一、導語
國(guó)資委于2019年10月發(fā)布了《關于加強中央企業内部控制體系建設與監督工作的實施意見》(國(guó)資發(fā)監督規〔2019〕101号),“合規、風險和内控”在2019年和2020年已經(jīng)成(chéng)爲了管理的流行詞。随著(zhe)我國(guó)依法治企和國(guó)企改革的深化推進(jìn),供給側改革和“一帶一路”建設的推進(jìn)不斷加快,内外部經(jīng)營環境發(fā)生了巨大的變化,在持續經(jīng)營的過(guò)程中,很多領域都(dōu)面(miàn)臨著(zhe)合規風險的挑戰。鑒于中央企業及其他國(guó)有企業海外經(jīng)營風險頻發(fā),其中合規風險更加突出,合規管理逐步成(chéng)爲企業内部控制的關鍵點。中興合規事(shì)件幾乎給企業帶來滅頂之災,也給其它企業敲響了合規的警鍾。由此可見,企業要生存,要發(fā)展,必須以合規經(jīng)營爲前提,建立健全以風險管理爲導向(xiàng)、合規管理監督爲重點,嚴格、規範、全面(miàn)、有效的内控體系。
二、什麼(me)是合規,什麼(me)是合規管理
作爲一個合格的公民,日常行爲既要遵守基本道(dào)德規範,也要遵守法律法規;作爲一家上市公司,經(jīng)營活動既要受證監會、審計署、證券交易所、銀監會等衆多外部監管機構和社會公衆的監督檢查,也要遵守《經(jīng)濟法》、《證券法》、《上市公司信息披露管理辦法》等各項法律規定,才能(néng)避免問責和處罰,實現經(jīng)營利潤。所以,合規管理是經(jīng)營活動、日常行爲開(kāi)展的前提和基礎,要知道(dào)什麼(me)是合規,從哪些方面(miàn)做到合規,才能(néng)進(jìn)行有效的合規和内控管理,做好(hǎo)風險應對(duì)。
什麼(me)是“合規”?什麼(me)是“合規管理”呢?
2018年11月份國(guó)資委出台的《中央企業合規管理指引(試行)》中對(duì)“合規”的定義爲:是指中央企業及其員工的經(jīng)營管理行爲符合法律法規、監管規定、行業準則和企業章程、規章制度以及國(guó)際條約、規則等要求。對(duì)“合規管理”的定義爲:是指以有效防控合規風險爲目的,以企業和員工經(jīng)營管理行爲爲對(duì)象,開(kāi)展包括制度制定、風險識别、合規審查、風險應對(duì)、責任追究、考核評價、合規培訓等有組織、有計劃的管理活動。
接下來,我們以中信銀行洩漏客戶信息爲例,說明違規對(duì)企業可能(néng)産生的影響。
2020年5月6日,脫口秀演員王越池(藝名“池子”)發(fā)布聲明指責中信銀行洩露其個人賬戶交易信息。王越池與笑果文化發(fā)生經(jīng)濟合約糾紛,笑果文化寄給他的材料中竟然包含其個人的銀行賬戶交易明細,并打印出了近兩(liǎng)年的“流水”。對(duì)于該行爲,中信銀行上海虹口支行向(xiàng)他解釋爲“配合大客戶的要求”。5月7日淩晨,中信銀行針對(duì)該聲明發(fā)布緻歉信稱,王越池所反映一事(shì)屬實,該行員工确向(xiàng)與王越池存在糾紛的上海笑果文化傳媒有限公司提供個人收款記錄,屬于未按規定辦理。目前已按制度規定對(duì)相關員工予以處分,并對(duì)支行行長(cháng)予以撤職。
