知风云:在合规建设中,企业常会面临着这样一个难题,究竟是建立全面合规体系还是专项合规体系,也就是选择大合规还是小合规的问题。
作者|知本咨询国企改革数据中心 白佳馨
责编|亿亿 编辑|阿苓
尤其合规作为企业管理过程中的一项重大工程,若是从建设全面合规体系出发,建设一个“大而全”的合规管理体系,似乎面临着短时间投入产出易不成正比的困境,特别是对于大部分集团下属二级、三级企业来说,不仅耗费大量时间、精力,包括人力、资源,还有可能看不到效果,使合规浮于表面。
可若是从建设专项合规体系出发,建设一个“专而精”的管理体系,又似乎面临着可能存在的合规遗漏与管理漏洞,尤其是目前合规管理正在经历从小合规到大合规发展的关键阶段,是否又会与其产生矛盾呢。
究竟要如何平衡这一合规难题?答案不外乎六个字:
一是看适应,二是看匹配,三是看成熟,继而综合考量从而找到两种体系间的平衡点。
一看规模是否适应
具体如何解?我们先来看一个案例,看看这家企业如何处理这一难题?
A企业是一家闻名遐迩的世界级企业,在合规建设初期,就建立起了“以管理为导向”的合规体系建设思路,从合规文化建设、资源投入、流程制度建设和专业能力提升四个维度,建立起自上而下的“大而全”的合规管理体系。
然而随着合规治理进入“深水区”,这种“遵从规则”的思路暴露出愈来愈多的问题。因此,A企业将合规风险的关注逐渐前移,形成了“以风险为导向”的合规管理体系。
最终,A企业将合规管理体系建设集中在三个领域:出口管制、反商业贿赂和数据保护,并据此建立了三种专项合规管理体系:出口管制合规计划、反商业贿赂合规计划和数据保护合规计划。
至此,我们可以看到A作为一家大企业,在已有“大而全”的合规管理体系基础上,选择进入合规治理“深水区”,搭建起针对自身业务发展的专项合规体系,将重点逐渐从“宏观性的日常预防”转向“具象性的现实管控”的合规管理体系建设。
对于国有企业而言,可以说,这种“走向深水区”的模式即符合现实业务实践需求,也符合诸多已出台的国企合规管理政策所倡导,更是符合未来国企合规管理建设发展趋势,真正实现“以形式合规为基础,关注实质合规”。
目前,随着合规管理的深入,已有七成央企完成了大合规的建设工作,基本实现了合规制度更完善、运行机制更顺畅、责任体系更健全以及工作基础更扎实。
因此,在这一背景下,大规模的集团型国有企业继续深入推进合规管理时则需从合规管理的纵向深度、主体关系以及业务关联度入手,进行情况判断:
纵向深度方面,要注重合规管理各个层级的全覆盖。
一方面,子公司通常拥有自己的业务场景、业务体量和业务模式,母公司大而全的合规体系并不一定适用于每一个子公司。
因此,要避免过多的控制权集中在母公司,导致合规风险识别的不及时、不全面,合规政策在具体实施过程中效率低下;
另一方面,由于子公司出现合规风险,母公司则可能会面临承担连带责任的潜在风险。因此,要避免因放权过多,监督不足导致的合规风险。
主体关系方面,要明确“集团是关键,下属企业是基础”这一关系。
集团型国有企业应当以大体系为基础,指导下属企业,探索建立起更符合不同业务发展的专项合规管理,围绕子公司合规治理建设目标,制定和优化子公司的合规治理基线并设置和优化对应标准;
而子企业则可通过制定专项合规管理细则,积极提升自主建设合规体系的能力,在基线之上实现合规自主差异化治理,并对治理结果负责。
业务关联度方面,要注意若是像上文中,A企业那般规模较大、合规风险较为复杂的企业,那么需要考虑在决策层、管理层以及执行层搭建起完善的合规管理体系,同时考虑在重点领域设立专职合规联络人员;
而若是规模较小、合规风险较低的企业,则可考虑相关部门履行合规管理职责。
反之,若是企业规模较小,业务关联度较低,难以适应大合规,则可考虑从子企业专项合规开始着手。
二看需求是否匹配
在具体架构搭建中,我们又应如何考量呢?若是过于繁杂,会导致额外的经营成本,而过于简单,则可能产生无法防控的风险。
这个问题的答案在于——“鞋子合适与否,脚说了算”。我们以集团-子企业的复杂架构搭建为例,进行说明。
按照集团与子企业两层来看,在上层集团层面中,其以董事会为权利执行机构,下设经理层与合规管理委员会(可独立也可合署),再往下是首席合规官与合规管理部门。
这三层防线设置及其职责,我们在前文《合规管理制度体系和组织体系,“44533”核心秘籍》中做过简单讨论,此处不多做说明。
那么在子企业层面,又要如何搭建呢?
