近日,中興通訊高級副總裁、首席法務官申楠發表署名文章:《探索以風險為導向的合規管理體系,助力企業可持續增長》。
中興通訊高級副總裁、首席法務官申楠
經濟全球化給各國企業帶來了更加開放、聯繫更加緊密的國際市場環境,跨國企業在走出去的過程中,面臨著全球市場法律法規遵從,給企業經營帶來了一定的風險和挑戰。企業建立以管理為導向的合規管理體系後,探索以風險為導向的合規管理體系,是企業將風險治理前置以避免僵化遵從規則,也是企業更好地適應不斷變化的外部環境,防範風險、穩健經營並實現可持續增長的重要保障。
2019年,在中興通訊的每一位員工的全心投入以及不懈努力下,公司的合規體系經歷了從理念層面到具體建設層面的重塑,實現戰略恢復期到戰略發展期的進階,合規建設穩步開展並取得了一定成效。在出口管制合規領域,中興通訊加強了合規流程嵌入業務,同時通過完善和擴展GTS和ECCN系統的功能,提升了出口合規自動化水平,進一步完善了出口合規體系,增進了合作伙伴對公司出口合規建設的信任。在反商業賄賂合規領域,中興通訊持續提升反賄賂合規管理體系有效性,深入做好合規與業務的融合;2019年公司再次入選英國富時社會責任指數系列,其中反腐敗合規模塊獲得了領先業界均值的滿分評價。在數據保護合規領域,中興通訊將數據保護合規要求融入到產品設計、服務交付和管理內控活動中,搭建了符合歐盟GDPR要求的公司級合規規則體系,實施了重點業務專項治理與關鍵國別示範治理,推動了業務與合規的高度結合與創新落地。與此同時,中興通訊首次舉辦近500人規模的企業貿易合規論壇,積極推進合規營商環境共建,傳遞企業社會責任。
中興通訊在合規體系建設之初以管理為導向,圍繞合規體系建設八要素,將PDCA(Plan-Do-Check-Act計劃-執行-核查-處理)循環的模式引入到合規業務工作中,創設了業務與管理的雙循環模式,這也構成了公司整個合規管理體系的核心要素,也即合理規則的制定、全面無死角的培訓、堅決的執行和有效的稽查。
以管理為導向的合規管理體系,在企業合規建設初期有著非常明顯的優勢:能夠在短期內集中公司整體的力量,自上而下快速地建立體系,保障實施與穿透;這種以後端管理為導向建立的體系,雖然能夠較好地保持整體合規動作的一致性,但合規政策在具體實施過程中也存在著僵化、盲目執行、效率低下等弊端,往往不能滿足實際業務中靈活多樣的場景化需求。隨著合規體系建設進入新階段,迫切地需要我們迅速提升各級單位合規風險識別的底層思維邏輯,在深刻了解經營活動,明確經營風險偏好的基礎上對業務過程中的法律合規風險進行實時地監控和防範,推動風險治理前移,探索以風險為導向的合規管理體系,實現合規治理質的提升。
以風險為導向的合規管理體系通過對合規底層思維的理解和掌握,以風險識別為導向,以合規管理為工具,在自上而下的合規體系建設的基礎上,進一步推動自下而上規則的場景化、判例化,有效推進合規規則與具體業務的深度融合,形成契合業務實際的合規管理體系。同時推動風險治理前移,業務單位通過對自身經營範圍內合規風險的深入瞭解,結合經營風險偏好的選擇,確定在公司合規規則規範體系內的合規經營思路。中興通訊在實踐中逐步探索了風險導向合規體系建設六步法:
建立和梳理合規規則體系
合規的本質是對法律法規的遵從,合規規則的制定,一方面是將外部法律法規轉換為內部管理規範;另一方面是根據模糊的法律法規要求基於企業風險偏好的管理要求對管理規範進一步細化。因此需要在內部規範中明確哪些是法律法規要求、哪些是企業風險偏好選擇、哪些是企業基於模糊的法律法規所做的進一步細化管理。由此也建立以風險為導向合規管理體系的第一步:明確合規規則的出處與遵從基線。
在此基礎上,合理的規則體系設定也需要與公司組織架構相匹配,與各級單位的合規能力要求相匹配。在中興通訊的金字塔三級合規規則架構中,董事會確定公司經營政策,即公司當前經營的風險偏好,明確公司經營中需要遵從的紅線,形成規則體系金字塔的第一級;合規專業COE(Center of Expertise,專家中心)基於外部法律法規遵從的要求,並結合公司政策確定本合規領域下的合規手冊總冊,形成金字塔架構的第二級;BU(Business Unit,業務單位)合規經理結合具體實際業務開展情況,完善合規分冊中不同領域的合規指引和要求,形成金字塔結構的第三級。通過推進金字塔三級合規規則體系的建設,有效地將外部的法律法規遵從,結合公司經營的風險偏好轉譯成內部的合規管理規範,搭建從政策、手冊到指引的規則體系,層層遞進且相互援引,保證了規則各位階的一致性。
