本期导读 医药企业的法治企业建设关系到民生福祉,也关系到企业自身的生存发展。国家医疗保障局印发的《医药集中采购平台服务规范(1.0版)》将于2024年7月1日起施行,要求药企作出《医药企业价格和营销行为信用承诺书》中的共计12项承诺并对其员工及委托代理人的行为承担失信违约责任。2015年以来,国资委发布的《关于全面推进法治央企建设的意见》、《中央企业合规管理办法》等一系列文件都在持续倡导构建法务、合规、内控、风险管理等协同管理机制。2023年发布的标准化文件《法务、合规、内控、风险一体化管理原则与实施指南》为集团公司、上市公司和中大型企业建立法务、合规、内控、风险“四位一体”协同管理指明了方向。本文借鉴PDCA循环模式并将其具体应用到医药企业法务管理、合规管理、内部控制、风险管理等数字化法治企业管理体系建设之中,致力于降低企业管理成本,提升企业整体风险防范和法治企业建设效能,助力我国药企治理体系和治理能力现代化,提升企业国际竞争力。 关键词:PDCA循环 医药企业 法治企业建设 数字化 一、什么是PDCA循环模式 本文移植了ISO认证中的核心概念:PDCA循环,该循环又称为戴明环,由统计质量管理之父休哈特(Walter A. Shewhart)提出,后经另一位质量管理专家戴明(William Edwards Deming)推广,后者被誉为现代质量管理之父。 PDCA循环主要运用于质量管理,PDCA分别是四个英语单词构成的一套管理模型,其中“P”是Plan(计划),“D”是Do(执行),“C”是Check(检查),“A”是Act(处理)。事实上,PDCA循环早已从质量管理的计划与持续改进引申到诸如人力资源等其他管理领域。该循环也被《法务、合规、内控、风险一体化管理原则与实施指南》(T/CCPS 000X—2023)所采纳,本文将其具体应用到医药企业法务管理、合规管理、内部控制、风险管理等法治企业管理体系建设之中,致力于提升中大型药企法务、合规、内控、风控整体化建设效能,降低企业管理成本,提升企业整体风险防范能力,促进法治企业建设。 二、法务、合规、内控、风控“四位一体”协调融合的趋势 2015年以来,国资委针对央企发布的《关于全面推进法治央企建设的意见》、《中央企业合规管理办法》等一系列文件都在持续倡导构建法务、合规、内控、风险管理等协同管理机制,加强统筹协调,避免交叉重复,提高企业管理效能。 2023年发布的标准化文件《法务、合规、内控、风险一体化管理原则与实施指南》(T/CCPS 000X—2023)为集团公司、上市公司和中大型企业建立法务、合规、内控、风险“四位一体”协同管理指明了方向,文件指出:“中大型企业在实践中,法务管理、合规管理、内部控制、全面风险管理等各职能经常处于分散管理的状态,对企业风险管控机制整合与价值促进带来了诸多困惑。”该指南旨在为中大型企业提供一个整合管理框架,帮助企业提高风险管控效率、优化管理资源,实现法务、合规、内控、风险“四位一体”管理。 三、《法务、合规、内控、风险一体化管理原则与实施指南》介绍 01 适用对象 适用于具有一定规模,需要提高风险管控效率,集中行使同类职能,加强风险管控赋能的各类集团公司、上市公司、中大型企业等。[1] 02 一体化管理原则 以风险为导向; 遵循业务规律; 效率、合规与风控并进。[2] 03 一体化管理基本模型 管理模型可以是有形的,也可以是无形的。 管理模型体现企业对法务、合规、内控、风险一体化管理的实施指导。 管理模型应包括法务管理、合规管理、内部控制和风险管理的共通内核,并区分其各自侧重点。[3] 图1:法务、合规、内控、风险一体化管理模型图[4] 04 组织机构一体化 治理机构协同化。董事会是法务、合规、内控、风险一体化管理的领导机构,总经理和经营层是执行机构。董事长、党组织负责人、总经理按照各自职责承担一体化管理的第一责任; 管理机构一体化。企业设立法务合规内控风险职责统一的职能部门,或者承担不同职责的部门由同一个企业层面的领导分管,或者建立部门层面的联席会议机制; 岗位职责一体化。