企业合规管理体系建设的两种模式
内容摘要:目前,在企业合规管理体系建设的理念和路径选择上,我国初步形成了管理导向型合规模式与风险导向型合规模式。前者以企业遵从规则为目标,以合规义务梳理为基础,根据企业业务范围和行业特点来识别重点合规风险领域,强调建设全方位、全环节和全流程的全面合规体系。后者则以风险控制为目标,以系统性合规风险识别和评估为基础,以建设专项合规管理体系为手段,重视建设一种有效防范、监控和应对合规风险的内部控制体系。相比之下,管理导向型合规模式的适用,有助于企业基础性合规管理平台的建设,但存在合规体系建设分散化、碎片化和形式化的问题,难以达到有效防控重大违法违规风险的效果。而风险导向型合规模式的实施,则更有助于引入专门性合规管理要素,有针对性地识别企业系统性合规风险,发现企业出现违法违规行为的内生性结构原因,进行有针对性的制度纠错,并引入一种嵌入业务流程之中、有效消除制度隐患、避免违规事件发生的风险控制体系。
关键词:自主性合规 合规整改 管理导向型合规模式 风险导向型合规模式
一、引言
一般而言,根据企业建立合规体系的时机不同,我们可以将合规管理区分为“日常性合规体系建设”与“危机发生后的合规整改”这两种类型。①前者又称为“自主性合规”或“事先合规”,是企业为控制可能发生的违法违规风险,为实现依法遵规地开展经营活动,所建立的一种带有预防性的合规管理体系。后者一般又称为“事后合规”,是企业在发生违法违规事件之后,在面临行政执法调查、刑事追诉乃至国际组织制裁的情况下,为争取较为宽大的处理,避免企业陷入灾难性境地,所建立的一种带有应对性的合规管理体系。通常情况下,在日常性合规体系建设过程中,企业往往没有面临较为具体、急迫的合规风险,因此倾向于建立“大而全”的合规管理体系。而在危机发生后的合规整改过程中,涉案企业基于避免重大损失和不利后果的现实考量,一般会针对所涉案的违法、违规或犯罪类型,进行有针对性的制度修复,建立一种专门性的合规管理体系。②在上述两种并驾齐驱的合规管理体系建设过程中,存在着两种具有较大差异的合规管理模式。其中,企业为开展日常性合规体系建设所建立的合规管理方式,属于一种“管理导向型”合规模式。而企业在危机发生的合规整改过程中所进行的合规建设方式,则被视为一种“风险导向型”合规模式。前一种模式在国有企业的合规体系建设中得到了普遍的遵循。目前,我国国有企业在借鉴一些国际组织合规规范文件的基础上,在行政监管部门的指导下,普遍开展合规管理体系建设活动。这种合规管理遵循了一种“全面合规”的理念,强调实现“企业依法依规经营”,先通过梳理国家法律、法规、政策、国际法律文件、企业规章制度乃至行业管理、职业伦理等规范,来确定企业的“合规义务”,再来识别和评估企业的重点合规领域,并据此建立一种全方位、全业务环节和全流程的合规管理体系。
后一种模式则属于涉案企业在各种合规整改中所采纳的合规管理方式。我国监管部门、司法机关在查处涉嫌违法违规的涉案企业时,通常会责令其所建立专项合规计划,这种合规管理遵循了“以风险为导向”的理念,强调针对企业所涉嫌实施的违法或犯罪类型,以有效预防相同或相似违法犯罪行为再次发生为目标,在调查犯罪原因的基础上,进行有针对性的制度纠错,然后再引进一种专门性的合规计划。
中兴通讯公司的首席法务官申楠就曾对这两种合规思路作出过非常形象的评析。在他看来,中兴公司在合规建设初期,形成了“以管理为导向”的合规体系建设思路,从合规文化建设、合规资源投入、流程制度建设和专业能力提升四个维度,建立了自上而下的合规管理体系。但是,随着合规治理进入“深水区”,这种“不分场景的僵化遵从规则”思路暴露出越来越多的问题。企业将对合规风险的关注逐渐前移,形成了“以风险为导向”的合规管理体系。上述两种合规思路的最大差异是,前者强调的是“抽象性合规风险”,也就是宏观的、概括的、潜在的发生违法违规的可能性。而后者则重视“具象性合规风险”,亦即微观的、纯粹的和现实的发生违法违规的可能性。③
基于上述认识,中兴公司最终将合规管理体系建设集中在三个领域:出口管制、反商业贿赂和数据保护,并据此建立了三种专项合规管理体系:出口管制合规计划、反商业贿赂合规计划和数据保护合规计划。④中兴公司建立合规管理体系的经验,并不是一种个别化和特殊化的经验,而具有普遍的推广价值。在中兴通讯公司发生违规事件之前,德国西门子公司就曾因涉嫌实施巨额海外商业贿赂而受到德国检察机关和美国司法机关、监管部门的调查。在美国司法部和证交会的监督考察下,在第三方监管人的监督指导下,经过为期数年的合规整改,西门子进行有针对性的制度修复,不仅建立了专门的“反商业贿赂合规管理体系”,而且还经过进一步的合规风险识别和评估,主动建立了反垄断合规计划、数据保护合规计划以及反洗钱合规计划。⑤
通过研究相关的合规管理体系建设案例,我们可以发现,“管理导向型合规模式”与“风险导向型合规模式”普遍存在于各类企业建立合规管理体系的经验中。后一模式在涉案企业合规整改案件中固然是一种较为成功的合规管理方式,但对于那些开展自主性合规管理的企业而言,实行管理导向合规模式,也并不是唯一的选择,而完全可以从有效合规风险控制的角度,采取那种以风险为导向的合规管理模式。换言之,无论是在合规整改案件中,还是在自主性合规体系建设过程中,管理导向型合规模式都具有无法克服的缺陷,而风险导向型合规模式则具有不可替代的制度优势。我们应认识到,涉案企业在合规整改案件中所实施的风险导向型合规模式,只要经过必要的改造和嫁接,完全可以成为企业自主性合规的制度样板。
有鉴于此,本文拟对企业合规管理的上述两种模式作出初步的研究。笔者将从合规目标、合规管理基础、合规风险定位和合规管理方式等方面,对管理导向型合规模式和风险导向型合规模式分别作出简要分析,总结两种模式的价值取向、基本构成要素和制度特征,然后从制度合理性和实施效果的角度,对着两种模式的优劣得失作出综合评价。本文并不对未来各种模式得出“孰优孰劣”的结论,但会提醒那些建立或者改进合规管理体系的企业,在选择合规管理模式方面,可以有更多的选择空间。
二、管理导向型合规模式
所谓“管理导向型合规模式”,是一种以全面遵从规则为目标的合规管理模式。为实现“遵从规则”的目标,企业需要将国家发布的强制性法律规则以及企业所做出的合规承诺转化为内部管理要求,全面梳理“合规义务”,并根据企业的业务范围确定合规风险,在对重点合规风险作出有效防控的前提下,防止企业发生其他方面的合规风险。在此基础上,企业需要建立和实施一套覆盖全部业务、全部人员、全部环节和全部流程的全面合规管理体系。这种以管理为导向的合规模式,通常被确立在一些国际合规文件之中,被我国行政监管部门奉为有效合规管理的制度保证,并被大规模地推广到众多国有企业的合规建设之中。尤其是那些没有接受过欧美国家监管部门、司法机关或国际组织制裁的中国企业,为应对国内行政机关的合规监管,更愿意接受这种合规管理模式。
(一)以“遵从规则”为目标
