企业合规管理体系基本结构与运行机制（图示收藏版）

了解了企业合规管理体系的六项基本构成要素（领导机构、合规组织、制度计划、风险识别、监测报告、教育整改）后,需要进一步分析它们的内在结构,才能厘清它们的存在状态和变化脉络。

在企业这一人类社会的制度构造体中,合规管理体系是全面护卫构造体安全的网络系统。为确保这一网络能够有效地发挥作用,其结构应当具有以下基本特征:

首先,这一网络的中枢是合规领导机构,它包括企业的最高领导机构,也包括专门的合规管理领导机构,共同承担企业合规管理的领导责任。

其次,企业的最高领导机构基于其合规管理职责,应要求企业各内设机构、各岗位以及全体员工都要履行合规责任,牢固树立合规意识,所以合规管理体系的结构必须保证合规责任在企业内部实现全覆盖。

最后,合规风险防范过程中,比照人体免疫系统,应当形成识别、监测、清除、整改、完善的层次分明、持续精进的结构脉络。

围绕上述基本特征,合规管理体系的基本结构如图10-1所示:

图10-1合规管理体系的基本结构

分析图10-1,合规组织不仅需要自成体系,而且和企业组织体系内在紧密相连,将合规管理的制度要求全面渗透到企业的领导机构、管理团队、业务部门、业务岗位直至全体员工中。同时在自成体系的合规组织中,不仅需要独立的合规团队完成合规责任的配置、合规计划的制订、合规考核整改和警示教育的落实,而且要建立与业务部门、业务岗位的紧密合作关系,共同对合规风险进行及时准确的识别、监测和清除,这是合规管理体系的有效功能。

由此,我们找到了企业合规管理体系类似于人体免疫系统的三道防线:

(1)经营管理部门;

(2)内控审计部门;

(3)调查考核部门。

它和免疫系统的“免疫器官”“免疫细胞”“免疫分子”三道防线是相吻合的(见图10-2)。

图10-2合规体系三道防线

这三道防线履行各自职责所发挥的作用,我们统称为合规功能,它包括三大方面:

(1)合规风险识别;

(2)合规风险监测;

(3)合规风险清除。

这与免疫系统的“免疫防御”“免疫监视”“免疫自稳”三大功能同样是吻合的。二者的关系如图10-3所示:

图10-3合规体系三项功能

在医学上,免疫系统发挥的功能被称为免疫力,人们习惯于用“免疫力”来评价一个人是否健康。合规管理体系的发挥作用过程,也是一个传输能量的发力过程,我们可以称之“合规力”。

“合规力”概念不在是简单模仿“免疫力”,其科学性在于进一步揭示了企业合规管理体系和人体免疫系统之间的相通性,其最大优点是可以清晰地将合规体系和企业风险管理区别开来。合规管理体系所具有的“合规力”不同与“防控力”,它不仅具有基本的风险防范功能,更重要的是护卫企业经营安全,坚守企业价值观,这是力的整体体现,不只是某一部分的功能。

如前所述免疫系统发挥免疫力的过程,主要是通过“固有免疫冶和“适应性免疫冶两方面工作,固有免疫是先天性的,适应性免疫是后天的。相比较合规管理体系,其发挥合规力的过程同样也是由两方面工作组成的:

合规管理体系

专项合规计划

前者是基础性的,也是先天的;后者是适应性的,是后天的。这是合规管理工作的两大抓手,如图10-4所示:

图10-4合规管理两大抓手

企业合规管理体系运行的质量管理方法是PDCA

对照人体免疫系统的功能定位,我们很容易发现中国企业目前的合规管理突出存在的“空心化”和“盲目化”问题。所谓“空心化”,就是企业合规管理停留在政策宣导和提要求层面,抓落实不到位,形式主义问题突出。所谓盲目化,是指企业合规管理陷入具体的事务中,企业内部部门本位主义现象严重,各自为战,形不成有效合力,合规管理水平整体难以提升。造成这些问题的根本原因是,管理者对企业合规的本质和功能定位认识不清,合规管理体系没有形成合理结构,无法有效发挥作用,所以合规管理就沦落为主要应对外部监管,这必将导致合规管理丧失坚实基础,最终走向失败。

有效的合规管理,在形成内部合理的结构后能够高效运行,这是关键。只有在持续地运行中,才能及时发现并有效防范合规风险。作为企业管理的重要组成部分,合规管理也应当遵循企业全面质量管理方法。在此,我们认为国际上普遍公认的PDCA质量管理办法,应当作为企业合规管理的运行机制。

