我国企业合规管理领域常见问题探析
依法合规经营管理是推动企业实现高质量发展的必由之路,是落实全面依法治国战略部署的客观要求。近年来,伴随着我国法律体系的进一步完善,国家多部委联合或单独出台了大量政策文件引导企业加强合规管理工作,行政部门不断拓展企业合规领域的监管深度和广度。然而,从企业层面看,除部分国企和少量“走出去”的优秀民营企业外,我国大多企业的合规管理还处于初级阶段或萌芽阶段,与政策目标之间还存在较大差距。调研发现,企业在基本概念以及实际操作的很多环节普遍存在一些问题,这些问题相互交织,对合规管理工作造成了很大的干扰。本文试图根据企业调研和文献分析的结果对这些问题进行分析并提出参考建议。
一、“合规管理”概念辨析
概念不清容易导致对合规管理工作的重要性认识不足,有些误解还会引起抵触情绪,阻碍企业积极开展合规建设工作。不少企业面对合规体系建设工作感到一头雾水,很大程度上也是概念不清造成的。缺乏正确的概念也容易造成合规管理工作目标模糊、工作内容不明、工作职责混乱,与其他管理体系内容交叉重复或出现重大遗漏等一系列问题。所以,推动企业加强合规管理工作,一个无法绕开的基础性问题就是需要厘清合规的概念,解决“合规”是什么以及合规管理与其他管理体系的关系的问题。
(一)“合规”是什么
根据《中央企业合规管理办法》,“合规”是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。另外一类有代表性的定义方式来自合规领域学者陈瑞华,他从梳理企业所要遵守的法律法规的角度来阐述合规的基本含义:一是国家规定的法律法规,在我国可以包括全国人大及其常委会通过的法律、国务院通过的行政法规、最高司法机关发布的司法解释、国家部委局办通过的部门规章、地方立法机关通过的法规;二是商业惯例和伦理规范,包括各行业协会颁布的成文行为准则以及各种不成文的商业习惯和伦理规范;三是企业自行颁布的各种规章制度,包括公司章程、商业行为准则、员工行为守则;四是相关外国法律法规、国际条约或国际惯例,包括公司经营地所在国或地区的法律法规、本国参加或签署的国际公约以及相关国际组织所实施的国际规则等。
上述两种定义主要的区别在于第二种定义强调了伦理规范等涉及道德层面的内容,也包含在合规管理应遵守的“规”的范围之内。从企业合规发展的历程看,早期很多国外企业将合规管理部称为“道德与合规部”。《中央企业合规管理办法》将合规风险定义为“企业及其员工在经营管理过程中,因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性”;从实践看,有些企业或员工的行为可能没有触犯法律,但却因为道德伦理问题给企业造成负面影响,因此,道德和价值观通常也是企业合规文化建设的重要组成部分。依据上述分析,建议企业将道德规范纳入合规管理体系,综合现有文献及现行相关规定,本文将合规定义为:企业在经营活动中,遵守国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程与规章制度,并符合社会准则和道德要求。
(二)合规管理与其他管理体系的关系
合规管理与法务管理、风险控制、内控管理、内部审计的整体目标导向是一致的,在管理内容上有交叉重叠的部分,但又有各自的侧重点。
1.合规管理与法务管理。
不少企业管理者认为合规管理与法务管理的区别主要在于合规管理的范围更为宽泛,因为合规管理的“规”不仅包括外部的法律法规,还包括企业的“内规”。此外,合规管理还负有合规文化建设的重任,通过合规价值观念与行动准则来规范、约束全员行为。那么是否所有的法律风险都包括在合规风险的范畴中呢?理论界具有代表性的观点认为,一般的民事法律纠纷不属于合规管理的内容。只有在企业因为违反法律法规而面临对企业产生致命影响的监管处罚、刑事责任追究或者国际组织制裁风险等情况下,才属于合规管理的范畴。从企业合规管理实践的历程看,合规管理最初是围绕反腐败领域进行的,逐渐扩展到反垄断、反洗钱、安全生产、环境保护、知识产权、数据保护等多个领域。法务则更强调规避或处理与外部平等主体之间的法律风险或纠纷。综合分析,合规管理和法务管理并不是简单地包含关系,而是有所交叉的同时各有侧重。
2.合规管理与风险控制、内控管理及内部审计。