“企业合规”的英文表述是Corporate Compliance 。从字面意义上看,企业合规具有“企业遵守或遵从规则”的意思。管理导向型合规模式,坚持了企业合规的这种最初含义,将企业合规定位为企业对规则的遵从。这些需要遵从的规则大体可分为两种:一是国家发布的强制性法律规则,二是企业自愿作出的合规承诺。为确保这些来自外部的要求和内部的承诺得到有效的遵从,企业需要建立一套专门的管理体系,也就是一种以组织体系、制度体系、运行机制、文化建设为支柱的合规管理体系。实质上,企业合规管理有两个构成要素:
一是确定所要遵守的“规”,二是确定对“规”进行“合”的方式方法。其中,企业在生产经营中所要遵守或遵从的“规”,就是合规义务,也就是由各种法律法规所转化而来的规范或要求。而所谓“合”,则是将各种合规义务转化为企业内部的管理要求。
国家标准化组织(ISO )发布的《合规管理体系:要求及使用指南》( 37301 )(以下简称为“ ISO37301合规指南”)将合规界定为“履行组织的全部合规义务”。所谓合规义务,是指“组织必须遵守的要求,以及组织自愿选择遵守的要求”。合规义务的确定,被视为企业建立合规管理体系的基础。不合规,就是企业“不履行合规义务”。而所谓“合规管理体系”,则是指一个为“实现预期合规结果”,将各种合规的“基本结构、方针、流程和程序”加以整合的制度框架,这种管理的目的在于“采取行动防止、发现和应对不合规行为”。
国务院国资委2022年发布的《中央企业合规管理办法》,代表了我国行政监管部门对企业合规的权威认
识。该办法基本接受了ISO 文件对合规的定义,将合规界定为企业遵守相关合规义务,也就是“企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求”。该办法认为,合规管理是指企业“以有效防控合规风险为目的,以提升依法依规经营管理水平能够为导向,以企业经营管理行为和员工履职行为为对象”,通过建立合规制度、完善运行机制、培育合规文化、强化监督问责所开展的有组织、有计划的管理活动。
在一些研究者看来,企业合规不是一般意义上的“遵规守法”,而是一个企业自愿地把外部监管要求转化为企业内部的管理活动,在这个转化过程中,企业全员参加,进行全流程的、各个环节的合规控制,是一个常态化、可持续的过程。作为一种管理活动,合规与合法具有实质性的差异,“合法的事情不一定合规”。合法是企业经营行为所要遵循的最低规范,而合规则向企业提出了更高的要求,尤其是超出法律规定的伦理和道德要求。⑥企业建立合规管理体系的初级目标在于防范合规风险,但长期目标则在建立一种依法依规经营的文化。企业合规管理的长期目标,是从“被动合规”走向“主动合规”,从“要我合规”变成“我要合规”,也就是在防范和化解合规风险的基础上,建立完善的合规管理体系,提升企业的软实力和商业竞争力,形成依法依规经营的企业文化,确保企业实现可持续发展的目标。⑦
(二)以合规义务梳理为前提
按照这种管理导向型合规模式,企业应将合规义务作为建立、发展、实施、评价、维护和改进其合规管理体系的基础。根据合规义务的约束力大小强弱,可以将合规义务分为强制性合规义务和选择性合规义务。
前者是企业必须遵守或遵从的规范和要求,不遵守这类合规义务,通常会受到相应的法律制裁,带来较为严重的合规风险。这种强制性义务通常包括法律法规,许可执照或其他形式的授权,监管部门发布的命令、规则或指南,法院的判决,条约、公约或议定书等提出的要求。后者则是业可以自愿选择遵守的合规义务,主要是企业包括与社区团体或非政府组织的协定;企业的方针和程序;企业自愿遵守的原则或行为守则;企业的自愿标识或环境承诺;企业基于其合同安排所产生的义务;相关组织和行业标准,等等。这些选择性合规义务,大都属于企业就遵守特定内部守则、行业规则、合同规定所作的承诺。遵守这些合规义务,可以提升企业的合规管理水平,最大限度地防控可能的合规风险。在合规义务范围的确定上,一些合规研究者遵循了上述思路,甚至走得更远,还将大量伦理道德规范纳入合规义务的范围。按照这种看法,合规义务来自企业外部的“合规监管要求”和企业自身的“合规承诺”,前者是企业要“强制遵守”的合规要求,后者则是企业“自愿选择遵守”的合规要求。据此,企业所要遵守的“规”或“合规义务”可以包括三种形态:一是所谓“外规”,也就是企业应遵守所在国的法律法规和监管规定;二是所谓“内规”,亦即企业内部规章制度;三是所谓“德规”,是指企业的诚信道德规范。⑧
企业应从哪里获取法律和其他合规义务的信息呢?通常情况下,企业应建立并维护独立的文件记录,以便列出全部合规义务,并建立定期更新文件的程序。为保证所列出的合规义务跟上法律法规的最新变化,企业应通过以下途径及时更新合规义务:收取监管部门的公示信息;获得专业团体的成员资格;参加行业论坛和研讨会;跟踪监管部门的网站;关注监管部门约谈的信息;接受法律顾问的建议;研究监管部门的声明或法院的判决,等等。
我国很多国有企业在监管部门的指导下,就将建立“合规义务库”作为开展合规管理的第一步。按照这一方式,合规义务被视为“企业衡量自身生产经营行为准确性的尺度”,可以用来“度量出行为过程中可能出现的合规偏差”,合规义务库的搭建,就是进行合规义务的梳理,是企业合规管理的基础性工作,需要合规管理人员对“国内法律体系、境外法律体系、强制性标准、企业伦理道德以及企业内部以章程为核心的规章制度体系等方面的系统熟悉和掌握”。为保证合规义务库建设的有效性,企业应采取“以风险为基础的方法”,也就是遵循帕累托法则,优先梳理那些确定的和与自身业务最为相关的合规义务,然后将重点扩展到其他合规义务上面。例如,对于生产加工类企业,应重点关注安全生产、劳动保护、环境保护等相关合规义务;对于销售服务类企业,应重点了解反垄断、反商业贿赂等合规义务;对于技术研发类企业,则要加强商业秘密保护、商标、专利等知识产权方面的合规义务。⑨
(三)泛化的合规风险
所谓合规风险,是指企业在生产经营过程中因为违反合规义务所遭受的不利后果。管理导向型合规模式尽管强调确定合规义务是建立合规管理的前提,但也高度重视合规风险,甚至倡导“以风险为基础”的合规管理方法。但是,这里所说的合规风险,主要是什么呢?根据“ISO37301 合规指南”的要求,合规风险是指企业“因不符合组织合规义务而发生不合规的可能性及其后果”。合规风险可分为“固有合规风险”和“残余合规风险”,前者是指传统的“不合规的后果”,也就是企业未采取相应合规风险处理措施所面临的全部合规风险;后者则是指“无效合规的后果”,也就是企业现有合规风险处理措施无法发挥有效控制作用所带来的风险。无论是何种合规风险,都会给企业带来各种不利的后果,包括企业承担民事责任、行政责任、刑事责任或者受到其他经济损失、名誉损害等不利后果。
