来 源 | 中电联法律分会
作 者 | 张轶斐
历经近四年的探索与实践,国务院国资委决定将2018年11月发布的《中央企业合规管理指引(试行)》版本转正,以国资委第42号令的方式签发了正式版的《中央企业合规管理办法》(以下简称《办法》),并于2022年9月16日在官网上对外发布,自2022年10月1日起实施。
随着《办法》的发布及实施,合规已是企业作为市场主体最基本的义务,不仅关系重大、牵涉面广,而且增量任务明确,对企业各管理主体(包括业务部门、职能部门、合规管理部门)均提出了巨大的考验。今天的赋能共建,笔者从企业实务的角度,对《办法》进行解读,以飨读者。
第一章总则部分有六条规定,根据其性质及内容可将第一章架构总结如下图。提醒关注并理解到位的内容是第三条与第五条。
1. 合规主体明确为“企业经营管理行为”和“员工履职行为”。引入“员工履职行为”自然就意味着企业所有员工都有合规责任:既要对自身履职行为承担责任,又要对自己管理的员工履职行为承担责任。
2.《办法》定义的合规风险只指向不良影响,且其中“其他负面影响”是开放性的定义,不仅未来在追责问责实操中颇有威慑力,而且直接给企业制定相关细则增加了难度。
3. 合规管理的定义直接呼应合规的定义,从“目的” “导向” “对象”多个维度进行明确,是包括“建立合规制度、完善运行机制、培育合规文化、强化监督问责”等内容在内的“有组织、有计划的管理活动”。
4. 合规管理“以企业经营管理行为和员工履职行为为对象”,原来关于“三道防线”的描述就需要做调整了。
第五条提出的合规管理四原则精炼清晰,体现了高标准、严要求:有对标世界一流的决心,也有对中国特色的坚守。
1. 合规管理第一原则是核心原则:党领导一切。
2. 合规管理第二原则从业务和责任主体两个维度来描述,业务维度是各领域、各环节、全过程;责任主体维度是各部门、各单位和全体员工。总之就是要在各个维度做到合规管理全覆盖。
3. 合规管理第三原则里,“严格落实员工合规责任”与合规管理强化年的“重点岗位合规责任清单”呼应。如何严格落实及如何才算严格落实,需要企业合规管理部门做足功课。当然,如果国资委后续有指南指引出台,会更高效一些。
4.合规管理第四原则真的很原则,建议结合“五个关键”“五个到位”的指示精神去理解和践行,这样更容易把握住重点。不过,建议在大数据等信息化手段建设上,最好能有久久为功的观念,虽然真抓实干、马上就办是必须的,但信息化建设有自身的规律,合规管理信息化建设不可能跳出规律之外,合规管理基础薄弱实际是全方位的,一夜建成罗马的思想不合适。
第六条虽然行文很短,但是需要点赞。不仅体现了一种科学态度:要开展工作必须要有配套资源;而且还体现了一种全球视野:合规体系是否有效,有无配备相应的资源属于最基本的衡量标准。
第二章组织和职责部分有九条规定,规定了企业相关组织及关键人对合规管理承担的职责,总结如下图:1. 董事会职责(二)包括“研究决定合规管理重大事项”。但没有给出“合规管理重大事项”的定义,在国资委未给出解释之前,自然属于企业自行把握的范畴。2. 董事会职责(三)包括“推动完善合规管理体系并对其有效性进行评价”。这里有一个理解的问题,不建议理解成由董事会负责合规管理体系有效性评价,建议理解成董事会应推动开展合规管理体系有效性评价工作。3. 董事会职责(四)“决定合规管理部门设置及职责”。这条与《办法》第十四条的“四” “受理职责范围内的违规举报”形成呼应。《办法》为企业合规管理部门的设置及职责留出了弹性,但又设置了刚性:决定合规管理部门设置及职责的权限归董事会。经理层职责(二)提出“批准年度计划等”与办法第十条呼应,“合规工作年度计划”看起来是要求央企必须开展的一项工作任务。《办法》第十二条明确了首席合规官由总法律顾问兼任,实际是对关于总法律顾问兼任首席合规官是否有利冲的争论给出了结论。不过,对于注册在境外的企业,在任命首席合规官由总法律顾问兼任之前,最好先根据所在国法律做些必要的研究。1. 《办法》第十三条之(三)“负责本部门经营管理行为的合规审查”。