“望、闻、问、切”——企业合规评价“四诊法”
作者|马灵珏、尚娟 兰台律师事务所
来源|兰台律师事务所
一、 企业合规评价的概述
企业合规评价,是对既往企业合规管理制度的制定、运行、效果等方面所作的定期综合性审查、分析、评判。其以企业和员工经营管理行为为评价对象,以制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等为评价项目,通过不同方式对企业合规管理情况进行综合审查分析,给出合规意见和建议,最终评定企业合规情况。
2018年11月2日国务院国有资产监督管理委员会公布的《中央企业合规管理指引(试行)》中第二十二条[1]明确要求开展合规管理评估,定期对合规管理体系的有效性进行分析。
2018年12月26日国家发展和改革委员会、国有资产监督管理委员会等7部门联合印发《企业境外经营合规管理指引》,其中第二十七条[2]合规管理体系评价中明确规定“企业应定期对合规管理体系进行系统全面的评价”。
从上述规定来看,合规评价对企业合规管理体系运行有效性具有非常重要作用,作为合规管理评估的重要手段之一,合规评价有助于企业不断发现和纠正企业合规管理中的相关问题,促进合规管理体系的不断完善。
二、企业合规评价的基本特点
1. 周期性——“合规评价”与“合规管理”的区别
合规评价是对既往合规管理体系运行的全面性、有效性、适当性的综合性评价,其具有一定的周期性。通过周期性的合规评价,企业才能不断调整合规管理目标,强化合规管控措施,完善合规管理制度,实现合规管理的持续改进与提升。
2. 客观性——“律所合规评价”与“企业内部合规评价”区别
与企业内部法律部门“只缘身在此山中”不同,律师事务所作为第三方,具备相对客观、公正、公开的第三方视角,能够多角度多视野对企业合规管理进行全方位立体式的客观审查、分析与建议。
3. 专业性——“一般律所合规评价”与“兰台合规评价”区别
因常年专业领域内的法律服务经验积累和专业沉淀,律师事务所在不同专业领域内具有更多的行业领悟、实战经验和细节把控点。而兰台作为一家具有13个专业团队的综合性公司制律师事务所,则更能在短时间内打破不同业务领域内“专业壁垒”,形成综合性的服务优势。
4. 系统性——“合规评价”与“合规尽调”区别
通常合规尽调是以专项的目的和要求为前提,比如常见的反腐败等领域专项合规尽调等,其具有西医专项专科的特点,即“快、准、狠”。而合规评价,则更偏向中医的系统性诊疗,通过对企业经营管理的整体性把握,全面审查分析,以实现企业合规内循环的正常运转。
在企业合规评价中,我们常用的方式包括但不限于访谈、文本审阅、问卷调查、知识测试、抽样分析、穿行测试、系统及数据测试等,但其方法论与中医诊断的四种基本方法“望、闻、问、切”有异曲同工之妙。
那么,企业合规管理评价中如何运用“望、闻、问、切”四诊法?
三、 望诊
“视其外应,以知其内藏,则知所病矣”,望诊,是中医诊断方法中最直观方法。于企业而言,其规章制度不仅是企业合规管理的外在表现,更是企业合规管理的规范性基础,正所谓“无规矩不成方圆”。因此,在企业合规管理制度的“望诊”过程中,我们主要考量的标准有:
1. 合“法”性层面的审查重点:
注:根据审核深度不同,审查重点亦有所不同,且层层递进深入。
2. 合理性层面的审查重点
(1)逻辑严谨性
逻辑是否严谨,看似是简单的表达问题,实际上,逻辑体现了相关规章制度的运行机制、运行理念。在严谨的逻辑体系下,复杂的规章制度可以拆分化简,规章制度的目标才能清晰、流程才更顺畅,实施过程中才不会出现漏洞、不会产生疑惑。
(2)实际操作性
再好的规章制度,如果不具备实际操作性,则犹如纸上谈兵,无法指导实践。因此,在规章制度审核层面,一方面要考虑如何把法律、法规等相关规定转化为日常的流程化管理;另一方面要考虑如何把合规性管理分解到岗、落实到人。
(3)风险可控性
风险无处不在,因此如何将风险控制在一定范围内,就成为规章制度审核的要点。尤其要注意事前的风险识别、分析、预测、防范;事中的风险化解、补救、降低、消除;事后的正向激励和反向追责等。
四、 闻诊
闻诊,本意为根据司天司地的太过或不及而判断病机所在,从而寻针纳药。在企业合规评价过程中,我们的“闻诊”主要体现在对企业相关信息的搜集、整理、审查和分析来判断合规风险。其中主要集中在以下几个方面:
1. 行政许可
