2018年颁布的《中央企业合规管理指引(试行)》(以下简称“《合规指引》”),标志着国务院国资委从强调风险管理转变为强调合规管理。工作重心集中在央企对法律法规和规章制度的遵从性方面,以提高可操作性的方式促进管理措施的真正落实。此前,2006年颁布的《中央企业风险管理指引》(以下简称“《风险管理指引》”)一直是国务院国资委强调的重点。
合规管理(compliance management)这一理念源自美国。在上世纪后半期,为了保护投资人利益,司法分支从量刑角度对企业管理行为提出了更高的要求。而在源于美国的金融风暴于2008年起席卷全球后,美国的政府部门对于企业的管理行为提出了更高的监管要求。
那么,合规管理有哪些特征、与风险管理到底有何区别?
合规和法律风险的工作内容不同
合规和法律风险的工作定位不同
合规事件和法律风险事件的责任后果不同
一、内涵外延的区别
依据《合规指引》第二条规定,“本指引所称合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。”
而《风险管理指引》第三条“所称企业风险,指未来的不确定性对企业实现其经营目标的影响。企业风险一般可分为战略风险、财务风险、市场风险、运营风险、法律风险等;也可以能否为企业带来盈利等机会为标志,将风险分为纯粹风险(只有带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。”
因此,就合规风险与法律风险二者的法定概念而言,法律风险仅是企业风险的一部分,可能包含纯粹风险和机会风险,而合规风险是从事件后果的角度做出的定义。二者在定义的基础逻辑上有所不同,故难以在现行法律基础上得出确定的比较结论。
由于《风险管理指引》并未对法律风险、法律风险管理作出更细化的概念界定,我们仅能从其识别范围、基本流程的规定上,作出进一步探析,以明确其区别。
二、识别范围的区别
《合规指引》要求“中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。”即在合规风险识别上,应将企业及其员工的经营管理行为作为识别对象,法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求为识别依据。
《风险管理指引》将法律风险的识别分为“收集风险管理初始信息”和“风险评估”两个部分,并在信息搜集方面给出了部分指引:“在法律风险方面,企业应广泛收集国内外企业忽视法律法规风险、缺乏应对措施导致企业蒙受损失的案例,并至少收集与本企业相关的以下信息:(一)国内外与本企业相关的政治、法律环境;(二)影响企业的新法律法规和政策;(三)员工道德操守的遵从性;(四)本企业签订的重大协议和有关贸易合同;(五)本企业发生重大法律纠纷案件的情况;(六)企业和竞争对手的知识产权情况。”因此,初始信息搜集的范围即为法律风险的识别范围。
由以上的图示对比可以得知,在识别依据方面,合规管理的目标是使企业的经营管理行为符合内外规则的要求,而《风险管理指引》并未将企业内部规则,即章程与规章制度纳入法律风险管理的信息搜集范畴。
而在识别对象方面,《风险管理指引》要求的“员工道德操守的遵从性”和“竞争对手的知识产权情况”并不完全属于企业及其员工的经营管理行为。
综上所述,企业合规管理除要求企业经营管理行为符合外部规则外,还要求其符合外部行业准则,以及企业章程、规章制度等内部规则,因而在风险识别依据方面,较法律风险管理更为、完整。
三、操作流程的区别
从《合规指引》第二条的定义来看,合规管理是一个分阶段实施且内容交织、循环往复的复杂过程,按通常的逻辑顺序依次为风险识别、风险应对、制度制定、合规培训、合规审查、责任追究、考核评价七个部分。
而《风险管理指引》第五条规定,风险管理基本流程包括以下主要工作:(一)收集风险管理初始信息;(二)进行风险评估;(三)制定风险管理策略;(四)提出和实施风险管理解决方案;(五)风险管理的监督与改进。
如上图所示,《风险管理指引》只要求“提出和实施解决方案”,而《合规指引》则细化分解为“风险应对、制度制定、合规培训、合规审查”等流程。但合规管理与法律风险管理在基本流程方面存在一定非共性范围,合规管理强调从实施结果出发的责任追究,更为具体、更为实际;而法律风险管理更侧重管理学意义上的策略引导和循环改进,高度更高但落实不易。虽然二者基本要求各有所长,但如能有效结合则可形成更为完善的专项工作流程。
综上所述,企业合规管理相对于法律风险管理,不仅在内涵外延、风险识别内容上更为落地,其工作的基本流程也更为细致、明确,更便于企业操作并能够为企业带来实质性变化。不仅适用于央企,对其他的国有企业和民营企业同样行之有效。
合规风险与法律风险都是现代企业风险体系中重要的部分,两者各有重合,又各有侧重。二者都是为了通过加强管理行为,来防范可能发生的各类风险、为企业减少风险损失。
由于需要识别的风险多种多样,且许多企业的内部规章制度并不完善,企业由于资源的有限性难以仅通过自己的努力达到理想的合规目标。相关内容见后续文章《企业合规管理方法论⑵——企业合规风险的识别》。
文中图片素材来源网络,如有侵权请联系删除