2019年8月,有14家上市公司的实际控制人或董事长被公安机关立案调查或被法院判刑。2020年有11家上市公司的15位实际控制人、董事长或高管被公安机关带走,涉嫌的罪名主要是故意杀人、诈骗、信息披露违规、操纵证券市场、内幕交易、挪用资金、行贿等。2021年共有21家上市公司的15位实际控制人、董事长或高管被公安机关带走,其中涉及内幕交易和操纵证券市场罪名的大佬近半数。
2020年,我国先后对《证券法》和《刑法》进行了修订,大幅加大了对上市公司的惩罚力度,提高了上市公司的违法成本,但从近三年上市公司的违规数据看,惩罚力度的加大和违法成本的增加并未起到“杀一儆百”的效果,违法违规反而有上升的趋势,风险高发态势未能根本改观。
而问题的原因归根结底在于上市公司在合规风险管理方面是存在问题的,上市公司只有从“消极合规”走向自主治理;健全合规风险防控体系,只有真正将合规作为企业健康发展的内生动力,才能实现高质量发展和可持续发展。
(一)合规风险的定义
根据我国合规管理体系指南,合规风险是发生不合规的风险和后果,是企业违反合规规范可能导致的制裁、处罚、财产损失和声誉损失的风险。
合规风险属于我国企业经营管理中的十大风险之一。
(二)合规风险产生的严重后果
第一种后果是导致法律制裁,包括违反刑法所导致的刑事处罚,如判刑、没收违法所得、罚款、刑事附带民事赔偿等。
第二种后果是面临监管处罚。国家监管机构对于违规公司及其员工所采取的行政责任处罚,惩罚措施包括罚款、吊销营业执照、取消特种从业资格等。
第三种后果是会有财务损失。财务损失是企业违规操作而遭受直接或间接的经济损失。包括企业因违规导致的诉讼、赔偿等。
第四种后果是会有声誉损失。声誉损失是企业因违规而遭受的市场负面影响评价。具有扩散快、持久难消等特点。
战律师表示,合规风险给企业产生的后果是全方位的,不仅会给企业带来声誉上的损失、财务上的损失,还会面临监管处罚,甚至面临刑事责任。
在管理学上,有一个非常著名的法则——海恩法则,这个法则是20世纪30年代美国工业安全的先驱代表海因里希提出的一个经典法则。他认为,每一起造成严重损失的重大事故背后,必然有29次轻微事故和300起先兆以及1000起事故隐患,为了避免重大事故的发生,企业必须事先做好排查工作,防微杜渐。
合规风险的传导可以分为两个途径,一个外部传导途径,一个是内部的传导途径。外部传导途径是合规事件发生后会导致企业的声誉受损、销售大幅下跌、信用评级下降、投资成本增加、股价下跌,资本状况恶化等,甚至会面临一些监管处罚。内部传导途径来讲,违规以后客户会减少、业务会减少、士气会低落、业绩会恶化、核心人才会外流、股东也会问责等。
无论是内部传导还是外部传导,导致的最严重的后果是企业经营失败、甚至破产。
首先是根据合规风险可能发生的地方不同,可以分为发生在岗位上的合规风险和发生在流程上的合规风险。如在采购部门,有些岗位本身容易发生合规风险。但如果通过其他部门监督,就有可能防止风险的扩散扩大。
其次是从合规风险是否可以有效管理出发,可以分为固有的合规风险和剩余合规风险。固有的合规风险是指企业客观存在和企业现有的一些合规风险,而有些风险可以通过合规管理手段进行规避,去掉可以规避的风险之后,剩下无法规避的风险就是剩余合规风险。
第三种分类是根据违反合规义务的内容不同,可以分为行为不合伦理道德规范风险和行为不符合企业自行承诺风险。
