苏锡嘉/文 企业面临的风险主要分为经营风险、财务风险和合规风险。大多数管理者对前两者较为重视,但对于合规风险却关注较少甚至置若罔闻。
但如果将企业比喻成一辆不断向前行驶的汽车,“合规”就相当于安全气囊,“风控”类似于ABS系统,二者缺一不可。
缺乏合规机制可能会让企业付出惨痛代价,缺乏风控文化则会让企业面临危机时遭受重创。我们可以先看几个合规风险的案例。
A公司员工被发现在11个发展中国家行贿约14亿美元。因此,A公司总部所在地检察机关对其发起了调查,A公司遂主动向美国司法部和SEC(U-nitedStatesSecuritiesandExchangeCommission,美国证券交易委员会)交代(编者注:A公司当时是美国纽交所上市企业)。最终,A公司向美国司法部支付罚金4.5亿美元,向SEC支付罚金3.5亿美元,并向总部所在地区检察机构支付罚款近4亿欧元。
B公司因违反某国出口管制法律,并在被调查过程中因提供信息及其他行为违反了某国相关法律法规,最终向该国商务部支付合计8.92亿美元的罚款。2018年,该国商务部对B公司启动第二轮制裁,B公司支付了10亿美元罚款,另外准备4亿美元交由第三方保管,并接受为期10年的合规监管,最终才与该国商务部达成和解。两次罚款加保证金,相当于B公司至少五年的利润总和。
C公司在参与一项世界银行资助的建设项目投标时,被世界银行廉政局发现该公司提交的业务经验文件存在造假的情况。之后,世界银行宣布对C公司处以制裁。根据这份制裁决定,C公司两年内不得参与世界银行资助的项目。而且,世界银行不仅处罚C公司,还连带处罚其所有的关联企业,并通知其他金融机构一起参与联合制裁。该制裁给C公司带来了经济和名誉的双重损失。直到C公司建立了完善的合规机制后,世界银行才解除了对其的制裁。
这些案例旨在说明,企业忽视合规风险很可能会遭受巨大损失,管理者对此应加以高度重视。
如何建立高效的合规机制
以上关于合规风险的案例,对企业如何做好合规工作提供了启示。
首先,发生合规风险时,要严惩责任人(自然人),同时尽量让企业(法人)存活。从历年惩罚记录来看,监管部门并不希望企业倒闭,导致大批无辜者失去工作。但对于把企业拖进违规事件的责任人,无论是企业还是监管方对其都要严惩不贷。这些责任人可能是企业内部的高管和员工,或者是第三方供货商、代理商、经销商,也可能是被并购方和客户。
其次,企业要建立起高效的合规机制,有效防范、识别和应对合规风险。
合规机制有三个支柱。防范:对所有交易进行尽职调查,对员工进行合规培训,并对交易进行合规风险评估。识别:交易期间,要警觉识别有可能遭遇的合规风险。要对企业的合规做评估,定期发布合规报告;要建立吹哨人制度,鼓励内部员工举报不合规现象;设立可以有效运作的举报热线,接受外部监督。应对:出现合规风险时,要找到问题,采取应对措施,配合调查,积极整改。
以前面提到的C公司为例,出现合规问题后,其颁布了合规政策和程序,从顶层制度、组织结构、人员配备、工作程序等方面建立了合规机制,并组织合规培训,加强对商业伙伴的合规管理,展开合规风险评估,组织合规审计,建立举报制度,并全面配合世界银行的合规审查和持续监督。这一系列措施最终让世界银行解除了对它的制裁。
建立良好的合规机制,对企业具有重要意义。
例如,1991年,美国司法部量刑委员会修订了准则,规定违规公司只要证明自己建立了有效的合规机制,就可以大幅减少罚款。2012年,某公司员工因行贿被美国司法部提起刑事诉讼,最终该公司证明自己已经建立良好的合规机制,该员工参加过7次合规培训,收到过35次相关通知,企业已经尽到责任,员工行贿完全是个人行为,最终监管机构认可了这个解释,对公司免予处罚。
在中国也有类似案例。某跨国企业在X省的分公司有5名员工贩卖客户信息。检方在起诉员工的同时也起诉了公司,但公司拿出证据,证明自己拥有良好的合规机制,这5名员工贩卖客户信息纯属个人行为,违背了公司的要求和教育。最后公司胜诉,不用承担责任,而5名员工需接受审判。
作为反例,前面提到的A公司员工贿赂事件发生后,其提起申诉说明公司拥有“有效”的合规机制,但并未被采信,最终只得向美国司法部和SEC支付巨额罚款。
通过这些案例我们可以看到,建立良好的合规机制,可大幅降低企业的风险成本。
健康的风控文化必不可少
除了建立完善的合规机制外,对企业而言,还需形成良好的风控文化,这两者缺一不可。良好的企业风控文化在平时看不见摸不着,并不能给企业带来太多助益,但当公司出现极端情况时,就能发挥不一样的作用。
什么是极端情况?就是风险和危机。当风险和危机来临,具有良好风控文化的公司将表现出敏捷和得当的应对措施,这是没有风控文化建设的企业完全难以企及的。
如何建立风控文化?首要是培养员工对风险的警觉性。我们不能指望员工自觉形成控制风险的意识,懈惰是人的天性。人都有自立自强的一面,也都有偷懒的意图,勤奋是需要鞭策和培养的,我们对此从一开始就要有清醒的认识。
其次,要持续用良好的公司文化去同化所有员工,让他们认同公司文化,然后根据公司文化的指引来履行自己的职责。优秀的企业文化能够将认同该文化的人吸引到企业来,企业需将这些员工留在企业,而将不认同该文化的人驱离企业。久而久之,企业员工的行为规范就会更加符合企业文化的要求。
另外,我们必须意识到,企业风控文化的形成不是一蹴而就的,企业文化对员工的影响是潜移默化而非立竿见影的。所以除了用企业文化影响员工,还要依靠制度约束员工。
在这方面,我很赞同查理·芒格的做法。芒格认为,管理员工要做到两点:一是让员工知道他对自己的行为要负完全的责任;二是堵塞所有明显漏洞,不要去考验员工,不要让员工有犯错的机会。对员工最好的爱护,是让他们有一个健康成长的环境,这也是管理者必须履行的社会责任。
企业发展有两个车轮,一个车轮是业绩提升,另一个车轮是风险控制和合规机制建设。企业家不能只追求好业绩,更要追求健康的合规和风控。希望所有企业的这两个车轮,都能将企业平平稳稳带向远方。
(作者系中欧国际工商学院会计学荣誉退休教授)