海外投资安全信息2022年第六十八期(总第一百二十八期)
中兴通讯首席法务官申楠:合规风控的认知和管理进阶之路
【2022135】
【预警保护伞】
1、具象性合规风险的识别是内部法律顾问需具备的基础性能力
“合规风险”本质为一种不确定性。在此基础上,我想进一步引入“抽象性合规风险”和“具象性合规风险”两个概念,前者主要是是宏观的、概括的、潜在的合规风险,后者则是微观的、纯粹的、现实的合规风险。以出口管制合规为例,尚未建立或未完全建立企业合规体系的公司仍存在因购买美国物项会产生被处罚甚至制裁的风险、基于美国《出口管制条例》(EAR)的域外效力应尽量减少购买美国物项等认知,此类对于“风险”的模糊性认知属于抽象性合规风险理解层面;而是否存在出口管制合规的具象性风险是需要结合业务开展实际对主体、国家、物项和最终用途的四要素所进行的综合判断。以营销场景为例,客户关系管理包含客户数据管理和客户拓展活动,并不涉及具体的物项销售及明确的最终用途,因此不存在物项、最终用途相关的出口管制风险;但在发起签约评审时,合同信息已经清晰,确定该项目是否涉及“受制裁国家/地区”、“受限制主体”或受EAR管辖的销售物项,对应受EAR管辖物项是否获得适当的出口授权以及合作的最终用户与最终用途信息与原先合同信息是否一致等活动都会帮助我们判断出口管制合规风险,相应的合规管控嵌入节点也更加明确。
作为企业内部法律顾问,识别具象性业务合规风险是基础性能力。随着近两年内部“能力内化”工作的持续推动,对外,面对域外性的法律解读和行业风向捕捉问题上,中兴通讯各合规域均已基本实现对外部法律法规的机制化的动态追踪及政策解读。对内,三大合规域均建立了以风险评估为基础的规则体系。举例说明,我们在《中兴通讯出口管制和经济制裁全球合规手册》中已针对不同业务领域内的各个业务流程所涉及的主要出口管制合规风险建立了相应的合规风险矩阵表,确保对所有业务活动潜在出口管制合规风险的“应识尽识”,进一步凸显了企业内部法律顾问的独立价值。
与此同时,中兴通讯也对组织架构进行了优化,建立了在合规管理委员会领导下的合规管理制度,并在法律合规COE(专家中心)与业务单位之间建立专职BU(业务单位)合规团队,搭建起COE与业务单位的桥梁,实现了穿透式合规管理,保障了对风险的及时识别和升级。
2、以风险为导向的合规管控是内部法律顾问的能力提升锚点
在具备具象性风险识别能力的基础上,明确合规规则的出处与遵从基线,是建立以风险为导向的合规管控的依据和载体。正如我在此前分享中提到的,需要结合企业当前的风险偏好和治理实践,深入了解业务范围内的合规风险,在内部规则中明确哪些是外部法律法规要求、哪些是企业风险偏好选择、哪些是企业基于模糊的法律法规所做的进一步细化管理。
同样以美国出口管制法律为例,EAR并没有绝对禁止与受制裁国家或地区的合作。但在《中兴通讯出口管制和经济制裁全球合规手册》中,我们仍然规定中兴通讯不得与来自受制裁国家/地区的主体开展任何业务。此项企业内部政策比EAR要求更加严格,就是企业基于全球业务布局平衡和自身风险偏好下对合规管理要求的进一步明确。
在中兴通讯的金字塔形三级合规规则架构中,董事会确定公司经营政策,即公司当前经营的风险偏好和经营红线,此作为规则金字塔的第一级;法律合规COE基于外部法律法规和内部公司政策确定本合规领域下的合规手册总册,形成规则金字塔的第二级;BU合规结合具体实际业务开展情况,完善合规分册中不同领域的合规指引和要求,形成金字塔结构的第三级。
3、合规管控嵌入业务流程是实现风险控制的必由之路