以管理为导向的合规模式,坚持了这种泛化的“合规风险”概念,将这种风险定位为两个方面:一是内部违法违规的可能性;二是因为违法违规可能受到的各种外部处罚、制裁和损失。前者可称为一种“内部风险”,企业发生行政违法、刑事犯罪、民事不法乃至违反行业伦理、社会道德的事件,无论是企业自身存在不合规行为,还是企业员工发生了违法违规行为,都被视为爆发了“合规风险”。而后者则被视为一种“外部风险”,主要是指企业因为上述违法违规或者犯罪行为,所受到的行政处罚、刑事制裁、民事追究乃至经济损失、声誉损失乃至可能的社会负面评价等。换言之,这种外部风险泛指一切因违法违规所带来的处罚、制裁、损失、负面评价等不利后果。
企业建立合规管理体系的关键步骤,在于通过合规风险识别和风险评估,来确定重点合规风险领域,并据此确定专项合规计划的范围。合规风险识别包括合规风险源的识别和合规风险等级的定义。企业应定期识别合规风险来源,并定义每个合规风险源所对应的合规风险等级,以制定合规风险清单和合规风险等级清单。在此基础上,企业应定期进行合规风险评估,尤其是在从事新的产品、业务或服务,企业组织架构或战略发生变化,外部环境发生变化,合规义务发生改变,发生并购,或者发生不合规事件时,应当重新评估合规风险。
很多企业也坚持“以风险为基础”的评估方法,将主要精力和有限资源集中到高风险的经营领域上,然后再扩展到全部合规风险上面。但是,这些企业并没有区分“抽象的合规风险”和“具象的合规风险”,也不区分那些“潜在的合规风险”与“迫在眉睫的合规风险”,动辄根据发生违法违规的可能性,不考虑企业的合规资源,确定若干个甚至十余个“重点合规风险领域”,并据此建立多个或者十余个专项合规计划。
我国国务院国资委2018年曾发布过《中央企业合规管理指引(试行)》,将重点合规领域确定为七大领域,包括市场交易、安全环保、产品质量、劳动用工、财政税收、知识产权、商业伙伴等方面,并对其中每个领域列举了三到五项合规风险,如在市场交易领域,常见的合规风险有反商业贿赂、反垄断、反不正当竞争、资产交易、招投标等方面的风险,在安全环保领域,则存在安全生产、环境资源保护等方面的风险。其实,这种对常见重点合规风险领域的列举,属于抽象性文件对企业可能发生的合规风险的标注,属于企业在合规风险识别中应重点关注的领域,但这并不意味着每个企业都要按照国资委的要求,将所列举的全部合规风险都作为本企业的“重点合规风险领域”,更不意味着企业应不加区别地据此建立相应的专项合规计划。毕竟,根据企业合规的“相称性”或“成比例”原则,任何企业建立合规管理体系,都应考虑企业的规模、行业、产品、风险等因素,建立与这些因素相适应的合规计划。无论是在合规风险领域的确定方面,还是在专项合规计划的选择上,企业都应采取差异化和有针对性的合规管理,这是企业建立有效合规管理体系的重要前提。
但是,很多国有企业为应对行政部门的监管要求,却采取了以管理为导向的合规管理模式,在梳理各类合规义务的基础上,考虑其行业特点和业务范围,进行全面合规风险识别工作,将那些可能出现违法违规行为的领域,列为企业的“重点合规领域”。按照这一思路,很多企业动辄识别出十余种甚至数十种“合规风险”,并建立旨在防控相关“重点合规风险”的合规管理体系。有些企业甚至明确将“淡化专项合规”“强化全面合规”奉为合规体系建设的重要理念。例如,中国五矿集团根据自身经营发展情况,确定了合规管理的八大重点领域,包括公司治理、反商业贿赂、经济制裁与出口管制、反垄断、知识产权与商业秘密保护、数据与隐私保护、商业伙伴管理、安全生产与环境资源保护。
又如,中国石化发布的《诚信合规行为准则》,确定了多达十六项重点合规领域,包括公司治理和经营、安全管理、环保、员工健康、公共安全、反商业贿赂和反腐败、消费者权益保护、反垄断和不正当竞争、财税管理、资产管理、社会责任、员工权益、知识产权保护、数据信息保护、国际贸易和投资、商业伙伴等领域。
再如,作为中国规模最大的国有企业之一,招商局集团所发布的《合规手册》,确立了十三项重点合规领域,并据此确定了相应的合规义务,包括劳动用工、税收、反垄断、反不正当竞争、反商业贿赂、反洗钱、出口管制、商业伙伴、公司信息披露、安全生产、环境保护、产品质量、数据保护和信息安全等方面。
(四)全面合规
在全面梳理合规义务和全面识别合规风险的基础上,企业应建立一种大而全的合规管理体系,这就是一种“全面合规”的理念。按照这种管理导向型的合规模式,全面合规是企业从防范各类合规风险和应对各种合规事件出发,建立多专业、多领域、多级次的合规管理体系。很多企业直接将全面合规与“全面风险管理”划等号,认为合规管理应当覆盖企业的所有业务,各部门、各分支机构、各层级子公司和全体工作人员,贯穿决策、执行、监督、反溃等各个环节。还有人认为,超大型企业集团尤其需要建立全面合规管理体系,因为这类企业通常集生产、研发、贸易、金融于一体,要面对各领域、各专业和全世界各司法辖区的合规风险,势必要求建立全面合规管理体系,也就是建立全方位和专业化的合规管理体系。按照全面合规的理念,企业应当将实现全面“依法依规经营”作为合规管理的目标,对于发生在企业内部的所有合规风险都作为防控的对象,并根据企业的规模、业务范围、行业特征和风险识别结果,建立足以防范所有违法违规事件发生的合规管理体系。相对于那种针对特定领域合规风险所建立的“专项合规”而言,全面合规有助于实现全面的合规风险防控。在一些研究者看来,从“专项合规”走向“全面合规”,是企业合规管理体系发展和完善的必然选择。
合规是一个系统的管理提升活动和全面的文化建设过程,唯有从专项合规走向全面合规,才能建立有效的合规管理体系。按照全面合规的理念,企业合规应贯彻“全覆盖原则”。根据这一原则,企业应将合规要求覆盖各业务领域、各部门、各级子公司、各分支机构以及全体员工,贯穿决策、执行、监督等全部流程。贯彻这一原则,一方面有助于实现“全面依法依规经营”的目标,在各个业务、各个环节和各个流程上履行合规义务,另一方面也有利于防范各种违法违规事件的发生,确保企业在避免重点合规风险爆发的基础上,实现所有合规风险的零发生。
与全面合规相对应的是,一些企业提出了“全员合规”的概念,强调企业合规管理绝不仅仅是法务或合规部门的事情,需要在高层重视的前提下,建立合规风险控制的三道防线:一是所有所有员工都要承担合规风险控制的责任;二是专业法务和合规人员进行合规管理;三是由审计或其他监察部门根据合规风险线索进行整改,采取补救和改进措施。但是,要指望全体员工都从事专业的合规管理,这也是不切实际的。所谓全员合规,其核心仅仅在于强调全体员工都有义务遵守企业的规章制度,遵从企业的合规流程和标准。
在全面合规理念的指导下,企业需要建立“全面的合规管理体系”。这种管理体系整合了有关合规管理的基本结构、方针、流程和程序,以防止、发现和应对不合规行为为目标,将一系列管理要素纳入其中,逐渐形成了一种具备最低标准的管理框架。根据“ISO37301 合规指南”的列举,全面的合规管理体系大体可分为以下基本要素:合规治理机构和最高管理层;合规策划体系;合规资源投入体系;合规运行体系;合规绩效评价体系。其中,企业经常强调的合规文化、合规培训、合规承诺、合规举报、合规审计等管理要素,都被分别归入上述各分支管理体系之中。
