合规是企业及员工的经营管理行为符合基于法律法规、监管规定、行业准则、企业章程和商业伦理以及国际条约、规则等要求的企业系统规章制度,合规管理就是依法治企,中国企业合规体系建设,将助推企业管理和公司治理上到新的台阶,也是中国企业走向国际市场的必由之路。传统法务应适应新形势需要,创新发展,开拓思路,勇担牵头企业合规体系建设之责,不断扩大法务工作的影响力、拓展企业健康发展服务保障能力。2018年5月4日,中国国际贸易促进委员会、中国企业联合会与北京新世纪跨国公司研究所共同发起成立了全国企业合规委员会。2018年11月2日,国务院国资委印发了《中央企业合规管理指引(试行)》(以下简称“指引”)提出“法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持”,推动中央企业全面加强合规管理。2018年12月26日,国家发改委会同外交部、商务部、人民银行、国资委、外汇局以及全国工商联发布《企业境外经营合规管理指引》以上诸多事件,看似独立,其实都寓意着同一走向,即企业合规越来越重要,传统法务需要与时俱进,创新发展,适应新形势,担负起企业合规管理重任。指引的出台,一系列关于企业合规新闻事件的报道,仿佛都在提醒我们传统的企业法务,时代随时都要变革,法务的工作内涵也在不断变化,唯有变才是不变。
传统法务管理是由受雇于企业的人员构成职业群体组成的部门对企业法律事务进行管理、对企业各种经营行为进行法律审查、预防法律风险、处理法律纠纷。我曾经在《企业高质量发展需要什么样的法务》一文中分析到,高质量的法务管理应该是企业内部以复合型法务人才为主体,以总法律顾问为主导,实现全面法律风险防控、参与企业战略制定、融合日常经营管理、合规体系建设、全员法治思维的提升以及诉讼管理等系列活动的总称。其中,合规管理,就是要符合法律、法规、政策、制度、社会道德以及价值规范的约定。合规管理是从法律角度出发告诉企业“怎么做”,“如何前瞻”,“建立企业的长期目标”以及“避免法律责任包括刑事法律责任”。合规管理关乎企业的生死存亡,是提高企业的竞争力、促进企业的健康持续发展的内在需要。显然,未来企业法务要从合同、并购、知识产权、财税、诉讼等传统业务,增加到公司治理、内控、内审、合规等工作内容。指引的颁布是推进企业合规管理一个里程碑事件,为中央企业甚至中国企业的合规体系建设指明了方向,企业的合规体系建设,必将助推企业管理和公司治理迈上新的台阶。指引第9条和第10条分别规定,中央企业相关负责人或总法律顾问担任合规管理负责人,法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持。合规管理负责人的主要职责有:组织制订合规管理战略规划;参与企业重大决策并提出合规意见;领导合规管理牵头部门开展工作;向董事会和总经理汇报合规管理重大事项;组织起草合规管理年度报告。合规牵头部门的主要职责有:研究起草合规管理计划、基本制度和具体制度规定;持续关注法律法规等规则变化,组织开展合规风险识别和预警,参与企业重大事项合规审查和风险应对;组织开展合规检查与考核,对制度和流程进行合规性评价,督促违规整改和持续改进;指导所属单位合规管理工作;受理职责范围内的违规举报,组织或参与对违规事件的调查,并提出处理建议;组织或协助业务部门、人事部门开展合规培训。从规定中可以发现,指引比较倾向由总法律顾问作为合规管理负责人,法务部门作为合规建设的牵头部门。从工作职责中可以看出,合规管理的理念与法务管理的理念有相通之处,部分工作职责原来就是传统法务的工作职责,部分工作的方法与程序和传统法务的法律风险防控体系建设比较相似,部分工作内容法务比较有专业优势,是法务工作边界扩大的方向,对提升法务工作影响力,提高法务从业人员话语权具有积极的意义。
合规管理与法务管理本是两个范畴,指引倾向于法务牵头做合规,对传统法务来说,更是挑战,合规管理涉及面广,指引第4条将全面性原则确立为企业合规管理的第一大原则,要求合规管理覆盖企业各业务领域、各部门、各级子企业和全体员工,贯穿决策、执行、监督等各个环节。对合规管理体系的各构成要素也进行了全面规定,包括:合规组织,合规制度,合规风险管理,合规审查,合规评审,合规考核评价,合规培训,违规举报、调查和问责,合规报告,合规管理信息系统,企业合规文化,重点合规领域等。全面性原则对从业人员素质要求更高,法务人员如何转变工作理念,从被动保障转变为主动服务并为企业创造价值,从提供法律支持、解决法律纠纷增加到改善企业管理、促进企业法治、保障企业健康发展,从单一的法律风险防控到融合内控、风控、法律风险防控、合规、监察、审计等多系统控制、服务、监督、保障等等,均是巨大挑战。
