◎文/郭 楠

最近，各行各業(yè)紛紛舉辦大大小小的一系列合規(guī)會議。這讓人感覺到，關(guān)于合規(guī)的討論和實踐，在國內(nèi)如火如荼地開展起來。

首先，合規(guī)正在成為一種國際通用的語言。從2008年的西門子到后來的BP，再到后來的大眾、中興，人們不要僅僅為這四個案例里的天價賠款金額吸引了注意力，因為在這些公司同監(jiān)管方達成的協(xié)議里面，除了罰款，還有另外一個必須采取的措施，就是強化合規(guī)體系和接受政府強制派駐的合規(guī)監(jiān)督員團隊。最近，美國政府派到中興的合規(guī)協(xié)調(diào)員已經(jīng)在崗了，要監(jiān)督中興十年。這些僅僅是眾多類似案例中比較著名的幾個。

吉利公司收購美國飛行汽車公司時，經(jīng)歷過美國國防部的審查。被問到的第一個問題就是：你有沒有合規(guī)體系。同樣的，吉利公司收購德國戴姆勒公司9.6%股份時，在德國引發(fā)了巨大爭論。結(jié)果德國總理默克爾表態(tài)說：吉利收購這些股份的過程是完全合規(guī)的。今后中國企業(yè)做跨國經(jīng)營的時候，有機會并購別人或是被并購，或是同商業(yè)伙伴達成交易時，很可能會像吉利被問到的第一個問題一樣：你有沒有合規(guī)體系。越來越多的跨國企業(yè)，把交易對方的合規(guī)體系及其有效性，作為衡量其信用水平的重要標志。

其次，對于合規(guī)體系在國內(nèi)的有效建立，要有一定的危機感。我們看到，國資委過去一年找了五家企業(yè)做合規(guī)體系的試點，現(xiàn)在國資委和發(fā)改委正在做國有企業(yè)和跨國經(jīng)營的合規(guī)指南，國資委的指引已出臺；國際合規(guī)體系標準ISO19600在中國已經(jīng)落地，成為國家的推薦標準；國家領(lǐng)導(dǎo)人在各種場合也說到企業(yè)要合規(guī)經(jīng)營。種種的情況表明，中國的合規(guī)進入了新階段。但是，關(guān)鍵的問題是：中國企業(yè)是不是準備好了？

合規(guī)這個詞，是一個舶來品，這個體系馬上移植來用，在國內(nèi)企業(yè)直接上，跟我們已經(jīng)推行了十幾年的全面風險管理是什么關(guān)系？這個體系在國企、民企里面的紀檢委、法務(wù)部、審計部、內(nèi)控部等等以外再加一個合規(guī)職能，這個職責怎么劃分？彼此之間怎么協(xié)調(diào)？這在外企里面不是問題，但是到了國內(nèi)，這就是一個問題。這是現(xiàn)在國內(nèi)企業(yè)落實合規(guī)體系的一個普遍性的問題。這個技術(shù)問題如果不做更多研究和解決，現(xiàn)在國內(nèi)推行合規(guī)又這么大張旗鼓，下一步很可能出現(xiàn)比較尷尬的局面。我希望中國企業(yè)能夠聯(lián)手做一些工作，盡快讓這個問題有一些典型的解決方案，有比較好的樣板來分享給大家，能夠在這個方向上取得一些進展。這樣才能有力地推動合規(guī)體系在中國的有效落地和進一步的發(fā)展。

如何評估企業(yè)內(nèi)部的合規(guī)發(fā)展趨勢

一個企業(yè)內(nèi)部的合規(guī)趨勢評估，應(yīng)該以一種比較經(jīng)濟的、有效的方式來做。一個合規(guī)體系從建立到改進，是不停在進行，這是一個形成閉環(huán)的階段，必須把這個做得有效，才能知道合規(guī)改進的方向在哪里。渣打銀行在幾年時間里被罰了兩次，第一次是因為洗錢的罪行，被罰了3億美元，過了兩年又被罰了3億美元，第二次不是因為主動犯罪，是因為被發(fā)現(xiàn)在合規(guī)方面的反洗錢控制流程里面有缺陷。這樣的例子說明，合規(guī)的績效評估和改進，在合規(guī)體系建設(shè)和發(fā)展過程當中是非常重要的。

