2018年颁布的《中央企业合规管理指引(试行)》(以下简称“《合规指引》”),标志着国务院国资委从强调全面风险管理转变为强调合规管理。工作重心集中在央企对法律法规和规章制度的遵从性方面,以提高可操作性的方式促进管理措施的真正落实。此前,2006年颁布的《中央企业全面风险管理指引》(以下简称“《风险管理指引》”)一直是国务院国资委强调的重点。
合规管理(compliance management)这一理念源自美国。在上世纪后半期,为了保护投资人利益,司法分支从量刑角度对企业管理行为提出了更高的要求。而在源于美国的金融风暴于2008年起席卷全球后,美国的政府部门对于企业的管理行为提出了更高的监管要求。
那么,合规管理有哪些特征、与风险管理到底有何区别?
合规和法律风险的工作内容不同
合规遵守的“规”基本可以分为4类:法律法规、监管政策与行业惯例、企业内部规章制度、企业普遍遵守的商业伦理,国有企业还有党法党规。法律风险按照国家标准的分类:法律环境变化风险、违规风险、违约风险、侵权风险、怠于行使权利的风险、行为不当的风险。合规和法律风险有交集的是法律法规,广泛意义上,监管的政策也可以纳入法律范畴。其他内容则没有关系,比如违反企业规章制度不是法律风险,而怠于行使权利、一般性的违约、行为不当等法律风险也不是合规风险,以行为不当的法律风险为例,如企业出现纠纷争议,如果在诉讼和仲裁两种方式中选择了不当选择了诉讼,结果因为诉讼法律程序以公开审理为基础的原则,导致案件被公开,给企业声誉造成不利影响,这是法律风险,但与合规没有关系。在金融等行业,合规更是有特定工作内容,与法律工作界限明显,在欧美跨国公司,即使都对总法律顾问负责,但法律和合规仍然都是独立的工作线条。
合规和法律风险的工作定位不同
合规管理的基本目标是遵循、符合企业内外的强制性规定和自愿性承诺,合规要求严格,对违规事件是零容忍,没有协商余地。正如合规国际标准中对合规风险的评价的说明,对合规风险进行程度等级的划分,并不意味着企业可以接受这些合规风险。而法律风险管理的主要目标是通过对各种法律风险的有效管控帮助企业实现战略和经营目标,法律风险的管理策略有避免、降低、转移和接受多种方式,企业采取何种管理策略需要在收益和风险之间权衡,最终服从于企业的战略目标。合规和法律风险的定位差异,表现在合规工作更多是管理的刚性要求,企业必须执行,对于合规义务本身是否合理,合规后果是否符合企业发展需要,并不是合规关注的重点,而法律风险则更多是业务支持性的功能,是否能给企业带来利益,是衡量法律风险管控效果的重要依据。从某种程度来说,法律风险管理是合规管理的高级阶段。
合规事件和法律风险事件的责任后果不同
典型的合规工作,与外部监管机构密切相连,外部监管机构对合规工作的内容、评价有直接的影响,从实际情况看,重大的合规事件基本来自具有严格外部监管的领域,比如金融、反垄断、环保、质量、出口管制、数据安全等等,违反这些法律和监管政策的后果非常明确具体,而且后果非常严重,除了经济责任以外,大量涉及行政和刑事责任,比如吊销营业执照、许可证、对高管个人责任的追究等,而法律风险管理侧重在商事活动,主要是依据普适性的法律规定,如民法总则、合同法等等,与合规相比,外部监管关联性比较弱,其后果主要是民商事责任,可以用钱来解决。从总体来看,法律风险范畴中的合规责任,比一般意义上的法律风险后果严重。
一、内涵外延的区别
依据《合规指引》第二条规定,“本指引所称合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。”
而《风险管理指引》第三条“所称企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”
因此,就合规风险与法律风险二者的法定概念而言,法律风险仅是企业风险的一部分,可能包含纯粹风险和机会风险,而合规风险是从事件后果的角度做出的定义。二者在定义的基础逻辑上有所不同,故难以在现行法律基础上得出确定的比较结论。
由于《风险管理指引》并未对法律风险、法律风险管理作出更细化的概念界定,我们仅能从其识别范围、基本流程的规定上,作出进一步探析,以明确其区别。
二、识别范围的区别
《合规指引》要求“中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。”即在合规风险识别上,应将企业及其员工的经营管理行为作为识别对象,法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求为识别依据。