企业合规风险管理是企业合规管理的核心内容,也是企业开展合规管理的基础。但在实务中,有些企业花费了较大的人力、财力和物力,建立了非常庞大的合规管理的队伍,但合规风险仍然还是发生了,这就说明体系虽然建立了,但并没有发挥作用,因此,企业要把合规风险管理要贯穿企业合规管理的始终。
企业合规风险管理是企业全面风险管理的核心内容,合规风险管理需要使用全面风险管理的技术方法;企业法律风险管理又是企业合规风险管理的重要与核心内容,三者应协调联动并建立一体化平台,实现集约化管理。
其实合规风险管理还有一个基础的理论,叫三道防线理论。三道防线理论认为董事会领导下的高管层和业务部门是第一道防线,因为这些管理人员身处企业管理的一线,就要起到合规管理的作用。第二道防线是企业的合规部门,包括合规委员会、合规负责人和合规部,他们共同构成了第二道防线。第三道防线是监事会领导下的审计委员会和审计部门。
如果第一道防线失守,就可以通过第二道线和第三道线里各部门卓有成效的工作起到防控企业合规风险的作用。
根据合规管理项目归类,可分为通用领域的合规风险管理和专项领域的合规风险管理。如劳动用工、财务税收、产品质量责任、环境安全和健康、供应商与合作伙伴等都是属于通用领域的合规风险管理。而专项领域的合规风险管理通常是根据某一类的法律体系来进行划分的,如反垄断和公平竞争、反商业贿赂、商业秘密、数据保护、金融以及和国际贸易相关的进出口管制、制裁和关务合规等。
在分享过合规风险管理的分类后,战律师还特别讲解了合规风险的闭环管理。他表示,在2022年10月1日刚刚实施的《中央企业合规管理办法》(国资委令第42号)中,就提出全面规范合规管理流程,对合规风险识别评估预警、合规审查、风险应对、问题整改、责任追究等提出明确要求,实现合规风险闭环管理,强调了合规风险的闭环管理的机制。
什么是闭环管理?它其实是管理学上的一个著名的模型——PDCA循环,就是通过计划、行动、检查和执行不断循环和不断优化,最终实现管理效率的提升。
闭环管理是实现有效合规管理的灵魂,因为整个合规风险管理环节中,缺少任何一环都不能够形成闭环,缺少任何一环,合规就会出现问题,因此,合规风险一定要强调闭环管理。
确定合规义务的目的是对合规风险的全面梳理,也是合规风险评价的基础。如国家标准《合规管理体系指南》中指出,组织应通过将其合规义务与其行为、产品、服务和运营相关各方面进行比对,以识别出不合规行为可能发生的情况,从而识别出相应的合规风险。
识别了合规义务后,要实现一个“外规内化”,即将外部的法律法规、行业标准、监管规定等合规义务一一列举,将它们作为企业全员遵守的一个规范,以此来防范合规风险。
合规义务大的方面可以分为两类,一类是禁止性合规义务,一个是控制性合规义务。禁止性合规义务来源于禁止性规定,违反了要被处罚。控制性合规义务是内控制度确定的控制措施,缺失会带来合规漏洞。
在合规义务的维护上,战律师表示企业需要不断地将新的合规要求和承诺纳入合规义务清单文件中。为了获得合规义务来源变化信息,企业可通过以参与监管部门或行业组织召开的研讨活动、订阅相关的信息服务、相关法律网站信息检索等方式去获取。
(二)合规风险评估
首先是合规风险的识别。收集和整理企业所有合规风险点,查找合规风险源,收集违规案例,编制初步合规风险清单,以便进一步对合规风险进行监控和控制。
第二步是合规风险的分析。应用一定的方法估计和测定合规风险可能导致法律制裁、监管处罚、重大财务损失和声誉损失等相关风险损失的概率和损失大小,以及对企业整体运营产生影响的程度。
第三步是合规风险评价。将风险分析的结果与企业能够接受的风险水平相比较,或者在各种风险分析结果之间进行比较,以确定风险的等级。利用风险分析过程中获得的对风险的认识,对未来的行动进行决策。
