前言
本文衔接此前的《大型互联网企业内部合规建设(一)——合规部门、职能建设篇》,从实务的视角展现互联网大厂内部板块机制设置、业务流程设置、配套服务设置等合规建设的实操。
一、板块机制设置
根据2022年ACFE发布的全球舞弊调查报告显示,采购部门、财务部门是企业内部发生舞弊风险概率较高的单元。不仅如此,研发部门是互联网企业内设核心板块之一,产权保护是互联网企业合规价值的重要体现。而业务运营中实际解决问题或者预防风险发生,很大程度上依靠于相应的板块是否存在有效运行且足以防范风险的合规机制。针对不同的业务板块,区分设立不同的合规运营机制,再匹配相应的文本制度固定运行方式,使之成为企业内部合规体系的构造之一,是企业合规建设的重点工作。
(一)采购板块
采购板块常发生的是职务侵占、非国家工作人员受贿、串通招投标等行为,其中更多的特征体现于内部采购人员与外部人员内外勾结,或者是进行关联交易,形成这种问题的原因除了行为人本身的贪念外,还有较大原因在于内控机缺失、行为人“一言堂”、自主权力过大等,给予行为人实施权力寻租、侵占公司利益的较大空间。围绕常见问题的原因,根据大厂的内控经验显示,可以采取压缩话语权、限制决策权等措施规范内部作业、决策流程,通过相应机制的设计,体现集体的参与,从而完善采购内控流程。
设立采购专家小组工作机制、招标工作委员会工作机制:一般而言,可以在完善供应商引入办法、招投标制度的基础上,分别设立采购专家小组工作机制、招标工作委员会工作机制等。具体而言:对于标的额较小,直接采取比价选购的,可以适用采购专家委员会制或采购专家小组制,由主管副总裁、采购总监及核心采购工程师组成,根据采购计划及采购员提供的询价方案,开会确定供应商,并形成采购定点会议纪要记录决策形成的过程、各方提意见过程等。
对于标的额大,需要根据相关规定实行招投标的,可由采购人员、财务人员、法务人员、审计人员、需求部门人员联合组成招标工作委员会,根据招投标流程完成招标工作确定供应商,并最终形成招标工作记录。
(二)财务板块
会计记录缺失、财务事项审核不严谨、审批流程形式化、税票审核缺失等,是很多企业财务系统中常见的内部问题。而发生该问题的很大原因在于过度依赖财务文本的参考,财务审核未发挥实质作用。财务合规管理建设并不能仅依靠既有的财务文本作规范性参考或约束,还应匹配相应的运行机制以解决不同情况下可能出现的财务漏洞风险。
建立账务合规管理机制:第一,实行严格的会计记账制度。完善内部记账规则,引导财会人员依规填制会计凭证、登记会计账簿、编制财会报表,并按相关财务准则留存底稿,确保各项费用如实、完整入账,记录的内容应真实反映相关业务情况。第二,执行严格的财务事项审核制度。任何款项支出应有相对应的合同、申请审批单及真实、合法票据等材料;核查相关材料时,不仅核查费用支出依据是否真实、服务内容是否已完成、价格是否公允,还要仔细核查相关票据、支持文件、现场记录等相关费用支出证明的合理原始凭证;涉及无形服务的,要求提交能展示服务过程的材料和交付的成果。第三,实施严格的资金支付审查流程。为防止资金被套取,严格遵循不相容职务分离原则设置财务审批流程,授权批准职务与执行业务职务相分离,执行业务职务与会计记录职务相分离,会计记录职务与资金管理职务相分离,即申请资金支出的环节,至少要有业务人员、会计人员、批准领导、资金管理人员(执行资金转账)等参与流程审批。
