中国企业如何让合规体系有效“落地”
2018-12-21◎文/郭楠
◎文/郭 楠
最近,各行各业纷纷举办大大小小的一系列合规会议。这让人感觉到,关于合规的讨论和实践,在国内如火如荼地开展起来。
首先,合规正在成为一种国际通用的语言。从2008年的西门子到后来的BP,再到后来的大众、中兴,人们不要仅仅为这四个案例里的天价赔款金额吸引了注意力,因为在这些公司同监管方达成的协议里面,除了罚款,还有另外一个必须采取的措施,就是强化合规体系和接受政府强制派驻的合规监督员团队。最近,美国政府派到中兴的合规协调员已经在岗了,要监督中兴十年。这些仅仅是众多类似案例中比较著名的几个。
吉利公司收购美国飞行汽车公司时,经历过美国国防部的审查。被问到的第一个问题就是:你有没有合规体系。同样的,吉利公司收购德国戴姆勒公司9.6%股份时,在德国引发了巨大争论。结果德国总理默克尔表态说:吉利收购这些股份的过程是完全合规的。今后中国企业做跨国经营的时候,有机会并购别人或是被并购,或是同商业伙伴达成交易时,很可能会像吉利被问到的第一个问题一样:你有没有合规体系。越来越多的跨国企业,把交易对方的合规体系及其有效性,作为衡量其信用水平的重要标志。
其次,对于合规体系在国内的有效建立,要有一定的危机感。我们看到,国资委过去一年找了五家企业做合规体系的试点,现在国资委和发改委正在做国有企业和跨国经营的合规指南,国资委的指引已出台;国际合规体系标准ISO19600在中国已经落地,成为国家的推荐标准;国家领导人在各种场合也说到企业要合规经营。种种的情况表明,中国的合规进入了新阶段。但是,关键的问题是:中国企业是不是准备好了?
合规这个词,是一个舶来品,这个体系马上移植来用,在国内企业直接上,跟我们已经推行了十几年的全面风险管理是什么关系?这个体系在国企、民企里面的纪检委、法务部、审计部、内控部等等以外再加一个合规职能,这个职责怎么划分?彼此之间怎么协调?这在外企里面不是问题,但是到了国内,这就是一个问题。这是现在国内企业落实合规体系的一个普遍性的问题。这个技术问题如果不做更多研究和解决,现在国内推行合规又这么大张旗鼓,下一步很可能出现比较尴尬的局面。我希望中国企业能够联手做一些工作,尽快让这个问题有一些典型的解决方案,有比较好的样板来分享给大家,能够在这个方向上取得一些进展。这样才能有力地推动合规体系在中国的有效落地和进一步的发展。
如何评估企业内部的合规发展趋势
一个企业内部的合规趋势评估,应该以一种比较经济的、有效的方式来做。一个合规体系从建立到改进,是不停在进行,这是一个形成闭环的阶段,必须把这个做得有效,才能知道合规改进的方向在哪里。渣打银行在几年时间里被罚了两次,第一次是因为洗钱的罪行,被罚了3亿美元,过了两年又被罚了3亿美元,第二次不是因为主动犯罪,是因为被发现在合规方面的反洗钱控制流程里面有缺陷。这样的例子说明,合规的绩效评估和改进,在合规体系建设和发展过程当中是非常重要的。
一个有效的合规管理体系包含多个要素。一是领导层,要有表态,要承诺建立合规组织,提供合规资源,包括财力和人力的资源。还有风险评估,一个企业要管理自己的风险,搞合规体系的建设,首先要知道你的风险在哪里,一个企业去非洲开矿,和另外一个企业在美国做贸易,二者的风险一定是不一样的,你的风险评估怎么去做,你的合规管理体系就应该相应地针对你的风险评估来展开。做了风险评估以后,下一步就是应该如何去管理合规风险,必须建立起相应的流程和控制手段。第三,体系建立好以后,要让所有你的员工从上到下知道这些手段和政策,让大家去实施,最后就是监控、有效性评估、审计、事件及对策,还有体系优化。这样形成一个有效的闭环。
要做一个合规运行状态的评估,首先要有一定的独立性的原则。西方企业里面比较典型的是:合规职能在企业里是非常独立的一个部门。前几年,外企里面合规职能可能会整合在人力资源部,或者是整合在法律部,现在一个比较普遍的情形,就是首席合规官直接汇报给公司的CEO,甚至还有一条单独的线,跨过CEO,汇报给公司的董事会。第二个原则,评估要基于事实或者是数字,基于一些实际案例和基于事实来做评估。第三是评估要重复进行。第四,评估完了一定要有一个从合规独立的职能部门给一些改进的措施。