行政许可,是指行政机关根据公民、法人或者其他组织的申请,经依法审查准予其从事特定活动的行为。随着“放管服”改革的深入,行政许可事项变化较大,可能面临取消、精简、下放等情况。行政许可乃至行政备案事项和强制性评估项目的备案文件的梳理尤为重要。
2. 行政处罚
行政处罚,指行政主体依照法定职权和程序对违反行政管理秩序,尚未构成犯罪的相对人给予行政制裁的具体行政行为。行政处罚信息可以从行政监管角度有效地反映出企业在实际经营、管理方面存在的瑕疵或问题。
3. 诉讼执行
依据诉讼类型的不同,对行政诉讼相关信息审查分析,重点关注被监管领域内相关问题症结所在;对民事诉讼相关信息审查分析,重点关注合同管理、业务管理、人员管理、公司治理等方面的问题所在;对刑事诉讼相关信息审查分析,重点关注可能涉嫌刑事犯罪的重点环节、重点人员等问题防范方面;通过执行情况,关注维权过程中重点、难点并据此调整、完善相关制度。
4. 其他信息
通过公开渠道的排查式检索,对企业可能涉及负面评价的其他信息进行全面搜集、整理归纳、官方核查及信息锁定,最终根据相关信息给予审查分析、建议,以实现企业舆情管理的完善。
五、 问诊
正如问诊前要建立五运六气的模型,才不至于问题五花八门、结果却茫然无绪。企业合规评价中的问诊,亦须以企业自身合规管理体系为模型,在此基础上进行针对性的提问,才能相对客观、全面地反应企业合规管理体系中的问题所在,客观、真实、有效地作出合规评价,进而予以完善。
参考《中央企业合规管理指引(试行)》,我们可以将企业合规评价的问诊归纳为:制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等7个方面。
围绕上述7个方面所对应的主体、流程、反馈机制等方面设定问题,来判断相关领域主体是否明确、流程是否顺畅、反馈是否及时有效、能否形成有效闭环,发现问题所在并有针对性的提出改进意见。
六、 切脉
人体内的问题能够反应于脉搏跳动的细微差别。企业亦有相应的脉络,能够反应其内在的各项问题。那么,企业合规管理过程中,最基本的脉络可能集中体现在:
1. 公司治理脉络
公司治理结构是指挥公司正常、可持续运营的大脑。随着国企改革的不断深化,企业治理已向公司治理转型。在“切脉”时,我们应严格把握集团公司合规管理过程中的“二归位一不干预”原则,即将依法应由企业自主经营决策的事项归位于企业、将延伸到子企业的管理事项原则上归位于一级企业、原则上不干预企业经理层和职能部门的管理工作。通过重点关注战略管控、财务管控、运营管控三条“脉络”的合规把控,使集团公司对所属企业授权放权的同时,也要确保各项授权放权能接得住、行得稳。
2. 业务脉络
业务是企业生存、发展的根本。业务脉络相关问题的审查分析,是合规管理运行落实到具体岗位,相关法律法规落实成规章、制度、流程,进而贯穿企业生存、发展的有力脉搏。根据企业性质的不同,相关业务脉络亦有所区别和侧重。尤其须特别注意新兴业务、特殊行业、不可抗力等高风险领域的风险识别和防控。
3. 人员脉络
人员是企业合规管理运行的主体。因此把握人员脉络相关问题,才能将企业合规管理运行落实到具体的每一个人,进而形成行之有效的运行机制,强化各级合规意识,最终培育出生生不息的合规文化。
根据人员类型的不同,人员脉络中包括但不限于正式员工、劳务派遣、服务外包人员等脉络;根据人员岗位的不同,又派生出管理岗位、基层岗位、重点岗位、合规岗位等脉络;根据人员管理机制不同,还可以从合规考核、合规评价、合规培训等脉络进行相关考量分析。
七、 结语
正如中医四诊法“望、闻、问、切”其最终目的在于“治未病”,在企业合规评价中“四诊法”的综合运用亦然,最终实现企业合规管理中“瘥”后调摄、防其复发,已“病”早治、防其传变,欲“病”救萌、防微杜渐,未“病”养生、防“病”于先”!
注 释
[1]《中央企业合规管理指引(试行)》 第二十二条
开展合规管理评估,定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,堵塞管理漏洞,强化过程管控,持续改进提升。
[2]《企业境外经营合规管理指引》第二十七条合规管理体系评价
企业应定期对合规管理体系进行系统全面的评价,发现和纠正合规管理贯彻执行中存在的问题,促进合规体系的不断完善。合规管理体系评价可由企业合规管理相关部门组织开展或委托外部专业机构开展。
企业在开展效果评价时,应考虑企业面临的合规要求变化情况,不断调整合规管理目标,更新合规风险管理措施,以满足内外部合规管理要求。