前言
本文銜接此前的《大型網際網路企業内部合規建設(一)——合規部門、職能建設篇》,從實務的視角展現網際網路大廠内部闆塊機制設定、業務流程設定、配套服務設定等合規建設的實操。
一、闆塊機制設定
根據2022年ACFE釋出的全球舞弊調查報告顯示,采購部門、财務部門是企業内部發生舞弊風險機率較高的單元。不僅如此,研發部門是網際網路企業内設核心闆塊之一,産權保護是網際網路企業合規價值的重要展現。而業務營運中實際解決問題或者預防風險發生,很大程度上依靠于相應的闆塊是否存在有效運作且足以防範風險的合規機制。針對不同的業務闆塊,區分設立不同的合規營運機制,再比對相應的文本制度固定運作方式,使之成為企業内部合規體系的構造之一,是企業合規建設的重點工作。
(一)采購闆塊
采購闆塊常發生的是職務侵占、非國家從業人員受賄、串通招投标等行為,其中更多的特征展現于内部采購人員與外部人員内外勾結,或者是進行關聯交易,形成這種問題的原因除了行為人本身的貪念外,還有較大原因在于内控機缺失、行為人“一言堂”、自主權力過大等,給予行為人實施權力尋租、侵占公司利益的較大空間。圍繞常見問題的原因,根據大廠的内控經驗顯示,可以采取壓縮話語權、限制決策權等措施規範内部作業、決策流程,通過相應機制的設計,展現集體的參與,進而完善采購内控流程。
設立采購專家小組工作機制、招标工作委員會工作機制:一般而言,可以在完善供應商引入辦法、招投标制度的基礎上,分别設立采購專家小組工作機制、招标工作委員會工作機制等。具體而言:對于标的額較小,直接采取比價選購的,可以适用采購專家委員會制或采購專家小組制,由主管副總裁、采購總監及核心采購工程師組成,根據采購計劃及采購員提供的詢價方案,開會确定供應商,并形成采購定點會議紀要記錄決策形成的過程、各方提意見過程等。
對于标的額大,需要根據相關規定實行招投标的,可由采購人員、财務人員、法務人員、審計人員、需求部門人員聯合組成招标工作委員會,根據招投标流程完成招标工作确定供應商,并最終形成招标工作記錄。
(二)财務闆塊
會計記錄缺失、财務事項稽核不嚴謹、審批流程形式化、稅票稽核缺失等,是很多企業财務系統中常見的内部問題。而發生該問題的很大原因在于過度依賴财務文本的參考,财務稽核未發揮實質作用。财務合規管理建設并不能僅依靠既有的财務文本作規範性參考或限制,還應比對相應的運作機制以解決不同情況下可能出現的财務漏洞風險。
建立賬務合規管理機制:第一,實行嚴格的會計記賬制度。完善内部記賬規則,引導财會人員依規填制會計憑證、登記會計賬簿、編制财會報表,并按相關财務準則留存底稿,確定各項費用如實、完整入賬,記錄的内容應真實反映相關業務情況。第二,執行嚴格的财務事項稽核制度。任何款項支出應有相對應的合同、申請審批單及真實、合法票據等材料;核查相關材料時,不僅核查費用支出依據是否真實、服務内容是否已完成、價格是否公允,還要仔細核查相關票據、支援檔案、現場記錄等相關費用支出證明的合理原始憑證;涉及無形服務的,要求送出能展示服務過程的材料和傳遞的成果。第三,實施嚴格的資金支付審查流程。為防止資金被套取,嚴格遵循不相容職務分離原則設定财務審批流程,授權準許職務與執行業務職務相分離,執行業務職務與會計記錄職務相分離,會計記錄職務與資金管理職務相分離,即申請資金支出的環節,至少要有業務人員、會計人員、準許上司、資金管理人員(執行資金轉賬)等參與流程審批。
建立稅務常态化稽核、核查機制:第一,建立常态化發票稽核機制。常态化發票稽核主要展現在稅務參與項目合作的涉稅票問題的把關,并及時規範相關票據的行為。具體為,在合作前期,将稅務合規稽核嵌入業務作業流程或合同會簽流程,確定稅務專員及時針對業務所涉稅票問題提出意見。在合作周期内,打通稅務與資金、業務的聯通,分别在收付款環節、開票環節嵌入稅務的合規稽核,着重規範擷取的發票或開具的發票合規。第二,建立稅務風險内部自查機制,加大内部自查發現獲得虛開發票的違法行為,當發現涉虛開發票的風險時,堅持盡早處置的原則,及時梳理并糾正違法行為,收集相關交易真實性證據,掌握主動權。
