第二节 构建企业合规组织体系的具体实践
一、企业合规组织体系的顶层设计
1.企业合规组织体系设计的核心制度
一个完善的合规组织体系,首先要从公司章程中体现合规组织内容,需要在章程中明确要求董事会、经理层在合规工作中分别扮演的角色。董事会是股东会的执行机关,对股东负有受信义务。受信义务可以分为忠实义务和注意义务,前者是指董事要以股东利益最大化为行动出发点,努力避免利益冲突;后者主要指董事要审慎经营并进行良好的商业判断。落实到合规方面,董事的受信义务意味着其应当尽最大努力确保企业以合法、合规的方式运营。这也是董事会在合规管理中的责任来源。另外,合规管理的重要条件是最高层的重视,英文通常表述为“Tone from the top”(最高层的声音)。如果缺乏最高层的明确指引,那么企业和员工就会缺乏对合规的正确认识。
董事会与经理层必须了解合规体系内容,监督整个合规体系的建设和运行;为合规管理人员建设运行合规体系提供指导、资源与支持;确保合规体系得到定期检查、评估,及时发现问题并采取补救措施。此外,董事个人必须遵守企业各项合规要求,一旦违反,就要受到相应处罚。总经理等高级管理人员负责确保不同岗位的人员要按照既定职责执行合规体系。本企业的合规存在两项核心制度,即《企业合规政策与程序》
和《企业合规管理办法》,其中分别规定企业高管、管理人员和普通员工的合规职责,而企业合规委员会应当对合规体系进行定期和独立审查,并提出改进建议。在两项核心制度中,企业应明确首席合规官负责合规体系的日常监督管理,直接向企业董事会和总经理汇报工作。为确保首席合规官充分履职,两项制度中应要求赋予其充分的自治、资源和权限。另外,两项核心制度中还应强调企业要发动全体员工参与合规体系建设,并遵守合规体系中的各项合规要求。
2.企业合规组织体系的层级设计
本企业的两项合规核心制度,可以把企业的合规管理部门分成3个层级,即决策层、管理层、执行层。其中,决策层主要包括企业董事会、监事会、合规委员会;管理层主要包括总经理、首席合规官;执行层包括合规管理部门和企业业务部门。3个层级在企业合规管理体系的建立和有效实施中都扮演着重要角色,应当着力推进合规文化的建立,充分了解企业合规管理体系的内容和运行方式,也都应该以自己的言行明确支持合规、践行合规。同时,各层级由于定位不同,在合规体系中发挥作用的方式也有所不同。
(1)企业的决策层主要包括企业的董事会、监事会,以及董事会中设立的合规委员会。作为企业合规管理体系的最高负责机构,决策层应以保证企业合规经营为目的,通过原则性顶层设计解决合规管理工作中的权力配置问题,并进行重大事项决策。
具体来说,董事会应充分发挥定战略、做决策、防风险职能,履行以下合规管理职责:①审议批准企业合规管理基本制度和体系建设方案;②研究决定合规管理重大事项,审议批准合规管理年度报告;③根据有关规定和程序,决定聘任或解聘首席合规官;④决定合规管理牵头部门的设置和职能;⑤按照权限决定有关违规人员的处理事项;⑥法律法规、公司章程等规定的其他合规管理职责。
(2)企业的管理层通常包括企业首席执行官、首席财务官、首席运营官、首席合规官等。其中,合规负责人可以为首席合规官,或者由总法律顾问兼任。根据企业对合规工作的重视程度,企业可以任命最高管理层中的一员为合规管理部门的总负责人。管理层应配备充足的人、财、物,用来建立合规管理体系,制定合规制度,实施合规方案,评价合规行为,维护和改进合规政策。
