强化企业合规:合规管理三道防线的协同运作
日期:2023-10-08
引言
近些年来,随着国内外政治经济形势的变化,中国企业面对越来越复杂多变的国内外法律规则,合规风险已经成为企业必须面对的最重要风险之一,合规管理对企业的重要性也因此愈发凸显。自2018年以来,中国从中央到地方也不断出台有关加强企业合规管理的规定和指引,推动企业建立合规管理体系及提高合规管理水平。对于国有企业而言,加强合规管理是其防范合规风险、防止国有资产流失的重要举措,而对于民营企业尤其是大型涉外型民营企业,加强合规管理则是其提高国际竞争力甚至获取国际入场券的必由之路。但是合规问题牵一发而动全身,企业合规建设并非合规管理人员的“独角戏”,业务部门要参与、内控或风控部门要介入、审计或纪检监察部门要监督,这些部门如何在合规管理体系中进行明确分工和有效协同显得尤为重要,合规管理“三道防线”的说法也因此应运而生。本文将从合规管理三道防线的逻辑原理、历史发展、现实困境等方面进行论述,并基于本文作者丰富的合规管理体系经验提出合规管理三道防线协同运作的突破举措。
“三道防线”的逻辑原理
“三道防线”是内控风险管理体系下提出的企业风控防控策略,旨在强化企业对风险管理和合规性的理解和控制,其理论和模式最初起源于金融行业,并逐渐扩展到各个行业和公司治理领域。近年来,伴随着《中央企业合规管理办法》的出台,三道防线也成为国有资产监管合规管理制度有效运行的重要举措。第一道防线:第一线的运营和管理。第一道防线是指企业或组织的一线业务单位,这些部门直接参与业务运营和风险管理。在这一层面,风险管控的逻辑是将风险管理和合规性责任分配给各个一线部门和业务单位。每个业务部门负有责任确保其业务活动符合法律法规和内部政策,并采取适当的控制措施来管理风险。这一层面的目标是尽量将风险控制在第一道防线,即业务运营的前端,以最大程度地减少风险的出现。第二道防线:检查、指导和支持。第二道防线通常是指企业或组织负责风险管理的职能支持部门,通常是风险管理部门或合规管理部门。在这一层面,逻辑原理是确保第一道防线的部门和业务单位遵守规定,实施了适当的风险管理和合规性措施。第二道防线的任务是检查、指导和支持,以确保第一道防线没有疏漏,并及时发现和纠正风险和合规性问题。第三道防线:(纪检)监察、审计。第三道防线是指独立的(纪检)监察、审计部门。监察、审计的逻辑原理是在职权范围内对风险或合规要求落实情况进行监督,对违规行为进行调查,按照规定开展责任追究。这一层面的任务是为高级管理层提供有关风险和合规性状况的信息,以便可以采取适当的措施来改善和加强组织管理。从企业合规视角来看风险管理的“三道防线”,重点在于合规义务的层层内化,企业通过将法律法规、商业习惯以及利益相关方的要求转换成合规义务,并进一步转化为内部规定,然后以建立制度、设定流程等方式进行将合规义务内化为企业内部人员的合规职责,进行内部控制;通过三道防线的合规职责分配,企业可以建立一套多层次的风险管理和合规性控制体系,以最终达到风险控制目标。
风险管理三道防线的历史发展
风险管理“三道防线”理论的最初来源一直没有定论,目前普遍认为“三道防线”理论最初起源于金融行业的风险管控与治理,后来也在其他领域中引入,成为一种重要的风险管理方法论。从国内来看,据可查资料显示,1997年,中国人民银行发布了《加强金融机构内部控制的指导原则》(以下称《指导原则》)(2007年已废止)[1],首次提出三道防线管理体系,即“建立一线岗位双人、双职、双责为基础的第一道监控防线”“建立相关部门、相关岗位之间相互监督制约的工作程序作为第二道监控防线”“建立以内部监督部门对各岗位、各部门各项业务全面实施监督反馈的第三道防线。”2001年,为引导证券公司规范经营,完善证券公司内部控制机制,增强证券公司的自我约束能力,推动证券公司现代企业制度建设,防范和化解金融风险,证监会发布了《证券公司内部控制指引》[2]其中再次提及“三道监控防线”,其中关于“三道防线”的表述整体上继承1997年人民银行《指导原则》的内涵,即一线岗位监督、部门岗位制衡以及监督部门监控等三道防线。