摘要:“三道防线”模型已在多个行业多种领域得到了广泛应用,《中央企业合规管理办法》以此为模型确定了业务及职能部门(第一道防线)、合规管理部门(第二道防线)、审计监察部门(第三道防线)的合规职责,以期通过制度化的方式让“三道防线”有效落地。本文从“三道防线”的内涵及对应职责范围,在合规管理中对“三道防线”功能进行再定位,提出保证“三道防线”协同运转发挥实效的措施,希望能够为国有企业合规管理体系建设提供参考。
关键词:国有企业;合规管理;三道防线
“三道防线”理论与模型发端于金融行业,并逐步延伸至不同行业企业治理领域,近年来,也成为了推动国资监管中合规管理体系有效运行的重要抓手。2022年,《中央企业合规管理办法(征求意见稿)》(下文简称《征求意见稿》)在央企“合规管理强化年”大背景下应运而生,《征求意见稿》的亮点之一便是使用了“三道防线”的概念。随后,《中央企业合规管理办法》(以下简称《办法》)重磅出台,标志着我国企业合规管理开启了新时代,《办法》与《征求意见稿》不同的是,基于立法法言法语表述的考量,没有在具体条款中出现“三道防线”字样,但是在合规管理架构上坚持权责清晰,实质上通过制度化方式,按照“三道防线”理论和模型明确了业务部门与职能部门、合规管理部门、监督部门的职责。但是,“三道防线”的内涵是什么,在合规管理体系建设中怎样定位“三道防线”的功能,如何保证其协同运转实现企业合规管理体系高效运行仍然是实践中需要解决的问题。
一、第一道防线:业务部门及职能部门——排头兵
业务部门是企业的前台,对业务场景最为熟悉,是合规风险的直接面对者,毋庸置疑是首道防线。相较于2018年国务院国资委出台的《中央企业合规管理指引(试行)》以及《征求意见稿》,《办法》扩大了“第一道防线”的范围,增加了“职能部门”。这是因为业务部门和职能部门均是具体合规管理制度的执行者,对本领域业务情况、实际问题最为了解,对本部门的合规风险排查、管控等也更有经验,更能切合企业发展的实际。
正是基于此,第一道防线是合规管理的“重中之重”。一方面,这是直接参与生产经营活动的“首发队员”;另一方面,在合规管理中其主要功能是守住合规红线底线,是为企业发展创造价值的“排头兵”。从《办法》的表述来看,业务部门和职能部门合规管理职责明显加重,包括自我预警、自我审查、自我报告、自我管理等,也即要求其承担的合规义务更为直接、丰富、严格。
具体到合规管理体系建设的过程中,初期阶段,业务与职能部门的介入深度与主动程度将直接关系到合规管理体系建设的适用性和有效性。正所谓“无场景不合规”,这就需要第一道防线开展合规风险识别评估,结合具体情况对建立健全本部门业务合规管理制度和流程,针对重点领域编制风险识别清单、确定岗位职责、制定流程管控措施,且这些内容应更聚焦、更具体,而不是通用的管理要求。比如中国绿发投资集团在各业务领域重点环节设立合规管理员400余名,聚焦风险防控,编制职责手册,确保制度建设、合规审查等职责依规履行。这也是实现第一道防线与第二道防线有效融合及协同的重要举措之一。
在合规管理体系的运行阶段,用“三道防线”进行合规管理的核心和本质是让业务及职能部门担负起管理合规风险的主要责任。也就是说,第一道防线需要消化和消灭至少90%的合规风险,这就需要完成本部门经营管理行为的合规审查及时报告合规风险,保证合规进岗位、进流程,更需要在动态过程中让各级业务经办人都意识到自己是合规风险管理的第一责任人,能够对业务过程进行实时控制和自我评价、自我监督,实现“自己约束自己”。
