作者單位| 中國建材股份有限公司 法律合規(guī)部
為深入學習貫徹習近平法治思想、落實全面依法治國戰(zhàn)略部署、不斷提升依法合規(guī)經營管理水平,中央企業(yè)持續(xù)進行法治建設,全面風險管理、內控體系建設和合規(guī)管理等工作取得一定成效。國務院國資委在《關于進一步深化法治央企建設的意見》中提出了要“探索構建法律、合規(guī)、內控、風險管理協(xié)同運作機制”,在《中央企業(yè)合規(guī)管理辦法》(征求意見稿)中明確“中央企業(yè)應當結合實際,積極探索構建法治框架下合規(guī)管理與法律、內部控制、風險管理的協(xié)同運作機制,加強統(tǒng)籌協(xié)調,提高管理效能”。如何構建協(xié)同運作機制,建立能夠涵蓋合規(guī)、內控、風險管理的“大合規(guī)管理體系”,對中央企業(yè)來說是一個非常重要的課題。在構建“大合規(guī)管理體系”過程中,有必要設計一套一體化、開放式、閉環(huán)、可操作性強的大合規(guī)管理模型,通過模型應用與推廣,促使大合規(guī)管理有效開展,有助于提升企業(yè)管理水平,從而達到提高管理效能的目的。
2015年12月8日,國資委印發(fā)《關于全面推進法治央企建設的意見》;2021年11月1日,印發(fā)《關于進一步深化法治央企建設的意見》,成為央企法治建設主要政策依據(jù)。2006年6月6日,國務院國資委印發(fā)的《中央企業(yè)全面風險管理指引》;2008年5月22日,財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會發(fā)布的《企業(yè)內部控制基本規(guī)范》以及《企業(yè)內部控制配套指引》,包括企業(yè)內部控制應用指引、企業(yè)內部控制評價指引、企業(yè)內部控制審計指引;2019年10月19日,國務院國資委印發(fā)的《關于加強中央企業(yè)內部控制體系建設與監(jiān)督工作的實施意見》以及2020年、2021年、2022年關于做好年度中央企業(yè)內部控制體系建設與監(jiān)督工作有關事項的通知;2018年11月2日,國務院國資委印發(fā)的《中央企業(yè)合規(guī)管理指引(試行)》以及12月26日國家發(fā)展改革委、外交部、商務部、人民銀行、國資委、外匯局、全國工商聯(lián)等七部門印發(fā)的《企業(yè)境外經營合規(guī)管理指引》;2018年7月13日,國務院國資委印發(fā)的《中央企業(yè)違規(guī)經營投資責任追究實施辦法(試行)》等,是中央企業(yè)、地方國資開展全面風險管理、內控體系建設、合規(guī)管理的主要政策依據(jù)。2021年12月24日,全國人大常委會對《公司法》修訂草案進行了第一次正式審議后,向社會公開征求意見。征求意見稿第154條規(guī)定:國家出資公司應當依法建立健全內部監(jiān)督管理和風險控制制度,加強內部合規(guī)管理。可以看到相關立法動向。上述政策文件,是全面風險管理、內控體系建設、合規(guī)管理的依據(jù)和指引。相關政策性文件發(fā)布時間不同、制定主體存異,一定程度上形成了“政出多門”的局面。同時在政策執(zhí)行過程中,由于政策的理論基礎、政策要求的管理架構、管理流程和管理重點內容等方面具有一定重疊性,造成實踐中存在著一些問題和難點。諸如如何在原有管理體系上進行搭建以及相互融合,避免“幾張皮”以及形同虛設的問題;如何解決好董事會及專門委員會與全面風險管理委員會、內控委員會、合規(guī)委員會以及法治建設領導機構的關系,避免機構繁雜、多頭管理、重復決策的問題;如何發(fā)揮牽頭部門作用,解決好各業(yè)務部門職能交叉、合力不足、效率不高的問題;如何解決好既能“全覆蓋”,又要避免工作內容重復的問題;如何解決好集團公司和所屬企業(yè)管理對接等問題;和成果有效利用、提高管理效能等難點。法治央企進程中,風險、內控、合規(guī)管理是不斷完善的過程。在正確理解風險、內控、合規(guī)內涵的基礎上厘清三者的關系,是解決上述問題和攻克難點的關鍵。無論是在理論研究還是管理實踐中,對風險、內控、合規(guī)管理的關系有多種理解。