我国行政监管部门对于全面合规管理体系的内容作出了多种解释,且随着对国有企业合规实践经验的总结,形成了越来越明确的制度框架。这种管理体系大体上有四个要素构成:一是合规领导和组织架构,包括董事会、经理层、合规委员会、首席合规官、合规管理部门以及三级风险防控体系;二是合规管理基本制度,也就是针对若干重点合规领域所要建立的专项合规指南;三是合规运行机制,包括合规风险识别评估预警机制、合规审查、合规报告、违规问题整改机制、违规举报机制、违规追责问责机制、合规有效性评价、合规考核评机制等;四是合规文化建设,包括合规培训、合规宣传教育、员工手册、合规承诺等。
三、风险导向型合规模式
在上述管理导向型合规模式之外,我国企业合规实践中还存在着另一种合规管理模式。这种合规模式最初出现在涉案企业所进行的“合规整改”实践之中,后来被越来越多具有“危机意识”的企业所接受,成为企业在日常性管理中所采用的合规管理模式。按照这种模式,企业合规被视为一种以“合规风险防控”为目标的公司治理活动,那些迫在眉睫的合规风险的存在、威胁和爆发,是企业建立合规管理体系的重要原因。而有效防控这些现实的合规风险,则是企业进行合规管理的基本目标。在对合规风险的界定上,这种模式不再接受那种“泛化的违法违规可能性”的概念,而主要根据企业因违法违规所遭受的各种处罚和附随后果,限定为行政合规风险、刑事合规风险和国家金融合规风险。由于这种合规风险是具体的、明确的和领域化的,因此,企业基于有效防范合规风险的考量,通常会选择建立针对具体风险领域的若干专项合规计划,并将合规管理的重心集中在相关合规风险的防范、监控和应对上面。在合规管理实践中,越是那些接受过行政处罚、刑事追究或国际金融制裁的企业,越倾向于接受这种风险导向型合规模式。这些企业不仅在合规整改中针对所爆发的具体合规风险,基于争取宽大处理的现实考量,引入了专项合规计划,而且在合规整改完成后,还会按照这种以风险为导向的合规管理思路,以现有的基础性合规管理制度为平台,适度扩大专项合规计划的范围,但通常不会建立那种“大而全”的合规管理体系。
(一)以“风险防控”为目标
最早的风险导向型合规模式,就出现在这种涉案企业合规整改的案例之中。在违法违规事件发生后,尤其是在接受行政机关部门、司法机关或国际金融机构的调查过程中,涉案企业所面对的不是“受到处罚的可能性”,而是如何将惩罚或损失降低到最低限度的现实难题,而通过专门整改建立合规管理体系,则是减少损失的必由之路。
例如,在西门子案件中,作为涉嫌商业贿赂犯罪企业的西门子,通过与美国司法部和证监会达成和解协议,进行为期数年的合规整改,针对企业长期面临的商业贿赂合规风险,建立了反商业贿赂合规管理体系。又如,在中兴公司案件中,中兴通讯公司通过与美国司法机关和行政监管部门分别达成和解协议,针对其在出口管制方面所面临的合规风险,建立了出口管制合规计划。
再如,在湖南建工集团案件中,湖南建工集团在受到世界银行处罚后,与其达成和解协议,针对企业曾经实施过的商业欺诈行为,进行合规风险评估,最终建立了有针对性的诚信合规管理体系。我国最高人民检察院自2010年开始进行涉案企业合规监督考察改革的试点,经过三年时间的探索,逐步将这一改革试点推向全国各地和各级检察机关。在最初的改革试点中,一些地方检察机关曾接受了那种管理导向型合规思路,针对涉嫌某一罪名的企业,根据合规风险评估的结果,动辄责令其建立多达三至五项的合规计划,甚至要求其建立大而全的合规管理体系。但是,由于检察机关设定的考察期极其短暂,涉案企业投入的合规资源十分有限,这种改革尝试逐渐被证明是不成功的。最终,最高人民检察院接受了一种新的合规整改思路,也就是“涉案企业针对与涉嫌犯罪有密切关系的合规风险,制定专项合规整改计划”,将合规整改的目标设定为“有效防止再次发生相同或者类似的违法犯罪行为”。
这种以风险为导向的合规模式,是否仅存在于涉案企业合规整改案件之中呢?答案是否定的。一些企业在经过了合规整改验收评估,并获得监管部门、司法机关宽大处理之后,仍然接受了这种风险导向型合规
管理模式,通过开展有效的合规风险识别和评估,发现了危及企业生存的重大合规风险,并据此增加设立了若干专门合规计划。西门子公司在建立反商业贿赂合规体系之后,经过反复进行风险识别,将垄断、数据保护和洗钱作为三项新的重点合规领域,并据此建立了反垄断、数据保护和反洗钱等专项合规计划。中兴公司在建立出口管制合规计划之后,经过深入细致的风险评估,将商业贿赂和数据保护作为企业新的重点合规风险领域,并据此建立了反商业贿赂合规管理体系和数据保护合规管理体系。根据公认的研究结果,西门子公司和中兴公司以风险为导向所建立的合规管理体系,是成功和有效的。这显然说明,即便在企业开展自主性合规体系建设的情况下,风险导向型合规模式仍然可以成为企业建立有效合规管理体系的必要选择。
与管理导向型合规模式不同,风险导向型合规模式不将企业合规仅仅定位为“遵从规则”或“依法依规经营”,而是将其视为一种“以有效防控合规风险为目的”的公司治理活动。企业在经营过程中通常会面临不计其数的风险,也就是“遭遇损失或不利后果的可能性”,但其中有四种风险属于企业的“战略风险”,也就是足以使企业面临灾难性后果的重大风险:一是决策风险,就是企业在战略方向的选择上出现重大失误所带来的风险;二是经营风险,是指企业在业务开展和经营管理上出现错误导致无法实现可持续盈利甚至出现资不抵债的可能性;三是财务风险,亦即企业因财务管理失控导致出现财务舞弊、贪渎等情况而使企业遭受的损失;四是合规风险,是指企业因为违法违规而遭受惩罚、制裁并面临被剥夺经营资格等重大不利后果。在风险导向型合规管理模式下,企业所要防控的合规风险,属于与决策风险、经营风险和财务风险相提并论的战略风险。这种战略风险通常有行政处罚风险、刑事追究风险和国际金融制裁风险等三种形式,但都具有“资格剥夺”这一附随性后果。至于那种因违法违规所带来的一般经济损失、声誉损失或其他更为轻缓的不利后果,则不被视为企业通过合规管理所要防控的“合规风险”。所谓“资格剥夺”,主要是指企业被取消或暂停各种市场准入资格,如被暂停经营资格、暂停特许经营权、被取消经营资格、被吊销经营许可证、被取消参与招投标资格、被取消贷款资格、被取消上市资格、被吊销营业执照,等等。正是为了防止企业受到这种由行政处罚、刑事追究或国际金融制裁所带来的“资格剥夺”后果,才使得合规风险成为企业的战略风险,也使得合规管理成为企业的一种战略管理活动,成为公司治理的又一重大课题。
(二)具像化的合规风险
按照管理导向型合规管理思路,企业应根据内部发生违法违规行为的可能性,来识别合规风险领域,发现其中的重点风险领域和其他风险领域。这种合规风险经常是抽象的、概括的和潜在的,也是企业根据其所从事的业务来发现和评估出来的。所谓全面合规管理,其实就是对企业可能面临的所有合规风险,进行全面的防范和控制。与此相反,根据以风险为导向的合规思路,企业不需要进行全部合规义务的梳理,更不需要对所有违法违规的可能性予以关注,而是运用科学方法,将那些现实的、具体的和紧迫的合规风险作为防范和控制的对象,本着“有针对性”和“有效性”的准则,解决那些迫在眉睫的合规风险,避免企业陷入灾难性境地。
