企業(yè)建立以管理為導(dǎo)向的合規(guī)管理體系后,需要探索以風(fēng)險(xiǎn)為導(dǎo)向的合規(guī)管理體系,通過開展風(fēng)險(xiǎn)評(píng)估,深入了解企業(yè)經(jīng)營中存在的合規(guī)風(fēng)險(xiǎn),從而制定相應(yīng)的合規(guī)治理規(guī)劃。
1、KCP的基石 -- 合規(guī)規(guī)則體系
外部法律法規(guī)和內(nèi)部合規(guī)規(guī)則是在業(yè)務(wù)流程中嵌入KCP的依據(jù),建立合規(guī)規(guī)則體系也是以風(fēng)險(xiǎn)為導(dǎo)向的合規(guī)體系建設(shè)的第一步。中興通訊的業(yè)務(wù)遍及全球大部分的國家和地區(qū),合規(guī)COE(Center of Expertise,專家中心)負(fù)責(zé)跟蹤研究與公司經(jīng)營密切相關(guān)的法律法規(guī),并結(jié)合公司風(fēng)險(xiǎn)偏好制定原則性規(guī)范。BU(Business Unit,業(yè)務(wù)單位)合規(guī)團(tuán)隊(duì)則結(jié)合業(yè)務(wù)實(shí)際將原則性規(guī)范細(xì)化為場景化指引。從法律法規(guī)到原則性規(guī)范,再到場景化指引,合規(guī)管控要求與公司業(yè)務(wù)實(shí)際的結(jié)合愈加緊密,對(duì)業(yè)務(wù)單位的指導(dǎo)性也逐步增強(qiáng)。自上而下的合規(guī)規(guī)則體系是KCP梳理的依據(jù)和基石,可用于判斷應(yīng)當(dāng)嵌入合規(guī)管控措施的流程節(jié)點(diǎn)以及如何管控該等節(jié)點(diǎn)。
合規(guī)規(guī)則體系應(yīng)當(dāng)具備清晰的效力位階:由不同主體制定的政策、原則性規(guī)范和場景化指引等文件在規(guī)則體系中自上而下位處不同層級(jí),在效力、修改頻次、受眾、理解難易程度等方面也存在差異:
1)董事會(huì)確定公司風(fēng)險(xiǎn)偏好,明確公司經(jīng)營中所需遵從的“紅線”和合規(guī)政策,形成規(guī)則金字塔架構(gòu)的第一級(jí)。公司政策在合規(guī)規(guī)則體系中具有最高效力,需要在相當(dāng)長一段時(shí)間內(nèi)保持其穩(wěn)定性。同時(shí),因其整體適用于公司全體員工,內(nèi)容和形式上應(yīng)更容易為員工所理解和記憶;
2)合規(guī)COE部門基于外部法律法規(guī)的要求,并結(jié)合公司政策制定本領(lǐng)域的原則性規(guī)范,形成“規(guī)則金字塔”架構(gòu)的第二級(jí)。原則性規(guī)范通常包括合規(guī)手冊(cè)總冊(cè)和其他基本規(guī)范??們?cè)是特定合規(guī)領(lǐng)域的綱領(lǐng)性文件,也是合規(guī)規(guī)則體系中的“根本法”,為了保持嚴(yán)肅性和穩(wěn)定性,其制定應(yīng)相對(duì)嚴(yán)謹(jǐn)和審慎,修改頻次也相對(duì)較低。此外,合規(guī)COE部門通常還會(huì)制定其他基本規(guī)范,作為總冊(cè)的補(bǔ)充或延伸,需要依據(jù)外部法律法規(guī)的變化而作相應(yīng)調(diào)整;
3)BU合規(guī)團(tuán)隊(duì)結(jié)合實(shí)際業(yè)務(wù)情況,依據(jù)原則性規(guī)范制定不同業(yè)務(wù)領(lǐng)域的合規(guī)分冊(cè)和場景化指引,形成“規(guī)則金字塔”結(jié)構(gòu)的第三級(jí)。貼合業(yè)務(wù)場景的特性決定了,如果業(yè)務(wù)場景發(fā)生變化,分冊(cè)和指引也需要作出相應(yīng)的調(diào)整,因此實(shí)踐中分冊(cè)和指引的修改頻次相對(duì)較高。此外,為了降低理解門檻、強(qiáng)化可落地性,公司也鼓勵(lì)BU合規(guī)團(tuán)隊(duì)采取場景化案例等易于業(yè)務(wù)單位理解的形式。
