企业有效合规管理体系搭建要点
当前,全球主要经济体不断加强相关合规领域立法与执法实践,与此同时,我国多个细分领域的头部企业也在加速“全球化”发展步伐。伴随各类国际监管风险的提升,企业迫切需要进一步加强全球合规体系建设,要推动企业合规体系建设从风险应对型向风险防控型进行转变。
有效的全球合规体系能够实现合规管理与企业业务模式、组织架构的深度融合;可满足企业内部以及全球范围内不同监管规则的适用要求;对内可扩大内部影响力与执行力,促进企业内部合规文化形成;对外可塑造诚信、透明国际合规形象,推动企业上下游构建合规生态,增强跨文化背景下的国际监管信任度,并最终形成内部有效、外部认可的合规保障机制,为企业的全球化发展保驾护航。笔者从实务出发,从落地有效性角度分析企业全球化合规体系建设的要点。
以国际标准构建企业合规管理体系并不断优化
为了满足全球化合规的快速发展和迫切要求,2021年4月13日, ISO 37301:2021《合规管理体系要求及使用指南》(Compliance management systems — Requirements with guidance for use)(下称《合规要求及指南》)国际标准正式发布实施。《合规要求及指南》在引言中提出,“组织范围内一个有效的合规管理体系应该确保一个组织可以去证明其有效遵守了相关的法律、法规、行业准则、组织标准,并满足了好的治理标准、通行的最佳实践,以及道德和公众的期待。”企业合规是企业对经营管理中所有适用规范的普遍遵循。从管理体系落地角度来说,企业需要结合自己所在行业、业务开展区域/国家的政策环境,分析企业面临的各类风险程度、抗击风险能力等,在此基础上综合评估企业面对的风险等级并给与治理序列,以制定和推动企业全球化合规管理体系的搭建。
除《合规要求及指南》之外,我国发展和改革委员会等相关部委也出台了企业相关合规管理工作指引,此外,境外美国商务部、财政部、司法部,世界银行等政府机构与国际组织均制定了相关的合规体系建设指导文件,这些政策文件提炼出来的核心原则和内容往往就是众多国际企业有效合规体系建设的经验,更代表了监管机构对企业合规体系构建的标准认知。因此,企业应深入研究相关合规制度与体系构建指引,找到不同合规领域、监管机构国际组织合规体系构建指引的相同处或相似点,夯实企业合规管理体系搭建的基础。一个有效的合规管理体系包含了高层重视与组织建设、风险评估、流程嵌入、合规培训、文档保存、合规审计、违规处理与改进、合规手册与持续更新(简称“八要素”)内容,转化成企业内部管理语言,就是要在企业组织、制度、流程、工具、文化等方面搭建起适应公司发展的合规管理体系,进而形成“有规可依、有规必依、知规守规、违规必究”的PDCA(即Plan-计划、Do-执行、Check-检查和Act-处理)循环理念和机制,以推动企业合规管理体系有效运转。
以核心要素为抓手贯穿合规管理体系构建全过程
随着国际环境的变化,政府行政监管愈发严格,中资企业在全球化的进程中不仅要在形式上构建包含八要素的合规管理体系,更需要从合规有效性的角度将合规管理的各项要求嵌入到各业务环节中。
无论是出口管制、经济制裁、数据安全与个人隐私,还是反洗钱、反商业贿赂等,其合规构建体系思路一致,只是在与业务结合时其重点关注要素不同。如出口管制以产品(硬件、软件、技术、服务)为基础管控,并结合国家、最终用户和最终用途构成核心管控要素;美国经济制裁以交易/合作主体作为基础管控,并结合美元结算、特定行业和特定国家的因素构成核心管控;数据安全和个人隐私以数据为核心管控要素;反洗钱和反商业贿赂均以金钱或者任何金钱等价物为核心管控要素。
