[ 郑楚新 ]——(2022-7-3) / 已阅2908次

浅析构建合规与内控、风险及法务一体化全面风险管理体系


【摘要】近年来随着中国企业在世界范围内若干重大合规事件的发生，以及中国政府层面相继颁布央企合规指引及企业境外经营合规指引等文件，合规已经成为中国企业必须要考虑的一个重要问题。但对于合规的一些基本问题，包括概念、起源、范围，以及合规与内控、风险及法务的关系和如何建立健全有效的合规管理体系等，在实务中并没有一个统一的标准。据此，企业应当如何建立健全合规与内控、风险及法务一体化全面风险管理体系的构成，以及合规、内控、风险及法务管理四者的关系，针对四位一体化全面风险管理体系的初步构建并在实务中结合实际不断发展与优化，使合规与内控、风险及法务管理一体化可以充分全面控制企业的风险，从而减少或者降低企业的风险，确保企业稳健经营。本文从合规管理实务的起源入手，对合规的一些基本问题进行研究探讨，并对中国企业建立有效的合规管理体系进行分析研究，本文认为中国企业的合规管理体系建设首先应结合企业自身特点和实际经营情况而制定，不能一概而论。


前 言
2018年6月，中兴通讯因违反美国出口管制法律而与美国政府刚达成和解协议，2018年10月，华为CFO就因涉嫌违反美国出口管制法律而在加拿大国籍机场被逮捕，经过一段时间的辩护维权措施，才得以从加拿大刑事司法程序中释放回国，2019年4月，香港民政局前局长因违反美国《反海外腐败法》（FCPA）被美国联邦法院判处有期徒刑3年，罚金40万。实际上，根据美国司法部公开的案例，仅从2016年1月至2019年1月，因违反美国出口管制法律而被起诉的全球63家企业中，就有25家中国企业和个人，已经超过1/3，在世界银行公布的处罚名单中，中国企业从几年前的屈指可数到目前已经累计至数百家因违反世行规则而先后受到制裁，其中很多涉及建筑行业，且多系在参与世行项目过程中“欺诈”所致。据此，在全球经济一体化的大环境下，以及中国一带一路的倡议和践行过程中，中国企业建立有效的合规管理体系，已经迫在眉睫。
与此相适应，从2018年11月启动合规新标准的制定工作以来，历时3年多，五个阶段，2021年4月13日企业合规领域国际层面的重磅标准——ISO 37301:2021《合规管理体系要求及使用指南》（Compliance management systems — Requirements with guidance for use）正式发布实施，从2016年开始已有五家央企试点建立合规体系，以及后续逐渐出现各专业律师事务所机构亦都重视对企业合规管理体系制度的建设，但实际运行效果如何尚不得而知。然而，随着国际社会对中国企业因重大违规事件进行处罚而引发的中国企业对合规的关注，以及中国政府及司法机关层面对合规的高度重视，可以预见包括央企在内的不同级别的国企以及民企将在接下来的时间会意识到合规的重要性，从而期望可以建立一部有效并可执行的合规管理体系制度。因此，如何建立有效的合规管理体系制度，将是中国企业接下来很长一段时间内将要面对的一个重要问题。
一、合规管理的概念
根据《中央企业合规管理指引（试行）》所称合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
在欧美国家早期的合规概念主要集中于诚信经营及反商业贿赂领域。比如美国的《反海外腐败法》（FCPA法案），自1977年立法至今已有四十多年，美国很多公司合规部门主要的职责就是确保公司经营符合FCPA的要求，而对于FCPA而言，其核心的内容就是禁止以贿赂的方法获取或保留业务。在欧美的世界500强公司中，虽然有些仅设法务部，合规部隶属于法务部，是法务部门的一个内设机构，但在很多公司中，合规部门却是一个独立于法务的部门，而且合规部门的工作仍以反商业贿赂为主，以其他领域的合规工作为辅，包括但不限于反垄断、劳动用工、个人隐私和数据保护及出口管制等。这一点也体现在欧美国家的执法部门，经常引人注目的合规案件，大部分仍然集中在反商业贿赂领域。美国的两大执法机构证券交易委员会（SEC）和司法部（DOJ）不定期颁布的FCPA案件，依然被各大欧美公司合规部门密切关注和经常引用，并作为企业日常合规工作的重要官方参考和指引。
