如何对待合规,取决于我们对合规的认识。在开栏语中,笔者曾罗列了“古今之变”——企业合规的再认识;“辅车相依”——企业合规的新理解;“剥丝去茧”——企业合规的详剖析;“百川朝海”——企业合规的多场景;“盈科后进”——企业合规的真落实。本文将对上述问题适度展开讨论。
一、“古今之变”——企业合规的再认识
(一)以时间为线索来认识企业合规
“企业合规”产生历史并不长,该概念源于美国“水门事件”。受很多美国军工企业在海外通过行贿获取订单的腐败行为影响,尼克松被迫辞职,美国就此开启了企业的合规治理。1977年美国《反海外腐败法案》出台,从此,“合规”经营不再是自我约束,而是外部“高压”。
我国明确提出来合规建设不过十多年的时间,而且,文化习惯以及外部环境的差异,也决定了中国企业的合规建设,需要中国智慧。但是,如果从历史长河回看,合规并不陌生,比如晋商“诚信”,实际就是合规,而且是内驱动的合规。
合规的时间维度告诉我们:
1.即使没有外部规范要求,合规仍是可持续经营的基础
我们可以回看之前的晋商/徽商,当时政府并没有外部合规监管的奖励,但诚信经营的合规理念仍然深入人心。
2.合规建设没有模版,只有探索
现代化的合规建设不过四十多年的历史,并没有一定之规,不论是走在合规早期的西门子等国外公司,或是中国的金融行业,合规仍然是每个企业在实践中探索的。
3.合规虽无模版,却也有规律
我们强调个性化并不是否认合规的一般规律,所有的合规都有赖于人最终实现与完成,所以,合规终于文化;所有的合规都是动态的,所以,合规必须迭代;合规需要制度建设,所以,合规需要设计。合规需要对外部法律政策以及商业伦理的深刻认知,所以,合规需要专业。
4.即使有规律,更需要契合
尽管大而化之的规律我们都懂,但如何让合规符合公司的实际情况、经营阶段、人员与管理能力、成本投入等都需要去考量。一定程度上,合规也是奢侈品,经常面临生存的考验。所以,合规建设是企业的未来,但从现在到未来这条路如何走,需要用智慧去设计。
(二)以事件为线索来认识企业合规
合规实践的时间并不长,所以,合规注定是探索式的,没有标准答案。正是这样,我们有必要从事件和实践的角度看待合规。
讲到这两个角度,有一些案例就绕不过去,比如我们安然事件、西门子事件、中兴事件,但大家都会有很多困惑,觉得这些事情离自己太遥远。
我们换一个角度来看这些事件,它就可以与我们有关,也可以为我们提供智慧来源。首先,我们工作中也会发生一些事件,而对于这些事件,我们应如何认识。应该说,一定程度上,合规是一种价值选择,而不是利益衡量;其次,我们对事件影响如何评估?放大或者无视都不是正确的选择,同时,我们对合规事件影响的评估,不能只从看得见的损失出发,我们一定要清楚,合规保护的不只是看得见的损失,还是一种文化和秩序。当然,我们又必须理解现在社会网络和信息的发达,会让很多事情快速放大;再次,我们如何吸取教训。如假账丑闻导致的诚信危机,是《萨班斯奥克斯利法案》出台的直接原因。所以,合规一定不能通过单一维度思考,一定是多维度的思考。如果我们用这样的角度看事件,就会发现历史总是惊人相似。
(三)以实践为线索来认识企业合规
谈到中国合规,我们绕不开中兴事件,我们同样可通过多角度理解该事件,但我更想让大家关注事件之后的中兴所做的事情,对我们有哪些启发?
