2022年4月1日,国务院国资委就《中央企业合规管理办法》(公开征求意见稿)(以下简称为“征求意见稿”)向社会公开征求意见。
征求意见稿,一共“八章四十四”条,与2018年11月印发的《中央企业合规管理指引(试行)》(以下亦称为“指引试行稿”)的“六章三十一条”相比,多了2章和13条。
多出的2章,不完全对应着“制度建设”和“信息化建设”这两章。其他多出的条款内容,则在征求意见稿和指引试行稿之间,基本上可相互“循迹”。
当前,国内企业合规的发展迅速,可谓一年一个样,三年一大变。2018年,随着央企合规管理指引、企业境外经营合规管理指引、合规管理体系指南国家标准等重要文件的颁布,很多合规领域的专家称该年为“合规管理元年”。2022年,经过几年实践发展,企业合规进入了国资委提出的“国企合规管理强化年”,以及最高检提出的“涉案企业合规改革试点全面推开年”。
本次国资委拟出台的“中央企业合规管理办法”,系其2022年规章制定工作计划的重要组成,是国资委拟今年新制定的“部门规章”。个人认为,该新规将对未来3年央企、国企合规管理建设,起着根本性的推动和指导作用。
作为国资委拟颁布的新的部门规章,在总结“央企合规管理指引”运行的基础上,本次征求意见稿具有不少的亮点。本文根据团队从事企业合规咨询,特别是央国企合规管理建设咨询的经验,对比研读征求意见稿和指引试行稿,指出本征求意见稿的九个亮点以及相关的五条改进建议,以供同行交流。
亮点一:更加追求有效、精准
征求意见稿的第五条“基本原则”,大幅修改了央国企合规管理建设的基本原则,从原来的“全面覆盖、强化责任、协同联动、客观独立”变为“全面覆盖、客观公正、专业有效、实时精准”。“有效、精准”,成为征求意见稿给出的央国企合规管理建设的新增原则。
对企业合规应专业有效、实时精准的强调,突出了企业合规管理建设必须发挥实效,不能停留于表面和宣传。要取得实效,征求意见稿进一步明确,应当建立与企业实际相适应的合规工作机制、提升企业合规人员的专业化水平、通过信息化手段将合规要求融入经营管理活动、开展实时动态合规风险监测等。
通过对央国企合规管理建设基本原则的调整,可以看到监管机构对于企业合规管理进入深化期的探索。的确,央国企合规一直是一种预防型的管理体系,其实施效果可能不像涉案企业刑事合规那么有针对性或明显改善性。强调合规管理要有效、精准,正是对唯恐出现这种现象的一种弥补。
亮点二:强调党的领导
征求意见稿有三处提到了党的领导,这三处都是之前“指引试行稿”所没有规定的。一处是第三条第一款关于“合规”的概念,征求意见稿第一次明确“党内法规”作为一种重要的合规义务。这在之前,是未见明文规定的。
第二处是第六条关于“党委(党组)作用”的观点,征求意见稿明确“党委(党组)发挥把方向、管大局、促落实的领导作用,在职责范围内积极推进合规管理工作,保障党中央关于深化法治建设、加强合规管理的重大决策部署在企业得到全面贯彻落实。个人认为,对于党委(党组)在央国企合规管理的领导作用,征求意见稿给出了明确的规定,并将合规管理工作与深化法治建设进行结合,这是难能可贵的。
第三处是第三十四条关于“党委(党组)定期专题学法内容”的规定。征求意见稿提出“将合规管理作为法治建设重要内容纳入党委(党组)定期专题学法内容”。这是对企业内合规管理与法治建设重要性的再次强化,以“监管制度要求”的方式,推动央国企切实加强合规文化建设。这也是合规管理发挥时效基本原则的体现。
亮点三:明确提出合规三道防线