具体来说,管理层切实履行谋经营、抓落实、强管理职能,履行以下8项合规管理职责:①拟订合规管理体系建设方案,经董事会批准后组织实施;②拟订合规管理基本制度,批准合规管理具体制度、年度计划等;③制定合规管理工作流程,确保合规要求融入业务部门;④及时制止并纠正不合规的经营管理行为,按照权限对违规人员进行责任追究或提出处理建议;⑤对重大合规风险及时采取应对措施;⑥指导、监督和评价各部门、各子企业合规管理工作;⑦提名首席合规官人选;⑧法律法规、公司章程等规定的其他合规管理职责。
(3)企业的执行层包括合规管理部门和各业务部门。这些部门应及时识别归口管理部门的合规要求,改进合规管理措施,执行合规管理制度和程序,收集合规风险信息,落实相关工作要求。
3.我国企业合规组织体系建设存在的问题
由于起步较晚,我国各类企业在合规组织体系建设上相对薄弱,在参与国际市场竞争后,暴露了一些合规管理方面的问题,主要体现在以下3个方面:一是合规意识淡薄,合规文化缺失;二是合规机构缺失,合规人才匮乏;三是合规激励欠缺,违规处罚乏力。
除了一些大型中央企业、国有企业和少数民营企业,在合规方面独立设置管理机构的企业并不多见,制度设计上对于合规的独立性并没有予以充分重视,导致合规部门起到的监督作用也大打折扣。
在考核机制上,一些企业往往应付检查居多,普遍存在“高举低放”的问题,缺乏合规经营的激励机制,对于违规处罚的力度则明显不足。对相关责任人的处理很少,追责问责力度不足,导致企业合规工作机制不顺畅,甚至给企业带来严重的经济损失和信誉损失。
二、企业合规委员会的设置
做好合规组织体系的顶层设计后,设置企业合规委员会就变得非常重要,权威、高效的合规委员会是企业合规组织有效开展工作的关键。企业需要根据《合规政策》,结合本企业的运行机制、管理模式与发展需要,在依托现有组织和人事机构的基础上,应自上而下地建立诚信合规组织体系。概括来看,合规治理结构应至少分为3个层级,即合规委员会、首席合规官/合规负责人、合规部门。
合规委员会应设在董事会之下,具有高度的权威性和独立性,董事长和总经理都可以成为委员会成员,但从独立性角度考量,合规委员会主席最好由独立董事或外部董事担任,不参与企业经营和管理;诚信合规委员会(合规委员会)可以按照最终《合规政策》的名称和每个公司的习惯命名。合规委员会面向的是企业所有的合规实务,是企业合规的最高机构。因此,合规委员会作为企业的合规工作决策层,对于发出合规的“正确声音”尤为重要。
在国际实践中,合规委员会通常设立在董事会中,由具备法律、财务、人事管理背景的董事组成。在不设董事会的企业中,合规委员会也可以由执行董事牵头或公司总经理牵头,并由法律、审计、人事管理、经营管理等方面的最高管理层人员组成。无论何种形式,其性质都是企业合规管理体系的最高负责机构,负责企业合规管理的总体部署、体系建设及组织实施。
合规委员会作为企业合规的决策层,应当对企业合规管理体系的建设和运行负最终责任。合规委员会应当充分了解企业合规体系的设立和运行,并对合规体系进行有效监控。在有效的合规体系中,合规委员会应发挥以下作用。
(1)充分掌握企业的合规风险。了解风险是防范、化解风险的前提。合规委员会负责对合规体系的重要制度进行审批、修订,如重大合规制度、风险管理措施、合规委员会的权责等。
(2)领导、支持首席合规官。首席合规官需要从合规委员会获得充分的授权,以便有效开展工作。同时,合规委员会要处理首席合规官自身的合规问题及受理对首席合规官处理不服的申诉,还要赋予首席合规官就企业合规问题直接向决策层进行汇报的路径。
(3)对企业合规体系进行反馈。决策层应当对企业合规体系的有效性进行评估,对企业发现重大合规风险时的反应能力进行评估,对首席合规官的合规汇报进行反馈。
(4)对管理层的合规管理工作进行监督和问责。管理层对合规管理的有效性承担直接责任,其管理效果必须与决策层的预期相一致。
1.合规委员会的组成