建立税务常态化审核、核查机制:第一,建立常态化发票审核机制。常态化发票审核主要体现在税务参与项目合作的涉税票问题的把关,并及时规范相关票据的行为。具体为,在合作前期,将税务合规审核嵌入业务作业流程或合同会签流程,确保税务专员及时针对业务所涉税票问题提出意见。在合作周期内,打通税务与资金、业务的联通,分别在收付款环节、开票环节嵌入税务的合规审核,着重规范获取的发票或开具的发票合规。第二,建立税务风险内部自查机制,加大内部自查发现获得虚开发票的违法行为,当发现涉虚开发票的风险时,坚持尽早处置的原则,及时梳理并纠正违法行为,收集相关交易真实性证据,掌握主动权。
(三)研发板块
1.知识产权分类保护机制
传统劳动关系下,大多数企业对劳动者的智力成果的控制,往往会采用在劳动合同或保密协议中设置非常简单的“工作期间产生的知识产权归属于企业”这样的笼统条款,不仅不能帮助企业实行有效的知识产权保护,还容易引发争议。互联网大厂由于行业特性,在实行知识产权保护领域有创造性的实施行之有效的机制,即针对不同雇佣环境下由员工产生的知识产权建立知识产权分类保护机制,多方位保护企业知识产权。
第一,劳动合同下的企业与劳动者关于知识产权归属的设计:在签订劳动合同时,对于高管、决策人员等企业内部高层人士,约定将其在工作中创造的“知识产权以及商业秘密归属于企业”,申请专利和著作权登记时,可以将这些员工列为作者、发明者、设计者。对于中层以下员工,将其工作范围内创造的“商业秘密归属于企业”,并定期更新其创造的商业秘密的对象和范围(将履职中研发产生的知识产权,通过明确列举的形式确定为商业秘密范围)。
第二,劳务合同下的企业与劳动者关于知识产权归属的设计:这种情形包括劳务派遣、外包服务等非劳动关系下的劳动者创造的研发成果。对于此类员工创造的个别知识产权应当以“普遍吸收+个案吸收”的方式来保护,即公司针对员工创造的所有素材,先作为商业秘密被普遍吸收(一般是通过劳务合同、保密协议等固定条款),再针对个别价值重大的研发成果,单独签订委托创作或研发协议、合作开发研发协议等,约定权利归属、利益分配及限制排他使用的范围。
第三,企业与临时劳动者关于知识产权归属的设计:临时劳动一般是企业购买增值服务时所需的一次性短期的采购服务,企业对临时劳动者的控制力较弱,内部的制度机制亦难以约束到对方,可以通过个案甲方的优势地位协商,使用严格的限制条款,签署承揽合同、合作合同等单一的合同明确约定产权归属,实现对知识产权的控制。
2.商业秘密保护机制
商业秘密保护是几乎所有企业会面临的考验,现有常见的商业秘密保护多是内部通过采取签署保密协议的方式一步解决,而这种自认为可以规避风险的“一站式”处理方式往往使内部商业秘密面临更多的风险。互联网大厂通常会以保密范围、保护措施、保密制度、保密培训等多角度构建一体化的商业秘密保护机制。
商业秘密范围的确定:明确公司内部确定商业秘密范围的方式,一般有两种,一是日常邮件或者往来工作的汇报文书中,相关人员以明示的方式作的标注、批示或说明;二是采用保密标识,如机密、绝密、保密等字样。
确定多种形式的技术保护措施:对内部员工电脑进行U盘使用权限管理,对文档设置密码访问,对计算机内的文档存储限定存放区域、实现后台操作监测等。
制订周边保密制度:制订普遍适用的涉保密制度,如劳动合同、商务合同中的保密条款,公司规章制度和其他内控制度中一致且明晰的保密规定,以及合规部门定期评价保密措施执行效果的相关制度等。
定期开展保密培训:日常重申商业秘密保护范围、保护措施和相关法律规定的培训,相关典型处罚案例的介绍分享等。
二、业务合规流程设置
很多企业内部都有合规管理系统,既解决企业实际办公的需要,又能同步实现内部流程管控、完成合规任务。但很多系统体现的仅是企业内部流程上的管控,脱离了合规管理的特征。而合规管理系统,不是单纯的电子化作业系统,也是合规环境下的管理系统,应强调系统的合规环境建设。内控流程的合规环境建设,即是要在建设时将企业内部固有架构模式下的合规作业形式,以及内控流程所应遵循的职责分离原则等合规要素,嵌入到流程中。
