企业合规部设计
发布时间:2018-09-27
文 | 郭青红 汇业律师事务所 合伙人
企业合规部是企业合规组织的核心,也是企业合规管理体系中需要尽早安排和实施的构成要素。如何设置企业合规部?本文结合跨国公司的做法、我国ISO 19600《合规管理体系 指南》以及国务院有关部门规章,对此作粗浅分析,提出拙见。不妥之处,请予指正。
一、企业合规部溯源
最早提出需要建立企业合规组织的当系1997年经合组织成员国(OECD)颁布的《内控、道德与合规,最佳实践指南》,要求企业有专职的企业高管对合规工作负责。2005年4月巴塞尔银行监管委员会发布《合规与银行内部合规部门》要求银行成立组建专门的合规部门。自此以后,欧美跨国公司大都逐渐任命自己的合规总监并建立合规部。国际标准化组织2014年12月5日颁布ISO19600《合规管理体系 指南》,对合规管理机构的具体责任及分配责任的原则和条件作出了具体规定。
我国最早提出建立企业合规部要求的,是银监会于2006年颁布的《商业银行合规风险管理指引》。其第三条规定:本指引所称合规管理部门,是指商业银行内部设立的专门负责合规管理职能的部门、团队或岗位,并在第三章对合规管理部门的职责做了详细规定。其后,我国保监会2016年12月30日《保险公司合规管理办法》、证监委2017年9月8日《证券公司和证券投资基金管理公司合规管理办法》、标准化管理委员会与国家质量监督检验检疫总局2017年12月29日联合发布的ISO 19600《合规管理体系 指南》等,都对企业建立合规部及其职责作出了规定。我国国资委于不久前发布《中央企业合规管理指引(试行)》(征求意见稿),直接规定“中央企业总法律顾问为合规管理负责人”、“中央企业法律事务机构为合规管理综合部门”。
二、企业合规部组织模式设计
企业合规部是企业合规管理部的简称。企业合规部的职能是合规管理,合规是目标,管理是方法、程序和手段。企业合规部属于企业职能管理部门之一。
企业合规部的设立通常有三种组织模式。
一是独立模式,即任命专门的合规总监,设立独立的企业合规部,集中管理和负责企业的合规管理。例如,西门子、戴姆勒、通用电气、富士胶片、辉瑞、葛兰素史克、我国各大银行、保险公司及证券公司等都采用这一模式。
二是复合模式,即企业不设独立的合规部,合规部与法律部合二为一,形成法律合规部,或者将合规管理职责归入法律部,下设合规分部或合规团队。企业总法律顾问兼事首席合规官职责。政府监管不强、合规风险较低、产品线单一的跨国公司,大多采取复合模式。我国《中央企业合规管理指引(试行)》(征求意见稿)直接规定“中央企业总法律顾问为合规管理负责人”, “中央企业法律事务机构为合规管理综合部门”,就是典型的复合模式。究其原因,主要是企业法务与企业合规管理具有很大的相容性,它们在适用合规规范、合规审查等方面的职责部分趋同。但它们之间也存在较大区别。企业法务重在法律实务,如合同的起草、审查和修改,知识产权法务,项目法务,争议解决法务(诉讼、仲裁)等。而企业合规管理重在对合规管理体系各构成要素进行管理和维护,是企业的职能管理部门之一。因此,即使设立复合模式的合规部,也需要建立合规管理团队,配备经验丰富、熟悉企业业务并具备相关管理知识和经验的合规管理人员。
三是简单模式。产品线单一、规模较小、合规风险低的企业,只设立一个合规小组或合规专员,或者将合规管理归入企业法律部并由法律部代行合规管理职责,或者委托外部律师提供合规管理服务。