按照风险导向型合规模式,企业不应动辄从事那种宽泛无边的合规义务梳理工作,而应将合规风险的识别和评估作为合规管理的基础工作。在合规风险的界定上,这种模式抛弃了那种泛化的合规风险概念,而主要集中在企业发生行政违法、刑事犯罪和违反国际金融规则等三个方面,将企业发生上述违法违规活动,并遭致相应的行政处罚、刑事追究和国际金融制裁以及由此带来的资格剥夺后果,作为三种主要合规风险。在合规风险的识别方面,企业应运用科学方法,经过调查、核实和遴选,找到若干个容易发生上述风险的专门领域。而在合规风险评估方面,企业需要在准确识别合规风险的前提下,对这些合规风险发生的概率和所产生的影响作出评估。
在合规风险识别方面,企业所要关注的是那些已经发生或者即将爆发的违法违规的可能性,也就是通常所说的“具象性合规风险”。当然,对这种具象性合规风险的识别,在合规整改和自主性合规中要采取不同的方法。在涉案企业合规整改过程中,企业已经发生了违法违规事件,要么发生了垄断、不正当竞争、侵犯网络数据安全、洗钱、商业贿赂等行政违法行为,要么发生了虚开增值税发票、销售假冒注册商标商品、污染环境、非法经营、单位行贿、串通投标、走私等犯罪行为,要么违反了世界银行或其他国际金融机构的行为准则。在这些案件中,企业根据其所实施的“违法违规行为”,就可以找到相应的合规风险。例如,对于违反国家反垄断法的行为,涉案企业就可以将垄断行为视为其首要合规风险领域;对于涉嫌实施污染环境犯罪的行为,涉案企业可以将损害环境资源行为视为其首要合规风险领域;对于在参加世界银行招投标项目的企业,一旦发生欺诈行为,就应将损害诚信行为视为其首要合规风险领域。
而在日常开展的自主性合规管理中,企业并没有发生上述违法违规事件,无法直接将所实施的违法违规类型列为首要合规风险领域。按照以风险为导向的合规思路,企业应通过一系列科学调查和监测方法,发现企业需要高度重视的具体合规风险。通常情况下,企业可以选取一定的经营时间段,调查其发生各种违法违规的事件,分析其发生各类诉讼的案件类型,找到其员工和高管被追究法律责任或受到纪律惩戒的档案记录,研究同类型企业发生违法违规事件的情况。通过上述调查和监测活动,企业可以发现若干种容易发生违法违规事件的专门领域。在此基础上,企业通过对各种合规风险的紧迫程度进行综合比较考量,再结合企业现有的规模、治理结构、行业特征、业务范围和管理文化,将合规风险的范围进行进一步缩小,找到那些“非解决不可”或“不解决就会爆发”的若干种合规风险。这种对合规风险的识别,既不是通过梳理合规义务而发现的,也不是仅仅根据企业业务情况而推导出来的,而是根据企业既往的经验教训,根据企业发生违法违规的最大可能性,而最终发现和识别出来的。
在确定了“具象性合规风险”之后,企业就需要对这些风险作出科学的评估。合规风险的评估通常可以从两个维度加以展开:一是确定合规风险发生的“概率”,即如果不采取任何合规管理措施,企业发生这种违法违规的情况具有多大程度的可能性?二是评估不合规可能带来的“影响”,也就是假如发生了上述违法违规行为,企业可能会受到哪些直接或间接的影响,会遭受哪些方面的损失?在实践中,有专业经验的合规人员通常按照10分制对合规风险发生的概率做出评分,并将不合规事件所造成的影响换算为特定的经济值或者相关区间。通常,企业通过将合规风险发生的概率与不合规的影响值加以相乘,就可以据此计算出每个已识别合规风险的风险等级。尤其是,企业要根据自查报告的结论,找到企业存在较高风险的经营岗位,如生产部门、销售部门、财务部门、污染物处理部门、招投标部门、进出口部门、客户、供应商、代理商、分销商等,发现具有较高风险等级的经营活动,分析造成合规风险的治理结构、商业模式和管理方式。经过对上述岗位、人员、活动和管理方式的风险等级的划定,确定最终的合规风险等级。通常情况下,那些与相关犯罪的发生具有较高关联性的经营部门、人员、岗位和管理模式,就属于较高等级的合规风险,也是需要重点开展合规整改的对象。
(三)专项合规管理体系
与管理导向型合规模式不同,风险导向型合规模式不注重建立所谓的“全面合规管理”,而强调推进专项合规管理体系的建设。所谓专项合规管理体系,又称为“专项合规计划”,是指企业经过合规风险识别和评估,在发现某一领域的合规风险的基础上,所建立的专门性合规管理体系。例如,西门子公司经过合规整改和自主合规体系建设,所建立的反商业贿赂合规计划、反垄断合规计划、反洗钱合规计划、数据保护合规计划,就属于这种专项合规计划。又如,中兴通讯公司经过合规整改和自主合规,已经建立了出口管制合规计划、反商业贿赂合规计划和数据保护合规计划,也属于这种专项合规计划。再如,阿里巴巴、美团、扬子江药业等企业在受到国家市场监管总局的行政处罚后,被责令在三年之内所进行的合规整改,就属于对“反垄断合规计划”的改进和完善。还有,最高人民检察院在推进涉案企业合规改革以来,对被纳入监督考察程序的涉案企业,所责令其建立的税收合规计划、环保合规计划、招投标合规计划、安全生产合规计划等,也属于专项合规计划。
有人对专项合规计划存在着一种误解,以为这种合规管理体系只是一种“小合规”或“阶段性合规”,只能解决某一领域或某一局部的合规风险,无法实现企业依法依规经营的合规管理目标。其实,从有效风险防控的角度来说,企业从具象性合规风险识别和评估出发,针对首要的合规风险领域,建立专门化的合规管理体系,这本身符合企业合规管理发展的规律。因为无论是企业的业务范围、行业特征、人员规模、资源支持,还是企业所面临的急迫合规风险,都决定了那种“全面合规”是不切实际的,而将专项合规计划作为合规管理的具体单元,既具有现实可行性,也是实现有效合规管理的基本保证。在一定程度上,没有专项合规计划,企业合规管理就没有明确具体的“规”,也无法开展卓有成效的“合”,企业合规就将成为一种空洞无物、不着边际和漫无目的的管理活动。
当然,建立专项合规计划并不意味着仅仅针对特定合规风险推动合规管理,而忽略其他领域的合规风险。专项合规的思路体现了一种现实主义和实效主义的管理理念,也就是在解决了某一领域的合规风险的基础上,经过持续不断的合规风险识别和评估,逐渐扩展专项合规管理的领域。西门子公司和中兴通讯公司,都是在通过合规整改建立某一专项合规计划的基础上,经过进一步的合规风险识别和评估,逐渐引入了若干项新的专项合规计划。未来,这两个公司根据合规风险发展的情况,还有可能建立其他新的专项合规计划。当然,这种专项合规计划的扩展是有限度的,主要受制于企业合规风险的持续识别和评估结果。无论如何,专项合规计划的设计,一定要围绕着那些危及企业生存和发展的结构性合规风险而展开。有什么样的重大合规风险,企业才需要建立与此相对应的专项合规计划。据此,我们动辄得出“从专项合规走向全面合规”的结论,就显得既没有事实依据和法理基础,也显得过于草率和武断了。