2006年,为了加强国有企业全面风险管理,确保国有资产保值增值和企业持续、健康、稳定发展,国务院国有资产监督管理委员会发布《中央企业全面风险管理指引》[3],其中提到我国企业应根据实际情况加强风险管理体系的建设,构建风险管理三道防线,并重视其作用,即各有关职能部门和业务单位为第一道防线;风险管理职能部门和董事会下设的风险管理委员会为第二道防线;内部审计部门和董事会下设的审计委员会为第三道防线。2022年《中央企业合规管理办法(征求意见稿)》规定了中央企业应建立健全合规管理“三道防线”,分为业务、牵头、监督三个层级,以“三道防线”理清了各层级、各部门应该承担的职责,明确了纪检监察、巡视等部门承担第三道防线的职能。尽管出于部门规章规范用语等要求,在最终的《中央企业合规管理办法》发布稿中删除了合规管理“三道防线”的直接表述,但在实务中中央企业合规管理仍然按照“三道防线”的架构和思路开展工作。在国外,依据公开可查资料,最早在2003年英国金融服务监管局(TheFinancial Services Authority:FSA)银行业一份有关“操作风险管理”的文件中记载了三道防线表述。2011年,巴塞尔银行监管委员会(The Basel Committee on Banking Supervision:BCBS)的一份报告《操作风险健全管理原则》再次记载了有关三道防线的表述,涉及业务职能、操作风险管理职能与独立评估三大职能。2013年,国际内部审计师协会(Institute of Internal Auditors:IIA)发布《有效风险管理与控制的三道防线》(THE THREE LINES OF DEFENSEIN EFFECTIVE RISK MANAGEMENTAND CONTROL)[4],提出为了进行有效的风险管理与控制,组织应当搭建三道防线,并说明了三道防线的组成、角色、职责、运作与协调等。在IIA三道防线模型中,在业务运作过程中管理控制是风险管理的第一道防线,管理层建立的各种风险控制和合规监督职能部门是第二道防线,内部审计是第三道防线。2015年与2017年,美国赞助组织委员会(The Committee of SponsoringOrganizations of the Treadway Commission:COSO)分别在其《利用COSO跨越三道防线》(LEVERAGING COSOACROSS THE THREELINES OF DEFENSE)和《企业风险管理框架》(COSO Enterprise Risk Management Framework)对内部控制三道防线的内涵进行了阐述[5],提出第一道防线的职责为企业各业务部门应在前端依照要求做好风险内控工作;第二道防线是风险内控规则的制定者,在第一、三道防线间起着平衡作用;第三道防线独立地进行监督,三道防线都是为企业能够更加健康稳定高效率运行发展。2020年,国际内部审计师协会(IIA)将“三道防线”(Three Lines of Defense)改为了“三线模型”(Three Lines Model)[6]。“三线模型”是对熟悉的“三道防线”的全新审视,澄清和强化了基本原则,扩大了范围,并解释了关键组织角色如何协同工作以促进强有力的治理和风险管理,将传统被动的“风险防御”转变为积极主动的“风险管理”,为现代企业风险防范提供了新的视角。
风险管理三道防线与合规管理的结合
在三道防线的历史发展历程中,风险管理领域在不断演进与深化,在过去的几十年里,企业和组织在实践中积累了丰富的经验,建立了多层次的风险管理机制,以应对各种潜在的威胁和不确定性因素。然而,随着全球商业环境的不断变化和复杂化,仅仅依靠传统的风险管理框架已经不再足够。为了更好地维护企业的长期可持续性和声誉,风险管理三道防线需要与合规管理有机结合,以形成更为强大和综合的风险管理体系。三道防线与合规管理结合最广为人知的国内实践当属2022年《中央企业合规管理办法》的出台。