(一)流程设置梳理的清单内容
企业内部固有架构模式下的合规作业形式,可以通过清单的方式梳理,然后再以单据的申请要求、流程节点、审批权限等在流程中体现。梳理的清单一般有以下四种:
合规风险清单:主要梳理所在行业应遵守的法律法规或监管部门的相关规定,相关业务行为可能出现的不合规事项或法律风险。对识别出的高风险领域,相关联的业务流程在提单或审批时要提出更高要求。
领导责任清单:主要是梳理公司中高层领导的主管责任范围,根据不同领导的分工,区分领导的责任范围,正确设置内部审批流程的流向。
岗位职责清单:就是梳理参与流程申请、审批人员的具体岗位特征。包括申请岗、复核岗、合规岗、审批岗、内审监察岗。以更好引导一份合同、一项业务活动所经历的流程审批节点。
流程权限清单:即参与到某个事项的流程上的人员具体的授权范围,包括提单的权限、核实确认的权限、提出意见的权限、或批准、退回、修改、备案等权限。
(二)流程设置遵循的原则
从公司组织架构角度,纵向的监督是自上而下,更多的是强调管理权限和上下级关系,反映的是监督与被监督的对立,但大型互联网企业中,流程上的纵向监督既可以是上下级的监督,也可以同一事项在流程上经过不同岗位职责之间的相互制约。
具体而言,在流程设计上实现重要岗位间的职责互为补充,换言之,在同一事项流程上应至少有不少于两名员工经办,各自有相应的权限负责决定不同却又联系紧密的工作事务,在该事项上形成纵向监督。而在监督的流程中,应严格规范重要岗位和关键人员在授权、审批、执行、监督等方面的权责,遵循内部控制的不相容职权相互分离原则,具体为:执行业务职务与监督审核职务相分离;执行业务职务与授权批准职务相分离;授权批准职务与监督审核职务相分离;执行业务职务与会计记录职务相分离;资金管理职务与会计记录职务相分离;执行业务职务与资金管理职务相分离。也就是说,内控流程不能存在自提单、自审核、自批准现象,要多部门联合参与内控流程,流程上的作业岗位不能出现重复,从而实现内部流程管控的持续性纵向监督,实现流程的合规。
三、内部配套服务设置
(一)企业办公配套设备统一
大型互联网企业都会有内部调查,然而,非官方的调查主体在内部调查活动中无权对员工的相关电子设备予以扣留调查,但倘若设备的所有权归属企业,且是由企业统一配发的,员工只是为工作目的而享有受限制使用权,那么企业在反舞弊调查中在不侵犯调查对象其他权利的情况下有权对员工的设备予以扣留并做证据收集。因此,在部分严格推行反舞弊调查制度的大企业内部,都会相应的实行企业办公配套设备统一机制,不仅有助于企业在内部调查中获取更多的证据;也有助于企业监督员工的日常工作,发现潜在的舞弊行为。
一方面,企业为全体员工配置统一的电脑、手机、优盘、存储卡等作为公司员工日常工作的工具及存储文件的载体,通过制作工作指引以及岗位作业承诺书等,要求员工进行工作事项的一切操作必须使用企业配备的工具及载体,且未经允许,不得删、减、改工具或载体内的任何信息。不仅如此,聘请专业的技术人员,定期对上述设备进行技术维护、数据保护,并对电脑、手机等工具从技术上设置一定的文件日志,记录工具使用详情,即使存在删减设备内的信息,也可以通过相应的技术手段恢复。
另一方面,确定对公业务沟通、接发文件使用企业邮箱或企业微信,通过使用特定的交流软件,既能够在事后获得一手痕迹信息,还可以填补企业对员工日常业务交流、工作文件接发等方面的监管漏洞。目前大型互联网企业常做的即是通过向服务提供商购买相应的邮箱服务,设置以自己公司名为后缀的企业邮箱,实现日常工作中企业对内、对外正式的商务沟通、合同、订单及其他商业材料的接收与发送的有效监控。不仅如此,企业通过申请企业微信认证启用企业微信,获得授权后可对纳入本企业微信内部的成员和成员添加的客户进行管理,可对成员设置敏感词,当成员发送的消息或文件涉及敏感内容,系统自动进行拦截并在后台预警,帮助企业监控内部信息泄露的舞弊行为。
