| 作者:{admin 整理} 邓先雄 北京德恒(深圳)律师事务所 帮助企业打造一套有效的合规管理体系,是律师参与企业合规管理的业务活动之一。 提到合规管理体系,不得不先提及合规风险,合规风险虽然与法律风险有较大的相似性,但不同于法律风险,且比法律风险要更为广泛。现今企业面临的合规风险越来越多样化,有来自于企业所在国的,也有来自于产品或服务目标地所在国的,美国政府就屡次举起合规之棒对中国公司进行处罚,例如著名的中兴公司、华为公司合规事件,这样的合规事件近年来频频发生,很多企业因各种“不合规”而遭受了巨大的损失。 同时,国家正在大力推行合规管理,有些甚至是强行的,如中央企业和境外经营企业,国家出台了相应的合规管理指引,有些省、市国有资产监督委员会比如青岛市也出台了相应的合规管理办法,要求相关企业也要建立合规管理体系。可以说,合规管理正式登上了中国企业的舞台,逐渐成为企业经营管理活动的主要管理任务和目标之一。 一、合规、合规风险和合规管理 1、合规 根据《合规管理体系 指南》(GB/T35770-2017)第2.17条对合规的定义,合规是指履行了企业的全部合规义务。合规义务(第2.16条),是指第2.14条的合规要求或第2.15条的合规承诺。所以,企业合规,是指企业履行了包括合规要求和合规承诺在内的全部合规义务,不履行某项合规义务则构成不合规(第2.18条),从而产生合规风险(第2.12条)。 根据上述定义,合规即履行合规义务,那么企业的合规义务都有哪些呢?一般来说,企业合规,是指企业应当履行的合规义务,除严格遵守适用于其经营管理活动的法律、行政法规等法律层面的规定以外,还应当遵守其自愿适用的商业道德规范、行业准则、公司章程、内部规章制度、员工手册以及职业道德和行为准则等行业或企业内部适用的制度、承诺或自愿遵守的义务。 可见,合规与合法是交叉关系,两者的范围不一样,合规的范围要比合法更为宽泛,合法是合规的必然要求。合规的范围,对企业识别其合规义务,识别、分析和评估合规风险具有重要的意义。 2、合规风险 合规风险,是指因企业或其员工在经营管理活动中的不合规行为,可能引发的法律责任、受到的相关处罚,造成公司财产或声誉受到损失的风险或其它不利影响。 当今企业所面临的法律风险越来越繁杂,具体表现在商业贿赂、不正当竞争、洗钱、个人数据信息保护、知识产权保护和税务合规等专项合规领域。在这些领域内,不少企业正面临着被行政处罚乃至刑事制裁的法律风险,对这些领域的合规服务需求越来越强烈。 对相关法律风险进行识别,通过分析、评估转化为合规风险,实施专门的合规管理,以减少企业可能遭受的合规风险以及财产、声誉损失。一般来说,企业通过建立有效的合规管理体系,可以有效地防范合规风险。通过对合规风险的有效管理,虽然不能杜绝不合规行为的发生,但是能够尽可能地降低不合规行为发生的风险。  3、合规管理 合规管理,根据《中央企业合规管理指引(试行)》的规定,是指以有效防范合规风险为目的,以企业和员工的经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。 合规管理的目标,是通过构建合规管理体系,提高全体员工的合规意识,建立有效规避合规风险的长效机制,保障企业合规经营和持续健康发展。 企业通过对其所面临的合规风险进行识别、分析和评价,建立并改进合规管理流程,从而达到对潜在的风险进行有效的预防和管控,以及对可能或已经发生的风险采取有效的应对措施,是企业进行合规管理的核心内容。 二、合规管理体系及其组成 根据《合规管理体系 指南》第3.4条的规定,合规管理体系是基于良好的治理原则而建立的,能够反映出企业的价值观、战略目标和合规风险,它不仅是一个静态的制度,也是一个动态的管理过程,具体包括体系的建立、实施、评价、维护和持续改进。 因此,企业的合规管理体系,是一个完整的管理系统,而非一个单独的或者单纯的制度性文件,是一个包括以合规风险防范为核心的合规管理制度以及配套的运行、监控机制在内的管理体系,在内容上包括作为合规管理体系核心的合规章程,以及专项合规制度和合规保障机制等制度性文件。 其中,合规章程是企业合规管理体系的重中之重,是合规管理的基础,为合规管理体系的确立提供指导和依据。可以说,合规章程是合规管理体系的“宪法”,其他配套制度是体系的“部门法”。从内容上看,合规章程涵盖了企业合规管理的范围、合规组织、适当性原则、运行要求、运行支持和保障、监督和执行等各个具体环节。 