PDCA方法是美国质量管理专家休哈特博士首先提出的,由世界著名的质量管理专家戴明采纳宣传,获得普及,所以又称戴明环。全面质量管理的思想基础和方法依据就是PDCA循环。PDCA循环的含义是将质量管理分为四个阶段,即计划(plan)、执行(do)、检查(check)、处理(action)。这一工作方法是质量管理的基本方法,也是企业管理各项工作的一般规律。四个阶段的具体含义分别为:

1.P(plan)计划,包括方针和目标的确定,以及活动规划的制订。

2.D(do)执行,根据已知的信息,设计具体的方法、方案和计划布局;再根据设计和布局,进行具体运作,实现计划中的内容。

3.C(check)检查,总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题。

4.A(action)调整,对总结检查的结果进行处理,对成功的经验加以肯定,并予以标准化;对于失败的教训也要总结,引起重视。对于没有解决的问题,应提交给下一个PDCA循环去解决。

以上四个过程不是运行一次就结束,而是周而复始的进行,一个循环完了,解决一些问题,未解决的问题又进入下一个循环,这样阶梯式上升(见图11-1)。

图11-1PDCA循环

在实际应用中,PDCA方法体现为四个阶段的工作内容:

1.计划阶段。通过市场调查、用户访问等,摸清用户对产品质量的要求,确定质量政策、质量目标和质量计划等,包括现状调查、分析、确定要因、制订计划。

2.设计和执行阶段。实施上一阶段所规定的内容。根据质量标准进行产品设计、试制、试验及计划执行前的人员培训。

3.检查阶段。主要是在计划执行过程之中或执行之后,检查执行情况,看是否符合计划的预期效果。

4.处理阶段。主要根据检查结果,采取相应的措施。巩固成绩,把成功的经验尽可能纳入标准,进行标准化,遗留问题则转入下一个PDCA循环去解决。

作为企业的全面质量管理方法,PDCA具有以下基本特点:

1.大环套小环、小环保大环、推动大循环。

PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。如图11-2所示:

图11-2大环套小环

2.闭路式上升。

PDCA循环不是在同一水平上循环,而是像爬楼梯一样,每循环一次,就解决一部分问题,取得一部分成果,工作就前进一步,水平就进一步。每通过一次PDCA循环,都要进行总结,提出新目标,再进行第二次PDCA循环,使品质治理的车轮滚滚向前。PDCA每循环一次,品质水平和治理水平均更进一步。如图11-3所示:

图11-3闭路式上升

根据合规管理体系形成的基本结构,按照PDCA方法运行,形成的运行过程包括了下列阶段和步骤:

第一,计划阶段。一般以企业一个经营年度为单位,制订全年的合规管理计划,安排全年任务和计划实现的管理目标。承担这一阶段职责的是合规管理中枢机构,即企业领导机构和专业合规领导机构。

第二,执行阶段。按照计划任务,企业合规管理的三道防线分别抓落实,有序推进合规风险的识别、监测、评估,以及调查、整改等工作。承担这一阶段职责的是合规管理三道防线的岗位(或部门),包括经营管理、内控审计和调查处置。

第三,检查阶段。检查合规计划的落实情况,及时纠正存在的问题和偏差,确保各项任务落实到位。承担这一阶段职责的是合规中枢机构及具体执行部门。

第四,处置阶段。将监测、审计、调查处置后的问题,集中进行处理,根据处理情况提出整改的计划,实现更高水平的合规管理目标。承担这一阶段职责的是第三道防线的部门和合规中枢机构。

综合上述情况,我们以图11-4示之:

图11-4PDCA方法的应用

据此,我们来设计这样一个企业合规管理场景,一个以年度为周期的企业合规管理工作运行轨迹大致是这样的:

1.年初,企业合规领导机构审议批准年度合规工作计划,下发到全公司范围内开始实施。

2.业务部门(小企业可能是业务岗)根据确定的年度合规计划,会同合规工作人员(专、兼职均可),有重点地自查业务中的合规风险,完善合规风险清单,同时将业务开展中的需要合规性审查的事项依照业务流程提交内控部门审核。此外,将自查发现的严重违规问题,移交调查部门核实处理。