(三)研發闆塊
1.知識産權分類保護機制
傳統勞動關系下,大多數企業對勞動者的智力成果的控制,往往會采用在勞動合同或保密協定中設定非常簡單的“工作期間産生的知識産權歸屬于企業”這樣的籠統條款,不僅不能幫助企業實行有效的知識産權保護,還容易引發争議。網際網路大廠由于行業特性,在實行知識産權保護領域有創造性的實施行之有效的機制,即針對不同雇傭環境下由員工産生的知識産權建立知識産權分類保護機制,多方位保護企業知識産權。
第一,勞動合同下的企業與勞動者關于知識産權歸屬的設計:在簽訂勞動合同時,對于高管、決策人員等企業内部高層人士,約定将其在工作中創造的“知識産權以及商業秘密歸屬于企業”,申請專利和著作權登記時,可以将這些員工列為作者、發明者、設計者。對于中層以下員工,将其工作範圍内創造的“商業秘密歸屬于企業”,并定期更新其創造的商業秘密的對象和範圍(将履職中研發産生的知識産權,通過明确列舉的形式确定為商業秘密範圍)。
第二,勞務合同下的企業與勞動者關于知識産權歸屬的設計:這種情形包括勞務派遣、外包服務等非勞動關系下的勞動者創造的研發成果。對于此類員工創造的個别知識産權應當以“普遍吸收+個案吸收”的方式來保護,即公司針對員工創造的所有素材,先作為商業秘密被普遍吸收(一般是通過勞務合同、保密協定等固定條款),再針對個别價值重大的研發成果,單獨簽訂委托創作或研發協定、合作開發研發協定等,約定權利歸屬、利益配置設定及限制排他使用的範圍。
第三,企業與臨時勞動者關于知識産權歸屬的設計:臨時勞動一般是企業購買增值服務時所需的一次性短期的采購服務,企業對臨時勞動者的控制力較弱,内部的制度機制亦難以限制到對方,可以通過個案甲方的優勢地位協商,使用嚴格的限制條款,簽署承攬合同、合作合同等單一的合同明确約定産權歸屬,實作對知識産權的控制。
2.商業秘密保護機制
商業秘密保護是幾乎所有企業會面臨的考驗,現有常見的商業秘密保護多是内部通過采取簽署保密協定的方式一步解決,而這種自認為可以規避風險的“一站式”處理方式往往使内部商業秘密面臨更多的風險。網際網路大廠通常會以保密範圍、保護措施、保密制度、保密教育訓練等多角度建構一體化的商業秘密保護機制。
商業秘密範圍的确定:明确公司内部确定商業秘密範圍的方式,一般有兩種,一是日常郵件或者往來工作的彙封包書中,相關人員以明示的方式作的标注、批示或說明;二是采用保密辨別,如機密、絕密、保密等字樣。
确定多種形式的技術保護措施:對内部員工電腦進行U盤使用權限管理,對文檔設定密碼通路,對計算機内的文檔存儲限定存放區域、實作背景操作監測等。
制訂周邊保密制度:制訂普遍适用的涉保密制度,如勞動合同、商務合同中的保密條款,公司規章制度和其他内控制度中一緻且明晰的保密規定,以及合規部門定期評價保密措施執行效果的相關制度等。
定期開展保密教育訓練:日常重申商業秘密保護範圍、保護措施和相關法律規定的教育訓練,相關典型處罰案例的介紹分享等。
二、業務合規流程設定
很多企業内部都有合規管理系統,既解決企業實際辦公的需要,又能同步實作内部流程管控、完成合規任務。但很多系統展現的僅是企業内部流程上的管控,脫離了合規管理的特征。而合規管理系統,不是單純的電子化作業系統,也是合規環境下的管理系統,應強調系統的合規環境建設。内控流程的合規環境建設,即是要在建設時将企業内部固有架構模式下的合規作業形式,以及内控流程所應遵循的職責分離原則等合規要素,嵌入到流程中。
