合规大年来了,首席合规官是个什么“官”?

作者 | 财经商业治理研究院特约研究员 谢峰 编辑 | 朱弢  

2022年10月12日 20:59  

本文3534字,约5分钟

《中央企业合规管理办法》虽然只适用于央企,但无疑将引领合规的潮流,并推动地方国有企业乃至其他性质企业的合规建设。因此,可以把2022年视为合规大年。

10月1日起,《中央企业合规管理办法》(下称《央企合规办法》)正式施行。此前的9月16日,当国务院国资委发布这份部门规章时,就引爆了合规圈,不少合规从业人士在朋友圈中转发,并加以肯定。

《央企合规办法》要求,“深化法治央企建设,推动中央加强合规管理,切实防控风险”作为中央企业在日常运营中追求的目标。《央企合规办法》虽然只适用于央企,但无疑将引领合规的潮流,并推动地方国有企业乃至其他性质企业的合规建设,因此可以把2022年视为合规大年。

《央企合规办法》中的亮点很多,其中最受关注的是对合规职责,以及设立首席合规官要求。在此,笔者就这两点结合自身的观察,分享一些心得体会。

合规是什么?

对于合规的定义,《央企合规办法》在第三条给出了非常详细的解释,“是指企业经营管理行为和员工履职行为符合国家法律法规、监督规定、行业准则和国际条约、规则,公司章程、相关规章制度等要求。”

定义将合规所规制的对象分为“企业经营管理行为和员工履职行为”,所以,合规并不只是对企业员工做出规范,同时对于企业自身也有约束力。同时,合规并非仅仅是企业内部管理的工具,也具有约束企业对外行为的功能。

具体而言,企业会要求在进行重大决策时取得合规部门的批准,这是内部的管理要求;另外也要求企业在对外开展重大活动时,需要满足相应的实质性和形式性要件,这就是对外的规范要求。

就合规中的“规”而言,《央企合规办法》基本上做了穷尽性的列举:从国际条约到法律法规,再到内部规章制度。现实中,往往对于企业合规有实际指导意义的是企业内部的行为准则,该行为准则一般都将一般员工平时不太会关注或研究的国际条约、法律法规、行业准则,内化为具体、可操作的规则。

举例来说,《反不正当竞争法》明确,经营者不得采用财物或者其他手段贿赂下列单位或者个人,以谋取交易机会或者竞争优势:(一)交易相对方工作人员;(二)受交易相对方委托办理相关事务的单位或者个人;(三)利用职权或者影响力影响交易的单位或者个人。法律规定不难理解,但是如何在实际经营活动中落实法律规定,就需要明确的行为指引。比如,很多药企的行为准则里会明确与医生进行互动时的行为规则,如果向医生支付服务费的,需要基于真实的教育培训需求、实际提供服务、签署书面协议。不少药企还会在行为规则中明确支付服务费的单次上限,以及年度上限,以防止将真实合理的服务费蜕变为商业贿赂。

值得注意的是,在合规的框架里,最近几年也出现了很多细分领域,比如说近期大热的数据合规、反垄断合规甚至ESG合规(虽然,笔者并不赞同ESG合规这个概念,原因是合规在一定意义上对于企业是有强制执行力的,但现在很多ESG规则是倡导性或者先行性的;另外,合规是ESG项下的一个重要指标,没有必要再创设一个ESG合规的概念)。当然,也有永恒重要的合规话题——反商业贿赂合规以及税务合规等。

那么,为什么合规如此重要?以至于需要出台一部专门的规章来加以强调?

对于这个问题可以从正反两个方面来说,从正面意义来看,合规意味着依法依规行事,这对于规范企业经营管理、将企业行为与个人不合规行为进行区隔、维持良好的市场竞争秩序、树立企业积极正面的社会责任形象有着决定作用;从另外一个方面来看,不合规不但会造成企业经济损失,无论这种经济损失是来自于直接行政处罚,或是间接地由于取消资质或解除合同而造成的损失,还会对企业的社会形象、公共信用以及内部规范管理带来不可弥补的伤害。

合规部门主要做什么?