首先,从组织架构上看,中兴公司成立了由总裁直接领导的合规管理委员会。在合规管理委员会的领导下,各业务单位、合规专业部门与合规稽查部各司其职,协调配合,构成中兴公司合规风险管理的三道防线。
其次,中兴建立了多层次的合规管理体系:(1)在合规文化建设方面,中兴公司董事长和总裁发表全员声明,表达合规建设的决心;公司高管作为各自领域第一合规责任人签署合规责任状,作出合规承诺;中兴公司持续开展全员合规培训,倡导全员监督、内部举报文化以及多方位的外部合作。(2)在合规资源投入方面,公司加大合规管理资金投入,支持监察团队需求,加强与外部律所和咨询机构的合作,优化了全球贸易系统(GTS)、商业伙伴扫描系统(BPS)、法律及合规管理系统(LCM)等IT工具。加大合规风险评估,推进公司合规治理。(3)在流程制度建设方面,公司加强了合规管理委员会的作用,将公司合规管理制度制定、合规事项审议和决策权纳入合规管理委员会;将合规检查点嵌入具体业务流程之中;通过IT系统的设置,将合规检查点进行线上IT处理,减少或消除线下人工检查。
再次,合规是需要第三只眼睛的,这第三只眼睛就是外部第三方机构。
通过这些,我们初步勾勒出合规的实践维度,当然,合规一定是通用基础,个性的选择。
实践中,对于合规管理的探索,我们既关注宏观,也关注管理中的微观。让合规管理产生“火炉效应”,比如微观事项的处理,互联网公司公布的员工反腐情况,公司的火炉在起作用,让企业红线通过一件件事情的处理深入人心。
二、“辅车相依”——企业合规的新理解
我们在第一部分通过多角度说了合规,然而,我们却不能独立谈合规,谈合规离不开企业经营,更离不开法务、风控、内控、内审。
1.企业合规与法务、风控、内控、内审的辨识关系
法务:企业法务以一切服务于公司业务、服务于生产经营为根本宗旨,以降低风险、减少损失、维护公司合法利益作为根本任务,服务于业务部门。
内控:内部控制是风险管控和内部审计的基础,是风控和内审的根源、根本,处在整个控制系统的前端。
风控:企业风控即企业全面风险控制。实践中,企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险等。
内审:内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理程序的效果,帮助组织实现其目标。内部审计是对内部控制、风险管理与治理进行评价,确保组织正常运营,保证不偏离公司目标。
内控、风控、内审三者是"基础-分析-评估"的递进关系和因果关系。
合规:组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。合规义务信息应包括合规要求,可包括合规承诺。前者包括监管机构制定发布具有强制性的法律法规、监管条例规定等,后者包括组织与社区、公共权力机构、客户签订的协议、组织要求、政策、程序、自愿原则、规程、环境的承诺等。
广义的“合规”,有三层含义,第一层是企业要在生产经营过程中要遵守法律法规,即企业要遵守公司总部所在国和经营所在国的法律规定及监管规定;第二层是企业经营要遵循企业内部规章制度,包括企业商业行为准则的规章;第三层是企业员工要遵守良好的职业操守和道德规范等。狭义的合规是指企业遵守反商业贿赂方面的规定。
合规就是“打基础”。合规的核心:“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”。合规的产出:合规可以起到最基本的抑制操作风险的作用。
合规的范围相较于以上各部门的分工,在流程上更多是在内控、风控、内审、法务各部门开展工作前约定规章,工作中监督履行以及事后补救损失的统称。
2. 企业合规与民事纠纷、行政处罚、刑事犯罪的协调关系
从追责角度去统筹企业合规与民事纠纷、行政处罚、刑事犯罪也是一种思路,但企业合规更侧重于体系化的管理,而非单一事项的处理。
三、“剥丝去茧”——企业合规的详剖析
合规建设的通用路径,我们无法绕开,合规需要从文化到组织,从制度到执行,从执行到迭代。然而,我们不能局限在“术”的角度解读合规,更要在“道”的解读上不断突破。
1.对企业文化与合规的理解