企业的合规委员会一般由3~7人组成,要求为单数,要特别注明为了解决利益冲突问题,首席合规官或合规专员不能成为合规委员会委员。
合规委员会的组成人员应有企业内较高级别的管理者,通常包括董事长、总经理、董事、纪委书记、总法律顾问等。
2.合规委员会的基本任务
合规委员会的基本任务包括以下4项。
(1)确保企业的内部制度和合规体系能够准确、有效地反映与企业经营相关的法律、法规要求,并能够对相关的合规风险形成有效管控。企业的相关合规风险通常涉及劳动用工、商业贿赂与腐败、数据保护、环境保护、安全生产等。
(2)管控企业的合规管理部门的组织架构、工作计划、财务预算、人员配置和权责履行情况,以及其独立性、权威性、汇报路径。
(3)审查企业合规官的任命、替换、解雇;审查企业重大合规政策、合规工作内容、合规流程及管理层的反馈;审查关于刑事风险或潜在刑事风险的合规报告。
(4)管控针对公司、公司董事、高管、雇员或公司雇用外部机构开展的重大内外部合规调查。
3.合规委员会的职责
合规委员会是《合规政策》的议事机构,一般而言,合规委员会包括以下职能和责任。
(1)按照《合规政策》规定的流程就有关合规事项进行讨论决策。
(2)监管《合规政策》的更新及实施,包括必要时对《合规政策》进行修正。
(3)定期审阅《合规政策》,以评价其是否足以保护本企业及其员工免遭违反相关反贿赂、反欺诈法律的风险。
(4)与上级国资委的纪委和相关内部审计官员共享根据《合规政策》获得的所有信息及资料,配合上级单位对合规问题的调查审计。
(5)听取和批准对有关可能违反《合规政策》的信息或指控进行调查的报告,并监督此类调查。
(6)向本企业董事会报告有关违反《合规政策》的情况,并提出拟采取的应对措施。
4.合规委员会的议事及审批规则
合规委员会的议事及审批规则应按照各企业实际情况明确列示于《合规政策》,但应确保合规委员会一定的独立性和权威性。以下仅为举例说明。
一般而言,首席合规官领导合规部门对《合规政策》规定的所有事项进行审批。
下列事项应提交合规委员会讨论决定:①申请部门对于首席合规官做出的决定有异议的,可以申请提交合规委员会复议;②首席合规官认为需要提交合规委员会讨论的。
合规委员会通过投票,以简单多数的方式决定提交讨论的事项。
申请部门对合规委员会做出的决定有异议的,可以与总经理商议,由总经理提交本企业董事会讨论裁决。
董事会的议事规则按本企业章程执行,董事会的决定为最终裁决。
合规委员会通过投票,以简单多数的方式决定审议的事项。
三、首席合规官或合规负责人的职责
根据合规部门的国际通行实践,建立了全面合规管理体系的企业,通常会任命首席合规官。首席合规官是企业的合规负责人,负责企业合规管理工作的具体实施和日常监督。在实践中,最常见的首席合规官任命方式包括:企业任命总法律顾问兼任首席合规官,任命独立的首席合规官但是向总法律顾问报告,任命独立的首席合规官但是直接向CEO和董事会报告。
以美国司法部(U.S. Department of Justice, DOJ)为例,其虽然推荐首席合规官应当是独立、专职的,但是未对此进行明确要求,而是更加关注企业的合规职能是否独立运作,以及在开展合规调查时首席合规官是否具有自主权。
首席合规官在合规管理体系架构中起到承上启下的作用。
1.首席合规官的职责
首席合规官是《合规政策》的具体执行负责人。首席合规官可以根据工作需要成立合规部门,并领导合规部门履行《合规政策》赋予的职权和职责。
首席合规官在管理本企业合规工作及保持本企业合规文化方面的职能和责任如下。
(1)对本企业员工定期开展教育培训以确保他们熟悉并理解《合规政策》;对上述培训项目的有效程度进行定期评估;在有必要对特定类别的员工加强培训的情况下对培训内容进行改进。
