导读:合规是律师的事情;合规的最大价值是发现灰色地带;合规不能阻碍业务;合规要从基层员工做起;突然而至的合规风险事件等等,合规行业内对这些耳熟能详的说法一定不陌生。在大公司的合规管理中,常常出现这样的一些习惯性的认识误区,这些道理看似正确但经不住细究,特别对于合规从业人员,如果再没有主见,稍有不慎就会着了道,掉进陷阱而不能自拨。
合规风险管理不得不防的十大认识陷阱
1、出了问题你不担责任
在合规与业务产生冲突时,领导说的最多的一句话就是:你提出的风险我们知道了,但我们业务还得做,出了问题你也不用担责任。在这种情形下,合规往往会放水,而且就合规来说,好像也尽到了合规应尽的义务,真的是这样吗?
合规是否尽到了合规应尽的义务,这关系到合规管理的边界到底可以抵达哪里,只是提示风险还是做出业务判断。
另外一个问题,合规不用担责就更不用说了。美国监管的惩罚案例早已显示,不仅合规要承担民事责任,还要接受行政罚款,再严重的渎职可能会承担刑事责任。
【案例:“FCA” VS 贝鲁特银行 Wills】
英国的Financial Conduct Authority(“FCA”)曾经要求贝鲁特银行伦敦分行对金融犯罪风险的漏洞做出整改。公司安排合规官Wills与FCA对接工作,Allin作为内部审计员,为FCA提供相应的审计信息。但是,在于FCA对接的过程当中,公司对两人的汇报工作进行了限制,要求他们在与FCA的沟通中注意言辞一切从公司的利益出发。
东窗事发后,FCA不仅处罚了贝鲁特银行,同时对两人也做出了严厉惩罚。理由很清晰,即“两人合规和审计的身份决定,他们应该独立的行使自己的职责,不管公司管理层是否会施加的影响”,最终,FCA对Wills和Allin分别处以19600英镑和9900英镑的罚款。在这场贝鲁特银行和FCA的斗智斗勇的战争中,Wills和Allin无情的成了牺牲品。
2、合规是律师的事
误区:合规仅是律师的事情,律师搞定就可以了
正解:没有律师搞不定合规,只有律师也搞不定合规
一个成熟的合规部当然要有精通法律的律师来统筹规划,也要有熟悉财务、产品和市场营销的专家帮助律师深入的理解业务的框架与核心。在很多公司内部调查阶段,这些非法律专业人士发挥的作用甚至比合规律师的作用还大。
一个专业的律师不一定是一个胜任的合规律师。就像CLO对公司律师提出熟悉商业的要求一样,对合规律师也提出了同样的要求。在很多大金融机构中我们可以见到,他们的合规官除了律师的身份外,本身也是一两个领域的行业专家。
3、合规最怕的是监督
合规最怕的是监管,特别是当监管部门严厉的叫合规过去询问有关事项时,合规人员更是噤若寒蝉。为什么会这样呢?
因为合规人员心里发虚,他最清楚自己的东家哪些地方合法哪些地方不合法。如果一旦被监管发现,他们是有意而为之,那后果就更惨了。
西方公司的合规人员对监管的态度很微妙,但绝对不能用“害怕”这个词。而是:最恨的是监管,最爱的也是监管。
【案例:美国吹哨人计划】
2016年,SEC吹哨人办公室对外宣布,在吹哨人计划推行的5年时间里,SEC共发放了1.07亿美元奖励给33名吹哨人,也就是平均每名吹哨人拿到了300万美元的奖励。
根据吹哨人计划的规则,如果吹哨人举报信息最后导致SEC成功进行了调查并开出100万美元以上罚款,吹哨人将可以得到相当于罚款金额10%至30%的奖金。当然,并不是每个吹哨人都能拿到千万美元级别的奖励。
吹哨人计划(Whistleblower Program)这个名字源自于“吹哨”一词,在美国俚语中意为“告密”。吹哨人办公室当天还宣布,SEC为一名提供了公司证券欺诈行为线索的吹哨人颁发2200万美元的奖励。这名吹哨人举报的正是自己的雇主,并在SEC的调查过程中提供了大量协助。这是吹哨人计划自2011年推行以来第二大金额的奖励,此前SEC曾在2014年9月份发布了一项3000万美元的奖励,并在2016年3月、2013年10月分别颁发了1700万美元、1400万美元的奖励。
4、合规游走在灰色地带是本事
面对日趋严厉的政府监管和层出不穷的监管新规,很多金融机构的高层都对合规提出了这样的要求,即合规要帮助企业寻找灰色地带并在这狭窄的区域谋取利益。甚至有时以此为考核导向,让合规部的工作都按这一方向调整。这时,合规更像业务的一部分,完全失去了监管的独立功能。合规作为业务的智囊为其出谋划策,能否成就业务就成了他们事实上的考核指标。