中國(guó)銀保監會反應快速,于2020年5月9日發(fā)布通報稱,中信銀行在未經(jīng)客戶本人授權的情況下,向(xiàng)第三方提供個人銀行賬戶交易明細,違背爲存款人保密的原則,涉嫌違反《商業銀行法》和銀保監會關于個人信息保護的監管規定。銀保監會消費者權益保護局對(duì)中信銀行啓動立案調查,嚴格依法依規查處。面(miàn)對(duì)目前的囧狀,中信銀行陷入的并不僅僅是公關危機,如果用傳統的公關危機進(jìn)行操作對(duì)于中信銀行可能(néng)無異于揚湯止沸,損害的不僅僅是中信銀行的信譽,還(hái)有可能(néng)嚴重地影響銀行的聲譽,遭受監管機構的嚴厲處罰。
由此可見,建立了再完善的制度,如果沒(méi)有得到執行或者執行時違反了國(guó)家法律法規,最終都(dōu)會導緻制度和執行兩(liǎng)張皮,還(hái)有可能(néng)受到監管機構的懲罰。我們在上期的内容也提到,再簡單的制度,隻要能(néng)用就是好(hǎo)制度,同時還(hái)要強調和關注,實用的前提是制度制定以合規爲基礎,通過(guò)將(jiāng)法律法規等外部監管要求轉化爲企業内部規章制度,持續完善企業内部管理制度體系。在制度由主責部門制訂或修訂以後(hòu),還(hái)應通過(guò)外部律師、内部法律顧問的合規審查,組織内部相關協作部門參與評審,形成(chéng)與公司業務相适應、流程相匹配的制度體系,通過(guò)執行的監督檢查和評估,持續提升合規經(jīng)營水平,優化提高企業管理能(néng)力。
三、内部控制與合規管理的關系
結合合規的定義,我們可以從三個層面(miàn)理解合規:
u 第一個層面(miàn),對(duì)法律法規的遵循;
u 第二個層面(miàn),對(duì)規章制度的遵循;
u 第三個層面(miàn),對(duì)職業道(dào)德的遵循。
從合規的角度判斷經(jīng)濟業務是否合理,可能(néng)無法全面(miàn)識别潛在的重大、重要風險。合規管理往往重形式,輕結果,還(hái)需借助控制活動和監督評價的工具,以風險管理爲導向(xiàng)、合規管理監督爲重點,嚴格規範和診斷業務活動的真實性和合法性。比如每個員工都(dōu)要發(fā)生的費用報銷業務,從形式上看,報銷的發(fā)票是真實的,報銷内容在制度規定的範圍内,各層級人員的審批簽字齊全,但是經(jīng)濟業務的實質如何,是否是必須和實際發(fā)生的費用?隻從合規的角度并不能(néng)給出準确的判斷,需要結合内部控制的工具和方法,進(jìn)一步識别、分析和判斷。
根據五部委對(duì)内部控制的定義:内控是由企業董事(shì)會、監事(shì)會、經(jīng)理層和全體員工實施的、旨在實現控制目标的過(guò)程。從内控的定義來看,它就是在回答内控管理控什麼(me)、誰來控和爲什麼(me)控的問題。内部控制的目标是建立和完善内控體系,幫助企業提升抵禦風險的能(néng)力,促進(jìn)企業以良好(hǎo)健康的姿态實現可持續、穩健的發(fā)展。所以,内控既注重過(guò)程管理,也注重結果。通過(guò)控制環境、風險評估、控制活動、監督、信息與溝通這(zhè)五大要素,構建起(qǐ)一套完備、有效的内控“免疫系統”。内控的重點在于對(duì)風險的防患,最終實現資産安全、财務報告及相關信息真實完整,提高經(jīng)營效率和效果,促進(jìn)企業實現發(fā)展戰略的目标。繼續前面(miàn)說到的費用報銷事(shì)例,按照合規的要求,報銷的程序和内容都(dōu)合規,是否費用就能(néng)支付呢?實際報銷時并沒(méi)有這(zhè)麼(me)簡單,财務人員還(hái)會按照既定的報銷流程,判斷發(fā)票來源是否真實,報銷費用是否符合制度限額要求,報銷的要點是否審查全面(miàn),業務背景是否合理。