企业合规管理控制模式及其适用情形分析
2023-01-20杨俊翔
杨俊翔 黄 欣
(1.四川省法学会企业法商融合研究会,四川 成都 610000;2.四川商务职业学院,四川 成都 610000)
随着我国改革开放进程的持续深入,全面依法治国战略的不断深化,加强企业合规管理,构建完备、有效的合规管理体系已经成企业管理和政府监管的重点之一[1]。国际标准化组织2021年发布的ISO37301:2021《合规管理体系 要求及使用指南》和国务院国资委2022年发布的《中央企业合规管理办法(公开征求意见稿)》均对合规管理的控制模式提出了相应要求。企业合规管理的控制模式具体是指,在建立了企业合规管理治理结构,明确了合规管理的任务体系和总控模型后,企业所采取的一套强有力的、适合自身实际情况的保障合规管理绩效的提升和合规管理目标的达成的控制手段,是合规管理体系的重要组成部分。
一、合规管理不同控制控制模式及其内涵
在已有合规管理控制模式的研究中,一般可以认为有三种模式,分别为“三道防线”模式、全流程管控模式和全景视图模式。
1.“三道防线”模式。“三道防线”概念最初由中国人民银行在1997年亚洲金融危机发生后提出,2010年欧洲风险管理协会联合会(FERMA)和欧洲内部审计协会联合会(ECIIA)正式提出“三道防线”理论[2]。所谓“三道防线”分别指业务部门、合规管理牵头部门以及审计监察部门[3]。在这一模式中,业务部门是合规管理的第一道防线,负责制定所涉及业务领域的合规管理规则,梳理风险清单,识别并排查风险,发布合规警示等工作;合规管理牵头部门作为第二道防线,负责企业合规管理整体工作规划和基本制度制定,组织开展风险识别及预警,定期进行合规评价与考核等工作;第三道防线为内部审计监察部门,负责监督经营管理行为,开展全面或专项检查,查处违规行为并督查整改。合规管理的具体制度与规则主要由第一道防线负责构建,通过梳理相关法律法规、行业标准、企业现行规章制度等文件形成合规义务,识别风险环节,进行风险度量和评价,并结合业务实际情况制定风险应对预案,从而化解或控制风险。不难看出,“三道防线”模式的核心是业务部门,较多的强调事前制度制定和事后的审查处理,事中环节的管控也更多地交由业务部门自行完成。
2.全流程管控模式。全流程管控模式是将合规义务要求与业务流程相匹配的管控模式。这种模式认为,业务部门一方面存在经营任务压力,会将合规置于较为次要的因素来考虑,甚至为达到经营目标而不惜故意违法违规;另一方面,业务部门缺乏专业的合规管理技能和知识体系,难以较为准确、完善的识别和控制好合规风险,“三道防线”模式存在一定缺陷。全流程管控模式要求将合规管理的目标和措施跟业务活动的开展相匹配,由合规管理职能部门会同业务部门在业务流程各个必要环节设立合规检查和控制节点,从而实现对业务活动的全面合规管控[4]。在这个模式中,合规管理部门是最核心的部门,负责建立业务流程的工作秩序、工作程序以及工作标准,并通过申请和授权,不相容职务分离[5],交叉检查及验证等技术手段来抑制违规行为的发生,强调业务部门对流程的遵循,按照既定流程和标准开展各项工作。
3.全景视图模式。这种模式的支持者认为,违规事件产生的风险来源于主观故意违规、客观茫然违规和客观不受控违规三种情况,制度的建立和流程的细化可以很好地解决客观茫然违规带来的问题,而对另外两种违规行为的约束作用有限。合规管理体系不仅应该建立制度和具体控制点,还应该对其遵循性进行监测,并通过中台机制采集经营活动中的物资流、商业事务流、资金流、信息流等数据,形成关键指标,建立风险分析模型,从而对合规风险及时识别、及时控制,对违规行为及时纠偏、及时处置,最大限度降低风险损失[6]。同时,实时和成体系的监控也能对主观故意违规形成较大心理压力,尽力避免违规行为的产生。
二、合规管理不同控制模式的特点分析
1.“三道防线”模式以“要求-警示-检查-处置”为路径,防线的建立侧重于事前对合规义务的梳理、风险度量及风险警示,通过对利益相关者进行结构化访谈、调查问卷、研讨会议及历史数据分析等成熟方法识别出风险点及防控方式。合规管理牵头部门对业务流程的风险识别和控制进行指导,而不涉及具体的业务过程,不要求组建专门的合规管理职能部门,实现成本较低,建立所需周期较短。对于复杂程度低、框架式约束及是非对错等二分性问题有较好的控制力度。例如,国务院国资委严禁中央企业开展融资性贸易业务,严禁对集团外无股权关系的企业提供任何形式担保等监管要求,通过这种模式就可以得到较好的落实。但对业务部门在各业务流程中的合规管理具体行动及有效性缺乏监督,也难以对此在事中进行实时风险监控及预警。