(2)回答本企业员工关于《合规政策》的问题。
(3)按照《合规政策》开展尽职调查、合同审查、第三方的聘用、费用的支付等各项审批。
(4)审查本企业对《合规政策》的执行情况。
(5)对违反《合规政策》的行为展开调查。
(6)其他《合规政策》规定的职责。
首席合规官对于其认为需要经合规委员会讨论的事项可以提交合规委员会讨论决策。申请部门对于首席合规官做出的决定有异议的,可以申请提交合规委员会复议;申请部门对合规委员会做出的决定有异议的,可以与总经理商议,由总经理提交本企业董事会讨论裁决;董事会的决定为最终裁决。
2.子公司的合规负责人
首席合规官可以根据实际情况在每个子公司内部任命专职或兼职的合规负责人,以确保子公司遵守并执行《合规政策》。
企业在下属一级机构可分别任命合规负责人、合规专员,设置合规部门,在非一级机构可设置合规专员。
四、合规部门的职责
企业性质、规模等不同,合规部门的职责会有所不同。国资委印发的《中央企业合规管理办法(试行)》征求意见稿和发改委等七部门联合印发的《企业境外经营合规管理指引》,分别概述了中央企业合规管理部门的一般职责和开展境外业务的企业的合规管理部门职责。
在合规委员会和首席合规官的领导下,企业的合规部门是具体履行《合规政策》的有关职权和职责的机构。其主要职能为:①起草合规管理年度计划及工作报告、基本制度和具体制度规定等;②参与企业重大事项合法合规性审查,提出意见和建议;③组织开展合规风险识别和预警,组织做好重大合规风险应对;④组织开展合规评价与考核,督促违规行为整改和持续改进;⑤指导其他部门和子企业合规管理工作;⑥受理职责范围内的违规举报,组织或参与对违规事件的调查,并提出处理建议;⑦组织或协助业务部门、人事部门开展合规培训;⑧负责确保本企业符合有关法律法规及《合规政策》的规定,并协助首席合规官推进、执行《合规政策》。
合规部门可单独设立,亦可不单独设立,其职能可划入法务部门,由法务部门一并履行相关职能并在部门名称上体现“合规”二字即可。
合规部门中须内设合规专员,作为公司合规管理的具体责任人,一般是通过在合规部门设置一个或数个专门岗位来实现。其职能职责具体如下。
(1)持续跟踪法律法规、监管规定和行业规则等内外部合规监管规定的变化,并及时制定公司内部规章制度或相关实施方案、操作细则等。
(2)负责保持与外部监管机构等的日常工作联系,及时记录各类监管文件的要求并形成报告。
(3)对公司新产品、新业务、新流程进行合规评估,提交合规评审报告,做好合规风险防控预案。
(4)为管理层和业务部门的经营管理活动提供合规咨询、意见和建议,支持公司稳健发展。
(5)收集、反馈公司各部门和业务线发生的合规风险事项等数据和信息。
(6)组织开展合规评价与监督检查,形成评价报告和监督检查报告。
(7)编写合规档案和宣传培训资料,组织落实合规培训和宣传贯彻合规政策。
(8)负责合规档案的整理、归档和维护。
(9)领导安排的其他工作。
五、合规工作联席会议的职责
首席合规官和纪委之间应建立顺畅的沟通机制。企业应安排专门费用预算用于合规、纪检和反贿赂工作。合规委员会和纪委应定期召开反贿赂工作联席会议,交流当期的合规和纪检事项,通报有关反贿赂法、规定和条例的动态,并交流合规事项信息。合规工作联席会议机制在双方职权范围内履行以下职责。
(1)对企业经营管理行为进行监督,对违规行为提出整改意见。
(2)会同合规管理牵头部门、相关业务部门对合规管理工作开展全面检查或专项检查。
(3)对企业和相关部门整改落实情况进行监督检查。
(4)在职责范围内对违规事件进行调查,并结合违规事实、造成损失等追究相关部门和人员责任。
(5)对完善企业合规管理体系提出意见和建议。