1.2 合规管理与其他风险管理工作的协同
在了解合规管理与其他风险管理工作的关系前,首先要明确一点:没有所谓的合规管理与其他管理的明确的界限。究其原因,合规管理也好,其他风险管理也好,都是企业管理的有机组成部分,既然称为有机组成,就意味着要互相协作,清晰划清职责的边界并不是协作的目的,最终的目的应当是共同努力达到企业有效管理的效果。所以,在实践中,切不可纠结合规管理与其他管理的边界。将两者协同起来,才是良性的管理方式。
从管理协作的角度来说,合规管理工作与其他风险管理工作有何差异和关联呢?
(1)差异
以管控内容来说,廉洁意识与商业道德是企业管理的文化核心,也是合规管理的文化核心。
法律管理是红线,是硬性指标,法律风险是合规管理中首先要进行防控的风险。
与法律管理相比,合规管理的目标则包含了外法内规与道德规范。
(2)关联
合规管理是内控的管理目标之一。
内部控制又是企业整体风险管理的有机组成部分。
风险管理还是企业整体管理的一部分。
以上一系列的工作内容可以由审计进行检查和验证。
图1-9所示为合规管理与其他管理的关系。
图1-9 合规管理与其他管理的关系
1.2.1 合规管理与法务管理
合规管理,即对违规风险发生的可能性和影响力的管理,是对可能导致违规风险的预警信号的管理。合规管理也指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有体系、有计划的管理活动。
法务管理,即以企业必须遵循的法律法规为基础,处理企业涉及的各项法律及法律相关事务,包括:建立健全规章制度,起草、审查合同及其他法律文件,办理诉讼及非诉讼案件,法律知识培训,对企业的经营管理决策从法律方面提供可行性、合法性及风险性分析,等等。
从以上描述可以看出:合规管理更侧重于与管理行为的连接,更强调以管理的视角审视与应对风险;而法务管理则更侧重于与法律规范的连接,主要以法律视角去分析与解决问题。
下面来对比一下合规管理工作与法务管理工作,如表1-5所示。
表1-5 合规管理工作与法务管理工作
(续表)
从表1-5来看,法务管理更具有法律特色,更侧重于依照现行适用的法律法规规定,对已知的相关方主体地位与法律关系进行梳理,如主体资格、客体对象、具体权利义务、约束限制与处罚等;合规管理则更侧重于从管理角度,通过对企业经营环节的参与和监控,对未发生但可能发生的违规风险进行管理。
合规管理工作与法务管理工作的结合更多地发生在合规主题领域,即工作内容中带有明确的与法律规定有关的目的。当企业明确地对于某项重点合规主题进行防范时,法务管理工作可以与合规管理工作进行深度结合,双管齐下,防范风险。合规管理是法务管理的扩充与延伸,是法务管理与业务部门紧密合作的桥梁,是对风险进行前置防范的工具。合规管理要与法务管理互相配合,尤其在涉及对合规主题领域预警信号的处理时,二者需要发挥协同的作用。
案例分享
乐乐是负责反贿赂合规主题的合规人员,在进行反贿赂合规工作时经常要与负责反贿赂法务工作的律师伍薇进行合作。乐乐今天又要去找伍律师了。
“伍律师您好,我今天接到一个举报,我认为可能需要移送司法,我们一起研究下吧。”
“乐乐,这个案件涉及的金额很大。如果查实,势必要入刑,我们直接报案吧。”
“好的。”
“伍律师,今天的审批收到了一个对当地机构的捐赠申请,请您看一下我标出来的预警信号是否可能违反慈善法。”
“好的,我确认一下。”
“伍律师,今天要举行一个就钱某某违规行为的听证会,请您一起参加,把控一下听证会中的流程,保证咱们听证会流程的合法性。”
目前,很多企业将合规与法务的职能合并,统一将法务部的名称改为法务合规部。其中一个原因是当前国内企业的合规工作还多以符合强制性规定为目标,其工作目的和法律管理有一定的重合性。随着合规管理工作的开展,其会逐渐由符合强制性规定延伸至道德约束层面的管控,到那个阶段,国内合规与法务的工作分工会更加清晰。另一个原因是合规工作与法务工作确实在工作方式、工作思路上有一定的相似性,一些工作是可以紧密配合甚至并行的。
除相似性之外,合规工作与法务工作也有一定的差异性,主要体现在管理范围的差异、任职人员背景的差异、管理侧重点的差异及认知上的差异。
一、管理范围的差异
