企業合規管理的8個基本問題

時間:2020-11-19 14:40:20 瀏覽:431

2018年,中興通訊事件爆發,引起中國企業合規管理的熱潮。該年也因此被稱為中國合規管理元年。經過一年多的探索與實踐,業界對“合規”這個舶來品逐漸熟悉起來。越來越多的企業開始建立合規管理體系,不管是出于監管部門的要求,還是出于自身發展的需要。在建合規管理體系的過程中,各類企業的做法很不一致。


這固然是企業業務及文化不一樣導致的,但其實更體現出企業對合規的認識尚未統一。很多企業對合規、內控、法務、風控等相關職責沒有清晰的認知和劃分。


對于合規管理建設方案,大部分企業要么參考國資委頒布的央企合規管理指引,要么借鑒合規管理體系指南這一國家標準。但鑒于這兩大指引或指南,只是給出基本的操作思路和流程,企業對于“應然的部分”,仍然是一知半解,導致實踐中也是困惑頗多。為此,需要深入探究合規管理背后的原理,即基本性問題,方能更好地運用指引或指南,建設本企業的實用合規管理體系。


【問題一】合規管理的起源:合規管理從哪來?

合規管理,是以防范合規風險為目的的管理活動。這是合規管理的現時定義。但合規(管理)產生之初,并不是這樣的。一般認為,正式意義上的合規,產生于美國。1977年美國因水門事件及當時大量跨國公司向外國政府官員行賄以拿到訂單的丑聞等而頒布的《反海外腐敗法》(FCPA),可謂現代第一部與合規緊密相關的法案。雖然美國《反海外腐敗法》因其域外管轄效力引起一些國家和組織的非議,但FCPA作為最主要的“禁止企業向外部人員,特別是公職人員行賄”的法律規定,仍然是合規領域中最傳統的一種合規——反商業賄賂合規的來源。反商業賄賂合規,也稱為狹義上的合規。目前企業所稱的合規,都屬于包括競爭合規、數據合規、環保合規等在內的廣義上的合規。


合規管理的起源,可以從兩條線來看。一是上述的反商業賄賂(反腐敗)合規。由這個狹義的合規,逐漸發展出反壟斷合規、出口管制與經濟制裁、數據與隱私保護合規等專項合規。加上勞動用工合規、環境保護、生產安全合規等,合稱為“大合規”。二是金融行業的合規。以巴塞爾銀行監管委員會2005年頒布的《合規與銀行內部合規部門》為標志,發展到外貿行業、互聯網行業、零售行業、建設工程行業、制造行業等。


合規,不僅是企業主動遵守法律、法規及國際規則等合規義務。合規,還是立法和執法監督部門的一種有效“立法與監管技術”。制度化的合規監管技術原理,最早體現在美國1991年的《聯邦量刑指南》第八章“對組織的量刑”里。該章指出“如果企業建立了有效的合規系統,那么,可以減輕其刑罰。按規定的量刑標準,減輕幅度最高可達95%;如果企業怠于合規,最高可處4倍罰金”。正因為存在此類“合規激勵”機制,合規管理才在企業整體管理體系中越來越受到重視。


如果說“合規激勵”是合規管理產生的拉力,那么“合規處罰”——企業因不合規被執法部門處罰,甚至引來滅頂之災,則是合規管理產生的推力。大量的企業被執法部門重罰,給同行、同類型的企業帶來極大觸動,促使他們快速加大對合規管理的重視。


【問題二】合規管理的需求:為什么需要合規管理?

合規管理的產生原因,其實已揭示了企業為什么需要合規?但對于目前正在進行或即將進行合規管理建設的企業來說,仍有必要明白本企業構建合規管理體系的具體驅動力有哪些?這可以從兩方面來說。


一是合規管理的外部驅動。因企業外部環境的變化或外部主體的行為,導致企業發生合規風險,從而促使企業必須建立合規體系,以防范該類風險。這樣的外部因素包括 ①法律、法規等的變化,導致企業某些原本不受限的行為,隨著新法的頒布,變得不合規了。因此需要建立管理流程以識別這種變化,防范企業合規風險。②因競爭者、客戶、供應商等的不當行為,給本企業帶來合規風險。③監管部門、執法部門要求本企業建立和執行合規管理體系。④如前述,監管部門、執法部門對已建立合規管理體系的企業及其高管實行正向激勵。⑤其他同類型企業被監管部門處罰。⑥投資者要求本企業建立合規管理體系以促進合規。⑦外部審計師要求本企業建立合規管理體系。⑧合規已成為一種市場準入門檻。