合规管理主要控制企业违法违规而可能遭受行政处罚和刑事责任追究以及国际组织制裁的风险。风险控制是指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理基本流程,为实现风险管理总体目标提供合理保障的过程和方法。风险控制的基本内容属于企业经营风险的范畴,主要关注经营风险预判、评估、处置、化解及转移。内控管理是企业为保证经营管理活动有序、合法运行,采取对财务、人员、资产、工作流程实行有效监管的系列活动,其重点在于控制主要业务领域风险及其对财务报表的影响。内部审计是指对本单位及所属单位财政财务收支、经济活动、内部控制、风险管理实施独立、客观地监督、评价和建议,以促进单位完善治理体系、实现目标的活动。
从工作内容看,合规的核心是企业经营活动符合外部法律法规和内部规章,风险控制的主要领域是企业经营风险的管控,内控管理的重点是财务控制和管理控制,内部审计主要关注经济活动的合法合规、目标达成、经营效率等方面。从控制风险的流程来看,业务部门和职能部门是第一道防线,合规管理、法务管理、风险控制及内控管理属于第二道防线,内部审计属于第三道防线。
当然,对概念的理解和区分并不是绝对的。如前所述,从企业经营管理的整体来看,合规管理、法务管理、风险控制、内控管理以及内部审计的目标是一致的,工作内容也有很多交叉,做到完全地区分是很困难的。从实际管理的角度,建议企业对上述五项工作进行梳理,以不遗漏重大风险和不重复为原则,将相关工作内容归入五个类别,为做好不同部门或职位间职责划分和有关工作的协调配合打好基础。
二、合规组织机构、制度与运行机制的问题及建议
对于合规体系正在建设完善中的企业来说,经常出现相关组织机构设置不够合理、岗位职责不清、合规制度建设存在两极分化误区,导致运行效果不佳或无法运行等问题。
(一)组织机构设置
在合规组织机构设置方面,有些企业未设主责部门,合规管理职能由多部门分散管理,不能形成管理合力,造成管理效率低下乃至管理混乱。还有一些企业虽然明确了合规管理部门,但合规管理部门与法务、内控、风控等部门之间职责划分不清,与其他部门之间缺乏有效的协调运作机制,造成重要工作内容疏漏或有些工作重复进行,不能形成决策层、管理层、执行层与监督层之间以及相关部门之间的协调运作,无法进行有效的合规管理工作。
另外,有一些企业将合规与法务、内控、风控乃至内部审计职能都合并在一个部门进行管理,虽然规避了上述问题,但这种做法是有待商榷的。不少企业看到了这样做的好处,比如,降低部门之间协调的成本,有助于建立信息共享机制,避免重复劳动,减少岗位职数,大大提高工作效率,降低了管理成本。但是,此举也存在损害各项职能的专业性和独立性的风险,尤其是将作为第三道防线的内部审计与第二道防线的其他职能放在一起,不符合内部审计的独立性原则,也不利于企业的合规风险管控工作。
建议企业根据自身情况,在有效规避风险和管理效率之间进行平衡。比如,对于非金融类企业来说,将作为第二道防线的合规、法务、风控、内控职能设在同一部门是可行的。但作为第三道防线的重要组成部分的审计部应尽量设置独立部门。当然,管理领域很多事情并非绝对化,对于有些中小企业,没有能力设置独立的审计部,如果将上述所有职能合并在一个部门,建议仍然将审计职能设置专门的岗位,并在流程上尽量保障其履职过程中的独立性,以发挥第三道防线的作用。
(二)制度与运行
企业在制度建设环节很容易陷入两极误区:不重视制度的企业认为制度就是个形式,所以非常敷衍;重视制度建设则容易陷入另一个误区:认为制度越细越好,覆盖面越全越好。没有好的制度也不会有好的运行效果。前者的害处显而易见,而后者却有很大的迷惑性。有些企业事无巨细地罗列了超长的风险清单,制定了厚厚的制度,却发现落地效果并不好。一方面,这些企业忽略了无论是管理资源还是员工的能力与精力都是有限的,不分轻重地追求事事都要做好,很容易把管理资源耗散在一些无关紧要的细枝末节里,而忽略了更重大的风险。另一方面,过细的制度体系使制度之间难以协调,容易发生矛盾冲突,影响制度落地。此外,过细的制度很难有配套的运行机制与之适应,庞杂细致的制度通常对企业纵向和横向的整体组织机构协调度要求非常高,资源消耗也非常大,属于大多企业难以承受的管理体系。