企业在同一个部门下设一体化的法务、合规、内控、风险岗位,或者对分处不同部门的法务合规内控风险岗位在职责分工、知识结构、教育背景等方面提出一体化的要求; 企业应在其内部各个层级建立、维护并推广法务、合规、内控、风险一体化管理文化。[5] 05 系统的方法 以风险为导向; 遵循业务规律; 整合的风险管控机制; 汇编的风险管理制度; 管理控制手段的有效嵌入; PDCA 循环管理。[6] 四、法务、合规、内控、风控“四位一体”协调融合对医药企业的价值分析 01 法务、合规、内控、风控的差异性与关联性 在分析法务、合规、内控、风控协调融合的价值之前,需要比较研究法务、合规、内控、风控的差异性与关联性。总的来说,法务、合规、内控、风控既有区别又容易产生交叉重合。 从差异性来看,法务、合规、内控、风控各司其职,各有其管理范畴的侧重点,不可替代。首先,法务管理在企业内部管理中发展较早,主要侧重点在于审核是否有违法律规定,同时在企业内部营造法治文化。其次,合规管理职责在于外部规范和内部规范的整体性和系统性,营造全员合规文化。第三,内控主要是站在反舞弊等视角,落实监管者对于财务造假等问题的监管要求,如:我国财政部、证监会、审计署、银监会、保监会2008年发布的《企业内部控制基本规范》、美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission,COSO)发布的《内部控制整体框架》(Internal Control-Integrated Framework)。第四,风控主要职责在于遵循相关指引,如:国资委的《中央企业全面风险管理指引》等,实现企业防范各类风险的职能。总结来说,法务、合规、内控、风控差异性在于:一是在职能上各有其管理范畴的侧重点,二是其相关归口主管部门不同,三是相关规范性文件的要求不同。 从关联性来看,相关主管部门积极推动法务、合规、内控、风控的协同融合。首先,工作机制方面:“探索建立法律、合规、风险、内控一体化管理平台”[7];“探索构建法律、合规、内控、风险管理协同运作机制,加强统筹协调,提高管理效能”;“统筹推进法治工作与违规经营投资责任追究等监督工作,完善内部协同机制,提高责任追究体系效能”[8]。其次,人员与组织方面:“法律事务机构作为牵头部门,相关部门共同参与、齐抓共管的合规管理工作体系”;“明确法治建设领导机构,加快形成企业主要负责人负总责、总法律顾问牵头推进、法律事务机构具体实施、各部门共同参与的工作机制”;“总法律顾问作为企业高级管理人员,全面领导企业法律管理工作,统一协调处理经营管理中的法律事务,全面参与重大经营决策,领导企业法律事务机构开展相关工作”[9];“落实总法律顾问列席党委(党组)会、董事会参与研究讨论或审议涉及法律合规相关议题,参加总经理办公会等重要决策会议制度,将合法合规性审查和重大风险评估作为重大决策事项必经前置程序”;“持续完善合规管理工作机制,健全企业主要负责人领导、总法律顾问牵头、法务管理机构归口、相关部门协同联动的合规管理体系。”[10];此外,技术领域方面:“运用区块链、大数据、云计算、人工智能等新一代信息技术,推动法务管理从信息化向数字化升级,探索智能化应用场景,有效提高管理效能”[11]。 正是法务、合规、内控、风控的关联性和差异性,进一步推动了PDCA循环模式在四者协同融合过程中的可持续性优化作用。 02 借鉴PDCA循环模式优化管理,降低管理成本,发挥“1+1+1+1>4”效果 由上可见,将法务、合规、内控、风控“四位一体”协同融合既契合国家相关政策的要求,又符合企业发展的内部需要。有鉴于此,如何融合协同的难点在于组织架构、框架体系、信息系统的建设的建设以及文件成果的可操作性。[12]简单来说,法务、合规、内控、风控“四位一体”协同融合的价值主要在两个方面:一是通过借鉴PDCA循环模式在法务、合规、内控、风控协同融合的每个周期运行中不断优化这些内部管理协同从而降低企业管理成本;二是通过PDCA循环模式的运行不仅发挥法务、合规、内控、风控各自功能而且还能改变原本互相之间的掣肘和制约以及信息管理系统不协同带来的风险评估、应对、评价与监督失灵的问题,提升系统化协同融合和相互制约的效能。 