3.内控部门(小企业可能是内控岗)负责做好日常业务事项的合规性审查,及时纠正发现的问题,同时将需要进一步处理的违规问题移交给调查部门核实处理。

6.执行部门(由合规领导机构的执行部门担任)每季度检查年度合规计划的落实情况,对于落实不到位的及时纠正,对于新发现的问题及时纠偏。

7.考核部门(由合规中枢机构承担)组织对企业各层级、各部门、各岗位的合规责任落实情况进行考核,根据考核结果进行相应的处理,并提出下一步的整改思路。

8.根据前面的合规自查、内控核查、审计监察、违规调查、合规考核等环节反映出来的问题,在公司内部开展多种形式的合规教育,强化员工的合规意识。

9.根据本年度合规计划落实中反映出来的问题,执行部门提出来年的合规管理计划,提交合规管理委员会审议,启动第二年的合规管理工作。

至此,合规管理在企业一个经营年度内就形成了一次循环,通过改进前一个循环的问题,达到第二个循环,就是合规管理迈上新台阶的过程。

合规管理体系按照PDCA方法运行,也符合“大环套小环”的基本特征,年度合规计划的大循环外,其余三个功能分别在按照PDCA原理形成了小循环运行,具体为:在合规风险识别方面,合规管理体系形成了从“风险识别计划”到“合规风险自查”,到“合规风险监测”,再到“合规问题调查”的识别小循环,如图11-5所示:

图11-5合规风险识别小循环

在合规制度建设方面,合规管理体系形成了从“合规管理基本准则”到“合规风险识别机制”“合规风险监测机制”,再到“合规风险清除机制”的合规制度建设小循环。如图11-6所示:

图11-6合规制度建设小循环

在合规处置整改方面,合规管理体系形成了从“合规整改计划”到“业务部门自纠”,到“监督部门纠偏”,再到“问责整改教育”的整改完善小循环。如图11-7所示:

图11-7合规处置整改小循环

所以,合规管理体系不仅自成闭环运行,它的每一道防线也都各自形成闭环运行,如此企业合规管理才能全面融入业务经营管理中。

正是基于合规管理体系的必要性和重要性,在很多国家或地区,当发生不合规时,组织和组织的管理者以组织已经建立并实施了有效的合规管理体系作为减轻、甚至豁免行政、刑事或民事责任的抗辩,这种抗辩有可能被行政执法机关或司法机关所接受。这对于中国企业无论是在国内还是在境外发展都尤为重要。《指南》以良好治理、比例原则、透明和可持续性原则为基础,可指导未进行合规管理的组织建立、实施、评价和改进合规管理体系,也可对已建立合规管理体系的组织改进合规管理提供指导。

《指南》制定的合规管理体系流程图与其他管理体系一致,以持续改进原则为基础制定。如图11-8所示。

图11-8《指南》的合规管理体系流程

对照我们前述的企业合规管理体系的构成要素、基本结构、主要功能和运行机制,上述流程反映出来的企业合规管理体系的特征,二者是高度吻合的。表现在以下几点:

2.《指南》在合规管理体系之下,建立合规方针(4.2),并要求领导做出合规承诺、建立独立的合规团队(4.1),明确各管理层的合规职责(4.3),并提供相应的支持保障(6),这些是企业合规管理领导机构的职责,负责合规管理决策,配备合规团队,到明确合规职责,再到提供合规保障,进而形成合规管理的职责体系和组织体系。

3.《指南》在合规管理体系的运行中,首先明确两项工作:一是识别合规义务、评价合规风险(3.5/3.6);二是策划应对合规风险并实现目标(5)。这是合规管理工作第一步,识别合规义务及风险,是由第一道防线经营管理部门承担的合规职责。

4.《指南》在识别合规义务和风险的基础上,又进一步建立运行的策划和合规风险控制(7),这是合规管理的第二道防线承担的风险监测职责,它及时发现合规风险并加以处理。

5.《指南》在前期合规管理的基础上,进行绩效评价和合规报告工作(8),对合规责任的履行情况进行绩效考核,将考核结果及时报告领导层,及时掌握组织的合规状况。

6.《指南》依据合规管理体系对合规风险识别、监测、调查,以及绩效评价的结果,对不合规的地方持续加以改进(9),清除企业不合规状况,确保合规管理达到预期目标。

7.《指南》构建的合规管理体系,要求各项合规管理工作形成闭环,内部循环往复运行,这符合合规管理的PDCA运行机制要求,确保合规管理实现动态高效运行,有效发挥合规促发展功能。

鉴于国内企业情况各不相同,《指南》同时明确对组织合规管理不提出具体要求,只提供建立合规管理体系的指南和建议做法。所以,在遵循合规管理基本原理的基础上,企业可以结合自身实际进行调整,确保合规管理落实到位。

