[ 郑楚新 ]——(2022-7-3) / 已阅2835次

在这个纲领性文件之下，则有一系列配套文件，比如第三方管理，捐赠与礼品等。至于具体实施性文件，五家央企均未对外公布。但如果是健全的，应当会涉及合规管理的方方面面，比如合规体系中共同的部分，合规组织架构，包括部门成员、职责等，合规委员会议事规则，合规激励与奖惩，违规事件报告与调查，合规培训，合规审计与持续改进，然后也会有各个法律领域的规章制度，比如反商业贿赂领域的捐赠与礼品制度，对第三方管理制度等。如上所述，因为每个企业的合规风险都不一样，所以每家企业的制度也不会一样，而且不可能一劳永逸。
对于集团性质的企业，在帮助总部建立合规体系后，还要考虑个子公司和分支机构的特点，具体制定切实可行的制度、组织架构和运营方式。对于有境外业务的走出去的企业，则还需要考虑企业经营所在国的不同国别合规风险。
3、合规组织架构
在合规体系的有效运行中，合规部门的设立和组织架构是很重要的一个环节。按照国务院国资委现行颁布的《中央企业合规管理指引（试行）》第十条：“法律事务机构或其他相关机构为合规管理牵头部门”。这种设置并不是说一定不合适。但这是否会影响合规部门的独立性、自主性？比如，涉及公司高管的违规问题，合规部门去调查，是否有足够的权威性和足够的独立性？在欧美国家很多公司中，为保障合规部门能够有效地履行职责，虽然在部门设置上和其他部门都是平行的，但合规部门通常是独立的部门，享有极高的自主性，实际上也享有很高的地位，因为首席合规官可以展开独立调查，可以向董事会和CEO直接汇报。
这次中兴通讯也是个值得关注的例子。之前它也有自己的法务合规部。但从最后事件的发生来看，它的合规部门可能在事发当时就很难做到独立，因为在经营过程中虽明知违反美国出口管制法律，但并没有制止。甚至在2012年左右发生过一次违规事件后，仍然发生公司管理层伪造相关文件，以应付美国调查，但最终还是被美国相关部门在机场当场查出文件，被证明违反了美国的出口管制法律。而中兴通讯的产品很大程度上仍依赖于美国，因此它最终不得不接受了美国政府的安排。最后在合规部门的安排上，中兴通讯接受了美国执法部门直接指派的一位美国律师过来担任中兴通讯的合规官。虽然我们无从知晓合规官具体职责及效果，但从它的设置程序来看，它现在是独立的，且有权向美国相关执法部门直接汇报。
3、合规运行
按照《中央企业合规管理指引（试行）》的规定，企业应当建立健全合规管理制度，制定全员普遍遵守的合规行为规范，并对重点领域制定专项合规管理建立有效的运行制度，并根据法律法规变化和监管动态，及时将外部有关合规要求转化为内部规章制度，加强对以下重点领域的合规管理：
（一）市场交易。完善交易管理制度，严格履行决策批准程序，建立健全自律诚信体系，突出反商业贿赂、反垄断、反不正当竞争，规范资产交易、招投标等活动；
（二）安全环保。严格执行国家安全生产、环境保护法律法规，完善企业生产规范和安全环保制度，加强监督检查，及时发现并整改违规问题；
（三）产品质量。完善质量体系，加强过程控制，严把各环节质量关，提供优质产品和服务；
（四）劳动用工。严格遵守劳动法律法规，健全完善劳动合同管理制度，规范劳动合同签订、履行、变更和解除，切实维护劳动者合法权益；
（五）财务税收。健全完善财务内部控制体系，严格执行财务事项操作和审批流程，严守财经纪律,强化依法纳税意识，严格遵守税收法律政策；
（六）知识产权。及时申请注册知识产权成果，规范实施许可和转让，加强对商业秘密和商标的保护,依法规范使用他人知识产权，防止侵权行为；
（七）商业伙伴。对重要商业伙伴开展合规调查，通过签订合规协议、要求作出合规承诺等方式促进商业伙伴行为合规。
