首席合规官和合规部每年年初(准确一点是新年1月2月份)的一个重要合规工作就是制定“企业的年度合规管理计划”,制定好年度的企业合规管理计划是企业合规管理体系持续有效发挥应有的预期作用、持续服务企业战略成功落地、健康持续发展的关键工作,这也是企业合规管理计划价值所在。
如何制定好企业合规管理计划呢?我们不能够为了计划而计划,企业合规管理计划能不能制定得有质量,首席合规官和合规部需要先把以下三个方面的问题捋清楚,在此基础上制定的合规管理计划才可能实现上述的功效,才能是有质量的合规管理计划,才是本企业自己发展需要的合规管理计划。
一、企业目前自身需要什么样的合规管理
首席合规官和合规部要摸底企业合规现状是什么?这个企业合规现状决定了企业目前自身在未来一年需要什么样的“合规管理计划”来优化企业合规现状。企业合规管理计划不是“闭门造车”出来的。
每一家企业都有自己的合规现状:
1、过去一年的合规目标实现情况
如果企业设定了年度合规目标,合规部宜收集、统计、汇总分析企业过去一年的合规目标实现情况如何,都实现了,部分实现部分未实现,还是都没有实现,并总结经验与思考可以改进的地方有哪些,并了解各部门各业务的合规考核结果情况。
2、过去一年发生的不合规情况
企业在生产经营过程中,总会有磕磕绊绊的,企业合规方面也是如此。合规部需要把企业过去一年中发生的大大小小的不合规情况进行结构化的归总、分析,比如,列出不合规发生所在的部门、业务领域和后果情形、中长期影响、纠正与责任追究情况、发生原因、是否存在合规管理体系缺陷问题引起等,做一个结构化的企业过去一年不合规发生情况分析地图。
3、过去一年企业合规管理体系本身的时效性维护情况
合规管理体系本身是要动态维护的。企业内外都在不停的变化之中,某个时点的“合规管理体系”,经过一段时间后,如果企业没有及时吸收新的变化而调整跟进,局部、甚至大部分地方可能会过时。合规管理体系本身需要时效性维护的,主要有以下的方面。
一是目前的企业合规战略与企业内外环境变化同步维护情况。到年底,影响企业目标与合规目标实现的企业内外环境因素(合规内外环境因素)是否发生明显变化?合规环境因素变化可能意味着企业既定的合规战略过时。合规环境因素变化在过去一年变化情况如何。这一点可以从过去一年企业发生的不合规,以及被有关监管部门处罚、利益相关方投诉与合同纠纷(比如来自客户、供应商的投诉与合同纠纷)等,以及产生的后果、严重情况等,与过去2-3年的变化趋势分析获得,其中,最应该关注的是国家监管趋势、监管机构的监管力度变化、企业所在的产业链、企业的供应链上的供应商监管变化等。
二是目前的企业业务合规义务清单与合规义务变化同步维护情况。企业之前已经有各业务对应的合规义务清单和合规职责清单了,但是,过去一年中,法律法规、监管规定、产业政策、供应链上的供应商所在的产业政策等均可能变化,修改、废止、出新的要求,同时,企业与老合作伙伴继续签署合作协议,或者与新的合作伙伴签署合作协议,有可能根据合作伙伴的要求,增加了企业新的“合同义务”,或者企业增加了新的业务板块,或进入新的国家、地区市场,都将面临企业的一些业务活动及结果对应的合规义务、合规职责的变化,这些,企业对应的业务主责部门可能同步更新了,也可能部分更新,或者还没有来得及更新,这个企业业务合规义务清单与合规义务变化同步维护情况需要摸底和把握。
三是企业业务合规风险清单与业务、合规义务变化同步维护情况。过去一年中,企业增加了新的业务板块,或进入新的国家、地区市场,对应的业务活动清单会变化,企业生产经营业务活动适用的法律法规、监管规定、产业政策、供应链上的供应商所在的产业政策等变化,合规义务清单也变化,这两个方面都会引起业务合规风险变化,需要再分析评估,列出新的企业业务合规风险清单。企业对应的业务主责部门可能同步更新了,也可能部分更新,或者还没有来得及更新,企业业务合规风险清单与业务、合规义务变化同步维护情况需要盘点和把握。
四是合规风险应对措施及制度完善与业务、合规义务、合规风险变化同步维护情况。企业过去一年中,业务、合规义务、合规风险均有发生变化,对口的各业务部门是否同步更新、完善合规风险应对措施及对应的业务管理制度?主责部门可能同步更新了,也可能部分更新,或者还没有来得及更新,合规风险应对措施及制度完善与业务、合规义务、合规风险变化同步维护情况需要梳理和把握。
另外,也还需要了解各业务的合规监督、考核清单是否更新维护。
二、企业希望合规管理为企业提供什么样的价值赋能
本企业希望合规管理为企业提供什么样子的价值赋能?这个希望决定了企业的“合规管理计划”要推进本企业合规管理完善与更新的方向。我们来看看国际和国家合规标准,对“合规管理体系是干什么用的”如何要求的?
先看看ISO373021:2021《Compliance management systems-Requirements with guidance for use》,“合规管理体系是干什么用的”。
合规管理体系用途:通过合规管理体系满足利益相关方的需求。
再看看GB/T5770-2022《合规管理体系要求及使用指南》,“合规管理体系是干什么用的”。
合规管理体系用途:利益相关方的需求通过合规管理体系予以解决。这就是本企业的合规管理体系能够为企业提供的价值赋能,也是企业对加强合规管理工作希望为企业提供的价值赋能。按照这个逻辑,我们来厘清几个事情:
一是企业的利益相关方是谁?