03 以案例为视角看医药企业法治企业管理体系存在的问题 笔者以“医药公司”与各刑事案由进行分类检索,通过数据统计发现医药企业涉危害税收征管罪、行贿罪、职务侵占罪的案件数量较多。以下将以社会影响力较大的医药企业案件举例分析医药企业法治管理体系中存在的问题。 某药业学术推广费案,在“两票制”和“药品集中带量采购”机制下,某药企通过与某推广公司共谋,虚构推广活动,通过设立诸多小微企业并以协议的方式代管这些小微企业,这些小微企业到税务机关领取增值税普通发票,为该药企开具增值税普通发票,该药企按照票面金额打款到开票的小微公司账户,该推广公司从小微公司收款中赚取开票金额6.5%的“点子费”后将93.5%的余款转款到药企指定的个人账户,这其中药企为了保障资金安全,将推广公司的U盾交由药企财务人员保管,实际上由药企财务人员具体转账支付到这些个人账户,同时还虚构了这些个人与具体开票的小微公司之间的分包合同,该药企通过虚开发票的方式套取资金进行行贿。 以上案例以及类似医药企业案件中,药企通过套取资金进行行贿、虚增成本税前扣除、串通抬高药价套现资金行贿等,造成成本畸高等现象,涉危害税收征管罪、行贿罪等。其中药企为保障这些资金的安全,一般由其财务人员控制U盾完成转账,该案中暴露出药企在法务、合规、内控、风险管理集体失效的困状,尤其是财务内控和合规管理环节的严重问题值得深思。 《刑法修正案(十二)》规定:对“多次行贿或者向多人行贿的”、“医疗领域行贿,实施违法犯罪活动的”以及“将违法所得用于行贿的”,依法从重处罚。可见,国家对于事关民生的医药行业违法犯罪行为的打击力度和决心之坚定,从另一个角度来说,也是在鼓励并推动医药企业及时发现现有法务、合规、内控、风险管理体系中存在的现有问题并进一步思考如何进行优化与完善。 五、PDCA循环在医药企业数字化法治企业管理体系建设中的具体应用 01 什么是数字化法治企业管理体系 《关于全面推进法治央企建设的意见》《关于进一步深化法治央企建设的意见》提出了法治央企建设的目标,在提升数字化管理能力方面,运用区块链、大数据、云计算、人工智能等新一代信息技术,深化合同管理、案件管理、合规管理等重点领域信息化、数字化建设,实现法律合规风险在线识别、分析、评估、防控,推动法治企业建设从信息化向数字化升级。中大型药企尤其是集团公司、上市公司可借鉴法治央企目标建设法治企业,全流程、全覆盖,把依法治企要求全面融入企业决策运营各个环节,贯穿各业务领域、各管理层级、各工作岗位。 02 PDCA循环的具体应用 借鉴PDCA循环模式并将其应用于药企数字化法治企业管理体系建设之中,需要坚持的是协同性和持续化。 (1)“P”是Plan(计划) 计划阶段:药企需先制定数字化法治企业管理体系建设年度目标。具体就是对法务、合规、内控、风控协同管理达到的效果进行定位、量化、细化,使其可执行化、可评估化。这一阶段作为PDCA循环的发端,其重要性毋庸置疑。内容方面除了因地制宜结合企业规模和现行内部法治管理实际情况,还应关注《风险管理法律风险管理指南》(GB/T 27914-2023)、《合规管理体系要求及使用指南》(GB/T 35770-2022)、《风险管理指南》 (GB/T 24353-2022)、《公司治理风险管理指南》(GB/T 26317-2010) 、《整合管理体系的框架——通用管理体系要求的规范》(BSI PAS 99:2012)等标准化指南以及药企相关行业监管规范等,若属于上市企业或央企的还应符合上市企业和央企的相关规范性要求。 那么如何检验目标设定是否合理、有效?这就需要提前做好充分调研和基础研究。计划制定者需要对法务、合规、内控、风控各负责部门进行充分交流沟通并进行协同磋商,在了解现状和问题以及各部门、数字化技术团队的意见和建议基础上打磨出计划初稿。