二是合規管理的內部驅動。因企業內部員工的行為或企業制度或流程的缺陷,導致企業發生合規風險,需要企業建立體系完善相關制度,以防范該類風險。這樣的內部因素包括①企業內部員工為自身利益有意違規或其不作為,導致合規風險發生。②企業員工自身能力和認識不足,無意識地犯錯,產生合規風險。③企業內部代理人的放任、粗心、作假等,使得合規風險發生。④企業內部設備、存貨的物理或化學特征,導致產生污染、事故等合規風險。


這兩方面的原因,促使企業有建立合規管理體系的需求。但不同性質、不同行業、不同業務的企業,其建立合規管理的直接動機仍然是不同的。每一家企業仍存在其個性化的合規管理需求,也提示各家企業在建立自己的合規體系時,要注意內在驅動因素是什么?轉化為企業合規管理的需求又是什么?


【問題三】合規管理的供給:現實中會出現什么樣的合規管理?

在確定合規管理的需求之后,企業開始啟動合規管理體系的建設工作。那么,最終會呈現出什么樣的合規管理體系呢?畢竟現實和理想,或稱執行和設計,是兩回事。這就涉及合規管理的供給問題。


首先看一下,是哪些現實因素在推動一套合規管理體系的進展?①合規風險對企業的重要性。縱觀目前合規管理工作走在前列的企業,其最開始的時候,都是遭遇重大合規風險之后才痛下決心進行改善的。因為這些合規風險,對于企業來說,異常重要,往往關乎企業生死存亡。②企業對合規管理需求的感知程度。沒有發生合規風險事件時,企業仍有合規需求,但是否主動建立體系及建立體系的完善程度,還取決于企業管理層對需求的感知。如企業認為合規并非第一順位的,那即便有需求,其建立起來的合規管理體系也未必會得到很好的實施。③高層基調。合規管理從管理方法來說,是一種自上而下的管理。可以說,只有自上而下,合規管理才能有效推動。因此,“上頭”的推動和支持很重要。即高層基調。高層親自承諾和身體力行,對于合規管理的落地至關重要。④可用資源。合規管理需要投入人力、財力、技術資源,如資源不充分或錯配,則其效果會大打折扣。⑤投入產出效益因素。合規管理,首先無法在有限的時間段內對所有的合規風險進行防范,只能逐步計劃、逐年實施。其次,只有在合規管理的產出大于投入的情況下,合規管理才可持續進行。


然后,觀察已建成的行之有效的合規管理體系的模式,發現其形態是多樣化的。沒有固定的模式,最后呈現出的合規管理體系現狀,是有效需求與有效供給進行綜合的結果。需求足夠深,供給技術和資源到位,才能產生真正的合規管理體系。如果光有需求,或僅有供給技術,都不能發揮預期的作用,或進行持續的合規建設與維護。這是判斷不少企業是“真合規”,還是“假合規”的標準。


【問題四】合規管理的目標:合規管理希望的結果是什么?

合規管理,是企業的風險預防活動,也是監管部門的要求。企業和監管部門,想從企業的合規管理活動中得到什么,能得到什么?這就是合規管理的目標。只有建立適宜的目標,才有可執行的行動措施。


合規管理的總體目標肯定是防范合規風險。具體說,就是抑制不合規事件對企業造成負面影響。理想的情況是,抑制所有的可能違規事件造成的所有負面影響。但從經濟效益層面來看,這是不可能的。因為抑制了風險,也就抑制了機會,抑制了機會就是抑制了業務發展,而企業存在的根本是業務發展。所以,我們只能進行有限的特定范圍內的風險抑制。


抑制風險又分為兩方面。一是預防使之不發生。這對于合規風險來說,尤其如此。因為合規風險,不同于其他風險。合規風險經常與企業的銷售、市場、人員、生產、品牌等有密切的關系。所以,我們往往說合規是對違規行為零容忍。如前述,這僅僅是合規管理想體現的價值觀,事實上不可能做到零風險。二是降低風險對企業的負面影響程度。在一定程度上,這是把接受風險當作風險管控策略的一種,只是盡量降低風險帶來的負面影響。在制定合規風險管控策略時,要特別注意。