2022年《中央企业合规管理办法》(以下称《办法》)以国资委令的形式印发,通过部门规章对中央企业进一步深化合规管理提出明确要求,其中特别强调业务及职能部门承担合规管理主体责任、合规管理部门牵头负责本企业合规管理工作、纪检监察和审计、巡视巡察、监督追责等部门进行合规监督,实际明确了三道防线的不同合规职责,合规管理的职责分工更加清晰和细化[7],这意味着每个合规管理岗位都应明确了解其在合规管理中的具体任务和责任,确保风险的识别、评估和控制工作得以有序进行。首先,业务部门及职能部门需把好合规风险管理第一道防线。《办法》第13条规定,“中央企业业务及职能部门承担合规管理主体责任,主要履行以下职责:(一)建立健全本部门业务合规管理制度和流程,开展合规风险识别评估,编制风险清单和应对预案。(二)定期梳理重点岗位合规风险,将合规要求纳入岗位职责。(三)负责本部门经营管理行为的合规审查。(四)及时报告合规风险,组织或者配合开展应对处置。(五)组织或者配合开展违规问题调查和整改。中央企业应当在业务及职能部门设置合规管理员,由业务骨干担任,接受合规管理部门业务指导和培训。”主体责任是指企业或组织在合规管理中的主体部门或职能部门必须承担的责任和义务。这些部门需要将合规制度、合规流程和合规风险评估嵌入到其具体业务流程中,以确保组织在其运营过程中能够有效地遵守法律法规、道德准则和内部政策,同时降低潜在的合规风险。主体责任的重要性在于它强调了合规管理的分散性和全员参与。不同的部门和职能单位需要自己负责确保其业务活动的合规性,而不仅仅依赖合规部门或专业团队来处理合规问题。其次,企业合规管理部门需把好合规风险管理第二道防线。《办法》第14条规定,“中央企业合规管理部门牵头负责本企业合规管理工作,主要履行以下职责:(一)组织起草合规管理基本制度、具体制度、年度计划和工作报告等。(二)负责规章制度、经济合同、重大决策合规审查。(三)组织开展合规风险识别、预警和应对处置,根据董事会授权开展合规管理体系有效性评价。(四)受理职责范围内的违规举报,提出分类处置意见,组织或者参与对违规行为的调查。(五)组织或者协助业务及职能部门开展合规培训,受理合规咨询,推进合规管理信息化建设。中央企业应当配备与经营规模、业务范围、风险水平相适应的专职合规管理人员,加强业务培训,提升专业化水平。”第二道防线包括管理层实施的各种风险管理和合规职能,以帮助确保第一道防线实施的控制和风险管理流程得到适当的设计,并按预期运行。合规管理部门的功能通常负责合规风险管控的持续监测。它们通常与运营管理部门密切合作,以帮助提供合规风险管理方面的专业知识、实施政策和操作程序,并收集合规风险信息,以创建一个企业范围内的合规风险和控制地图。第三,纪检监察和审计等部门需把好合规风险管理第三道防线。《办法》第15条规定,“中央企业纪检监察机构和审计、巡视巡察、监督追责等部门依据有关规定,在职权范围内对合规要求落实情况进行监督,对违规行为进行调查,按照规定开展责任追究。”监察审计等部门作为第三道防线与前两道防线的主要区别在于其高度的组织独立性和客观性。《办法》充分给予中央企业纪检监察部门明确的权力进行合规监督,第三道防线通过引入系统的、有纪律的方法来评估和提高合规风险管理、控制和治理过程的有效性,严格落实合规追责问题,从而帮助组织实现其合规风险管控目标。《中央企业合规管理办法》对合规管理提出的“三道防线”要求虽然主要面向国资国企,但对国内广大的民营企业也具有重要的借鉴和启发意义。这三道防线包括合规管理体制、合规文化建设以及合规流程管控,它们不仅有助于国有企业更好地遵守法律法规等合规义务和规范经营行为,也为民营企业提供了有益的参考和指导。
合规管理“三道防线”协同运作面临的困境
合规管理的"三道防线"协同运作在确保企业合规性、可持续性和合规风险管理方面发挥着关键作用。然而,尽管相关规定对“三道防线”做出了区分和职责说明,但文件规定只是理论上的静态概念,企业实践中的“三道防线”是动态的,各道防线间的相互配合、协同运作常常出现问题,具体包括如下:
(一)一道防线合规意识与能力薄弱、二道防线力量配置薄弱