企业合规管理不同于企业内审。后者是企业内审部门对企业经营活动及内部控制的适当性、合法性和有效性进行内部的、独立客观的监督和评价,并直接向企业董事会及其审计委员会、监事会提出建议和报告。企业合规管理和企业内审,分属企业合规风险的第二道防线和第三道防线,处于合规风险防控的不同层级。企业合规管理系企业内审的对象之一,企业合规管理与企业内审属于企业内部职责相互冲突的不同职能管理部门。我国银监会《商业银行合规风险管理指引》第二十二条就明确规定:“商业银行合规管理职能应与内部审计职能分离,合规管理职能的履行情况应受到内部审计部门定期的独立评价。”我国《中央企业合规管理指引(试行)》(征求意见稿)第二十条也规定:“审计部门对经营管理合规性及合规管理有效性开展审计,有关结果通报合规管理综合部门和相关部门。合规管理综合部门根据情况,可向审计部门提出审计建议。”有些企业将合规与内审两个部门合二为一,称之为内审合规部。这就混淆了企业合规管理与内审的关系,削弱了内审的独立性及合规风险最后一道防线的作用,也会削弱企业合规管理的职能。
企业合规部具体采取哪一组织模式,取决于企业的公司结构、经营规模、业务和产品线的运营管理模式,以及政府监管和所在行业所面临的合规风险。无论采取何种模式,都需要充分考虑:(1)确保合规部有效、实际地管理和防控合规风险,顺利履行合规职责;(2)确保合规部独立地、严肃地开展合规管理;以及(3)合规部与其他相关部门之间的职责分工明确,但又协调合作;(4)适当的成本管理,但绝不能因此忽视或者牺牲合规管理。
三、企业合规部汇报路线设计
企业合规部的汇报路线通常有三种模式。
一是垂直汇报路线。合规部向董事会汇报,以下各层级合规部门、合规团队垂直向上级合规部门汇报,合规部门、合规团队不向所属公司或部门的最高管理者汇报或者只向其做虚线汇报。美国企业的合规部采取垂直汇报路线的居多。这些企业偏好对包括合规部在内的专业职能部门采取集中化组织模式。在汇报路线方面,除垂直汇报路线外,甚至在部门职责、人员招聘、岗位和薪资待遇、费用预算和使用、费用报销、外部专业合规管理服务的采购等方面都实行独立的垂直管理。
二是混合汇报路线。上下层级合规部门之间垂直汇报。业务事业部、专业职能部门、业务部门的合规团队或者合规专员(尤其是兼职合规管理员)采取矩阵汇报模式,即同时向合规部及其所属部门的最高管理者汇报。
三是矩阵汇报路线。企业合规部同时向董事会与最高管理者(CEO)汇报,以下各层级合规部门、合规团队同时向上级合规部门及其所属公司或部门的最高管理者汇报。我国商业银行、保险公司等多采取矩阵汇报路线。例如,我国保监会《保险公司合规管理指引》第十三条就规定:“保险公司合规负责人对董事会负责,接受董事会和总经理的领导。”第十四条规定:“保险公司分支机构的合规管理部门、合规岗位对上级合规管理部门或者合规岗位负责,同时对其所在分支机构的负责人负责。”
有些欧美企业在董事会下设立合规委员会,由一到两名董事、一名监事、最高管理者(CEO)、首席合规官(CCO)、总法律顾问(GC)及财务总监(CFO)等组成,具体履行企业治理机构与最高管理者在企业合规管理中的决策和领导职责。在企业合规领域,合规委员会在企业治理机构和最高管理者层面将矩阵汇报路线中的两条汇报路线合二为一,将企业治理机构与最高管理者有机融合,值得研究和借鉴。
我国《中央企业合规管理指引(试行)》(征求意见稿)第二十一条也规定:“中央企业可以建立合规管理决策机制或联席会议制度,由董事长或总经理主持,研究讨论企业重大合规管理事项。”虽然没有没有明确规定企业合规委员会的设立,但有异曲同工之妙。
四、企业集团大合规部架构设计
大型跨国企业集团往往拥有多个产品事业部,在不同地区设有地区总部,并在多个国家设有全资子公司、控股子公司和分公司。它们大多设立适应企业集团合规管理的大合规部组织,即:(1)在集团总部董事会下依次设合规委员会、合规总监、合规部;(2)在集团合规部下设地区总部合规部、集团各事业部兼职合规管理员及集团各职能部门兼职合规管理员;(3)在地区合规总部下设各分子公司合规部或者合规团队,在地区总部各职能部门兼职合规管理员。
