中国企业如何让合规体系有效“落地”

◎文/郭 楠

最近，各行各业纷纷举办大大小小的一系列合规会议。这让人感觉到，关于合规的讨论和实践，在国内如火如荼地开展起来。

首先，合规正在成为一种国际通用的语言。从2008年的西门子到后来的BP，再到后来的大众、中兴，人们不要仅仅为这四个案例里的天价赔款金额吸引了注意力，因为在这些公司同监管方达成的协议里面，除了罚款，还有另外一个必须采取的措施，就是强化合规体系和接受政府强制派驻的合规监督员团队。最近，美国政府派到中兴的合规协调员已经在岗了，要监督中兴十年。这些仅仅是众多类似案例中比较著名的几个。

吉利公司收购美国飞行汽车公司时，经历过美国国防部的审查。被问到的第一个问题就是：你有没有合规体系。同样的，吉利公司收购德国戴姆勒公司9.6%股份时，在德国引发了巨大争论。结果德国总理默克尔表态说：吉利收购这些股份的过程是完全合规的。今后中国企业做跨国经营的时候，有机会并购别人或是被并购，或是同商业伙伴达成交易时，很可能会像吉利被问到的第一个问题一样：你有没有合规体系。越来越多的跨国企业，把交易对方的合规体系及其有效性，作为衡量其信用水平的重要标志。

其次，对于合规体系在国内的有效建立，要有一定的危机感。我们看到，国资委过去一年找了五家企业做合规体系的试点，现在国资委和发改委正在做国有企业和跨国经营的合规指南，国资委的指引已出台；国际合规体系标准ISO19600在中国已经落地，成为国家的推荐标准；国家领导人在各种场合也说到企业要合规经营。种种的情况表明，中国的合规进入了新阶段。但是，关键的问题是：中国企业是不是准备好了？

合规这个词，是一个舶来品，这个体系马上移植来用，在国内企业直接上，跟我们已经推行了十几年的全面风险管理是什么关系？这个体系在国企、民企里面的纪检委、法务部、审计部、内控部等等以外再加一个合规职能，这个职责怎么划分？彼此之间怎么协调？这在外企里面不是问题，但是到了国内，这就是一个问题。这是现在国内企业落实合规体系的一个普遍性的问题。这个技术问题如果不做更多研究和解决，现在国内推行合规又这么大张旗鼓，下一步很可能出现比较尴尬的局面。我希望中国企业能够联手做一些工作，尽快让这个问题有一些典型的解决方案，有比较好的样板来分享给大家，能够在这个方向上取得一些进展。这样才能有力地推动合规体系在中国的有效落地和进一步的发展。

如何评估企业内部的合规发展趋势

一个企业内部的合规趋势评估，应该以一种比较经济的、有效的方式来做。一个合规体系从建立到改进，是不停在进行，这是一个形成闭环的阶段，必须把这个做得有效，才能知道合规改进的方向在哪里。渣打银行在几年时间里被罚了两次，第一次是因为洗钱的罪行，被罚了3亿美元，过了两年又被罚了3亿美元，第二次不是因为主动犯罪，是因为被发现在合规方面的反洗钱控制流程里面有缺陷。这样的例子说明，合规的绩效评估和改进，在合规体系建设和发展过程当中是非常重要的。

一个有效的合规管理体系包含多个要素。一是领导层，要有表态，要承诺建立合规组织，提供合规资源，包括财力和人力的资源。还有风险评估，一个企业要管理自己的风险，搞合规体系的建设，首先要知道你的风险在哪里，一个企业去非洲开矿，和另外一个企业在美国做贸易，二者的风险一定是不一样的，你的风险评估怎么去做，你的合规管理体系就应该相应地针对你的风险评估来展开。做了风险评估以后，下一步就是应该如何去管理合规风险，必须建立起相应的流程和控制手段。第三，体系建立好以后，要让所有你的员工从上到下知道这些手段和政策，让大家去实施，最后就是监控、有效性评估、审计、事件及对策，还有体系优化。这样形成一个有效的闭环。

要做一个合规运行状态的评估，首先要有一定的独立性的原则。西方企业里面比较典型的是：合规职能在企业里是非常独立的一个部门。前几年，外企里面合规职能可能会整合在人力资源部，或者是整合在法律部，现在一个比较普遍的情形，就是首席合规官直接汇报给公司的CEO，甚至还有一条单独的线，跨过CEO，汇报给公司的董事会。第二个原则，评估要基于事实或者是数字，基于一些实际案例和基于事实来做评估。第三是评估要重复进行。第四，评估完了一定要有一个从合规独立的职能部门给一些改进的措施。

