中兴通讯首席法务官申楠:探索以风险为导向的合规管理体系,助力企业可持续增长
申楠
中兴通讯首席法务官
经济全球化给各国企业带来了更加开放、联系更加紧密的国际市场环境,跨国企业在走出去的过程中,面临着全球市场法律法规遵从,给企业经营带来了一定的风险和挑战。企业建立以管理为导向的合规管理体系后,探索以风险为导向的合规管理体系,是企业将风险治理前置以避免僵化遵从规则,也是企业更好地适应不断变化的外部环境,防范风险、稳健经营并实现可持续增长的重要保障。
2019年,在中兴通讯的每一位员工的全心投入以及不懈努力下,公司的合规体系经历了从理念层面到具体建设层面的重塑,实现战略恢复期到战略发展期的进阶,合规建设稳步开展并取得了一定成效。在出口管制合规领域,中兴通讯加强了合规流程嵌入业务,同时通过完善和扩展GTS和ECCN系统的功能,提升了出口合规自动化水平,进一步完善了出口合规体系,增进了合作伙伴对公司出口合规建设的信任。在反商业贿赂合规领域,中兴通讯持续提升反贿赂合规管理体系有效性,深入做好合规与业务的融合;2019年公司再次入选英国富时社会责任指数系列,其中反腐败合规模块获得了领先于国内企业和全球通讯设备供应商均值的满分评价。在数据保护合规领域,中兴通讯将数据保护合规要求融入到产品设计、服务交付和管理内控活动中,搭建了符合欧盟GDPR要求的公司级合规规则体系,实施了重点业务专项治理与关键国别示范治理,推动了业务与合规的高度结合与创新落地。与此同时,中兴通讯首次举办近500人规模的企业贸易合规论坛,积极推进合规营商环境共建,传递企业社会责任。
中兴通讯在合规体系建设之初以管理为导向,围绕合规体系建设八要素,将PDCA(Plan-Do-Check-Act计划-执行-核查-处理)循环的模式引入到合规业务工作中,创设了业务与管理的双循环模式,这也构成了公司整个合规管理体系的核心要素,也即合理规则的制定、全面无死角的培训、坚决的执行和有效的稽查。
以管理为导向的合规管理体系,在企业合规建设初期有着非常明显的优势:能够在短期内集中公司整体的力量,自上而下快速地建立体系,保障实施与穿透;这种以后端管理为导向建立的体系,虽然能够较好地保持整体合规动作的一致性,但合规政策在具体实施过程中也存在着僵化、盲目执行、效率低下等弊端,往往不能满足实际业务中灵活多样的场景化需求。随着合规体系建设进入新阶段,迫切地需要我们迅速提升各级单位合规风险识别的底层思维逻辑,在深刻了解经营活动,明确经营风险偏好的基础上对业务过程中的法律合规风险进行实时地监控和防范,推动风险治理前移,探索以风险为导向的合规管理体系,实现合规治理质的提升。
以风险为导向的合规管理体系通过对合规底层思维的理解和掌握,以风险识别为导向,以合规管理为工具,在自上而下的合规体系建设的基础上,进一步推动自下而上规则的场景化、判例化,有效推进合规规则与具体业务的深度融合,形成契合业务实际的合规管理体系。同时推动风险治理前移,业务单位通过对自身经营范围内合规风险的深入了解,结合经营风险偏好的选择,确定在公司合规规则规范体系内的合规经营思路。中兴通讯在实践中逐步探索了风险导向合规体系建设六步法:
1、建立和梳理合规规则体系
合规的本质是对法律法规的遵从,合规规则的制定,一方面是将外部法律法规转换为内部管理规范;另一方面是根据模糊的法律法规要求基于企业风险偏好的管理要求对管理规范进一步细化。因此需要在内部规范中明确哪些是法律法规要求、哪些是企业风险偏好选择、哪些是企业基于模糊的法律法规所做的进一步细化管理。由此也建立以风险为导向合规管理体系的第一步:明确合规规则的出处与遵从基线。
以出口管制合规为例,美国《出口管制条例》(Export Administration Regulations,EAR)的要求,并没有禁止与受制裁国家或地区的合作。但在《中兴通讯出口管制和经济制裁全球合规手册》中规定,中兴通讯不得与来自受制裁国家/地区的主体开展任何业务。此项企业内部政策比EAR要求更加严格,就是公司基于自身风险偏好下对合规管理要求的进一步细化。