合规管理体系是动态的,持续优化的,只有让业务与职能部门发挥合规风险识别评估和岗位制约作用,针对薄弱环节及时进行整改,自查自纠,不断提高各合规管理的自觉性和主动性,才能保证合规管理体系适用于企业的发展,否则所构建的合规管理体系必然与企业业务成为“两层皮”,不可能有正向作用,更不可能创造价值。
二、第二道防线:合规管理部门——磨刀石
虽然第一道防线的合规职责是“重中之重”,但第二道防线的合规管理职责和义务亦未削减。合规管理部门是合规管理工作的牵头部门,处于中枢地位。受制于对具体业务场景和部门活动的熟悉程度和自身工作量等因素,合规管理部门不可能事无巨细地完成各部门制度、文件的审查,以一己之力完成企业经营全过程的合规管理。第二道防线的功能进一步体现为“赋能”,通过发挥自身的专业优势,在事前、事中、事后各阶段实现专业化的合规管理,服务一线做能力输出的“磨刀石”。
为此,要对合规管理部门进行充分授权并确保合规管理部门的工作具有一定的独立性,即负责规章制度、经济合同、重大决策合规审查,受理职责范围内的违规举报、提出分类处置意见,根据董事会授权开展合规管理体系有效性评价。
此外,也要突出合规管理部门牵头、组织、协调的作用,保障合规体系有效运行。在合规体系建设的初期,大多数企业需对合规管理现状进行评估、设立合规组织,充实合规人员,组织起草通用型制度如合规管理体系化建设方案、合规管理基本制度、年度计划、工作报告等等,这些前期工作基本上由合规管理部门去承担,所以第二道防线承担了打好合规管理基础的主要工作。在体系运行的事中过程,通过第二道防线提供指导、培训、咨询等“赋能”举措实现“三道防线”的协同,使业务部门及职能部门掌握更多合规管理的知识、技能和方法。推进合规管理信息化建设,有利第二、第三道防线之间的信息共享、互联互通。
而当企业发生了重大合规风险事件时,合规管理部门需要做好统筹协调及时采取措施妥善应对并及时向国资委报告,事后还需要帮助业务部门及职能部门进行合规整改,实现合规管理的优化提升、持续有效。
三、第三道防线:监督部门——执剑人
第三道防线监督部门涵盖纪检监察机构和审计、巡视巡察、监督追责等部门,明显提升了合规管理第三道防线的监督和威慑力。监督部门的职责不涉及为违规行为提出整改意见,而是聚焦监督部门在职权范围内的监督、调查、追责职责,包括设立违规举报平台,公布举报电话、邮箱或者信箱。明确了第三道防线的主要职能是“督战”,需要监督合规要求落实情况,做合规管理的“执剑人”。
鉴于央企、国企的审计、纪检监察等职责及程序均有较为完善的法律法规及党内法规的规定。在实践中,通常不必也不能跳出相关规则,“第三道防线”会在原有的框架和规则内各司其责,充分体现“专业的人做专业的事”,突显第三道防线监督作用。
对于违规问题的举报受理、调查,可能会涉及到与第一、第二道防线的工作职责交叉。笔者认为,实践中合规管理部门和监督部门应当在各自职责范围内进行受理,并设置流转运行机制。即最先接收违规问题举报信息和线索的部门应当进行初查和分析,确定是否仅限于本部门职责范围内,能否由本部门独立受理、分类处置。如果并非如此,需要进行及时转交。对合规管理部门而言,必要时还应配合参与违规问题的调查。
四、“三道防线”协同运转的难点和困境
组织效率既来源于分工,更来源于协同。“三道防线”并非孤立运转,而应各司其职,协同运作。在同一目标之下,理论上“三道防线”是容易协同的。但是,由原先的法务或风控部门进行合规管理“单线作战”模式向多兵种集合“三道防线”模型转变,在实际运行中也存在一些难点,还需要一个“落地”的过程。