专项合规计划也不仅仅等于专门性的违法违规防控体系。这种专项合规计划要得到有效的实施,就需要同时具备两个基本要素:一是基础性合规管理平台;二是专门性合规管理要素。所谓基础性合规管理平台,类似于电脑的“操作系统”,既是一种保证合规管理体系正常运转的支柱性合规管理要素,也是专门性合规管理要素赖以发挥作用的基础。正是在这一基础性合规管理平台基础上,企业所建立的专项合规管理要素,才能建立起来并得到行之有效的运行。常见的基础性合规管理平台,可以包括企业的合规章程、合规领导机构、合规组织结构、合规风险防范体系(合规风险评估、尽职调查、合规培训、合规承诺、内部沟通和宣传)、合规风险监控体系(合规报告、合规举报、合规调查、合规审计)以及将合规风险应对体系(内部调查、违规惩戒、修复制度漏洞)等风险控制体系。这种基础性管理平台的建立,应遵循一些有效合规的基本原则,如相称性原则、高层承诺原则、有效合规原则、合规性审查优先原则、可持续性原则,等等。
在基础性合规管理平台的基础上,可以搭建专门性合规管理的制度要素。例如,企业假如要建立反商业贿赂合规计划或环保合规计划,就需要在一些合规管理体系中引入专门化的合规管理要素。例如,在合规政策或合规管理制度的制定上,应将有关反商业贿赂或环境资源保护的法律、法规、部门规章、内部规章制度等规范要求,转化为企业的专门化合规义务,使之成为专门化合规的准则、标准和流程。又如,在员工手册的制定上,企业应将有关反商业贿赂或环境资源保护方面的法律法规要求,转化为全体员工的禁止性或义务性规定,并确立违反这些规定的法律后果。再如,在合规培训、合规承诺和合规沟通等方面,企业不应对全体员工提出漫无边际的“合规要求”,而应针对反商业贿赂或环境资源保护法律法规的要求,进行有针对性的“反商业贿赂合规培训”或“环境资源保护合规培训”,责令员工和管理人员作出“反商业贿赂合规承诺”或“环境资源保护合规承诺”,在企业内部开展反商业贿赂或环境资源保护的合规文化转达。还有,在嵌入具体业务流程和业务管理环节方面,不同的专项合规管理会提出一些特殊的合规管理要求,反商业贿赂合规管理所注重的是企业业务部门在拓展业务、获得客户、销售产品、参与招投标、开展进出口业务等方面,应有效防控法律法规所禁止的行贿、受贿、介绍贿赂等腐败行为,而环境资源保护合规管理则更为强调在生产、废弃物处理等管理环节,避免排放法律法规所禁止排放的各种危险废物。
(四)以风险控制为核心的合规管理
管理导向型合规模式强调企业的全面合规管理,建立覆盖全方位、全环和全流程的合规管理体系,注重从合规领导、合规组织、合规运行、合规绩效评价、合规文化等方面推动企业依法依规经营。相比之下,风险导向型合规模式则强调合规风险的有效控制,也就是从特定合规风险的防范、监控和应对的角度,达到避免合规风险发生、监测合规风险的目标,并在违规事件爆发后,进行及时有效的制度修复和体系补救。在一定程度上,这种以风险为导向的合规模式,既追求合规风险的有效预防,也强调对所发生的合规风险的有效管理。我国检察机关在涉案企业合规监督考察制度的改革试点中,探索出了一种有效合规整改的经验。根据这种改革试点,对于那些涉嫌犯罪的企业,检察机关一旦将其纳入合规监督考察的程序,并设定考察期,指派由若干名合规监管人组成的第三方组织进行监督考察,就会则责令企业从三个角度开展合规整改工作:一是对企业发生犯罪的“内生性结构原因”展开调查,找到企业治理结构的缺陷、管理制度的漏洞、业务流程的隐患以及企业经营方式中的致罪因素;二是针对犯罪原因进行“制度纠错”,也就是采取有针对性的整改措施,消除这些导致犯罪发生的结构原因,包括改造企业治理结构、堵塞管理漏洞、消除业务流程的隐患,实现企业经营方式的“去犯罪化”;三是引入一种体系化的“专项合规计划”,针对特定的合规风险,建立合规领导机构和组织体系,搭建合规风险的防范体系、监控体系和应对体系。
在涉案企业合规考察结束之前,检察机关或第三方组织应从三个方面,对涉案企业的合规整改工作进行科学的考察评估:一是审查合规计划制定的有效性,也就是合规计划是否相对于犯罪原因具有针对性、必要性和可行性,合规计划是否有助于预防、监控和应对企业所存在的合规风险。二是核实合规计划执行的有效性,也就是企业所承诺的合规整改方案是否得到了落实和运行,包括合规领导和组织机构得到建立,对业务开展和产品立项等进行合规性审查,对第三方商业伙伴开展尽职调查,对员工和管理人员进行专门的合规培训,对违规员工开展合规调查和纪律惩戒,对合规体系漏洞进行持续改进,等等。三是合规计划结果的有效性,亦即在考察期之内,经过科学的访谈、抽查、模拟试验、飞行检查和穿透式审查,合规计划的运行是否达到有效预防违法犯罪行为再次发生的效果。
在司法机关的监督考察过程中,在第三方组织的监督指导下,涉案企业为实现有效的合规整改,遵循了一种“以风险控制为目标”的合规管理思路。那么,这种管理思路是否适用于企业自主性合规管理活动之中呢?答案是肯定的。根据西门子公司和中兴通讯公司的合规管理体系建设经验,企业在通过合规风险识别
和评估活动,确定了合规重点领域之后,就需要根据“有效风险控制”的需要,建立通用性合规管理平台,搭建各专项合规管理要素。
首先,企业即便在没有发生违法违规事件的情况下,也应通过合规风险识别和评估,发现自身治理结构的缺陷、管理漏洞、业务流程隐患以及经营模式的致罪因素。在涉案企业合规整改过程中,这种风险识别和评估活动通常发生在企业自查或内部调查环节。而在企业自主性合规管理过程中,这种风险识别和评估则可以发生在合规管理体系搭建之前的预备阶段。对于那些“没有涉案”的企业而言,即便没有面临受到行政处罚、刑事追究、国际金融制裁的现实危险,也应通过合规风险识别和评估活动,发现企业在治理机构、管理、业务流程和商业模式上存在的缺陷,这是防止纸面合规、实现有效合规管理的前提和基础。
其次,在发现治理结构缺陷、管理漏洞、业务流程隐患或商业模式问题的基础上,那些“不涉案”的企业也应当进行必要的制度纠错和体系修复,有针对性地消除缺陷和隐患,堵塞漏洞,解决问题。这既是涉案企业合规整改的成功经验,也是所有开展组织性合规的企业,实现有效合规管理的必由之路。在不作制度纠错和体系修复的情况下,贸然引入一种大而全的合规管理体系,注定会发生纸面合规、形式化合规乃至无效合规的情况。
再次,根据相称性原则和高层承诺原则,企业需要根据自身规模、业务和合规风险情况,投入与企业合规风险相适应的合规管理资源,建立与合规风险相称的合规管理要素;企业的最高管理层应当以身作则,率先垂范,保证投入为有效合规管理所必需的人力、物力和财力资源,通过内部沟通、培训和承诺等方式传达合规文化,保证合规审查的优先性、独立性和权威性,对违法违规事件作出及时有效的惩戒,以强有力方式推动合规管理体系的执行和落实。