应注意:业务及职能部门是负责合规审查,业务及职能部门进行合规审查应建立起相应规则,要防止出现将合规审查理解成法律审查而要求配置法务人员或者将审查工作推给法务部门的情况;也要防止没有审查规则或审查事项清单,使业务及职能部门的合规审查流于形式的情况。2. 《办法》第十三条之(一)至(五)整体代表着国资委已将合规管理强化年提出的“三张清单”,固化成了业务及职能部门今后需要开展的常态化工作。这就更能理解领导为何反复强调“合规管理不是一件可做可不做的事,而是企业作为市场主体最基本的义务”了。3. 《办法》第十三条的最后一段虽短,却不能忽略:一是明确要求业务部门的合规管理员必须由业务骨干担任,这属于对业务部门自行做合规审查的辅佐性规定,不懂业务的人不可能胜任合规审查职责。二是明确了合规管理员要接受培训,明确给中央企业的合规管理部门交办了要对业务部门的合规管理员进行培训的任务。这与部署合规管理强化年工作的1号文形成呼应,合规管理部门今后需要常态化开展的工作内容及工作量增加了,好好策划吧!1. 注意第十四条之(三)的行文,是“根据董事会授权开展合规管理体系有效性评价”而不是直接写“开展合规管理体系有效性评价”,意味着董事会可以授权管理部门之外的其他部门来开展合规管理体系的有效性评价。2. 注意第十四条之(四)的行文,是“受理职权范围内的违规举报”而不是直接写“受理违规举报”。如果为了避免功能重叠,企业期望违规举报的受理统一由一个部门负责,企业在组织机构设置时,应明确受理违规举报不属于合规管理部门职责的同时注明该职责的归属部门。之所以强调这个,是因为邂逅不如意时,按照欧美的合规规则,合规管理部门的恪尽职责与否直接关系到企业寻求责任豁免的成功率。3. 第十四条的最后一段是“中央企业应当配备与经营规模、业务范围、风险水平相适应的专职合规管理人员,加强业务培训,提升专业化水平”。与国资委部署合规管理强化年的1号文对比,没有了关于优化知识结构的提法。采用“专职合规管理人员”的名称,应该是因为人社部已将企业合规师纳入新职业序列,未来的合规管理从业人员持证上岗趋势已较为明朗。《办法》第十五条的行文是“在职权范围内对合规要求落实情况进行监督”,同样加了定语。笔者理解,不提“三道防线”是本《办法》名词定义时确定下来的格局,《办法》的行文风格较之前更讲究前后呼应,属于是一种进步。而且,在企业实际操作中,“三道防线”其实一直都有些争议。比如,中央企业的合规管理部门,在履行合规管部门职责时,是第二道防线,但它显然应该是其自身行为(包括其员工履职行为)的第一道防线;比如,中央企业的审计、巡视巡察、监督追责等部门,这个无争议的第三道防线,是不是也应该是自身行为的第一道防线?第三章制度建设部分有四条规定,都描述的很清晰,总结如下图:
提醒关注并理解到位的是:
《办法》第十六条要求建立合规管理制度,构建分类分级的制度体系;第十七条要求制定合规管理基本制度,明确总体目标、机构职责、运行机制、考核评价、监督问责等内容。合规管理基本制度比合规管理制度的要求更直接,更容易考核。《办法》第十八条、第十九条都是硬性任务。因为有过去持续开展应对海外制裁留下的底子,第十九条的任务对不少企业而言,任务增量不大。但第十八条点明的诸重点领域,国内出过合规管理具体制度或专项指南的企业应该不多,任务增量不小。别因为第十九条而忽略了第十八条,赶紧策划、赶紧行动吧!第四章运行机制部分包括九条规定,涉及到很多需要认真思考的问题:
一、第二十条:合规风险识别预警
《办法》第二十条 对“典型性、普遍性或者可能产生严重后果的风险及时预警”是一个很高的要求:
1. 全新构建有难度,建议与全面风险管理机制结合来实现;
2. 做到及时预警,及时提示风险信息是前提。而风险主要来自经营业务最一线,央企下有1.5级、2、3、4乃至5级企业,同期还都有非常多项目在运转,如何能及时获得风险信息,对合规管理而言绝对是一个巨大挑战。
二、第二十一条:合法合规性审查机制
首席合规官要签字而且不能只签“拟同意”,自然就会要求企业建立起合规审查标准、明确合规审查流程、合规审查重点、合规后评估机制。这是通过抓“关键少数人”来带动合规审查规范化提高的手法,值得点个赞!
