合规研究专栏:总论篇之六:合规管理逻辑之辩——成文法与PDCA
2024-07-25
我国企业开展合规管理体系建设,主要依据有四类(见本公众号文章,“合规研究专栏总论篇之一:国有企业合规管理建设的四类依据”)。而这四类依据可以进一步归类为两个大类,一是国资委、发改委、财政部等监管机构以及国内一些行业协会等商协会组织出台的有关企业合规管理体系建设的部门规章、规范性文件、工作部署,或指引类文件,本文简称为“规范类文件”;二是以ISO国际标准和GB/T国家标准为代表的有关企业合规管理体系建设的标准类文件,这类文件不比规范类文件少,本文简称为“标准类文件”。
对于开展合规管理体系建设的企业主体而言,对这两类依据文件不存在二选一的问题。本文将基于对这两类文件不同内在逻辑的分析,探讨在企业开展合规管理过程中,如何立足本企业实际情况,借鉴两类不同文件的优秀成果,从不同角度建立或强化本企业合规管理体系,并融会贯通地提升本企业合规能力,向最优实践看齐。
一、两类文件的不同思路
虽然同为企业/组织开展合规管理体系建设的主要依据,但这两类依据从出处、作用、适用性到语言风格、推广程度都明显不同,而二者本质的内在差别,则在于合规管理的逻辑完全不同。
“规范类文件”遵循成文法传统,有一整套完整的、整齐划一且四平八稳的推演逻辑,在呈现方式上也讲究形式美感,注重体系性,因为讲究理性推导和语言逻辑而被称为“被发明的规则”。“标准类文件”因为来自欧美的缘故,基本遵循习惯法逻辑,不讲究条条框框,注重经验和案例,强调合规动态性,因而被称为“被发现的规则”。
具体到合规管理体系上,规范类文件提供的是企业合规管理体系从依据、定义、适用范围、原则到组织机构、制度建设、运行机制、保障能力的“四梁八柱” ,以国资委《指引》和《办法》为代表;标准类文件则放弃了对合规管理体系整体框架的描述,直截了当地聚焦企业经营管理业务的合规运行,围绕一个具体经营行为本身运行的计划(P)-执行(D)-检验(C)-改进(A)闭环,提供合规建设参考建议,以GB/T35770-2022/ISO37301:2021为代表。
二、两类文件的不同内容
虽然都是以为企业/组织合规管理体系建设提供依据为目的,但由于遵循不同的思路,两类文件所呈现的内容也不相同。
规范类文件更为我们中国企业所熟悉,无论从整体结构、语言风格、呈现方式上都与我们熟知的法律法规和企业规章制度保持一致,是当前各类企业开展合规管理体系建设的主要依据。最主要的《指引》和《办法》规定和定义了全面合规管理体系的四梁八柱,即组织体系、制度体系、运行机制和保障机制四个主要模块。
组织体系,规定了企业哪些机构、哪些人负责合规管理建设工作,或者说,公司自上而下各机构、部门、人员的合规管理职责是什么。制度体系,规定了如何通过内部规章制度的方式来开展合规管理建设工作。运行机制,规定了合规管理体系如何有效发挥作用,如何融入企业肌理成为企业经营管理运行的一部分。保障机制,规定了合规管理建设的人财物保障问题,还包括组织推动、文化培育、合规考核、信息化建设和监督考核等。其具体内容详见本专栏文章《总论篇之五:全面合规管理体系的“四梁八柱”》。
标准类文件,以当前合规管理体系建设领域最重要的ISO和GB两个A类标准为例,则在PDCA逻辑之下,主要包含以下内容:
环境:明确了合规义务(相关方要求)、组织所处内外部环境、合规方针与文化、领导作用与岗位合规职责、合规队伍等内容,可以视为开展PDCA运行的组织环境,即在什么样的环境、条件、基础下进行PDCA闭环运行。
P(策划):基于企业应遵循的合规义务、相关方要求,结合企业经营环境和合规基础,在合规方针之下明确可测量、可评价、可更新的阶段性合规目标,基于该等目标策划合规管理体系、活动和措施。当合规管理体系需要调整时,对调整的实施进行策划。