例如:合規(guī)管理需要內控的配合,內控是企業(yè)內部管理的措施;合規(guī)管理是防范重大風險的重要保障; 企業(yè)內部管理有多種方式,如審計、紀委監(jiān)察、內控、風險管理等,合規(guī)管理也屬于重要方式。合規(guī)管理是底線管理,依靠制度與流程等。為建立一個指導性、實用性強的模型,筆者把三者的關系理解為:全面風險包括合規(guī)風險;風險管理及合規(guī)管理,是對經營管理過程中可能發(fā)生的風險事件、違規(guī)事件的防范和控制,對已經發(fā)生的風險事件、違規(guī)事件的化解和處置;內控是實現(xiàn)風險、合規(guī)管理目標的控制過程和手段,內控主要工作內容是建立健全機制,建立完善流程。總的來說,風險、合規(guī)側重解決的是管什么的問題,內控側重解決的是如何管的問題。企業(yè)需要通過強內控,達到防風險、促合規(guī)的目的。大合規(guī)管理模型設計基于的總體邏輯是:建立健全內控體系,將原來并存的全面風險管理體系(包括法律風險管理體系)、合規(guī)管理體系、內控體系進行融合,優(yōu)化形成貫通全年或管理周期的一個綜合流程。針對可能發(fā)生的、已經發(fā)生的風險事件(包括行政處罰、刑事處罰、上市公司監(jiān)管處罰以及重大訴訟案件等),制定并落實整改措施,進行監(jiān)督問責,完善規(guī)章制度和流程,健全長效機制,調整KPI以引導人、財、物等資源配置,形成管理閉環(huán)。建立起協(xié)調運轉的一體化管理體系,從而達到提高企業(yè)效益、保障戰(zhàn)略目標實現(xiàn)的目的。基于以上學習和思考,筆者設計大合規(guī)管理模型,拋磚引玉,也希望成為他山之石。
大合規(guī)管理模型,由組織機構圖、流程圖、表單、合規(guī)風險事件庫、合規(guī)管理專項計劃、報告等六部分組成。
架構圖確立組織體系,明確由誰來管。全面風險管理委員會、內控委員會、合規(guī)委員會以及法治建設領導機構合一,搭建董事會、董事會專門委員會(例如合規(guī)審核委員會)、大合規(guī)管理委員會、大合規(guī)牽頭部門(例如法律合規(guī)部)、各部門的架構。
流程圖明確主要管理流程,重點解決如何管以及如何控制、監(jiān)督評價。形成一個連貫的、閉環(huán)的流程,流程中涵蓋了各業(yè)務部門的“第一道防線”、合規(guī)牽頭部門評估考核的“第二道防線”、審計、紀檢監(jiān)察、巡視部門的“第三道防線”。表單是操作層面主要工作把手,明確具體管什么。總表分解了全流程的關鍵管理事項,包括風險合規(guī)監(jiān)控和內控監(jiān)控兩部分。第一部分風險合規(guī)監(jiān)控指標具體有:一級風險(戰(zhàn)略風險、財務風險、市場風險、運營風險、法律風險)、二級風險、風險監(jiān)測指標及期初期末數(shù)據(jù)及增減率、是否為前五大風險、管控方案要點、重大風險事件違規(guī)事件件數(shù)、處置情況以及涉外件數(shù)等。其中,合規(guī)風險列為一級風險法律風險下的二級風險。第二部分內控監(jiān)控指標具體有:審計、自評價發(fā)現(xiàn)內控缺陷個數(shù)、整改完成情況、涉外個數(shù)等。子表將關鍵、突出問題列進KPI考核指標,把管理重點呈現(xiàn)第一責任人,同時解決全層級貫通的問題。子表分為重大風險事件跟蹤監(jiān)測表和內控體系監(jiān)督評價情況表。重大風險事件跟蹤監(jiān)測表細化出具體指標有:企業(yè)名稱及層級、重大風險/違規(guī)事件(包括重大行政處罰、上市公司監(jiān)管處罰、刑事處罰、重大訴訟、重大安全環(huán)保事件等)、風險類別、發(fā)生時間、處置情況、修訂規(guī)章制度名稱及內容、黨委會、董事會、管理委員會審議情況、是否列入KPI、是否涉外、追責情況、是否入庫、完成時間等。內控體系監(jiān)督評價情況表細化出具體指標有:內控體系設計缺陷、內控制度缺陷、內控執(zhí)行缺陷、內控監(jiān)督缺陷等,涉及到的子企業(yè)名稱是否境外企業(yè)、內控缺陷描述、影響及損失金額、整改措施及完成情況、修訂制度名稱以及發(fā)現(xiàn)渠道等。