一道防线合规意识与能力薄弱与二道防线力量配置薄弱的问题是“三道防线”协同运作的常见挑战。一道防线往往因为业务压力对合规问题进行妥协或将压力转移给二道防线,而二道防线基于资源配置较为薄弱的原因往往对合规问题识别不够或无力防守,这些可能导致企业面临潜在的合规风险和法律问题。企业在如下方面的合规管理问题也加剧了一道防线和二道防线的合规风险防控不力:1.合规治理顶层设计不健全:在顶层设计上,虽然一般企业都会有一定的业务风险防范流程,不少企业也会有专门的合规管理流程,但在风险与合规治理方面的顶层设计不健全,如管理层过于扁平化、经理层民主议事机制缺乏、董事会履职依托不牢、一些重大决策由董事会下放经理层等;2.合规治理缺陷:风险隐患的背后一般都有合规治理的缺陷,两者高度相关、交织发生。在治理上,针对重大决策、重大部署,未见发挥引领、把关作用的专门的风险与合规议事机制、未见专门负责风险与合规的高管;在管理上,起中枢作用的二道防线的力量薄弱,未见明确的风控合规管理机制,诱发了战略风险、治理风险以及企业粗放式发展等;3.合规意识与能力薄弱:合规文化上,企业存在重业务、轻合规的意识和倾向,风险管理与合规治理理念较为薄弱,主要运行机制未能充分保障管理层利益与企业长期利益的一致;4.所属企业瞒报漏报合规风险:所属企业对风险梳理的质量不高,上报不及时,形式主义突出,存在瞒报、漏报情况;5.制度未得到有效落实:在制度建设方面,存在部分制度未落实、流程规定不完善、在某些流程节点中仍存在管理漏洞的现象;6.信息化管理不完善:在信息化建设方面,尚未上线完整信息化管理平台,不少重要的内控流程、审批权限等仍以手工形式落地。
(二)企业制度的可执行性问题与审计重审不重改的问题
企业制度的可执行性问题与审计重审不重改的问题同样通常被视为合规管理"三道防线"重要问题,因为它们均是维护企业合规综合体系的重要影响因素,对于确保企业合规性体系的有效性和持续改进具有重要意义。首先,企业相关规章制度未配套相应的实施细则或落地指引,将导致合规制度难以落地。企业制度的可执行性是指企业制度是否具有可操作性和可执行性。如果企业制度的可执行性较差,将导致相关的规章制度流于纸面,且公司员工无法得知如何落地执行相关规章制度,从而影响合规管理“三道防线”的协同运作。其次,审计存在“重审不重改”的问题,审计整改结果未与考核结果挂钩并影响审计整改的实效。作为“第三道防线”的审计部对审计过程中发现的问题对被审计部门发出整改函,并要求被审计部门在一定的时间内进行整改。但如果企业没有采取具体的措施推动审计整改的工作开展,审计整改的情况、质量与效果难以衡量,导致审计的工作方面存在重审不重改的问题,“第三道防线”实际作用难以有效发挥。
(三)集团对下属企业的管控与母子公司合规风险隔离的平衡问题
针对大型集团化组织,集团总部对下属企业的管控与母子公司风险隔离问题与合规管理“三道防线”有密切关系。首先是关于集团化管控与一道防线。集团出于集团化管控需要,经常对下属企业进行一体化管理,且通常涵盖各个下属子公司或业务单元的战略规划、资源分配和业务决策,相当于“第一道防线”,即业务部门自身的风险管理措施。在一体化管理中,集团需确保各个子公司或业务单元对风险有适当的认识,并采取适当的控制措施,以确保整体业务的可持续性。其次是有关母子公司风险隔离与第二道防线。风险隔离通常是指在集团层面采取的措施,以减轻某个子公司或业务单元的风险对整个集团的影响。这相当于“第二道防线”,即内部控制、合规和风险管理部门的职责。在这一层面,集团需制定政策、程序和监管机制,以确保各个子公司在遵守法规和合规标准方面有一定的一致性,并且能够适应风险管理的需要。第三是关于监督审计管理与第三道防线。监督审计管理部门通常是指集团或总部层面的审计、纪检监察部门,相当于“第三道防线”。在这一层面,审计或纪检监察部门需与一体化管理和风险隔离相互配合,以确保各个子公司或业务单元在合规性方面一定的独立审查和监督,进行风险调查与违规追责。集团对下属企业的管控与母子公司合规风险隔离的平衡问题是大型组织需要面对的常见挑战。一方面,集团需要保持对其各个子公司或业务单元一定程度的管理控制,以确保整体战略的执行和价值的最大化。另一方面,需要在一体化管理中实施风险隔离,以减轻潜在的合规风险对整个集团的影响。具体而言包括如下:1.