應然的合規管理目標是希望通過合規管控,能預防和控制所有的合規風險,但實際操作中,合規管理的目標應轉變為“對納入實施范圍的合規風險,進行防范”。其原因如前所述。進一步分析,合規管理的目標之所以限定在“對納入實施范圍內的合規風險進行防范”,是基于兩點考慮。一是,成本效益原則。企業管理都是有成本的,產出也都是有限的,必須衡量投入產出比。二是,任何企業對風險的控制能力也是有限的。這跟企業領導意識、風險控制部門的人員、企業愿意投入的資源等有關。


在樹立合規管理目標時,我們要判斷“合規創造價值”這個論斷的適用性。這句話本身是沒錯的,但看要所用場合。如果是為了宣傳合規文化,強調合規價值,鼓勵建立合規體系,可以說“合規創造價值”。但是,合規管理的目標,是企業價值最大化嗎?個人認為,企業任何行為都是為了企業價值最大化,這樣表述其實沒有什么實質意義。要深究合規管理的價值,仍然要回到合規管理是一種風險管理活動,它只是通過預防和控制風險來間接創造價值。


【問題五】合規管理的內容:合規管理管什么?

合規管理是一項管理活動。那么它管的是什么?合規管理這個新興的管理體系,它管控的是合規風險。這就是合規管理的內容。合規風險,是指違反合規義務所產生的風險。合規義務,即企業及其員工應當遵守的各項“規”。這些“規”有五個層級:一是企業內部的規章制度。二是企業面臨的監管規則。三是企業應遵守的國內外法律法規。四是企業周圍的社會道德規范。五是企業自身承諾的規定或說明。其中,國內外法律法規無疑是最核心的“規”。


要管控好合規風險,首先要清楚合規風險的產生原因。風險的產生原因,也稱為風險源。合規風險源包括:①因為存在重大利益,企業及其員工明知違規仍主動為之,從而引發合規風險。這是非常普遍的情況。②因為企業內監控缺失或監控措施不到位,導致高管或員工有機可趁,產生合規風險。③因為企業及其員工缺乏認識或能力不足,不知道違規,但事實已違規。④因為其企業缺少制度或制度存在缺陷,導致高管或員工有意識地違規。⑤相關懲罰機制的威懾力不夠,違規收益明顯大于違規成本,促成合規風險的發生。


其次,在理解合規風險的一般發生原因之后,關鍵是要找到本企業面臨的合規風險。這又稱為“合規風險識別”。識別的目的是辨識和羅列企業可能會遇到的合規風險。關于風險識別的具體方法,有很多種。它是整個合規管理活動中的關鍵一個環節,也是幾乎所有的合規管控措施的前提。可以通過專家經驗法、過往合規事件集、合規義務庫等方法予以識別合規風險。


最后,找到合規風險,還要對合規風險進行評估。評估包括分析和評價兩個部分。分析是預測合規風險發生的可能性(概率大小),以及一旦發生其影響程度(后果大小)。可以采用定性和定量的方法對合規風險進行分析。評價是經過分析后的風險進行排序,以便直觀地觀察合規風險,為下一步采取行動措施做準備。


每一家企業的合規風險是不一樣的,但往往可以相互借鑒,畢竟同一市場環境、同一法治文化中,企業遇到的風險也是可以類型化的。同樣的合規風險類型,集合在一起,便變成合規風險領域了。如企業的數據合規領域、不正當競爭合規領域。對某一類型的合規風險領域進行管理,便成為某專業合規管理。如企業數據合規管理、企業環保合規管理。


【問題六】合規管理的主體:合規管理由誰負責?

誰來負責合規管理,似乎是不言自明的。現實的合規管理體系建設過程中,很多人對此是有誤解的。其中一個最常見的誤解就是,合規管理當然是企業合規部門來負責的。但其實,合規管理不僅是合規管理部門的事,也是其他部門的事,不僅是中層的事,也是全體員工的事。


合規管理的主體,按層級可分為5個層級。①高層主體,包括董事會、監事會、經理層。他們負責合規管理整體和宏觀事宜。②中層主體,包括各單元、各部門的負責人。他們負責職責范圍內的合規風險識別與管控措施落地事宜。③基層主體,包括各崗位員工。④合規管理建設職能部門,即通常我們所說的合規管理部。⑤合規管理評價職能部門,如審計部、綜合部。這一類主體,很容易被企業所忽視。但其在合規管理體系中的作用是不容小視的。


合規管理的主體,按環節可分為4類。①建立主體,指董事會、監事會、經理層。他們負責合規管理體系的建立。②執行主體,包括企業全員。③評價主體,包括企業高層、審計部門等。④整改主體,包括業務部門、合規管理部門等。從環節上對合規管理的主體進行劃分,其目的只是更好地劃分合規管理工作中各部門、各人員的職責,便于各自對合規的理解。實踐中,基本上還是按層級來劃分的。