從政策、原則性規(guī)范到場景化指引的金字塔式規(guī)則體系層層遞進(jìn)且相互援引,為KCP梳理提供了制度依據(jù)。
2、KCP的載體 -- 合規(guī)管控全景
規(guī)則體系可以引導(dǎo)合規(guī)專業(yè)部門判斷業(yè)務(wù)流程中應(yīng)嵌入KCP的節(jié)點(diǎn),但對(duì)于非合規(guī)領(lǐng)域的一般員工而言,合規(guī)規(guī)則用語復(fù)雜且篇幅通常較長、理解成本較高。通過梳理KCP及其項(xiàng)下的合規(guī)管控措施,可以得到類似于知識(shí)卡片的輸出物,即對(duì)風(fēng)險(xiǎn)點(diǎn)和管控點(diǎn)知識(shí)進(jìn)行結(jié)構(gòu)化和可視化處理,讓受眾對(duì)于與自身業(yè)務(wù)相關(guān)的合規(guī)管控知識(shí)的理解和記憶更加便捷,使得合規(guī)知識(shí)與業(yè)務(wù)的融合、應(yīng)用成為可能。因此,KCP梳理是對(duì)規(guī)則體系進(jìn)行拆解和模塊化的過程,旨在促進(jìn)規(guī)則與業(yè)務(wù)場景的深入融合,進(jìn)一步降低理解和使用門檻。
全面梳理業(yè)務(wù)場景中的KCP及合規(guī)管控措施,形成合規(guī)管控全景圖
對(duì)于KCP梳理而言,如果沒有規(guī)則體系作為基礎(chǔ),將難以全面判斷哪些業(yè)務(wù)場景中需要得到合規(guī)管控;而如果沒有全面梳理、橫向拉通各業(yè)務(wù)領(lǐng)域中涉及的場景,又難以保證KCP的全面性和完整性。相較于子公司而言,總部的業(yè)務(wù)場景通常更為全面和復(fù)雜。因此,中興通訊以總部的業(yè)務(wù)場景為經(jīng),以總部的合規(guī)指引為緯,定位出KCP以及與之相匹配的合規(guī)管控要求,形成合規(guī)管控全景圖,依托內(nèi)部數(shù)字化平臺(tái)實(shí)現(xiàn)可視,并面向公司全員發(fā)布。合規(guī)管控全景圖是由各業(yè)務(wù)領(lǐng)域KCP及合規(guī)管控要求組成的有機(jī)整體,是KCP的載體和一站式查詢平臺(tái)。
為使KCP真正嵌入業(yè)務(wù)、杜絕管控漏洞,需爭取實(shí)現(xiàn)KCP的IT化、線上管控,將部分人工控制節(jié)點(diǎn)逐步轉(zhuǎn)變?yōu)橄到y(tǒng)控制節(jié)點(diǎn)。隨著IT化管控的實(shí)現(xiàn),后續(xù)可通過數(shù)據(jù)一致性審計(jì)核驗(yàn)KCP嵌入和相應(yīng)管控要求的執(zhí)行情況,為公司合規(guī)治理和資源投入提供客觀的決策支撐意見。
3、KCP的應(yīng)用 -- 以風(fēng)險(xiǎn)評(píng)估為例
對(duì)于總部而言,在合規(guī)建設(shè)初期,自上而下快速建立起規(guī)則體系,使得合規(guī)建設(shè)有“規(guī)”可依。隨著合規(guī)體系建設(shè)進(jìn)入新階段,可以借助KCP的梳理,自下而上地反推當(dāng)前規(guī)則體系中需補(bǔ)充完善之處。例如,經(jīng)梳理發(fā)現(xiàn)某一業(yè)務(wù)場景存在潛在合規(guī)風(fēng)險(xiǎn)且應(yīng)嵌入KCP,但目前尚未制定與之相匹配的合規(guī)規(guī)則,則需及時(shí)制定相關(guān)規(guī)則,堵住管控漏洞。因此,KCP也是檢驗(yàn)規(guī)則體系完整性的試金石。
對(duì)于子公司而言,不同子公司需嵌入的KCP類型和數(shù)量存在差異。通常而言,業(yè)務(wù)復(fù)雜程度越高,需嵌入的KCP越多。假設(shè)總部需在業(yè)務(wù)流程中100項(xiàng)KCP,而某一業(yè)務(wù)場景復(fù)雜度弱于總部的子公司可能僅需嵌入50項(xiàng)KCP??傊?,通過梳理被評(píng)估單位的業(yè)務(wù)場景,可得出其應(yīng)嵌入的KCP數(shù)量。需嵌入的KCP數(shù)量越多,通常意味著合規(guī)管控的難度越大,需投入的合規(guī)資源越多。在此基礎(chǔ)上,再通過文檔審閱、人員訪談等方式了解被評(píng)估單位已有的合規(guī)管控措施與KCP之間的差距。二者差距越大,說明合規(guī)管控措施缺失程度越高,現(xiàn)存的合規(guī)風(fēng)險(xiǎn)越高。