一体化管理下的风险隔离问题:一体化管控企业的责任风险易传导至集团,日后若面临重大的赔偿责任、违约责任,有被认定为与集团人格混同的风险,集团可能面临连带责任;2.一体化管理下的运行效率问题:集团对一体化管理公司管控程度较强,可能导致该所属企业的经营效率降低;3.管理价值的平衡与选择问题:管理价值的平衡与选择问题是管理决策中一个关键的方面,涉及在有限资源和多样化利益之间作出决策。企业需要考虑多元化利益相关者、有限资源、风险与回报、战略目标等诸多因素进行抉择,按照经营策略,集团的选择是承受?还是隔离?在管控强度上,优先效率,还是优先合规风险防范?合规三道防线配置薄弱、职责不清晰是“三道防线”协同运作面临的根源性问题。企业合规三道防线的职责分工不清晰,尤其是合规第一道防线的履职意识、抓手和能力薄弱,认为尽是二道防线的事情,由此导致合规第二道防线的压力过大,同时二道防线的力量配置薄弱,难以充分发挥合规管理的支撑性作用。
例如,在“三道防线”正常运作的状态下,第一道防线往往资源较为丰富,被赋予70%的资源配置,正常应承担70%的合规风险管控责任;第二道防线一般相比第一道防线资源配置较少,如被赋予20%的资源配置,则应承担20%的合规责任;第三道防线一般资源更少,如被赋予10%的资源配置,则应承担10%的合规责任。但是,企业在实际运作过程中资源配置比例与责任承担比例往往错位。第一道防线被赋予70%的资源配置,但因其履职意识、抓手和能力薄弱,重业务而轻合规,其仅承担30%的合规责任;第二道防线被赋予30%的资源配置,但却可能承担60%的合规责任。
合规三道防线配置薄弱和职责不清晰是合规管理“三道防线”面临的根本性问题,并且威胁到了合规性体系的整体有效性、资源分配、风险管理以及协同运作。如果其中任何一道防线配置薄弱或职责不清晰,就可能导致信息共享不足、责任模糊和协同问题,从而削弱了整体合规性体系的有效性。合规性体系的强大之处在于它的多层次性质,其中每一道防线都应该发现和解决问题。如果其中一道防线无法履行其职责,潜在的合规问题可能会被忽视或未能及时处理,从而增加了潜在的法规违规风险。此外,如果合规三道防线之间存在重叠的职责或职责不清晰,企业可能会浪费资源,因为多个部门可能在执行相似合规任务时重复工作。这将导致效率低下,同时也可能导致资源分配不足或不合理,从而阻碍了有效的合规管理。职责不清晰还可能导致责任的推诿,使问题的追踪和改进变得困难。如果不清楚哪个部门或个人负责特定的合规领域,问题可能会被搁置或责任模糊,不容易解决和改进,最终对“三道防线”协同运作和维护有效的合规性体系产生了直接的负面影响。
优化“三道防线”协同运作的举措要点
为了解决前文合规"三道防线"实践落地过程中所面临的一系列困境,本文结合作者多年合规建设经验,提出如下举措要点:
(一)充实二道防线力量,理顺“三道防线”的职权与资源分配
充实二道防线的力量、理顺“三道防线”的职权与资源分配是非常关键的组织合规管控策略。只有加强合规部门等二道防线实力,明确第一、第二、第三道防线的角色和职责,企业才能够实现有效的风险管理、提高合规性,并确保内部控制的协同运作。这一举措将有助于提高组织的整体风险防范水平,增强可持续性和合规透明度。在“三道防线”协同运作的过程中,企业应明确划分“三个重点”(重点领域、重点环节、重点岗位)的范围。针对“三个重点”,需明确一道防线、二道防线的具体职责,如二道防线的考核评价、有效性评价、重大事项决策的职责;二道防线在什么节点介入重大事项决策、其具体职责如何、输出成果如何等,并将一道防线、二道防线的职责嵌入相关业务制度、流程和系统。明确重点领域合规风险的管理机制是确保组织在关键领域维持合规性和降低潜在风险的关键步骤。通过建立明确的管理机制,组织能够识别、评估和监督与特定领域相关的合规风险,同时采取适当的措施来防范和化解这些风险。这一过程涵盖了合规政策的制定、员工培训、监测和报告机制的建立,以及持续改进的追踪,从而确保组织在重点领域中保持高度的合规性,提高可持续性和声誉。