021-52217199
中合规目标都是放在所有目标的最后面展示。不应理解为其最不重要,而要理解为其最基本。只有设立了专门的合规管理部门的企业,合规目标才会成为此职能部门的主要目标。
所以,合规管理与所有的管理体系都相关,但都是这些管理体系其中的一部分。如果要以合规管理体系作为一个结点来拎的话,那其实是在所有体系中将与其有关联的管理活动拎了出来,这就是为什么大家觉得他们之间都有关系,但又都扯不清的原因。因为着眼的、侧重点、抓取点的不同,容易导致这种理解不清晰。
就具体工作而言,是在各体系中对合规部分和相关内容的巩固和强化,也可以将其相关的内容镜像一份,给合规管理负责机构进一步梳理完善形成合规管理体系,双方是相互促进的良性互动过程。
切不可因此将企业现有的管理体系中的合规管理部分推倒重来,亦或是从零开始建立企业合规体系,要以实质内容和效果为根本出发点。
四、对合规文件的两点建议
1、合规风险的定义
《合规指引》文件的第二条对合规风险进行了定义:中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。
这里首先要向大家解释一下,我们前期和大家普及了很久关于风险的概念。首先风险的提出需要有目标作为载体,对于有些风险而言,自身是携带目标描述的,比如我们这里谈到的合规风险,什么是合规风险?其实这里指的是“不合规所导致的风险”,合规就是目标本身,所以合规风险就是指代那些不合规的情形。自带目标的风险还包括安全风险,都是自带目标的风险描述。
这个定义前半部分的描述,其实是对合规这个目标产生了负面影响的典型表现形式的表述,最后落在了可能性上。这和我在前期风险本质论战**篇和最后一篇提出的对风险的严格定义:对目标产生负面影响的不确定性 只是最后落脚点差了一个词。为什么我支持落在不确定性而不是可能性,因为产生负面影响的可能性只强调了发生的不确定性,没有强调影响的不确定性,而风险是两者不确定性兼具的。
2、合规内容的准确界定
《合规指引》文件中提到的合规是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。
这就是合规所有涉及的各方面内容,我对其中的大部分描述都表示认同,只是对其中关于规章制度的内容持保留意见。按照这样的描述,对企业规章制度的遵循性也属于合规管理的范畴。
“外规”与“内规”
常规的合规管理工作强调的是对外部的法律法规和监管、条约、规则的遵循性,因为“规”已经被立好了,所以叫合规!对于这些“外规”而言,单个企业一般没有对如何“立规”的影响力,能做的只是遵守。
但是如果要将企业对内部的规章制度的“内规”也纳入合规管理的范畴,那会极大扩展合规管理工作的边界,在企业操作层面也会形成一定的理解误差。
“内规”到底属不属于合规的内容?
如果“内规”也属于合规内容的话,就是说如果企业或员工违反的公司的制度规定也属于合规管理的内容,那就面临一个问题,这些规是谁来“立”的?因为只有立了规才有合规一说。如果企业自己立的规有问题怎么办?算不算不合规?
所以,我觉得还是需要区分一下,对企业内规的遵循性很容易和内部控制体系的执行有效性关联在一起,但同时不要忘了还有设计有效性的要求。从COSO的内部控制体系要求来看,对企业内部规章制度的遵循性问题不属于合规目标的内容,而是放在了运营目标下。
那应该如何表述?
我画了一个图方便大家理解,我认为合规的合理范畴应该如下所示,对于外规,企业可以直接采用其相关要求进行直接合规,也可以转化为企业的规章制度来执行。有的企业可能会制定比外部合规要求更严格和谨慎的企业规定,比如追求卓越的公司可能对环保、劳动用工等方面不会止步于外部监管要求的标准。
如果文件的本意确实就是要推行“大合规”做法,将企业自行制定的内规也划入合规管理的范畴,那就需要和企业内部控制体系的制度执行结合在一起,而且要记住不仅有“合规”,还有“立规”!