关于有制度而运行出问题的，这方面的例子并不少。2013年发生在中国的葛兰素史克（GSK）案是近年来发生的一个有合规制度却并无有效运行机制的典型案例。GSK作为一家在制药领域处于世界领先地位的全球性企业，它的合规制度不可谓不完善。然而，2013年5月份该公司却爆发丑闻，该公司四位核心高管，包括总经理、人事总监、市场总监及法务总监，均被逮捕并最终均被判处刑罚。作为一家世界500强企业之一，而且是研制开发制药企业协会（RDPAC）会员单位之一，它的内部规章制度应该很健全。然而就是在这种背景之下，却仍然能发生这样的重大违规事件并构成犯罪，只能说明它的合规制度运行有问题。其法务总监也卷入其中就说明合规在这家公司没有得到很好的运行。事后证明，至少它的合规部门在公司日常经营中没有真正做到独立。同样，它没有事后持续的审计和持续改进，也没有很好的对于公司内部违规事件的报告和调查机制等。从事后报道来看，GSK经营过程中出现的不合规并不是一天两天，而是持续若干年。业务部门几乎造假成风。他们在平时组织的所谓学术会议中，基本全部采用虚假的申请文件。而在后面的报销流程中，则大量伪造会议照片、会议参与者假的签名、虚假的演讲PPT以及与旅行社合谋，开具虚假的会议场所使用发票等。然而从会议召开之前的审批到事后费用报销，偌大的公司法务部、合规部、财务及内控等部门，却都没有发现。其制度和运行机制，完全形同虚设。一直到最后中国的执法部门收到涉嫌犯罪举报进行刑事立案，才发现GSK极其严重的违规行为。以致最后构成犯罪，GSK中国区四大高管均被判处刑罚，而公司也被处以30亿罚金而收场。
因此，一个完善的合规体系，应该远远不止是建立全面而完善的内部规章制度。在有制度的情况下，如何确保它持续、有效地运行，或许是比建规立制更重要的工作。而它的有效运行，如果参考美国司法部2012年颁布的FCPA指引，可以看到至少包括以下若干要素：企业最高层对合规的态度、合规组织、架构的建立、对于违规事件的内部汇报与调查机制、合规的沟通与培训、对第三方的管理、合规激励与惩罚、合规审计及持续有效的合规体系改进等。除此以外，一些国际组织的合规制度，也可作为参考，比如世界银行颁布的《世界银行集团诚信合规指南摘要》。
5、合规人才
在国家层面从2018年底开始，从上往下推行合规管理体系建设的背景来看，目前中国企业对建立合规体系的意识，尚没有达到普及的程度。合规工作不仅要求具备广泛的知识，尤其是法律，而且需要极其丰富的管理和协调能力，因为合规往往面对的都是企业重大问题，而且在为企业把好关的同时，还要保护企业正常的业务发展，这会导致业务部门与合规部门之间会有天然的矛盾。中国企业目前对于合规的需求并不完全相同，其中国企（包括央企和地方国企）基本上是应国务院国资委或各级地方国资委的要求才会去被动建立合规体系，而民企则更多是碰到行政处罚或刑事处罚时，才会想到去建立合规体系。与此相应，中国国内的合规人才目前并不是很多。从目前中国市场中比较活跃的合规从业员来看，主要有较早接触合规业务的国际律师事务所律师，跨国公司合规部门的从业人员，以及大型央企、国企或民企中合规部门从业人员，还有国内一流律所中从事合规业务的律师，是目前国内主要的合规力量。因此，在目前起步阶段，中国企业要建立合规体系，还需要外部有合规经验的律师协助。之后，在企业建立合规体系的过程中或者积累一定经验后，可以再发掘、培养了解和适应企业自身特点的合规从业人员。
6、国企与民企
国企与民企在建立合规体系时，在某些方面具有共通的地方，比如都要有基本的合规架构和运行机制，都要根据企业自身的特点、风险建立具体领域的合规制度，但国企也会有一些不同于民企的地方。比如，国企里面因为有国资成分，所以对于国资的合规运行可能会有不同于民企的专门规章制度。再如，国企的机构设置上，通常会有纪检、党委等不同于民企的部门设置，那么在合规机构的设置上，可能需要根据这些机构在国企的分工来合理设置。同时在企业员工的构成上，国企还会有国家工作人员这一主体，那么他们跟民企员工可能涉及的刑事合规风险也并非完全一致，因此这个也可能需要在制定合规制度时，予以综合考虑。
7、刑事合规