这绝对是一个非常危险的信号,事实证明,大部分为企业灰色地带出谋划策的合规部门最后都害了公司。因为,这样的合规不仅没有担当起本来应该担当的职责,还让企业有个错误的认识,游走在合法与非法之间是一种本事。企业的经营是一个长跑,不是一两笔买卖。某个阶段的机会可能在整个赛程看来就是个负担,这时候企业要敢于放弃。做正确的事情永远比正确的做事要重要得多。
【案例:把自己送进监狱的CLO】
一项统计显示,美国在安然作假事件后,加强了对CLO为代表的公司律师的责任调查和追究,仅在2005年,就有几十起调查事件被提起,而其中有三个公司的CLO被提起刑事起诉,最终有两名CLO被定罪,其中Rite Aid的CLO虽然已经76岁高龄,但因为其在政府调查过程中有故意欺诈和隐瞒掩盖会计舞弊的行为,法庭在量刑上并没有做任何减轻,可见其行为的恶劣程度。
5、合规要从娃娃做起
合规部经常讲合规要从娃娃做起,意思是合规要从企业最底层的员工开始做工作,农村包围城市似的逐步树立企业的合规意识,最终形成全员合规的文化。这种说法在行内虽然很盛行,但却很难被认可,因为它在实践中根本行不通。
合规从来都是自上而下,而不是自下而上的。如果公司高层不重视合规,即使下层员工每个人都认识到合规的重要性都没有任何用处。事实上,常常是因为领导一句有意无意中透露出不重视合规的话,而让日积月累的合规工作毁于一旦。上行下效,底层的员工最擅于察言观色,如果高层不是从心底里尊重合规,大家最容易敏感的捕捉到,况且,还没有一个人愿意主动接受约束和监管。
案例:业内都知道通用电气(GE)合规工作做得好,但很多人不知道他们为什么做得那么好。GE首席执行官Jeff R.Immelt曾经说过:“没有任何事情比维护我们在合规建设中取得的声誉更重要。即使是为了取得销量,为了竞争或者来自于直接主管的命令,这些都不能让我们对合规的秉持做出任何妥协。”现在应该明白了,有这样对合规理解如此深厚的CEO的鼎力支持,合规如果做不好倒是不应该的事情。
6、合规核心是预防
合规的核心是预防,但却每天忙着灭火。每个领导都会跟你说,合规的价值重在预防,每个合规文件都要求制定行之有效的合规计划,但如果你真的将主要精力放在合规系统的建设上时,他们却整天会催着你,让合规部忙着灭火。
预防做的再好,也不会有人关注。但违规事件处理好,却很容易得到赏识和重用。公司高层的这种言行不一和短视行为常常让合规部无所适从,也会误导合规官的工作方向。
【案例:企业完美合规计划制定实例】
步骤一:高级管理层决定制定合规程序
合规首先需要“高层基调”,这一决定最好是由一个或者多个有足够权利的高级管理人员做出。
步骤二:风险评估
在决定了制定合规计划之后,一个机构应当进行综合的基准风险评估。风险评估的结果将成为制定有效合规计划的路线引导图。通常,一次风险评估涉及到地理和运营层面的风险因素。风险评估的性质和范围将基于机构的规模和运营情况而大有不同。
步骤三:合规程序设计
一旦公司进行了适当的风险评估,程序的设计便可以启动。通常,反腐败合规程序包括了以下要素:行为准则、反腐败政策和程序、培训、确认和认证、报告机制。
步骤四:合规计划实施
一个合规程序的实施,需要内部外部有效的沟通。合规计划不应当分阶段推出,而是应当在全球范围内实施,尤其集中在机构的中枢和高风险操作领域和地区。
步骤五:补救措施
有效的合规程序应该是有牙齿的。DOJ和SEC已经明确表示:“无人不应在其覆盖之下”——机构必须愿意对其中的各级组织进行纠正和规范。纪律措施应被规定于适用的政策中。
步骤六:监测与评估
合规项目不能变得停滞不前。连续的、主动的监测和审查是任何有效合规项目中的标志性组成部分。关键是公司能够适应不断变化的风险。合规项目需要定期监测和评估,机构不应等到问题在某处发生之后,再去对其他地方的程序有效性来进行评估作为应对。合规评估应当有一个定期的进度和预算。这些评估应该在定期的风险评估之上进行。
步骤七:应对潜在的合规问题
DOJ和SEC预期公司实体对被报道的不端行为进行内部应对和事件审查。一个有效的合规计划,必须要有有效的程序来应对潜在违规的指控。
7、合规是个日常工作