對(duì)于精細化管理較好(hǎo)的公司,在費用發(fā)生前,會要求報銷人填寫客戶招待申請表,經(jīng)部門負責人、分管領導授權審批後(hòu),才能(néng)發(fā)生相關費用。内控側重于風險防患,防止壞人幹壞事(shì),減少因個人私利産生的企業損失。内控通過(guò)合理授權審批,不相容職務分離,表單控制等對(duì)潛在風險進(jìn)行預防,保障業務活動的有序開(kāi)展,促進(jìn)制度更完善更合規、流程更高效。
依據《中央企業違規經(jīng)營投資責任追究實施辦法(試行)》(國(guó)資委令第37号)規定:“對(duì)出現的各類違規違紀違法經(jīng)營問題,對(duì)存在的重大風險隐患、内控缺陷和合規管理等問題,要嚴肅追究集團的管控責任;對(duì)各級子企業未按規定履行内控體系建設職責、未執行或執行不力,以及瞞報、漏報、謊報或遲報重大風險及内控缺陷事(shì)件的,堅決追責問責,層層落實内控體系監督責任,有效防止國(guó)有資産流失”。根據外部法律規範的要求,内控與合規既有區别又有聯系,要構建嚴格、規範、全面(miàn)、有效的内控體系,必須將(jiāng)風險管理和合規管理要求嵌入業務流程,促使企業依法合規開(kāi)展各項經(jīng)營活動,實現“強内控、防風險、促合規”的管控目标。
四、管理問責案例—中國(guó)銀保監會開(kāi)展市場違規行爲整治,落實專項整治“回頭看”工作
案例簡介:
(一)基本情況
2020年6月11日,中國(guó)銀行保險監督管理委員會(以下簡稱“銀保監會”)公開(kāi)了《2020年度中國(guó)銀行保險監督管理委員會部門預算》數據,突出和強調了2020年度執法辦案工作的7大重點,其中2大重點是:1、加大案件查處力度,嚴肅追究重大案件機構的責任,對(duì)大案要案依法從重處罰。2、堅持穿透原則。查深查實案件,對(duì)涉案業務鏈條上所有機構的違法違規問題一并查處。銀保監會還(hái)介紹了2019年的“市場亂象專項治理工作”情況:全年處罰銀行保險機構2849家次,處罰責任人員3496人次,罰沒(méi)合計14.5億元,内控合規建設取得進(jìn)展。同時,2020年6月23日,銀保監會發(fā)布了《中國(guó)銀保監會關于開(kāi)展銀行業保險業市場亂象整治“回頭看”工作的通知》(銀保監發(fā)〔2020〕27号),這(zhè)也是繼續按照《中國(guó)銀保監會辦公廳關于印發(fā)2019年保險中介市場亂象整治工作方案的通知》往前推動、鞏固整治成(chéng)果的相應方案。2020年銀保監會持續發(fā)力,繼續深入開(kāi)展“鞏固治亂象成(chéng)果,促進(jìn)合規建設”的專項工作,并對(duì)民生銀行、農業銀行、建設銀行多家違規經(jīng)營的銀行機構進(jìn)行了懲處。
(二)被(bèi)處罰銀行情況
1、農業銀行風險管理及内控有效性現場檢查發(fā)現的向(xiàng)關系人發(fā)放信用貸款、貼現資金直接回流至銀行承兌彙票出票人等多項違法違規行爲,中國(guó)銀保監會依法對(duì)該行罰沒(méi)合計5315.6萬元,并對(duì)相關責任人員給予行政處罰。
2、建設銀行同業和理财(資管)業務現場檢查發(fā)現的理财資金違規投資房地産、未做到理财業務與自營業務風險隔離等多項違法違規行爲,中國(guó)銀保監會依法對(duì)該行罰款3920萬元,并對(duì)相關責任人員給予行政處罰,其中,禁止1名責任人員終身從事(shì)銀行業工作。