首先,虽然《办法》通过制度化的方式明确合规管理责任主体,梳理各道防线职责的方式解决了以往大家对合规管理职责的“认识误区”问题,即业务部门及职能部门不会再认为合规仅仅是法务或风控部门某一个部门的职责。但是在实践中,仍然存在业务部门及职能部门人员缺乏动力,存在主观上“不愿意”,行为上“不积极”的情况,这也极大的影响了第一道防线作用的发挥,更有碍“三道防线”的协同运转。
其次,《办法》在“三道防线”的横向合规管理体系执行架构上又设计了“合规委员会-首席合规官-合规管理部门-专职合规管理人员-合规管理员”的纵向合规管理人员架构,形成了“一横一纵”的体系,以期提高合规管理落地的可操作性。但是,一时之间,合规管理员、合规联络员、合规专职管理人员概念一度概念混淆不清,人员选聘和任职要求让不少企业无所适从。
最后,随着法律法规、监管政策等的不断更新以及企业业务场景的不断调整和变化,合规管理处于动态更新的状态,加上合规管理本身就是新鲜事物,且需要持续优化升级,这对“三道防线”上的人员综合素质和能力也提出了更高的要求,相关人员客观上也存在一定程度“能力不足”的问题。
五、“三道防线”协同运转的举措和要点
新的形势和背景下,合规管理重点需突出“有效性”的工作基调,关键在“落实”,能否实现“三道防线”的协同运转归根到底需要“人”在具体的“事”上落实,要“有人”、“有意愿”、“有方法”、“有能力”。
一是充实合规管理队伍。“三道防线”设置时首先聚焦第一道防线上的合规管理员。广东省明确了省属企业合规管理员的任职条件为本部门业务骨干,原则上应担任主管或以上职务,并要求具备一定的合规管理知识和能力,有较强的统筹协调能力。其次,要调派懂合规管理的专业人才到合规管理部门,并且设置专人专岗;而设置首席合规官岗位,并将该岗位作为合规管理的关键人物为合规管理人员的职业晋升创设了空间。截至2023年3月底,68家中央企业集团和631家重要子企业设置了首席合规官,全系统合规管理人员超过2.8万人。有机构有人,合规管理相关工作才有条件依次有序展开。为此,很多企业已经关注到合规管理人才的联合培养选拔,东风公司及下属单位建立“单位-部门-科室”的三级合规人才队伍,将合规管理员作为人才培养和选拔的重要途径。中交集团通过外引内育、挂职交流、专业培训等方式,提升法务合规人员对公司主责主业的参与度和工作实效性,积极打造法商融合型、复合型、外向型合规人才队伍。
二是健全机制增强动力。合规管理是对企业员工履职行为合规情况的持续管理,要帮助员工调整“不愿意”的消极心态,需要从全局角度健全机制。
注重违规问责及考核奖惩制度的整体衔接。把员工的合规履职情况进行量化,加强考核记录,事后进行奖罚。让合规行为变成看得见、记得住、算的清的积分事项,并最终作为员工违规问责、考核评价、职级评定与晋升等工作的重要依据。例如中核集团发挥考核“指挥棒”作用,将合规管理情况纳入对成员单位考核和“业绩突出贡献奖”的约束项指标,合规管理提升为对成员单位的考核硬指标。实践中,可以结合员工履职行为记录进行合规积分,包括违规行为的负面清单记录,如根据违规行为性质、发生次数、危害程度就每次事项发生予以扣分,也包括正向合规行为的记录,如员工对合规手册、合规制度等提出实质性优化意见和建议并被采纳,每年参加培训和学习按次积分,以及能够保持持续的合规履职,连续一年或两年未发生合规风险事件,可以实施加分奖励,再将年度总积分纳入绩效考核评价中。
此外,在文化建设上,按照“分层实施、逐级开展、全面覆盖”的原则,依托内网、展板、主题活动等载体和形式塑造立体合规宣传格局,加强思想教育和引导。中国汽车技术研究中心有限公司开展了“合规文化周”活动,通过合规理念宣贯、合规要求传达、订立合规承诺书等方式进一步深化合规管理体系建设,构建人人知规、处处敬规、时时守规的合规文化。