国际和国家合规标准对企业的利益相关方进行了明确。如下。
从ISO373021:2021《Compliance management systems-Requirements with guidance for use》和GB/T5770-2022《合规管理体系要求及使用指南》要求看,利益相关方是与企业有监管被监管、管理、劳动雇佣、业务合作、生产要素输入合作有关的利益相关方,如政府机构、监管机构、客户、供应商、代理商等。首席合规官、合规部要理清本企业的“利益相关方清单”,每一家企业之间自己的利益相关方不同之处,在于客户、员工、供应商不同,也是企业发展成功否的关键利益相关方。
二是企业利益相关方的需求
国际和国家合规标准对企业利益相关方的需求也进行了明确。如下。
从ISO373021:2021《Compliance management systems-Requirements with guidance for use》和GB/T5770-2022《合规管理体系要求及使用指南》要求看,利益相关方的需求,有的是强制性的、正式的要求,如发布的法律、法规、许可、政府监管规定等;也有的是企业与利益相关方以协议、或合同形式,自愿形成的“合同义务”,成为企业要遵守的“合规义务”。
即利益相关方的需求,一部分是具有强制性、企业必须要遵守的,另一部分是企业自愿要遵守的。
具有强制性、企业必须要遵守的利益相关方的需求主要是国家法律法规、监管政策、强制标准等,首席合规官、合规部关键要理清楚的是“企业自愿要遵守的利益相关方的要求”,企业的相关业务活动及其结果需要遵守。
三是企业确定哪些需求要通过合规管理体系去满足
与企业有关的利益相关方的需求会很多,如果是监管机构、政府机构等,他们是可以直接行政管理企业的,直接影响企业生产经营,他们的需求会以正式文件、法律、法规、标准、强制要求类的规定文件等形式提出来,对一企业来讲,是必须要遵守的,具有强制性,这些需求是要通过企业的合规管理体系去满足的。
另一方面,与企业有关的利益相关方如果是非监管机构、政府机构等权力机关,是客户、员工、供应商等,他们是受到企业影响的利益相关方,也可以直接影响企业,他们的需求,与企业之间是以“协议”或“合同”形式,双方平等自愿基础上约定和选择、承诺的,不具有强制性,是企业自愿合同约定或者公开承诺和选择要去满足这些利益相关方的部分需求,或者是全部需求。企业确定哪些需求要去满足,是基于竞争优势的需要而选择和决定的。
比如,格力空调,2021年3月6日公开公布承诺家用空调免费包修服务10年,承诺对家用空调“全生命周期”的全面售后服务保障,比国家规定的包修时限长很多,就是基于竞争优势的需要而选择和决定的。
所以,两家同行业的企业,他们的生产经营要遵守的“合规义务清单”在自愿选择要遵守的要求部分是很不同的,也就是他们要通过合规管理体系去满足利益相关方的需求是不相同的,因为各自承诺、自愿约定往往是企业与他们以协议、合同形式,确定下来形成的企业合规义务,企业为什么要去满足利益相关方的这些需求,是企业不同的企业战略考量决定的。这也正是企业希望合规管理能够为企业提供的价值赋能。
三、合规管理为企业是否提供价值赋能
企业领导要防止为了抓合规管理,而抓合规管理,而不去理会合规管理的预期价值作用是否发挥。合规管理为企业是否提供价值赋能?即本企业通过合规管理体系是否真正满足利益相关方的需求?企业实现合规目标,未必实现了“通过合规管理体系满足利益相关方的需求”。笔者发现,一些企业的合规目标设置存在错误,不是从实现“通过合规管理体系满足利益相关方的需求”出发设定的。进行问卷调查,或者从企业过去一年中发生的大大小小的不合规情况统计看,客户、或供应商、或员工存在对企业的“不满意”情形普遍存在,而企业的合规目标又是实现了的,这种合规目标与合规管理的预期价值作用分离现象,将严重影响企业的健康可持续发展,甚至导致企业过去几年的经营收入、成本、利润和市场品牌形象均不同程度滑坡。
因此,首席合规官、合规部要着重分析和评估企业的合规目标设置与实现“通过合规管理体系满足利益相关方的需求”是否脱节?企业通过合规管理体系是否真正满足利益相关方的需求?
总的来说,首席合规官、合规部应紧紧围绕企业要“满足的企业利益相关方特定需要与期望”来设置本企业合规目标。可以设置的合规目标一般有以下类型:
1、企业利益相关方对“企业遵守与其的‘约定’或‘潜在需求’的满意度。
2、企业利益相关方的需要与期望是否逐一满足---合规义务遵守率。
3、不同类型的不合规次数或发生率。
4、部门、岗位合规绩效值高低。
5、合规培训次数或覆盖率、合规举报调查完成率、不合规追责处置率等。
总结
首席合规官、合规部要防止新一年的企业合规管理计划是为了计划而计划,需要先把以上三个方面的问题捋清楚,在此基础上制定新一年的合规管理计划,才可能推进本企业合规管理为企业高质量发展服务。
每一家企业都有自己的合规现状,每一家企业决定要满足的利益相关方需求也是各不同,每一家满足利益相关方的需求情况与企业实际合规目标设置也不同,因此,每一家的合规管理计划在内容上、重点上是不同的。首席合规官、合规部制定合规管理计划要立足改善企业合规现状,更好实现“企业决定要满足的利益相关方需求”出发,来策划和制定,而不是东家抄西家的“复制方式”。
