作者單位| 中國建材股份有限公司 法律合規部
為深入學習貫徹習近平法治思想、落實全面依法治國戰略部署、不斷提升依法合規經營管理水平,中央企業持續進行法治建設,全面風險管理、內控體系建設和合規管理等工作取得一定成效。國務院國資委在《關于進一步深化法治央企建設的意見》中提出了要“探索構建法律、合規、內控、風險管理協同運作機制”,在《中央企業合規管理辦法》(征求意見稿)中明確“中央企業應當結合實際,積極探索構建法治框架下合規管理與法律、內部控制、風險管理的協同運作機制,加強統籌協調,提高管理效能”。如何構建協同運作機制,建立能夠涵蓋合規、內控、風險管理的“大合規管理體系”,對中央企業來說是一個非常重要的課題。在構建“大合規管理體系”過程中,有必要設計一套一體化、開放式、閉環、可操作性強的大合規管理模型,通過模型應用與推廣,促使大合規管理有效開展,有助于提升企業管理水平,從而達到提高管理效能的目的。
2015年12月8日,國資委印發《關于全面推進法治央企建設的意見》;2021年11月1日,印發《關于進一步深化法治央企建設的意見》,成為央企法治建設主要政策依據。2006年6月6日,國務院國資委印發的《中央企業全面風險管理指引》;2008年5月22日,財政部會同證監會、審計署、銀監會、保監會發布的《企業內部控制基本規范》以及《企業內部控制配套指引》,包括企業內部控制應用指引、企業內部控制評價指引、企業內部控制審計指引;2019年10月19日,國務院國資委印發的《關于加強中央企業內部控制體系建設與監督工作的實施意見》以及2020年、2021年、2022年關于做好年度中央企業內部控制體系建設與監督工作有關事項的通知;2018年11月2日,國務院國資委印發的《中央企業合規管理指引(試行)》以及12月26日國家發展改革委、外交部、商務部、人民銀行、國資委、外匯局、全國工商聯等七部門印發的《企業境外經營合規管理指引》;2018年7月13日,國務院國資委印發的《中央企業違規經營投資責任追究實施辦法(試行)》等,是中央企業、地方國資開展全面風險管理、內控體系建設、合規管理的主要政策依據。2021年12月24日,全國人大常委會對《公司法》修訂草案進行了第一次正式審議后,向社會公開征求意見。征求意見稿第154條規定:國家出資公司應當依法建立健全內部監督管理和風險控制制度,加強內部合規管理。可以看到相關立法動向。上述政策文件,是全面風險管理、內控體系建設、合規管理的依據和指引。相關政策性文件發布時間不同、制定主體存異,一定程度上形成了“政出多門”的局面。同時在政策執行過程中,由于政策的理論基礎、政策要求的管理架構、管理流程和管理重點內容等方面具有一定重疊性,造成實踐中存在著一些問題和難點。諸如如何在原有管理體系上進行搭建以及相互融合,避免“幾張皮”以及形同虛設的問題;如何解決好董事會及專門委員會與全面風險管理委員會、內控委員會、合規委員會以及法治建設領導機構的關系,避免機構繁雜、多頭管理、重復決策的問題;如何發揮牽頭部門作用,解決好各業務部門職能交叉、合力不足、效率不高的問題;如何解決好既能“全覆蓋”,又要避免工作內容重復的問題;如何解決好集團公司和所屬企業管理對接等問題;和成果有效利用、提高管理效能等難點。法治央企進程中,風險、內控、合規管理是不斷完善的過程。在正確理解風險、內控、合規內涵的基礎上厘清三者的關系,是解決上述問題和攻克難點的關鍵。無論是在理論研究還是管理實踐中,對風險、內控、合規管理的關系有多種理解。例如:合規管理需要內控的配合,內控是企業內部管理的措施;合規管理是防范重大風險的重要保障; 企業內部管理有多種方式,如審計、紀委監察、內控、風險管理等,合規管理也屬于重要方式。合規管理是底線管理,依靠制度與流程等。為建立一個指導性、實用性強的模型,筆者把三者的關系理解為:全面風險包括合規風險;風險管理及合規管理,是對經營管理過程中可能發生的風險事件、違規事件的防范和控制,對已經發生的風險事件、違規事件的化解和處置;內控是實現風險、合規管理目標的控制過程和手段,內控主要工作內容是建立健全機制,建立完善流程。總的來說,風險、合規側重解決的是管什么的問題,內控側重解決的是如何管的問題。企業需要通過強內控,達到防風險、促合規的目的。大合規管理模型設計基于的總體邏輯是:建立健全內控體系,將原來并存的全面風險管理體系(包括法律風險管理體系)、合規管理體系、內控體系進行融合,優化形成貫通全年或管理周期的一個綜合流程。針對可能發生的、已經發生的風險事件(包括行政處罰、刑事處罰、上市公司監管處罰以及重大訴訟案件等),制定并落實整改措施,進行監督問責,完善規章制度和流程,健全長效機制,調整KPI以引導人、財、物等資源配置,形成管理閉環。建立起協調運轉的一體化管理體系,從而達到提高企業效益、保障戰略目標實現的目的。基于以上學習和思考,筆者設計大合規管理模型,拋磚引玉,也希望成為他山之石。
大合規管理模型,由組織機構圖、流程圖、表單、合規風險事件庫、合規管理專項計劃、報告等六部分組成。