一是可以设置总法,进行两级设置搭建;或是在不同子企业中设置合规专员,通过这样的设置,集团合规官与子企业合规专员之间就形成了上下垂直管理的关系,在最大程度上也可保证企业合规独立性。
二是可以根据需要,设置专门的合规管理部门与业务部门。其中,子企业合规管理部门的设置需要根据企业规模情况设置,大则可设部门、小则选择设置合规专员即可;而业务部门则主要负责根据相关政策与业务风险执行合规规则,并上报风险信息。
也就是说,企业合规组织架构的搭建要与企业的实际需求匹配,要和企业的经营模式相一致。
将合规管理方案应覆盖母公司各个层级,全球范围内子公司,建议形成子公司分类分级合规管理方案,子公司全生命周期合规管理方案,并进一步思考如何进一步明确母子公司定位、实现精准合规管理。
图:组织体系建设
资料来源:知本咨询
在实际操作中,我们还需注意一点,就是架构或岗位的设置需要依照企业业务进行特色化设置。
比如说,全球化运营的企业,特别是业务存在涉及国际制裁及贸易出口管制的企业,则需要考虑设置专门的制裁清单审查岗位;而若是考虑加入国际行业组织的企业,则要尊重国际通行的要求。
三看条件是否成熟
企业的合规管理体系需要与其风险防控相关制度需求相适应,也就是说当子企业合规管理体系建设愈加成熟时,子企业可以考虑建立起自己的合规管理体系。
第二,集团在围绕子公司进行合规管理时,需要制定和优化子公司的合规治理基线并设置和优化对应标准,帮助子企业积极提升自主建设合规体系的能力,在基线之上实现合规自主差异化治理,并对治理结果负责。
这本就是一项极为重大的工程,特别是如果一个集团型企业下属存在多家二级、三级子企业时,为避免资源浪费,可考虑重点试行,全面铺开。
这一点,北京电控的做法十分值得借鉴:
2020年12月,北京市国资委批复同意北京电控上报的《北京电控合规管理试点方案》,北京电控全面启动了合规体系建立工作。
以“1+4+N”为主线,2022年前,首先在北京电控和上市公司京东方科技集团股份有限公司、北方华创科技集团股份有限公司、北京电子城高科技集团股份有限公司,以及正在IPO的燕东微电子股份有限公司四家重点企业着手建立合规管理体系。
2022年,北京电控全部所属二级单位开始建立合规管理体系,推动二级单位合规体系基本全覆盖。
第三,子企业合规管理通常可以采取独自治理、差异化治理以及管控治理三种模式。但无论是哪一种类型,我们都需明确,“管业务必须管合规”这一原则。因此,合规管理的建设需要自下而上搭建,并确保由集团统领。
- 独立自治:构建独立的合规治理体系,在自身合规管理委员会下复制母公司架构进行运作,提升合规治理能力;
- 差异化治理:在复制母公司合规管理架构的同时,需根据自身业务特点做适当裁剪,使其符合自身发展阶段及发展特点;
- 管控模式:母公司提供顾问式服务,加强监管、评估和处置决策。母公司以合规顾问的角色,提供合规管理工具,开展子公司合规培训、合规专业人员资格认证和交流活动、指导合规手册编写等,同时开展子公司风险评估、合规检查等指导子公司查漏补缺。母公司对子公司施加监管以保障合规治理目标达成。
这里我们依旧以北京电控为例,看看其对于集团与子企业合规建设关系的处理:
北京电控根据“管控+赋能”的总部定位,明确两级风险管理责任,建立协同机制;建立两级风险管理清单,制定相互协同的应对措施。
北京电控系统的风险在充分调研、访谈、参考企业关注的风险基础上,形成系统层面的风险清单。所属企业的风险充分体现系统关注的风险,同时结合产业情况,形成企业层面的风险清单。
图:北京电控集团与子企业合规建设
资料来源:知本咨询
总的来看,合规管理多层体系搭建涉及主体众多、关系繁杂,关键解题思路需要综合考虑规模适应、需求匹配以及条件成熟,从而找到两种体系间的平衡点,并不断进行动态调整。
混改风云新媒体 出品
未经授权 禁止转载
欢迎分享至 朋友圈