最后,本着有效控制合规风险的考虑,可以将合规管理设计成一种“合规风险管理体系”,并将这一体系分解为“防范”“监控”和“应对”等三个环节。为有效防范特定合规风险的发生,企业需要制定专项合规政策,发布专门的员工手册,开展合规风险的持续评估,组织对客户、第三方商业伙伴和被并购企业的尽职调查,进行有针对性的合规培训,督促管理人员和员工作出合规承诺,持续开展企业内部的合规文化沟通、宣传和传达,等等。为有效发现合规风险,企业需要建立一种类似于 24 小时雷达预警系统的监控体系,引入若干个风险监控制度,包括针对合规风险和违规事件的定期合规报告,持续运行的匿名合规举报,对违规事件的合规调查,对企业合规运行效果的持续监测和审计,等等。为有效应对已经爆发的合规风险,企业需要建立一种针对违规事件的应对机制,包括对违法违规事件的独立内部调查,对违规责任人员的惩处,对于合规管理体系所存在的漏洞和缺陷,进行及时的完善和改进,等等。
四、企业合规管理的模式选择
经过二十多年的尝试和探索,我国在企业合规管理领域已经大体形成了两种模式。其中,我国国有企业在国际合规文件和监管部门合规指引的指导下,在日常的自主性合规体系建设过程中,基本采纳了“管理导向型合规模式”;而大量因为违法违规而受到行政执法调查、刑事追诉活国际金融机构制裁的“涉案企业”,在各种合规整改过程中,则接受了那种“风险导向型合规模式”。当然,这些企业在合规整改过程中,也进行了自主性合规管理体系的探索,进一步采取了以风险为导向的合规建设思路。这显示出后一种合规管理模式,并不仅仅局限在涉案企业合规整改的案件之中,而可以适用于那些从事自主性合规管理的企业。
从合规管理的合理性和合规实践的有效性的角度来看,上述两种合规管理模式各有其形成的理论根据和现实基础,也都有各自的利弊得失。本文不打算作出“孰优孰劣”的主观评价,而是从四个方面作出初步的比较分析。至于究竟哪个模式代表了我国企业合规体系建设的发展方向,这需要由越来越多的研究者通过观察和评估我国企业合规管理和合规改革的发展情况来作出判断,也需要企业根据两种模式的运行效果来作出理性的选择。
首先,在合规目标的设定上,管理导向型合规模式设定了一个很有吸引力的理想目标,也就是那种企业全面“遵从规则”的理念,甚至将合规视为一种“高于合法的文化要求”。这种理念符合企业治理中的社会责任思想,强调了企业对道德义务和社会责任的承担,体现了公司治理的最高要求。但是,企业毕竟是一种以盈利为目的的商业组织,始终面临着可持续盈利压力、竞争压力和进一步发展的压力,有时甚至面临着生死存亡的考验。要求这种商业组织承担过高的社会责任和道德义务,似乎是提出了一种“乌托邦”式的要求,往往会“曲高和寡”,难以获得企业普遍的内部支持和资源保障。相反,风险导向型合规模式则设定了一种现实主义的目标,将合规管理定位为一种“合规风险防控活动”,将合规风险界定为于一种与决策风险、经营风险、财务风险相提并论的战略风险。这种合规管理,其实就是为防止企业陷入灾难性境地而采取的危机化解、责任切割和风险控制活动。这尽管并不属于一种“高大上”的道德追求,甚至属于企业为减少损失而被迫采取的管理策略,但是,这种目标在企业内部很容易深入人心,获得广泛而强大的支持,从而取得更符合企业预期的管理效果。
其次,在合规管理的基础方面,管理导向型合规模式注重“合规义务的梳理”,甚至将国家法律所设定的强制性规范和企业自愿作出的承诺要求,都作为企业一体遵守的规范要求,也就是企业通过合规合规管理所要合的“规”。企业面对“合规义务库”所列出的如此繁多的规范要求,假如都能做到全部“遵守”或者“遵从”,这无疑是一种最为理想的“合规效果”。但是,国家所发布的用来规范企业经营活动的法律法规,不仅种类多样,而且数量庞杂。监管部门为规范企业活动所发布的部门规章,企业所要遵守的行业准则、伦理道德规范、国际条约和惯例,又如何以数量计算?更何况,企业自愿承诺遵从的那些规章制度、合同义务等,又是难以计数的。这种以合规义务梳理为基础的合规管理模式,必然陷入法律法规和规章制度的“汪洋大海”,仅对这些义务进行梳理、建立“义务库”就需要投入海量的人力物力财力,更何谈对这些义务的普遍遵从!
风险导向型合规模式则采取了另一种管理思路,没有将梳理合规义务放在合规管理的首位,而是从合规风险的识别出发,将有效控制那种现实的、具体的和急迫的合规风险,作为企业建立合规管理体系的前提和基础。表面看来,这似乎背离了“合规”的初衷,没有将“遵从规则”作为合规管理的核心。但实际上,这种合规思路所奉行的理念,才是更高级意义上的“合规”,也就是通过识别和发现重大合规风险,找到企业最急需遵从的某一领域的“规”。这种合规风险识别,极其类似于一个人的医疗检查和治疗活动,尽管不明确强调“身体的全面健康”,却在全面体检的基础上,针对最容易发生疾病的部位作出准确无误的治疗,从而在这一部位上实现了“身体健康”的目标。
再次,在对合规风险的定义方面,管理导向型合规模式将合规风险定义为企业因违反规则所遭致的所有不利后果,强调“合规风险高于法律风险”,企业除了管制法律惩罚和制裁后果以外,还要重视经济损失、声誉损失乃至各种不利社会评价。假如企业对这些分辨都能做到有效防控的话,当然可以达到最佳的治理状态。可惜的是,一个企业所面临的最紧迫风险恰恰是受到法律制裁的可能性,因为这种制裁往往会导致企业的经营资格受到限制或者剥夺,使其遭受重大战略损失或灾难性后果。这才是企业最为关心的“合规问题”。尤其是对于那些因缺少有效监管而处于“野蛮生长”状态下的中国企业而言,当前所面临的主要危机是如何通过建立合规管理体系,避免受到来自国内和海外的行政处罚、刑事追究或者金融制裁。动辄谈“避免经济损失”或者“规避道德风险”,又有多少现实意义呢?
与此不同的是,风险导向型合规模式放弃了上述“合规道德化”的说法,将合规风险界定为企业因违法违规所受到的行政处罚、刑事追究和国家金融制裁,以及由此导致的资格剥夺等重大灾难性后果。这种定义其实是将“合规风险”定位为一种“特殊的法律风险”,将那些因为民事违约、违反劳动人事用工法规、不履行社会责任、不遵守公共道德等轻微违规行为,排除在“合规风险”之外,而仅仅视为“一般法律风险”。对于这些一般法律风险,企业当然需要做出防范和进行控制,但这不属于合规管理所要解决的问题,而属于企业法务部门所要致力于化解的一般风险。而真正可以成为企业战略风险的,则是那种因为违法违规而受到行政处罚、刑事追究和国际金融制裁的可能性,因为这三种处罚和制裁都有可能带来企业的“资格剥夺”后果,而这种后果则会可能终止企业的经营活动,取消企业的特许经营资格,甚至导致企业停产停业,失去客户,丢掉交易资格,甚至被吊销营业执照。而唯有将合规风险界定为这种具有战略意义的风险,我们才能说服企业最高层将“合规风险”与决策风险、经营风险、财务风险相提并论,也才可以确立“合规风险管理”作为企业战略风险管理的重要地位。试想一下,假如将那些轻微的“经济损失”、“道德损失”、“负面评价”等也列为合规风险的话,一般企业还愿意投入巨额资源建立合规管理体系吗?所谓企业合规的“高层承诺原则”,又从何谈起呢?
