[ 鄭楚新 ]——(2022-7-3) / 已閱5240次
在這個綱領性文件之下,則有一系列配套文件,比如第三方管理,捐贈與禮品等。至于具體實施性文件,五家央企均未對外公布。但如果是健全的,應當會涉及合規管理的方方面面,比如合規體系中共同的部分,合規組織架構,包括部門成員、職責等,合規委員會議事規則,合規激勵與獎懲,違規事件報告與調查,合規培訓,合規審計與持續改進,然后也會有各個法律領域的規章制度,比如反商業賄賂領域的捐贈與禮品制度,對第三方管理制度等。如上所述,因為每個企業的合規風險都不一樣,所以每家企業的制度也不會一樣,而且不可能一勞永逸。
對于集團性質的企業,在幫助總部建立合規體系后,還要考慮個子公司和分支機構的特點,具體制定切實可行的制度、組織架構和運營方式。對于有境外業務的走出去的企業,則還需要考慮企業經營所在國的不同國別合規風險。
3、合規組織架構
在合規體系的有效運行中,合規部門的設立和組織架構是很重要的一個環節。按照國務院國資委現行頒布的《中央企業合規管理指引(試行)》第十條:“法律事務機構或其他相關機構為合規管理牽頭部門”。這種設置并不是說一定不合適。但這是否會影響合規部門的獨立性、自主性?比如,涉及公司高管的違規問題,合規部門去調查,是否有足夠的權威性和足夠的獨立性?在歐美國家很多公司中,為保障合規部門能夠有效地履行職責,雖然在部門設置上和其他部門都是平行的,但合規部門通常是獨立的部門,享有極高的自主性,實際上也享有很高的地位,因為首席合規官可以展開獨立調查,可以向董事會和CEO直接匯報。
這次中興通訊也是個值得關注的例子。之前它也有自己的法務合規部。但從最后事件的發生來看,它的合規部門可能在事發當時就很難做到獨立,因為在經營過程中雖明知違反美國出口管制法律,但并沒有制止。甚至在2012年左右發生過一次違規事件后,仍然發生公司管理層偽造相關文件,以應付美國調查,但最終還是被美國相關部門在機場當場查出文件,被證明違反了美國的出口管制法律。而中興通訊的產品很大程度上仍依賴于美國,因此它最終不得不接受了美國政府的安排。最后在合規部門的安排上,中興通訊接受了美國執法部門直接指派的一位美國律師過來擔任中興通訊的合規官。雖然我們無從知曉合規官具體職責及效果,但從它的設置程序來看,它現在是獨立的,且有權向美國相關執法部門直接匯報。
3、合規運行
按照《中央企業合規管理指引(試行)》的規定,企業應當建立健全合規管理制度,制定全員普遍遵守的合規行為規范,并對重點領域制定專項合規管理建立有效的運行制度,并根據法律法規變化和監管動態,及時將外部有關合規要求轉化為內部規章制度,加強對以下重點領域的合規管理:
(一)市場交易。完善交易管理制度,嚴格履行決策批準程序,建立健全自律誠信體系,突出反商業賄賂、反壟斷、反不正當競爭,規范資產交易、招投標等活動;
(二)安全環保。嚴格執行國家安全生產、環境保護法律法規,完善企業生產規范和安全環保制度,加強監督檢查,及時發現并整改違規問題;
(三)產品質量。完善質量體系,加強過程控制,嚴把各環節質量關,提供優質產品和服務;
(四)勞動用工。嚴格遵守勞動法律法規,健全完善勞動合同管理制度,規范勞動合同簽訂、履行、變更和解除,切實維護勞動者合法權益;
(五)財務稅收。健全完善財務內部控制體系,嚴格執行財務事項操作和審批流程,嚴守財經紀律,強化依法納稅意識,嚴格遵守稅收法律政策;
(六)知識產權。及時申請注冊知識產權成果,規范實施許可和轉讓,加強對商業秘密和商標的保護,依法規范使用他人知識產權,防止侵權行為;
(七)商業伙伴。對重要商業伙伴開展合規調查,通過簽訂合規協議、要求作出合規承諾等方式促進商業伙伴行為合規。