結(jié)合公司當(dāng)前的風(fēng)險(xiǎn)偏好和治理實(shí)踐,風(fēng)險(xiǎn)評(píng)估的終極目標(biāo)應(yīng)更聚焦于風(fēng)險(xiǎn)分類管理及相應(yīng)的治理規(guī)劃,而非單純的風(fēng)險(xiǎn)等級(jí)和治理優(yōu)先級(jí)劃分。在風(fēng)險(xiǎn)評(píng)估中應(yīng)用KCP,有助于更加直觀和全面地了解被評(píng)估單位合規(guī)管控現(xiàn)狀,從而對(duì)癥下藥、堵漏建制,爭取實(shí)現(xiàn)合規(guī)管控與業(yè)務(wù)場景的充分匹配。
當(dāng)然,KCP的應(yīng)用場景絕不限于風(fēng)險(xiǎn)評(píng)估,它還可被廣泛應(yīng)用于合規(guī)咨詢、合規(guī)檢查、審計(jì)等其他環(huán)節(jié)。例如,通過搭建一站式查詢平臺(tái),公司全員可從實(shí)際業(yè)務(wù)需求出發(fā),根據(jù)業(yè)務(wù)場景快速定位到KCP及其項(xiàng)下的合規(guī)管控要求,從而減少合規(guī)咨詢需求量。又如,合規(guī)檢查人員可依據(jù)KCP制作各業(yè)務(wù)領(lǐng)域的檢查清單,并通過訪談等方式核驗(yàn)KCP項(xiàng)下合規(guī)管控要求的執(zhí)行有效性。如此一來,可依托KCP實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估和合規(guī)檢查的層層嵌套和遞進(jìn)。
通過將合規(guī)指引組件化和微課化,搭建一站式平臺(tái)
由于規(guī)則體系和業(yè)務(wù)場景均可能不斷變化,應(yīng)當(dāng)定期維護(hù)和更新KCP,推動(dòng)KCP的不斷迭代。同時(shí),后續(xù)需通過檢查和審計(jì)檢驗(yàn)KCP的管控情況,以形成合規(guī)治理的閉環(huán)。
中興通訊通過梳理KCP并將其應(yīng)用于風(fēng)險(xiǎn)評(píng)估,推動(dòng)以風(fēng)險(xiǎn)為導(dǎo)向的合規(guī)管理體系建設(shè),致力于與合作伙伴一起共建安全、可持續(xù)的營商環(huán)境,共同實(shí)現(xiàn)業(yè)務(wù)的有質(zhì)量增長。
注釋:
[1] 關(guān)鍵控制點(diǎn)通常是指在業(yè)務(wù)流程或應(yīng)用系統(tǒng)中,為降低流程主要風(fēng)險(xiǎn)和實(shí)現(xiàn)控制目標(biāo)而采取的最有影響力的控制活動(dòng)。
本文作者:中興通訊高級(jí)副總裁、首席法務(wù)官申楠
? 2019-2021 All rights reserved. 北京轉(zhuǎn)創(chuàng)國際管理咨詢有限公司 京ICP備19055770號(hào)-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:梅州市豐順縣留隍鎮(zhèn)新興路881號(hào)
北京市大興區(qū)新源大街25號(hào)院恒大未來城7號(hào)樓1102室
北京市海淀區(qū)西禪寺(華北項(xiàng)目部)
深圳市南山區(qū)高新科技園南區(qū)R2-B棟4樓12室
深圳市福田區(qū)華能大廈
佛山順德區(qū)北滘工業(yè)大道云創(chuàng)空間
汕頭市龍湖區(qū)泰星路9號(hào)壹品灣三區(qū)
長沙市芙蓉區(qū)韶山北路139號(hào)文化大廈
站點(diǎn)地圖 網(wǎng)站建設(shè):騰虎網(wǎng)絡(luò)
歡迎來到本網(wǎng)站,請(qǐng)問有什么可以幫您?
稍后再說 現(xiàn)在咨詢