京投轨道交通科技控股有限公司(以下简称“京投科技公司”)是北京市基础设施投资有限公司控股的港股上市公司,专注于轨道交通智慧乘客信息服务、数据与集成、智慧基础设施等领域。2020年以来,京投科技公司在京投公司的统筹和指导下推进合规体系建设,目前完成了合规管理组织机构建设和制度体系框架搭建,开始探索“法务、合规、内控、风控”各管理体系内部各管理工具的融合,并确立了以风险防控为核心,将各体系中的重要元素进行分拆比对,结合公司实际情况和发展阶段,从易到难逐个落地的基本思路。

         一、打造兼容高效、协同监管的组织机构

        组织机构设置是管理体系的核心支撑,京投科技公司按“董事会—专门委员会—经营层—主要负责人—专门牵头人员/部门—主责部门”的组织架构进行合规管理体系设计。该架构在国有企业相关管控要求基础上,对“法务、合规、内控、风控”四体系具有基本兼容性。

        首先,通过制度明确各层级机构的权责,落实董事会统筹和一把手第一责任制;其次,依托现有路径进行职责融合,如根据港交所规则,京投科技已设审核委员会负责检讨和监察公司的财务汇报程序及内部控制有效性,其人员组成及职责性质与合规专门委员会相似,故不新设专门委员会;再次,设总法律顾问兼首席合规官,将法律部门与审计部门合并,由总法律顾问主管并牵头开展合规建设,避免职能分散在不同部门造成沟通协同困难。最后,厘清合规组织机构中各体系有差异的点,避免“眉毛胡子一把抓”而权责不清。比如合规、内控、风控的主责部门是各业务部门,法律部门是牵头、指导、监督角色。而法务主责部门是法律部门,各业务部门是配合角色。这类区别需要在制度等书面文件中进行说明。

         二、搭建融合自洽、刚柔并济的制度体系

        制度融合可以从基本制度和专门制度两个层面进行讨论。

        基本制度决定合规运作机制的整体框架。分析“法务、合规、内控、风控”的性质和内容可以发现,各体系有自身理论逻辑和差异化的内容板块,统一在一个框架性制度下内部逻辑难以自洽,但内控、风控二者的基本理论和方法论具有同源性,故以法务、合规、内控风控三项分立的基本制度构建大合规体系的制度框架,并通过制度中“职责权限”章节将其相互连接。

        专门制度集中在法务和合规领域,因其主要为具体事项和机制的指导性规定,两体系的制度之间不存在融合的必要性,制度融合层面主要需解决合规专门制度在原有公司制度体系中的定位,避免制度冲突或者主责部门权责不清。京投科技公司在这方面采取了两种处理方式:一是对合规制度灵活分级与原制度形成衔接。如合同管理本身存在二级指导性制度,则在合规专项制度设计中,按更细化的三级实操指引性的制度起草,在落地合规控制点的同时与原有二级制度形成对接补充。二是改造原有制度,融入合规体系。如将原有雇员举报制度根据合规管理体系的具体要求,修改为《举报管理办法》,扩宽举报人范围,明确禁止报复等,完成合规体系的举报监督机制建设。

         三、建立有机衔接、相互补位的审核机制

        对于公司经营业务的日常审核主要集中在法律审核与合规审核两个方面。法务审核上,历来有重大决策、合同、制度的法律审核需达到100%的要求,审核责任落在法律部门。合规审核上,除前述几个方面外,根据不同公司的行业和业务类型以及重大决策覆盖范围的差异,会有相应扩大,一般设为二级审核制,即业务部门初审,合规审核部门复审。

        业务部门的审核与合规部门的审核是衔接关系,具体机制是对一些重要事项制定固定审核表单,表单中明确该事项流程涉及的各部门的审核职责,并针对事项性质提示审核点,由业务部门和合规审核部门进行联审,充分发挥业务部门作为风险防范第一道防线的作用。

        法律合规部门内部关于法律审核与合规审核的融合,主要聚焦于是否需要分设合规岗与法务岗,以及合规岗和法务岗之间具体如何开展审核工作。合规岗必要性方面,单独设立合规岗在合规体系的完整性、人员专业素质的差异性、解决法务BP角色以业务支持为导向与合规审核以合规管控为导向的矛盾等方面均具有意义,具有一定规模的公司建议单独设立。京投科技公司在合规建设启动之初即设立了专职合规岗,针对性配备专业人才,对后续合规体系建设和运转起到了较好促进作用。合规岗和法务岗在审核工作的具体分工方面,京投科技的做法是按事项性质进行区分:对合同审核类事项,触发频率高、审核内容主要是权利义务专业判断的事项,由法务岗独立进行,同步关注合规问题;对项目决策、对外广告、公司制度这类需要从商业环境、监管要求、制度体系合理性等不同视角评估的事项,由法务岗与合规岗分别审核。

         四、构建统筹兼顾、动态量化的评价机制

        评价检查机制方面,各体系对应有合规评价、内控自评价、法务检查和风险评估。上述四种形式的共性为以风险导向为原则,但风险评估的对象具有不确定性,其目的和方法较其他形式差异较大,宜单独进行。另三种评价检查的内容如具有相似或交叉部分,可以合并。一是评价需调取的材料可共用;二是内控评价运用的资料审阅、访谈调研、穿行测试等成熟工作方法可通用;三是评价成果方面可合并形成《内控及合规评价报告》,内控部分保持对内控有效性的定性评价,满足港交所对上市公司的要求;合规部分对合规管理的各方面,根据重要性赋值打分,提出持续改善路径。评价中发现的各领域缺陷和问题统一列示,同步监督整改。

         五、强化高效互通、协同联动的反馈机制

        法务、内控、合规三合一评价系针对流程和行为的全方位检视,易发现公司经营中的问题,该部分信息从风险管理中的视角是部分不确定性的确定化,两者进行信息互动可实现“虚实结合”,提升风险评估的准确性和应对方案的针对性。公司一方面建立了合规内控评价与风险专题会联动的机制。如根据舆情、案件等各渠道风险信息,开展有针对性的专项评价。视评价结果,组织相关单位召开专题会,研讨解决问题和管控提升的方案,形成风险发现-评估-处置的闭环。另一方面,针对风险事件进行制度的合规调整。比如针对重大案件进行内控分析,在投资制度中增加了对重要交易相对人的动态监控机制;又如针对未授权软件外部维权风险,修改知识产权制度,建立风险隔离机制,强调了知识产权保护承诺和个人行为责任划分。

         六、下一步体系融合重点工作

        经过合规体系建设的实践探索,京投科技公司对法务、内控、风控、合规几个管理体系的认识有所加深,并且在审核机制、评价机制的融合上做了一些尝试。从融合机制运转有效性角度看,法务、内控、风控、合规体系需要“四个统一”,即统一的管理组织构架、统一的牵头人员和部门、统一的相互衔接的制度体系、统一的运转机制载体。京投科技公司下一步重点工作即进行统一的运转机制载体建设,这部分涉及各体系诸多细节的重组、改造、合并,是体系融合最为困难的部分,目前基本思路为重构内控手册,把风控与合规管理作为独立流程纳入手册,赋予其新的目标和内容,建成以风险管理为导向,效能最优为目标的管理体系,为公司稳健发展提供支撑。