三道防线,一直是企业风险管理领域的重要机制设计。在之前的法治建设、内控风险管理等监管政策文件中,也屡见风险三道防线的说法。例如,相对较早的《中央企业全面风险管理指引》(2006.6.6发布)第十条规定,“具备条件的企业可建立风险管理三道防线,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。”
本次征求意见稿第一次明确提出:业务部门是本领域合规管理责任主体,负责日常相关工作,履行“第一道防线”职责;合规管理牵头部门组织开展日常工作,履行“第二道防线”职责;纪检监察机构和审计、巡视等部门在职权范围内履行“第三道防线”职责。
以上对合规三道防线的定位非常明确。通过遵循多层级风险处置的管理原理,对合规管理职责进行合理分工,不仅有助于理清实践中合规管理工作的边界,特别是业务部门和合规部门的边界,而且有助于发挥企业内各部门或机构的各自专业优势,达到共同抵御合规风险的效果。
必须注意的是,对于类似合规风险评估这种特别专业的事项,按照三道防线的分工,业务部门应自行负责,而不是交给合规部门来实施。合规部门是组织业务部门开展风险评估工作。实践中,鉴于合规风险评估工作的难度,往往是由合规部门来具体负责风险评估的,也就是合规部门不限于组织风险评估工作。但不管是业务部门,还是合规部门,均应心中有数,在职责上,仍是“业务”负责,“合规”组织。
亮点四:突出制度建设的统领
征求意见稿第三章规定了“制度建设”的内容,这个规定可以说是本意见稿最大的亮点之一。从第十六条到二十一条,征求意见稿完整地规定了制度体系、制度分类分级、制度宣贯与实施等三方面的内容。
制度建设,一直与合规管理密不可分。内控管理,虽然也要借助制度,但更多的还是基于业务流程控制。合规管理,不仅是在组织架构的设计、管理体系的推行,还在管理机制的固化、合规认知的沉淀等,都需要借助于制度的制定与实施。
实践中的合规管理基本办法、专项合规管理指南、岗位合规职责等合规建设重要产出物,其本质都是某一类合规制度文件。因此,把制度建设作为专门一章,放到央国企合规管理实施的前端,是PDCA管理循环的要求,也是合规日常运行的前提。这一点,明显突出了企业合规管理过程中的制度建设统领作用。
亮点五:优化合规运行机制设计
企业合规运行机制是相对较丰富的,根据企业管理和业务现状,可进行多样的设计。征求意见稿规定了八种合规运行机制,包括合规风险识别预警、合规风险应对、合法合规性审查、问题整改、合规举报、合规报告、协同、经费保障等。
这些机制,在之前的指引试行稿以及其他相关监管文件或国家标准中,均也有所体现。但是,征求意见稿仍在已有的机制中,尝试规定一些新的、更加合理、更加实用的机制。例如,在合规风险识别预警机制中,明确提出“建立合规风险库”。风险库,这个说法,在实践中有合规专家提出,但之前在官方文件中是未见明确的。再如,将应急预案纳入合规管理范畴。这也是之前所没有规定的。类似的,还包括:扩大合规审查的范围、强调问题整改长效机制、明确合规与法律、内控、风险管理的协同机制、增加经费保障规定等。
这些明确、强调或新增的机制,可以说均是在历经4年央国企合规管理建设实践总结出来的更加有效的措施,有助于指导企业深化合规建设。
亮点六:将合规评价独立于合规运行
在指引试行稿中,合规评价包括有效性评价和绩效考核评价,分别处于“合规运行”和“合规保障”章节里。在征求意见稿中,合规有效性评价和考核评价,均属于“合规评价”内容。同时,“合规评价”,从“合规运行”独立出来,与“合规问责”合并成为第五章“评价与追责”。
将合规评价与合规运行分开,仍是PDCA管理方法论的正确运用。相比于指引试行稿,该设置更加符合管理原理,也更能促进企业建、运、评分离,提高合规管理效能。
亮点七:明确提出尽职合规免责