《风险管理指引》将法律风险的识别分为“收集风险管理初始信息”和“风险评估”两个部分,并在信息搜集方面给出了部分指引:“在法律风险方面,企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下信息:(一)国内外与本企业相关的政治、法律环境;(二)影响企业的新法律法规和政策;(三)员工道德操守的遵从性;(四)本企业签订的重大协议和有关贸易合同;(五)本企业发生重大法律纠纷案件的情况;(六)企业和竞争对手的知识产权情况。”因此,初始信息搜集的范围即为法律风险的识别范围。
由以上的图示对比可以得知,在识别依据方面,合规管理的目标是使企业的经营管理行为符合内外规则的要求,而《风险管理指引》并未将企业内部规则,即章程与规章制度纳入法律风险管理的信息搜集范畴。
而在识别对象方面,《风险管理指引》要求的“员工道德操守的遵从性”和“竞争对手的知识产权情况”并不完全属于企业及其员工的经营管理行为。
综上所述,企业合规管理除要求企业经营管理行为符合外部规则外,还要求其符合外部行业准则,以及企业章程、规章制度等内部规则,因而在风险识别依据方面,较法律风险管理更为全面、完整。
三、操作流程的区别
从《合规指引》第二条的定义来看,合规管理是一个分阶段实施且内容交织、循环往复的复杂过程,按通常的逻辑顺序依次为风险识别、风险应对、制度制定、合规培训、合规审查、责任追究、考核评价七个部分。
而《风险管理指引》第五条规定,风险管理基本流程包括以下主要工作:(一)收集风险管理初始信息;(二)进行风险评估;(三)制定风险管理策略;(四)提出和实施风险管理解决方案;(五)风险管理的监督与改进。
如上图所示,《风险管理指引》只要求“提出和实施解决方案”,而《合规指引》则细化分解为“风险应对、制度制定、合规培训、合规审查”等流程。但合规管理与法律风险管理在基本流程方面存在一定非共性范围,合规管理强调从实施结果出发的责任追究,更为具体、更为实际;而法律风险管理更侧重管理学意义上的策略引导和循环改进,高度更高但落实不易。虽然二者基本要求各有所长,但如能有效结合则可形成更为完善的专项工作流程。
综上所述,企业合规管理相对于法律风险管理,不仅在内涵外延、风险识别内容上更为落地,其工作的基本流程也更为细致、明确,更便于企业操作并能够为企业带来实质性变化。不仅适用于央企,对其他的国有企业和民营企业同样行之有效。
合规风险与法律风险都是现代企业风险体系中重要的部分,两者各有重合,又各有侧重。二者都是为了通过加强管理行为,来防范可能发生的各类风险、为企业减少风险损失。
合规风险是指因违反法律或监管要求而受到制裁、遭受金融损失以及因未能遵守所有适用法律、法规、行为准则或相关标准而给银行信誉带来的损失的可能性。
法律风险是指企业在经营过程中因自身经营行为的不规范或者外部法律环境发生重大变化而造成的不利法律后果的可能性。通俗来讲,法律风险就是基于法律的原因可能发生的危险及其他不良后果,即在法律上是不安全的。法律风险通常包括以下三方面:一是法律环境因素,包括立法不完备、执法不公正等;二是市场主体自身法律意识淡薄,在经营活动中不考虑法律不考虑法律因素等;三是交易相对方的失信、违约或欺诈等。法律有广义和狭义之分。广义的法律是指宪法、全国人大及其常务委员会制定的法律、国务院制定的行政法规、地方制定的地方性法规和规章;狭义的法律是指宪法和全国人大及其常务委员会制定的法律。可见广义的法律和外规是一致的,狭义的法律仅仅是外规的一部分。而法律风险,一般是指的广义的法律。但不能据此认为,法律风险与合规风险之间存在着包含与被包含的关系,因为两者的风险内容不同。合规风险突出表现在监管机关的行政处罚、重大财产损失和声誉损失,而法律风险则侧重于银行对客户民事赔偿责任的承担。合规风险和法律风险有时会同时发生,比如银行与客户约定的利率超出了人民银行规定的基准利率幅度,则将会面临监管机关的处罚和客户的起诉。但两者有时也会发生分离,比如银行的违规经营被媒体曝光,银行的声誉将面临重大损失,这显然属于合规风险,但其与法律风险无关。需要说明的是,合规风险与法律风险往往不是泾渭分明的,实践中真正把两者区分开较为困难,但有一定是明确的,即合规风险侧重于行政责任和道德责任的承担,而法律风险则侧重于民事责任的承担,行政责任和刑事责任对银行来讲直接损失较小。另,合规风险管理因涉及到企业内部的操作风险、市场风险等,对合规人员的要求应当较法律风险知识面要广一些。合规风险管理人员不仅要懂法律、同时还要熟悉企业内部监管规定,精通相关业务流程等,合规管理需要的是综合性的人才。而传统的法律风险的要求则相对单一,是法律专业人员即可从事。
由于需要识别的风险多种多样,且许多企业的内部规章制度并不完善,企业由于资源的有限性难以仅通过自己的努力达到理想的合规目标。相关内容见后续文章《企业合规管理方法论⑵——企业合规风险的识别》。