議題觀點
企業生存規則,全球合規管理趨勢跟進了嗎?
勤業眾信風險管理諮詢(股)公司 / 林彥良資深執行副總經理、李介文副總經理、莊玉雯專案協理
各國企業的合規管理執行力見顯 |
今年(2021)5月18日韓國石油和煉油公司S-Oil Corporation(以下簡稱S-Oil)公開發表為全球第一家通過於2021年4月13日發佈的新國際標準ISO 37301:2021 Compliance management systems(以下簡稱ISO 37301:2021)認證的公司。S-Oil自2013年實施合規管理制度,設立合規主管(Compliance officer)以全面循序漸進地推動合規管理制度,基於最高管理階層的承諾,以誠信(Integrity)為核心價值作為合規管理與道德管理的首要原則,確保所有員工皆已被告知並遵循公司的政策以及相關法規於日常的營運活動中。同時,S-Oil表示取得ISO 37301:2021認證可支持公司ESG活動。
事實上,早於S-Oil之前,便已有多家企業取得ISO/DIS 37301國際標準草案的符合性查核證書,其中包含:荷蘭工程諮詢公司Royal HaskoningDHV、沙烏地阿拉伯銀行Al Rajhi Bank、韓國食品公司CJ CheilJedang等。除認證企業及受法規強制要求的金融業外,也可見化工業(BASF、李長榮等)、半導體業(台積電、美光等)、醫療業(武田藥品、Baxter、abbvie等)、電源管理廠商伊頓Eaton、建築及工程技術服務業者艾奕康Aecom等已紛紛開始主動運行合規管理制度。
依Deloitte Global合規管理發展的調查報告中,關於合規管理組織設立情形,已有79%受訪企業設置合規管理權責主管(Chief compliance officer, CCO),76%受訪企業成立合規管理委員會,其於企業內部主要擔任監督、管理、指引、推行、諮詢等角色(如圖1文字雲,字體型愈大表示出現頻率愈高),並有61%的受訪者表示每年會執行合規的風險評估,以掌握企業合規管理運行情形,並適時評估、調整與改善合規管理的有效性。
何謂合規管理 |
合規管理(Compliance Management),部分的台灣企業或金融業會以「法令遵循」稱之,但事實上其並不全然僅指法令遵循,更包含了許可證或執照、法院判決、合約義務、產業標準和企業章程等內外規則、標準或義務要求,以防控違規行為,避免產生企業遭受財務或商譽損失,甚至停止執業等風險。
傳統上,許多企業普遍由各部門自行對其業務所需面對的法令遵循、產業標準或合約義務進行管理,舉例:人力資源部門對應勞工權益議題、生產製造或環安衛部門對應環保議題、資訊部門對應資訊安全議題等,部門間各自為政,常見有不一致控制措施、分散的法規與合規變動管理、分散的風險方法論、缺乏自主風險管理等情形發生(如圖2示意圖),內部也缺乏監督及指引各部門之合規風險與控管成效評估,甚至下情難以上達,治理階層及管理階層不易掌握企業整體的合規與風險防控情形,顯少有人能確保公司所有應遵循的法規與風險是否皆已被考量並採取適當的行動,更難以確保公司已掌握法令的更新並將法規要求內化至營運之作業流程控制中,一旦出事,便只能以亡羊補牢收場。
有別於部門間各自管理,全球企業傾向發展的合規管理,主要從公司治理視角出發,由上而下地監督企業整體營運之合規情形,化被動為主動,將艱澀難懂的法律條文轉化為簡單易懂的內部語言,由最高管理階層或其授權之合規管理組織,透過標準化的合規管理政策及程序的實施、維護與持續改進,界定企業營運活動中應遵循合規範圍及其風險辨識、評估、控制、衡量等,甚至運用科技工具取代人工作業,追蹤法規變更、整合與監督分散於企業各單位的第合規遵循架構和程序(如圖3),主動防止及發現企業營運活動中可能發生或已發生的違規事件,並對不合規行為採取適當的矯正與改善措施,推行並建立內部合規文化,確保企業的營運活動合規,以避免因違規而可能遭受法律制裁或監管處罰、重大財務損失或聲譽損失的風險,並對外展現良好治理的形象。
合規管理的重視性為何攀升
由於近年來,各國監管力道持續增加,法令遵循風險持續提高,尤其如美國《反托拉斯法》、歐盟《通用數據保護條例》(GDPR)等行使長臂管轄之法規,擴大法律適用的域外效力,不少台灣企業因對法律的輕忽及不了解慘遭裁罰,違法的代價不僅得付出高額罰金且公司高階主管甚至面臨牢獄之災,而揭發違法行為進行處罰成為打擊競爭對手的手段,從阿里巴巴被控違反中國大陸《反壟斷法》遭罰182億元人民幣、台灣某半導體大廠違反《營業秘密法》被判罰新台幣1億元罰金,以及某光電廠涉違反美國《反托拉斯法》判賠約新台幣 130 億元罰金,高額賠償金險影響整個集團的經營發展等案件可知,合規管理不只是避免財務或聲譽損失,甚至關係企業的生存之道。