总之,央企的总法律顾问不好当了,如果企业合规管理部门不得力,则真需要向该企业的总法律顾问表示“同情”!现实中,有些企业即便是法律审查也没有审查要点及标准,至于合规审查则实际相当于没审查(有些甚至不知道自己没审查)。
三、第二十二条:合规报告制度
第二十二条是明确相关业务及职能部门应当向合规管理部门报告发生了合规风险事件的。这就必然衍生出两个问题:
1. 合规管理部门如果接受业务及职能部门关于合规风险的报告,那么合规风险事件出现苗头时(合规风险事前),相关人的报告似乎也应该接受。
2. 如果上述问题成立,那因发现合规事件苗头或线索而向企业有关部门反馈信息,该按举报处理,还是按报告处理?需要考虑清楚。
运行机制架构示意图
既然要建立“违规整改机制”至少应明确整改牵头部门、责任主体的责任、何谓整改到位、何谓整改不力、如何回头看、如何关闭等等。这些并不是很新的说法,各央企至少审计口都有类似的机制在运行,不一定非要新建。这里有两个问题值得说一下:1. “违规举报平台”各企业都有,合规是否需要另行设置违规举报平台,可以结合企业涉外业务的占比来衡量。2. 根据《办法》关于合规的定义,未合规不必然代表是违了法或违了纪,所以本条这个“违规”是否要等同于纪委系统的“违规”,不妨根据企业情况,自行考量。1. 依据《办法》的定义,合规风险不仅包括引发法律责任、造成经济损失或声誉损失,还包括一个开放式的“其他负面影响”,要建立对违规行为的问责机制,这几种情况就都需要考虑且还要做到“细化问责标准”,绝对是大工程!2. 建立员工履职行为违规记录,就是明确要将合规行为与员工个人的考核评价、职称评定等挂钩。这是布置给企业人力资源部门的新任务,而人力资源部要完成此任务,需要各相关部门的密切配合将需要的相关制度建立起来。本条虽然只写了定期而未明确具体的时间间隔,但任务却无论是明确的:1. 要对企业合规体系有效性进行评价;2. 要对重点业务合规管理情况进行专项评价。第二十八条是对合规管理的一种定性,合规管理从属于法治建设,纳入对所属企业的考核评价。第五章合规文化部分包括四条规定,行文意思清晰,基本不需要多解释,稍微提几句:本条是要求将合规管理纳入党委(党组)法治专题学习的。企业文化深受企业领导影响,企业合规文化建设自然必须从企业领导做起,而且ISO明确合规管理的核心是发挥领导作用,有关国家的企业合规评估里,也非常注重企业领导层是否发挥了作用。既然常态化纳入党组学习,即便每年次数不多,也得有个课程序列需要设置,总不能重复或拿法律课程来搪塞。涉外业务多的企业,企业核心团队重视合规而自然形成的记录属于“金色盾牌”的有机构成,系统学习并形成记录直接属于企业风险防务建设的有机组成。本条要求建立的常态化合规培训机制,属于对央企合规管理部门及人力资源管理部门布置的任务,“制定年度培训计划,将合规管理作为管理人员、重点岗位人员和新入职人员培训必修内容”,任务量足够大!而且形成的记录同样是“金色盾牌”的有机构成,同时也是合规管理部门及人力资源管理部门恪尽合规职责的证明。三、第三十一、三十二条:加强合规宣传教育、践行合规理念第三十一条是关于合规宣传的,第三十二条是关于员工合规理念的。两条结合起来属于很高标准的强制性要求,也是给企业合规管理部门、宣传部门、人力资源部门布置的明确任务。第六章信息化建设部分有四条规定,《办法》总共使用了37个“应当”,信息化部分就用了4个,可见对信息化的重视程度,可见对以信息化手段提升合规管理水平的期望程度。关于信息化建设有以下几点值得关注:
一、第三十三条:功能设置
本条提到的“将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统”,涉及到两个问题需要考虑清楚:
1. 中央企业如果总部层面将企业所有典型案例、违规行为记录纳入信息系统,会有些难度。央企所属企业各自建立并可被检查,会容易一些。
2. 企业全体员工的合规培训、违规记录体现在人力资源系统里,会容易一些,直接放在合规管理信息系统里会难很多。
二、第三十四条:嵌入流程
本条相当于是再次明确要求将合规管理强化年的系列管理思路常态化执行。
三、第三十六条:动态监测
本条是对总则部分及运行机制部分的再呼应。利用大数据等技术,即时预警、快速处置是确定性趋势,但对合规体系建设而言确实是非常非常高的要求。难点不在信息技术上,而在于缺乏构建大数据必要的制度基础、体系基础、规范化基础等等。建议以协同的思维,与正在建设的司库系统、业财一体化系统一体进行。
第七章监督问责部分有两条规定,其中第三十八条的规定颇为严格:“对在履职过程中因故意或者重大过失应当发现而未发现违规问题,或者发现违规问题存在失职渎职行为,给企业造成损失或者不良影响的单位和人员开展责任追究”,也就是说除非有充足的证据证明已合理尽职,否则总是要承担责任的。这就是通过制度倒逼企业按照合规最基本的规则去运行:全过程可追溯、全过程有记录。第八章附则有四条规定,内容简单明了。这部分给中央企业明确的任务是推动所属企业建立健全合规管理体系,因为有合规管理强化年行动在前,所以虽然是任务但不算是新任务。
附录:
为了便于开展工作,笔者总结了《办法》里的36个“应当”,除几个属于纯原则性规定外,诸多都直接对应具体任务,其中红字部分为增量任务。