律师帮助企业打造合规管理体系,可以从以下四个方面进行: (1)帮助企业识别合规义务,在确定企业现行合规风险的基础上,结合企业的实际情况量身定制企业的合规章程; (2)根据企业的人力和财力资源情况,设计一个合理且有效的合规管理组织; (3)根据企业的实际需求、内外环境和业务部门的操作流程等具体情形,协助企业制定具体的专项合规制度; (4)制定有效且合理的预防、监控和风险应对等合规保障机制。  三、合规管理体系应满足良好的治理原则 根据《合规管理体系 指南》第3.4条的规定,企业依据合规管理体系进行良好治理,仅仅有一套完整的合规管理体系是不够的,要达到良好治理的标准,需要做到: (1)保持合规团队的独立性; (2)合规团队能够直接联系治理机构; (3)赋予合规团队适当的权限和提供足够的资源支持。 因此,要达到良好的治理标准,一个合规管理体系只有在得到企业足够支持的情况下,才有可能有效运行并发挥其应有的作用,所以打造一个有效的合规管理体系,企业应尽量做到: (1)保持合规管理团队(组织)的独立性,能够独立完成合规管理任务,不能受到利益冲突影响; (2)有效的沟通机制,合规管理团队能够有效地和企业的领导层、管理层进行沟通和提交报告,既能够上令下达,又能够下情上达; (3)除了人员和权限支持外,企业还应当根据实际情况提供足够的财力和物力支持。 为了让合规管理体系发挥预期的作用,符合良好的治理原则,律师在帮助企业打造合规管理体系时,应特别留意《合规管理体系 指南》中有关合规组织、合规运行、合规文化、合规监控和合规评审等相关规定的要求,在合规管理体系中重点关注岗位和职责设置、各种运行机制、监控及应对程序的设计和建立。 此外,《合规管理体系 指南》还多次提到“适当性”这个词语,指出合规管理体系应当符合企业的自身情况和适合企业的发展要求,应当便于融入到企业的其他经营管理活动中去,在制定相关制度和实施程序时应当结合企业的实际情况,满足企业的经营管理活动要求,避免华而不实和脱离企业实际。这实际上也是有效的合规管理活动的内在要求,一个脱离实际的合规管理体系,必然会因不能执行而停留在纸面上。 四、打造合规管理体系应当注重适当性和有效性 律师帮助企业打造合规管理体系,是指律师接受企业的委托,为企业量身定制一套适合企业发展的有效的合规管理体系。“有效的体系”包含了两个要求:一是适当性要求,即符合企业的实际情况和适合企业发展;二是有效性要求,即能发挥预期的作用。 1、了解企业的具体需求,量身定制打造合规体系 市场千变万化,企业的规模、经营范围、所属行业、业务区域等各个方面也有很大的不同,不同的企业所面临的合规风险也不一样,其对合规的具体需求也不同。了解企业的具体需求,为企业量身打造合规体系,是律师帮助企业打造合规体系的基本要求。 例如,对于银行等金融机构,往往会因为各种原因被卷入洗钱风波,因此其所面临的首要合规风险为“反洗钱合规风险”,律师在为这类机构打造合规管理体系时,应当根据银行等金融机构的需求,为其打造一套行之有效的反洗钱合规管理体系,而不是其他的“反不正当竞争”或者“知识产权保护”体系等。 又如,经营互联网业务的公司,对客户的数据等信息或者隐私保护提出了各种具体的要求,其可能面临日趋严重的客户数据信息泄露的合规风险,针对这类企业的需求,律师可以为其打造一套有关保护数据信息隐私和强化网络安全管理的合规管理体系。 再如,从事进出口业务的外贸企业,可能面临出口管制、进口限制等贸易管制的合规风险,还可能面临诸如知识产权保护、产品质量安全等法律风险,律师在帮助这些企业打造合规管理体系时,应优先考虑这些合规风险,尤其是本国和相关国家的进出口管制规定,为外贸企业打造合适的合规管理体系。 2、适合企业的合规体系才是好体系 除了了解企业的具体需求外,还应该考察企业所处的内外部环境,根据《合规管理体系 指南》第3.1条的规定,企业应当认真研究企业所处的内部和外部环境,做好合规调查研究,去发现和找出企业存在的合规风险。在确定企业的合规义务时,企业应结合自身的实际情况,除考察监管规定、社会和文化环境、经济形势等外部要素外,同时还要考察企业内部的规章制度、商业行为准则、违纪违规处理程序等内部机制,以及企业拥有的资源和具备的能力等内部要素。 以上是对合规管理体系的适当性要求。那么,什么样的体系适合企业呢?是大而全的大型综合合规管理体系,还是针对企业需求的专项合规管理体系呢?笔者认为,合规与合法不同,合法是强制性的、必须遵守的,合规是选择性的,企业可以选择风险较大的合规风险进行管理,对于那些几乎不存在的合规风险或者风险度较低的合规风险,就没有必要专门进行管理,将其纳入法务部门或者日常的行政管理范围即可。 律师在帮助企业打造合规管理体系时,应避免一开始就瞄准大而全的综合管理体系,最好从专项合规管理制度开始,根据企业的需要,逐步打造一个个的专项合规制度,组成企业的合规管理体系。