合规管理体系对核心要素的运用,需从风险梳理和流程嵌入两个维度来着手。在风险梳理环节,企业需要进行大量的业务访谈与调研、查阅整理现有流程制度、查看现有IT系统数据,在这个过程中可在问卷设计、人员访谈、流程制度与IT数据的调阅时提取核心要素,将复杂问题复杂场景简单化。例如对于金融机构和科技企业来说,经济制裁风险往往要与出口管制风险放在一起考量,因此,在对业务单位和人员进行访谈时,其问卷设计可围绕交易/合作主体、美元结算、特定行业、特定国家、产品、最终用途这些核心要素进行提问。
在流程嵌入环节,企业需要提炼核心要素,并对业务流程进行分级分类管控。如在销售领域做出口管制合规嵌入时,业务流程有商机、客户、授权、合同、发货等不同阶段,企业可从产品、国家、最终用户、最终用途四个要素,对这几个阶段进行分级管控。如在寻找商机或者开发客户阶段,因为缺乏具体产品信息、最终用途信息、产品发往国家信息等而导致合规部门无法给出是否可以进行交易的最终判断,此时企业可在商机客户阶段进行用户扫描和打标签,将客户/潜在客户进行风险分类,并注上不同风险等级标签;而在投标或者合同阶段,企业因为获得了产品、最终用途、最终用户、目的国等信息,则可以结合商机/客户阶段的标签来进行系统管控,决定合规部门具体参与的业务场景和业务环节;在发货阶段,企业也会存在核心要素变化情况,企业也需要进行一定合规管控。再比如在做个人隐私与数据保护合规的流程嵌入时,企业也需抓住各部门业务活动产生的数据,并进行标签分类,然后根据标签分类确定不同数据,结合不同数据保护法规、个人数据保护法规、网络安全法规等政策要求,进行数据的流转、存储、使用等管控的嵌入。
推动顶层设计一体化、落地执行本地化
合规是指经营活动与法律、规则和准则相一致。合规的概念外延很大,广义的“规”包括:法律法规、行业准则、企业内部的规章制度乃至社会道德要求。企业在全球化经营过程中尤其要考虑国际监管形势、法律法规和特定地区的宗教风俗。在确立管理制度方面,要考虑多地区监管法规的统一性与特殊性问题。如,在出口管制合规方面,中国、美国、欧盟、日本等都有相关规定;在经济制裁方面,除了美国等各国自身规定外,联合国和世界银行等机构也有相关规定。对于企业来说,将具有类似性质的监管法规在每个业务开展国家/地区都独立建立一套完整的制度并不现实。较可取的方式是根据地方分支机构面临的风险状况,选择一部最严的法律作为总部基准;或从相关法律中寻找各个监管法规的共性以建立总部制度,在具体制度一线落地之际,涉及到不同国家和地区的规定时,再采用当地特殊性要求进行管理。
组织架构与跨境管理兼顾全球化与本地化
在全球化合规体系组织架构搭建方面,企业要考虑中国总部与海外本地信息渠道“上传下达”的畅通,保证一线风险及时上升至总部、总部要求能够快速落地到一线。在设置总部专职部门与海外业务部门专职岗位时,需明确职责,强化总部合规部门对海外专职或兼职合规人员的考核权限;对于海外分子公司的合规建设管理需结合分子公司情况与当地国业务风险进行具体设计。若海外公司是分公司,母公司需承担100%的合规监管责任,总部可以将其视为一个部门进行管理。如果海外公司是子公司,则可能需要结合当地某合规领域风险状况以子公司法人的模式来考虑合规建设。美国财政部海外资产管理办公室规定,如果一个主体被制裁,其控制的股权超过50%的主体即自动被制裁。而美国商务部工业安全局出口管制相关指引和实践表示,母公司被制裁,子公司不一定被制裁,除非母公司是子公司的壳公司或者代理机构。基于类似监管规定或者执法实践的共识存在,企业在海外开展业务时在考量究竟是设立子公司还是分公司时,也可以基于当地合规监管形势和监管要求做出安排,在符合相关可适用法律法规前提下可将母子公司的风险进行区分隔离。
以文化建设全方位推动合规体系有效性
从当前合规执法实践来看,有效的合规管理体系是监管机构对企业进行处罚时考虑是否减轻或者免除处罚的重要因素。几乎所有与被制裁企业的和解协议中,都附带有要求企业加强合规管理体系建设的条件。此外,监管机构在与企业达成和解的过程中,往往并不与个人达成和解,即对造成企业违规的个人采取继续追责处罚的措施。因此,中企全球化合规管理体系建设须从形式合规转向实质合规,方能发挥作用。