(一)流程設定梳理的清單内容
企業内部固有架構模式下的合規作業形式,可以通過清單的方式梳理,然後再以單據的申請要求、流程節點、審批權限等在流程中展現。梳理的清單一般有以下四種:
合規風險清單:主要梳理所在行業應遵守的法律法規或監管部門的相關規定,相關業務行為可能出現的不合規事項或法律風險。對識别出的高風險領域,相關聯的業務流程在提單或審批時要提出更高要求。
上司責任清單:主要是梳理公司中高層上司的主管責任範圍,根據不同上司的分工,區分上司的責任範圍,正确設定内部審批流程的流向。
崗位職責清單:就是梳理參與流程申請、審批人員的具體崗位特征。包括申請崗、複核崗、合規崗、審批崗、内審監察崗。以更好引導一份合同、一項業務活動所經曆的流程審批節點。
流程權限清單:即參與到某個事項的流程上的人員具體的授權範圍,包括提單的權限、核實确認的權限、提出意見的權限、或準許、退回、修改、備案等權限。
(二)流程設定遵循的原則
從公司組織架構角度,縱向的監督是自上而下,更多的是強調管理權限和上下級關系,反映的是監督與被監督的對立,但大型網際網路企業中,流程上的縱向監督既可以是上下級的監督,也可以同一事項在流程上經過不同崗位職責之間的互相制約。
具體而言,在流程設計上實作重要崗位間的職責互為補充,換言之,在同一事項流程上應至少有不少于兩名員工經辦,各自有相應的權限負責決定不同卻又聯系緊密的工作事務,在該事項上形成縱向監督。而在監督的流程中,應嚴格規範重要崗位和關鍵人員在授權、審批、執行、監督等方面的權責,遵循内部控制的不相容職權互相分離原則,具體為:執行業務職務與監督稽核職務相分離;執行業務職務與授權準許職務相分離;授權準許職務與監督稽核職務相分離;執行業務職務與會計記錄職務相分離;資金管理職務與會計記錄職務相分離;執行業務職務與資金管理職務相分離。也就是說,内控流程不能存在自提單、自稽核、自準許現象,要多部門聯合參與内控流程,流程上的作業崗位不能出現重複,進而實作内部流程管控的持續性縱向監督,實作流程的合規。
三、内部配套服務設定
(一)企業辦公配套裝置統一
大型網際網路企業都會有内部調查,然而,非官方的調查主體在内部調查活動中無權對員工的相關電子裝置予以扣留調查,但倘若裝置的所有權歸屬企業,且是由企業統一配發的,員工隻是為工作目的而享有受限制使用權,那麼企業在反舞弊調查中在不侵犯調查對象其他權利的情況下有權對員工的裝置予以扣留并做證據收集。是以,在部分嚴格推行反舞弊調查制度的大企業内部,都會相應的實行企業辦公配套裝置統一機制,不僅有助于企業在内部調查中擷取更多的證據;也有助于企業監督員工的日常工作,發現潛在的舞弊行為。
一方面,企業為全體員工配置統一的電腦、手機、優盤、存儲卡等作為公司員工日常工作的工具及存儲檔案的載體,通過制作工作指引以及崗位作業承諾書等,要求員工進行工作事項的一切操作必須使用企業配備的工具及載體,且未經允許,不得删、減、改工具或載體内的任何資訊。不僅如此,聘請專業的技術人員,定期對上述裝置進行技術維護、資料保護,并對電腦、手機等工具從技術上設定一定的檔案日志,記錄工具使用詳情,即使存在删減裝置内的資訊,也可以通過相應的技術手段恢複。
另一方面,确定對公業務溝通、接發檔案使用企業郵箱或企業微信,通過使用特定的交流軟體,既能夠在事後獲得一手痕迹資訊,還可以填補企業對員工日常業務交流、工作檔案接發等方面的監管漏洞。目前大型網際網路企業常做的即是通過向服務提供商購買相應的郵箱服務,設定以自己公司名為字尾的企業郵箱,實作日常工作中企業對内、對外正式的商務溝通、合同、訂單及其他商業材料的接收與發送的有效監控。不僅如此,企業通過申請企業微信認證啟用企業微信,獲得授權後可對納入本企業微信内部的成員和成員添加的客戶進行管理,可對成員設定敏感詞,當成員發送的消息或檔案涉及敏感内容,系統自動進行攔截并在背景預警,幫助企業監控内部資訊洩露的舞弊行為。