在上述基本流程基础上,《指南》明确了企业开展合规管理工作的具体内容,这里按照流程顺序做个归纳梳理,供大家在运用时参考：

1.了解企业所处的内外部环境,确定影响企业合规管理体系构建、预期成果能力的内外部问题,并在更大范围内考虑影响因素,如监管、社会和文化环境、经济形势、内部方针、程序、过程和资源等;

3.确定合规管理体系的边界和适用性,确立其地域范围或者组织的边界范围;

4.系统识别企业的合规义务(包括合规要求和合规承诺),及这些合规义务对组织活动、产品和服务的影响;建立合规管理体系时,首先需要考虑这些合规义务;

5.有适当的合规程序,以确保及时准确地识别合规义务,确保持续合规;

6.对合规风险进行识别、分析和评价;

7.治理机构和最高管理者做出有效合规管理的积极承诺,并贯穿整个组织;

8.治理机构和最高管理者与员工协商建立合规方针,包括合规管理体系建设的基本思路和建设标准;

12.组织策划如何实现合规目标,保留关于合规目标和实现合规目标所策划的措施的文件化信息;

13.建立满足合规义务的程序,并进行策划、实施和控制;

14.采取有效控制措施管理合规义务及对应的合规风险,制定程序并执行和维护,以支持合规方针,实践合规义务;

15.制订持续监视计划,监视合规管理体系,以确保实现合规绩效;

16.建立用以寻求和接收合规绩效反馈信息的程序,确保其有效运行;

17.对所收集的合规绩效反馈信息进行分析、分类;

18.制定指标对合规目标进行测量,对合规绩效进行量化;

19.建立内部报告制度,设定报告义务,将合规报告纳入企业的常规报告中,并对所有不合规做适当报告;

20.定期对企业的合规管理体系进行评审,确保其持续的适用性、充分性和有效性;

21.持续改进合规管理体系的适用性、充分性和有效性。

(一)英国政府关于企业反腐合规程序的六大原则

《反贿赂法》规定,如果企业能够证明已实施“充分措施”等反腐合规程序,便可免遭起诉。但是对于什么样的措施构成合规的“充分措施”,该法案并未涉及,仅在法案中要求英国政府应当为商业组织就“反腐合规”程序提供指导意见。2011年3月30日英国司法部就公司等商业组织如何采取“反腐合规”程序公布了其正式的《指导意见》。

英国政府公布的《指导意见》为“反腐合规”程序提供了六大原则。该六大原则,旨在为所有商事组织规划、执行、监控并评审其合规程序提供指导,而非列明或穷尽所有可能的“充分措施”。商业组织应当根据《指导意见》的原则和企业的具体情况,设计有效防止贿赂的措施,不能理解为只要机械“照做”就可高枕无忧。该六大原则为:

(1)适当的程序。商业组织的合规程序应当与其经营活动所面临的贿赂风险的性质、范围及复杂程度相适应,这些程序应当是清晰的、可获取并可操作的。

(2)高层承诺。要求商业组织建立一种文化,即贿赂是不能接受的。商业组织的股东、董事和高级经理处于最适合的位置培育这种文化。反贿赂的信息必须由高层清晰地传递给每一个员工,包括公平、诚实和公开地开展业务、对于贿赂行为的“零容忍"、对于违反行为的处理、不与拒绝反贿赂的商业伙伴进行合作等。

(3)风险评估。评估是为了让商业组织了解所处行业和市场中的贿赂风险,并保持评估信息的及时更新,这是实施有效反贿赂措施的基础。什么样的评估是充分的,取决于组织的规模、经营活动、客户和市场的情况。贿赂风险包括“反贿赂意识不够”等内部风险和“商业伙伴处于高贿赂风险国家”等外部风险。

(4)尽职调查。商业组织应当了解其商业伙伴(供应商、代理商和中介、各种形式的合资企业和类似关系),知道为什么、什么时候以及向谁支付款项,获取彼此接受的反贿赂协议,使商业关系透明和符合道德。商业组织需要知道商业伙伴的贿赂风险评估和减低政策是否存在和有效。商业组织应当了解从事业务的国家的贿赂风险、可能遇到什么样的贿赂、什么样的防止手段最为有效,该国对贿赂行为的民事、行政和刑事责任以及向地方政府举报违法行为的渠道。

(5)传达。商业组织应当确保其预防贿赂的合规政策和程序通过培训等方式进行了内部和外部传达。该政策和程序已经植入整个组织中,并被整个组织上下所理解。

(6)监控和审查。对于反贿赂而言,审计和财务控制非常重要(必须透明),应当考虑定期审查政策和程序,必要时应引入外部的验证,及时发现不足并改进。不同企业可采取不同的方案:小企业可通过员工和商业伙伴的参与来发现问题,大企业可考虑董事会甚至专门的审计委员会进行独立审计,还可通过媒体报道、政府询问等启动监控和审查程序。