征求意见稿第三十三条中规定,“对于符合企业尽职合规免责事项清单内情形的行为,可以按照相关规定免于责任追究”。该规定参照“合规不起诉”原理,在企业内部推行“合规免责”激励机制,对于提高央国企业合规管理建设的驱动力以及完整性,可谓大有裨益。
“合规不起诉”,一直是企业进行合规建设的一大动力。央国企涉案、享受“合规不起诉”的优待,其“场景”其实很少。绝大多数情况下,应是采用类似原理的“合规免责”。如该机制能很好的运用到合规管理建设中,那么将大大提高企业进行合规管理的积极性。
亮点八:更加注重合规文化建设
征求意见稿第六章专门规定“合规文化建设”,相比于指引试行稿中仅用一个条款规定,其用意很明显。合规管理的目的是防范合规风险,最有效的防范手段,其实是意识和文化层面的防范。如果说,合规管理制度和合规运行机制是硬性防范措施,那么合规文化就是软性防范措施。合规管控,显然要“软硬兼施”。
合规文化建设是一套组合拳,先是企业领导的合规意识强化,然后是合规理念的宣传,最后是合规培训的实施及运用。征求意见稿对这三方面都进行了详细的规定。
亮点九:推动合规管理信息系统建设
征求意见稿第三十七至第四十条规定央企合规信息化建设,并规定了合规管理信息系统的标准配置:规章制度、重点领域合规指南、合规人员管理、合规案例、合规培训、违规行为记录等,同时指出合规管理信息建设的两大关键要求:一是嵌入业务流程,二是实施动态监测。
信息化是配合央国企数字化转型的必然之举,具有深远意义。目前市场上可开发相对全面、实用功能的合规管理信息系统软件开发商,并不太多。因为它需要三方面的结合。一是对企业合规管理体系建设,特别是基于合规风险评估的管控流程的理解;另一个是对企业管理信息系统功能的设计、模块组成及场景实现等的熟悉;第三则是企业其他管理领域信息化的程度,特别是与业务相关ERP系统的发达程度等。
以上是对征求意见稿的创新之处的若干归纳,下面就征求意见稿中可能存在的不足,提五点建议。
建议一:增加“合规人员”的定义
在征求意见稿中,出现了首席合规官、合规管理员、合规管理专职人员等与合规人员相关的概念,但缺乏对合规专业人员的统一界定。其实,企业合规建设水平的高低,很大程度上取决于以首席合规官为主的合规专业人员的能力与水平。拥有一批合格的合规专业人员,犹如需要对“合规风险”进行全面、精准的评估一样,对于央国企合规建设同样重要。因此,建议在第一章第三条“相关概念”中增加一款——“合规人员”的定义。
2021年3月,人社部发布了一个新职业——企业合规师。这个新职业的出现,可以说,正是响应了企业合规管理对专业人才的需求。个人认为,未来的合规人员可以由企业合规师、律师、法务、风控、审计等人员担任,区别不在于其身份,而在于其能否正确地履职以及是否具有相应的合规技能。
建议“合规人员”的定义如下:本办法所称合规人员,是指中央企业内专门从事合规风险评估、合规制度建设、合规机制运行以及合规文化建设等工作的人员。合规人员包括首席合规官、合规管理牵头部门的人员以及业务部门的合规管理员等。
建议二:明确制度建设与风险评估的关系
征求意见稿虽然强调了制度建设对合规管理的重要,甚至将制度建设作为单独的一章,但是对于制度的立、改、废等,与合规风险评估工作缺少关联。这可能会导致制度在制定、实施等环节上,存在目标不明确、未以风险为导向、浮于表面等问题。因此,建议在第三章第十六条中增加制度建设的“战略正确性”规定,即“以经风险评估后发现的不合规问题和合规风险为导向”。
建议第十六条修改为:中央企业全面梳理本系统内合规管理制度文件,以经风险评估所发现的不合规问题及其解决为导向,建立以基本制度、重点领域合规指南、操作手册等为主体的分级分类合规管理制度体系。