(二)合規考核标準量化
合規考核制度是企業合規制度的重要組成部分,促進全面提升企業内部合規執行力。合規考核分為兩類考核路徑,圍繞合規團隊、業務職能部門進行區分量化考核标準,并可以将合規考核标準融入到總體的績效管理體系中。
具體而言,針對合規團隊,可以設立定期季度或年度考核任務,考核評價科目可以量化:合規管理體系的建設及運作情況、合規管理職責的履行情況(即合規團隊根據内部制度确定的職責,是否完成了相應的工作,例如合同審批數量、流程處理情況、項目提出的法律意見情況、案件參與情況和裁判結果等)、發現的合規風險點及合規風險整改情況、合規計劃的執行情況、合規教育訓練情況等。
針對業務職能部門,考核評價科目可以量化:按時完成或參加的合規教育訓練情況、執行企業合規制度和流程情況、有無任何違反合規的行為情況、不合規事件的整改情況、及時報告違規行為或合規風險以避免或減少因合規風險給企業帶來的損失和負面影響情況等。
(三)持續的合規教育訓練與文化宣貫
2020年ACFE釋出的全球舞弊調查報告顯示,通過教育訓練發現的舉報案例數是53%,未經教育訓練發現的舉報案例數是25%,在實行過員工教育訓練的公司,舉報的可能性是未經過教育訓練的兩倍多。也就是說,經過教育訓練後,員工的反舞弊、反腐敗合規意識比較強,一定程度反映内部教育訓練會促進企業合規文化的形成、企業合規氛圍的營造。
大廠内部比較重視日常培合規訓和定期的文化宣貫。日常合規教育訓練是根據公司的業務需求、行業特性開展,有反舞弊合規教育訓練、反腐敗合規教育訓練、反賄賂合規教育訓練、資料保護合規教育訓練、勞動用工合規教育訓練、出口管制合規教育訓練、反洗錢合規教育訓練等,其中根據網際網路大廠的行業特征,開展反舞弊、反腐敗廉潔、資料保護合規教育訓練較為常見,制訂持續的教育訓練計劃,設定相應的教育訓練時間或教育訓練次數,定期完成相應時長的教育訓練任務。例如小米集團2022年通過線上、線下對全部類别員工開展了反貪腐合規教育訓練,覆寫100%員工,累計時常超55000小時。騰訊公司2022年面向員工開展陽光準則學習及考試,針對各事業群敏感崗位和新員工的開展反舞弊教育訓練53場、個人資訊合規必修教育訓練多次、反壟斷合規教育訓練30餘次、反洗錢合規教育訓練23場等專題合規教育訓練。
文化宣貫是讓企業中優秀的文化和價值觀潛移默化的影響員工的思想和行為,是大廠樹立、傳播企業文化、回應社會責任承擔的主要方式之一。一般是通過長期的主題宣傳、定期性開展特定活動、持續性使用數字媒介等多種方式使企業合規文化深入人心。網際網路企業目前對合規文化的宣貫方式不一,例如京東在内外部宣貫“廉潔京東、對腐敗零容忍”主題文化、華為在内部實行特有的《EMT自律宣言》、小米在内部展開廉潔合規教育訓練和廉潔承諾書簽署儀式活動,以及騰訊在内部制作及釋出反舞弊宣傳視訊、發送推文、舉辦年度宣傳活動等,都是合規文化的宣貫方式,向企業内外部傳輸企業合規價值觀、樹立合規形象,傳播内部合規文化。
結 語
本文與之前的第一篇合規部門、職能建設篇的寫法一緻,集中于企業合規建設内部的具體實踐做法,展示大型網際網路企業内部合規建設的一隅。當然,實踐中每個行業、每個企業的特征不同,所搭建的合規體系也不盡相同,是以,本文展示的合規體系建設不代表網際網路企業的通用做法。但是合規體系建設的方法論基本“萬變不離其宗”,是以從合規部門設定、合規監督職能設定、闆塊機制設定、業務流程設定等多個環節着手進行企業内部合規體系的建設或完善,也是各企業在内部合規建設過程中可參考借鑒之。
華商思合刑事團隊
華商律師廖盧洪