我们谈到的评估基本上是两类评估,一个是一个企业的合规体系建立起来以后,做一个合规管理体系的整体评估,看看是不是合理有效,这种评估往往是企业外部的第三方来做的,就是评估一家公司总体合规体系做得是不是有效。第二类就是企业内部定期合规报告,这个报告在大多数情况下,是由合规部门根据所获得的企业合规运营的数据和事例,定期或不定期地提交给公司的最高层,或者提交给他所要评估的某一个具体的部门管理层。这个报告对于企业的合规管理优化是非常有用的一个手段。在企业里面做合规,最重要的推动力量不是合规官本人,而是各层级的管理者。这个报告会成为合规官跟各层级管理者进行互动的非常有效的工具。利用这个工具跟各层级的领导者沟通,很容易基于事实达成共识。一旦达成了共识,他作为合规的第一道防线的负责人,他该采取什么行动,就变成自然而然的一个行为。
如何进行合规风险评估
在非洲进行矿藏开采的企业,和在美国进行贸易的企业,风险一定是不一样的,你可能根据你的业务特点列出诸多风险,有反贪污贿赂的,有环保的、人权的、当地文化习俗的等等。你的企业如果把所有的风险从A到Z都管理得100%万无一失的话,你这个企业成本太高了。这样的工具就可以帮助我们把风险从高到低有一个排序,拿出资源来最有效地管理这些排在最优先级的风险。任何一个单一的风险都有两个属性,可以用两个维度来描述,第一维度:这个风险发生的概率有多大。我们每个人每天早晨都出门,大家头上都不用戴一个钢盔,你不会担心楼顶上掉下来一个花盆砸到你头上,这个风险是不是零呢?不是,但是不是有很大可能性发生呢?不是。第二个维度:风险的冲击力。这个事情发生了以后,对于我的财务的影响、对于我的社会声誉的影响、舆论的影响,和对我所有的利益相关方的影响,到哪个级别。把这两个维度结合到一起,如果某一个风险发生的概率比较高,而且它一旦发生的话,对于我的冲击比较大,这个就是我们合规风险所要评估和管理的首要的风险。当然这样的风险评估,每年要循环地去做,随着业务形式和模式的变化,还有你所在国的变化,这个风险会有一些调整,所以每年要循环去做。
第二,企业内部做定期的合规评估。这个模板是我在公司里面应用的一个真实的模板,因为我的团队同时管理多个国家和多个部门的合规情况,如果我们拿合规培训作为合规评估的内容之一,大家可以看到部门一、部门二、部门三,不同业务部门的合规培训完成情况,如果这样的结果摆在公司管理层面前,我想我不需要说太多的话,各个部门的领导就会说,OK,这是完全基于事实的合规评估,他们也就知道下一步该采取什么样的行动。
下一个评估例子是合规事件的分析。我所在的公司使我有这样工作的方便性,所有全球合规案件的数据库我是可以进得去的,我可以根据我想看的国家和我想看的部门,做一个不同的合规事件的分析,然后按季度做一个这样的统计图出来,比如在中国,可以把中国的所有事件集成起来。如果去印度,就可以把印度的合规案件罗列,这样我们可以分析事件的趋势,来看下一个季度公司领导层的努力方向在哪里,这个同样也不需要说太多的话,领导就能看出来哪里可能要出问题,我们需要采取什么样的措施。
里面的细节还可以包括:针对每一个案件,我们花了多长时间去调查,看我们调查的效率有多高,也要看这个纪律的处分情况,到底多少人因此离开公司,多少人得到警告,这样的数据都是可以定期获得的,这样真实的数据会比较有说服力,统计到一起就会有趋势指向,从而预示行动方向。
另外,合规报告里面可以包括案件举报的分析,一般来讲,一家公司如果足够大的话,他的热线电话等热线举报方式,每年所应该收到的举报的数量应该是他全球员工数量的1%,如果你企业有一万个员工,你的举报热线工作比较正常,大家有什么情况愿意去举报的话,一年企业应该收到一百个案件的举报,这不是强制性的标杆,但是大家可以根据这个来比较一下。如果我的企业一年收到了更多的举报,说明你的企业问题太多;如果收到太少的举报,说明你企业员工内部有什么问题都不愿意说出来,发现问题的渠道有问题。这是衡量热线有效性的一个指标。
还有合规报告里面经常会讲的最佳实践的分享,这就是案例的分析,甚至是公司自己某一个部门,把自己合规的案件拿出来跟大家分享,我们部门发生了这样的事件,我们如何引以为戒。
定期的跟公司管理层分享的图表是基于数字和事实的评估的结果,第一是简单明了,第二没有太多的文字表述,第三是下一步该采取什么行动,就比较一目了然。此外,可能还包括一些其它内容,比如说法律法规环境变动趋势总结,以及分析趋势后合规作为一个独立部门要做一些后续措施的建议。
希望以上这些建议,会对中国企业合规建设起到一定的促进作用。