建议三:明确合规、法律、内控
与风险管理协同运作的基本原则
法律、合规、内控、风险管理的协同运作,相关监管部门和有关治理机构都一直在提倡。协同运作的理念,已被大多数企业所接受。但是,在实践中如何协同,则是一个难题。征求意见稿明确提出“中央企业应当结合实际,积极探索构建法治框架下合规管理与法律、内部控制、风险管理的协同运作机制,加强统筹协调,提高管理效能”,但该协同运作机制是一种固定模式的?还是依据企业特点而个性化的?这个征求意见稿没有给出规定。建议在第四章第二十八条中增加关于“合规、法律、内控与风险管理协同运作基本机制”的规定。
建议第二十八条修改为:中央企业应当结合实际,积极探索构建法治框架下合规管理与法律、内部控制、风险管理的协同运作机制,加强统筹协调,提高管理效能。前述协同运作的机制包括但不限于:风险导向、各有侧重、机制区分、目标趋同。
建议四:单独规定“尽职合规免责”激励机制
征求意见稿在第三十三条第一款之中,第二句话规定了“尽职合规免责”这个重要的合规激励机制,可这仅是“点到为止”。相比于这个机制对于企业合规管理建设的巨大推动作用,这种处理方式,显然有一点“轻”。建议用专门一个条款,规定“尽职合规免责”的适用程序。
建议在第三十三条之后,加上一条:中央企业应依法依规制定本企业尽职合规免责事项清单以及对应的适用程序,对于符合企业尽职合规免责事项清单内情形的行为,可以按照相关规定和适用程序免于责任追究。
建议五:区分合规管理信息化建设的成熟度
拥有一套实用、智能的合规管理信息系统,是每一家企业进行合规管理建设的理想状态。征求意见稿对合规信息化建设的重视,可以理解。但实践中,限于合规管理体系建设自身的成熟度、合规管理信息系统开发商的技术水平、企业整体数字化建设的进展阶段等因素,央国企合规管理信息化建设的成熟度是很不一样的。需要根据企业实际情况,逐步推进,否则强行上马信息化项目,容易造成浪费或限于表面。故建议区分对待。
建议第三十七条修改为:中央企业应根据自身合规管理体系建设以及企业数字化进展等情况,建立不同深度的合规管理信息系统,将规章制度、重点领域合规指南、合规人员管理、合规案例、合规培训、违规行为记录等作为重要内容。
或许您还想看
作者简介
陶光辉
北京德和衡律师事务所高级合伙人、北京大学全球高端法商人才计划未来领袖授课专家,大连大学法学院客座教授等
职业资格:律师,仲裁员,高级经济师,同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。
职业经历:武汉大学法学硕士,前后18年企业法律工作经验。其中,8年企业法务经历,曾任中国100强集团法务总监,获ALB2016中国最佳企业总法律顾问称号;3年法律创业经历,系知名法务教育平台(一法网)的创始人;7年执业律师经历。
学术成果:著有《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)、《合规管理十论》(内部出版)。在合规管理体系建设领域,陶律师创建“DHH合规内控风险一体化建设五环模型”。
服务客户:中广核新能源、中国新时代、中国纸业、中交规院、河钢集团、泰康健投、京煤集团、长城汽车、北京供销社、北京昌平国资委、北京建工、北京地铁、上海企业法律顾问协会、上海铁路局、上海杨浦国资委、青岛地铁、青岛港、国网江西电力、桂林交投、深圳投资控股、深圳航空、聊城信发、甘肃地矿、北京大学法学院、中国政法大学网络学院、上海海关学院、北京联合大学法学院等。
手机:18201002170
邮箱:taoguanghui@deheheng.com