在中国涉外律师早期的合规业务中，基本来源于美国在华企业违反美国的FCPA法。因此，在涉外律师早先的概念中，合规基本上指的是要合乎美国FCPA法案要求的反贿赂条款和会计条款。当然，对于其他方面的合规，比如反垄断、反洗钱、劳动、税务、海关进出口以及出口管制等，也会涉及，但在涉外律师早期的合规业务中，反商业贿赂曾一度占据主要地位。而一些全球组织，比如经济合作与发展组织（OECD）、世界银行等，对于合规的定义，也主要在诚信经营和反商业贿赂等方面。但随着时代的发展，合规的概念和范围也在不断延伸和优化。比如随着互联网的普及以及智能化软件、工具和科技越来越多的使用，个人隐私和数据保护合规，最近几年发展迅速，成为合规领域一个越来越重要的分支。再如，随着中兴通讯和华为事件的发生，中国企业也越来越关注美国出口管制领域的合规。
在中国，尤其是伴随着《中央企业合规管理指引（试行）》和《企业境外经营合规管理指引》的颁布，以及最近于2021年4月13日发布的企业合规领域国际层面的标准——ISO 37301:2021《合规管理体系要求及使用指南》，在中国企业的概念中，合规更多指的是全面合规、整体合规，即全方位、各环节、各领域都要合规，包括但不限于反商业贿赂、反洗钱、反垄断、知识产权、出口管制与海关、个人隐私与数据保护、税务、环境保护及劳动用工等。但实际上，如果说合规与其他法律问题有何本质区别的话，那么合规关注更多的是因政府的行政监管或司法机关的刑事追责而可能引起的重大法律风险。如果只是一般的民事法律责任，通常并不需要纳入合规管理体系，比如民法概念中的违约责任或侵权责任等。
从具体的概念层面来看，通常理解合规指的是遵守国家法律、法规及政策，以及国际法中国际条约、国际惯例、行业规范，包括企业内部规章制度等。但对于每一个具体的企业及其员工来讲，合规指的就是遵守企业内部的规章制度，而企业内部的规章制度同时也是来源于国家的法律、法规及政策，以及国际法中国际惯例和国际条约、行业规范等各个不同级别的强制性法律规范，如果企业内部的规章制度没有规定的，才需要到外部的强制性法律规范条文中去寻找行为依据，甚至是更高的道德层面的要求，比如诚信原则。
因此，对于合规的概念，由于合规在中国才刚刚起步，对于中国企业而言，目前会更加关注合规体系制度的建设，而且刚开始，企业通常期望建立全面合规、整体合规，即全方位、各环节、各领域的内部规章制度，且是有效可以执行的一部合规管理体系制度。在建章立制后，企业会自然更加关注合规制度实际运行的效果问题以及树立正确的合规管理理念和文化的问题。与此同时，合规本身也会随着企业的发展变化并不断延伸和优化。即将遵循ISO 37301:2021《合规管理体系要求及使用指南》的标准，其中最重要的优势就是它的整体方法标准将遵循连续提升的模型，即：开发-实施-评价-保持（这就是所谓的“PDCA 循环”——计划、执行、核查、行动——由质量管理开始）。
二、合规、内控、风险、法务的起源
1、合规起源于2017年的中兴事件，通过该事件，使国内企业进一步意识到合规管理的重要性。企业不能为追求短期目标而急功近利，不能因不当商业行为，片面追求收益而不讲条件、范围，认为风险越大、收益越高的观念和做法。同时，也要防止单纯为规避风险而放弃发展机遇。因此，构建合规管理体系，进一步规范企业营商行为，势在必行。
2、内控起源于中国内控体系建设和强化开始于2008年，财政部联合证监会、银监会、保监会、审计署发布了《企业内部控制基本规范》，此规范开启了中国内控体系建设的大幕。与美国不同的是，国内的内控体系目标定位不仅限于财务目标控制，也包括业务目标的控制。国内企业据此构建内控体系，既提升了管理的精细化程度，也为国内企业赴海外上市强化了基础。