在此基础上,合理的规则体系设定也需要与公司组织架构相匹配,与各级单位的合规能力要求相匹配。在中兴通讯的金字塔三级合规规则架构中,董事会确定公司经营政策,即公司当前经营的风险偏好,明确公司经营中需要遵从的红线,形成规则体系金字塔的第一级;合规专业COE(Center of Expertise,专家中心)基于外部法律法规遵从的要求,并结合公司政策确定本合规领域下的合规手册总册,形成金字塔架构的第二级;BU(Business Unit,业务单位)合规经理结合具体实际业务开展情况,完善合规分册中不同领域的合规指引和要求,形成金字塔结构的第三级。通过推进金字塔三级合规规则体系的建设,有效地将外部的法律法规遵从,结合公司经营的风险偏好转译成内部的合规管理规范,搭建从政策、手册到指引的规则体系,层层递进且相互援引,保证了规则各位阶的一致性。
2、依据规则体系逐级梳理合规管控点
中兴通讯基于金字塔式的合规规则体系,创立了三级管控体系,即源自法律法规的一级管控要素,到手册二级管控领域,再到实际业务流程中的三级管控点。通过嵌入业务的合规管控点梳理,规避了合规手册因为规则的完整性和语言的复杂性所导致的篇幅冗长和易读性不强的问题,同时将合规管理要求转换成业务管理动作。梳理后的合规管控点以业务全景图的方式向全员呈现,让员工知悉自身业务范围内涉及的合规管控点,在这些管控点下需遵循的流程及可能存在的风险。同时通过数字化、IT化将合规管控点嵌入到流程中落地执行,从可能带来合规风险的行为着手进行管控,使得在整体业务流中合规风险处于可收敛状态,且管理成本最低,效率最高。
3、通过风险评估,对规则遵从度和优先级进行排序
结合公司所需要遵从的合规规则及公司各级单位的业务活动情况,在全球范围内展开风险评估,以经营活动为依据,风险为导向,实现合规的分级化管理。即通过各级单位合规风险概率和影响的评估,对业务流程中要求合规管控的遵从度及优先级排序,帮助各级单位实现以风险为导向的合规规则遵从,最终聚焦于具体业务流程中的合规管控点的遵守,同时也为后续检查/抽检提供了方法论支撑。
4、精准性合规培训
在逐级梳理合规管控点及遵从度评估后,将在两个维度快速形成培训课程和培训对象,分别是以业务单位为基础的岗位维度,和合规管控点所对应的一个个流程责任人的场景维度,由此精准性合规培训才成为可能。中兴通讯首创了“1+N”培训模式,1个岗位培训和N个场景化培训。合规适岗的精准化培训,让每一个合规关键岗位人员清楚自身职责并推动落实,合规场景化培训也为员工在具体场景中遇到的问题提供操作指南。
5、开展常态化的检查、抽检
通过各级合规管控点检查项的设立,形成检查清单Checklist,在此基础上构建检查方法论,通过开展业务单位自检、BU合规抽检等不同维度的查漏补缺、效果验证等活动,保证公司合规治理要求及合规管控点的切实执行,并进一步可以及时发现合规规则未覆盖的盲点及流程中存在的堵点,有针对性地对规则进行优化、补强,推动合规体系建设的不断完善。
6、开展独立审计
审计工作是外部法律/标准的企业化认证,将上述第一步、第二步形成的企业标准,在公司范围内开展独立审计工作,并对审计结果进行认证。特别是对于已通过合规检查/抽检、合规建设工作已经相对完善的业务单位,进行独立审计、认证,并通过形成最佳实践的方式在公司内进行大范围宣传,从而对公司其他单位的合规建设形成示范效应。同时将认证后的结果和经营活动强关联,推动业务单位有更大的热情和动机去践行和维护合规体系,并能通过精准化的培训和合规管控点的遵从落地,来进一步了解风险以及提升有效合规体系的管理能力。
此外,审计工作作为合规闭环管理的最后一环,通过完整的审计来识别更加深层的,难以通过单项或多项管控点为主的检查/抽检识别的一线问题,推进整体合规体系的螺旋型上升和动态调整,同时更好地满足企业经营的需求。
六步法的全面实施将后端合规风险管控升级为前端合规风险治理,从业务活动开展的前端避免重大合规经营风险的产生,从根本上改变合规管理疲于风险/危机应对的局面。由此合规管理的价值将不仅仅停留在风险的防范和管控,而是深度结合企业经营,在业务流程中堵漏建制,撬动企业更深层次、更大范围的企业治理,持续维护公司经营安全,提升企业竞争力。
以风险为导向的合规管理体系,侧重于启发各级经营者从风险处思索经营,激发各级经营者的主观能动性,形成其合规经营的底层逻辑和方法论,在经营活动中“知可为,明不可为”,使合规管理切实成为企业经营管理密不可分的部分,更好地指导有限资源下的有效投入,真正助力公司安全前提下的商业可持续。
中兴通讯始终致力于与合作伙伴一起共建以安全为前提的商业可持续的营商环境,共同实现企业的有质量增长,真正践行合规创造价值的终极愿景。