1.合规风险识别
要识别合规风险,首先要辨识合规风险源在哪。
合规风险源是什么?它是指组织内部内在的,以单独的或以结合叠加的形式,具有引起风险发生可能性的因素。一个风险源可以是有形的或者无形的。那些可能引发风险发生的要素,包括谁(哪个岗位、部门)、做了什么(违规行为)、不做什么(内控模块缺失等等)会引发风险的发生。
合规风险源分为四类,一类来自于权利,由某些部门不当行使管理权导致。二是来自于外部法律环境变化。三是来自员工个人,如某些员工不规范的操作。四是制度措施不健全导致的风险源。
在识别合规风险源的问题上,战律师分享了著名的八项权力识别模型。
在企业的经营过程中,可以分解为八种权利,分别是市场营销权、人事权、采购权、计量权、财务资金权、放行权和审批权,还有一个就是关键信息权。
每一个关键权利如果说使用不当,就有可能会给企业带来非常大的合规风险。其中,市场营销权中,营销人员可能会因为开展业务而涉及到一些犯罪,如贿赂罪。而人事权、采购权的某些重要岗位人员则可能会错误运用权利的风险。计量权可能存在记入数据、统计数据时作弊、数据造假的风险。财务知情权更多的是财务部门的负责人滥用权利导致违规风险。放行权和审批权更多的体现在高层领导明知道违规,还予以审批、放行,形成合规风险。关键信息权主要指的是某些关键领导隐匿关键信息不给董事会、高层领导汇报导致合规风险。
八项权利识别模型可以形成企业内部权力分布地图,在不同的岗位,其所掌握的权力也不是不同,如出纳往往只有计量权、财务资金权和关键信息权,而总经理、董事长可能每一项权力都有掌握,因此他们需要承担的责任就更大一些。
在合规风险如何产生和爆发的问题上,战律师强调企业要从两方面考虑,一方面是从内部控制完善程度分析合规风险源,另一方面是从业务本身的自然属性分析合规风险源。
其中,内部控制完善程度分析合规风险源需要从制度缺陷、认知缺失、技术缺陷、监管缺失上进行考虑。业务本身的自然属性分析合规风险源主要是从利益管理、技术性黑箱操作、利益冲突和权力行使上进行分析。
在违规行为的产生上,战律师分享了不合规行为的铁三角定律,即某一些管理人员掌握了一定的权力,同时又有一个不良的动机,再加上开展了一些不当的业务操作,从而导致了违规行为。
具体如何去识别合规风险,战律师分享了两种办法,一是外部识别法,即对合作伙伴的尽职调查和回访和建立监督举报机制。二是内部识别法,即通过识别访谈、问卷调查、案例分析和权力地图进行识别。
2.合规风险的评价
合规风险的评价维度可以分为三种,一是风险严重程度,二是风险发生可能性,三是风险源发生的频率。
进行合规风险评价的著名管理方法叫RPN方法,就是从风险的严重程度、发生的可能性以及可探测度从三个方面对风险进行评估和打分。根据三方面的得分乘积、确定合规风险系数的高低,并确定合规风险的高中低级别。
上述三个方面每一方面分为1到10个等级,一般来说,如果一个合规风险严重程度高于8分,或三方面得分乘积高于100,即属重大合规风险。
每一类合规风险都可以根据计算的数值来确定它的危害程度和爆发频次,而这些数值也可以客观的反映企业的合规风险管理水平。
所有识别的合规风险最终可以形成一个风险评价表,企业可以根据自身的具体情况,设置一个合规风险的广泛可接受区域、中间区域和不可接受区域。处于广泛可接受区域的风险很小,无需采取任何应对措施。处于中间区域的风险,应对时要考虑应对措施的成本与收益,并衡量机遇和潜在后果。处于不可接受区域的风险,要不惜一切代价应对。