通过协调会及无记名线上意见搜集系统充分听取数字化技术团队、管理层、员工代表及相关委托代理人、甚至监管者的意见和建议之后最终确定年度计划并予以公布。 (2)“D”是Do(执行) 执行阶段:在制定计划之后,通过数字化法治企业管理系统内实现法务、合规、内控、风控各司其职,在已设定交叉管理事项和领域执行协同管理程序,系统记录和跟踪工作进展。在执行阶段需要注意及时获悉数字化技术团队和相关部门的事中意见反馈,及时调整制约因素和技术层面的问题,确保计划目标的实现。 (3)“C”是Check(检查) 检查阶段:通过数字化法治企业管理体系全流程、全覆盖、可视化检查,确保法务、合规、内控、风控各项工作按相关规章制度和内部规制要求顺利开展。在具体事项管理上,及时发现相互掣肘和缺乏监督事项,检查系统预设的风险级别预警是否存在偏差。在优化管理层面,通过及时发现不必要的、有漏洞的流程管理,在降低企业管理成本、提升法治管理系统效能的目标指引下,减少不必要的成本和流程。 (4)“A”是Act(处理) 改进处理阶段:PDCA循环每一循环中的最后一个流程,也是关键点。药企通过前三个阶段的运行中发现的问题,采取纠正和预防措施,记录并分析运行中法务、合规、内控、风险管理失效及其原因。通过改进数字化技术、管理流程完善再造,不断完善法务、合规、内控、风控协同流程,提升风险预警和控制效能,通过PDCA循环实现药企数字化法治企业管理体系的不断自我革新。 结语 我国药企建设法治企业管理体系,将法务、合规、内控、风控“四位一体”协同融合发展作为目标,既契合国家相关政策的要求,又符合企业发展的内部需要。此外,在我国刑事合规政策下,医药企业法治企业管理体系建设也能为企业出罪提供前提和条件。国家医疗保障局印发的《医药集中采购平台服务规范(1.0版)》将于2024年7月1日起施行,要求药企作出《医药企业价格和营销行为信用承诺书》中的共计12项承诺,其中包含对员工(含雇佣关系,以及劳务派遣、购买服务、委托代理等关系)、委托代理人(具有委托代理关系的法人和自然人)进行严格合规、内控等管理,同时要对员工和委托代理人的行为承担失信违约责任,接受集中采购机构作出的信用评级结果以及结合信用等级实施的处置措施。我国药企可通过转变管理思想,借鉴PDCA循环通过不断地计划、执行、检查和改进的系统方法论,从信息化转向数字化,降低成本、提升效能,理顺内部管理,完善风险评估、应对、评价和监督机制,实现法务、合规、内控、风险“四位一体”协同管理,同时在法治企业建设中接轨国际话语体系,成为具有国际竞争力的企业。 注释 [1] 《法务、合规、内控、风险一体化管理原则与实施指南》(T/CCPS 000X—2023):1范围。 [2] 《法务、合规、内控、风险一体化管理原则与实施指南》(T/CCPS 000X—2023):6.2.2 企业应在一体化管理目标的引导下,明确法务、合规、内控、风险一体化管理原则。 [3] 《法务、合规、内控、风险一体化管理原则与实施指南》(T/CCPS 000X—2023):8.3.2 管理模型。 [4] 《法务、合规、内控、风险一体化管理原则与实施指南》(T/CCPS 000X—2023):8.3.2 管理模型。 [5] 《法务、合规、内控、风险一体化管理原则与实施指南》(T/CCPS 000X—2023):5.1.2组织机构一体化。 [6] 《法务、合规、内控、风险一体化管理原则与实施指南》(T/CCPS 000X—2023):2 体系目的。 [7] 参见2015年12月8日国资委发布的《关于全面推进法治央企建设的意见》。 [8] 参见2021年10月17日国资委发布的《关于进一步深化法治央企建设的意见》。 [9] 参见2015年12月8日国资委发布的《关于全面推进法治央企建设的意见》。 [10] 参见2021年10月17日国资委发布的《关于进一步深化法治央企建设的意见》。 [11] 参见2021年10月17日国资委发布的《关于进一步深化法治央企建设的意见》。 [12] 梁新波、张艳宇、高丹、孙沿东.合规、法务、内控、风险四位一体协同运作研究[J].上海国资,2023(4).