3、风险起源于2006年，国务院国资委发布了《中央企业全面风险管理指引》，国企纷纷开始构建风险管理体系。央企投资项目动辄几亿、几十亿资金，而资金的回笼时间较长，中间存在很多不确定性，这些不确定性就是企业需要管理的风险，对此，需要一套科学的系统对这些不确定性进行预测、评估、提出对策，以保证企业的经营目标实现。
4、法务起源于1842年美孚石油公司成立了全球第一家企业法律部门，1981年中国机械进出口、武钢等设立了法律部门。1997年国家经贸委颁布的《企业法律顾问管理办法》，标志着中国企业法律顾问机制的确立。其后，大型企业专设的法律事务部，逐渐成为企业重要的职能部门。2015年国资委发布《关于全面推进法治央企建设的意见》后，依法治企便成为依法治国战略的重要内容，企业法务从审合同、处理诉讼案件的专项法律事务进入到控风险、当参谋的企业管理，其责任和重要性进一步得到了彰显。
三、合规与内控、风险及法务管理的关系
合规与内控、风险及法务管理，都是为了预防、减少公司风险。但四者之间，既有联系，也有区别。
1、合规与内控的联系与区别
首先，内控与合规有明显的区别。比如，内控主要关注企业的财务问题或现金流向等问题。从制度层面来讲，内控通常会关注与财务相关的规章制度等问题，而合规则更关注根本性的、关系公司全局性的问题。如果从一个更高层面来讲，内控仅关注制度，而合规是一个公司全局性的完善的体系，涉及公司内部规章制度、公司管理层态度、沟通与交流、培训、不断持续改进、调查、惩戒等，合规最终的目标是确保公司的各项运营，不但符合法律法规和公司内部规章制度，以避免行政处罚或刑事处罚所带来的风险，而且最终是期望建立一个合法合规的公司理念与文化。从这个角度看，内控只是合规体系的一部分。
其次，这两个部门之间也有很紧密的联系。比如目标都是一样的，都期望帮助公司做好预防工作，将风险防患于未然，而且在做合规审计和持续改进时，合规部门通常会邀请内控部门一起组成工作组，进行合规审计，撰写合规审计报告，并就审计中发现的问题，提出改进意见，以做到持续改进等。
2、合规与风险控制的联系与区别
对于企业而言，风险是各种各样的，按照不同标准划分也可以分成不同的风险，比如按照是否与法律直接相关，就可以简单分为商业风险和法律风险。早在2006年国务院国资委颁布的《中央企业全面风险管理指引》第三条就指出，企业风险是未来的不确定性对企业经营可能产生的各方面的影响，包括战略风险、财务风险、市场风险、运营风险、法律风险等。因此，只要是为控制企业风险而采取的各种措施都可以纳入风险控制体系。而合规风险则是企业整个风险中的一部分，而且通常是法律风险中最重要的一些风险，即与行政监管和刑事司法有关的、容易引起企业生死存亡的重大法律风险，所以现在世界各国普遍把合规风险单独列出来做为一类风险并提倡建立相应的合规管理体系。国务院国资委在出台央企风险管理指引多年后，又在2018年出台央企合规管理指引，或许正是基于这种考虑。
3、合规与法务管理的联系与区别
首先，法务和合规工作范围有明显区别。在公司里，有一些工作明显属于法务部门，比如审核合同、修改合同，投资并购，诉讼，包括债务纠纷、劳动纠纷、产品责任纠纷、知识产权申请、维护及知识产权诉讼等。而有些看似与法务相关的法律工作，则明显属于合规部门，比如对第三方管理、捐赠与礼物、与政府官员交往，内部违规的调查以及审计等。此外，如果是因政府行政监管或司法机关刑事追责有关的事务，包括接受行政监管部门的调查、处理或司法机关的侦查、刑事处罚等，一般也会归属到合规部门职责范围。
其次，从组织结构来讲，欧美很多公司都会设置合规委员会，并定期向董事会报告。然而一般情况下，对于法务部门，则几乎没有就法律问题会成立类似的公司层面的工作委员会。
最后，二者也有很多联系，工作上也有很多需要相互配合。比如合规也会审核合同，但它更多的会看一些法务部门审核以外的法律问题，比如反商业贿赂条款，价格或支付的对价是否符合公允的市场价，是否有垄断嫌疑，交易主体是否曾有不合规历史等。有些则以法务为主，合规部门为辅。比如，跨国公司大型并购，通常是由法务领衔，从一开始的项目论证，到对目标公司的尽调、谈判、起草文件，以及最后到相关政府部门办理股权变更等。而合规则只是整个项目的一部分，比如合规会关注目标公司经营过程中的重大合规问题，比如是否有商业贿赂，经营模式是否有刑事风险，是否有逃税，公司员工社保是否缴纳等。但有些事务也会由合规主导，法务配合。比如对于违规事件的合规调查或审计中，在合规部门主导调查或审计时，也需要法务提供法律意见，以确定违规事件的严重性。
