随着社会经济的迅速发展、技术手段与生产力工具的日新月异,企业及企业管理者身处企业经营的内外环境也不断发展变化。为使企业在资本市场的浪潮中“扬帆远航”,企业“掌舵人”在选择适合的风险管理方式时,需要了解与筛选各类管理模式和治理方法。然而,实践中企业为达到资金迅速回笼的目的、减少整体运行的成本压力,使得企业管理者几乎没有试错的时间,甚至会面临“下错一步,便满盘皆输”的风险。但不可否认的是,合规组织架构的选择和建设是企业建立刑事合规机制这栋大厦的“地基”式工作,也是提升合规沟通能力、降低各部门组织协调成本、高效开展合规工作的前提。因此,如何在各类合规组织模式中筛选出符合企业规模体量、适合发展目标、顺应监管要求的一款组织架构,是企业实现其价值目标的首要任务和基本保证。
“欲致其高,必丰其基。”企业刑事合规组织的构建是企业建设合规管理制度进而实施合规管理的基础载体。建立独立、高效、协调联动的企业合规组织,是企业合规管理制度的重要组成部分,也是企业跨越“纸面合规计划”、实际有效实施合规管理、依法治企的根本保障。企业合规管理制度的顺利运转、具体合规工作的有效开展必须以建立自上而下式组织架构为前提,其特点是可以贯穿企业内部组织、机构、业务、流程、人员全方位。
我国企业家“锒铛入狱”的鲜活案例近年来屡见不鲜,很多企业甚至知名国企、跨国公司都难逃厄运,陷入刑事责任的泥潭。一个企业中有效的组织架构模式能够保障刑事合规责任“对接到人、负责到岗”,能够明确不同层级间合规管理职责和汇报路径,以确保企业刑事合规机制高效运行。
很多企业之所以走上违法犯罪的道路,往往是因缺乏适宜、确定、具体的合规组织模式。若企业内部存在有关刑事合规履职主体空缺、履职范围模糊、履职责任抽象等问题,那么在实际合规体制运行中就容易导致合规风险防控、处理等各方面出现无人履职、表面履职、应付履职的现象。
搭建企业合规组织架构,首先需要了解其基本内涵。最早可以溯源到巴塞尔银行监管委员会于2005年提出的企业需要建立合规管理部门以及企业合规组织架构,后者涉及的机构或组织主要包括董事会、高级管理层、合规管理人与合规部门等。搭建企业合规的组织架构就是以合规为目的在企业内部各层级间搭建可以高效进行合规信息交流的关系网络、运行模式。在进行合规组织设计时,应当明确以下内容:需要进行合规交流的责任主体、具体履职内容及其组织类型;将各环节、各阶段合规信息交流履职方和管理对象相匹配,并对履职情况、履职状态、履职问题等逐一进行记录、整合、反馈并不断优化。
在讨论企业刑事合规制度的组织模式建立标准时,应该首先考虑企业自身的规模和体量。依据2011年国家统计局发布的《大中小微企业划分标准》,将不同规模的企业依照其行业类别、营业收入、从业人员等指标分为“大型、中型、小型、微型”四大类别。众所周知,合规是有成本的,不同规模下企业经济承受能力、需要符合的合规要求也不同。并非所有的企业都需要设置完整又独立的合规部门或机构,而企业具体采用哪种刑事合规的组织模式,取决于企业的公司结构、经营规模、业务和产品线的运营管理模式,以及政府监管和所在行业所面临的合规风险。如西门子公司,40多万名员工仅有6名合规监管人员,与其企业规模是极不匹配的,因此其合规组织模式的设定被认为是无效的。
刑事合规组织构建需要注重满足企业本身“个性化定制”需求,此外一般性刑事合规组织建立还需要符合通行的“三大设计原则”。设计原则是指导合规组织协调运转的基础,即权威性原则、独立性原则、高效性原则(见表2-1)。
表2-1 企业组织架构的“三大设计原则”
权威性原则要求在企业内部合规部门或负责人能够有较高的行政级别或职位,能够在具体行使合规职权和公司治理中有较高的话语权和决定权。甚至在必要时需要利用其权威优势对个别合规风险存疑的业务或流程提出质疑或监督,完成对所涉风险的识别、分析、应对;在整合汇总后对公司决策层进行汇报并提出处理建议。如上所述的各环节都需要合规负责人“力排众议”、顶住压力履行合规职责,这意味着对合规履职人员的职位要求必不可少。独立性原则是要求企业合规履职内容能够与公司财务、业务、经营管理等其余领域做到基本分离;否则多个部门同时行使同一项权力时就会出现权力交叉、混同乃至“搭便车”现象,即互相推诿不作为、从“多人管”向“无人管”的趋势发展。权威性原则与独立性原则的指引使得合规组织地基牢固,而高效性原则保障合规组织得以顺利运行与高效配合。如果将合规事务的制度建设与履职要求镶嵌于企业经营管理的各环节与流程之中,则可以为后续合规管理节省不少时间和成本,从源头上减少了因合规风险内控机制衔接问题而导致违规损害后果持续扩大的可能性。