企业首先需要明确哪些是集团合规风险的重点领域:如所属企业公司治理、资本运作、知识产权、出口管制、反垄断、数据合规等;其次,企业需要明确重点领域合规风险预警和管理,在一二道防线如何进行职责分工;再次,企业需要明确重点领域合规风险的业务数据、管理分工、预警阈值(如有)如何嵌入相关业务系统,确保有效监测、及时预警。建立合规归责与豁免机制是组织内部合规管理的基本要素。这一机制旨在确保所有员工明白自己在合规事项上的责任,并明确规定了违规行为的后果。同时,合规归责机制也应包括一套合理的豁免程序,用于应对特殊情况和合法的特殊请求。通过建立这样的机制,组织可以在合规性和法律遵从之间取得平衡,确保合规责任的清晰分配,同时允许对合规要求进行灵活的应对,有助于降低风险与提高透明度。企业首先需要明确需问责的范围/情形:哪些情形需要问责、各情形下对应承担何种类型的责任、是否已纳入公司的奖惩管理规定?其次,企业需要明确问责的对象:除直接当事人以外,哪些情形有连带责任?连带直接上级或连带部门负责人的情形分别有哪些?再次,企业需要明确问责的执行程序:谁建议,谁决定,谁执行?此外,企业还应当明确履行勤勉、忠实义务,以及履行合规管理义务后的责任豁免机制。4.建立集团二道防线及其领导机构对所属企业的风控负责人的考评机制针对大型组织,建立集团二道防线及其领导机构对所属企业的风控负责人的考评机制,明确抓手,明确权重,是一项关键的风险管理举措。这一机制可以确保合规风险管理在集团层面得到充分重视,同时在各个所属企业内实施一致的标准和最佳实践。通过明确考评的抓手和权重,集团能够明晰合规风险管理的关键焦点,确保风控负责人在关键领域的职责得到切实执行和有效管理。这有助于提高整个集团的风险抵御能力,确保可持续的业务合规运营,并维护企业声誉和可信度。企业首先需要建立对所属企业的风控负责人、本部一道防线的合规风控岗的任前专业能力审查、任中胜任能力评价等机制;进一步,企业需要建立对上述人员的合规考核机制,明确考核权比例(参照通行规则,分类确定,6:4或7:3,甚至5:5),指标包括合规履职情况、合规报送情况、合规体系建设情况、重大合规风险或缺陷发生情况;再次,在执行阶段,对所属企业,通过董事会等治理手段,落实上述管理措施。5.界定各部门的职责与分工、界定集团和所属企业的职责与分工界定各部门的合规职责与分工,以及明确集团和所属企业的合规职责与分工,是确保组织持续合规运营的核心一环。通过明确定义每个部门在合规方面的责任和分工,可以确保在整个组织内部明确职责抓手,建立起一套权责清晰的合规体系。同时,明确集团和所属企业的合规职责与分工,有助于协调不同层级之间的合规工作,确保遵守各种法规、标准和道德准则。这种明确性不仅有助于降低合规风险,还有助于理顺“三道防线”的职权与资源分配,合理发挥二道防线作用,确保内部控制的协同运作。企业通过以下的立方体来界定各个部门之间就专项合规领域的职责、分工和协同,并以此界定集团和所属企业需要做什么来管控合规风险。
(二)落实合规管理“三张清单”,确保合规审查执行有力
落实合规管理的“三张清单”是确保合规审查执行有力的关键措施。依据《中央企业合规管理办法》,国有企业合规三张清单包括合规风险识别清单、岗位合规职责清单以及流程合规管控清单(民营企业可以参照运用)。其中,合规风险识别清单用于识别合规风险,明确所在业务领域合规风险的表现形式、产生原因、违规后果;岗位合规职责清单用于分析岗位职责,明确相关岗位合规义务;流程合规管控清单用于梳理业务流程,明晰合规风险关键控制点,提出管控要求与措施,进而实现目标清晰、责任到位、措施落实。针对“三张清单”企业需要考虑以下三方面的重点问题。首先,针对合规风险识别清单,企业需要合理设定合规风险预警模型,具体包括:(1)哪些重点领域合规风险需建立预警模型:如出口管制、反垄断、商业人权等;(2)模型中预警的指标和对应阈值如何确定?(3)指标和阈值如何嵌入相关业务系统,确保监测平台可获取到相关数据并进行预警?其次,针对岗位合规职责清单,企业需要首先完成合规部门的职责梳理与落地执行,具体包括:(1)明确划分“三个重点”的范围:重点领域、重点环节、重点岗位;(2)针对“三个重点”,明确合规部的职责具体包括哪些(如参与重大事项决策,合规部在什么节点介入?