国际标准化组织(International Organization for Standardization,以下简称"ISO")于2016年10月15日发布了世界首份反贿赂合规领域的体系标准:《ISO37001反贿赂管理体系标准》(以下简称“ISO37001标准”),为全球企业设立了反贿赂合规实践的标杆,对企业如何建立反贿赂管理体系提供了具体、详实的标准化指引。美国司法部于2017年2月首次发布《公司合规体系有效性评估标准》,并于2019年4月更新了该指引,从检察官的视角,以问题为导向,对企业如何建立有效的合规体系提供了深入务实的指引。这两份文件都明确规定了管理层承诺的要求,并都将该部分内容放到了合规体系有效执行的首要地位。本文将主要基于ISO37001标准,并以《公司合规体系有效性评估标准》为佐证,从提升合规建设领导力的角度,对管理层承诺进行具体的分析和解读。
领导力是什么?(What)
业界对领导力没有明确的定义,但通常可以理解为:在管辖的范围内充分地利用人力和客观条件,以最小的成本办成所需的事,提高整个组织的办事效率的能力。同时,领导力概念与领导过程、领导行为、领导能力、领导知识和领导情境等密切相关,它们共同构成了领导力概念链。
图1 ISO37001框架
结合图1-ISO37001框架,可以看到该管理标准在第5章对领导力做了专门规定,但实际整个ISO标准就是实现“领导力”的工作指南:4.1和4.5是领导力定义中的“客观条件”,4.2和6.2是“所需的事”,4.3是“管辖的范围”,5-10即是“以最小的成本办成所需的事、提高整个组织的办事效率的能力”的全流程指引,包含了领导过程、领导行为、领导能力、领导知识和部分领导情境。总之ISO37001标准是在反贿赂合规管理场景下讲述如何实现领导力的管理标准。
为什么需要领导力(Why)
首先,从ISO37001标准本身看,该标准主要就是围绕领导力展开的管理体系标准,脱离领导力谈合规建设,就失去了标准的内核和根本驱动力,成了知识汇编,丧失了对合规实践的指导作用。
其次,就中兴通讯实际而言,领导力本身就是贯穿于我们合规工作始终的长期追求:“在安全前提下实现商业效率最大化和管理成本最优化”,这就是领导力在合规领域最为精要的总结。领导力首先就是要追求目标达成,即实现“安全前提”;
最后,领导力还需要从客观条件和人力出发,要一切从实际出发,建设与业务实际相一致的合规体系;再次,只看条件和目标还不够,好的领导力必然还需要追求效率最大化和管理成本最优化,否则无限投入资源,不讲求实际,安全前提或许可期,但这种在领导力严重缺失或不足的情况下试图去实现合规目标,有可能在推进过程中遭遇重大阻力而夭折,也有可能达到所谓的合规目标,但实际并不可信,还有可能真的达到了这样的合规目标,但企业损耗过大,实际并不可持续。
总之,不论是ISO37001标准的核心要义,还是中兴通讯合规管理的长期目标,都迫切需要领导力。领导力的缺失或不足,既会导致ISO37001标准成为空谈,也会导致企业在合规投入和目标实现上的不可持续性。
谁来实现领导力(Who)
在这个问题上,很多企业在长期的合规实践中经常会存在一些误区。
误区一:合规部门是合规项目的领导者。很多企业在合规建设之初,将领导力完全交予合规部门,认为合规是一项专业的工作而不是一项复杂的管理工作,因此,专业部门负责即可。在这样的阶段,合规往往就成为了一个暗箱,一方面合规缺乏有效的管理架构的支撑,以及管理行为和能力的推进,导致合规建设的执行力度大打折扣,合规成为了合规部门的合规,很难快速有效地推广至全公司每位员工和每个角落;另一方面也导致合规部门的工作得不到有效的管理和监督,一旦由于合规部门人员的专业能力、敬业度等方面出现问题,企业往往很难提前识别和预判风险,都是到了最后,甚至造成严重后果之后才发现问题。
误区二:只讲高管重视,不讲中层和基层管理层重视。很多企业在经历了误区一之后,合规建设上遇到了一些挫折,经过复盘很快就找到了问题的症结,就是合规项目仅有合规部门领导参与是远远不够的,还需要公司高管持续地给予重视,带动广大业务单位的参与,这样才能将合规项目有效地推向全员。