對不同的合規管理主體,不僅需要賦予不同的合規職責,而且還應當采取不同的激勵和考核方式。如對高層主體,主要是合規意識的培養和合規文化的溝通。對于中層主體,則更多的是合規風險的識別以及合規各項舉措落地的中轉站。對于合規管理部門,則需要認真考慮其職業操守、職業素養等是否與合規崗位相匹配。在對其提要求的同時,還要注意如何提高其推動企業實施合規管理的積極性。


【問題七】合規管理的客體:合規管理措施落到哪里?

有主體,就必然有客體。合規管理的主體,是合規管理由誰來負責。那么,合規管理的客體呢?它是指合規風險管控的作用對象。也即合規管理的措施最終落到企業何處?是某個人身上,還是某個流程上,還是某個實物上?這些組合起來,構成了企業的交易循環,這便是合規管理的客體。


交易循環,其實就是指企業的業務流程。企業內的所有經營和管理行為,都可以細分為若干個交易循環(業務流程)。每一個交易循環,如采購循環,包括請購與審批,詢價及確定供應商,訂立采購合同采購執行,驗收,相關會計記錄,貨款支付,糾紛處理與審計等子行為。這些子行為融合了人、信息、資金、實物等要素。這些要素的不斷交換、互動,即形成交易,交易是風險的來源。


不斷的交易,形成不斷的交易循環(業務流程),也就形成不斷的風險。合規管理就要對這些交易循環進行合適的限制、改變、叫停。系統的、有組織的、按事先計劃執行的這些限制動作,便是合規風險管理。即作為對風險的管控,是要將“措施”作用到交易循環之上的。


交易循環(業務流程)中的人,既是合規管理的客體,也是合規管理的主體。人既會采取措施控制風險,本身也是風險的來源。信息和實物,同樣如此。它們既是風險管理作用的對象,即風險的承載者,同時本身也是風險的來源。


交易循環是合規管理的客體。那么,將“措施”作用到交易循環上的“措施”是什么?這可謂是合規管理落地的精華。一些被證明行之有效的活動或活動的機制,被用于合規管理。如培訓、調查與舉報、授權審批控制、不相容職務分離機制、績效考評機制等。另外,如能借助計算機軟件程序,將這些活動或機制內化于企業的業務流程之中,那么效果將更好。這便是合規管理的信息化。


【問題八】合規管理的本質:合規管理的內在是什么?

對合規管理,我們可以從不同的維度來看。①從企業自身需求維度,合規管理是一種風險預防和控制的機制。②從監管者維度,合規管理是激勵企業守法經營的良好手段,也是減輕監管者自身任務的好辦法。③從國家標準的推行者來看,合規管理是一種新的管理體系認證標準。


雖然可多角度觀察合規管理,但合規管理最終的推動還是要依靠企業自身的自覺行為。在回答了前面7個問題之后,我們可以看出,企業合規管理的本質還是一種特殊的風險預防和控制機制。

不管是從合規管理的來源上,還是合規管理的目標上,我們都可以看到,合規管理作為一項新增的管理活動,其內在還是在于應對合規風險。企業面臨合規風險,是一種必然。隨著法治作為治理手段的完善,企業利益與社會利益更加緊密結合,企業的合規風險只會越來越大,越來越多。要想持續發展,只有合規經營。


歸納一下,合規管理的本質是企業內建立和實施的合規風險應對機制。它包括如下幾方面的內容。①進行合規管理的設計,是合規管理的起點。即企業內要先有意識地建立合規管理計劃,并作相應的設計。②發現合規風險,是合規管理取得成效的關鍵。包括識別、分析與評價合規風險,是合規管理職能部門與業務部門通力合作的成果。③執行合規管理的措施,是合規管理達成目標的核心。沒有完美的計劃,但可能存在完美的執行。


合規管理,是新生事物,是從內部控制、(全面)風險管理等體系中發展出來的企業管控手段。它的起源、發展及進化,都必然會和企業對法律的遵守、對風險的認識,對效率與風險的平衡等戚戚相關。只有認知到這一點,才可能對企業合規管理的基本問題有一個全面且深刻的認識。


來源:德法院,作者:陶光輝
本文僅作分享,版權歸作者和機構所有,如有不妥,請聯系我們,我們立即更正/刪除

 

登錄合規網
欧美肥胖老妇做爰视频