中兴通讯是中国较早“走出去”的一批高科技企业。近些年来,面对日益复杂的法律风险与合规遵从要求,中兴通讯对外部规则和市场环境有了更深入的理解,逐渐形成了适配行业特征、业务实践和企业治理结构的合规管理体系,从传统的大合规体系、制度的“纸面”合规逐步发展成以风险为导向的专项合规治理体系,以及形成闭环、持续迭代优化的高效合规管理体系。
2022年是中国企业“合规管理强化年”,中兴通讯在已有合规体系的基础上,对合规政策进行了优化改进,加大了合规IT工具的开发与应用,提升了合规管理的效率。2023年1月3日,中兴通讯副总裁、法律事务部总经理黎文接受了《法人》记者专访,分享这些年来企业合规建设的经验与启示。
聚焦系统性风险
近些年,开展全球化经营的中国企业对合规的理解与认知达到了全新高度。有别于其他企业的合规建设模式,中兴通讯通过审视外部行业环境、企业合规义务及内部业务场景,梳理识别潜在的系统性风险,并以管控系统性风险为导向进行专项合规治理。
《法人》:请介绍一下中兴通讯合规体系建设的初衷和发展之路。
黎文:自上世纪90年代中期开始拓展国际市场后,我们发现市场的全球化意味着法治与监管环境是多元的,这使企业经营发展面临差异化的监管要求与合规义务。为了适应和遵从全球市场的合规义务,中兴通讯开始关注并推动企业合规建设,逐步建立起传统的大合规体系。
全面合规是企业经营的基本要求,大合规体系与管控系统性风险的专项合规各有优劣。如何让企业合规管理实现有效闭环并不断迭代为高效的合规体系,才是企业合规建设的根本。2018年后,中兴通讯逐步调整到以管控系统性风险为主的专项合规治理体系。
《法人》:什么是系统性风险?中兴通讯面临哪些系统性风险?
黎文:作为市场主体,企业最核心的是价值创造和风险控制。一般风险可能会给企业造成一定损失,但系统性风险是重大风险,会影响到企业的可持续经营。
根据中兴通讯所处的行业特性,目前的专项合规治理主要聚焦三大领域风险。
一是贸易合规风险。尤其是物项及技术进出口管制风险。因为通讯行业的国际产业链很长,确保交易遵从产业链上各个国家的出口管制法律,对企业的供应链安全及持续经营尤为重要。
二是腐败风险。通讯行业属于资金密集型行业,往往涉及重大基础设施建设,容易滋生腐败。反腐败是跨越国界的价值共识,对于许多跨国企业来说都是一个传统而重要的合规领域。
三是数据合规风险。随着信息技术的不断发展,当今社会已进入数字时代。越来越多的国家开始关注数据主权与个人数据保护,并通过立法、执法不断强化数据合规监管。通讯行业是数字经济的“筑路”行业,是数据产生、处理和转移的基础。作为跨国中资通讯企业,中兴通讯在个人数据保护及数据跨境转移方面面临着较大风险。
以上属于通讯行业可能面临的影响企业可持续经营的三大系统性合规风险。为了避免前述风险,我们构建了“规则制定-落地执行-稽查监督”的业务闭环,形成了有效的合规专项治理体系。而其他非系统性合规风险,则可以通过第一道防线以业务流程管控形式进行控制,一般不需要进行专项合规治理。
关注执行有效性
改革开放40多年来,“走出去”的中国企业面临着全球化业务所在国的合规风险,这些风险是否被有效管控,直接体现了企业合规体系建设的科学性和有效性。
《法人》:中兴通讯的合规建设效果如何?
黎文:中兴通讯以风险导向做合规,有针对性地管控系统性风险,从结果来看,公司实现了商业自由度与商业可持续发展的平衡;从过程来看,流程落地、管控到人是合规体系有效性的体现。
在中兴通讯,我们经常说:“没有流程的管控是伪管控,不上线的流程是伪流程。”过去,我们的风险控制动作都是写在合规政策文件里,并不是直接嵌入业务流程,与实际的业务场景往往形成“两张皮”。进入数字化时代后,很多业务流转场景都在线上或云上,如果合规还停留在纸面和人工阶段,管控效率会非常低,甚至无效。目前,我们使用的审单工具全自动化,实时扫描审核,实现了合规管控线上化,保证合规过程可视化、可留痕、可追踪。
此外,通过将合规管控动作嵌入流程,全面上线,可以真正实现全员参与合规。只要业务场景涉及管控,流程节点上的员工就需要执行相关动作。过去,合规在一定程度上是由专业团队在做,但企业不可能仅依靠一个合规团队让几万名员工的行为都做到标准化,进而形成统一规范的公司行为。因此,合规一定是需要全员参与的。通过嵌入流程及上线管控,中兴通讯统一规范了所有员工的行为,确保他们在各自的工作场景中直接执行合规管控动作,实现了统一的合规步调,确保整体行为合规。
《法人》:如何评价合规执行的有效性?