我们谈到的评估基本上是两类评估，一个是一个企业的合规体系建立起来以后，做一个合规管理体系的整体评估，看看是不是合理有效，这种评估往往是企业外部的第三方来做的，就是评估一家公司总体合规体系做得是不是有效。第二类就是企业内部定期合规报告，这个报告在大多数情况下，是由合规部门根据所获得的企业合规运营的数据和事例，定期或不定期地提交给公司的最高层，或者提交给他所要评估的某一个具体的部门管理层。这个报告对于企业的合规管理优化是非常有用的一个手段。在企业里面做合规，最重要的推动力量不是合规官本人，而是各层级的管理者。这个报告会成为合规官跟各层级管理者进行互动的非常有效的工具。利用这个工具跟各层级的领导者沟通，很容易基于事实达成共识。一旦达成了共识，他作为合规的第一道防线的负责人，他该采取什么行动，就变成自然而然的一个行为。

如何进行合规风险评估

在非洲进行矿藏开采的企业，和在美国进行贸易的企业，风险一定是不一样的，你可能根据你的业务特点列出诸多风险，有反贪污贿赂的，有环保的、人权的、当地文化习俗的等等。你的企业如果把所有的风险从A到Z都管理得100%万无一失的话，你这个企业成本太高了。这样的工具就可以帮助我们把风险从高到低有一个排序，拿出资源来最有效地管理这些排在最优先级的风险。任何一个单一的风险都有两个属性，可以用两个维度来描述，第一维度：这个风险发生的概率有多大。我们每个人每天早晨都出门，大家头上都不用戴一个钢盔，你不会担心楼顶上掉下来一个花盆砸到你头上，这个风险是不是零呢？不是，但是不是有很大可能性发生呢？不是。第二个维度：风险的冲击力。这个事情发生了以后，对于我的财务的影响、对于我的社会声誉的影响、舆论的影响，和对我所有的利益相关方的影响，到哪个级别。把这两个维度结合到一起，如果某一个风险发生的概率比较高，而且它一旦发生的话，对于我的冲击比较大，这个就是我们合规风险所要评估和管理的首要的风险。当然这样的风险评估，每年要循环地去做，随着业务形式和模式的变化，还有你所在国的变化，这个风险会有一些调整，所以每年要循环去做。

第二，企业内部做定期的合规评估。这个模板是我在公司里面应用的一个真实的模板，因为我的团队同时管理多个国家和多个部门的合规情况，如果我们拿合规培训作为合规评估的内容之一，大家可以看到部门一、部门二、部门三，不同业务部门的合规培训完成情况，如果这样的结果摆在公司管理层面前，我想我不需要说太多的话，各个部门的领导就会说，OK，这是完全基于事实的合规评估，他们也就知道下一步该采取什么样的行动。

下一个评估例子是合规事件的分析。我所在的公司使我有这样工作的方便性，所有全球合规案件的数据库我是可以进得去的，我可以根据我想看的国家和我想看的部门，做一个不同的合规事件的分析，然后按季度做一个这样的统计图出来，比如在中国，可以把中国的所有事件集成起来。如果去印度，就可以把印度的合规案件罗列，这样我们可以分析事件的趋势，来看下一个季度公司领导层的努力方向在哪里，这个同样也不需要说太多的话，领导就能看出来哪里可能要出问题，我们需要采取什么样的措施。

里面的细节还可以包括：针对每一个案件，我们花了多长时间去调查，看我们调查的效率有多高，也要看这个纪律的处分情况，到底多少人因此离开公司，多少人得到警告，这样的数据都是可以定期获得的，这样真实的数据会比较有说服力，统计到一起就会有趋势指向，从而预示行动方向。

另外，合规报告里面可以包括案件举报的分析，一般来讲，一家公司如果足够大的话，他的热线电话等热线举报方式，每年所应该收到的举报的数量应该是他全球员工数量的1%，如果你企业有一万个员工，你的举报热线工作比较正常，大家有什么情况愿意去举报的话，一年企业应该收到一百个案件的举报，这不是强制性的标杆，但是大家可以根据这个来比较一下。如果我的企业一年收到了更多的举报，说明你的企业问题太多；如果收到太少的举报，说明你企业员工内部有什么问题都不愿意说出来，发现问题的渠道有问题。这是衡量热线有效性的一个指标。

还有合规报告里面经常会讲的最佳实践的分享，这就是案例的分析，甚至是公司自己某一个部门，把自己合规的案件拿出来跟大家分享，我们部门发生了这样的事件，我们如何引以为戒。

定期的跟公司管理层分享的图表是基于数字和事实的评估的结果，第一是简单明了，第二没有太多的文字表述，第三是下一步该采取什么行动，就比较一目了然。此外，可能还包括一些其它内容，比如说法律法规环境变动趋势总结，以及分析趋势后合规作为一个独立部门要做一些后续措施的建议。

希望以上这些建议，会对中国企业合规建设起到一定的促进作用。