最后,在合规管理方式的确定上,管理导向型合规模式试图寻求一种全面合规的管理理念,致力于实现全方位、全业务环节、全部员工和全流程的合规管理,最终形成一种依法依规经营的合规文化。应当说,这种全面合规的理念要真正得到实现的话,确实是一种十分诱人和美好的目标。但是,在众多企业都面临着日趋严格的监管环境,也都存在受到法律制裁和资格剥夺可能性的背景下,这种全面合规的管理理念存在两个致命的缺陷:一是企业可以投入的合规资源十分有限,难以支撑这种全面合规管理体系的建立和运行;二是全面合规管理要求企业将有限的资源投入到全方位和全流程的管理之中,必然造成“合规资源的过于分散”,将合规管理工作变成一种带有碎片化、枝节化和技术化的管理活动,反而难以对那些迫在眉睫的重大合规风险实施有效的防控。根据媒体报道和相关实证研究,有些从事石油化工经营的中国企业,在确立十余种重点合规领域、强化所谓“全面合规管理”的同时,却经常发生重大责任事故,存在着日趋严重的“安全生产管理隐患”;一些从事医药和医疗器械生产的企业,貌似建立了“全面合规管理体系”,却经常发生结构性的“商业贿赂”或“腐败”行为,管理人员乃至企业都面临受到行政执法调查乃至刑事追究的可能性,加强和改进反商业贿赂合规管理体系,才是这类企业需要加强合规管理的重要任务;一些声称建立了“全面合规管理体系”的国有企业,一旦到海外从事投资、经营、上市等活动,就面临着一些欧美国家极其严格的监管环境,经常发生违法违规事件,而不得不与这些国家的监管部门或司法机关达成和解协议,在支付巨额罚款的情况下,不得不重新进行专项合规整改,重新建立合规管理体系。
相反,风险导向型合规模式所奉行的则是一种“有效合规风险控制”的理念,针对重大合规风险,引入必要的专项合规计划,将基础性合规管理平台与专门性合规管理要素进行有机的结合,实现对特定合规风险的防范、监控和应对,取得有效合规风险管理的效果。表面看来,这种管理模式似乎与“全面依法依规经营”的目标相去甚远。但实际上,这种模式坚持现实主义的理念,不追求“好高骛远”,而尝试着脚踏实地地解决每一个已经被识别出来的合规风险。企业一旦采纳这一模式,就不再动辄强调不切实际的“全方位合规”“全员合规”或者“全流程合规”,而是根据所识别和评估出来的风险领域、风险岗位、风险人员,作出有针对性、差异化和有重点的风险控制。例如,对于员工,企业需要进行合规培训和合规承诺;对于第三方商业伙伴,企业需要进行合规尽职调查;对于从事生产、销售、进出口、招投标、污染物处置等业务活动的人员,企业需要实施合规性审查优先的管理方式,发现业务或产品存在违法违规可能性的,应当立即加以评估并进行劝阻,必要时提交最高管理层否决相关业务或产品。与此同时,企业无论是建立合规领导和组织机构,发布合规政策和员工手册,还是建立预防、监控和应对体系,都紧紧围绕着合规风险的有效控制来展开,确保合规管理达到有效化解某一“具体合规风险”的目标。正因为如此,企业没有必要将有限资源投入到一些形式化、流程化的管理活动上面,而应对企业合规风险采取有针对性的控制,将有效预防、监控和应对现实的合规风险作为合规管理的归宿。至于所谓的“合规文化”,企业没有必要动辄实施一些形式化的宣传活动,而完全可以通过合规培训、内部沟通、上传下达、合规奖惩等管理活动,逐步树立一种防范合规风险的价值观念、文化氛围和行为习惯。合规文化是通过行之有效的合规风险控制,而逐渐加以形成的,是企业合规风险管理“水到渠成”的产物。企业没有必要搞一些形式化的“文化建设活动”,这往往是不会发挥实际效果的。
面对上述两种各有优劣得失的合规管理模式,企业究竟如何进行选择呢?按照通常的合规体系建设思路,一个没有发生违法违规行为的企业,通常愿意选择“以管理为导向的合规体系”,因为该类企业不是涉案企业,没有面临迫在眉睫的遭受行政处罚或刑事追究的危机,也没有面临迫在眉睫的合规风险,所要建立的合规管理体系带有明显的预防性,也有可能是为了应对监管部门的考核要求和监管压力。相对而言,那些因为涉嫌实施行政违法行为或者涉嫌犯罪的企业,因为已经属于“涉案企业”,已经被纳入行政执法调查程序或者刑事诉讼程序,面临着受到行政处罚或刑事制裁的现实危险,因此,只能选择“以风险为导向的合规管理体系”,也就是根据所涉险实施的行为违法或犯罪类型,建立以预防特定违法犯罪行为为目标的专项合规计划。但即便如此,那些未涉案企业和涉案企业对合规管理模式的选择也不是一成不变的。原则上,未涉案企业按照“管理导向型模式”建立起全面合规管理体系之后,不应固步自封,而应通过定期合规风险识别和评估,找到那些足以对企业经营或生存具有致命影响的“系统性合规风险”,并将这种风险作为重点合规管控的对象,并据此投入人力物力资源,加大某一专项合规管理体系的建设力度,按照“与其伤其十指,不如断其一指”的理念,实施一种卓有成效的专项合规计划,达到有效预防、监控和应对某一特定合规风险的目标。与此同时,对于那些已经涉案的企业而言,在行政监管部门或司法机关的监控下,假如进行了成功的合规整改,建立或者改进了某一专项合规管理体系,甚至通过了合规考察评估验收,并受到较为宽大的行政处理或者刑事处理,也不应浅尝辄止,而应继续以风险为导向,开展专业化的合规风险识别和风险评估,发现那些足以对企业经营具有重大影响的其他合规风险。无论是西门子公司,还是中兴公司,之所以能够建成有效的合规管理体系,主要是因为它们在专项合规整改的基础上,又通过合规风险评估,引入了若干项新的专项合规管理体系,并建立和激活了企业内部的合规控制体系,逐渐塑造出了一种“依法依规经营”的合规文化。可以说,在合规体系建设过程中,将管理导向型模式和风险导向型模式的经验加以结合,在建立基础型合规管理平台的基础上,引入有针对性的专项合规计划,这是企业合规体系建设的必由之路。
五、结论
作为两种企业合规建设模式,管理导向型合规模式和风险导向型合规模式已经成为我国企业在建立或改进合规体系时所面临的基本制度选择。总体上,前一模式适用于超大型企业集团,也适用于企业建设合规管理体系的初期,有助于企业基础性合规管理平台的建设。但是,这种模式的适用存在着合规体系建设分散化、碎片化和形式化的问题,难以达到有效防控重大违法违规风险的效果。因此,在企业完成“从无到有”的合规体系建设之后,要完成“从合规到有效合规”的跨越,就需要引入风险导向型合规模式。因为这种模式更有助于引入专门性合规管理要素,有针对性地识别企业系统性合规风险,发现企业出现违法违规行为的内生性结构原因,进行有针对性的制度纠错,并引入一种嵌入业务流程之中、有效消除制度隐患、避免违规事件发生的风险控制体系。风险导向型合规模式尽管最初产生于涉案企业的合规整改案件中,但具有较为普遍的推广价值。对于那些已经完成合规整改的企业而言,这一模式可成为企业扩展专项合规管理体系的制度样板;对于那些已经建立“全面合规管理体系”的企业而言,这一模式可成为企业改进合规管理体系、识别系统性合规风险、建立有效合规风险控制体系的依据。而对于那些亟待建立合规管理体系的企业而言,这一模式的适用可以帮助企业实现“弯道超车”,以有限的合规资源投入,达到最为理想的合规风险控制目标。