“合规”定义详解
在企业管理中,“合规”是很重要的一个管理目标,大到“合规经营”,小到“合规操作”;合规也是一个管理分支,企业除了合规管理外,还有应急管理、创新管理等分支。从字面意思来看,“合规”是个动名词,“合规=合+规”,即:合乎规定、合乎规矩。如此看来,要合规,首先要有“规”,然后还要知道合规的方法,最后才是按照规定和方法去实现合规。
在ISO 37301中,ISO把“合规”定义为“履行组织的全部合规义务”。该描述比较抽象,如果不清楚“合规义务”,那就很难理解该定义在说什么。于是,ISO对“合规义务”进行了描述,把合规义务定义为合规要求或合规承诺,即:合规义务包括合规要求和合规承诺两部分内容。
为了进一步说明合规要求和合规承诺的内涵,ISO定义“合规要求”是指组织有义务遵守的要求,“合规承诺”为组织选择遵守的要求。对企业而言,合规要求一般来自企业外部,合规承诺来自企业内部,相当于是企业内部的要求。
“合规要求”跟企业的业务密切相关。因为不同的业务类别,往往对应不同的行业监管。你做电信业务,那就有义务遵守《电信法》;你做银行业务,那就要遵守《商业银行法》;你做化工产品生产,那就要严格遵守《环境保护法》等等。
合规要求除了跟企业的业务密切相关外,还跟企业的性质(比如国企、民企或外企)、类别(比如上市公司或非上市公司)等因素相关。对国企而言,党委的设立就是有义务遵守的要求;对上市公司而言,按时真实地披露财务报告和内控评价报告就是企业有义务遵守的要求。
“合规承诺”是组织选择遵守的要求。“合规要求”里有“要求”,“合规承诺”也是一种“要求”。在进一步解释“合规承诺”之前,先看看什么是“要求”?
在ISO的管理标准体系(如ISO 9000、ISO 14000、ISO 37301等标准)中,“要求”被定义为“明示的、通常隐含的或有义务履行的需求或期望”,具体包括:外部明示的要求,内部明示的要求、组织和相关方的惯例或一般做法,不言而喻的需求或期望等等。
那么,如何理解“合规承诺”呢?如何理解“组织选择遵守”呢?难道在合规方面,组织还可以自由选择吗?当然不是!ISO所说的“合规承诺”是指除了对必须遵守的要求之外,自愿选择遵守一些“可做可不做”的要求。合规承诺是企业对自己的一种高标准要求,而不是对那些组织有义务遵守的要求。
综上所述,不同的企业所合的“规”不尽相同。为了方便大家理解上述概念之间的关系,risk-doctor对它们做了梳理,如图1所示。
图1 合规定义详解
图1揭示了“合规、要求、合规要求、合规承诺、合规义务”这几个术语之间的关系。参照图1,如果回头再看看上述定义及描述,可能会更容易理解。
本文的描述基于ISO 37301。在实践中,合规是指企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。广义的合规还要符合社会道德规范、习俗等。合规具有刚性,也具有适应性和连续性,企业在实践中应该把握好这几个属性。
合规必须与组织工作人员的行为和态度相结合,通过将合规融入组织文化及其工作人员的行为和态度中,使合规具有可持续性,否则只能是“书面合规”。
一个企业在市场和社会中生存,有很多“规”需要“合”。不能说你合了一个“规”或多个“规”,就算合规了。只有履行了组织的全部合规义务,那才可以被视为“合规”。
与“合规”相对的是“不合规”。按照ISO的定义,“不合规”就是“不履行某项合规义务”。不合规可以是单一事件或多项事件,可以是“不合格”的结果,也可以不是“不合格”的结果。也就是说:不合格一定不合规,合格不一定合规。
如果有企业领导或工作人员认为,游走在合规与不合规之间是一种“本事”,寻找灰色地带并在这狭窄的区域谋取利益,那就会害了企业。(见《合规管理体系标准解读及建设指南》)