但在经过高管不断发声,不断写公开信支持之后,可能合规在落实到基层的时候效果还是不尽如人意。因为,一方面高管重视一般都只是关于整体基调、大的原则以及文化倡导,但另一方面基层员工面临的是复杂的场景和具体的业务。因此,高管重视如何有效地传达和渗透到基层员工的心中,还有赖于中层和基层领导发挥其领导力,既要不折不扣地传达高管的重视和要求,同时,在其所管辖的范围内对具体业务中的合规工作给予因地制宜的重视和支持,才能确保合规的领导力贯穿到组织体的每个角落。
业界有良好实践的企业,在谈及领导力时,已经从单纯讲求高管重视和承诺,逐步深入到中层和基层管理层的重视和承诺。
美国司法部最新发布的《公司合规体系有效性评估标准》第二章第一节内容即是公司高层和中层承诺:“公司高管——董事会和高管——为公司定下基调。检察官应审查公司高管在多大程度上明确阐述了公司的道德标准,以清楚和明确的措辞传达和传播这些标准,并以身作则、严格遵从。检察官还应研究中层管理干部如何强化这些标准,并鼓励雇员遵从这些标准。”
误区三:高管层实际领导合规工作,董事会不用或很少参与。在有些公司,高管层切实地领导各自业务领域的合规工作,并给予了有力的支持,在合规建设方面做得较为深入,也做出了实效。而他们的董事会很少参与合规建设,基本属于隔离的状态,或有些公司的董事会做得稍好一些,比如形式化地听取一些汇报工作并做记录,但实际并不自主地参与重大合规事项的决策及监督,这会导致这些公司在合规建设的某些方面总是力有不逮,甚至出现决策无效或执行被推诿的情况。
从公司法人治理的角度,股东大会是公司的权力机构,董事会对股东会负责,经理对董事会负责。《公司法》第四十六条规定了董事会的职权,其中第(八)条-决定公司内部管理机构的设置,第(九)条-决定聘任或者解聘公司经理及其报酬事项,并根据经理的提名决定聘任或者解聘公司副经理、财务负责人及其报酬事项;第(十)条-制定公司的基本管理制度等规定都与合规建设中的领导力息息相关。譬如,要构建具有独立性的合规职能部门,达到ISO37001标准5.3.2中“合规职能有向董事会和高层直接汇报沟通的渠道”,美国《司法手册》9-47.120(2)(c)中要求的“合规职能部门的权威性和独立性”,都需要董事会审议和决定相应的合规架构。另外,譬如在中兴通讯,合规作为三大战略基石,公司发布的合规政策对经营管理影响重大,在位阶上属于公司的基本管理制度,按照《公司法》的规定,也需要董事会深入调研、审慎决议和批准。同时,在一些特殊的场合,例如,要对公司高管的违规行为实施纪律处分,影响其报酬事项,按照《公司法》的规定,也需要获得董事会决策。最后,涉及公司的一些重大合规事件的处理和对外披露事项(上市公司),也需要董事会定期审议和监督。总之,如果没有董事会切实地参与合规重大事项和关键事件的决策,可能导致高管层做出的决策无效或难以推行。
另外,我们需要关注到,从大的公司治理结构看,经理层负责实际经营,但经营的目标及考核指标等都是由董事会代表股东利益决定和监督执行。那么,如果董事会层面不将合规目标纳入到公司整体的经营目标中去,不对经理层合规建设落地的内容和实际成效进行监督,不将关涉经营指标的重大合规事件纳入到审议和监督的工作范围之中,那么经理层很有可能更多围绕传统的经营业绩指标(收入、利润等),在传统业绩指标与合规要求冲突时,往往会倾向于冒着违规的重大风险去完成传统的经营指标,或是就仅仅只能依靠经理层个人的远见卓识去克服巨大的业绩压力来投入和支持合规的建设,但这缺乏整个公司治理机制的长久而稳固的保障。
针对这些领导力误区以及由此产生的困境,ISO37001标准的第5章节对领导力进行了专门的说明,关于谁来实现领导力,可谓进行了实事求是的“拨乱反正”。该标准将公司治理机构(董事会)、公司高管、合规职能部门和各级管理人员都纳入了进来,这正是对许多公司合规建设实践中领导力缺乏或不足的教训的深刻总结,和对良好实践的成功经验的准确提炼。
只有在合规建设中获得强有力的领导力,我们才能实现“安全前提下管理效率最大和管理成本最优”。而只有全面落实董事会、高管层、合规职能和各级管理人员在合规建设中的管理职责,形成管理的合力,才有可能实现这样的领导力。
怎么实现领导力(How)
(一) 管理层重诺
管理层承诺有两层含义,第一,但凡是承诺,在意思表示层面必是真实;第二,既已做承诺,那么在行为方面必受约束。违心的言语无所谓承诺,违背的行为则失信于人。
