010-82685584对照清单:国企合规管理工作,运行策略
次浏览
作者|知本咨询国企改革数据中心 白佳馨
责编|亿亿 编辑|阿苓
经济学中,我们十分注重投入产出比,放在企业管理中亦是如此。
公司治理需要投入资源,做合规,同样如此。而所有的投入都需要有一个原因,即都要有所回报或产出。只有真正理解和明确回报或产出的含义,企业才会真正进行投入。
当前,国企合规管理工作被部分企业管理者理解为是一项“高投入、低产出”的工作,没有看到合规管理所创造出的积极价值,反而看到了企业增加了成本,不止是搭建合规管理体系的成本,还包括合规管理带来的隐形管理成本,以及给人带来被“束缚”的感觉。
因此,在具体实践中,合规管理常面临着合规流程不规范的问题,甚至很多业务的开展故意规避合规管理,合规审查意见在企业经营决策中的话语权有待进一步增强。
可真正落地的合规管理,贵在润物细无声。
我们必须明白,合规管理解决的是系统问题,其价值绝非简单的数字、台账或是指标评价就能简单评价的;而其整体建设也绝非单纯将制度、组织搭建起来就能完成了的。
如何将已有的合规真正运行起来,全面规范合规管理流程,将纸面合规落于实处,显得尤为重要。
01
Part1:全面系统的风险识别与审查
风险识别工作是合规管理规范的第一步,也是及其重要的一步。
在前文《央企合规管理,为什么走来?向哪里前进?8个预测》中我们已经提到了识别风险的四大通道、一个梳理工具,此处不多做展开,详细可参考前文。这里,我们再通过“五步拆解法”来进行业务风险识别拆解过程:
1、拆分业务逻辑,绘制业务流程图:
首先,将业务逻辑进行拆分,了解业务的各个环节和流程。然后,通过绘制业务流程图,清晰地展示业务流程中的每个步骤和参与者。
2、梳理法律关系,输出权利义务关系图:
根据业务逻辑,梳理参与业务各方之间的法律关系,明确各方的权利和义务。通过输出权利义务关系图,清楚地展示各方之间的关系和责任。
3、整理合同清单,输出标准文件清单:
根据权利义务关系,整理涉及的合同清单,包括与业务相关的合同文件。同时,输出标准文件清单,明确需要遵守的法规、政策和标准文件。
4、梳理核心履约风险,形成风险大图:
根据合同清单,针对每个业务环节和合同条款,梳理业务的核心履约风险。通过整合这些风险,形成全面的风险大图,展示业务中可能面临的主要风险。
5、提出风险应对措施,输出合规工作指引:
根据风险大图中的识别的风险,制定相应的风险应对措施。最后,根据风险应对措施和合规要求,输出合规工作指引,指导企业在业务中如何有效应对风险和确保合规。
这样,通过“五步拆解法”,企业可以全面、系统地分析业务流程,识别风险,并制定相应的合规措施,以保障企业的合规管理工作。
图:业务风险识别拆解
其中,企业可以梳理出风险识别成果,即风险识别清单或者风险大图。一个清晰明确的风险清单应该包括业务信息、风险信息、合规依据信息以及管理信息四大模块,如下图:
图:风险识别清单框架
之所以要明确其业务信息,将不同合规风险分别归类至业务线条,细化至业务流程与环节,也是考虑到促进“业规融合”的问题。
其次,在划分风险维度时,要明晰其究竟属于哪一领域,例如法律法规合规、政策监管合规,或是内部规章合规。
另外,在风险识别过程中,考虑到“外法内规”动态性以及适用对象,因此需要注重三方面:即清单细化到部门、岗位;清单动态化以及清单的非法言法语化。
以下我们仍以北京电控为例,来看看其风险识别工作:
北京电控建立定期(每年)风险识别工作机制。明确针对外部环境变化,各部门应及时做好预判,主动作为,研究应对措施;建立风险识别定期回顾机制,关注风险的可转化性,研判风险的转化趋势,提前应对;对风险进行分类、分级,分别从公司层面、业务活动层面动态识别各种风险,针对性制定控制措施;法律合规部负责提供风险识别的工具方法,负责开展风险识别培训与指导。
图:北京电控合规管理风险识别
北京电控在风险识别过程中,设定常态化、定期化机制;同时,从预判角度出发,做好风险识别与应对措施,关注风险转化与风险整理,将其编成风险数据库成果,为合规管理流程规范化提供重要支撑。
合规管理规范的另一个重要方面就是合规审查。加强合规审查是规范经营行为、防范违规风险的第一道关口,合规审查做到位就能从源头上防住大部分合规风险。
对此,《中央企业合规管理办法》中对合规审查也提出了更高要求:
一是明晰各部门合规审查职责和界限;
二是进一步提升合规审查的刚性;
三是完善合规审查闭环管理。
这就要求企业将合规审查作为必经程序嵌入流程,将前置性合规审查作为经营决策、业务上线、对外签约的必经环节和重要依据,合规管理人员与业务部门人员组成虚拟工作团队,持续做好业务领域的合规扫描和风险防控,实现对企业规章制度、重要决策、经济合同合规审查三个100%。
同时,重大决策事项的合规审查意见应当由首席合规官签字,对决策事项的合规性提出明确意见,进一步突出合规审查的刚性约束,确保“应审必审”。
02
Part2:妥善及时的风险应对与整改
风险应对与整改是根据合规风险识别与审查的结果,针对可能的合规风险所采取的事前防范机制。
1.风险应对
合规风险应对机制是合规风险管理体系的核心,是企业根据合规评估和分级的结果,针对各项合规风险,设置应对责任人、应对措施与流程,以及针对突发合规事件的应对预案。
