现代企业合规管理体系是对传统公司治理体系的继承与修正。健全的企业合规管理组织体系是推进全面合规体系建设的重要保障,也是后期合规体系顺利落地的必要前提。企业建立合规管理体系的过程中,如何为决策层、管理层和执行层划清合规职能界限,避免出现九龙治水、叠床架屋的局面,正是本文所要讨论的问题。
一、搭建合规管理组织架构的重要性
企业在合规体系建设中的一个重要工作内容就是搭建完善的合规管理架构,协调管理职能和资源配置,强化合规职责及其组织领导。只有在企业的部门、角色、职能、定位等方面满足合规工作要求,部门间汇报路径与协作机制顺畅的前提下,企业的合规工作才能顺利开展。
首先,建立完善的合规管理组织架构是开展合规工作的基本前提。合规管理工作的顺利开展一定要自上而下建立贯穿企业全部机构、人员、流程的管理组织架构。企业全部机构和全体成员都或多或少地承载着合规职责。只有构建起科学的组织架构,才能更好地明确不同层级部门的管理职责和汇报路径,确保企业合规管理体系的高效运行。
其次,完善的合规管理架构是合规工作顺利开展的必要保障。合规管理作为企业的重要内控机制,必然涉及不同部门的协同运作。只有建立完善的合规管理组织架构,才能够使合规、风控、审计、法务、业务等部门充分发挥优势,形成管理合力,将合规管理各项工作落实到位。
最后,完善的合规管理架构更是建立长效合规机制的内在需要。企业的全面合规体系建设并非一蹴而就,而是需要在相当长的一定时期不断地进行巩固和完善。这样一个体系的建立,需要以合规理念的树立、合规机构的设置、合规角色和责任的明确为基础和依托,来保障合规管理工作的稳步推进并长期保持以及业务经营实现稳健运行。
二、搭建合规管理组织架构的基本原则
合规组织架构搭建的核心是解决合规管理工作的权力配置问题,其根本目的是保证股东和董事能够准确了公司的合规情况,及时发现、纠正公司内部的合规风险和违规现象,保障公司价值观、目标、战略的顺利实现。一般而言,公司内部设立合规管理机构应遵循以下三个原则:
第一,独立性原则。“独立”是合规管理机构的核心标准。独立的合规管理机构首先体现在汇报路径的独立。合规管理机构的汇报条线通常是垂直的,即下级合规管理机构向上级合规管理机构、合规管理机构向合规委员会负责,合规管理委员会则直接向董事会负责,相关汇报垂直上报,不受其他部门的辖制。独立的管理机构还应具备充足的权力。从政策制订、流程执行到合规调查、执纪问责及整改,本质都是“管人”、“管事”,没有足够的权威性根本无法开展合规工作。因此,合规机构需要有充足的权力和较高的地位,使其能够影响公司内部管理、顺利完成内部调查任务、有效推进整改。合规管理机构还应配备或能够调动充足的资源,包括人员、经费、设备等硬件条件,保证其不会因此受制于其他部门,或工作无法保质保量完成。
第二,专业性原则。合规的专业性主要体现在法律性。首先,合规的主要义务来源就是法律、法规和行业规范要求,只有合规部门具备专业的法律能力才能准确把握法律法规要求、正确执行法律法规要求。其次,公司的合规体系建设也具有较强的法律性。公司的合规制度搭建相当于公司的“内部立法”,需要将外部制度要求内化成为公司制度,需要一定的“立法经验”。同时,合规调查、执纪问责工作具有更强的法律性。特别是内部调查,涉及调查行为的合法性、证据收集的合法性,以及与后续民事、刑事、劳动争议解决程序的衔接和配合,都是对法律专业要求极高的事项。因此,企业的合规管理机构的设立应当具有专业性,特别是配备相当规模的法律背景人员。
第三,适当性原则。合规组织架构的搭建要与公司的实际需求成比例,过于繁杂则会导致额外的经营成本,过于简单则可能无法防控风险。企业的合规管理架构首先要与公司的经营模式相一致。比如,全球化运营的企业,特别是业务可能涉及到国际制裁及贸易出口管制的企业,应当考虑设置专门的制裁清单审查岗位;中央企业和国有企业则可以依照国资委相关指引搭建合规体系;考虑加入国际行业组织的企业,则要尊重国际通行的要求。另一方面,企业的合规管理机构还要与其风险防控需求相适应。规模较大、合规风险较为复杂的公司,需要在决策层、管理层、执行层搭建完善的合规管理体系,同时要考虑在重点领域设立专职合规联络人员;而规模较小、合规风险较低的公司,则可以考虑由法务、审计、风险等相关部门履行合规管理职责。
三、搭建合规管理组织架构的总体思路