目前,中央企业及相当一部分地方国有企业均建立了全面风险管理、法律风险防控、内部控制、安全环保、企业内部监督体系(如审计、纪检监察、巡视、法律、财务等)相关工作体系,多体系并存的现实状况为国有企业合规体系建设带来一定的障碍:各体系的分管领导、管理部门不同;每个体系工作标准不一,工作对象存在交叉和空白;每个管理体系都有信息化需求,企业为此建设和运行多套甚至几十套互不兼容的信息系统;每个管理体系都要求检查、考核评价、提交定期管理报告等。从业务层面和关注重点来看,原有的各种体系均聚焦企业的一些工作重点,识别并分析相关领域的风险,明确了相关防控的措施,从本质上看,这些都是为了企业某一方面的风险防范设定的子体系,目标都是为了保障企业的健康发展。指引第4条要求,要按照全面性、责任性、协同性和独立性的原则加快建立健全合规管理体系,推动合规管理与法律风险防范、监察、审计、内控、风险管理等工作相统筹、相衔接,确保合规管理体系有效运行,合规管理要覆盖企业各业务领域、各部门、各级子企业和全体员工,贯穿决策、执行、监督全流程。其实可以理解为,用合规管理体系来统筹协同法律风险防范、监察、审计、内控、风险管理等子体系,原有子体系在职权范围内履行合规管理职责,在整体上确立这些体系之间关系架构,不是整合、替代,而是相互统筹和衔接,厘清管理界面和接口、避免相互交叉和冲突、实现资源的集约和共享,通过建立健全一种大合规保障体系,即,以体系融合为主线,以规章制度管理为抓手,以合规审核为重点,以依法治企为目标的企业经营管理体系,从而保障企业实现健康持续发展。
指引第8条提出,中央企业设立合规委员会,与企业法治建设领导小组或风险控制委员会等合署,承担合规管理的组织领导和统筹协调工作,定期召开会议,研究决定合规管理重大事项或提出意见建议,指导、监督和评价合规管理工作。考虑到目前相应的合规职能已经有相关业务部门承担,在工作内容、方式有较大程度重合,建立完全独立的合规组织体系和工作体系难度大,也带来管理资源的浪费,容易形成新的工作冲突。指引在合规体系建设客观独立原则中明确合规管理牵头部门独立履行职责,不受其他部门和人员的干涉,强调的是工作独立,而不是合规部门独立。因此,在董事会下设立合规委员会,由董事长兼任主任,统领企业的大合规工作;合规委员会设合规总监,可由总法律顾问兼任;在法务部的基础上设置法务合规部,部门下设合规管理岗,业务部门是兼职合规员,由合规部统一指导合规管理工作。在合规体系建设中,应充分考虑指引第二章要求的七个层级的合规管理组织架构,赋予董事会、监事会、经理层、合规委员会、合规管理负责人(合规总监)、合规管理牵头部门(法务合规部)以及业务部门不同的职责权限。
合规管理体系是一套集法律、风控、财务、审计、人力、安全生产、质量环保、运营管理等涉及各个部门多方管理的综合性管理体系,无论从企业人力资源成本来讲,还是合规管理效率来说,要成立一个合规部、一个法务部、一个风控部,再成立一个配合审计监察人员监督的机构,那么在机制上就会面临重复设置或者说是资源的过度配置,企业有限的管理资源疲于应对各个体系的工作要求,部分管理体系逐步失去了管理的灵魂和价值。因此,从风险防控角度出发,以法律和企业规章制度作为行为准则,运用专业的尽职调查方法和规范程序做好“事前预防、事中控制、事后救济(追责)”,在现有子体系的专业人员中选任具有任职资格的专业合规管理人员,试行人员交叉任职、问题信息共享以及问责整改相融,合理配置合规管理资源,实现合规管理集成,最终目标是为企业健康发展保驾护航。
法务合规部是合规综合管理部门,主要合规管理职责有:负责拟定并持续更新公司合规管理制度和合规手册,并推动其贯彻落实;负责公司规章制度管理工作,保障公司规章制度合法合规;通过合规审核、合规检查、合规风险提示和报告等方式识别、分析、防范和应对合规风险;负责公司决策会议议案、规章制度、合同、重要经济活动等事项的合规审核工作;通过组织合规培训、宣传等活动培育合规文化;为公司管理层、部门和全体员工提供合规咨询和支持;协助纪委(监察部门)查处违规行为等。合规专项管理部门,包括:董事会、战略规划、人力资源、财务、审计、安全生产、纪检监察、党委办公室等部门。其中,董事会日常工作部门负责公司一级规章制度的管理,负责与上市公司监管相关的合规管理,向法务合规部提供上市监管相关违规信息及其他有关资料;战略规划部门负责将合规管理纳入企业发展规划;人力资源部门负责按照不相容职务分离原则选聘、培养合规管理队伍,将合规培训纳入员工培训计划,运用合规考核和评价结果,向法务合规部提供人员处分、个人事项申报中的违规信息等合规有关资料,负责合规管理机构设置、定员相关工作,负责将合规管理人员纳入人才招聘计划,向法务合规部提供违反劳动纪律处理资料及其他有关资料;财务部门负责财务相关合规工作;审计部门负责在内部审计工作中统筹进行合规检查,负责在内控评价工作中统筹开展合规评价工作,协同法务合规部组织进行规章制度缺陷整改工作,向法务合规部提供内部审计、内控合规评价报告及其他有关资料;安全生产部门负责安全、质量、环境保护及职业健康违规事件的查处,向法务合规部提供安全质量事故调查、处理有关资料;纪检监察负责对违规举报进行受理、调查和处理,组织合规管理部门查处重大违规行为,协同法务合规部开展合规文化培育工作,向法务合规部提供违规处理结果及其他有关资料;党委办公室负责将合规检查纳入巡视工作范围,向法务合规部提供合规检查相关资料。