一個有效的合規(guī)管理體系包含多個要素。一是領(lǐng)導(dǎo)層，要有表態(tài)，要承諾建立合規(guī)組織，提供合規(guī)資源，包括財力和人力的資源。還有風險評估，一個企業(yè)要管理自己的風險，搞合規(guī)體系的建設(shè)，首先要知道你的風險在哪里，一個企業(yè)去非洲開礦，和另外一個企業(yè)在美國做貿(mào)易，二者的風險一定是不一樣的，你的風險評估怎么去做，你的合規(guī)管理體系就應(yīng)該相應(yīng)地針對你的風險評估來展開。做了風險評估以后，下一步就是應(yīng)該如何去管理合規(guī)風險，必須建立起相應(yīng)的流程和控制手段。第三，體系建立好以后，要讓所有你的員工從上到下知道這些手段和政策，讓大家去實施，最后就是監(jiān)控、有效性評估、審計、事件及對策，還有體系優(yōu)化。這樣形成一個有效的閉環(huán)。

要做一個合規(guī)運行狀態(tài)的評估，首先要有一定的獨立性的原則。西方企業(yè)里面比較典型的是：合規(guī)職能在企業(yè)里是非常獨立的一個部門。前幾年，外企里面合規(guī)職能可能會整合在人力資源部，或者是整合在法律部，現(xiàn)在一個比較普遍的情形，就是首席合規(guī)官直接匯報給公司的CEO，甚至還有一條單獨的線，跨過CEO，匯報給公司的董事會。第二個原則，評估要基于事實或者是數(shù)字，基于一些實際案例和基于事實來做評估。第三是評估要重復(fù)進行。第四，評估完了一定要有一個從合規(guī)獨立的職能部門給一些改進的措施。

我們談到的評估基本上是兩類評估，一個是一個企業(yè)的合規(guī)體系建立起來以后，做一個合規(guī)管理體系的整體評估，看看是不是合理有效，這種評估往往是企業(yè)外部的第三方來做的，就是評估一家公司總體合規(guī)體系做得是不是有效。第二類就是企業(yè)內(nèi)部定期合規(guī)報告，這個報告在大多數(shù)情況下，是由合規(guī)部門根據(jù)所獲得的企業(yè)合規(guī)運營的數(shù)據(jù)和事例，定期或不定期地提交給公司的最高層，或者提交給他所要評估的某一個具體的部門管理層。這個報告對于企業(yè)的合規(guī)管理優(yōu)化是非常有用的一個手段。在企業(yè)里面做合規(guī)，最重要的推動力量不是合規(guī)官本人，而是各層級的管理者。這個報告會成為合規(guī)官跟各層級管理者進行互動的非常有效的工具。利用這個工具跟各層級的領(lǐng)導(dǎo)者溝通，很容易基于事實達成共識。一旦達成了共識，他作為合規(guī)的第一道防線的負責人，他該采取什么行動，就變成自然而然的一個行為。

如何進行合規(guī)風險評估

在非洲進行礦藏開采的企業(yè)，和在美國進行貿(mào)易的企業(yè)，風險一定是不一樣的，你可能根據(jù)你的業(yè)務(wù)特點列出諸多風險，有反貪污賄賂的，有環(huán)保的、人權(quán)的、當?shù)匚幕?xí)俗的等等。你的企業(yè)如果把所有的風險從A到Z都管理得100%萬無一失的話，你這個企業(yè)成本太高了。這樣的工具就可以幫助我們把風險從高到低有一個排序，拿出資源來最有效地管理這些排在最優(yōu)先級的風險。任何一個單一的風險都有兩個屬性，可以用兩個維度來描述，第一維度：這個風險發(fā)生的概率有多大。我們每個人每天早晨都出門，大家頭上都不用戴一個鋼盔，你不會擔心樓頂上掉下來一個花盆砸到你頭上，這個風險是不是零呢？不是，但是不是有很大可能性發(fā)生呢？不是。第二個維度：風險的沖擊力。這個事情發(fā)生了以后，對于我的財務(wù)的影響、對于我的社會聲譽的影響、輿論的影響，和對我所有的利益相關(guān)方的影響，到哪個級別。把這兩個維度結(jié)合到一起，如果某一個風險發(fā)生的概率比較高，而且它一旦發(fā)生的話，對于我的沖擊比較大，這個就是我們合規(guī)風險所要評估和管理的首要的風險。當然這樣的風險評估，每年要循環(huán)地去做，隨著業(yè)務(wù)形式和模式的變化，還有你所在國的變化，這個風險會有一些調(diào)整，所以每年要循環(huán)去做。

