作者单位| 中国建材股份有限公司 法律合规部
为深入学习贯彻习近平法治思想、落实全面依法治国战略部署、不断提升依法合规经营管理水平,中央企业持续进行法治建设,全面风险管理、内控体系建设和合规管理等工作取得一定成效。国务院国资委在《关于进一步深化法治央企建设的意见》中提出了要“探索构建法律、合规、内控、风险管理协同运作机制”,在《中央企业合规管理办法》(征求意见稿)中明确“中央企业应当结合实际,积极探索构建法治框架下合规管理与法律、内部控制、风险管理的协同运作机制,加强统筹协调,提高管理效能”。如何构建协同运作机制,建立能够涵盖合规、内控、风险管理的“大合规管理体系”,对中央企业来说是一个非常重要的课题。在构建“大合规管理体系”过程中,有必要设计一套一体化、开放式、闭环、可操作性强的大合规管理模型,通过模型应用与推广,促使大合规管理有效开展,有助于提升企业管理水平,从而达到提高管理效能的目的。
2015年12月8日,国资委印发《关于全面推进法治央企建设的意见》;2021年11月1日,印发《关于进一步深化法治央企建设的意见》,成为央企法治建设主要政策依据。2006年6月6日,国务院国资委印发的《中央企业全面风险管理指引》;2008年5月22日,财政部会同证监会、审计署、银监会、保监会发布的《企业内部控制基本规范》以及《企业内部控制配套指引》,包括企业内部控制应用指引、企业内部控制评价指引、企业内部控制审计指引;2019年10月19日,国务院国资委印发的《关于加强中央企业内部控制体系建设与监督工作的实施意见》以及2020年、2021年、2022年关于做好年度中央企业内部控制体系建设与监督工作有关事项的通知;2018年11月2日,国务院国资委印发的《中央企业合规管理指引(试行)》以及12月26日国家发展改革委、外交部、商务部、人民银行、国资委、外汇局、全国工商联等七部门印发的《企业境外经营合规管理指引》;2018年7月13日,国务院国资委印发的《中央企业违规经营投资责任追究实施办法(试行)》等,是中央企业、地方国资开展全面风险管理、内控体系建设、合规管理的主要政策依据。2021年12月24日,全国人大常委会对《公司法》修订草案进行了第一次正式审议后,向社会公开征求意见。征求意见稿第154条规定:国家出资公司应当依法建立健全内部监督管理和风险控制制度,加强内部合规管理。可以看到相关立法动向。上述政策文件,是全面风险管理、内控体系建设、合规管理的依据和指引。相关政策性文件发布时间不同、制定主体存异,一定程度上形成了“政出多门”的局面。同时在政策执行过程中,由于政策的理论基础、政策要求的管理架构、管理流程和管理重点内容等方面具有一定重叠性,造成实践中存在着一些问题和难点。诸如如何在原有管理体系上进行搭建以及相互融合,避免“几张皮”以及形同虚设的问题;如何解决好董事会及专门委员会与全面风险管理委员会、内控委员会、合规委员会以及法治建设领导机构的关系,避免机构繁杂、多头管理、重复决策的问题;如何发挥牵头部门作用,解决好各业务部门职能交叉、合力不足、效率不高的问题;如何解决好既能“全覆盖”,又要避免工作内容重复的问题;如何解决好集团公司和所属企业管理对接等问题;和成果有效利用、提高管理效能等难点。法治央企进程中,风险、内控、合规管理是不断完善的过程。在正确理解风险、内控、合规内涵的基础上厘清三者的关系,是解决上述问题和攻克难点的关键。无论是在理论研究还是管理实践中,对风险、内控、合规管理的关系有多种理解。例如:合规管理需要内控的配合,内控是企业内部管理的措施;合规管理是防范重大风险的重要保障; 企业内部管理有多种方式,如审计、纪委监察、内控、风险管理等,合规管理也属于重要方式。合规管理是底线管理,依靠制度与流程等。为建立一个指导性、实用性强的模型,笔者把三者的关系理解为:全面风险包括合规风险;风险管理及合规管理,是对经营管理过程中可能发生的风险事件、违规事件的防范和控制,对已经发生的风险事件、违规事件的化解和处置;内控是实现风险、合规管理目标的控制过程和手段,内控主要工作内容是建立健全机制,建立完善流程。总的来说,风险、合规侧重解决的是管什么的问题,内控侧重解决的是如何管的问题。企业需要通过强内控,达到防风险、促合规的目的。大合规管理模型设计基于的总体逻辑是:建立健全内控体系,将原来并存的全面风险管理体系(包括法律风险管理体系)、合规管理体系、内控体系进行融合,优化形成贯通全年或管理周期的一个综合流程。针对可能发生的、已经发生的风险事件(包括行政处罚、刑事处罚、上市公司监管处罚以及重大诉讼案件等),制定并落实整改措施,进行监督问责,完善规章制度和流程,健全长效机制,调整KPI以引导人、财、物等资源配置,形成管理闭环。建立起协调运转的一体化管理体系,从而达到提高企业效益、保障战略目标实现的目的。基于以上学习和思考,笔者设计大合规管理模型,抛砖引玉,也希望成为他山之石。
大合规管理模型,由组织机构图、流程图、表单、合规风险事件库、合规管理专项计划、报告等六部分组成。