(二)合规考核标准量化
合规考核制度是企业合规制度的重要组成部分,促进全面提升企业内部合规执行力。合规考核分为两类考核路径,围绕合规团队、业务职能部门进行区分量化考核标准,并可以将合规考核标准融入到总体的绩效管理体系中。
具体而言,针对合规团队,可以设立定期季度或年度考核任务,考核评价科目可以量化:合规管理体系的建设及运行情况、合规管理职责的履行情况(即合规团队根据内部制度确定的职责,是否完成了相应的工作,例如合同审批数量、流程处理情况、项目提出的法律意见情况、案件参与情况和裁判结果等)、发现的合规风险点及合规风险整改情况、合规计划的执行情况、合规培训情况等。
针对业务职能部门,考核评价科目可以量化:按时完成或参加的合规培训情况、执行企业合规制度和流程情况、有无任何违反合规的行为情况、不合规事件的整改情况、及时报告违规行为或合规风险以避免或减少因合规风险给企业带来的损失和负面影响情况等。
(三)持续的合规培训与文化宣贯
2020年ACFE发布的全球舞弊调查报告显示,通过培训发现的举报案例数是53%,未经培训发现的举报案例数是25%,在实行过员工培训的公司,举报的可能性是未经过培训的两倍多。也就是说,经过培训后,员工的反舞弊、反腐败合规意识比较强,一定程度反映内部培训会促进企业合规文化的形成、企业合规氛围的营造。
大厂内部比较重视日常培合规训和定期的文化宣贯。日常合规培训是根据公司的业务需求、行业特性开展,有反舞弊合规培训、反腐败合规培训、反贿赂合规培训、数据保护合规培训、劳动用工合规培训、出口管制合规培训、反洗钱合规培训等,其中根据互联网大厂的行业特征,开展反舞弊、反腐败廉洁、数据保护合规培训较为常见,制订持续的培训计划,设置相应的培训时间或培训次数,定期完成相应时长的培训任务。例如小米集团2022年通过线上、线下对全部类别员工开展了反贪腐合规培训,覆盖100%员工,累计时常超55000小时。腾讯公司2022年面向员工开展阳光准则学习及考试,针对各事业群敏感岗位和新员工的开展反舞弊培训53场、个人信息合规必修培训多次、反垄断合规培训30余次、反洗钱合规培训23场等专题合规培训。
文化宣贯是让企业中优秀的文化和价值观潜移默化的影响员工的思想和行为,是大厂树立、传播企业文化、回应社会责任承担的主要方式之一。一般是通过长期的主题宣传、定期性开展特定活动、持续性使用数字媒介等多种方式使企业合规文化深入人心。互联网企业目前对合规文化的宣贯方式不一,例如京东在内外部宣贯“廉洁京东、对腐败零容忍”主题文化、华为在内部实行特有的《EMT自律宣言》、小米在内部展开廉洁合规培训和廉洁承诺书签署仪式活动,以及腾讯在内部制作及发布反舞弊宣传视频、发送推文、举办年度宣传活动等,都是合规文化的宣贯方式,向企业内外部传输企业合规价值观、树立合规形象,传播内部合规文化。
结 语
本文与之前的第一篇合规部门、职能建设篇的写法一致,集中于企业合规建设内部的具体实践做法,展示大型互联网企业内部合规建设的一隅。当然,实践中每个行业、每个企业的特征不同,所搭建的合规体系也不尽相同,因此,本文展示的合规体系建设不代表互联网企业的通用做法。但是合规体系建设的方法论基本“万变不离其宗”,所以从合规部门设置、合规监督职能设置、板块机制设置、业务流程设置等多个环节着手进行企业内部合规体系的建设或完善,也是各企业在内部合规建设过程中可参考借鉴之。
华商思合刑事团队
华商律师廖卢洪