三是确保合规审查执行有力。合规审查是企业识别合规义务、评价合规风险的重要手段,也是影响“三道防线”协同运转的重要一环。完成了人员配备,增强了微观动力,还需要让相关人员知道合规管理中要审查什么,怎么审查。在公司层面编制由首席合规官进行合规审查的清单(即哪些属于重大决策事项,有什么特征,需要提出怎样的意见及建议)以及由业务部门及职能部门负责合规审查的业务环节事项清单,细化合规审查职责。中国化学工程集团有限公司总部和所属企业编制《合规审查工作指引》,分类明确首席合规官、合规管理牵头部门、各业务部门、所属企业的合规审查范围和程序,确定首席合规官合规审查事项57项;细化重大决策事项的合规审查标准,建立合规审查意见督促落实机制。
在合规审查的操作过程中,关注各业务部门、职能部门职责分工是否清晰、控制点是否明确,环节是否明确,是否可操作及可量化等方面,把合规审查的目标、标准、流程、重点以及定期对审查情况开展评估等用制度规范好,要求合规审查形成书面留痕的审查建议及报告,再由“第三道防线”通过定期检查或抽查的方式进行工作监督。通过信息积累,选取重点业务领域,结合风险识别清单,落实相应的岗位责任、任职资格,系统梳理相关部门重点业务流程,规范关键流程节点控制措施,实现合规管理的动态管控,让“三道防线”动起来、活起来。
四是强化常态化培训提能力。通过常态化通用合规知识培训、合规管理履职的定制化培训及岗位合规交底培训,不断提升履职能力。通用合规知识培训(包括合规管理全流程知识,合规管理基本制度、管理办法、合规手册学习)必须覆盖“三道防线”上的所有部门重要岗位,甚至是公司全员,这些都是合规管理工作本身如何规范、科学管理的制度化文件。更重要的是,应当要根据不同的业务场景、岗位职责,开展不同岗位履职业务的合规管理定制化专题培训,对于进入企业的新员工及进入新岗位的员工还需要专项开展交底培训。中储粮集团公司通过合规专题培训、制作口袋书、考试测试、案例知识推送、组织员工交流学习体会,定期集中学习等方式,不断增强干部职工遵规守纪意识和合规管理能力。
六、结语
随着国企合规管理体系建设的不断深入,穿透形式合规,树立实质合规理念是合规发展的必然趋势。“三道防线”作为合规管理组织体系中执行层,需要将合规管理工作从独立的视角向整合的视角转变,从合规管理的各阶段、各角度、各层次出发,实现协同运转,实现合规管理从“保值”的角色向企业发展“增值”角色转变。
注释
[1]国务院国资委政策法规局负责人就《中央企业合规管理办法》答记者问_政策解读_中国政府网 (www.gov.cn)
[2] 汤敏志.《中央企业合规管理办法》要点解读.载于
https://mp.weixin.qq.com/s/L91Lt7Ua4sR1p_kvByHbTA
[3] 陈瑞华,李玉华.《企业合规社会治理》,北京,法律出版社,2021.
[4] 李奋飞.《企业合规事务管理》,北京,法制出版社,2022.
[5] 张亚兵,张伟,肖春颖.企业构筑风控体系新三道防线组织结构的探索与实践[J]. 航空财会,2022,4(2).
[6] 梁枫,刘书茗.企业合规建设中“三道防线”的职责边界与分工协作.载于
https://mp.weixin.qq.com/s/UrebuUtyjk1gVVS9b7ymDQ
[7]周雷.《近七成央企已设首席合规官》,经济日报,2023年3月21日。
来源:锦天城律师事务所 作者:朱明 梁征 吴乙婕