架构图确立组织体系,明确由谁来管。全面风险管理委员会、内控委员会、合规委员会以及法治建设领导机构合一,搭建董事会、董事会专门委员会(例如合规审核委员会)、大合规管理委员会、大合规牵头部门(例如法律合规部)、各部门的架构。
流程图明确主要管理流程,重点解决如何管以及如何控制、监督评价。形成一个连贯的、闭环的流程,流程中涵盖了各业务部门的“第一道防线”、合规牵头部门评估考核的“第二道防线”、审计、纪检监察、巡视部门的“第三道防线”。表单是操作层面主要工作把手,明确具体管什么。总表分解了全流程的关键管理事项,包括风险合规监控和内控监控两部分。第一部分风险合规监控指标具体有:一级风险(战略风险、财务风险、市场风险、运营风险、法律风险)、二级风险、风险监测指标及期初期末数据及增减率、是否为前五大风险、管控方案要点、重大风险事件违规事件件数、处置情况以及涉外件数等。其中,合规风险列为一级风险法律风险下的二级风险。第二部分内控监控指标具体有:审计、自评价发现内控缺陷个数、整改完成情况、涉外个数等。子表将关键、突出问题列进KPI考核指标,把管理重点呈现第一责任人,同时解决全层级贯通的问题。子表分为重大风险事件跟踪监测表和内控体系监督评价情况表。重大风险事件跟踪监测表细化出具体指标有:企业名称及层级、重大风险/违规事件(包括重大行政处罚、上市公司监管处罚、刑事处罚、重大诉讼、重大安全环保事件等)、风险类别、发生时间、处置情况、修订规章制度名称及内容、党委会、董事会、管理委员会审议情况、是否列入KPI、是否涉外、追责情况、是否入库、完成时间等。内控体系监督评价情况表细化出具体指标有:内控体系设计缺陷、内控制度缺陷、内控执行缺陷、内控监督缺陷等,涉及到的子企业名称是否境外企业、内控缺陷描述、影响及损失金额、整改措施及完成情况、修订制度名称以及发现渠道等。
合规风险事件库,是重大风险事件跟踪监测表的来源,是进行新一轮合规风险评估的基础,是闭环的结束和开始。合规风险事件库实时收录所有行政处罚(包括但不限于市场、产品质量、安全、环保、海关、采矿权、林权、土地、房产、工程规划、施工、消防、水资源等监管)、上市公司监管处罚、刑事处罚等违法违规事件以及其他违规风险事件。
专项合规计划,是在合规重点领域里,针对诸美国政府监管调查、出口管制、环境保护、“两高”“双碳”等“迫在眉睫”的,或国家重点监管检查的合规风险,为避免公司因为违反相关法律法规而遭受行政处罚、刑事追究以及其他相应的损失所建立起来的专门性合规管理方案。
报告是工作的总结、梳理,也是工作成果的书面体现,更是优化提升管理的主要依据。对于企业、尤其是上市公司来讲,订立在包括《全面风险管理报告》、《合规管理报告》、《内控体系建设和监督评价报告》等几个报告基础上,编制形成一个总报告《企业管治报告》(H股上市公司、A股上市公司《内控评价报告》)的机制;前三个分报告需经大合规管理委员会审议,《企业管治报告》须经董事会专门委员会、董事会审议。这样,既满足政策、监管要求,又提高了管理效率、节约了管理资源。
大合规管理模型与当前中央企业普遍的采用的管理模式相比,主要有五点创新:第一,为构建法律、合规、内控、风险管理协同运作机制进行了创新性探索和尝试。第二,管理对象在原来管不确定性的对象风险的基础上,加上确定的、已经发生的风险、违规事件,并且强调管理重心侧重管风险事件、违规事件。同时,将合规风险事件的处置、问责,整合进流程,通过表单内数据进行显化,形成闭环的更完整链条,同时也利于监督作用的发挥。第三,将多发的风险、重大风险,纳入到经营管理KPI指标中并实时监控,强化风险、合规管理与经营管理切实融合,让风险合规管理切实落地、发挥实效。第四,对于上市公司,将董事会的《企业管治报告》(或A股《内控评价报告》),与全面风险管理报告、内控体系建设和监督管理报告、合规管理报告结合管理,形成分报告、总报告的管理方式,既能分级审议避免重复决策,降低管理成本、提高效率,又能同时满足证监和国资监管的要求。第五,设计“专项合规计划”管理方法,突出合规管理重点领域“迫在眉睫”合规风险的管理重点。大合规管理体系的建立、运行和改进,是一项长期的工作。应用中还应该注意以下事项:一是大合规管理牵头部门要起到模型设计者、模型应用推动者、流程勾连者、机制运转润滑剂的作用;二是强调表单的开放性,授权各层级企业结合自身制订表单的部分要素,比如二级、三级风险等;三是要坚持按照第一责任人偏好,把握调整KPI,提高管理模型应用的实效性;四是企业要根据管理现状,明确流程中、表单里各个事项每个节点的责任部门及责任人,编制岗位责任清单、将合规要求落实到岗、明确到人;五是信息化是必要手段,通过软件化,实现“人防人控”与“技防技控”的结合;六是要注意政策法规的新动态,比如借鉴最高检《关于开展企业合规改革试点工作的方案》推行过程中的涉案企业合规第三方评价机制和评价标准,不断完善大合规管理体系。模型设计由于受到笔者对政策的理解的局限、加上笔者所研究案例较少等限制,难免有瑕疵和缺陷,有待在中央企业合规管理强化年的工作实践和交流中打磨。
