 作者: 江苏宁沪高速公路股份有限公司 卞传山 合规风险与法律风险是企业高质量发展进程中不可回避的内容,加强合规风险管理和法律风险管理,建立行之有效的合规管理体系和法律风险管理体系也是企业当前亟待解决的课题。企业合规风险,是企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性,包括违反外部合规规范(法律法规、监管规则、国际条约、商业惯例等)产生的合规风险以及违反内部规范(企业规章制度等)产生的合规风险;企业法律风险是基于法律规定、监管要求或合同约定,由于企业外部环境及其变化,或企业及其利益相关者的作为或不作为,对企业目标产生的影响,包括违反法律、法规产生的风险,因违反合同义务而产生的违约风险,因侵权行为而产生侵权责任风险,因怠于行使法定权利或约定权利产生的风险、因不当行为产生的风险以及诉讼、仲裁法律风险等。 从法律风险和合规风险的定义看,两者虽都属于企业风险管理,但各有侧重,法律风险管理侧重研究如何解决法律风险,合规管理侧重行为合规,风险范围也存在交叉,但总体上看,可以认为广义的合规风险包含法律风险,如何做到二者相互统筹、相互融合,保证合规的基础上有效防范法律风险,发挥管理的最大效能,保障企业健康持续发展,分析研究两大风险管理的协同就显得具有非常现实的意义。 合规风险管理与法律风险管理之前世今生 合规风险管理,是指企业通过建立健全合规风险管理框架,实现对合规风险的有效识别和管理,保障企业依法合规经营的管理过程。 合规风险管理是舶来品,合规由英文“compliance”翻译而来,最早源于西方国家特别是美国的企业管理实践,是企业应对政府监管要求和社会公众期望,以内部规章制度的形式,建立合规政策与流程,推动和监督合规制度的执行,保证企业的经营行为符合法律法规、监管政策、行业准则和标准以及国际条约和规则。20世纪70年代,尼克松“水门事件”后,揭发出很多美国军工企业在海外通过行贿获取项目订单,美国国会于1977年立法,形成《海外反腐败法案》。 合规风险管理在中国发展的历史并不长。2006年,中国银监会颁布《商业银行合规风险管理指引》,2007年,中国保监会颁布《保险公司合规管理指引》,2014年,国资委就明确提出了要大力加强企业合规管理体系建设,并将其列入“中央企业法制工作新五年规划”,2015年12月,国资委《关于全面推进法治央企建设的意见》明确要求中央企业加快提升合规管理能力,研究制定统一有效、全面覆盖、内容明确的合规制度准则,加强合规教育培训,形成全员合规的良性机制,建立法律、合规、风险、内控一体化管理平台。2017年《中央企业境外投资监督管理办法》,要求中央企业建立健全境外投资管理制度,规范境外经营行为、加强境外风险管控,2017年12月,中国国家质量监督检验检疫总局、中国国家标准化管理委员会发布了ISO 19600《合规管理体系指南》,成为中国企业开展合规管理的重要指导性文件。2018年11月,国务院国资委印发了《中央企业合规管理指引(试行)》,推动中央企业全面加强合规管理。同年12月,国家发改委会同外交部、商务部、人民银行、国资委、外汇局以及全国工商联发布《企业境外经营合规管理指引》,对企业开展境外经营业务的合规管理提出了要求。 法律风险管理,是指在企业经营管理各环节中执行法律风险管理标准化规范,培育良好的法律风险管理文化,建立健全法律风险管理体系,为实现全面风险管理总体目标提供保证的基础管理,是明确法律风险环境信息、法律风险评估、法律风险应对、监督和检查等组成的管理过程。 20世纪90年代发生的安然、世通等一系列内控失灵事件,促使美国国会通过了《2002年公众公司会议改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯-奥克斯利法案》,继之又重审了1994年发布的《内部控制——整体框架》,于2004年又正式推出新版的《公司风险管理——整合框架》。2000年联合国推出了“全球契约”计划,号召公司遵守在人权、劳工标准、环境及反贪污方面的十项基本原则。2002年美国国会《2002年公众公司会议改革和投资者保护法案》,2004年美国反虚假财务报告委员会的发起组织委员会(COSO)提出了《企业风险管理——整合框架》。 