我们前述的合规管理体系六项要素:

(1)领导机构;

(2)合规组织;

(3)制度计划;

(4)风险识别;

(5)监测报告;

(6)教育整改。

英国政府指导的企业反腐合规程序六项原则,二者具有内在相通性。如表11-1所示:

表11-1合规管理体系六项要素与英国反腐合规程序六大原则的比较

英国政府指导企业建立的反腐败合规程序的六大原则,基本上具备了一个企业反腐败合规管理体系应具备的基本要素,但在运行中需要结合企业实际情况进行配置,要素配备是否齐全和充分,是否能够有效运转,不同的企业有不同的状况。

(二)美国的企业合规程序评价标准

2019年4月30日,美国司法部刑事局发布了《企业合规程序评价指南》(以下简称《指南》)。这是美国司法部对企业合规程序设置提供的标准。2020年6月1日,美国司法部进一步更新了《指南》,这次的更新改动并不大,主要是司法部基于自身经验和来自企业以及合规界的重要反馈而增加的内容。

首先,《指南》在第一部分就介绍了出台该文件的目的及核心价值,旨在对企业出现违法行为时,检察官可以据此对企业作出责任的判断,包括:

(1)对企业是提起刑事控告还是出具刑事裁决;

(2)决定罚金金额的数量;

(3)对企业应当处以何种合规义务。

对此,检察官需要判断被调查企业是否建立了一个行之有效的合规体系。《指南》就是为企业提供了这样一个避免违法的行为预期。但在中国法环境下,企业发生违法犯罪行为时,内部合规管理体系并没有成为独立的法律评价对象,而只是在个案中成为是否符合违法或犯罪构成要件的事实要素。这就导致了:

一方面国内企业的合规管理体系建设缺乏共性的、可操作性的内容要素;

另一方面对企业合规程序的评价缺乏统一的标准。

从这个意义上,美国司法部制定的《指南》能统一评价尺度,有效强化法律对企业合规经营的指引和企业的行为预期。

其次,为更好地指导企业完善合规管理体系,《指南》归纳了三个基础性问题:

一是企业合规管理体系设计得是否充分;

二是企业合规管理体系是否被有效实施;

三是企业合规程序在遇到不当行为时是否有效。

这三个问题,相当于企业合规管理的立法、执法和司法三个层面问题。其中,合规管理体系的程序设计是立法,合规管理体系的实施是执法,合规管理体系的有效检验是司法。这符合企业合规管理是企业法治建设的属性特征。

以国内的阿里巴巴公司为例,其合规管理体系基本具备了这三个特征。概括来讲,在立法层面,阿里巴巴出台了通用版的《商业行为准则》,公司各集团、各事业群只能根据自己的特点进行微调。在执法领域,阿里巴巴不仅面向全体员工进行合规认证考试,还要借助大数据等技术手段强化合规制度的落实。在司法层面,阿里巴巴要求做到对公司员工一视同仁,上不封顶,为此成立了集团一级的廉正合规部,只向集团CPO汇报,部门职能充分独立,不受业务部门的干预。

最后,在合规程序的设计上,《指南》为确保制度的可操作性,提出了一系列具体要求,表现在:

(1)制定制度前的风险评估(RiskAssessment);

(2)有效的合规培训和沟通(TrainingandCommunications);

(3)对第三方商业伙伴(供应商、经销商)的管理(ThirdPartyManagement);

(4)高级管理人员的承诺和表率作用(CommitmentbySeniorandMiddleManagement);

(5)合规体系运行的充分自治和资源保障(AutonomyandResources);

(6)有效的激励和惩戒措施(IncentivesandDisciplinaryMeasures);

(7)对合规程序的持续改进、阶段性检测和审查(ContinuousImprovement,PeriodictestingandReview);

(8)对于违规行为的合规调查程序(InvestigationofMisconduct);

(9)对违规行为的原因分析和矫正(A.nalysisandRemediationofAnyUnderlyingMisconduct)。

这些具体合规要求,对于企业而言要做到绝非易事,尤其是中小企业,在建设合规程序上投入成本是很难的。对比前述的合规管理体系六项构成要素,它们同样具有内在的相通性,如表11-2所示:

表11-2合规管理体系六项要素与美国合规程序评价标准的比较