目前,国内企业设计合规管理机构可以参考的制度依据主要有国资委《中央企业合规管理指引(试行)》(“国资委合规指引”)、发改委《企业境外经营合规管理指引》(“发改委合规指引”),以及国家质检总局和标准委联合发布的《合规管理体系指南(GB/T 35770)》(“标准委合规指南”)。三个制度对合规管理机构的层级进行了不同的表述。其中,国资委指南明确了不同部门的合规管理职责;发改委指引将合规管理机构划分为决策层、管理层、执行层三个层级,并专门描述了合规管理机构的组成;标准委合规指南则采用组织决策的分析框架,将合规管理机构分为治理机构和最高管理者、合规团队、管理层、员工。
为了便于分析,我们采用发改委的分类标准,把企业的合规管理部门分成三个层级,即决策层、管理层、执行层。其中,决策层主要包括企业董事会、监事会、合规委员会;管理层主要包括总经理、合规负责人;执行层包括合规管理部门以及公司业务部门。
三个层级都在企业的合规管理体系的建立和有效实施中扮演着重要角色,都应当着力推进合规文化的建立,都应当充分了解企业合规管理体系的内容和运行方式,也都应该以自己的言行,明确支持合规、践行合规。同时,各层级由于定位的不同,在合规体系中发挥作用的方式也有所不同:
企业的决策层主要包括企业的董事会、监事会,以及董事会中设立合规委员会。决策层作为企业合规管理体系的最高负责机构,应以保证企业合规经营为目的,通过原则性顶层设计解决合规管理工作中的权力配置问题并进行重大事项决策。
企业的管理层通常包括公司总经理、合规负责人。其中,合规负责人可以为首席合规官,或由总法律顾问兼任。根据企业对合规工作的重视程度,企业可能任命最高管理层中的一员为合规管理部门的总负责人。管理层应分配充足的资源,建立、制定、实施、评价、维护和改进合规管理体系。
企业的执行层包括合规管理部门和各业务部门。这些部门应及时识别归口管理领域的合规要求,改进合规管理措施,执行合规管理制度和程序,收集合规风险信息,落实相关工作要求。
三个层级的合规职责可以归纳如下:
四、搭建合规管理组织架构的具体实践
(一)决策层:董事会、监事会、合规委员会
企业的决策层应当对企业的合规管理体系负最终责任。决策层应当充分了解企业合规体系的设立和运行,并对合规体系进行有效的监控。在有效的合规体系中,决策层应当发挥如下作用:
充分掌握企业的合规风险。了解风险是防范、化解风险的前提。企业的管理层必须保证能够及时获得有关于企业合规风险的第一手信息。同时,还要对同行业对标企业的风险充分掌握。
审查、批准合规管理体系的关键内容。决策层负责对合规体系的重要部分进行审批,如重大合规制度、风险管理措施、合规委员会的权责等。
领导、支持首席合规官。首席合规官需要从决策层获得充分的授权,以有效开展工作。同时,还要赋予首席合规官就企业合规问题直接向决策层进行汇报的路径。
对企业合规体系进行反馈。决策层应当对企业合规体系的有效性评估,对企业发现重大合规风险时的反映能力进行评估、对首席合规官的合规汇报进行反馈。
对管理层的合规管理工作进行监督问责。管理层合规管理的有效性承担直接责任,其管理效果必须与决策层的预期相一致。
依照国资委合规指引、发改委合规指引和标准委合规指南的相关内容,企业合规体系的决策层主要包括董事会、监事会、合规管理委员会。
1.董事会、监事会
董事会是股东会的执行机关,对股东负有受信义务。受信义务可以分为忠实义务和注意义务两个方面,前者是指董事要以股东利益最大化为行动的出发点,努力避免利益冲突;后者主要指董事要审慎经营并进行良好的商业判断。落实到合规方面,董事的受信义务意味着其应当尽最大努力确保公司以合法、合规的方式运营。这也是董事会在合规管理中的责任来源。
另一方面,合规管理的重要条件就是最高层的重视,英文通常表述为“Tone From the Top”(“最高层的声音”)。如果缺乏最高层的明确指引,企业和员工就会缺乏对合规的正确认识。因此,董事会作为公司的决策层,对于发出合规的“正确声音”尤为重要。
依照国资委合规指引,董事会在合规管理中的职责主要体现在战略制订、人事任免和重大决策方面,承担的合规职能包括但不限于:
(1)批准企业合规管理战略规划、基本制度和年度报告;
(2)推动完善合规管理体系;
(3)决定合规管理负责人的任免;
