行為符合法律法規、監管規定、行業準則和企業章程、規章制度以及國際條約、規則等要求。
所稱合規風險,是指中央企業及其員工因不合規行為,引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性。
所稱合規管理,是指以有效防控合規風險為目的,以企業和員工經營管理行為為對象,開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動。
建立合規制度是有效合規體系最重要的基礎。而建立制度的前提,就是要全面、準確識別企業自身的風險。關于合規風險,依據企業所屬的行業(比如醫療、銀行金融、建筑)、類型(生產、貿易等)及企業經營所在的國別等各種因素,每個企業的合規風險就不同。這就決定了在建立或完善制度時,首先需要清楚地識別企業自身的合規風險,才能有針對性地建立不同的內部規章制度。
比如,金融行業和生產型企業合規要求就會差異很大。此外,并不是每家企業都需要關注美國的出口管制規定,因為并不是每家企業都從美國進口零部件。也不是美國企業都需要去了解美國的FCPA法案,因為不是每家企業都會在美國有經營或者與美國有關聯。再如,不是每家企業都需要關注世界銀行的合規誠信指南,因為不是每家企業都會參與世行項目。
2、合規制度
根據《中央企業合規管理指引(試行)》的規定,加快建立健全合規管理體系應當遵循以下原則:
(一)全面覆蓋。堅持將合規要求覆蓋各業務領域、各部門、各級子企業和分支機構、全體員工,貫穿決策、執行、監督全流程;
(二)強化責任。把加強合規管理作為企業主要負責人履行推進法治建設第一責任人職責的重要內容。建立全員合規責任制,明確管理人員和各崗位員工的合規責任并督促有效落實;
(三)協同聯動。推動合規管理與法律風險防范、監察、審計、內控、風險管理等工作相統籌、相銜接,確保合規管理體系有效運行;
(四)客觀獨立。嚴格依照法律法規等規定對企業和員工行為進行客觀評價和處理。合規管理牽頭部門獨立履行職責,不受其他部門和人員的干涉。
通過五家試點央企公開披露的信息可以看到,在合規體系建設中,一般都在企業頒布合規管理規定或合規手冊。這個可以視為是整個合規制度中的重中之重。在這個總則性的文件中,它是綱領性文件。首先它通常都會在引言部分闡明合規的意義和重要性。其次,會將企業認為最重要的問題,以列舉的方式一一列出,比如不得以賄賂的方式開展業務,不得性騷擾,反壟斷,不得內幕交易,遵守勞動法等等。
總共3頁 1 [2] [3]
下一頁