所谓实质性合规,是指合规管理体系八要素在企业有效落地,企业需从高层重视、合规培训、合规审计等角度塑造其合规文化。高管要主动参加合规培训,带头遵守公司合规要求,签署合规承诺,要在自己分管的领域强化合规要求;合规部门也需要通过分级分类式的培训、宣传引导等方式将合规理念和知识传递至企业的各级人员和业务领域,通过开展合规审计、建立对员工的合规考核奖惩机制,以保证合规管理执行的有效性。当然,保证合规主导部门工作的独立性、合规工作资源得到足够投入,在全公司努力下,人人配合合规工作、人人遵从合规工作程序及要求也是企业合规文化建设的重要部分,更是监管机构审视企业合规有效性的重点。这是当前部分中企在海外运营中可能忽视的地方。需要注意的是,合规管理制度建设得再完善,也都很难保证公司不发生违规行为,人员不遵守合规要求依然有可能带来企业的违规风险,企业构建有效合规管理体系的一个重要作用,就是将组织责任与个人责任相区分,一旦发生违规行为,如果监管机构认可企业合规体系的有效性,就可以仅处理违规人员。
在多重规则遵循中找到平衡点
企业全球化要遵守业务所在国的法律法规,但在具体实践中可能存在不同国家对同一类型法律关系有不同规定的情况。对此,中资企业要综合考虑监管规则、执法动态、企业业务与风险情况,综合确定一套有效的规则竞合处理方式。企业合规部门可从多个维度着手,一是紧紧抓住与自身公司业务紧密联系的全球监管动态,如对既定规则的深度研究、对不同规则的对比分析、对监管机构过往执法案例的多维度归纳总结、对监管机构未来动向的持续追踪等,可在合规部门内部形成强大的信息储备,提早研判与预期未来动向;二是紧抓公司战略发展方向、全球市场布局、核心产品开发、客户策略、供应链分布及态势,从而将对多重合规规则的研究与公司核心业务紧密结合,既从战略上为公司最高层提供多重规则竞合下全球化业务布局与安排的有效参考意见,也可在具体合规事宜上做好准备,保证企业在进行相关制度设计和合规管控举措实施时取得平衡。如上文提到针对国际合同签订中考虑增加竞合应对的条款,针对业务执行中可吸收合并的规则吸收合并,并以最严规则执行,对不同国家的业务若规则竞合则考虑采取分级分类与本地化业务经营模式。在极端情况下,企业若无法取得平衡,可通过咨询主管机关来解决,如果风险超过收益,企业则可能要考虑放弃部分地区的业务。
以品牌思维构筑全球产业链合规生态
我国企业在“走出去”的过程中面临跨文化挑战,而跨文化最难解决的就是沟通和信任问题。如何向国外监管机构乃至上下游合作伙伴证明自身合规并且是长期持续合规?以品牌思维来运营和展现企业的全球化合规体系建设、加大符合国际标准的合规文化展示与宣传才是正确的砝码。
以品牌思维来打造全球化合规管理体系,需要企业在以国际认可标准打造企业合规体系的基础上,积极开展合规品牌建设工作。首先,要加大与供应商、客户、代理机构、银行等上下游合作伙伴的合规互动,加大与全球合作伙伴在合规规则理解、合规体系建设成果、合规落地困难交流、合规资源共享等方面的沟通与协助;其次,企业需要重视面向社会大众的合规工作宣传,可通过参与或举办业界合规论坛来扩大公司的合规建设知名度,也可以通过发布企业合规白皮书、企业合规宣传片等多种方式向社会大众呈现企业合规建设成果;再者,企业可在扎实推进合规工作的基础上,结合不同国家文化特点,与监管机构进行良性对话与互动。以品牌思维构建与上下游合作伙伴、社会大众、监管机构的良性合规互动,可进一步塑造企业诚信、真实、透明的合规形象,这将反作用于企业的业务安全与商业机会,推动中企在全球化的发展中更好地解决跨文化、跨规则系列问题,并最终行稳致远。
作者系浪潮电子信息产业股份有限公司首席合规官、合规部总经理