目前企业刑事合规组织架构主要有三种模式:一是独立模式。企业本身规模与体量较大,或基于该企业所在行业、领域处于重监督、重管制的特殊地位,使得企业常设立独立的、专门的合规部门,以统一与整体地负责企业的合规管理,如关系国民命脉的医药、金融等行业。二是简单或合并模式。常见于企业规模较小或者所涉及合规风险较低,通常不设立独立的合规部门,而是在法律部门下设合规分部或任命合规专员履行合规管理职责,履行基础的企业刑事合规职责。三是混合模式。常见于我国中型、大型企业,通常采用合规部门与其他部门相结合的形式,例如,法律、内控、审计部门等,其中根据合规部门在此模式中所发挥的作用与地位不同又可以细分为不同的运作方式。
1.简单模式——小微企业渡过难关的重要推手
通常小微企业的合规要求与大型企业显著不同,例如,2014年,有学者研究了497家标准普尔500指数公司(在美国多指上市公司)和100家小微公司关于合规要求的长度差异,明显发现上市公司的合规要求通常更长一些,平均为226.7句,而后者仅有117.2句 。这意味着小微企业对于合规的要求与组织体系的建立差异性是有需要且有必要的。
不同于刑事合规制度发源地的欧美国家,我国刑事合规制度的适用主体并非大多聚焦在跨国大企业,所以侧重保护与关注的业务范围也不仅限于境外。面对2019年开始席卷全球的新冠肺炎疫情,在经济形势下行和资本市场受创的营商环境下小微企业可谓举步维艰。其中不乏大批小微企业为公司生计而被迫“铤而走险”,在此背景下如若再遭受刑事处罚,则无疑“雪上加霜”。所以面对近年来严峻的经营形势,刑事合规逐渐成为司法机关助力小微企业渡过难关的重要推手与法律层面的制度保障。这也促使很多小微企业在生死存亡之际遇到突发事件后不断呈现出对刑事合规制度建立的强烈需求和动力。
实践中,基于小微企业业务多单一且面临的合规风险程度较低,为便于企业更为直接地参与合规管理、减少合规成本的投入,往往企业内部会设立较为简单、单一的合规负责机构或人员,具体负责合规人员也大多为兼职,合规履职的独立性大多不强。
2.复合模式——中型或大型企业合规个性化的结果体现
上述简单模式下的企业合规组织形式在我国并非多数,而大多以“复合模式”存在于中型或大型企业刑事合规制度中。以企业内部合规部门与其他职能部门相互配合的方式共同协调、互相联动的方式,完成对企业刑事合规的筛查、管理与应对。在此模式下,根据合规部门与其他职能部门之间所发挥的作用与运作方式的不同,又可以细分为两大类,即合规部门配合其他职能部门、合规部门主导其他职能部门。
(1)合规部门配合其他职能部门——整改速度快、成本低。
在刑事合规制度试点工作的推进下,许多央企或国企作为各领域中的示范标杆,为符合刑事合规改制的要求,在企业原有的法务部下设合规处,将“法律事务部”变更为“法律合规部”。例如,中国中铁股份有限公司新改革的合规管理模式,就是将原有法律部改革为法律合规部。中国中铁股份有限公司在官网中载明,“公司建立由合规综合、专项、参与管理部门组成的‘三位一体’的合规管理模式。合规综合、专项、参与管理部门统称为合规管理部门。合规综合管理部门负责以规章制度综合管理为抓手,建立并持续完善合规管理体系;合规专项管理部门负责合规审核、合规检查、违规查处、合规评价和合规考核等专项管理工作;合规参与管理部门负责各自业务相关的合规管理工作”。
在此模式下,大多数企业将现存的公司法务部或者法律事务部的管理职能与未来需履行的合规管理职能相结合、规整到统一的法律合规部门之中。即在一个法律合规部门里同时对企业的法律事务和合规管理两项职能进行规范、管理、应对。鉴于公司本身就设有法务部,在此基础之上如果增设合规部,相对所需要投入的成本低、更新速度快。
将原有的法律事务与合规事务整合在新设的“法律合规部”统一完成,由一个部门完成两项职能:对内沟通更便利、配合也更顺畅;对外开展合规工作时也有法务部的有力支持,可以节省各部门间的协调成本。