2.全流程管控模式立足于将合规管理嵌入业务流程,将合规义务落实到各部门的全流程操作环节中。合规管理职能部门与业务部门密切协同,剖析业务流程中的风险点和控制策略,共同制定具有操作性和控制力的管理办法,能够尽可能从流程安排和执行中规避风险,适合于与业务流程密切相关的合规义务。例如在采购环节,规定询价与确定供应商职能分离、采购合同订立与审查职能分离、采购与验收职能分离[7],从而有效抑制营私舞弊,保护和提升企业价值。但这种模式建立和运行的管理成本、沟通成本和时间成本较第一种模式而言显著增加,并主要依赖于业务流程的遵循,而对主观故意违规或意外事件的针对性不足,本质上还是“事先+事后”的管控。
3.全景视图模式借鉴了业务的全生命周期管理模式,强调对合规制度遵循监测及控制的实时性,较好地解决了事中合规管理缺位的问题[8]。对于规模较大的企业中有一定容忍程度的风险点,能够进行实时监控、评估和控制。还可以将经营数据汇总整理、计算关键指标与监管要求、企业历史数据、同行业公允数据对比分析,发现并分析问题。这种模式一般都需要建立合规管理信息系统,通过大数据、AI等方式,以机器识别为主,人工决策为辅。例如,民航运输企业在机票定价系统的合规管理中,要求票价及座位投放的所有相关操作均在计算机系统中留痕,并与预先设定好的操作逻辑和规则进行对比检查,若有不符立即提示。同时,计算上座率、平均票价、座公里收益率等核心指标,与同航线历史数据、企业内部同类航线数据、不同企业相同航线数据进行对比,对存在较大差异的情形及时预警,实时监测经营业务中的风险。建立全景视图管控模式需要对业务流程进行全面的梳理,对经营业务逻辑化、数据化,建立企业实际情况相匹配的数据模型,这也就意味着巨大的建设投入和较长的实施周期。
三、合规管理不同控制模式的适用情形分析
三种模式具备各自优势,在管控效能上呈现递进性,在建立及运行成本上呈现递增性。企业合规管理工作的渐进性、行业差异性、职能差异性、企业规模和经营状况等因素将影响企业的管控模式或模式组合的选定。
第一,需要考虑企业合规管理工作的渐进性。对于尚未建立合规管理体系,或合规管理刚刚起步的企业来说,应首先建立“三道防线”的管控模式,将企业面临的主要合规义务、合规风险及管控措施通过制度化的方式予以明确,“三道防线”各司其职,以较小的合规边际成本获得更大的合规边际收益,不断积累合规管理经验,培育合规管理文化;对于“三道防线”模式运行成熟、合规意识得到很好建立,但合规绩效仍未能很好达成的企业,可以采取全流程的合规管控模式,以“三道防线”为基础,细化深化对业务流程的管控,将合规管理的控制措施落实到每个业务环节,确保事事有章可循,人人有规可依;对于采取了前两种模式但仍无法达到合规管理绩效目标的企业,则可考虑采用全景视图模式,不仅在横向上监控业务流程的实时合规性,还从纵向上监控人、财、物、信息的流动情况,系统、全面、实时的管控合规风险。
第二,需要考虑企业所处的行业差异性。不同行业必然存在不同的业务流程和监管要求。对于制造业、商贸等类型企业,在经营策略和业务模式确定之后,需要在业务流程中进行决策的事项有限,来自政府部门的监管点相对较少,频率较低,因此,采用前两种模式,事先建立健全制度并优化流程,事后进行审计监督,能够较好地控制合规风险。然而,对于金融、投资、建筑等类型企业而言,经营环境变化迅速,业务过程中会随时面临决策点,同时也在众多业务环节或指标上面临政府监管,监管要求时常还会根据经济形势情况有所调整,因此,更需要第三种模式动态加强合规管控。
第三,需要考虑企业内部职能的差异性。对于企业战略管理、生产制造、人力资源、综合行政等部门,制度一旦制定,遵循较为容易,如有违规行为也能突出和暴露出来,“三道防线”模式就可以很好地发挥作用。而对于投融资、采购、市场营销、财务等职能或业务部门,违规行为常常更加隐匿,而违规所造成的直接和间接损失是巨大的,因而在“三道防线”模式基础之上,对更加全面、更加强有力的合规控制手段存在迫切需求。此外,不同职能部门业务流程的数据化程度对采用全景视图模式的成本影响显著。
第四,企业的规模和自身经营状况也是模式选择需要考虑的因素。合规管理服务于企业的经营活动。对于初创型企业或规模较小的企业,所面临的经营风险显著,难以在合规控制上进行大规模投入,应该先将“三道防线”模式建立和运行起来。而对于规模较大,经营状况较好的企业而言,违法违规所带来的收益远远小于可能由此遭受的损失,甚至会让企业面临灭顶之灾,因此更需要加大投入,逐步建立覆盖面更广,管理能力更强,更加体系化的合规管控模式,来保障企业的长远发展。
四、结语
企业合规管理的控制模式是达成合规管理体系绩效,满足利益相关者诉求的重要抓手,三种主要控制模式各自具备的优点和缺点。处于合规管理工作不同进程、不同行业、不同规模和经营状况的企业,应该从实际情况出发,综合考虑合规管理目标、工作步骤及所拥有的资源,选择适合自身发展进程的合规管理控制模式,从而为企业的稳健经营,实现经济价值和社会价值保驾护航。