架構圖確立組織體系,明確由誰來管。全面風險管理委員會、內控委員會、合規委員會以及法治建設領導機構合一,搭建董事會、董事會專門委員會(例如合規審核委員會)、大合規管理委員會、大合規牽頭部門(例如法律合規部)、各部門的架構。
流程圖明確主要管理流程,重點解決如何管以及如何控制、監督評價。形成一個連貫的、閉環的流程,流程中涵蓋了各業務部門的“第一道防線”、合規牽頭部門評估考核的“第二道防線”、審計、紀檢監察、巡視部門的“第三道防線”。表單是操作層面主要工作把手,明確具體管什么。總表分解了全流程的關鍵管理事項,包括風險合規監控和內控監控兩部分。第一部分風險合規監控指標具體有:一級風險(戰略風險、財務風險、市場風險、運營風險、法律風險)、二級風險、風險監測指標及期初期末數據及增減率、是否為前五大風險、管控方案要點、重大風險事件違規事件件數、處置情況以及涉外件數等。其中,合規風險列為一級風險法律風險下的二級風險。第二部分內控監控指標具體有:審計、自評價發現內控缺陷個數、整改完成情況、涉外個數等。子表將關鍵、突出問題列進KPI考核指標,把管理重點呈現第一責任人,同時解決全層級貫通的問題。子表分為重大風險事件跟蹤監測表和內控體系監督評價情況表。重大風險事件跟蹤監測表細化出具體指標有:企業名稱及層級、重大風險/違規事件(包括重大行政處罰、上市公司監管處罰、刑事處罰、重大訴訟、重大安全環保事件等)、風險類別、發生時間、處置情況、修訂規章制度名稱及內容、黨委會、董事會、管理委員會審議情況、是否列入KPI、是否涉外、追責情況、是否入庫、完成時間等。內控體系監督評價情況表細化出具體指標有:內控體系設計缺陷、內控制度缺陷、內控執行缺陷、內控監督缺陷等,涉及到的子企業名稱是否境外企業、內控缺陷描述、影響及損失金額、整改措施及完成情況、修訂制度名稱以及發現渠道等。
合規風險事件庫,是重大風險事件跟蹤監測表的來源,是進行新一輪合規風險評估的基礎,是閉環的結束和開始。合規風險事件庫實時收錄所有行政處罰(包括但不限于市場、產品質量、安全、環保、海關、采礦權、林權、土地、房產、工程規劃、施工、消防、水資源等監管)、上市公司監管處罰、刑事處罰等違法違規事件以及其他違規風險事件。
專項合規計劃,是在合規重點領域里,針對諸美國政府監管調查、出口管制、環境保護、“兩高”“雙碳”等“迫在眉睫”的,或國家重點監管檢查的合規風險,為避免公司因為違反相關法律法規而遭受行政處罰、刑事追究以及其他相應的損失所建立起來的專門性合規管理方案。
報告是工作的總結、梳理,也是工作成果的書面體現,更是優化提升管理的主要依據。對于企業、尤其是上市公司來講,訂立在包括《全面風險管理報告》、《合規管理報告》、《內控體系建設和監督評價報告》等幾個報告基礎上,編制形成一個總報告《企業管治報告》(H股上市公司、A股上市公司《內控評價報告》)的機制;前三個分報告需經大合規管理委員會審議,《企業管治報告》須經董事會專門委員會、董事會審議。這樣,既滿足政策、監管要求,又提高了管理效率、節約了管理資源。
大合規管理模型與當前中央企業普遍的采用的管理模式相比,主要有五點創新:第一,為構建法律、合規、內控、風險管理協同運作機制進行了創新性探索和嘗試。第二,管理對象在原來管不確定性的對象風險的基礎上,加上確定的、已經發生的風險、違規事件,并且強調管理重心側重管風險事件、違規事件。同時,將合規風險事件的處置、問責,整合進流程,通過表單內數據進行顯化,形成閉環的更完整鏈條,同時也利于監督作用的發揮。第三,將多發的風險、重大風險,納入到經營管理KPI指標中并實時監控,強化風險、合規管理與經營管理切實融合,讓風險合規管理切實落地、發揮實效。第四,對于上市公司,將董事會的《企業管治報告》(或A股《內控評價報告》),與全面風險管理報告、內控體系建設和監督管理報告、合規管理報告結合管理,形成分報告、總報告的管理方式,既能分級審議避免重復決策,降低管理成本、提高效率,又能同時滿足證監和國資監管的要求。第五,設計“專項合規計劃”管理方法,突出合規管理重點領域“迫在眉睫”合規風險的管理重點。大合規管理體系的建立、運行和改進,是一項長期的工作。應用中還應該注意以下事項:一是大合規管理牽頭部門要起到模型設計者、模型應用推動者、流程勾連者、機制運轉潤滑劑的作用;二是強調表單的開放性,授權各層級企業結合自身制訂表單的部分要素,比如二級、三級風險等;三是要堅持按照第一責任人偏好,把握調整KPI,提高管理模型應用的實效性;四是企業要根據管理現狀,明確流程中、表單里各個事項每個節點的責任部門及責任人,編制崗位責任清單、將合規要求落實到崗、明確到人;五是信息化是必要手段,通過軟件化,實現“人防人控”與“技防技控”的結合;六是要注意政策法規的新動態,比如借鑒最高檢《關于開展企業合規改革試點工作的方案》推行過程中的涉案企業合規第三方評價機制和評價標準,不斷完善大合規管理體系。模型設計由于受到筆者對政策的理解的局限、加上筆者所研究案例較少等限制,難免有瑕疵和缺陷,有待在中央企業合規管理強化年的工作實踐和交流中打磨。