(2)合规部门主导其他部门——独立性强。
除上述两个职能部门结合、合并为“法律合规部”以外,也有将风险管理和审计等多个职能部门整合、合并为“法律合规部”的模式。但与上述模式中所提到的多个职能部门合并、重组的形式不同,前者多需要合规部门扮演配合角色,而在此模式下更需要合规部门发挥主导与支配作用。
以招商局集团 为例,招商局集团采用的合规改革模式就是将法务、审计、风控等多职能部门合并,在原有职能部门的基础上增加了合规管理人员。招商局集团作为国资委合规管理体系建设的五家试点央企之一,早于2016年就开展了合规管理体系的试点工作。其以风险管理部(又称法律合规部)牵头,组织各部门、各下属试点企业建立贯穿治理层、管理层和执行层的合规管理组织体系,完善纵向、横向的合规管理制度体系建设,开展重点领域的合规管理与合规检查。
鉴于对合规风险的识别与预防可以作为其他业务部门开展后续工作的前置条件与政策保障,这意味着合规负责人需要充分发挥其主导与支配作用,合理调配其余职能部门的合规资源,达到合规风险防控与开展部门业务的动态平衡。
以合规部门为主导,需要其余职能部门配合共同进行合规管理的模式(“GRC模式”)也在国内部分企业中得到了应用。例如,上汽大众公司就以GRC模型建立其合规组织架构。“GRC”全称为“Governance,Risk and Compliance”,是指在此平台下以合规风险管理为导向,通过风险管理模块(Risk Management)、流程控制模块(Process Control)和访问控制模块(Access Control)三个方面为企业提供全方位的风险管理平台、内部控制管理平台和访问权限管理平台。这在很大程度上融合了公司治理、风险控制与合规管理,将公司资源进行最大限度的整合,并依靠其独立性保障合规、审计、风控等多个部门共同开展工作。
3.独立模式——大型或特大型企业风险隔离的必备良药
在社会分化复杂化的趋势下,如企业规模体量庞大、内部结构复杂,还一味要求企业高层对企业各项事务都能达到事必躬亲、亲力亲为的水平,的确有强人所难之嫌,所以这就意味着在企业内部建立能够独立运转、独立履职的合规部门或机构是有必要的。
在规模较大、合规事务较多的企业内部设立独立的合规部或合规管理委员会,意味着企业内部通常需要建立专业的合规管理部门、任命首席合规官或总监等作为合规管理总负责人。因其具有独立性的特点,所以此部门不仅需要有管理职责,还需满足监督、建议、调查、问责、整改、优化等多项职能。
合规管理总负责人负责领导合规团队开展工作,相较于其他模式下合规部门的履职方式,此模式下合规履职的独立性更强、团队专业能力更强;因与其他职能部门牵扯较少,使得合规工作运转效率更高、沟通成本也更低。当然形成独立高效模式的前提是企业投入大量的资金、人力等资源成本;同时对合规管理人员合规专业能力要求也较高,需要合规人员既要熟悉刑事合规要求,又要了解企业内部各项业务流程。以跨国企业西门子为例,其在公司内部就设立了独立的合规管理部门来负责公司的合规管理工作。
4.合规组织的具体职责——“四层级”下多角度合规
在对合规组织架构的设计原则、设计模式逐一分解后,有关合规的各项具体职责的划分与承担就落在了“四层级”上,即决策层、监督层、管理层、执行层,“四层级”互相协调与联合运转。目前各部门所颁布的合规管理的国际标准、指南以及我国国内标准指引、指导、政策对合规组织具体职责的规定各不相同。去除各类企业受自身发展阶段、行业业务领域、经营地域环境、所有制性质等影响,各类行业内部的合规组织职责大多围绕“四层级”展开,具体各层级所需承担职责如表2-2所示(以国务院国资委颁布的《指引(试行)》为例)。
表2-2 企业刑事合规组织“四层级”具体职责
续表
合规管理部门设置与具体职责不限于以上类型,以上仅是简单列举,其余类型与组织架构、具体职责的选择要根据公司业务类型、组织结构、组织资源来确定。此外,尽管不强制也不应强制要求所有企业实施一致的合规组织模式,但不同企业在合规组织模式的选择、努力程度、效果上应该量力而行,进行不同程度的合规组织模式建设和具体职责的规划,大型企业应该为中小企业起到引领、示范作用。在刑事合规组织结构、各层级合规具体职责分配确定后,需要以此为地基向上搭建刑事合规的基本制度。