11月5日,国务院国资委发布了《中央企业合规管理指引(试行)》文件。
一、《中央企业合规管理指引》文件概览
这是一个典型的政策文件样本,重点内容是其中的2-5章,分别解决了谁来干、干什么、怎么干、如何保障的问题。
二、《中央企业合规管理指引》文件的主要内容
1、明确了合规管理工作职责和组织架构
明确了董事会、监事会、经理层分别担任的合规管理职责,其中规定:
合规管理组织架构如下图所示:
央企合规管理组织架构
结合职责和架构来看,合规管理委员会可以为治理层(董事会)下设机构,也可以为经理层下设机构(但是董事会对合规负责人和牵头机构拥有决定权)。另外还需要看企业原有的法制建设领导小组和风险控制委员会设立在哪个层面。实践过程中需要结合不同央企的实际情况来看,到底定位到哪个层面比较合适。
2、明确了合规工作的重点内容
文件规定防范合规风险的七大重点领域、三大重点环节、三大类重点人员,重点强调了海外业务的合规运作。
七大重点领域包括:市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等;
三大重点环节包括:制度制定环节、经营决策环节、生产运营环节;
三大重点人员包括:管理人员、重要风险岗位人员、海外人员;
其中重点人员中的重要风险岗位人员是指通过合规风险评估确定的承担重要合规风险的职能岗位,是风险导向进行合规管理的明显体现。
1、合规是基本目标
刚才在展示合规管理架构时,在具体工作层面我引用了三道防线的概念。合规(英文对应是Compliance),从企业整体的经营管理来看,一直都是最基本目标,是企业管理的边界和红线。就合规目标而已,为企业的风险偏好和承受度设定提供了清晰的边界。
但是一旦发展跳出了“草莽英雄”阶段,就不一样了,如果作为世界第二大经济体,还没有形成明确、清晰的规则意识,在这个企业经营最基本的目标方面与世界如果不能达成共识的话,那就面临很多问题了。
所以,就企业而言,合规目标是所有职能面对的最基本目标。有人会说,企业最基本的目标是盈利和生存。如果还有此想法的企业家,我建议要尽快转换思维,未来的盈利和生存只能是要建立在合规基础上的目标。当然这里面有一个辩证关系,通过违规而获得的发展肯定是不可持续的短期行为,而为了合规而蚕食掉大部分的盈利同样也肯定不会是最优方案。
2、与内部控制和风险管理的关系
了解COSO内部控制和风险管理体系的同仁都知道,对于合规而言,一直都是两个体系的工作目标之一。既然是目标,那内部控制也好、风险管理也罢,都应该是实现合规目标的手段和工具。包括上面架构中提到的三道防线的各个职能,就合规目标而已,都是手段和工具。
COSO1992和2004发布的内控和风险管理框架
只不过需要强调的是,这些职能需要实现的目标并不止一个,而合规目标只是所有这些职能的基本目标,所以在框架中合规目标都是放在所有目标的最后面展示。不应理解为其最不重要,而要理解为其最基本。只有设立了专门的合规管理部门的企业,合规目标才会成为此职能部门的主要目标。
切不可因此将企业现有的管理体系中的合规管理部分推倒重来,亦或是从零开始建立企业合规体系,要以实质内容和效果为根本出发点。
四、对合规文件的两点建议
1、合规风险的定义
这里首先要向大家解释一下,我们前期和大家普及了很久关于风险的概念。首先风险的提出需要有目标作为载体,对于有些风险而言,自身是携带目标描述的,比如我们这里谈到的合规风险,什么是合规风险?其实这里指的是“不合规所导致的风险”,合规就是目标本身,所以合规风险就是指代那些不合规的情形。自带目标的风险还包括安全风险,都是自带目标的风险描述。
这个定义前半部分的描述,其实是对合规这个目标产生了负面影响的典型表现形式的表述,最后落在了可能性上。这和我在前期风险本质论战第一篇和最后一篇提出的对风险的严格定义:对目标产生负面影响的不确定性只是最后落脚点差了一个词。为什么我支持落在不确定性而不是可能性,因为产生负面影响的可能性只强调了发生的不确定性,没有强调影响的不确定性,而风险是两者不确定性兼具的。
2、合规内容的准确界定
《合规指引》文件中提到的合规是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。
这就是合规所有涉及的各方面内容,我对其中的大部分描述都表示认同,只是对其中关于规章制度的内容持保留意见。按照这样的描述,对企业规章制度的遵循性也属于合规管理的范畴。
常规的合规管理工作强调的是对外部的法律法规和监管、条约、规则的遵循性,因为“规”已经被立好了,所以叫合规!对于这些“外规”而言,单个企业一般没有对如何“立规”的影响力,能做的只是遵守。
但是如果要将企业对内部的规章制度的“内规”也纳入合规管理的范畴,那会极大扩展合规管理工作的边界,在企业操作层面也会形成一定的理解误差。
如果“内规”也属于合规内容的话,就是说如果企业或员工违反的公司的制度规定也属于合规管理的内容,那就面临一个问题,这些规是谁来“立”的?因为只有立了规才有合规一说。如果企业自己立的规有问题怎么办?算不算不合规?
所以,我觉得还是需要区分一下,对企业内规的遵循性很容易和内部控制体系的执行有效性关联在一起,但同时不要忘了还有设计有效性的要求。从COSO的内部控制体系要求来看,对企业内部规章制度的遵循性问题不属于合规目标的内容,而是放在了运营目标下。
那应该如何表述?
如果文件的本意确实就是要推行“大合规”做法,将企业自行制定的内规也划入合规管理的范畴,那就需要和企业内部控制体系的制度执行结合在一起,而且要记住不仅有“合规”,还有“立规”!