依據規則體系逐級梳理合規管控點
中興通訊基於金字塔式的合規規則體系,創立了三級管控體系,即源自法律法規的一級管控要素,到手冊二級管控領域,再到實際業務流程中的三級管控點。通過嵌入業務的合規管控點梳理,規避了合規手冊因為規則的完整性和語言的複雜性所導致的篇幅冗長和易讀性不強的問題,同時將合規管理要求轉換成業務管理動作。梳理後的合規管控點以業務全景圖的方式向全員呈現,讓員工知悉自身業務範圍內涉及的合規管控點,在這些管控點下需遵循的流程及可能存在的風險。同時通過數字化、IT化將合規管控點嵌入到流程中落地執行,從可能帶來合規風險的行為著手進行管控,使得在整體業務流中合規風險處於可收斂狀態,且管理成本最低,效率最高。
通過風險評估,對規則遵從度和優先級進行排序
結合公司所需要遵從的合規規則及公司各級單位的業務活動情況,在全球範圍內展開風險評估,以經營活動為依據,風險為導向,實現合規的分級化管理。即通過各級單位合規風險概率和影響的評估,對業務流程中要求合規管控的遵從度及優先級排序,幫助各級單位實現以風險為導向的合規規則遵從,最終聚焦於具體業務流程中的合規管控點的遵守,同時也為後續檢查/抽檢提供了方法論支撐。
精準性合規培訓
在逐級梳理合規管控點及遵從度評估後,將在兩個維度快速形成培訓課程和培訓對象,分別是以業務單位為基礎的崗位維度,和合規管控點所對應的一個個流程責任人的場景維度,由此精準性合規培訓才成為可能。中興通訊首創了“1+N”培訓模式,1個崗位培訓和N個場景化培訓。合規適崗的精準化培訓,讓每一個合規關鍵崗位人員清楚自身職責並推動落實,合規場景化培訓也為員工在具體場景中遇到的問題提供操作指南。
開展常態化的檢查、抽檢
通過各級合規管控點檢查項的設立,形成檢查清單Checklist,在此基礎上構建檢查方法論,通過開展業務單位自檢、BU合規抽檢等不同維度的查漏補缺、效果驗證等活動,保證公司合規治理要求及合規管控點的切實執行,並進一步可以及時發現合規規則未覆蓋的盲點及流程中存在的堵點,有針對性地對規則進行優化、補強,推動合規體系建設的不斷完善。
開展獨立審計
審計工作是外部法律/標準的企業化認證,將上述第一步、第二步形成的企業標準,在公司範圍內開展獨立審計工作,並對審計結果進行認證。特別是對於已通過合規檢查/抽檢、合規建設工作已經相對完善的業務單位,進行獨立審計、認證,並通過形成最佳實踐的方式在公司內進行大範圍宣傳,從而對公司其他單位的合規建設形成示範效應。同時將認證後的結果和經營活動強關聯,推動業務單位有更大的熱情和動機去踐行和維護合規體系,並能通過精準化的培訓和合規管控點的遵從落地,來進一步瞭解風險以及提升有效合規體系的管理能力。
此外,審計工作作為合規閉環管理的最後一環,通過完整的審計來識別更加深層的,難以通過單項或多項管控點為主的檢查/抽檢識別的一線問題,推進整體合規體系的螺旋型上升和動態調整,同時更好地滿足企業經營的需求。
六步法的全面實施將後端合規風險管控升級為前端合規風險治理,從業務活動開展的前端避免重大合規經營風險的產生,從根本上改變合規管理疲於風險/危機應對的局面。由此合規管理的價值將不僅僅停留在風險的防範和管控,而是深度結合企業經營,在業務流程中堵漏建制,撬動企業更深層次、更大範圍的企業治理,持續維護公司經營安全,提升企業競爭力。
以風險為導向的合規管理體系,側重於啟發各級經營者從風險處思索經營,激發各級經營者的主觀能動性,形成其合規經營的底層邏輯和方法論,在經營活動中“知可為,明不可為”,使合規管理切實成為企業經營管理密不可分的部分,更好地指導有限資源下的有效投入,真正助力公司安全前提下的商業可持續。
中興通訊始終致力於與合作伙伴一起共建以安全為前提的商業可持續的營商環境,共同實現企業的有質量增長,真正踐行合規創造價值的終極願景。
閱讀更多 中興通訊 的文章