正是上述全球范围内正在发生的迅速变化,以及日益走向国际化的中国经济实体被提出在法律风控、内控机制和社会责任等方面的更多标准和要求,开始引发了更多中国公司对法律风险的特别关注。2006年国务院国资委率先出台《中央公司全面风险管理指引》,提出了指向战略、财务、市场、运营和法律五个维度的风险结构。2007年全国工商联《关于指导民营企业加强危机管理工作的若干意见》,2010年财政部、证监会、审计署、银监会、保监会《关于印发企业内部控制配套指引的通知》,2012年国家标准化委员会发布《公司法律风险管理指南》,为可复制和推广提供了基石。2012年国务院国资委面向央企第一次提出了“全面风控”的概念,正式从法律风险管理开始走向内涵更为丰富的“合规风险管理与法律风险管理”。 合规风险管理与法律风险管理协同的可行性 前面谈到,广义的企业合规风险与法律风险是包含关系,法律风险某种意义上可以作为合规风险的组成部分,作为对两类风险的管理,合规风险管理与法律风险管理是可以相融协同的。合规风险管理要求一切经营管理行为都要符合“合规制度体系”,法律风险管理也有企业的经营管理行为必须遵守法律法规的规定。需要指出的是,法律风险管理相对具有“柔性”,强调根据法律风险等级,寻求商业利益需求与风险管理要求的平衡,并根据管理需求提供解决方案;而合规管理相对具有“刚性”,强调红线意识和高度严格的执行力,合规风险管理则是底线,是监督,是零容忍。法律风险管理的依据是法律法规,判断公司行为与法律法规的契合度及其法律后果,合规风险管理的依据是基于法律法规、监管规定、行业准则、企业章程和商业伦理以及国际条约、规则等要求的企业系统规章制度,同时合规风险管理还拥有检查、监督、处罚等权力。 加强合规风险管理,有助于企业应对不确定性、风险和机会;有助于保护和增加股东价值,降低未预期损失和声誉损失的可能性;持续不断的合规风险管理可改善企业管理组织体系,形成具有较强执行力、程序化的管理制度和流程,清晰界定企业运营过程中的尽职、问责和免责标准,从而提升管理效率、降低企业运营成本和经营风险。加强法律风险管理,可以量化风险等级,提高决策有效性和科学性;优先控制重大法律风险,规范工作程序和业务流程;降低风险发生概率,减少经营管理损失;控制法律法规方面的重大不确定性,确保公司各项经营活动的合规性,保障公司战略目标的完成。 合规风险管理和法律风险管理在工作内容、工作定位以及结果运用上有差异,但合规风险管理和法律风险管理的对象、范围、流程、风险评估方法、应对措施、风险监测和预警等方面较为相似,完全可以实现法律风险管理与合规风险管理的融合协同,在实践相互融合,互相促进,互为补充,目的都是为了实现“依法治企”,建立企业风险防范机制,实现企业健康稳定发展。两大风险管理的融合协同,有助于提升工作效率,依托系统实现合规、内控与风险管理工作整合,以减少工作重复、节约管理成本,切实提高管理效率,降低管理成本;有助于提升工作一致性,管理内容及流程整合、管理方法及管理标准统一、实现对相关管理信息的共享。 合规风险管理与法律风险管理如何相融协同 2019年12月26日,国务院国资委加急发布的《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》,明确要求整合优化内控、风险管理和合规管理监督工作,将风险、合规管理制度建设及实施情况纳入内控体系监督评价范畴,统筹推进内控、风险和合规管理的监督评价工作。 合规风险管理与法律风险管理的相融协同,需要从相关从业人员的思想认识、管理文化上取得认同,在组织机构、制度流程、项目内容上作整合,在职能权责、资源互通、信息共享上重新设计,真正达到相融协同。 1.组织机构整合。当前,大多数企业的合规风险管理和法律风险管理都成立了相应的组织机构,名称不一,不外乎企业合规委员会和法律风险管理委员会等类似的名称,有的是将合规风险管理委员会隶属于董事会之下,将企业法律风险管理委员会隶属于企业全面风险管理委员会然后置于董事会之下,有的直接将法律风险管理领导机构与企业依法治企领导小组合并,归属于总经理直接领导。根据两大风险管理的性质,我们不妨将企业法律风险管理委员会与合规委员会合二为一,统一接受企业董事会的授权,对企业合规和法律两类风险管理进行统一领导、管理和协调。