需要企业对发现的风险提前制定应对措施、流程与预案,明确应急处置职责、方式与要求,规范处理流程,最大限度化解风险、降低损失。同时,企业应当定期完善风险应对机制,强化日常演练,不断提升重大合规风险应对处置能力。
合规管理委员会对重大合规事件要亲自部署、亲自过问、亲自协调、亲自督办,确保妥善处置。
同时,还要建立起合规事件案例数据库,做好总结提升,促进合规信息的沟通与共享。
2.风险整改
“悟已往之不谏,知来者之可追”,风险整改是整个合规管理全流程中最为重要的一部分。
这就要求企业对已经排查梳理出的合规问题和风险,要做到及时有效处置,逐项彻底整改,抓紧堵塞漏洞、补齐短板,主动规范自身经营行为。
其重点在于形成以合规管理委员会为领导,通过定期会议等形式研究违法违规问题整改,深入推进合规风险排查到位,形成整改追责闭环管理。
中国绿发投资集团有限公司(以下简称“中国绿发”)在此方面已经形成了相对完整的整改追责闭环管理:
中国绿发一是建立合规管理委员会,统筹协调。定期召开会议,审议合规工作报告、“强化年”方案及成果等议题,研究违法违规问题整改及追责,全年累计审议合规议题180余项。二是组织责任单位制定整改目标和计划,目前整改完成率达到90%,专题督导未完成整改单位,分解阶段性节点70个,按计划推进。协同监督部门研究制定追责方案,通过诫勉谈话、通报批评、扣发绩效薪金等方式处理相关责任人员。三是严格开展综合治理考核评价。采取自评与专业考评相结合的方式,对各单位进行综合评价,提出考核建议。提炼重点共性问题,归纳形成典型案例,发挥以案促治作用。
03
Part3:建立健全责任追究与免责
合规则无责,违规则需承担责任。责任追究工作的开展,最终目的是推动企业合规经营,行稳致远。
1.责任追究
实践中,由于一些企业对合规管理的价值认识不到位,在评价体系上坚持业绩导向,对合规管理体系的建设和实际执行的效果关注不到位,一定程度上存在重留痕轻实效,规章制度执行力度弱、落实不到位的情况。
同时,有些企业也尚未形成合规管理监督检查和考核奖惩的长效机制,对违规行为的事后处理浮于表面,问责追责机制不到位。
如何解决上述问题呢?
增强合规管理约束刚性成为一个相对较好的答案。
一方面,通过推进将合规管理与组织绩效和个人绩效管理挂钩,克服违规追责宽松软的问题;
另一方面,对于违反企业合规管理禁止性或强制性要求的各类违规事件,合规管理部门和相关业务部门要依职责及时对相关责任人进行调查和认定,经查证属实的,要结合给公司造成的经济损失或形成的负面影响,按照相关管理制度进行绩效扣罚和追责。
同时,要及时查缺补漏,通过完善制度等手段建立起长效防控机制。
2.合规免责
若要全面讨论责任追究,那免不了要细究合规免责这一方面。
合规免责是引导国有企业经营管理人员可以担当作为、干事创业,清晰地界定“问责”和“免责”的标准和界限,避免出现国有资产损失“一刀切”问责的情况。
在政策允许、程序合规的前提下,建立健全容错纠错机制,宽容在经营投资中的偏差和失误,激发改革创新活力,促进企业高质量发展所必须的环境。
我们常常听起“合规免责”,却未曾听得“内控免责”,或是“风险管理免责”,这也说明了从公司治理角度来看,合规管理与其他手段的不同之处。
尽管,在正式印发的《办法》中并没有提及合规免责,但在《办法(征求意见稿)》中是有明确规定的;
同时,各地方依据自身情况所印发的地方合规政策中也有所提及,例如,上海市于2019年发布的《上海市国资委监管企业合规管理指引(试行)》中,就明确提出了“建立容错免责制度”。
第六条 董事会的合规管理职责主要包括:
(一)统筹协调企业合规管理、违规追责和容错免责工作;
第二十四条 建立容错免责制度,把是否依法合规作为免责认定的重要依据。
——《上海市国资委监管企业合规管理指引(试行)》
从法律层面来讲,合规免责按照目的可以分为救济型免责、预防型免责。
其中,救济型免责是企业发生违规事件以后,执法机构以企业承诺采取符合执法机构要求的合规管理措施为条件,减轻或免除企业全部或部分违规责任。
可以说,这几乎是处理重大合规事件的标准做法,特别是国际合规事件。
以a企业为例,该企业因产品质量问题在国外地方法院提交了延期起诉协议(DPA),根据协议条款,a企业及其子企业被罚款9100万美元,并同意为相关受害者提供赔偿。此外,作为刑事决议的一部分,a企业同意继续与该国消费者保护部门和检察官办公室合作,配合相关调查和起诉。a企业还同意加强合规性项目和报告要求,向司法部提交年度报告,说明其合规性计划和内部控制、政策和程序的状况。
而预防型免责则是大多数企业开展合规体系建设的常规方式,指企业为预防合规风险的发生而事先建立的一套合规管理体系,当企业出现违规事件后,执法机构如果认定企业合规管理符合合规免责条件,在定罪量刑时则可以免除或减轻处罚。
和救济型免责相比,其自主性更强,但是能否实现尽职免责,还需相关部门认定,所以大多数企业会按照执法部门的既定要求开展合规工作。
合规管理绝非一日之功,从“体系搭建”到“业规融合”,再到“有效性评价”,均非一城一池的的事,必须可持续的推进、累积,合规管理体系方能发挥长久的价值。
总的来说,通过建立业规融合、常态更新、全程把控的合规管理工作流程,实现合规管理与企业经营的有机融合,方可推进企业形成横向协作、上下协同的合规管理机制。