“由点及线”,流程嵌入是合规管控的具体落地。为响应“本土化”需求,企业需要基于合规规则制定情况在业务流程中融入关键管控点(KCP),以避免产生合规与业务“两张皮”的现象。
如在出口管制合规领域,为有效地实现出口管制合规风险管控,2016年我们就开始梳理端到端的关键业务流程,并进一步与外部咨询公司合作完成了母公司及部分子公司业务系统与出口管制合规管控自动化系统的集成对接,目前已实现筛查工具在关键业务流程中的嵌入,确保出口管制合规规则在业务流程中的最终落地。我们通过数字化、IT化将合规管控点嵌入到流程中落地执行,使得合规风险在整体业务流中处于可收敛状态。
以售前营销最终用户审查嵌入中兴通讯的端到端销售管理LTC流程(Lead to Cash)为例,我想进一步对合规管控嵌入业务流程的思路进行介绍。从时间点来看,此项业务活动最先接触交易主体,因此,该阶段是做好最终用户审查的重要环节。为了在此阶段做好最终用户相关风险管控,我们首先对“客户管理-商机管理-竞标管理”等售前业务流程进行了梳理。在此基础上,结合业务开展实际对不同阶段存在的出口管制合规具象性风险进行了评估和分析,进而在客户管理、项目立项、投标和签约评审等业务环节引入合规人员参与项目审批,确保有效管控出口合规风险。
在前述合规管控嵌入业务流程的实践基础上,如下合规管控全景是基于业务实际而建立的一个涉及出口管制、数据保护、反商业贿赂三大合规领域的体系化合规规则管控查询平台。各业务单位人员可以根据实际业务活动需求一站式、跨领域地实现检索和查阅,并了解所辖业务范围内可能存在的风险、业务流程中涉及的合规管控点和在这些管控点下需遵循的流程。
4、合规工具“产品化”助力企业增值提效
类似“先把书读厚,再把书读薄”,中兴通讯在合规管控全面嵌入业务流程的基础上,通过工具“产品化”促进合规“低感”、“无感”,提高业务效率、改善用户体验,确保规则得到有效执行的基础上进一步实现降本增效。
通过不断地复盘和优化,公司特定合规领域正在确保充分理解公司业务规律、准确识别公司业务风险和明晰公司运营战略方针的基础上,经历着从使用线下模板、线上工具到自主设计合规风控自动化系统工具的演变阶段。
以出口管制合规实践为例,2016年开始我们尝试探索与某外部咨询公司合作完成公司业务系统与出口管制合规管控自动化系统的集成对接,基本覆盖受制裁国家或地区、受限制主体扫描以及对产品受控程度分析和占比计算等功能。在此基础之上,基于中兴通讯下辖子公司多法域法规遵从、信息安全保障、资源投入控制等需求以及使用多重企业管理系统等特性的综合考量,公司法律合规联合数字化团队自主研发设计了全球首款轻量级SaaS数字化合规商业系统——出口合规扫描系统(Export Compliance Screening System,ECSS)。
截止目前,ECSS已在中兴通讯4家子公司完成部署,实现了基于业务开展需求配置全球出口管制法律法规管控,公有云、私有云或混合云部署,兼容金蝶、用友、SAP等本地或者云部署企业管理系统等功能,确保企业合规系统轻量化和灵活性的基础上提供了全球贸易出口合规一站式服务和综合合规解决方案。
我相信,未来该系统在更大范围的推广及应用将为企业开启一扇通往数字化合规时代的大门,助力合规管控的效率提升,也将使企业在国际市场中具有更强的竞争力。
作为最早一批“走出去”的中国企业,为了应对日益复杂的国际环境,我们在具象性合规风险的知察能力提升上已有长足进步。通过对中兴通讯合规实践的回顾及现阶段成果分享来看,我们也正在朝着“从说到做”、探索更加低感且高效的合规风险管控昂首迈进。有基于此,我们也希望与行业同仁一起继续践行合规创造价值的理念,携手构建健康可持续的企业生态。