有些企业的合规部门通过学习外部标准和最佳实践,了解到管理层发表对合规的承诺非常重要,于是就草拟了一些高管的发言或信函,让高管签字后发布,形式上满足了体系建设的需要。但实际上,高管对相关承诺并不理解,甚至并不认同,如果被员工察觉,就会给员工造成形式化的刻板印象,并不能对员工实际遵从合规产生积极的影响;甚至,如果各级管理层表面上发表高度重视合规、承诺带头做好合规的言论,但在具体业务中却经常对违规行为纵容,甚至怂恿和支持,那么对员工的合规意识和企业的合规文化将带来毁灭性的损害。员工一旦觉察到管理层说一套做一套,那么就会对企业在合规方面的任何要求和规定都产生极大的抵触心理和质疑态度,甚至对公司的诚信文化产生很大的动摇,不仅影响到合规建设,还会波及公司其他的方方面面。
管理层言行不一和意思表示不真实带来的不仅仅是上述抽象的后果,还有很多其他具体的、不可估量的后果。譬如,管理层承诺经常“违约”将导致内部诚信文化缺失,外部监管机构或合作伙伴将可能不信任企业,并形成长期的很难逆转的负面态度,导致合规方面大量的举证负担和复杂沟通,耗损极大的内外部成本。另一方面,管理层的言行不一将导致员工信任缺失和效仿相关行为,在合规执行中弄虚作假、表面应付,不仅导致虚假陈述的风险潜藏在企业的各个角落,让企业管理者承受巨大的外部监管风险和压力,而且也可能导致公司投入巨大资源的合规建设犹如打水漂,浮于表面,很难切实深入地贯彻下去。再加之外部的不信任和公司管理层对员工的不信任,大幅增加管控措施的复杂性和员工空前的举证责任,由此产生的管理成本的增加和管理效率的降低,将不可估量,但企业却必须面对和承受。因此管理层承诺直接影响规则设计的“善”与“恶”,直接影响规则执行的“善”与“恶”。而规则设计与执行的“善”与“恶”,直接导致了合规建设的效果、成本和效率现状。
《资质通鉴》第2卷写到“夫信者,人君之大宝也。国保于民,民保于信;非信无以使民,非民无以守国。是故古之王者不欺四海”,讲的就是领导者的重诺对于一个组织体的重要性,这也是为什么商鞅变法中首要举措,就是通过“移木赏金”践行政府敢于承诺和重于兑现承诺的理念,来建立秦人对变法和对政府的信任。可见古今中外的历史和良好实践都证明,管理层承诺、重诺对于合规建设等事业的极端重要性。
ISO37001标准的领导力部分对管理层的职责做了非常具体和严格的规定,以避免管理层承诺流于形式,在最大程度上杜绝言行不一、意思表达不真实的情况:
董事会应当通过以下方式来践行其对合规的承诺和领导力:
批准公司的合规政策;
定期收集和评审公司合规体系的内容和运行信息;
给合规体系分配足够且适当的资源,保证合规体系有效运行;
对高管落实合规体系的效果进行适当监控。
高管则应当通过以下方式来践行其对合规的承诺和领导力:
确保公司建立和落实了合规体系,其中包括合规体系的政策和目标,并对合规体系进行维护和审核,足以解决公司的合规风险;
确保合规体系的要求融入业务流程;
为合规体系分配足够且适当的资源,保证体系有效运行;
针对合规政策进行内外交流;
在公司内部宣贯有效进行合规管理以及遵守合规要求的重要性;
确保合规体系的设计有利于实现合规目标;
指导和支持员工对合规体系的有效运行做出贡献;
向全员提倡合理的合规文化;
推动体系持续改进;
支持相关的管理者在其职责范围内领导违规行为的预防和监控;
鼓励大家按照程序对可疑的和确实的违规行为进行举报;
如果员工举报某人违反或可能违反了公司的合规政策,或者即使可能会导致公司蒙受生意损失,员工仍拒绝参与违规行为,高级管理层应保证该员工不会因此遭受报复、歧视或其他惩戒;
定期向董事会汇报合规体系的内容、运行情况和严重或系统性的指控。
各级管理层则需要坚决地执行和严格地遵从合规,践行其对合规的承诺和领导力。
美国司法部《公司合规体系有效性评估标准》,也对相关要求做了更为直接的说明:“公司高管如何通过其言行鼓励或阻挠合规?他们采取了什么具体行动来证明他们在公司的合规和补救工作中的领导作用?他们是如何塑造下属的正确行为的?管理者在拓展新业务或追逐更大收益时是否会容忍更大的合规风险?管理人员是否鼓励员工不道德地采取行动,以实现业务目标,或妨碍合规人员有效履职?”。
总之,ISO37001标准对各级管理层的合规承诺做出了非常具体和严格的规定,美国的执法标准也更加关注实际执行层面管理层依据承诺做出的具体行为,以判断是否存在言行不一的情况,并去挖掘公司真实的意思表示,而不仅仅看纸面的承诺和重视。此外,言行一致、意思表达真实,对于企业降低高昂的合规管理成本也不失为一剂既治标、又治本的良药。