合规参与部门为各业务部门,负责执行合规管理制度,按照合规要求完善业务管理制度和管理流程,保障本业务系统人员合规履职;按照全面风险管理工作要求,组织识别、分析、评价和应对本业务条线涉及的合规风险,向法务合规部提交本部门合规风险管理报告;负责本部门业务范围内的合规审核工作,管理本部门审批、核准、审核、备案等合规审核事项;组织本业务条线员工开展合规培训;组织或者接受合规检查,协助或者配合违规查处;组织或者监督本业务系统不合规行为的整改等。
合规体系搭建的3W,即是指:WHO谁来管,WHAT管什么,HOW如何管。合规管理牵涉面广,涉及部门、业务、人员较多,为确保高效不推诿,必须坚持以下几个原则,即:确保合规管理有效、实际地管理和防控合规风险,顺利履行合规职责;确保合规部门独立地、严肃地开展合规管理;确保合规部门与其他相关部门之间的职责分工明确,但又协调合作;确保适当的成本管理,但绝不能因此忽视或者牺牲合规管理。在此基础上,建立健全纵向专业管理与横向分工协作相结合的组织体系。具体来说,在董事会下依次设合规委员会、合规总监、合规部门,合规部下设合规管理专员;在二级单位设立合规部并配备合规专员、各业务部门设立兼职合规管理员;在三级单位设立合规管理专员。合规管理有三道防线,第一道防线,业务部门的合规职责是风险评估、风险治理、落地执行、自我改进;第二道防线,合规部门的职责是明确责任、风险评估、制定标准、推进整改、完善体系、定期报告;第三道防线,审计监督部门的合规职责是监督检查、违规追责。
指引运用了企业大合规理念来指导和规范企业合规管理,要求合规管理覆盖企业各业务领域、各部门、各级子企业和全体员工,贯穿决策、执行、监督等各个环节。重点领域的合规管理,包括市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等,重点环节的合规管理,包括制度制定环节、经营决策环节和生产运营环节,重点人员的合规管理,包括管理人员、重要风险岗位人员以及海外人员等。合规管理的内容主要包括,建立合规政策和标准,进行合规风险调查和评估,建立违规举报途径、接受举报并对违规行为进行查处,建立员工的行为准则,培育合规文化等。
在三道防线上,主要表现为:第一道防线,业务单位:准入类合规风险、广告合规风险、知识产权风险、合同管理类合规风险、劳动人事合规风险、金融类合规风险等;第二道防线,合规团队,制裁与出口管制、反腐败与反贿赂、隐私与数据保护、反洗钱、利益冲突、产品安全与消费者权益保护等;第三道防线,审计监督部门,合规检查、违规追责等。
指引在第四章和第五章明确了合规管理的运行机制和保障措施,将合规管理制度、合规风险管理、合规审查、合规评审以及违规举报、调查和问责等合规管理体系构成要素等作为合规管理运行机制的内容并做出了原则性规定,同时将合规考核评价、合规管理信息化建设、合规业务培训、合规报告、合规文化培育等合规管理体系构成要素归纳为合规管理的保障,并做了明确要求。合规体系的搭建,首先,企业负责人要树立合规意识,这是合规体系建设的根本,但是企业领导人的合规意识需要合规部门和合规管理人员经常性对其进行合规风险的提醒。其次,合规管理部门要制订并执行以控制合规风险为本的合规管理计划,制定完善的合规管理制度和内控流程,定期举行员工合规培训,定期出具本企业合规风险报告,在重大项目上提醒企业领导人相关风险,及时对员工的违规行为进行调查。再次,要加强合规培训和合规文化建设,尤其要重视对业务人员进行经常性的合规培训,且每次培训都应对员工进行考试,考核成绩纳入个人年终绩效考核,在企业合规文化方面,应加大合规宣传,定期向员工公布外部和内部发生的典型案例,作为对员工的警醒教育。再其次,要建立举报机制,建立流畅的举报渠道,设立员工违规行为举报热线,对举报人实行保护,确保其不受打击报复,及时处理对违纪员工的举报。最后,可以借助大数据与信息化,运用大数据挖掘并运用信息化手段,分析违规原因和管理中的薄弱环节,并反溯至企业经营管理全过程,总结经验教训,查找企业运营管理的薄弱环节,检测企业运营管理环节的潜在风险,对制度和流程进行合规性评价,督促违规整改和持续改进,帮助企业实施管理流程再造。