D(执行):按照策划方案,开展合规管理体系建设工作。明确实施方案需要的资源,培养全体人员的合规意识、能力,建立企业内外部顺畅的沟通机制,实施遵守合规义务和管控合规风险的具体措施和程序,形成可视化并能够动态更新的合规管理工作成果、文件化信息。
C(检查):通过有效的合规线索识别和调查处理,开展内部审核和管理评审工作,定期对合规管控措施、合规管理体系进行评估、完善和优化。
A(改进):基于内部审核、管理评审、违规线索调查等处理结果,对不合规事项、管理短板和弱项予以持续改进,形成纠正不符合项的动态和长效机制,保证合规管理体系的适宜性、充分性和有效性。
三、两类文件的落地应用
对于开展合规管理体系建设的企业/组织来说,真正有价值的问题是,如何更好地参考这两类文件的要求或标准,让这两类文件在本企业合规管理体系建设中发挥相得益彰的作用。对此,我们的经验和建议是:
一是结合企业性质。对于央国企来说,落实规范类文件,特别是国资委的规范类文件,是“规定动作”,在合规管理体系建设中也必然以规范类文件为主要依据。但非常值得注意的是,经历了5年多的建设期,“有效性”是合规管理建设第一关键词已成普遍共识,央国企要提高合规管理的有效性,避免纸面合规陷阱,认真吸收标准类文件PDCA运行思路,是截至当前较为可行的路径。对于其他企业来说,没有规定动作压力,规模大、业务多元、总部型企业应参照央国企同步吸收规范类文件和标准类文件的优秀成果,业务单一、预算受限、风险集中的企业,则可以聚焦某一或某些专项领域,先按照标准类文件,务实地开展专项合规建设。
二是着力研究标准类文件。对于规范类文件,中国企业更熟悉,也更容易理解和应用,但标准类文件很多翻译自国外文件,逻辑思路差异较大,语言不精准且晦涩,所以其没有得到很好的推广。但标准类文件实则是当前开展合规管理体系建设的一个“富矿”,除了大家最为熟悉的两个A类标准外,还有其他种类丰富、数量众多的标准类文件,包括国际标准、国外标准、团体标准、地方标准、行业标准等等,对于有志于真正研究和建设企业合规管理的人来说,标准类文件可以提供丰富的研究资源。国家市场监督管理总局网站首页右下角国家标准化管理委员会(www.sac.gov.cn)模块公示了大量各类合规管理标准,可以免费学习。
三是两类文件的融合。两类文件针对的是合规管理建设这同一个对象,只是从不同侧面和角度为合规管理提供参考指引,对于企业来说,追求的是让这两类文件融会贯通地在本企业落地。总体上,应以规范类文件为纲、为基础、为框架,在合规运行与具体落实上,则应着重参考标准类文件的PDCA要素。比如,规范类文件要求健全组织体系,明确公司治理机构比如经理层的合规职责,而标准类文件在应用端则进一步提到应明确经理层各成员(总经理、副总、总会、总助等)的具体合规职责;规范类文件要求针对识别出的合规风险进行评估并提出防控措施,标准类文件则进一步认为还应定期评价这些防控措施本身的有效性并针对防控措施提出改进措施等。
四是结合贯标认证开展合规管理建设。贯标认证是结果导向,以取得认证证书为目标,然而对央国企来说,国资委的要求就是标准类文件里所谓“相关方要求”,而且可能是最重要的相关方要求,因此央国企取得认证证书的前提是落实了规范类文件,所以二者在贯标认证中是融合统一的。
总之,企业/组织全面合规管理体系建设在我国仍然处于十分初期的开局起步阶段,历史文化积淀和传统十分薄弱,没有形成规模化的研究成果,也缺乏真正成功的实践案例,对于企业来说,深入开展合规管理体系建设可资参考或研究的学术成果或实践先例都十分有限,规范类文件和标准类文件几乎是当前最重要的参考文件,代表着当前合规管理建设的研究和发展水平,只有融会贯通地吸收这两类文件,才能在实践推进过程中逐步积累经验,建设符合企业特点的有效合规管理体系,发展合规管理事业。
本文作者:
声明:
本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。