3、民生銀行違規爲房地産企業繳納土地出讓金提供融資、爲“四證”不全的房地産項目提供融資等多項違法違規行爲,中國(guó)銀保監會依法對(duì)該行罰沒(méi)合計10782.94萬元,并對(duì)8名責任人員給予警告并處罰款5萬元的行政處罰。
4、浙商銀行通過(guò)違規發(fā)售理财産品實現本行資産虛假出表、同業投資接受金融機構回購承諾等多項違法違規行爲,中國(guó)銀保監會依法對(duì)該行罰款10120萬元,并對(duì)7名責任人員給予警告直至警告并處罰款30萬元的行政處罰。
5、廣發(fā)銀行面(miàn)向(xiàng)不合格個人投資者發(fā)行理财産品投資權益性資産、向(xiàng)關系人發(fā)放信用貸款等多項違法違規行爲,中國(guó)銀保監會依法對(duì)該行罰沒(méi)合計9283.06萬元,并對(duì)1名責任人員給予警告并處罰款5萬元的行政處罰。
6、華夏銀行内控制度執行不到位、生産系統存在重大風險隐患并引發(fā)較爲嚴重後(hòu)果等多項違法違規行爲,中國(guó)銀保監會依法對(duì)該行罰款110萬元,并對(duì)1名責任人員(已被(bèi)判處刑罰)給予終身禁業的行政處罰,對(duì)6名責任人員給予警告直至警告并處罰款10萬元的行政處罰。
7、華融公司違規收購個人貸款、違規收購金融機構非不良資産等多項違法違規行爲,中國(guó)銀保監會依法對(duì)該公司罰款2040萬元,并對(duì)2名責任人員給予警告并處罰款5萬元的行政處罰。本次行政處罰主要基于前期對(duì)華融公司部分商業化業務現場檢查發(fā)現的違法違規行爲,賴小民嚴重違法違紀案涉及的相關事(shì)實由有權機關另案處理。
案例分析:
從處罰的力度和深度來看,銀保監會繼續保持了對(duì)違法違規行爲處罰問責的高壓态勢,合規管理是保障銀行體系穩健運行的基礎。執法辦案時銀保監會根據《中華人民共和國(guó)銀行業監督管理法》《中華人民共和國(guó)保險法》授權,對(duì)銀行業保險業監管履職的重點項目進(jìn)行檢查。針對(duì)房地産融資、影子銀行和交叉金融業務等金融風險重點領域精準發(fā)力,督促相關機構完善公司治理、補齊内控短闆、填補合規漏洞。
根據銀保監會的通報,下一階段將(jiāng)重點開(kāi)展市場亂象整治“回頭看”工作,繼續嚴肅查處各類違法違規行爲,防止亂象反彈回潮。針對(duì)被(bèi)檢查單位檢查後(hòu)放松神經(jīng)、故态複萌的現象,將(jiāng)深入開(kāi)展“回頭看”工作,形成(chéng)檢查-整改-複查的閉環管理。讓各銀行保險機構理解和警惕,不是一檢查了就完事(shì),“監督不是一陣子”,檢查工作針對(duì)性更強,針對(duì)的是具體的、突出的問題,防止同質同類案件反複發(fā)生。各檢查單位要根據違規問題及時制定整改方案,明确整改措施、職責分工、進(jìn)度計劃,并深入推進(jìn)自查自糾,确保“回頭看”檢查整改落實到位,杜絕屢查屢犯的情況發(fā)生。
管理思路:
銀保監會依照《中華人民共和國(guó)銀行業監督管理法》《中華人民共和國(guó)保險法》等有關法律法規履行銀行業保險業監督管理職責,針對(duì)“市場亂象專項治理工作”明确了行動方案的重點,拟定了亂象整治“回頭看”的工作計劃,對(duì)企業内控管理體系建設工作具有巨大的借鑒意義。根據國(guó)資委《關于加強中央企業内部控制體系建設與監督工作的實施意見》的要求,内控體系的建立健全,須以風險管理爲導向(xiàng)、合規管理監督爲重點,内控體系建設過(guò)程中合規管理的重點應該包括以下幾個方面(miàn):