而國際間,美國、法國、英國、西班牙、新加坡等多數國家透過法令準則及降低罰金之誘因,鼓勵企業建置內部的合規管理制度,不僅在起訴階段給予免於起訴的保護之可能,在量刑階段亦有減輕之作用。因此,海外企業已紛紛建立「合規計畫」(Compliance program),包含法規與風險之辨識、評估、控制、衡量、監控等標準作業程序,甚至設置合規管理主管或單位並賦予直接向治理單位與管理階層報告之授權,以確保內部控制的執行與減輕管理階層的法律責任。
再者,隨著全球環境、社會及公司治理(ESG)投資風潮盛行,依據麥肯錫(McKinsey)2020年的調查報告顯示,ESG績效表現佳之企業,投資人願意支付20%以上之溢酬(premium);而且,有83%企業高階管理人與投資者認為ESG經營,可為股東創造更高的價值。該報告更指出,符合法規及產業要求為ESG相關活動中最重要的事。因此,合規管理執行的成效進而影響投資人對企業繼續經營的投資信心程度,也為許多企業重視合規落實的原因之一。
因此,企業的永續經營,合規管理為不可或缺的要素之一,合規方能行穩致遠。若是存有僥倖的心態,或是無視於房間裡的大象(源自英文俚語Elephant in the room,問題因太過於龐大或麻煩,大家視若無睹,沒有人願意去擔責處理),忽視或無視可能發生或已發生的風險,切不可取。
企業應該如何做
ISO 37301:2021適用於所有產業的組織,以Plan-Do-Check-Act流程方法於組織中建立、實施、評估、維護和改進有效的合規管理系統。依實務作法,合規管理制度建構時應有之要素簡述如下:
- 首先,治理階層與管理階層的態度決定合規管理推行成敗之關鍵因子,故其應展現領導並承諾建立合規管理,明確指派職責和權限,建立合規管理組織(企業可先由現職人員兼任、或跨單位組成委員會、較佳方式係成立具獨立性且能客觀指出不合規風險之合規專責人員或單位);
- 其次,如《孫子兵法・始計篇 第一》所言:「兵者,國之大事,死生之地,存亡之道,不可不察也。」,企業應先瞭解自身所處營運環境之內外部議題(如:攸關法令法規、社會、文化、科技、經濟情況、商業模式等)與利害關係人(如:主管機關、客戶、供應商、股東、員工等)的需求和期待,以識別合規義務(要求與承諾)、決定合規管理的範圍;
- 展開合規風險辨識、分類、分析、衝量,以規劃因應合規風險與機會的控制措施;
- 制定合規政策與目標,建立、推動、維護合規管理標準作業程序,持續改善合規管理制度;
- 提供人員安排、科技工具導入、合規培訓、培養合規意識、溝通管道、文件管理等資源;
- 建立違規舉報機制,進行違規調查;
- 適時監控、測量和分析評估合規目標及來自內外部的反饋;
- 制定合規管理績效指標,以幫助企業評估其目標的實踐並評估其合規績效;
- 定期執行內部稽核,確保合規管理制度運行的合適性與有效性,並即時對不合規行為進行矯正;
- 定期召開管理審查會議,並向治理階層和管理階層報告合規管理運行情形;
- 最重要但卻容易忽略的事情:為了向利害關係人展現企業對合規的決心與努力,也作為監管機關查核、甚至是訴訟用的證據,應保存所有合規管理執行的的紀錄,必要時,得考慮將合規管理執行成效公開予利害關係人知悉。
(ISO 37301:2021合規管理系統的架構)
另外,供應商的不合規帶來的負面影響也不可忽視,倘若企業配合的廢棄物處理商違法處理有害廢棄物,或是食品供應商使用過期原物料等,皆將會導致企業連帶商譽受損,甚或間接影響營運或營收。因此,企業除了對內部進行合規管理外,也應對供應商進行審查或要求供應商提出對合規管理之證明或認證。
總結
隨著國際化營運發展,企業須面對多個司法管轄與複雜之法規,甚至包含對發照機關、客戶合約、產業標準等之要求與承諾,再加上全球監管力道持續增強,一著不慎,恐損失慘重。國際間,各國政府已將合規管理制度納為裁罰之減輕事由,美國政府甚至對違法企業強制要求建立合規管理並定期實地查核企業的落實情形,合規管理制度已為必然發展的趨勢。
目前台灣雖尚未針對金融業以外之企業強制要求建立合規管理(法令遵循)制度,然於2020年1月1日實施之《審計準則公報第72號》,要求企業之治理單位應監督管理階層確保企業之業務經營符合法令,於財報查核時,管理階層或治理單位應接受查核人員的查詢應遵循之法令架構,以及法令遵循有關政策及程序,提供佐證對法令之遵循的相關證明,以供會計師於出具查核報告時之依據。對此,企業是否對於自身應遵循之法令範圍及合規的落實已具備信心,並能向投資人展現企業合規管理的成效?
建構主動式監管企業內部合規管理制度已為企業重要課題,然而法令動態變動及大量人工處理下之資源與人力挑戰,企業應考慮運用法遵管理流程與科技,提升合規管理作業效率,強化內部控制及合規管理制度,以管理企業合規風險,落實公司治理,增進投資人信心,提升企業永續發展。