中國企業如何讓合規體系有效“落地”

◎文/郭 楠

最近，各行各業紛紛舉辦大大小小的一系列合規會議。這讓人感覺到，關于合規的討論和實踐，在國內如火如荼地開展起來。

首先，合規正在成為一種國際通用的語言。從2008年的西門子到后來的BP，再到后來的大眾、中興，人們不要僅僅為這四個案例里的天價賠款金額吸引了注意力，因為在這些公司同監管方達成的協議里面，除了罰款，還有另外一個必須采取的措施，就是強化合規體系和接受政府強制派駐的合規監督員團隊。最近，美國政府派到中興的合規協調員已經在崗了，要監督中興十年。這些僅僅是眾多類似案例中比較著名的幾個。

吉利公司收購美國飛行汽車公司時，經歷過美國國防部的審查。被問到的第一個問題就是：你有沒有合規體系。同樣的，吉利公司收購德國戴姆勒公司9.6%股份時，在德國引發了巨大爭論。結果德國總理默克爾表態說：吉利收購這些股份的過程是完全合規的。今后中國企業做跨國經營的時候，有機會并購別人或是被并購，或是同商業伙伴達成交易時，很可能會像吉利被問到的第一個問題一樣：你有沒有合規體系。越來越多的跨國企業，把交易對方的合規體系及其有效性，作為衡量其信用水平的重要標志。

其次，對于合規體系在國內的有效建立，要有一定的危機感。我們看到，國資委過去一年找了五家企業做合規體系的試點，現在國資委和發改委正在做國有企業和跨國經營的合規指南，國資委的指引已出臺；國際合規體系標準ISO19600在中國已經落地，成為國家的推薦標準；國家領導人在各種場合也說到企業要合規經營。種種的情況表明，中國的合規進入了新階段。但是，關鍵的問題是：中國企業是不是準備好了？

合規這個詞，是一個舶來品，這個體系馬上移植來用，在國內企業直接上，跟我們已經推行了十幾年的全面風險管理是什么關系？這個體系在國企、民企里面的紀檢委、法務部、審計部、內控部等等以外再加一個合規職能，這個職責怎么劃分？彼此之間怎么協調？這在外企里面不是問題，但是到了國內，這就是一個問題。這是現在國內企業落實合規體系的一個普遍性的問題。這個技術問題如果不做更多研究和解決，現在國內推行合規又這么大張旗鼓，下一步很可能出現比較尷尬的局面。我希望中國企業能夠聯手做一些工作，盡快讓這個問題有一些典型的解決方案，有比較好的樣板來分享給大家，能夠在這個方向上取得一些進展。這樣才能有力地推動合規體系在中國的有效落地和進一步的發展。

如何評估企業內部的合規發展趨勢

一個企業內部的合規趨勢評估，應該以一種比較經濟的、有效的方式來做。一個合規體系從建立到改進，是不停在進行，這是一個形成閉環的階段，必須把這個做得有效，才能知道合規改進的方向在哪里。渣打銀行在幾年時間里被罰了兩次，第一次是因為洗錢的罪行，被罰了3億美元，過了兩年又被罰了3億美元，第二次不是因為主動犯罪，是因為被發現在合規方面的反洗錢控制流程里面有缺陷。這樣的例子說明，合規的績效評估和改進，在合規體系建設和發展過程當中是非常重要的。

一個有效的合規管理體系包含多個要素。一是領導層，要有表態，要承諾建立合規組織，提供合規資源，包括財力和人力的資源。還有風險評估，一個企業要管理自己的風險，搞合規體系的建設，首先要知道你的風險在哪里，一個企業去非洲開礦，和另外一個企業在美國做貿易，二者的風險一定是不一樣的，你的風險評估怎么去做，你的合規管理體系就應該相應地針對你的風險評估來展開。做了風險評估以后，下一步就是應該如何去管理合規風險，必須建立起相應的流程和控制手段。第三，體系建立好以后，要讓所有你的員工從上到下知道這些手段和政策，讓大家去實施，最后就是監控、有效性評估、審計、事件及對策，還有體系優化。這樣形成一個有效的閉環。

要做一個合規運行狀態的評估，首先要有一定的獨立性的原則。西方企業里面比較典型的是：合規職能在企業里是非常獨立的一個部門。前幾年，外企里面合規職能可能會整合在人力資源部，或者是整合在法律部，現在一個比較普遍的情形，就是首席合規官直接匯報給公司的CEO，甚至還有一條單獨的線，跨過CEO，匯報給公司的董事會。第二個原則，評估要基于事實或者是數字，基于一些實際案例和基于事實來做評估。第三是評估要重復進行。第四，評估完了一定要有一個從合規獨立的職能部門給一些改進的措施。