(一) 管理制度的合規
不管是銀行業,還(hái)是建築業、制造業,生産經(jīng)營活動都(dōu)會受到外部法律法規的約束,都(dōu)要強調内部規章制度的遵循。内控控制的目标之一就是遵循國(guó)家法律法規和有關監管要求,所以制度的合規是内控體系建設的基礎。
如何實現制度合規呢?通過(guò)全面(miàn)梳理企業現有内控、風險和合規管理的相關制度,及時將(jiāng)法律法規等外部監管要求轉化爲企業内部規章制度,持續完善企業内部管理制度體系。這(zhè)既是國(guó)資委文件的剛性要求,也是企業戰略目标實現的内在要求。在具體業務制度的制定、審核和修訂中嵌入統一的内控體系管控要求,明确重要業務領域和關鍵環節的控制要求和風險應對(duì)措施。將(jiāng)違規經(jīng)營投資責任追究内容納入企業内部管理制度中,強化制度執行剛性約束。
(二)流程執行的合規
制度的完善是爲了讓執行部門更好(hǎo)的執行工作,按照制度辦事(shì),做到凡事(shì)有章可循。如何更好(hǎo)的執行呢?這(zhè)需要管理部門和執行部門協作完成(chéng),部門與部門之間做好(hǎo)信息傳遞,包括縱向(xiàng)和橫向(xiàng)的信息傳遞。
1、制度發(fā)布後(hòu)應做好(hǎo)及時的培訓與宣貫
管理部門不光要編寫制度發(fā)布制度,還(hái)應對(duì)執行部門做好(hǎo)培訓與宣傳,將(jiāng)制度的要求和程序傳達到位,避免信息缺失;除了發(fā)布制度外,要收集執行部門的常見問題信息,建立執行合規的管理台賬,發(fā)布相關的解釋或通知,以便執行部門更好(hǎo)的理解制度。
2、制度的執行要有計劃、有執行、有檢查、有總結分析
要利用管理工具,管理部門不論開(kāi)展什麼(me)工作都(dōu)要有計劃、有執行、有檢查、有總結分析,形成(chéng)閉環。對(duì)于執行部門執行的工作在制度中也要有相同的要求,同時將(jiāng)這(zhè)些要求轉化爲管理工作的輸出結果,如:工作計劃表、執行過(guò)程資料、檢查表、總結分析報告等。通過(guò)日常檢查、定期考核的方式檢驗管理動作執行的合規性和遵循性,督促執行部門完善執行。
(三)監督評價體系的制定
有了适應企業發(fā)展的制度,建立了可執行的業務流程後(hòu),還(hái)需要運用定期内部控制評價的方法驗證制度設計的合理性和制度執行的合規性、遵循性,通過(guò)抽樣(yàng)、訪談、問卷等評價測試方法,對(duì)内部控制的有效性進(jìn)行全面(miàn)評價,形成(chéng)評價結論,出具評價報告。《國(guó)資發(fā)監督規〔2019〕101号》指出,“内控體系建設過(guò)程中,要統籌推進(jìn)内控、風險和合規管理的監督評價工作,將(jiāng)風險、合規管理制度建設及實施情況納入内控體系監督評價範疇,制定定性與定量相結合的内控缺陷認定标準、風險評估标準和合規評價标準,不斷規範監督評價工作程序、标準和方式方法”。
内控體系的建立不僅僅是一本手冊的輸出,要實現“管理制度化、制度流程化、流程信息化”,還(hái)要高度重視内部控制流程的後(hòu)續建設和評價監督,結合組織架構、控制環境、外部法律法規的變化定期或不定期對(duì)内部控制流程、内控制度進(jìn)行梳理,及時修訂、更新和補充,實現内部控制流程和制度對(duì)企業防範風險、達到公司戰略的目标。
微信公衆号