- 企業合規管理實務手冊
- 李素鵬 葉一珺 李昕原
- 11字
- 2022-10-08 17:16:44
第1章 合規管理基礎知識
1.1 合規管理術語
雖然各個標準或文件對合規和合規管理的定義大同小異,但我們也應搞清楚它們的細微差異,因為這也關乎“合規”。采用一個標準,首先就要遵循其對相關術語的定義。
1.1.1 合規
一、ISO 37301對合規的定義
ISO 37301對合規的定義很簡單:合規(compliance)就是履行組織的全部合規義務。(Meeting all the organization's compliance obligations.)
要想明白這個定義,必須先搞清楚“合規義務”是什么,以及“全部合規義務”包含哪些內容。這些問題的答案詳見1.1.2節“合規義務”部分的描述。
我們可以把“合規”看成一個動賓詞組,即“合”+“規”=符合規定。合規的前提是先有“規”,沒有“規”,就談不上合規,有了“規”,接下來才是“合”的問題。“合”是符合、匹配,是個動詞,反映合規需要靠行動措施和具體行為來實現。在實踐中,企業可以通過內部控制措施來保證相關行為(業務活動或業務操作)合規。
合規具有嵌入性,企業可以將合規融入企業文化及其員工的行為和態度中,使合規保持可操作性和有效性。
二、國務院國資委對合規的定義
國務院國資委在《中央企業合規管理指引(試行)》(國資發法規〔2018〕106號)中對合規的定義是:中央企業及其員工的經營管理行為符合法律法規、監管規定、行業準則和企業章程、規章制度以及國際條約、規則等要求。
該定義比ISO 37301對合規的定義要明確一些,既對“規”的內容做了具體說明,也對“合”做了形象的解釋,強調了合規就是“行為符合要求”。由此定義可知,企業在梳理合規風險時,不僅要梳理“規”和“行為”,還要梳理二者之間的關系,以及這種關系對企業經營目標的影響。
該定義同時指出,合規的主體既包括企業法人的行為,也包括其員工的行為。這就帶來兩個問題:一個是員工不合規算不算企業不合規;另一個是企業不合規,應該讓哪些員工來承擔責任。將這兩個問題與近期比較熱門的話題“合規不起訴”相關聯,會產生新的問題:到底是不起訴企業,還是不起訴企業的員工?抑或二者都可以免于被起訴?要想準確回答這些問題,則要基于實際情況而定,不能一概而論。
三、其他機構對合規的定義
中國銀監會在《商業銀行合規風險管理指引》(銀監發〔2006〕76號)中對合規的定義是:使商業銀行的經營活動與法律、規則和準則相一致。
國家發改委在《企業境外經營合規管理指引》(發改外資〔2018〕1916號)中對合規的定義是:企業及其員工的經營管理行為符合有關法律法規、國際條約、監管規定、行業準則、商業慣例、道德規范和企業依法制定的章程及規章制度等要求。
對比國務院國資委對合規的定義,國家發改委擴展了“規”的范圍,增加了“商業慣例”“道德規范”,這離ISO 37301描述的“全部合規義務”又近了一步。
綜合上述合規的定義,risk-doctor
認為合規具有三要素:主體、義務和行為。合規即主體的行為符合其合規義務,或者說,主體履行其全部合規義務。企業的合規管理可以從這三個維度展開。
1.1.2 合規義務
合規義務,對應的英文是compliance obligations。
在ISO 37301中,合規義務被定義為:組織必須遵守的強制性要求,以及組織自愿選擇遵守的要求。(Requirements that an organization mandatorily has to comply with as well asthose that an organization voluntarily chooses to comply with.)