法务管理主要以法律法规的具体条款规定为纲要;合规管理除重点关注法律法规中的禁止性规定外,还需要使企业符合行业规定、交易习惯、客户要求、企业自身合规管理要求,以及商业道德。即合规管理的内容涵盖量大,包含法律规范及商业道德。
在合规管理中,合规人员需要通过制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动降低可能发生的合规风险。这就更强调合规中的管理内容及合规人员的管理能力。
通常,合规人员会在综合考量各方面的要求后,建立适用于企业的合规管理系统,一家企业不可能完全照搬另一家企业的合规管理系统。如果东施效颦,把不适用的东西强加于己,在消耗成本的同时也难以达到有效合规管理的目的。
二、任职人员背景的差异
从任职人员来看,合规人员的背景可以更加多元化。
在法务管理人员的任职资格方面,任职人员必须拥有专业的法律背景,且鲜少有其他行业跨界担任法务管理人员的情形;即使有,该人员也需要拥有法律职业资格才有可能进行相关的工作。合规管理由于与企业日常运营有高度结合性,任职人员不仅需要具有风险意识、管理能力,还需要对企业业务有深刻的认识及具备良好的沟通能力。所以,除了法律背景的人员之外,一些企业的合规团队中也有财务背景、运营背景等其他背景的人员。
三、管理侧重点的差异
法务管理工作需要严格依照既定的法律法规进行,其工作的目标非常清晰。合规管理工作中的内容更多需要通过对预警信号进行捕捉,从而对风险进行防控,需要合规人员对企业的业务非常熟悉;而且,合规管理工作更侧重于风险发生前的预防和风险进行中的监察,而非风险发生后的补救与处理。合规管理工作的重要内容之一就是在事前对违规高发点进行排查并规划出具体的管理方案,在企业运营期间始终保持监控和审查,争取最大限度地将预警信号扼杀在萌芽中。
法务工作更多以国家发布的相关法律规定为基准;而合规工作除了需要参考国家发布的相关要求,更需要合规人员对企业内部的相关要求进行解读和适用,是一个自己制定标准、执行标准的过程。
四、认知上的差异
对于法务管理,大多数企业或员工都或多或少对其有所了解,比如,绝大多数人员都知晓在企业注册时需要准备必要的法律文件,或在企业涉及诉讼时需要找律师帮忙等。但是对于合规管理中的预警信号,相当一部分的企业和人员还存在认识不足的情况,甚至把预警信号错当成“机会”,武断处理,给企业造成风险与损失。
练习
请判断以下工作哪些属于合规管理,哪些属于法务管理。[5]
(1)合规文化宣贯。
(2)合同谈判与起草。
(3)案件管理。
(4)合规案件调查。
1.2.2 合规工作与风险管理工作
美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission)的英文简称是COSO。2004年9月,COSO正式颁布了《企业风险管理:整合框架》(COSO-ERM)。之后,COSO在2014年启动了首次对风险管理框架的修订工作,并于2017年9月发布了最新修订版《企业风险管理:整合框架》(COSO-ERM)。
《企业风险管理框架》对企业的风险管理工作做出了重要指导。从某种角度看,风险管理更像是合规管理的上层建筑,在风险管理的目标中,除了战略、经营、报告外,合规作为四个目标之一被列入其中[6]。合规管理可以看作风险管理中对合规风险的延伸。既然合规风险是风险的一种,那么显然,风险管理中的一些通行方式方法是可以被直接运用在合规管理之中的。
企业风险管理包括八个相互关联的要素。
·内部环境(包括风险管理理念、诚信和道德、价值观,以及所处的经营环境)。
·目标设定。
·事项识别(影响主体目标实现的内部和外部事项,区分其是风险还是机会)。
·风险评估。
·风险应对。
·控制活动(制定、执行政策和流程)。
·信息与沟通。
·监控。
可以看到,当前国内外通行的合规管理工作的内容大多可以嵌套至以上风险管理的八大要素之中,所以企业在进行风险管理的同时,若能将合规管理工作并行,可以起到事半功倍的效果。比如,在进行风险识别的工作中,可以将风险的识别与合规风险的识别工作同步推进。在进行风险管理与合规管理双体系并行的工作前,需要对合规管理工作与风险管理工作做出清晰的界定,比如,哪些工作属于合规管理的范畴,哪些工作属于风险管理的范畴。具体来说,要划清两者管控的目标,像一些外部市场供货类风险、全球货币波动类风险等,更多属于风险管理的范畴,与合规管理关联性较弱,在合规管理体系中应当弱化对其的管理。