合规不被重视,就是因为对于合规的定位太过低端,把合规等同于一般的职能工作,这真的是大错特错。合规不是一项日常工作,而是一项公司战略。如果说公司内部有什么跟企业战略有一决高下机会的,那绝对是合规遵从,因为他们都是关系到公司生死存亡的风险。
有的公司CEO提出,他们已经将合规提升到战略高度,在整体不尊重合规的负环境下,这样的CEO的确值得称赞。但还是不得不说,合规根本不需要提高到战略的高度,因为合规本身就是公司战略。这样的定位才能更加准确地反映合规的价值和定位。
8、人人合规
每个人都说合规非常重要,每个人心里却认为可有可无。每个人都说合法合规是自己应该做的,每个部门负责人都会表态要重视这项工作,每个领导发言也都会提到我们将合法合规作为企业经营的前提,但每个人也清楚地知道,合规可有可无,跟自己关系不大,他们心底里最不重视的也是合规工作。
所以,合规人员不要期待每个人都很重视合规,不重视合规是常态,重视是意外。有了这种心态,合规部才会以更加平和的心态去处理合规事件和策划合规计划。合规部也不再会显得咄咄逼人,因为大多数反映合规部最让人讨厌的就是得理不饶人。
9、违规总是突然而至
当违规事件发生时,每个人都会抱怨,怎么事前一点都不知道这个事情,总是突然而至搞得大家措手不及。这个时候,你一定不要相信他们说的话,而应该更相信海恩法则:每一起严重事故的背后,必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。
法则强调两点:一是事故的发生是量的积累的结果;二是再好的技术,再完美的规章,在实际操作层面,也无法取代人自身的素质和责任心。
任何风险事故都是可以预测的,除了自然灾害,没有突然而至的风险,除非是当事人完全失去了行动能力和责任心。因此,当企业出现无法预知的风险时,一定是合规的责任心出了问题。
合规最起码要做到这点:当一件重大事故发生前,我们要及时对问题的“事故征兆”和“事故苗头”进行排查处理,以此防止问题的发生,及时解决发生重大事故的隐患,把问题解决在萌芽状态。
【案例:动辄上亿美金的调查费用】
西门子公司在2008年就其在世界各地广泛的行贿行为与执法机构达成和解之前,花了两年的时间聘请律师和会计师进行内部调查。著名的美国律所Debevoise & Plimpton和德勤会计师事务所领衔了这次内部调查,在两年多时间里派出了超过300位律师、鉴证会计师和辅助人员,调查遍及34个国家。一共进行了1750场的访谈,调查团队一共收集了超过1亿份的文件,并最终向司法部提交了24,000份文件。据西门子公司透露,这次调查中他们一共收到150万个“可计费小时(Billiable Hour)”的账单,调查花费共计8.5亿美元,其中光是审阅文件(Document Review)这一项的律师费就高达1亿美元。
这样的例子还能举出很多。例如2014年化妆品直销巨头雅芳就其违反FCPA的指控与SEC和DOJ达成最终和解,缴纳罚金1.35亿美元。然而雅芳为了达成和解进行的内部调查费用却高达3.44亿美元;最新的例子来自零售业巨头沃尔玛。2012年,《纽约时报》揭露了沃尔玛在墨西哥为土地问题行贿当地官员。沃尔玛在丑闻爆出后很快就在司法部的压力下展开了内部调查。今年8月沃尔玛向投资者披露,该公司在迄今为止三年左右的时间里,为应对这一案件以及展开内部调查已经花费了惊人的6.75亿美元。虽然数字上看还是没有西门子花的多,但是西门子公司的案件已经尘埃落定了。而沃尔玛这边还不知道要调查到什么时候,调查完还不知道会不会被起诉,天知道后面还得砸多少律师费进去。
10、每个合规风险要讲一万遍
合规部对于全员合规意识的重视往往体现为这样一句话,每个合规风险讲一万遍就会深入人心,这也是合规培训的口号。说的很有道理,但前提是听众是带着耳朵来听的,或者不能左耳朵进右耳朵出。“你永远无法叫醒一个装睡的人”, 这个用在合规事务上再恰当不过。合规部不怕不懂法律的人,而是怕半懂不懂,或者觉得自己很懂其实不懂而根本听不进去的人。
更让人郁闷的是,合规人员发现,虽然每个人都知道防患于未然,也明白防控风险的成本不足出事处理成本的十分之一,但每个人仍然心存侥幸。讲一万遍风险不如东家吃一亏,而且吃得亏越大,以后对合规越重视。有时候,合规人员面对公司的重大违规事件,都不知道自己是一种什么样的奇怪心理。
来源:公司首席法务官