自政府层面颁布两个合规指引以来，国内从事刑事领域的部分律师和学者先后提出了刑事合规的概念，部分检察机关在试点的过程中也出现刑事合规不起诉的提法。不可否认，在实践中，合规作为法律的一个重要领域，起初是来源于行政处罚或刑事处罚，比如美国FCPA项下的反商业贿赂合规，但实际上刑事风险只是合规风险中最高级别的风险，而且各个法律领域的合规风险都可能涉及各自领域独特的刑事风险，比如反商业贿赂可能会涉及行贿罪或受贿罪等，数据与隐私可能会涉及非法获取、出售、非法提供公民个人信息罪等，因此，将刑事合规风险归类至各法律领域中的最高级别风险可能更合适，而无需单独列为一类合规风险。在检察机关推行的刑事合规不起诉试点改革中，对涉罪企业要求的合规体系通常也是要求企业首先要建立一个全面的合规体系，其次才是针对涉嫌罪名所对应的特定领域进行整改。
（二）“四位一体化”全面风险管理的逻辑交互关系
基于“四者”的共通属性，以实现合规要求为目标，以内控和风险为管理抓手，以法务思维为底层连接，构建“四位一体”的全面风险管理体系，是实现依法治企的积极尝试。以华侨城集团作为例子，在华侨城集团就是法务部门具体负责，融合合规、内控、风险、法务四项管理职能的一体化综合管理体系。华侨城集团将公司管理制度汇编成册，建立了涵盖董事会事务、战略管控、投资管理、财务管控、人力资源管理、法律事务管理、采购管理、信息化管理、安全管理、综合事务管理和党建工作等方面近200部制度的企业内部规章制度体系，为全面加强企业内部建设、培育“具有全球竞争力的世界一流企业”奠定了良好的合规管理基础。
首先，合规侧重于“建”。一是完成“外规内化”，即将国家的法律法规精神、商业道德的共识和外部监管要求嵌入企业内部规章制度，形成以公司章程规范公司治理、以管理制度规范企业运营、以工作指引规范业务开展的合规管理总体框架；二是建立如财务税收、知识产权、安全环保等重点领域的合规管理工作机制，在信息化系统中固化重点合规管理工作流程，在合规管理全面覆盖的前提下，突出合规重点；三是持续“整章建制”，将实际运营过程中形成的管理经验进行归纳总结，以此为基础不断固化为企业内部规章，为企业管理搭建运行顺畅的轨道。
其次，内控侧重于“控”。将重要业务领域关键控制点嵌入业务流程。华侨城集团业务开展过程中，在谈判、签约、运营、退出等各个环节明确了责任部门和责任人，并对重点环节和重要流程进行监督，确保内控工作落到实处。同时，华侨城集团还致力于加强内部控制体系建设，整合内部监督资源，加强信息共享和成果共用，形成防控合力。实践表明，内控不是一家的事，而是所有与企业经营相关的职能部门和业务单位的职责，经营运作部门、单位和员工要执行内控要求，保证企业运转不偏离已定的合规轨道。
再次，风险侧重于“化”。明确风险管理策略，建立全面风险管理制度，执行风险管理流程，制定风险管理方案，预判和警惕风险趋势和事项，及时发现风险苗头，对出现的重大风险或风险事件，妥善化解，依法处置。华侨城集团坚持以防范和化解重大风险作为业务开展的基础，规范执行,强化决策相应程序的执行和监督，确保重大决策事先做到调研、论证、讨论“三充分”；对业务开展可能产生的风险进行评估，并针对风险评估中提示的风险制定相应的预案，以有效防范重大风险。
最后，法务侧重于“用”。统筹合规管理、内控管理、风险管理，开展纠纷案件管理、律师律所管理和合同管理等具体业务的事务管理，积极运用法治思维和法律手段，培养企业全员依法办事的法治理念和行为习惯。具体业务出现的问题，根据其实际情况分别归纳到合规管理、内控管理、风控管理中处置和解决，使“四位一体”全面风险管理体系有效运转起来。
（三）聚焦企业风险，“四位一体化”全面风险管理体系的应用
早在2006年国务院国资委颁布的《中央企业全面风险管理指引》第三条就指出，企业风险是未来的不确定性对企业经营可能产生的各方面的影响，包括战略风险、财务风险、市场风险、运营风险、法律风险等。而全面风险管理，指企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。为防止发生企业风险，企业开展全面风险管理工作，应注重防范和控制风险可能给企业造成损失和危害，也应把机会风险视为企业的特殊资源，通过对其管理，为企业创造价值，促进经营目标的实现。