练习
以下哪些属于合规管理中所要管控的合规风险?[7]
(1)外部原材料价格上涨。
(2)政府新出台了影响企业采购行为的政策。
(3)在内部制度建设工作中发现的疏漏。
(4)汇率波动。
1.2.3 合规工作与招投标工作
合规工作与招投标工作的交集经常发生在对供应商(投标方)的管理上。尤其在涉及供应商的准入考察、合同签署后的监控及出现预警信号后的排查这几项工作中,合规部门应当与招投标部门进行密切的合作。图1-10所示为合规与业务的双向审查。
图1-10 合规与业务的双向审查
当前,招投标部门会对包括企业供应商在内的合作方进行以业务能力为主的审查,同时辅以合作方的基本情况审查,如证照、资质、财务情况等。显然,若要使合作方满足企业合规管理的要求,仅审查业务能力和基本情况是远远不够的。在对合作方的合规审查中,合规人员应当更多关注预警信号的审核与排查。发现合作方的潜在违规风险是合规审查在招投标工作中体现的价值。除了基本的证照、资质之外,其他可能导致违规风险的相关信息,如付款账号情况、法定代表人既往合规表现情况、政府背景情况、企业经营中的违规情况等都应当被纳入合规审查的范畴。在审查中若发现预警信号,要及时予以处理,才能保证招投标工作的顺利进行。
比如,某投标方的资料显示,其曾经陷入行贿受贿的案件之中。后该投标方虽然未遭到判罚,但合规人员在合规审查中仍应当把此既往表现列为预警信号,并对该事件进行深入剖析,找出该事件的真实原因。若该事件不是由投标方的违规行为引起的,则该预警信号可以被消除;若该违规案件确实是投标方原因引起的,则合规部门需要与业务部门一起判断该既往事件的风险程度,判断其是否可能会对未来的合作产生影响,或给企业带来损失。
除了准入前对合作方的合规审查之外,确定合作关系后也应当对合作方进行持续的合规监督,一旦发现预警信号,需要第一时间进行处理。
在合规工作与招投标工作的协同开展中,除对合作方的审查之外,招投标流程的合规性也是常见的合规工作与招投标工作的结合点。
练习
请指出以下审查点更偏向于业务审查还是合规审查。[8]
(1)供应商的产量。
(2)供应商管理团队的合规既往表现。
(3)合作方既往合作的客户。
(4)合作方既往合作的客户的评价。
1.2.4 合规工作与人力资源工作
合规工作与人力资源工作的结合经常发生在对利益冲突的管理中。
利益冲突指的是存在于员工和雇主间的、两家以上的企业间的、个人和企业间的矛盾或相抵触的利益。图1-11所示为利益冲突示意。
图1-11 利益冲突示意
无论所谓的“利益”的表象是什么,都可能引起“冲突”。
我们可以将冲突分为两类:一类是本企业员工与企业的利益冲突;另一类是企业之外的个人和组织与本企业的利益冲突。
一、本企业员工与企业的利益冲突
本企业员工与企业的利益冲突常见于以下情形。
·员工或员工亲属自营或非自营与企业竞争。
·员工兼职。
·员工亲属经营或受雇于与企业有业务往来的公司。
·员工或其亲属直接或间接持有企业竞争公司的权益且达到一定额度。
·员工或员工亲属直接或间接持有企业关联公司或附属公司权益且达到一定额度。
·员工或员工亲属直接或间接持有与企业有业务往来公司的权益且达到一定额度。
·员工与员工亲属在同一企业工作或员工亲属在其他关联公司工作。
·员工个人利益可能影响工作决策的其他情形。
由于以上冲突大多发生在本企业内,一般可以利用人力资源管理的相关方式方法进行管控,同时配合合规管理同步进行。对于潜在的利益冲突风险,企业除了在造成危害时尽早处理之外,关键在于使合规部门与人力资源部门密切配合,共同对此类风险进行前期预防、中期监控及后期应对。
以前期预防为例,如在员工入职时或面试时,应当将有关利益冲突的问题进行澄清,保证其相关利益关系人被企业第一时间知晓;之后,若相关利益关系人与该员工恰好处于同一条供应链的上下游或二人的岗位不相容,则需要第一时间对相关员工的职位进行分离以保证潜在风险不会转化为对企业利益的损害。
二、企业之外的个人和组织与本企业的利益冲突
此行为常发生在对方决策人可以给本企业或本人带来额外好处或可以进行额外决策的情况下,多见于利用企业资源变相给予客户决策人好处,如客户的子女非正规入职本企业,客户其他关联人非正规入职本企业,等等。