建议企业在分工清晰的基础上对合规风险进行分类、分级管理,使合规管理真正融入业务管理中。首先,在厘清合规与风控、内控、法务、内部审计等概念的基础上进行清晰的职责分工。即便有些职责划在同一个部门,也要尽量由不同专业岗位独立承担。第二,按照业务条线和职能部门划分对合规风险进行分类。按类别列出重点风险清单,并结合具体业务流程设计相应的风险防范机制。使业务和职能部门在制度制定和执行的过程中都能发挥主要作用,使风险管控切实融入业务与管理流程之中,真正发挥第一道防线的作用。第三,对风险进行分级管理。依据行业监管重点和企业经营状况,参考本企业以及同类企业的违规案例,系统分析风险发生的可能性、影响程度、潜在后果等,对合规风险清单中列出的合规风险进行分级管理。一是按照风险的级别配置管理资源,把规避重大风险作为工作重点,避免眉毛胡子一把抓;二是明确纵向的决策层、管理层、执行层与监督层之间以及横向的各业务条线、不同部门之间的职责和权限,并根据不同的风险级别制定不同的信息沟通、汇报及处理的流程。此外,信息化建设也是促进合规管理融入业务管理的有效手段。
三、合规管理领域人才队伍建设问题与建议
不论在企业调研还是参考文献中,反映比较集中的是合规管理人力不足的问题,这一问题在集团公司的各级子公司中尤为突出。人力不足的表现和原因是多方面的。从数量上看,合规管理人员的数量远远不能满足需求。比如,有些企业每个子公司从事合规管理的平均人数不足0.5,情况好一些的企业也依然面临相关人员紧缺的问题。人力不足的另一个方面是人员的素质能力达不到要求。做好合规管理工作,不仅需要有扎实的法律功底,还要熟悉行业状况、企业的业务与管理流程;不仅需要很强的逻辑思维能力和学习能力,还要具备一定的组织协调和沟通谈判能力等。总之,合规管理需要的是综合素质非常高的复合型人才,而目前这样的人才是较为稀缺的。
企业合规管理人力不足与企业重视程度不足有很大的关系。重视程度不够会直接影响企业在人力资源方面的投入,直接造成岗位设置不足或者薪资水平有限,都会导致人员数量不足或素质能力不达标的状况。人力不足的另外一个重要原因是合规管理专业人才的流动率高,很多企业难以留住优秀的人才,这既有企业自身的原因,也与合规管理人才队伍自身的特点有关。通常,合规管理人员主要由法律专业人员构成,这个群体的整体学历水平较高、就业选择面较广,有相对较多的职业流动机会。
相对而言,企业合规管理工作的起步比较晚,相应的人才管理工作也明显滞后。一是大多企业是在法务管理人员的班底上设置合规管理职能,并未专门针对合规管理职位进行详细的岗位分析,也没有合规管理人员的胜任力标准,这往往导致岗位职责不够清晰、人员选拔与聘用相对粗放、人岗匹配度有待提升等一系列问题。二是针对合规管理人员缺少有效的人才培养模式,很难使合规管理人员快速成长为企业所需要的复合型人才。三是对于合规管理工作的考核比较粗放,专门针对合规管理工作的考核指标有待完善和细化。四是薪酬待遇整体偏低,与工作付出不成比例,激励措施不到位,还存在职业发展通道不明朗等问题,造成相关人员工作积极性不够高、优秀人才流失。五是合规管理人员的权责不对等,导致合规管理人员难以有效履职,而企业也很难对其实施刚性的考核与追责。
针对上述问题,建议企业根据自身情况,从源头解决问题。首先,要对合规管理工作加以足够的重视,增加人力资源相关的投入,包括增加相关专业岗位、提高相关人员待遇等,以直接和间接两种方式缓解相关人力不足的问题。第二,对岗位职责进行认真地梳理和分析,做好岗位分析,并制定岗位胜任力标准,为人员的选拔聘用打好基础,提升人岗匹配度。第三,建立有效的人才培养模式,包括对行业知识、企业的业务流程以及新政策、新问题的培训,实施轮岗机制,建立学习型组织等。第四,根据企业实际情况,在岗位分析的基础上,优化岗位设计,尽量体现权责对等的原则。第五,设计专门针对合规管理岗位或针对合规管理工作的评价体系,从降低风险与促进业务发展等多个维度制定评价指标,并增加考核的刚性,通过有效的考核促进合规管理融入企业发展战略目标和业务流程,使合规管理既当好“刹车板”,也能做“助推器”。此外,科学的考核体系必须与有吸引力的薪酬与激励体系相匹配。企业可以在与整体的制度不冲突的前提下,将薪酬与激励适当向合规管理人员倾斜,并为这部分人员设计合理的职业发展通道,从多方面采取措施,增加他们的工作积极性。
很多情况下,人力资源方面的问题并非一朝一夕就能解决,而人力资源管理与合规管理也不是相互孤立的。在人力资源本身的问题难以快速解决的情况下,合规管理人才方面的问题也可以通过资源的整合和管理方式的优化来加以解决。比如,合规管理涉及专业面非常广,只靠有限的合规管理人员或者合规管理部门,人力必然是不足的。通过有效的管理机制,发动业务和职能部门的积极性,使他们在自身的领域真正发挥第一道防线的作用,可以有效缓解合规管理专职人员不足的问题,促进合规管理工作正常运转。
(作者单位:职业经理研究中心 刊载于《企业改革与发展》2023年第8期)