风险雷达

如何做合规管理?

2019-10-08 16:45

如何做合规,与对合规管理的本质认识密切相关。作者认为,合规管理的本质是一项“法律+管理”的事务。它要的是一种综合性的知识,需要懂法律的人和懂管理的人同时参与。

合规管理源于法律,终于管理。这里说的“源于”,是说做合规的前提是识别合规风险。“终于”管理,是说做合规的目标是管控合规风险。为识别合规风险、管控合规风险,并提高两者的效率和效益,需要一套嵌入企业现行管理系统中的专属合规管理体系。因此,如何做合规,自然地分为识别合规风险,管控合规风险,及建立管理体系等三部分。

识别合规风险

识别合规风险,即便在整个合规工作中,也极为重要。识别合规风险,首先要知道什么是合规风险?合规风险是指主体(企业、企业高管及企业员工)违反其合规义务所产生的风险。根据《合规管理体系指南》的定义,合规义务包括合规要求和合规承诺。合规要求是强制性的,包括法律、法规、法律机构颁发的命令、规则、指导,法院的判决等;合规承诺是自愿性的,包括企业对产品质量的承诺,与公益组织签订的协议,自愿加入的行业准则等。主体违反这些要求和承诺,即不合规,由此造成的风险便是合规风险。进一步说,合规风险包括企业因违反合规义务所产生的受到法律制裁、被采取监管措施、遭受财产损失或声誉损失的风险。

其次,要知道本企业的重点合规风险领域包括哪些?合规风险领域,比具体的合规风险,概念要大得多。它和企业的战略、文化、所处行业,所从事业务等密切相关。随着合规在各行业的深入,目前各类型企业比较重视的合规风险领域包括:反垄断义务、反不正当竞争义务、进出口管制义务、商业伙伴合规义务、财务报告真实准确和上市公司信息披露义务、环境保护义务、数据保护和信息安全义务、合法用工、依法纳税义务等。不同的企业,同一企业的不同发展阶段,其关注的重点合规风险领域必不相同。《中央企业合规管理指引(试行)》则列出了市场交易、安全环保、产品质量等七项重点领域的合规管理。

最后,怎样识别出本企业的具体合规风险?每一个企业的重点合规风险领域不同,具体合规风险更是千差万别。这正是合规管理工作的一个难点。具体合规风险,是在熟悉企业的业务、熟悉企业及其人员的行为的基础上,结合对本企业各岗位合规义务的全面认识,才得以识别出来。具体的识别方法包括:小组讨论、头脑风暴、案例启发、业务座谈等方式。具体的识别路径包括:基于岗位的风险识别、基于流程的风险识别等。通过识别合规风险,企业可以整理出一套本企业的合规风险清单。

管控合规风险

在识别出本企业的具体合规风险以后,或者说,在识别合规风险的同时,就需要对具体合规风险进行分析、控制等。这便是合规风险的管控。

首先,从行为过程看,管控合规风险可分为分析、评估与应对等三个阶段。分析和评估合规风险是一件颇有技术含量的事。根据各项合规风险发生的可能性和后果,企业可以量化合规风险的等级,形成风险排序。在合规风险清单的基础上,企业可形成一套本企业的合规风险等级表。在评估完合规风险等级或者真正发生合规风险事件时,企业要制定正确的应对策略。关于对风险发生的应对措施,通用的方法有:风险转移、风险规避、风险降低、风险接受等。

其次,从介入时间看,管控合规风险包括预防和处理两方面。从预防角度,管控合规风险的机制包括:合规风险评估机制、合规报告机制、合规审查机制、合规举报和调查机制、合规记录机制、合规培训机制等。从处理角度,管控合规风险的机制包括:合规整改机制、合规绩效考核机制、合规责任追究机制等。要注意的是,以上这些机制很多是交织在一起的。

最后,管控合规风险的手段,不管是预防机制,还是通过惩处来警示,都需要改变企业的现行做法、现有制度或流程。管控风险往往离不开对现有利益的改变、否定,也势必会遭遇抵抗、反弹。但合规风险管控与一般风险管理之间很大的一个区别在于,合规风险是最低限度的风险,一般必须采取应对措施。一般风险管理,视风险大小和风险主观偏好,可综合采取应对措施或置之不理。因此,在实施合规风险管控措施的过程中,如在企业中引起冲突、麻烦,乃至对抗,都要有坚持推行的意识。这是合规管理落地的一项关键因素。

建立管理体系

识别和管控合规风险等行为,是在企业现有的管理活动和体系之上进行的。要将合规管理真正落地,这显然是不够的。合规离不开企业专门的管理支持。即有必要建立专门的合规管理体系来实施合规管理。

关于合规管理体系,存在两大问题

一是,合规管理体系的组成。合规管理既然是组织内的行为,当然先是离不开人。故合规管理体系的第一个组成部分是合规管理组织体系,即负责合规管理的人员有哪些?一般认为,合规管理的组织包括专门的领导机构、合规负责人、合规工作小组/合规工作机构、合规工作人员等。人有了,需要规则把他们联结起来。因此,合规管理体系的第二个组成部分是合规管理制度体系。制度体系包括合规管理规定、专项合规管理办法、合规管理工作流程、合规工作方案等。这里值得一提的是,合规管理规定是确定本企业合规管理的原则、合规职责以及合规管理流程等基本问题的企业内部制度,是每一家企业应量身定制的“合规基本法”。合规管理是一项需要全员参与,长期坚持的事。因此,合规管理体系的第三个组成部分是合规管理文化体系。文化体系包括合规理念的宣导、合规培训与教育制度、合规文化的培育等。培育有效的合规文化,甚至是合规管理的唯一目标。

二是,合规管理体系如何与现行管理体系融合。现行与法律、监督相关的企业专项管理体系,如法务、内控、审计、监察,甚至是公司治理等,在合规管理体系进来后,如何融合,这是合规管理的又一大难点。要区分它们,与对几个体系的目标、核心职责认识等有关系。不同的目标及不同的职责,当然要归属于不同的管理体系。重合的目标或交叉的职责,也会导致管理体系部分重合与交叉。合规管理,是企业的底线管理,必须优先得到实施。法务管理,是服务于企业业务发展的,以效率为目标,以法律风险控制为手段。内部控制,更多是出于监管的视角,对企业的内部流程实施合理的控制。审计与监察,多从财务与监督的视角,以确保企业行为与事先预设一致。这几个专项管理体系,如何在特定企业中实现融合、联动,还有待具体情况具体分析。

服务热线

021-68580928

风险雷达微信二维码

风险雷达公众号

姓名*
手机*
公司*
职务
邮箱