图示如下:
我国保监会《保险公司合规管理指引》第十四条就要求保险公司总公司及省级分公司应当设置合规管理部门,并应当根据业务规模、组织架构和风险管理工作的需要,在其他分支机构设置合规管理部门或者合规岗位。
我国证监委《证券公司和证券投资基金管理公司合规管理办法》也提出了类似要求。其第二十八条规定, 证券公司业务部门、分支机构可以根据需要设置合规团队负责人或合规专员等专职合规管理人员。证券公司从事自营、投资银行、债券等业务部门,工作人员人数在15人及以上的分支机构以及证券公司异地总部等,应当配备专职合规管理人员。
五、企业合规部职责设计
关于企业合规部的职责设计,可以参照我国《合规管理体系 指南》、《中央企业合规管理指引(试行)》(征求意见稿)的规定予以确定,即:
(1)研究提出合规方针和目标;
(2)具体管理和维护企业合规管理体系各主要构成要素;
(3)起草、执行合规计划;
(4)建立、动态跟踪和完善企业合规档案;
(5)与相关部门之间协调合作;
(6)聘用和管理外部专业合规管理顾问。
六、企业合规部的人员配备、岗位设计和资质要求
1、合规总监
合规总监是美国“Chief Compliance Officer”(CCO)的中文译文,很多学者将之译为“首席合规官”,以与“首席执行官”(Chief Executive Officer,即CEO)、“首席财务官”(Chief Financial Officer,即CFO)、“首席运营官”(Chief Operational Officer”,即COO)、“首席行政官”(Chief Administrative Officer”,即CAO)等相一致。
我们认为,将CEO、CFO、CCO的中文译文都戴上“官”帽,这与中国企业管理实务中职务称谓习惯不符,尚值得商榷。考察欧美企业对CEO、CFO、CCO等的运用, “chief officer”应相当于我国《公司法》定义的高级管理人员,即“公司的经理、副经理、财务负责人,上市公司董事会秘书和公司章程规定的其他人员”。我们认为将“Chief Compliance Officer”(CCO)翻译为“合规总监”、“合规副总经理”或者“合规副总裁”更为恰当。
合规总监属于企业高级管理人员序列是欧美跨国公司的惯例。我国银监会、保监会、证监会等也都将商业银行、保险公司、证券公司和证券投资基金管理公司的合规负责人或合规总监作为企业的高级管理人员加以规定。我国《中央企业合规管理指引(试行)》(征求意见稿)就直接规定“中央企业总法律顾问为合规管理负责人”。而按照我国国资委《国有企业法律顾问管理办法》的规定,企业总法律顾问本身就是企业的高级管理人员。
跨国公司合规总监一般由总法律顾问或者经验丰富、资历深厚的高级法律顾问担任,以确保合规总监的资质、能力和独立性。我国《中央企业合规管理指引(试行)》(征求意见稿)直接要求中央企业总法律顾问担任合规管理负责人。我国证监委《证券公司和证券投资基金管理公司合规管理办法》要求合规负责人通晓相关法律法规和准则,诚实守信,熟悉证券、基金业务,具有胜任合规管理工作需要的专业知识和技能;并且从事证券、基金工作10年以上,通过中国证券业协会或中国证券投资基金业协会组织的合规管理人员胜任能力考试;或者从事证券、基金工作5年以上,并且通过法律职业资格考试;或者在证券监管机构、证券基金业自律组织任职5年以上。
2、专职合规管理员