在ISO 19600:2014中,合規義務被定義為:合規要求或合規承諾。(Compliance requirement or compliance commitment.)其中,合規要求指組織有義務遵守的要求,合規承諾指組織選擇遵守的要求。
這兩個定義本質上沒太大區別,前者把后者的“合規承諾”描述成“組織自愿選擇遵守的要求”,從定義的角度來看,更為嚴謹,可以有效遏制濫用合規承諾的傾向。
為了解釋合規義務到底是什么,ISO 37301根據對合規義務的定義,列舉了以下事項做補充說明。
組織必須遵守的強制性要求包括:
1. 法律法規;
2. 許可、執照或其他形式的授權;
3. 監管機構發布的命令、條例或指南;
4. 法院判決或行政決定;
5. 條約、公約和協議。
組織自愿選擇遵守的要求包括:
1. 與公共權力機構、社會團體或非政府組織簽訂的合同或協議;
2. 與客戶、合作伙伴等簽訂的合同或協議;
3. 組織的要求,如方針和程序;
4. 自愿的原則或規程;
5. 自愿性標志或環境承諾;
6. 與組織簽署合同產生的義務;
7. 相關組織和產業的標準。
同時,ISO 37301還明確指出:組織應將合規義務作為確立、制定、實施、評價、維護和改進其合規管理體系的基礎。這足以顯示合規義務在合規管理中的重要性。我們將在本書第4章進一步介紹如何梳理企業的合規義務。
《中央企業合規管理指引(試行)》《企業境外經營合規管理指引》中都沒有出現“合規義務”這個詞。這不是說它們對合規義務不重視,而是它們在對合規的定義中已列舉了企業應履行的合規義務。
在實際工作中,為方便理解,可以把企業的合規義務分成三大類:強制性要求,自愿性承諾,商業道德及公序良俗。同時,還要特別注意區分企業合規義務的主體是法人還是員工。
1.1.3 合規風險
一、風險的定義
關于風險的定義,一直處于爭論不休的狀態:有的定義側重可能性,有的定義則側重負面影響;有的定義視風險為機遇,有的定義則視風險為機遇和威脅的結合體。
2006年以前,認為風險是負面影響可能性的占主流;經過全球20余年的風險管理實踐,現在認可風險具有二重性的占主流,即風險是不確定性對目標的影響,其影響可能是正面的(機會),也可能是負面的(威脅)。
國務院國資委在《中央企業全面風險管理指引》中,對企業風險的定義為“未來的不確定性對企業實現其經營目標的影響”;并把企業風險分為五大類——戰略風險、財務風險、市場風險、運營風險和法律風險;同時,也以能否為企業帶來盈利等機會為標志,將風險分為純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存)。
國際標準化組織(ISO)繼ISO Guide 73:2009之后,也沿用“不確定性對目標的影響”作為風險的定義,并把它引入其他管理體系標準之中,如ISO 9001:2015、ISO 14001:2015、ISO 31000:2018、ISO 37301等標準中。這些定義和應用都視風險為中性的,其結果包含正負兩方面的影響。
二、合規風險的定義
在ISO 19600:2014中,合規風險被定義為:不確定性對合規目標的影響。(effect of uncertainty on compliance objectives.)該標準同時指出:合規風險以組織合規義務的不合規發生的可能性和后果表述。該定義的合規風險是中性的,但其描述卻是負面的。
在ISO 37301中,為糾正ISO 19600:2014對合規風險定義的矛盾之處,直接將合規風險定義為:因不符合組織合規義務而發生不合規的可能性及其后果。(likelihood of occurrence and the consequences of noncompliance with the organization's complianceobligations.)ISO 37301明確指出合規風險的負面性。這說明,針對合規風險,不能采用“放大”策略,只能采取“降低、控制、規避、接受”這些策略來應對。
在我國,原中國銀監會在《商業銀行合規風險管理指引》中對合規風險的定義是:商業銀行因沒有遵循法律、規則和準則可能遭受法律制裁、監管處罰、重大財務損失和聲譽損失的風險。在商業銀行,與合規風險密切相關的是操作風險及內部控制風險。感興趣的朋友,可以私下找尋它們的聯系與不同。
國務院國資委在《中央企業合規管理指引(試行)》中對合規風險的定義是:中央企業及其員工因不合規行為,引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性。國務院國資委政策法規局明確指出,合規風險是相關負面影響的可能性,即合規是底線,合規風險不是機會風險。這與ISO 37301對合規風險的定義基本一致。