黎文:用16个字来概括,有规可依、有规必依、违规必究、知规守规。
大家在讨论合规到底是合什么“规”时,往往会提到国家法律法规、行业标准和道德准则等。但这些都是外部要求与规范,没办法直接让每一个企业员工去遵循和执行。所以,在中兴通讯,“有规可依”的“规”只有一个,就是企业内部的合规政策与规则——通过梳理内外部环境完成风险评估,制定符合行业特性和经营实践的合规规范体系。“有规可依”意味着企业必须要将外部的法律规范转化为自己企业的合规政策,这样员工才能在真实业务场景中明白哪些行为可为,哪些不可为。
“有规必依”意味着合规规则嵌入了业务流程,员工在执行业务动作时绕不开合规管控动作,合规过程可记录,合规留痕可回溯。企业的业务合规团队可以通过合规审核、咨询、检查等动作,确保合规规则准确有效地执行。
“违规必究”就是要树立合规的权威性与震慑力。任何一名员工没有按照规定去执行落实,就要受到严肃处罚,没有人情可讲。
“知规守规”是指企业要进行合规的培训和宣贯,让所有人员都去学习、去了解、去遵循,这样才能形成合规建设的有效闭环。从“有规可依”和“有规必依”体现出的“不能”,到“违规必究”的“不敢”,再到“知规守规”实现的“不想”,这就是企业不断进步、有效运转的合规体系。
持续迭代优化规则
在企业完成合规风险识别和评估后,建立起符合企业自身风险偏好的合规规范体系、执行实施体系以及监督稽查体系后,合规体系就由纸面的政策体系发展到管理自洽、形成了闭环的有效合规体系。但建立合规体系的最终目的是为企业创造价值,不仅是“刹车”,不只是约束。真正理想的合规,是在风险管控的前提下,让企业业务自由度更加具有弹性,让公司在风险可控的边界去拓展业务,真正实现合规创造价值。
《法人》:2022年,中兴通讯在合规建设方面有哪些新举措?
黎文:这一年,公司聚焦系统性合规风险管控的原则没有改变,但在继续深耕三大风险领域的基础上做了三件事。
其一是持续优化规则。2022年,中兴通讯开展了“合规规则优化180天行动”,合规团队在对公司业务做了充分调研与沟通的基础上,从业务角度全面审视了现有合规规则的执行有效性和设计有效性。即持续去检查评估当前的合规规则是否被有效执行,以及被执行后是否达到了预期的风险管控目标,在执行过程中是否有更优的路径或更低的成本(包括资源投入成本、沟通协调成本和业务流转时间成本等)。通过持续优化合规政策及管控动作,确保其既能避免风险,又能实现成本最低、效率最高。
其二是合规工具的开发和建设。古人讲,工欲善其事,必先利其器,合规管控也是如此。尤其是在今天的数字化时代,企业很多业务流转都在线上,合规管控也需要适应数字化的要求,跟随业务数字化的节奏,不能变成流程阻塞的节点。比如,在出口贸易合规中,我们开发了一套具备自主知识产权的工具ECSS,这是国内第一个能适用全球各国出口合规规则的系统工具,架构最新,易于部署,通过嵌入业务流程和线上工具的保障,可以实现合规管控的规范性与时效性,确保业务在风险管控的前提下高效推进。
其三,我们把合规能力嵌入到产品和项目中,将其融入公司产品,甚至变为公司产品。企业合规不仅是对业务行为进行约束和规制,如今也内化为企业的品牌力,甚至产品竞争力。例如,中兴通讯的一些产品,在个人信息和隐私保护方面通过了行业权威认证,变成了产品本身的特征及竞争力。我们开发的出口合规ECSS系统未来将面向市场商用。
通过合理的合规组织架构建设,中兴通讯持续不断地进行规则优化,在数字化浪潮中加快工具建设,着力提升合规管控效率,实现低感、无感的精准合规,从有效合规迈向高效合规,在风险可控的前提下助力公司经营。
来源:《法人杂志》 作者:李辽