没有任何人会质疑企业文化的重要性,只是,我们建立什么样的文化,如何建立这样的文化,又如何验证这样的文化是否建立,却需要机制和时间。处理具体的合规事件,实际上就有文化植入规则的过程。人情大于规则,这样看似企业有人情味,但可能会让我们“诚信”的最基本的文化规则遭到破坏;有时候,大义凛然,然而,是一事一议的处理方式还是制度化的处理,会让员工对于未来行为的导向有不同的判断。合规文化是挂在墙上的文化还是融入日常,通过一件件具体的事情会展现出来。
所以,对于合规文化的理解不是简单的将文化提炼,而是文化在制度、规则、执行中处处的彰显。
2.对经营与合规的理解
合规是阻碍经营的,因为合规让我们束手束脚了,但我们的经营是长线的,而非短期的。我给大家举一个我们任何一个企业都会面临的问题,社会保险。企业应当为劳动者足额缴纳社保应该是没有企业不知道的,但仍然会有企业有侥幸心理,甚至会认为缴纳/足额缴纳社保对企业经营是阻碍,因为成本太高。
经营和合规从短期逐利角度,两者必然是矛盾,但做合规与经营如果放长远看,合规对于经营只有助力没有拖累。
3.对管理与合规的理解
没有管理,合规就是摆设。所以,从文化到制度做得再完备的企业,合规是不是真做的好,落到实处了,我们看两个维度就足够:
(1)合规是否融入到员工/部门/管理层的各项考核指标中
合规绩效是否与员工/部门/管理层的绩效相关。还是以场景二为例,如果公司对这个员工根据内部制度进行处罚,他的年终奖或者绩效会受到影响吗?很多单位相关制度是“脱钩”的。
(2)不合规事件的处理,我们是否是认真的
我们需要心怀敬畏,需要认真对待“合规”。
四、“百川朝海”——企业合规的多场景
1.国资监管场景下企业合规
以公司治理为例,完善国有企业法人治理结构的基本原则包括:坚持深化改革、坚持党的领导、坚持依法治企、坚持权责对等。
我们必须了解国有资本投资、运营公司改革试点下的公司治理结构,至少包括:1.党组织驾辕控方向;2.董事会根据授权决策 ;3.经理层负责日常投资运营。
1.国有企业公司治理与党的建设之间的关系
坚持党对国有企业的领导,是深化国有企业改革必须坚守的政治方向、政治原则。那党建工作进入国有企业章程、党参与重大事项决策、党管干部原则与董事会选聘经营管理人员有机结合机制真的建立了吗?如果建立了,有注意到从党纪处理与转换为法律处理之间关系的吗?我举一个例子,某员工对党内做停职察看的处分,劳动关系如何处理?衔接上了吗?
所以,两者之间真正的结合,不是简单的写入章程,三重一大,更是规则的贴合。
2.国有企业三年改革,其中一个工作就是全面推行经营层成员管理任期制和契约化的管理,显然,这是合规管理的外部要求,那内部如何落实呢?
(1)不是简单的签署协议,比如,文件要求董事会签署,那董事会有签署资格吗?
(2)任期制以及契约制与现有劳动合同、考核制度的关系
(3)过程中出现各类问题的处理规则是否清晰
所以,看似简单的外部监管在内化执行中,都有着一系列问题,而非单一事项可以囊括。
2.金融监管场景下企业合规
金融监管机关在2020年积极推进各项修法工作,先后修订了《中国人民银行法(修改建议稿)》《商业银行法(修改建议稿)》及《中国银保监会行政处罚办法》等法律法规,并适时出台《金融控股公司监督管理试行办法》《商业银行互联网贷款管理暂行办法》《系统重要性银行评估办法》等新的监管规范,以健全顶层设计,强化监管手段和措施,规范行业发展。
(1)我们看过往处罚情况
1.1从处罚的业务类型看,处罚数量排名前十的业务类型为信贷业务、反洗钱、内控管理、账户管理、征信业务、金融统计、票据业务、理财业务、同业业务、关联交易。
1.2对银行机构的处罚措施
2020年度,人民银行(分支机构)及银保监会(局)作出了863例针对银行机构的行政处罚决定,处罚类型以罚款、没收违法所得、警告、责令改正、责令给予纪律处分为主。
其中,2020年度银行业最高罚款金额为人民币5050万元,处罚事由为:银行理财产品管理不规范,包括保证金相关合同条款不清晰、产品后评价工作不独立、未对产品开展压力测试相关工作等;风险管理不审慎,包括市场风险限额设置存在缺陷、市场风险限额调整和超限操作不规范、交易系统功能存在缺陷未按要求及时整改等;内控管理不健全,包括绩效考核和激励机制不合理、消费者权益保护履职不足、全行内控合规检查未涵盖全球市场部对私产品销售管理等;销售管理不合规,包括个别客户年龄不满足准入要求、部分宣传销售文本内容存在夸大或者片面宣传、采取赠送实物等方式销售产品等。
2.对银行员工的处罚情况