3.建立合规风险库
识别合规风险很重要的一个工作就是要建立合规风险库。合规建设一般包括合规业务库、合规风险库、合规制度库、合规指引库。其中,合规风险库是企业可能遇到的合规风险的集合,是合规管理的对象。
企业可以通过三个步骤去建立合规风险库,第一步是识别企业交易循环中的可能的违反合规义务的情形,并记录下来。第二步是对已识别的合规风险进行分析,包括风险源分析、可能性分析及风险后果的分析。第三步是在分析的基础上进行评价,对合规风险进行量化排序。
4.合规风险评估报告的撰写
合规风险评估报告可以分为定期报告、专项报告。整体包括以下几部分内容。一是合规风险评估工作实施概况。二是合规风险评价,确定风险等级,对未来的行动进行决策。三是列明合规风险点,把识别出来的需要采取风险管理措施的合规风险点详细地列出,作为采取合规风险整改和应对管理措施的依据。四是对合规风险发生的原因进行分析、溯源,因为只有找到源头,才能够真正的解决问题,否则只能治标不治本。五是对合规风险发生的损失进行预估。六是列明合规风险处置建议与应对措施。
相较其他报告,合规风险评估报告除了需要撰写人了解法律法规以外,还要了解企业的合规管理、企业所处行业、企业所面临的监管环境和企业内部的组织架构等,要求极高,所以对于综合能力较强的律师来说,未来可能会是业务增长点。
如果风险没有办法进行完全规避,那就要尽量降低风险的影响,进行转移风险。常见的风险转移方式就是商务合同中的合规条款。
对于没有办法规避、降低或转移的风险,最后只能承受,因此就需要评估合规风险的现状,制定相应的合规风险应对措施和应对策略,最终根据措施和策略来进行实施。
(五)合规风险的监督和检查
(六)协调与沟通
合规管理部门在合规风险管理过程的每个阶段都应当有效沟通并制作和保存相关记录,以保证能够充分了解企业面临的合规风险及其给企业带来的影响。
(七)持续改进
合规管理的外部环境和内部环境不断发生变化,要求企业周而复始地、持续地进行合规风险管理。企业通过持续的合规风险管理,循环往复,使合规风险管理的各个环节形成有效的闭环,并不断改进和提高合规管理水平,有效防控和应对合规风险,确保企业安全、稳定、持续经营。
具体而言,律师在合规风险管理可以做四方面的工作,一是合规培训工作,包括管理层合规培训、合规管理职能部门培训、全体员工合规培训和合作伙伴合规培训。二是进行合规风险库建设工作,包括合规义务的检索、合规风险的识别、合规风险的分析与评价和合规风险库建立与更新。三是进行合规管理制度建立完善工作,包括制定合规管理手册、合规管理办法、专项合规管理制度和专项合规管理指引。四是进行合规风险管控措施的设计工作,包括合规风险管控机制设计、应对具体措施制定、合规举报与保护机制设计和合规调查与处理机制设计。
除上述工作外,律师还有较多的专项合规法律服务,如大数据合规、刑事合规、进出口合规等。
每一个专业领域的合规,都需要非常专业的法律专家来进行一个深入的研究,才能给企业提出一个高质量的、有针对性的专项合规解决方案。
最后,战律师还介绍了一些中小企业比较关注的可以快速上手的合规管理的捷径。
他表示,作为律师,他通常会在日常法律顾问服务的基础上加入合规咨询模块。通过为企业搭建适宜的合规管理架构流程,协助企业组织合规部门;导入合规理念,讲授合规基础知识,介绍合规文件,提高合规管理技能;对企业的业务线、产品线、商业模式等的合规进行诊断、体检并出具报告;对企业的诉讼、纠纷及行业风险进行整理,出具年度风险评估报告的方式来帮助企业来快速实现合规管理。