具体职责是什么?输出什么?);(3)将合规部的职责嵌入相关业务制度、流程和系统;(4)履行具体职责的工作流程/指引(如审查重大合同,合规部的审查重点是什么?)。再次,针对流程合规管控清单,企业需要重点关注合规考核与合规问责机制的设计。其一,合规考核应关注:(1)合规考核对象的选择:如专项合规流程owner所属部门负责人、一道防线业务部门负责人、专职或兼职合规官;(2)合规考核的指标及评价规则的设计:如针对专项合规流程owner,指标包括定期开展合规风险评估、建立和维护合规风险清单、主动报送合规风险、有无重大不合规事件发生、合规内控自查的配合度等;(3)合规考核的执行程序:如何纳入绩效合约等。其二,合规问责应关注:(1)明确需问责的范围/情形:哪些情形需要问责?各情形下对应承担何种类型的责任?是否已纳入公司的奖惩管理规定?(2)明确问责的对象:除直接当事人以外,哪些情形有连带责任?连带直接上级或连带部门负责人的情形分别有哪些?(3)明确问责的执行程序:谁建议,谁决定,谁执行?
(三)探索合规集团化管控,完善合规风险评估体系,做到重大合规风险隔离
针对大型组织,合规集团化管控是指在企业集团中为合法、有效地对集团的下属子公司进行管理,预防下属子公司的合规风险蔓延到集团总部,集团总部通过一定的机制,将合规管理要素,包括但不限于合规管理组织、风险评估与持续监控、合规制度流程、培训及宣传、商业伙伴与员工的合规管理、举报、调查和惩罚机制、董事合规监督与风险问题等嵌入下属子公司,下属子公司定期或不定期向集团总部报告合规建设、运行、管理等有关情况的一种管控形式。合规集团管控可以分为治理型管控模式与垂直管控模式。其中,治理型管控模式是指集团总部作为下属子公司的股东,通过合资协议或股东代表提出对子公司合规管控的要求,该合规管控要求按照子公司内部程序被接收后,由子公司执行合规决议,集团总部作为股东行使监督权;而垂直管控模式一般是指集团总部以合规任务书的方式向下属子公司发送合规要求,明确对下属子公司的合规管理要求以及考核指标,集团总部合规部门直接监督检查子公司合规管理中的设计、运行和实际效果等。在合规集团化管控模式下,一道防线承担主体责任,包括集团各事业部门与各分子公司,作为合规第一责任人,开展本业务板块合规工作自查自纠,发现问题及时上报合规管理二道防线与三道防线相关部门,并接受其监督与评价;二道防线承担管理责任,主要为集团合规管理部门,负责依据合规风险等级对下属子公司进行分级管理,对事业部门与下属企业的合规管控工作开展支持与指导,开展定期与专项合规考核评级,同时接受与审查事业部门与下属企业提交的合规管控报告;三道防线承担监督责任,主要为集团纪检、监察、审计部门,负责开展合规审计与不合规事项的责任追究。在探索合规集团化管控的过程中,企业需要重点明确集团总部在合规集团化管控中的角色定位,如总部如何提供合规支持与指导、提供合规监督与评估、提供信息协作等;同时,还需明确合规集团化管控在子公司的执行机制,包括子公司执行合规管理体系基本要素的程序,如对子公司董事会成员的合规培训与传达;董事会通过合规决议并要求管理层制定合规计划;管理层落实合规计划;开展有效性评估等;也包括子公司执行合规管理体系基本要素的制度载体,如公司章程、投资并购协议、履职通知等。完善合规风险评估体系,做到重大合规风险隔离,是企业处理好集团与一体化管理企业的管控与风险隔离的平衡问题的关键步骤。通过建立一个细致而全面的合规风险评估体系,企业能够更准确地识别并分析潜在的合规风险,包括法律法规遵从、道德和商业风险以及来自利益相关方的要求等各方面。这不仅有助于组织更好地了解其面临的合规挑战,还能够提前采取措施来预防或减轻这些风险。合规风险评估是风险识别、风险分析和风险评价的全过程。