關于有制度而運行出問題的,這方面的例子并不少。2013年發生在中國的葛蘭素史克(GSK)案是近年來發生的一個有合規制度卻并無有效運行機制的典型案例。GSK作為一家在制藥領域處于世界領先地位的全球性企業,它的合規制度不可謂不完善。然而,2013年5月份該公司卻爆發丑聞,該公司四位核心高管,包括總經理、人事總監、市場總監及法務總監,均被逮捕并最終均被判處刑罰。作為一家世界500強企業之一,而且是研制開發制藥企業協會(RDPAC)會員單位之一,它的內部規章制度應該很健全。然而就是在這種背景之下,卻仍然能發生這樣的重大違規事件并構成犯罪,只能說明它的合規制度運行有問題。其法務總監也卷入其中就說明合規在這家公司沒有得到很好的運行。事后證明,至少它的合規部門在公司日常經營中沒有真正做到獨立。同樣,它沒有事后持續的審計和持續改進,也沒有很好的對于公司內部違規事件的報告和調查機制等。從事后報道來看,GSK經營過程中出現的不合規并不是一天兩天,而是持續若干年。業務部門幾乎造假成風。他們在平時組織的所謂學術會議中,基本全部采用虛假的申請文件。而在后面的報銷流程中,則大量偽造會議照片、會議參與者假的簽名、虛假的演講PPT以及與旅行社合謀,開具虛假的會議場所使用發票等。然而從會議召開之前的審批到事后費用報銷,偌大的公司法務部、合規部、財務及內控等部門,卻都沒有發現。其制度和運行機制,完全形同虛設。一直到最后中國的執法部門收到涉嫌犯罪舉報進行刑事立案,才發現GSK極其嚴重的違規行為。以致最后構成犯罪,GSK中國區四大高管均被判處刑罰,而公司也被處以30億罰金而收場。
因此,一個完善的合規體系,應該遠遠不止是建立全面而完善的內部規章制度。在有制度的情況下,如何確保它持續、有效地運行,或許是比建規立制更重要的工作。而它的有效運行,如果參考美國司法部2012年頒布的FCPA指引,可以看到至少包括以下若干要素:企業最高層對合規的態度、合規組織、架構的建立、對于違規事件的內部匯報與調查機制、合規的溝通與培訓、對第三方的管理、合規激勵與懲罰、合規審計及持續有效的合規體系改進等。除此以外,一些國際組織的合規制度,也可作為參考,比如世界銀行頒布的《世界銀行集團誠信合規指南摘要》。
5、合規人才
在國家層面從2018年底開始,從上往下推行合規管理體系建設的背景來看,目前中國企業對建立合規體系的意識,尚沒有達到普及的程度。合規工作不僅要求具備廣泛的知識,尤其是法律,而且需要極其豐富的管理和協調能力,因為合規往往面對的都是企業重大問題,而且在為企業把好關的同時,還要保護企業正常的業務發展,這會導致業務部門與合規部門之間會有天然的矛盾。中國企業目前對于合規的需求并不完全相同,其中國企(包括央企和地方國企)基本上是應國務院國資委或各級地方國資委的要求才會去被動建立合規體系,而民企則更多是碰到行政處罰或刑事處罰時,才會想到去建立合規體系。與此相應,中國國內的合規人才目前并不是很多。從目前中國市場中比較活躍的合規從業員來看,主要有較早接觸合規業務的國際律師事務所律師,跨國公司合規部門的從業人員,以及大型央企、國企或民企中合規部門從業人員,還有國內一流律所中從事合規業務的律師,是目前國內主要的合規力量。因此,在目前起步階段,中國企業要建立合規體系,還需要外部有合規經驗的律師協助。之后,在企業建立合規體系的過程中或者積累一定經驗后,可以再發掘、培養了解和適應企業自身特點的合規從業人員。
6、國企與民企
國企與民企在建立合規體系時,在某些方面具有共通的地方,比如都要有基本的合規架構和運行機制,都要根據企業自身的特點、風險建立具體領域的合規制度,但國企也會有一些不同于民企的地方。比如,國企里面因為有國資成分,所以對于國資的合規運行可能會有不同于民企的專門規章制度。再如,國企的機構設置上,通常會有紀檢、黨委等不同于民企的部門設置,那么在合規機構的設置上,可能需要根據這些機構在國企的分工來合理設置。同時在企業員工的構成上,國企還會有國家工作人員這一主體,那么他們跟民企員工可能涉及的刑事合規風險也并非完全一致,因此這個也可能需要在制定合規制度時,予以綜合考慮。
7、刑事合規
