近几年,合规管理体系建设是中央企业和地方国企的重要法治工作之一。在2022年和2023年合规管理强化建设和检查评价的过程中,“三道防线”的建设落实成为了合规管理的重点关注问题。实践中,合规风险的确认、分析、评价、防范在三道防线中责任的具体划分和责任界面是长期困扰企业的问题。

第一道防线的业务人员“管业务就要管合规”,但是“管什么”“怎么管”在具体操作中仍存在诸多疑惑。为“落实”合规风险的识别与管理,业务会议出现“邀请”法务人员参会,征求法务相关意见后方提报相应业务方案的情况,以此方式实现第一道防线的风险把控。法务人员工作量陡增,同时也出现了“第一道防线与第二道防线融合”的问题,即第一道防线通过第二道防线的协助进行风险防控,将风险识别、提示等责任部门转至第二道防线,实质上第二道防线一定程度上承担了第一道防线的职能。

为此,笔者在服务中央企业和地方国企合规管理体系建设中就“三道防线”的实施和责任界面划分提出了相应的解决方案,以期为企业提供些许借鉴或引发相关思考。

一、问题的提出

自2018年中央企业五家合规试点单位选定后,中央企业随即全面开展合规管理强化工作,在组织结构、制度设计、运营管理、保障体系等多方位多角度落实合规管理的建设安排。其中,建立合规管理的“三道防线”是合规管理过程中的重要要求。“三道防线”通过业务部门作为第一道防线、合规牵头部门/法律部门作为第二道防线、审计监督部门作为第三道防线,通过责任分层的方式避免“业务在前跑,法务后面扫”的问题,将合规风险的识别与管控有效前移,突出事前防范的理念,要求在开展业务前和过程中就要对可能发生的风险进行防控。

实践中,“第一道防线与第二道防线的融合”已成为企业关注和亟待解决的问题。业务人员对合规风险的定义与范围了解不深、对风险后果影响程度不明确、对合规风险的管控措施和自身的合规职责不熟悉是导致第一道防线失效的主要原因。此外,基于企业对业务开展风险管理的要求,业务部门常通过要求法律合规部门共同对业务开展前期的风险进行论证或通过请法律合规部门会签方案等方式落实合规风险管理要求。

在辅导企业进行合规管理体系建设时,很多企业的法律人员对上述“三道防线”的具体开展和管理界面的问题提出了诸多疑问和困惑:第一,法律合规部门对业务开展前期的风险进行论证或通过请法律合规部门会签方案等方式落实合规风险管理,严重增加了法律合规部门工作量,如何解决?第二,业务部门开会法律部门派人旁听,业务部门的决策法律部门的参会人员无处置喙,但却需要法律合规部门同意相关意见,导致法律合规部门无法独立发表意见,如何解决?第三,通过邀请会签的方式请法律部提示风险,事实上,法律合规部门并不像业务部门充分了解业务情况,无法判断业务开展细节中的风险,虽然形式上满足了多道防线的监管要求,但实质并未达到三道防线的管理要求,如何解决?第四,前期合规风险论证过程中,法律合规部门参与了,后期发生任何风险都需要追究法律合规部门的责任,如何解决?

二、问题的分析与解决

“三道防线”的风险防控理念建立基础在于业务人员虽然并非法律专业或合规专业出身,但基于其多年的实践工作,业务人员对业务开展过程中可能发生的业务风险、监管风险、合作伙伴信用等最为了解。此外,在合规风险发生后,业务人员是公司最先得知相关信息的人员。因此,业务人员在掌握行业信息、风险预警、风险应急处理等事项上具有优势。这也是第一道防线为业务部门和业务人员的主要基础。建立“三道防线”有明确要求的监管规定,具体如下:

以上监管规定可见,“三道防线”的风险管控并非合规管理过程中提出的新管理工具,在2015年对于银行业的风险监控中早已有实践。对于强监管的领域,“三道防线”对于风险发生后责任界面的划分具有较为明确的规定。例如,银行业强调第一道防线负责相关业务制度的制定、执行、日常检查和持续改进,及时收集基层机构业务诉求和风险防范建议,动态调整制度、流程、风险控制措施,提出修订重要凭证和合同文本等建议;保险业强调第一道防线进行日常的合规管控,定期进行合规自查,并向合规管理部门或者合规岗位提供合规风险信息或者风险点,支持并配合合规管理部门或者合规岗位的合规风险监测和评估。“第一道防线”是距离风险最近的业务部门,对于风险的识别与防控具有优势。

实践中,尽管第一道防线具有对业务风险管理的优势,但第一道防线的失效和与第二道防线的融合问题仍然是多数企业必须面对的现状。因此,分析问题发生的根本性原因是进一步提出有效应对策略的重中之重。基于实践调研情况,第一道防线的失效或与第二道防线融合主要存在以下原因:

第一,业务部门对第一道防线应起到的作用不清晰,认为通知合规管理牵头部门或告知其参加业务讨论会或相关会议即完成第一道防线的相关工作;第二,业务部门进行风险评估、风险识别的颗粒度较大,在评估具体项目时笼统概括地认为不存在相应风险;第三,业务人员不熟悉合规管理的相应知识,不了解应如何开展第一道风险防控工作;第四,存在业务部门通过申请第二道防线人员参与会议等方式怠于履行第一道防线义务。

针对上述问题,笔者认为需系统性的设计“三道防线”的管理界面并达到相对清晰化的效果。第一道防线的失效或是与第二道防线的融合问题核心在于最终的责任追究机制的不明确,第一道防线通过联合论证等方式将部分或全部风险管理责任转移至第二道防线。在业务开展之初,业务部门协同法律部门共同开展业务立项事项,看似合理,但法律从业人员由于缺乏业务经验、业务人员依赖法律人员的风险识别能力,往往反而导致业务人员依赖法律人员,法律人员无法识别业务风险,业务与法务相互依赖、第一道防线与第二道防线融合,而无法达到防控风险的效果。因此,明确责任界面、职责范围及责任后果,是避免第一道防线失效的关键。

实践中,笔者协助企业研发了风险审批表(详见附件)。审批表与合规责任应进行匹配和结合,审批表首先应由业务部门填写,写明具体业务开展过程中有哪些合规风险,并给出相应的管控建议。法律合规部门对于业务部门披露的风险进行评价和补充,对笼统概括无法准确评价和评估的风险可要求业务部门进一步补充说明。如业务开展过程或业务开展后,发生了相应合规风险未在风险审批表中披露的,则按公司风险追责制度由业务部门承担相应责任。由此,可以避免业务部门对于风险重视程度不够或披露不全等问题,同时可以初步解决第一道防线与第二道防线融合的问题。除上述明确第一道防线责任界面、职责范围及责任后果的部署外,第一道防线应同时具备以下能力并关注以下事项:

第一,第一道防线相关人员应充分梳理业务开展过程中的合规义务及风险,并对相应合规风险进行风险等级划分。在开展相关业务的过程中,具有识别、评价可能发生相应合规风险的能力。第二,第一道防线应当主动设计常发生的风险的防控措施,增强风险上报机制运行。第三,第一道防线应当在开展业务之前关注业务后管理可能出现的风险和纠纷。第四,第一道防线应当关注与其他防线的联动,对于风险分析和评价应及时沟通。

三、小结

合规管理体系中“三道防线”的责任界面划分是长期困扰企业的问题,笔者认为,将风险识别、评估作为业务开展可行性论证和审批的必要条件,同时将风险识别、防控的全面性、深入性分析与合规追责制度相结合,对于有效区分各防线责任界面具有重要作用。

附件:风险审批单

特别声明:

大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。