第二，企業(yè)內(nèi)部做定期的合規(guī)評估。這個模板是我在公司里面應(yīng)用的一個真實的模板，因為我的團隊同時管理多個國家和多個部門的合規(guī)情況，如果我們拿合規(guī)培訓(xùn)作為合規(guī)評估的內(nèi)容之一，大家可以看到部門一、部門二、部門三，不同業(yè)務(wù)部門的合規(guī)培訓(xùn)完成情況，如果這樣的結(jié)果擺在公司管理層面前，我想我不需要說太多的話，各個部門的領(lǐng)導(dǎo)就會說，OK，這是完全基于事實的合規(guī)評估，他們也就知道下一步該采取什么樣的行動。

下一個評估例子是合規(guī)事件的分析。我所在的公司使我有這樣工作的方便性，所有全球合規(guī)案件的數(shù)據(jù)庫我是可以進得去的，我可以根據(jù)我想看的國家和我想看的部門，做一個不同的合規(guī)事件的分析，然后按季度做一個這樣的統(tǒng)計圖出來，比如在中國，可以把中國的所有事件集成起來。如果去印度，就可以把印度的合規(guī)案件羅列，這樣我們可以分析事件的趨勢，來看下一個季度公司領(lǐng)導(dǎo)層的努力方向在哪里，這個同樣也不需要說太多的話，領(lǐng)導(dǎo)就能看出來哪里可能要出問題，我們需要采取什么樣的措施。

里面的細節(jié)還可以包括：針對每一個案件，我們花了多長時間去調(diào)查，看我們調(diào)查的效率有多高，也要看這個紀律的處分情況，到底多少人因此離開公司，多少人得到警告，這樣的數(shù)據(jù)都是可以定期獲得的，這樣真實的數(shù)據(jù)會比較有說服力，統(tǒng)計到一起就會有趨勢指向，從而預(yù)示行動方向。

另外，合規(guī)報告里面可以包括案件舉報的分析，一般來講，一家公司如果足夠大的話，他的熱線電話等熱線舉報方式，每年所應(yīng)該收到的舉報的數(shù)量應(yīng)該是他全球員工數(shù)量的1%，如果你企業(yè)有一萬個員工，你的舉報熱線工作比較正常，大家有什么情況愿意去舉報的話，一年企業(yè)應(yīng)該收到一百個案件的舉報，這不是強制性的標桿，但是大家可以根據(jù)這個來比較一下。如果我的企業(yè)一年收到了更多的舉報，說明你的企業(yè)問題太多；如果收到太少的舉報，說明你企業(yè)員工內(nèi)部有什么問題都不愿意說出來，發(fā)現(xiàn)問題的渠道有問題。這是衡量熱線有效性的一個指標。

還有合規(guī)報告里面經(jīng)常會講的最佳實踐的分享，這就是案例的分析，甚至是公司自己某一個部門，把自己合規(guī)的案件拿出來跟大家分享，我們部門發(fā)生了這樣的事件，我們?nèi)绾我詾榻洹?/p>

定期的跟公司管理層分享的圖表是基于數(shù)字和事實的評估的結(jié)果，第一是簡單明了，第二沒有太多的文字表述，第三是下一步該采取什么行動，就比較一目了然。此外，可能還包括一些其它內(nèi)容，比如說法律法規(guī)環(huán)境變動趨勢總結(jié)，以及分析趨勢后合規(guī)作為一個獨立部門要做一些后續(xù)措施的建議。

希望以上這些建議，會對中國企業(yè)合規(guī)建設(shè)起到一定的促進作用。