(二)管理层协力推进承诺落实
管理层承诺是整个领导力的根基,如果没有管理层承诺及其履行,那么一切的管理都如同建立在沙丘之上,基础不稳,地动山摇。
但同时我们还应看到,管理层承诺本身是立体、双向的,并不是孤立和单线条的。
从ISO37001标准第5章整体看,领导力不能仅仅依靠合规职能部门,也不能仅仅依靠公司高管,还需要公司治理机构-董事会,以及公司中层及以下的各级管理层。同时,领导力在上述各管理层应当有科学、合理、清晰和差异化的职责分工,相互之间也应存在明确的授权关系和管理关系。具体可见下面的金字塔结构图。
图2 领导力的金字塔架构和职权分工
董事会的核心角色是决策和监督,向股东利益负责;高管层的核心角色是负责落实,向董事会负责;合规职能单位的核心角色是受权落实,向高管层负责;各级管理层的核心角色是在具体业务单元中执行和遵从。自上而下的领导力关键行为是授权和监督,自下而上则是执行和反馈。我们要确保各个层面的管理主体在分工上科学清晰,在实践上忠实履职,同时在管理业务线条上上下贯通,既要避免无目标下的盲目,无授权下的盲动,无监督下的失效,也要避免不执行导致的落于空谈和原地踏步,不反馈导致的知情不足和决策失误。
美国司法部《公司合规体系有效性评估标准》也专门规定了共同承诺的内容:“公司高管和中层管理人员(如业务和运营、财务、采购、法务、人力资源管理干部)采取了哪些行动来表明其对合规或合规人员的承诺,包括其对已有问题的补救工作?他们是否在合规与其自身利益或业务目标冲突的情况下坚持了这一承诺?”。西门子等合规标杆企业也将联合行动作为有力推行合规、实现领导力的关键手段。
总之,管理层承诺的落实需要企业自上而下的管理合力,任何一个环节出现问题,都可能出现不同症状的问题,导致管理层承诺链条出现断层,而阻碍领导力作用的发挥,进而妨碍合规目标高效、有效和成本最优地达成。
(三)充分完整地践行管理标准
领导力的提升有赖于管理层承诺的切实落实,而要落实好管理层的承诺,在中外各类组织管理实践中有一套行之有效的方法论。ISO37001标准就是从最佳管理实践出发,融合了各类管理方法(如PDCA、风险管理方法论及实操等),形成了具有可操作性、可验证性的管理标准,主要包括图1-ISO37001框架中的了解组织背景、规划、支持、运行、绩效评估和改进,对领导过程、领导行为、领导能力、领导知识和领导情境进行了较为具体详细的指导说明。
这是一套完整的管理动作标准,因此我们要充分践行整套ISO37001标准,要避免企业因为一时的理解不到位或能力不足,有失偏颇地选择自己熟悉或已经掌握的环节落实执行,那可能导致管理闭环的脱裂,进而导致整个合规管理体系的失效。譬如,有些企业在做合规时不做风险评估,赶着社会时下热门的合规业务照搬到自己的企业依葫芦画瓢,那么就可能导致刻舟求剑的结果,失之毫厘谬以千里。付出了成本,但未必能达到实效,并且因为机会成本,顾此失彼,导致自身真正存在的风险没有得到有效识别和管理而导致风险爆发。再譬如,有些企业非常重视端到端的合规体系建设,也建立了完整的合规体系,但长期不做合规体系的检查监督,不下决心对违规的行为作出处罚,那么员工就会抱有侥幸心理,并“理性”地评估违规成本远远低于遵从合规的损失,因而冒险违规,这也可能导致完整的合规体系最终失效。总之,ISO37001标准讲述的是一套完整闭环的管理实践,我们需要执行全部必要的管理过程和管理行为(非必要的,ISO37001标准都有明确说明),也需要具备ISO37001标准所要求的必要的合规知识、能力,和对反贿赂合规管理相关场景的熟悉。
小结
ISO37001标准是一套行之有效的合规体系建设的管理标准,全文自始至终都是围绕管理层承诺和领导力实现来展开。我们应当严格依照标准,将全面立体的管理层承诺纳入到我们的合规建设之中,确保各级管理层意思表示真实和言行一致,并通过领导过程、领导行为、领导能力、领导知识和领导情境等多个环节的完整实践来落实好管理层承诺,切实提升合规建设中的领导力。通过管理层承诺行为准则和管理层承诺检查表工具,不断评估和验证合规领导力水平,向着“安全前提下的管理效率最大和管理成本最优”的目标不断奋进。
来源:合规小叨客