自政府層面頒布兩個合規指引以來,國內從事刑事領域的部分律師和學者先后提出了刑事合規的概念,部分檢察機關在試點的過程中也出現刑事合規不起訴的提法。不可否認,在實踐中,合規作為法律的一個重要領域,起初是來源于行政處罰或刑事處罰,比如美國FCPA項下的反商業賄賂合規,但實際上刑事風險只是合規風險中最高級別的風險,而且各個法律領域的合規風險都可能涉及各自領域獨特的刑事風險,比如反商業賄賂可能會涉及行賄罪或受賄罪等,數據與隱私可能會涉及非法獲取、出售、非法提供公民個人信息罪等,因此,將刑事合規風險歸類至各法律領域中的最高級別風險可能更合適,而無需單獨列為一類合規風險。在檢察機關推行的刑事合規不起訴試點改革中,對涉罪企業要求的合規體系通常也是要求企業首先要建立一個全面的合規體系,其次才是針對涉嫌罪名所對應的特定領域進行整改。
(二)“四位一體化”全面風險管理的邏輯交互關系
基于“四者”的共通屬性,以實現合規要求為目標,以內控和風險為管理抓手,以法務思維為底層連接,構建“四位一體”的全面風險管理體系,是實現依法治企的積極嘗試。以華僑城集團作為例子,在華僑城集團就是法務部門具體負責,融合合規、內控、風險、法務四項管理職能的一體化綜合管理體系。華僑城集團將公司管理制度匯編成冊,建立了涵蓋董事會事務、戰略管控、投資管理、財務管控、人力資源管理、法律事務管理、采購管理、信息化管理、安全管理、綜合事務管理和黨建工作等方面近200部制度的企業內部規章制度體系,為全面加強企業內部建設、培育“具有全球競爭力的世界一流企業”奠定了良好的合規管理基礎。
首先,合規側重于“建”。一是完成“外規內化”,即將國家的法律法規精神、商業道德的共識和外部監管要求嵌入企業內部規章制度,形成以公司章程規范公司治理、以管理制度規范企業運營、以工作指引規范業務開展的合規管理總體框架;二是建立如財務稅收、知識產權、安全環保等重點領域的合規管理工作機制,在信息化系統中固化重點合規管理工作流程,在合規管理全面覆蓋的前提下,突出合規重點;三是持續“整章建制”,將實際運營過程中形成的管理經驗進行歸納總結,以此為基礎不斷固化為企業內部規章,為企業管理搭建運行順暢的軌道。
其次,內控側重于“控”。將重要業務領域關鍵控制點嵌入業務流程。華僑城集團業務開展過程中,在談判、簽約、運營、退出等各個環節明確了責任部門和責任人,并對重點環節和重要流程進行監督,確保內控工作落到實處。同時,華僑城集團還致力于加強內部控制體系建設,整合內部監督資源,加強信息共享和成果共用,形成防控合力。實踐表明,內控不是一家的事,而是所有與企業經營相關的職能部門和業務單位的職責,經營運作部門、單位和員工要執行內控要求,保證企業運轉不偏離已定的合規軌道。
再次,風險側重于“化”。明確風險管理策略,建立全面風險管理制度,執行風險管理流程,制定風險管理方案,預判和警惕風險趨勢和事項,及時發現風險苗頭,對出現的重大風險或風險事件,妥善化解,依法處置。華僑城集團堅持以防范和化解重大風險作為業務開展的基礎,規范執行,強化決策相應程序的執行和監督,確保重大決策事先做到調研、論證、討論“三充分”;對業務開展可能產生的風險進行評估,并針對風險評估中提示的風險制定相應的預案,以有效防范重大風險。
最后,法務側重于“用”。統籌合規管理、內控管理、風險管理,開展糾紛案件管理、律師律所管理和合同管理等具體業務的事務管理,積極運用法治思維和法律手段,培養企業全員依法辦事的法治理念和行為習慣。具體業務出現的問題,根據其實際情況分別歸納到合規管理、內控管理、風控管理中處置和解決,使“四位一體”全面風險管理體系有效運轉起來。
(三)聚焦企業風險,“四位一體化”全面風險管理體系的應用
早在2006年國務院國資委頒布的《中央企業全面風險管理指引》第三條就指出,企業風險是未來的不確定性對企業經營可能產生的各方面的影響,包括戰略風險、財務風險、市場風險、運營風險、法律風險等。而全面風險管理,指企業圍繞總體經營目標,通過在企業管理的各個環節和經營過程中執行風險管理的基本流程,培育良好的風險管理文化,建立健全全面風險管理體系,包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統和內部控制系統,從而為實現風險管理的總體目標提供合理保證的過程和方法。為防止發生企業風險,企業開展全面風險管理工作,應注重防范和控制風險可能給企業造成損失和危害,也應把機會風險視為企業的特殊資源,通過對其管理,為企業創造價值,促進經營目標的實現。