因此，合规与内控、风险及法务管理的关系有其共通之处，如四者都是以风险管理为对象，以法律作为基础。
四、合规、内控、风险、法务一体化全面风险管理体系的构建
中国企业的合规体系建设体系化或者单独的作为一个概念提出来虽然较晚，但并非没有做过与合规相关的工作。比如银行业的合规指引很早就已出台，央企的风险控制指引也很早就出台。但这也恰巧说明风控和合规还是有区别，因为在经历风控之后，现在政府层面仍然提出了合规指引。因此，提倡建立独立的、体系化的合规体系仍有必要。
然而，说到合规体系建设，目前国内企业对外部律师提出这个要求时，往往认为外部律师只要帮助企业建立一套规章制度就算合规体系建设完成。但实际上合规体系的建立，是一个系统工程。完善的企业制度固然是合规体系建设中极其重要也是非常基础的一部分，但这也只是其中一部分。制度建立以后，比制度更重要的是有效地运行、持续改进以及合规理念、文化的建立等。
（一）“四位一体化”全面风险管理体系制度
1、合规风险
根据《中央企业合规管理指引（试行）》所称合规，是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。
所称合规风险，是指中央企业及其员工因不合规行为，引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。
所称合规管理，是指以有效防控合规风险为目的，以企业和员工经营管理行为为对象，开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。
建立合规制度是有效合规体系最重要的基础。而建立制度的前提，就是要全面、准确识别企业自身的风险。关于合规风险，依据企业所属的行业（比如医疗、银行金融、建筑）、类型（生产、贸易等）及企业经营所在的国别等各种因素，每个企业的合规风险就不同。这就决定了在建立或完善制度时，首先需要清楚地识别企业自身的合规风险，才能有针对性地建立不同的内部规章制度。
比如，金融行业和生产型企业合规要求就会差异很大。此外，并不是每家企业都需要关注美国的出口管制规定，因为并不是每家企业都从美国进口零部件。也不是美国企业都需要去了解美国的FCPA法案，因为不是每家企业都会在美国有经营或者与美国有关联。再如，不是每家企业都需要关注世界银行的合规诚信指南，因为不是每家企业都会参与世行项目。
2、合规制度
根据《中央企业合规管理指引（试行）》的规定，加快建立健全合规管理体系应当遵循以下原则：
（一）全面覆盖。坚持将合规要求覆盖各业务领域、各部门、各级子企业和分支机构、全体员工，贯穿决策、执行、监督全流程；
（二）强化责任。把加强合规管理作为企业主要负责人履行推进法治建设第一责任人职责的重要内容。建立全员合规责任制，明确管理人员和各岗位员工的合规责任并督促有效落实；
（三）协同联动。推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接，确保合规管理体系有效运行；
（四）客观独立。严格依照法律法规等规定对企业和员工行为进行客观评价和处理。合规管理牵头部门独立履行职责，不受其他部门和人员的干涉。
通过五家试点央企公开披露的信息可以看到，在合规体系建设中，一般都在企业颁布合规管理规定或合规手册。这个可以视为是整个合规制度中的重中之重。在这个总则性的文件中，它是纲领性文件。首先它通常都会在引言部分阐明合规的意义和重要性。其次，会将企业认为最重要的问题，以列举的方式一一列出，比如不得以贿赂的方式开展业务，不得性骚扰，反垄断，不得内幕交易，遵守劳动法等等。

总共3页　　1 [2] [3]

　　下一页