其次,将两类风险的管理职能,由一个部门(合规部门)统一归口,归口有困难的,可以建立密切协作、统一协调的合规风险管理办公室、合规风险管理小组或者联系会议,由合规风险管理办公室、合规风险管理小组或者联系会议对企业合规风险管理和法律风险管理进行统一扎口。再者,建设一体化的企业合规风险、法律风险管理队伍,培训、提高从业人员的专业知识和能力,在开展企业合规风险管理和法律风险管理时,这支队伍由合规部统一调度和管理。 具体来说,在董事会下依次设合规委员会、合规总监、合规部门,合规部下设合规管理专员;在二级单位设立合规部并配备合规专员、各业务部门设立兼职合规管理员;在三级单位设立合规管理专员。合规管理一般设置三道防线,第一道防线,业务部门的合规职责是风险评估、风险治理、落地执行、自我改进;第二道防线,合规部门的职责是明确责任、风险评估、制定标准、推进整改、完善体系、定期报告;第三道防线,审计监督部门的合规职责是监督检查、违规追责。合规委员会主任由董事长兼任,统领企业的合规风险与法律风险管理工作;合规总监由总法律顾问兼任;合规部下设合规管理岗,业务部门设置兼职合规员,由合规部统一指导合规管理工作。 2.项目与内容的整合。合规风险管理对象是企业内部行为的规范性,法律风险管理对象是企业行为和企业员工行为的合法性,合规风险管理的工作内容主要有合规管理制度建设、合规审查和检查、合规监测、合规报告、合规文化建设、合规信息系统建设、合规考核、合规问责等,法律风险管理的工作内容有法律风险环境信息搜集、法律风险评估、法律风险应对、监督和检查、沟通和记录、法律风险管理的组织职能、法律风险管理的资源配置、法律风险管理文化等。通过两大风险管理的对象、内容和方式方法,我们也可以对其进行优化整合,鉴于法律风险从属于合规风险的特质,我们可以考虑直接将法律风险管理项目完全融入合规风险管理项目,即合规风险管理项目完全涵盖法律风险管理项目。 3.制度与流程融合统一。根据《中央企业合规管理指引(试行)》《关于全面推进法治央企建设的意见》等相关规范性指导文件,我们可以梳理出,合规风险管理流程主要是:识别合规义务、合规风险评估、合规风险应对、沟通和协调、风险监测和预警、监督检查和持续改进,法律风险管理流程主要是:搜集法律风险环境信息、法律风险评估、法律风险应对、信息与沟通、风险监测和预警、监督和检查。很显然两大风险管理流程有着非常相似的制度设计,因此,我们应积极探索合规风险管理与法律风险管理制度与流程的一体化,由合规部牵头,对企业现有各个风险管理制度与流程进行检查、分析和研究,对现有风险管理制度与流程进行修改补充,或者重新制定统一的企业风险管理制度,对风险源搜集分析、风险识别、风险评估、风险应对、信息与沟通、风险监测与预警、监督检查和持续改进等作统一要求,实现企业风险管理制度与流程的一体化。 4.借助大数据与信息化,支撑两大风险管理融合。合规风险管理和法律风险管理的每个环节,都应嵌入信息化,用技术手段控制风险。流程中的风险源搜集分析、风险识别、风险评估、风险应对、信息与沟通、风险监测与预警、监督检查和持续改进均可以通过不同模块的设计,将各项功能通过模块的设置来实现,各模块功能既相互独立,又相互联系,共同构成一个有机整体。 设计不同功能的模块:综合管理模块,将规范要求、典型案例、行业最新要求、风险管理格式文件等纳入该模块;风险管理模块,发布风险管理项目方案,收集风险管理基础信息,提供风险评估的技术方法和程序,更新风险清单,发布风险应对整改计划和方案,对风险的应对整改进行跟踪和监督检查,提供风险管理沟通与协调平台;风险制度流程模块,发布风险管理制度与流程及其修改、补充,跟踪监督风险管理制度与流程的执行,收集风险管理制度和流程执行情况的信息和意见等;风险审查模块,实现线上统一风险审查和审批;风险监测模块,确定监测范围、收集数据,开展监测识别,对风险异动进行处理,实时风险预警,风险提示,提示法律介入和处置,完善监测内容和形式、完善监测信息化工具;风险管理计划与报告模块,收集风险管理计划、风险报告信息资料和意见,修改、提交、审批风险管理计划与报告,跟踪、监督风险管理计划、报告的执行。 充分运用大数据挖掘并运用信息化手段,分析违规原因和管理中的薄弱环节,并反溯至企业经营管理全过程,总结经验教训,查找企业运营管理的薄弱环节,检测企业运营管理环节的潜在风险,对制度和流程进行合规性评价,督促违规整改和持续改进,保障企业健康持续发展。 |
|
|