合规部的专职合规管理人员,跨国公司多称之为“compliance officers”。关于专职合规管理人员的岗位名称及设置,我国人力资源与社会保障部以及我国相关政府部门规章并无规定。有些学者提议将专职合规管理人员统称为“企业合规官”,同样值得商榷。我国也有诸多企业,如各大银行与保险公司等,在企业内设置“合规管理岗”,将合规管理人员称之为“合规管理员”。 我国证券业协会《证券公司合规管理实施指引》以及中铁、中兴等将其称为“合规专员”。因此,我们认为,企业合规部门岗位和职责层级可以设置为:合规总监、合规经理、合规管理员(或合规专员)、合规助理等岗位。
关于企业专职合规管理人员的配备,并无定论。大型跨国企业集团,如西门子的专职合规管理人员超过了600人,戴姆勒集团的专职合规管理人员也超过了160人。我国《中央企业合规管理指引(试行)》(征求意见稿)、《商业银行合规风险管理指引》、《保险公司合规管理办法》、《证券公司和证券投资基金管理公司合规管理办法》都规定,企业应当根据业务规模、人员数量、合规风险水平等因素配备足够的合规人员,坚持按需定岗定编,满足合规管理需要。我国证券业协会《证券公司合规管理实施指引》第二十七条规定,证券公司总部合规部门中具备3年以上证券、金融、法律、会计、信息技术等有关领域工作经历的合规管理人员数量占公司总部工作人员比例应当不低于1.5%,且不得少于5人。
不同行业的企业对合规管理员资质的要求存在差别,但都要求具备与企业所在行业相关的经验、专业知识、专业技能,并熟练掌握法律法规、监管规定、行业自律准则和公司内部管理制度。前述《中央企业合规管理指引(试行)》(征求意见稿)、《商业银行合规风险管理指引》、《保险公司合规管理办法》等都提出了类似要求。我国ISO 19600《合规管理体系 指南》要求合规管理员诚信和信守合规并具有有效的沟通和影响技能、推动其建议和指导被接受的能力和坚定立场以及其它相关能力。”
3、兼职合规管理员
不少企业在企业职能部门和业务部门设兼职合规管理员,由职能部门和业务部门经验丰富、熟悉业务的管理人员担任。这样既节省人力和成本,又能充分利用兼职合规管理员的丰富经验以及对相关部门职能和业务的充分了解。
我国《保险公司合规管理办法》就要求保险公司总公司和省级分公司还应当为合规管理部门以外的其他各部门配备兼职合规管理人员。合规管理人员也可以兼任与合规管理职责不相冲突的职务。我国证监委《证券公司和证券投资基金管理公司合规管理办法》也规定合规管理人员可以兼任与合规管理职责不相冲突的职务,并对兼职合规管理人员的考核作出了规定。
4、合规管理人员的独立性要求
合规管理的重要原则之一是独立性原则,要求合规总监与合规管理员独立开展合规管理工作,不受其他部门或者人员干涉。
由于企业合规管理与法务之间的相容性且不存在职责冲突,欧美跨国公司的合规总监大多由总法律顾问兼任。我国《中央企业合规管理指引(试行)》(征求意见稿)也直接规定中央企业的合规管理负责人由总法律顾问兼任。除此之外,欧美跨国公司以及我国有关部门规章都要求合规总监不得兼任与合规管理职责相冲突的职务,不得兼任业务部门负责人,不得兼管企业的业务、财务、资金运用和内部审计部门等可能与合规管理存在职责冲突的部门。
对于专职合规管理人员,跨国公司以及我国有关部门规章也都要求维护其独立性。我国证监会《证券公司和证券投资基金管理公司合规管理办法》第二十六条规定:“证券基金经营机构应当保障合规负责人和合规管理人员的独立性。”我国银监会《合规风险管理指引》第九条规定,商业银行的合规政策应“(四)保证合规负责人和合规管理部门独立性的各项措施,包括确保合规负责人和合规管理人员的合规管理职责与其承担的任何其他职责之间不产生利益冲突等”。我国保监会《保险公司合规管理指引》第十五条规定:“保险公司应当确保合规管理部门和合规岗位的独立性,并对其实行独立预算和考评。合规管理部门和合规岗位应当独立于业务、财务、资金运用和内部审计部门等可能与合规管理存在职责冲突的部门。”