合规风险评估体系的建设总体遵循“五步法”逻辑:第一步是识别合规义务来源,包括法律法规强制性要求、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求;第二步是从合规义务中提炼出合规风险要点,包括法律诉讼、行政处罚、声誉损害、安全事故、劳动纠纷、洗钱风险等;第三步是通过比照合规风险要点,通过制度审阅、人员访谈、穿行测试等方式梳理企业管控现状;第四步是结合企业管控现状,分析风险敞口大小,包括企业制度建设的完备性与制度实施的有效性;第五步是依据风险敞口的分析,结合事先设置的风险评估指标,针对风险发生的可能性与风险发生后的严重程度进行赋值,并最终进行低/中/高风险评级。在合规集团化管控的模式下,需要有效识别重大合规风险,在关键业务流程设立“防火墙”。重大合规风险的隔离意味着将那些对组织可能产生严重影响的风险隔离开来,以确保它们不会波及整个集团。这需要合规管理“三道防线”在关键业务合规控制节点嵌入合规审批流程,由一道防线识别主要合规风险与实施管控动作,二三道防线进行合规审批与流程把控。合规管理体系具有“责任分割”作用,通过三道防线的协同运作,有效识别重大合规风险,在关键业务流程设立“防火墙”,可以防止企业和高管因供应商、客户、员工的违法犯罪行为而被刑事起诉或承担刑事责任。
结语
合规“三道防线”的职责分工与资源配置问题是影响“三道防线”高效运作的重点问题。“三道防线”的职责分工应当考虑各道防线资源(包括足够的人力、技术、资金和工具)与能力(包括了解相关合规义务、合规风险管理技巧和审计方法等)的合理配置,否则可能导致合规第二道防线的压力过大。如果二道防线的力量配置薄弱,则难以充分发挥合规管理的支撑性作用。三道防线协同运作的关键目标是确保组织在合规性和风险管理方面具备强大的支撑。对此,企业可以重点充实二道防线力量,理顺“三道防线”的职权与资源分配。同时落实合规管理“三张清单”,确保合规审查执行有力是三道防线协同运作的重要抓手。此外,企业也应当在合规集团化管控、完善合规风险评估体系、做到重大合规风险隔离等方面积极开展有益探索,以进一步促进“三道防线”在不同维度的高效协同,整体提升企业合规管理能效,切实防控企业合规风险,以合规管理提升企业持续竞争力。
[1]中国人民银行:1997年06期 关于印发《加强金融机构内部控制的指导原则》的通知,http://www.pbc.gov.cn/bangongting/135485/135495/135499/2889574/index.html
[2]中国证监会:关于印发《证券公司内部控制指引》的通知,https://www.gov.cn/govweb/gongbao/content/2002/content_61917.htm
[3]国资委:关于印发《中央企业全面风险管理指引》的通知,http://www.sasac.gov.cn/gzjg/qygg/200606200105.htm?eqid=c6ba188c000288f300000004642d5fac
[4] IIA Position Paper of Three Lines of Defense,
https://theiia.fi/wp-content/uploads/2017/01/pp-the-three-lines-of-defense-in-effective-risk-management-and-control.pdf
[5]COSO Internal Control - Integrated Framework,https://www.coso.org/guidance-on-ic
[6]The IIA’s Three Lines Model: An update of the Three Lines of Defense,https://www.theiia.org/en/content/position-papers/2020/the-iias-three-lines-model-an-update-of-the-three-lines-of-defense/
[7]国务院国资委政策法规局负责人就《中央企业合规管理办法》答记者问,https://www.gov.cn/zhengce/2022-09/19/content_5710634.htm?eqid=a7b22e1b00118c300000000264658a06