2020年度,人民银行(分支机构)及银保监会(局)作出了827例针对对违规事项负有主要或直接责任的个人的行政处罚决定,处罚类型以警告、罚款以及限制从事银行业工作为主。
其中,银保监会(局)对个人作出的最高罚款金额为人民币50万元,处罚事由为市场风险限额调整和超限操作不规范、产品营销行为不规范、内控管理不到位、贷款管理不到位等违规行为。
(2)对重点合规业务领域
基于对银行行政处罚信息的整理与分析,银行重点合规领域,涉及银行信贷业务、票据业务、银行理财业务、商业银行保理业务、银行征信业务、银行反洗钱业务、银行内控管理及商业银行关联交易。
这些问题我们关注了吗?同样,不从事银行业的,大家也不要觉得与我无关,只要我们与银行相关这样的业务有联系,对银行业的监管,也意味着我们的某些行为同样会受到约束。
3.数据监管场景下的企业合规
为什么特意提到数据合规,是因为在这个物联网的时代,没有人和组织与数据无关,这是一个数据的世界,依据《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规,参考《信息安全技术 个人信息安全规范》等标准规范,我们在此总结要点, 供各企业在网络数据安全合规性评估中使用。
公司是否建立企业数据分类分级管理、数据访问权限管理、数据安全合规性评估、数据全生命周期管理、数据合作方管理、数据安全应急响应等制度。 公司是否对于【数据采集】、【数据传输】、【数据存储】、【数据使用】、【数据开放共享】、【数据销毁】都有明确的管理流程呢?不少人可能还会觉得,程律师,这些太高大上的合规与我们无关,那我就问一个简单的问题,我们总有员工吧,我们员工的信息如何收集、如何存储,员工离职后这些信息又如何保留呢?
未来的世界,数据合规会是每个企业的标配。
合规是具体的,具体到企业性质,具体到行业,具体到细节。合规是需要外部监管规则内化的,而内化的方式,内化后的执行,尤其对于哪些需要内化,是我们的专业判断的。
五、“盈科后进”企业合规的真落实
合规如何真落实,可能我们需要对“落实”再解读,我们期待的落实当然是名实完全相符,但对合规,我们却需要一些耐心,我们要允许一段时间的名实不符。
1.以组织、机制为基础的企业合规框架设计
现有组织,很长一段时间才有人,就算有了相应负责的人,相应负责的人真正的发挥将制度落地的能力也需要一段时间,只要往前走,就是真落实,而不是只有一步到位才叫落实。
2.强化合规管理人员队伍建设
我们一直在强调合规始于文化,文化除了靠机制,靠制度,更靠人。靠企业负责人率先垂范,身体力行,树立模范作用;靠企业首席合规人对工作的每一点推进,靠全员参与;靠建立并完善合规管理人员考核机制,让合规与每个人息息相关。
3.以制度、指引为抓手的企业合规内容填充
只有机制和人的合规也无法落地,合规,需要外部规则内化,而内化的呈现方式就是制度,制度如同立法,公司的立法也需要“立法法”,所以,合规不是简单的合规手册,而是公司规章制度的废改立。
制度不是简单写在纸上,而是需要通过指引让相关人都懂得如何操作,比如,就业歧视。我们到底是选贤任能还是用外在条件评判一个人,就是一个合规问题的判断,比如我们可以限制非全日制毕业的学生吗?
那这个问题我们知道后,我们有通过指引的方式让负责招聘以及提需求的业务部门知道了吗?这就是指引的价值,让制度落地,让合规落地。
4、加强企业合规文化建设
文化在今天下午我们已经多次提及了,然而,合规文化的普及并不容易,因为需要纠正过往一些错误的认知,比如 “重业务轻制度、重实体轻程序”。纠正以及重树认知总是最难的,文化建设没有终点,时刻都可以做,比如我们今天下午的合规论坛。
5.以评估、校正为标尺的企业合规更新迭代
这个社会唯一不变的应该就是变化本身了,合规也是,合规没有终点,需要持续迭代。
(1)合规与每个企业息息相关,不要总觉得合规是大企业的事情,大企业有大责任,实际上,小企业的合规更不能忽视,因为或许小企业的不合规隐含着着创始人的刑事责任风险;
(2)合规落实需要一个过程,但哪怕前期名实不符也要推进合规,因为当企业在讨论合规时,就是种了一颗合规的种子在每个人心中。当然,种子发芽需要浇灌,那组织搭建、制度建设,都是光和水,会让那颗种子发芽长大;
(3)合规需要企业敏锐的嗅觉,长远的预见,认真的执行,需要对大势的判断,对重点监管案例的解读,对于每一次合规事件的恰当处理。