此类行为多与变相行贿相联系,将给企业带来严重的违规后果。人力资源部门应当在招聘初期联合合规部门对候选人员的背景进行细致调查,如既往履历是否与候选职位相关、候选人是否与企业相关的政府人员或政府客户有关联关系等。同时招聘流程也要遵循企业正常流程,不可“特批录取”。
除上述情况外,合规工作与人力资源工作的结合也常发生在:对招聘中可能涉及的反不正当预警信号的排查、企业对于相关人员或组织的内部调查工作等。
1.2.5 合规工作与纪检工作
合规工作与纪检工作的结合一般发生在对反腐败的管理中。
首先,反贿赂工作与反腐败工作是有差异的。
贿赂更多指的是主动的、向外的以财物或有价物进行行贿的行为;腐败多偏向本身的、已经败坏的,主动的如套取或者收取财物或有价物的行为。
在合规管理的实践中,反贿赂合规管理主要适用于可能发生内部人员对外行贿的风险场景中,相关管控制度有《对外礼品招待管控》《对外捐献管控》《对外赞助管控》等。
反腐败则侧重于对内部人员或内外牵连可能引发的腐败行为的管控,相关管控制度有《利益冲突管控》《商业伙伴合规管控》《公司固定资产管控》等。
除企业的境内业务外,反贿赂合规管控可重点被用于有境外业务、受到境外法律管辖的企业,如受到美国《反海外腐败法》管辖的企业;反腐败合规管控多被用于国内国央企的管理中,特别是需要遵守党内纪律相关规范的企业。
当然,贿赂常以行贿和受贿两种形式出现,其中对行贿的管控是反贿赂中所要管控的重点内容,而对受贿的管控更多可与反腐败相关管控并行。
反腐败管控中如制度宣贯、案件举报调查等工作,国内企业多由纪检部门进行;关于除反腐败之外的内容的合规管理由合规部门进行。表1-6所示为合规工作与纪检工作。
表1-6 合规工作与纪检工作
相较于反腐败,反贿赂合规工作是当前企业应当加强的合规管理重点。反贿赂通常指的是反商业贿赂。商业贿赂行为是指经营者采用财物或者其他手段进行贿赂以谋取交易机会或者竞争优势。传统的纪检监察工作和以合规管理为目标的反商业贿赂管理工作主要有三点差异:相关要求的差异、管理侧重的差异及对于行贿与受贿管理的差异。
一、相关要求的差异
在合规管理中,对商业贿赂的管控明确以各国对于商业贿赂的法律法规作为硬性要求,企业需要为符合相关合规义务的要求而设计配套的管理措施。
在廉洁管理中,纪检监察部门的工作主要参考党内的相关规定,以及法律法规中与廉洁管理相关的条款。当前,纪检监察部门的工作主要聚焦于中国企业在中国境内的廉洁管理工作,对于中国企业在境外发生的、需要符合当地反贿赂、反腐败要求的管控则相对涉及较少。
二、管理侧重的差异
在合规管理工作中,对商业贿赂的管控更多强调对相关风险的预防和监控。比如,对于交易行为发生前的针对商业贿赂预警信号的审查与批准,以及在交易行为发生后的与实际发生情况的比对审查等;又比如,在与外部合作方合作前对于其商业贿赂合规性的尽职调查等。强调将对于商业贿赂的管控前置到业务流程的发起阶段,目的是尽早、尽快地发现有关商业贿赂行为的预警信号。
在廉洁管理中,纪检监察部门的工作同样强调预防,但是在预防中所占比重较大的是宣传类和调查类工作。以宣传工作为例,有类似党建宣传、开讲座、开学习班等工作,其重点在于对人员意识的培养和教育,以及对党内要求的传达和讲解。
三、对于行贿与受贿管理的差异
在合规管理中,对于商业贿赂的管理不光要管控企业人员内部的贪腐行为,还要管控内部人员或商业伙伴(如渠道商、会议承接商等)对最终用户、客户及其他相关人员的行贿行为。所以,诸如对外礼品招待、赞助捐赠、商业伙伴廉洁管理等均为管控的重点。
在廉洁管理中,纪检监察部门更多关注的是个人行为,如企业内部人员是否有贪腐行为,强调个人的廉洁性、自律性。
合规管理和廉洁管理应当在工作中相互配合,不可武断切割。每一次商业行为都是一个连贯的、综合的经营管理行为,呈现的风险往往是多变的、丰富的。尤其在涉及反贿赂、反腐败的合规主题领域,面临的情况是复杂多样的。廉洁风险管理也好,其他合规风险管理也好,其遵从的管理法则及方式方法都应当是统一的,不同的仅仅是管理方法上的内容和目标。统一的管理不但能综合性地发现问题和解决问题,还能节省相应的成本。
练习
请找出以下与纪检部门工作强相关的工作内容。[9]
(1)党宣工作。
(2)企业员工在境外行贿当地政府官员。
(3)反腐败案件调查。
(4)信息安全案件调查。