合規(guī)風險事件庫,是重大風險事件跟蹤監(jiān)測表的來源,是進行新一輪合規(guī)風險評估的基礎,是閉環(huán)的結束和開始。合規(guī)風險事件庫實時收錄所有行政處罰(包括但不限于市場、產品質量、安全、環(huán)保、海關、采礦權、林權、土地、房產、工程規(guī)劃、施工、消防、水資源等監(jiān)管)、上市公司監(jiān)管處罰、刑事處罰等違法違規(guī)事件以及其他違規(guī)風險事件。
專項合規(guī)計劃,是在合規(guī)重點領域里,針對諸美國政府監(jiān)管調查、出口管制、環(huán)境保護、“兩高”“雙碳”等“迫在眉睫”的,或國家重點監(jiān)管檢查的合規(guī)風險,為避免公司因為違反相關法律法規(guī)而遭受行政處罰、刑事追究以及其他相應的損失所建立起來的專門性合規(guī)管理方案。
報告是工作的總結、梳理,也是工作成果的書面體現(xiàn),更是優(yōu)化提升管理的主要依據(jù)。對于企業(yè)、尤其是上市公司來講,訂立在包括《全面風險管理報告》、《合規(guī)管理報告》、《內控體系建設和監(jiān)督評價報告》等幾個報告基礎上,編制形成一個總報告《企業(yè)管治報告》(H股上市公司、A股上市公司《內控評價報告》)的機制;前三個分報告需經大合規(guī)管理委員會審議,《企業(yè)管治報告》須經董事會專門委員會、董事會審議。這樣,既滿足政策、監(jiān)管要求,又提高了管理效率、節(jié)約了管理資源。
三、大合規(guī)管理模型的創(chuàng)新大合規(guī)管理模型與當前中央企業(yè)普遍的采用的管理模式相比,主要有五點創(chuàng)新:第一,為構建法律、合規(guī)、內控、風險管理協(xié)同運作機制進行了創(chuàng)新性探索和嘗試。第二,管理對象在原來管不確定性的對象風險的基礎上,加上確定的、已經發(fā)生的風險、違規(guī)事件,并且強調管理重心側重管風險事件、違規(guī)事件。同時,將合規(guī)風險事件的處置、問責,整合進流程,通過表單內數(shù)據(jù)進行顯化,形成閉環(huán)的更完整鏈條,同時也利于監(jiān)督作用的發(fā)揮。第三,將多發(fā)的風險、重大風險,納入到經營管理KPI指標中并實時監(jiān)控,強化風險、合規(guī)管理與經營管理切實融合,讓風險合規(guī)管理切實落地、發(fā)揮實效。第四,對于上市公司,將董事會的《企業(yè)管治報告》(或A股《內控評價報告》),與全面風險管理報告、內控體系建設和監(jiān)督管理報告、合規(guī)管理報告結合管理,形成分報告、總報告的管理方式,既能分級審議避免重復決策,降低管理成本、提高效率,又能同時滿足證監(jiān)和國資監(jiān)管的要求。第五,設計“專項合規(guī)計劃”管理方法,突出合規(guī)管理重點領域“迫在眉睫”合規(guī)風險的管理重點。大合規(guī)管理體系的建立、運行和改進,是一項長期的工作。應用中還應該注意以下事項:一是大合規(guī)管理牽頭部門要起到模型設計者、模型應用推動者、流程勾連者、機制運轉潤滑劑的作用;二是強調表單的開放性,授權各層級企業(yè)結合自身制訂表單的部分要素,比如二級、三級風險等;三是要堅持按照第一責任人偏好,把握調整KPI,提高管理模型應用的實效性;四是企業(yè)要根據(jù)管理現(xiàn)狀,明確流程中、表單里各個事項每個節(jié)點的責任部門及責任人,編制崗位責任清單、將合規(guī)要求落實到崗、明確到人;五是信息化是必要手段,通過軟件化,實現(xiàn)“人防人控”與“技防技控”的結合;六是要注意政策法規(guī)的新動態(tài),比如借鑒最高檢《關于開展企業(yè)合規(guī)改革試點工作的方案》推行過程中的涉案企業(yè)合規(guī)第三方評價機制和評價標準,不斷完善大合規(guī)管理體系。模型設計由于受到筆者對政策的理解的局限、加上筆者所研究案例較少等限制,難免有瑕疵和缺陷,有待在中央企業(yè)合規(guī)管理強化年的工作實踐和交流中打磨。