在實踐中,建議國有企業優先遵循國務院國資委對合規風險的定義,建議非國有企業采納ISO 37301對合規風險的定義。同時,還要特別注意區分:企業的合規風險到底是企業法人的合規風險,還是員工個人的合規風險。風險與目標相關,目標與主體相關,不同主體有不同的合規風險。
1.1.4 合規管理
ISO在ISO 31000:2015中把風險管理(risk management)定義為“指導和控制組織與風險相關的協調活動”,但沒有在ISO 37301中把合規管理作為術語來定義。基于ISO對相關術語的定義,risk-doctor把合規管理定義為“指導和控制組織與合規相關的協調活動”。這樣的定義雖然很抽象,但突出了三點:指導、控制、協調。這些正是合規管理第二道防線的基本職責。
國務院國資委在《中央企業合規管理指引(試行)》中對合規管理的定義是“以有效防控合規風險為目的,以企業和員工經營管理行為為對象,開展包括制度制定、風險識別、合規審查、風險應對、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動”。該定義明確了合規管理的目的、對象及具體工作內容,具有較強的指導性和可操作性。
前文講合規的概念時,把合規二字拆開來講,這對研究合規管理非常有益。在risk doctor看來,合規管理就是要管“合”和理“規”,尤其是管“合”。針對不合規行為,企業應及時發現、及時制止、及時改正,確保企業“事事合規、時時合規”。
合規管理是企業管理的一個子集,一個基本方面。在實踐中,合規管理經常與風險管理、內部控制、法務,乃至審計、紀檢監察等職能相聯系,企業需要厘清它們之間的分工及聯系,避免不必要的重復管理,從而提升管理效能。
1.1.5 合規管理體系
盡管ISO和國務院國資委都明確提出了“合規管理體系”的概念,但它們都沒有對合規管理體系下定義。
國務院國資委在《中央企業合規管理指引(試行)》里有三個地方提及合規管理體系。
第四條 中央企業應當按照以下原則加快建立健全合規管理體系。
第五條 董事會的合規管理職責主要包括:
(一)批準企業合規管理戰略規劃、基本制度和年度報告;
(二)推動完善合規管理體系。
第二十二條 開展合規管理評估,定期對合規管理體系的有效性進行分析。
依據ISO對相關術語的定義,risk-doctor對合規管理體系(compliance management system)的定義如下。
組織為確立合規方針和目標,以及實現這些目標的過程所形成的相互關聯或相互作用的一組要件。這些要件包括合規管理的組織結構、崗位和職責及運作機制,具體包括組織環境、策劃、支持、運行績效評價和改進等內容。
自ISO 9000:1987以來,ISO發布了很多管理體系,并從2012年開始對管理體系的結構進行規范化管理,即采用高級結構(HLS)來編制或更新相關管理體系標準。截至2021年年底,ISO 37301:2021、ISO 37001:2021、ISO 9001:2015、ISO 14001:2015、ISO45001:2018等標準都已采用HLS來編寫。這樣,企業在選擇使用這些標準時,就可以用一個統一的HLS來整合多個主題,即用一個管理體系結構來整合質量管理、環境管理、合規管理、反賄賂管理、舉報管理等主題,從而提升企業的管理效能。
1.1.6 合規文化
在ISO 37301中,合規文化(compliance culture)被定義為“貫穿整個組織的價值觀、道德規范、信仰和行為,并與組織結構和控制系統相互作用,產生有利于合規的行為規范”。
國務院國資委在很多文件里提及合規文化,但沒有對合規文化做出定義。
risk-doctor認為,合規文化是企業文化的一部分;合規文化不是“寫”出來的,而是“表現”出來的,是通過普通員工、管理層、決策層等平常的行為表現出來的。沒有好的企業行為和好的員工行為,就不可能有好的企業文化。所以,若不抓合規行為管理,合規文化將是空談。企業開展合規管理工作,就是要鼓勵支持合規的行為,打擊危害合規的行為。
在合規管理體系建設初期,可能會有一些員工(包括管理層)不理解、不支持,但經過不斷培訓和溝通后,當多數員工的心理和行為發生改變時,就會形成企業的合規文化;合規文化一旦形成,就會反過來影響員工的心理和行為。所以,在培育和發展合規文化時,董事會和管理層成員要以身作則,要對企業在各個領域所要求的共同的、已發布的行為標準,做出積極的、可見的、一致的和持久的承諾,并落實到具體行動中。領導的表率作用對企業合規文化的建設有重要作用。
合規文化建設是企業合規管理的重要內容,本書將在第11章給予進一步描述。