《央企合规办法》第三条明确,合规管理的主要工作是“建立合规制度、完善运行机制、培育合规文化以及强化监督问责等”。另外,其中第十四条中也列举了合规部门的五项主要职责:基本制度建设、重大事项的合规审查、合规风险管理、处理违规行为以及开展合规培训与咨询。这些职责囊括了当前合规的主流模式,尤其是处理违规行为可谓是合规部门的“牙齿”,没有这项权能,合规部门就可能会沦为“老娘舅”。

当然,展示肌肉并非常态,日常的合规管理依然是希望将合规职能进行前置,这主要通过以下两个路径实现。

第一是不断进行政策更新与优化,以反映法律法规以及执法实践的变迁,这可以理解为《央企合规办法》中所说的重大制度建设。制度是企业员工行动的指引,尤其在当下国内外合规环境复杂,企业动辄得咎的情形下,清晰明确以及全面的行动指引就尤其显得重要。

《央企合规办法》第十八条列举,反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等7项重点领域需要制订具体制度或者专项指南。当然,不同类型的企业所面临的合规风险,或关注的重点领域并不一样:对于占据自然垄断地位的央企,反垄断是其重点领域;如果企业是关键信息基础设施的运营者,那么数据保护则是需要特别关注。

第二则需要将合规审查融入日常及重大决策流程中,特别对于一些具有合规风险的项目、活动或者决策,需要合规部门的提前介入,以识别风险,并在对风险进行准确评估的前提下,采取不同的风险管理手段。因此,合规部门在日常业务开展过程中按下暂停键甚至叫停项目等都并不鲜见。

除了在决策过程中被动性的风险管理,合规部门对于合规风险的主动管理也是其重要的职能之一。这主要体现在通过对于合规风险的评估,按照合规风险发生后的严重程度,以及发生的可能性,将风险进行分类分级,并针对不同种类和级别的风险采取不同的管理措施,以规避或降低企业在运营中的合规风险。例如在数据合规中,对于企业处理数据的场景和数据类型进行梳理、对数据进行分类分级、识别企业在数据处理过程中可能会涉及的收集、使用、传输、存储、出境以及分享有关的风险,并针对不同风险采取相应的管控措施,是自《数据安全法》《个人信息保护法》,以及《数据出境安全评估办法》出台以来,企业合规(或者是法务)部门一个主要的职责。

另外,企业合规不能仅仅依靠合规部门推动,业务部门的合规意识对于企业合规的成败举足轻重。这就需要通过形式各异、深入浅出的培训与教育,将合规规则融入员工内心,让员工不但理解规则,同时能够自觉或者不自觉地按照规则行事,这就是《央企合规办法》中所述的合规文化。如笔者所知,很多外企在每年都会举办“合规日”或者“合规大使”活动,以将合规宣传不断推陈出新。

首席合规官是个什么“官”?

《央企合规办法》明确明确要求,中央企业应当结合实际设立首席合规官,不新增领导岗位和职数,由总法律顾问兼任。这个要求一方面确定企业合规职能和法务管理职能的分工,但另一方面在管理体系上又将企业法务部门与合规部门在高管层进行整合,这种一设置保证了法务与合规部门的分工与合作。

当然,法务与合规部门的设置在不同的公司会有不同安排,有些公司将这两个职能分为两个不同部门,有些公司将两个职能合并在一起,有些公司则分久则合,合久则分,并无定势。

《央企合规办法》确定了首席合规官的职责,领导合规管理部门组织开展相关工作,指导所属单位加强合规管理。具体来说,可概括为两项职权,一是重大决策事项的合规审查;二是重大合规事项的牵头与统筹协调。

当然,按照实务经验,首席合规官的职权远不止于此,还包括重大违规事项的调查处理、制订企业合规部门的年度目标与计划,以及合规人员的培养等等,具体的职权与职责会体现在企业的规章制度或者首席合规官的职位描述中。

国务院国资委政策法规局负责人在答记者问时表示,从国际大企业实践看,设立首席合规官是世界一流企业的普遍做法,首席合规官作为企业核心管理层成员,全面领导合规管理体系建设与运行,发挥了积极作用。

事实也是如此,据笔者的观察,首席合规官的一个重要职权体现在企业重大决策的流程控制上,如果没有首席合规官的签字,很多重大决策便不能往前推进。因此,在一些有合规瑕疵的重大决策中,首席合规官可能面临着来自同事甚至领导的巨大压力,往往会被视为业务的绊脚石。这也是为什么在很多外企里面,首席合规官的汇报条线是绕开区域负责人,直接对接总部的合规部门,这样的设置能更好地保证合规部门在决策时的独立性。

基于此,笔者认为,考虑到首席合规官在内部常常秉持的“异议者”身份,与其说是个“官”,不如说是个“风险的管理者”。当然,企业毕竟还是需要在确保合规的前提实现业务增长,因此合规官们也在积极调整角色,将自己从风险管理者向业务伙伴转型,以将自己融入到业务过程中,协助业务部门共同成长。