因此,“四位一體化”全面風險管理體系可以按照以下順序運行:
第一,收集風險管理初始信息
結合企業不同發展階段和業務拓展情況,持續收集與風險變化相關的信息。
第二,進行風險評估
企業開展風險評估,應當準確識別與實現控制目標相關的內部風險和外部風險,確定相應的風險承受度。
第三,制定風險管理策略
企業應當根據風險分析的結果,結合風險承受度,權衡風險與收益,確定風險應對策略。
第四,提出和實施風險管理解決方案
企業應當綜合應用風險規避、風險降低、風險分擔和風險承受等風險應對策略,實現對風險的有效控制。
第五,風險管理的監督與改進
分析問題,吸取教訓,總結經驗,形成制度,使四者形成封閉、自洽的有效循環。
企業應本著從實際出發,務求實效的原則,以對重大風險、重大事件(指重大風險發生后的事實)的管理和重要流程的內部控制為重點,積極開展全面風險管理工作。具備條件的企業應全面推進,盡快建立全面風險管理體系;其他企業應制定開展全面風險管理的總體規劃,分步實施,可先選擇發展戰略、投資收購、財務報告、內部審計、衍生產品交易、法律事務、安全生產、應收賬款管理等一項或多項業務開展風險管理工作,建立單項或多項內部控制子系統。通過積累經驗,培養人才,逐步建立健全全面風險管理體系。
與此同時,企業開展全面風險管理工作應與其他管理工作緊密結合,把風險管理的各項要求融入企業管理和業務流程中。具備條件的企業可建立風險管理三道防線,即各有關職能部門和業務單位為第一道防線;風險管理職能部門和董事會下設的風險管理委員會為第二道防線;內部審計部門和董事會下設的審計委員會為第三道防線。
(四)選擇風險管理策略
根據 《中央企業全面風險管理指引》所稱風險管理策略,指企業根據自身條件和外部環境,圍繞企業發展戰略,確定風險偏好、風險承受度、風險管理有效性標準,選擇風險承擔、風險規避、風險轉移、風險轉換、風險對沖、風險補償、風險控制等適合的風險管理工具的總體策略,并確定風險管理所需人力和財力資源的配置原則。
一般情況下,對戰略、財務、運營和法律風險,可采取風險承擔、風險規避、風險轉換、風險控制等方法。對能夠通過保險、期貨、對沖等金融手段進行理財的風險,可以采用風險轉移、風險對沖、風險補償等方法。
(五)“四位一體”全面風險管理體系的邊界問題
由法務部門牽頭“四位一體”管理體系有其專業優勢,因為法務思維是以邏輯思維、程序思維、規則思維、證據思維為基礎,在解決涉及規則、程序、風險等問題時,法務思維的價值會特別凸顯。而合規管理、內部控制和風險管理不是一個部門能包圓的事。法務部門在體系建設和運行中,要處理好與戰略、投資、財務、人力資源、審計等業務部門及紀檢部門的關系,涉及依法治企事項,既需要法務部門有較強的統籌能力,又需要業務部門的重視和配合。以合規為例,法務部門要熟悉業務領域各項法規政策,并及時完成外規內化,業務部門要不斷總結管理經驗,并形成各種制度和規章,僅靠法務部門或僅靠業務部門均不能很好的實現外規內化、整章建制的目標。
“四位一體”的全面風險管理體系,偏向于事前預防、事中控制和事后救濟,而審計部門主要負責對體系的運行狀況實施監督和事后評價,對體系的健全和有效提出整改建議。因此,業務執行部門與效果監督評價部門相分離,即運動員和裁判員分離,是一種科學的安排。
“四位一體”管理體系要注意與紀檢監察部門的區別。紀檢部門是黨內監督和追責部門,其主要職責雖與合規管理的部分領域相重合,例如反腐敗、反商業賄賂領域,但合規管理側重事前設立好規則,而紀檢監察則側重事中監督和事后的責任追究。
總共3頁 [1] 2 [3]
上一頁 下一頁