(4)决定合规管理牵头部门的设置和职能;
(5)研究决定合规管理有关重大事项;
(6)按照权限决定有关违规人员的处理事项。
2.监事会
监事会是公司的内部监督机构,主要作用是防止董事会、管理层滥用职权损害公司和股东利益。监事会的合规管理职能并不突出,主要是监督董事会和高级管理层合规管理职责的履行情况。依照国资委合规指引,企业监事会的合规管理职能通常包括:
(1)监督董事会的决策与流程是否合规;
(2)监督董事和高级管理人员合规管理职责履行情况;
(3)对引发重大合规风险负有主要责任的董事、高级管理人员提出罢免建议;
(4)向董事会提出撤换公司合规管理负责人的建议。
3.合规管理委员会
合规管理委员会在国际实践中通常在董事会中设立,由具备法律、财务、人事管理背景的董事组成。考虑到中央企业的现有管理架构,国资委合规指引明确了中央企业合规管理委员会可以与企业法治建设领导小组或风险控制委员会等合署。实践中,企业的合规管理委会还可能以审计与风险管理委员会(如中石油)、风险管理部(招商局集团)、伦理委员会、职业操守委员会等形式出现。在不设董事会的公司中,合规委员会也可以由执行董事牵头或公司总经理牵头,并由法律、财务、人事管理方面的最高管理层人员组成。但无论以何种形式,其性质都是企业合规管理体系的最高负责机构,负责公司合规管理的总体部署、体系建设及组织实施。
国资委合规指引和发改委合规指引对合规委员会的主要职责进行了概括:
但是,作为公司合规管理的最高责任机构,合规委员会的职责在实践中要丰富的多,可以进一步包括如下内容:
(1)确保公司的内部制度和合规体系能够准确、有效地反映公司经营相关法律、法规的要求,并能够对相关的合规风险形成有效管控。公司的相关合规风险通常可能包括劳动用工、商业贿赂与腐败、数据保护、环境保护、安全生产等。
(2)管控公司的合规管理部门的组织架构、工作计划、财务预算、人员配置和权责履行情况,以及其独立性、权威性、汇报路径。
(3)审查公司合规官的任命、替换、解雇。审查公司重大合规政策、合规工作内容、合规流程以及管理层的反馈。审查合规关于刑事风险或潜在刑事风险的报告。
(4)管控针对公司、公司董事、高管、雇员或公司雇佣外部机构开展的重大内外部合规调查。
(二)管理层:经理层、合规负责人
管理层主要包括以CEO/总经理为首的公司高级管理团队和首席合规官/合规负责人。管理层在合规管理体系架构中起到承上启下的作用:决策层主要负责重大事项决策,通过监督来控制合规管理体系;执行层则具体从事。中间环节的组织架构搭建、战略规划制定、合规制度批准、合规决策意见,以及领导牵头部门工作等责任均由管理层承担。同时,管理层还就合规工作向决策层负责,受决策层监督。
1.经理层
国资委合规指引对经理层的合规职责进行了概括:
(1)根据董事会决定,建立健全合规管理组织架构;
(2)批准合规管理具体制度规定;
(3)批准合规管理计划,采取措施确保合规制度得到有效执行;
(4)明确合规管理流程,确保合规要求融入业务领域;
(5)及时制止并纠正不合规的经营行为,按照权限对违规人员进行责任追究或提出处理建议;
(6)经董事会授权的其他事项。
2.首席合规官/合规负责人
根据合规领域的国际通行实践,建立了全面合规管理体系的企业通常会任命首席合规官。首席合规官是企业的合规负责人,负责企业合规管理工作具体实施和日常监督。在实践中,最常见的几种首席合规官的任命方式有企业任命总法律顾问兼任首席合规官、任命独立的首席合规官但是向总法律顾问报告、任命独立的首席合规官但是直接向CEO和董事会报告。
国资委合规指引中采用了“合规管理负责人”的概念,而发改委合规指引则更加与国际接轨,明确了企业可以任命专职的首席合规官,也可以由法律事务负责人或者风险防控的负责人担任合规负责人。同时,两项指引还对其职能进行了明确。
事实上,企业是否任命专人担任合规负责人并无一定之规。以美国司法部(DOJ)为例,其虽然推荐首席合规官应当是独立、专职的,但是未对此进行明确要求,而是更加关注企业的合规职能是否独立运作,以及在开展合规调查时首席合规官是否具有自主权。
(三)执行层:合规部门
合规部门的职责根据企业性质、规模等不同会有所不同。国资委合规指引和发改委合规指引分别概述了中央企业合规管理部门的一般职责和海外经营的企业的合规管理部门职责。