我們談到的評估基本上是兩類評估，一個是一個企業的合規體系建立起來以后，做一個合規管理體系的整體評估，看看是不是合理有效，這種評估往往是企業外部的第三方來做的，就是評估一家公司總體合規體系做得是不是有效。第二類就是企業內部定期合規報告，這個報告在大多數情況下，是由合規部門根據所獲得的企業合規運營的數據和事例，定期或不定期地提交給公司的最高層，或者提交給他所要評估的某一個具體的部門管理層。這個報告對于企業的合規管理優化是非常有用的一個手段。在企業里面做合規，最重要的推動力量不是合規官本人，而是各層級的管理者。這個報告會成為合規官跟各層級管理者進行互動的非常有效的工具。利用這個工具跟各層級的領導者溝通，很容易基于事實達成共識。一旦達成了共識，他作為合規的第一道防線的負責人，他該采取什么行動，就變成自然而然的一個行為。

如何進行合規風險評估

在非洲進行礦藏開采的企業，和在美國進行貿易的企業，風險一定是不一樣的，你可能根據你的業務特點列出諸多風險，有反貪污賄賂的，有環保的、人權的、當地文化習俗的等等。你的企業如果把所有的風險從A到Z都管理得100%萬無一失的話，你這個企業成本太高了。這樣的工具就可以幫助我們把風險從高到低有一個排序，拿出資源來最有效地管理這些排在最優先級的風險。任何一個單一的風險都有兩個屬性，可以用兩個維度來描述，第一維度：這個風險發生的概率有多大。我們每個人每天早晨都出門，大家頭上都不用戴一個鋼盔，你不會擔心樓頂上掉下來一個花盆砸到你頭上，這個風險是不是零呢？不是，但是不是有很大可能性發生呢？不是。第二個維度：風險的沖擊力。這個事情發生了以后，對于我的財務的影響、對于我的社會聲譽的影響、輿論的影響，和對我所有的利益相關方的影響，到哪個級別。把這兩個維度結合到一起，如果某一個風險發生的概率比較高，而且它一旦發生的話，對于我的沖擊比較大，這個就是我們合規風險所要評估和管理的首要的風險。當然這樣的風險評估，每年要循環地去做，隨著業務形式和模式的變化，還有你所在國的變化，這個風險會有一些調整，所以每年要循環去做。

第二，企業內部做定期的合規評估。這個模板是我在公司里面應用的一個真實的模板，因為我的團隊同時管理多個國家和多個部門的合規情況，如果我們拿合規培訓作為合規評估的內容之一，大家可以看到部門一、部門二、部門三，不同業務部門的合規培訓完成情況，如果這樣的結果擺在公司管理層面前，我想我不需要說太多的話，各個部門的領導就會說，OK，這是完全基于事實的合規評估，他們也就知道下一步該采取什么樣的行動。

下一個評估例子是合規事件的分析。我所在的公司使我有這樣工作的方便性，所有全球合規案件的數據庫我是可以進得去的，我可以根據我想看的國家和我想看的部門，做一個不同的合規事件的分析，然后按季度做一個這樣的統計圖出來，比如在中國，可以把中國的所有事件集成起來。如果去印度，就可以把印度的合規案件羅列，這樣我們可以分析事件的趨勢，來看下一個季度公司領導層的努力方向在哪里，這個同樣也不需要說太多的話，領導就能看出來哪里可能要出問題，我們需要采取什么樣的措施。

里面的細節還可以包括：針對每一個案件，我們花了多長時間去調查，看我們調查的效率有多高，也要看這個紀律的處分情況，到底多少人因此離開公司，多少人得到警告，這樣的數據都是可以定期獲得的，這樣真實的數據會比較有說服力，統計到一起就會有趨勢指向，從而預示行動方向。

另外，合規報告里面可以包括案件舉報的分析，一般來講，一家公司如果足夠大的話，他的熱線電話等熱線舉報方式，每年所應該收到的舉報的數量應該是他全球員工數量的1%，如果你企業有一萬個員工，你的舉報熱線工作比較正常，大家有什么情況愿意去舉報的話，一年企業應該收到一百個案件的舉報，這不是強制性的標桿，但是大家可以根據這個來比較一下。如果我的企業一年收到了更多的舉報，說明你的企業問題太多；如果收到太少的舉報，說明你企業員工內部有什么問題都不愿意說出來，發現問題的渠道有問題。這是衡量熱線有效性的一個指標。

還有合規報告里面經常會講的最佳實踐的分享，這就是案例的分析，甚至是公司自己某一個部門，把自己合規的案件拿出來跟大家分享，我們部門發生了這樣的事件，我們如何引以為戒。

定期的跟公司管理層分享的圖表是基于數字和事實的評估的結果，第一是簡單明了，第二沒有太多的文字表述，第三是下一步該采取什么行動，就比較一目了然。此外，可能還包括一些其它內容，比如說法律法規環境變動趨勢總結，以及分析趨勢后合規作為一個獨立部門要做一些后續措施的建議。

希望以上這些建議，會對中國企業合規建設起到一定的促進作用。