因此，“四位一体化”全面风险管理体系可以按照以下顺序运行：
第一，收集风险管理初始信息
结合企业不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息。
第二，进行风险评估
企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。
第三，制定风险管理策略
企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。
第四，提出和实施风险管理解决方案
企业应当综合应用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。
第五，风险管理的监督与改进
分析问题，吸取教训，总结经验，形成制度，使四者形成封闭、自洽的有效循环。
企业应本着从实际出发，务求实效的原则，以对重大风险、重大事件(指重大风险发生后的事实)的管理和重要流程的内部控制为重点，积极开展全面风险管理工作。具备条件的企业应全面推进，尽快建立全面风险管理体系；其他企业应制定开展全面风险管理的总体规划，分步实施，可先选择发展战略、投资收购、财务报告、内部审计、衍生产品交易、法律事务、安全生产、应收账款管理等一项或多项业务开展风险管理工作，建立单项或多项内部控制子系统。通过积累经验，培养人才，逐步建立健全全面风险管理体系。
与此同时，企业开展全面风险管理工作应与其他管理工作紧密结合，把风险管理的各项要求融入企业管理和业务流程中。具备条件的企业可建立风险管理三道防线，即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。
（四）选择风险管理策略
根据 《中央企业全面风险管理指引》所称风险管理策略，指企业根据自身条件和外部环境，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等适合的风险管理工具的总体策略，并确定风险管理所需人力和财力资源的配置原则。
一般情况下，对战略、财务、运营和法律风险，可采取风险承担、风险规避、风险转换、风险控制等方法。对能够通过保险、期货、对冲等金融手段进行理财的风险，可以采用风险转移、风险对冲、风险补偿等方法。
（五）“四位一体”全面风险管理体系的边界问题
由法务部门牵头“四位一体”管理体系有其专业优势，因为法务思维是以逻辑思维、程序思维、规则思维、证据思维为基础，在解决涉及规则、程序、风险等问题时，法务思维的价值会特别凸显。而合规管理、内部控制和风险管理不是一个部门能包圆的事。法务部门在体系建设和运行中，要处理好与战略、投资、财务、人力资源、审计等业务部门及纪检部门的关系，涉及依法治企事项，既需要法务部门有较强的统筹能力，又需要业务部门的重视和配合。以合规为例，法务部门要熟悉业务领域各项法规政策，并及时完成外规内化，业务部门要不断总结管理经验，并形成各种制度和规章，仅靠法务部门或仅靠业务部门均不能很好的实现外规内化、整章建制的目标。
“四位一体”的全面风险管理体系，偏向于事前预防、事中控制和事后救济，而审计部门主要负责对体系的运行状况实施监督和事后评价，对体系的健全和有效提出整改建议。因此，业务执行部门与效果监督评价部门相分离，即运动员和裁判员分离，是一种科学的安排。
“四位一体”管理体系要注意与纪检监察部门的区别。纪检部门是党内监督和追责部门，其主要职责虽与合规管理的部分领域相重合，例如反腐败、反商业贿赂领域，但合规管理侧重事前设立好规则，而纪检监察则侧重事中监督和事后的责任追究。

总共3页　　[1] 2 [3]

上一页　　　　下一页