总而言之,一个合格的合规管理体系,一是要满足企业需求,那种“全面综合型的合规设想”是空洞的,既无法执行,也不能满足企业的需求;二是要有专门性和针对性,根据企业的性质、业务属性和所面临的具体风险点,打造一个以企业风险为防控目标的合规管理制度。 3、要注重合规体系的有效性 再好的合规体系,如果不能有效执行,那也只是纸面上的体系。一个优秀的合规管理体系,一定是一个能够有效执行的合规体系,而不是停留在制度性文件制定上。 每个企业基于其性质、业务、组织结构和经营方式的差异,会面临不同的合规风险,律师在帮助企业打造合规管理体系时,首先应对企业的合规风险进行识别和评估,一般是根据企业近期或者过去曾经遭受的行政调查、行政处罚的情况,识别企业的生产、销售、财务、人事等重点风险环节是否存在违法违规的情形和刑事法律风险,按照从重到轻的等级顺序评估合规风险的类别和级别,列出合规风险清单,针对性地打造专项合规管理制度。 在针对性的合规制度确定之后,律师应当以合规制度的有效性为根本,为企业设计相应的合规管理配套制度,搭起企业合规管理体系的具体架构。律师应当意识到,合规管理的目的在于预防合规风险、监控违规行为和应对违规事件,合规管理体系应当在这三个方面发挥积极有效的作用,一套纸面上的合规管理体系是毫无意义的。 因此,合规管理体系的有效性应当满足:一是功能性要求,即在合规风险识别、预防和监控三个方面能发挥有效的作用;二是效用性要求,即在违规事件发生后,能起到“减免”企业法律责任的效果。不论企业的合规管理多么出色,也只能有效地减少企业的合规风险,而不能完全杜绝。 随着国际上合规激励机制的确立,合规抗辩逐渐为法院和监管机关所确认,在企业面临监管和刑事法律风险时因企业的有效合规管理而减免其法律责任。近年来,在我国也有一些合规管理出色的企业,在面临刑事或者行政调查时,受到法院或者行政机关的肯定,认定相关违法行为属于个人行为,而非企业行为,从而不承担相关法律责任。最著名的案例就是有“合规无罪抗辩第一案”之称的雀巢公司员工侵犯公民个人信息案,因雀巢公司的有效合规管理得到法院确认,两级法院均认定为个人犯罪,而不是单位犯罪,雀巢公司并没有因此受到刑事处罚。 要达到“效用性”要求,适用合规管理抗辩,律师应当在企业的合规管理体系中设计诸如合规培训、合规章程、合规运行、合规审查、合规报告、监督与执行、纠正不合规和持续改进等制度或机制,并记录这些合规管理活动,将其作为合规的有效性证据保存下来,以备将来在受到调查时作为证明企业合规体系有效运转的证据,达到免责或减轻处罚的效果。 五、打造合规管理体系的具体步骤 满足企业的具体需求,具备适当性能够被执行,以及在运行过程中能发挥预期的作用,是打造合规管理体系的三大原则。律师应当根据这三个原则来具体打造企业的合规管理体系:一是帮助企业制定合规章程,并在章程中协助企业设计合理的合规管理组织;二是帮助企业识别合规风险,协助其制定专项合规制度;三是帮助企业制定相应的配套制度。 1、帮助制定合规章程和确定合规团队 前面讲过,合规章程是企业合规管理体系的核心。打造企业的合规管理体系,应当先从合规章程开始。合规章程是企业经营管理制度中具有最高法律效力的制度,相当于公司章程的地位,其内容包括企业合规的基本理念和原则、合规目标、合规组织及其职责,以及有关合规保障、运行、培训、监控和评审等具体实施安排的指导原则。 合规章程,根据企业的实际情况,既可以单独制定,也可以在专项合规制度中设专章确立。目前,很多企业以《某某企业合规管理办法》的形式制定了合规章程,还有的称为《某某公司合规准则》,也出现了《企业合规管理制度模板》式的合规章程,形式多种多样,并没有统一名称,但其内容和作用都差不多,担负着章程的角色。 根据《合规管理体系 指南》第4.3条的规定,合规章程中应当对企业合规组织的角色、职责进行设定和规定,合规团队的确立应当与企业的规模、业务流程和管理要求等相适应,且能够保持独立性。律师在帮助企业制定合规章程时,应和企业充分沟通,协助企业设计一个人数合适的合规组织组成合规管理团队,其岗位设置及其权责应做到清晰和层次分明。 一般来说,一个自上而下的合规团队,普遍的模式包括合规委员会——首席合规官——合规部和合规官——业务和其他管理部门及其员工几个层次。当然,合规管理团队的设计应当符合企业的规模和自身情况,以及满足合规管理的需要,并不能一概而论。 根据《合规管理体系 指南》第4.3.4条的规定,在分配合规管理职责时,应考虑以下内容以确保与合规团队无利益冲突,且已表明: (1)诚信和信守合规; (2)有效的沟通和影响技能; (3)推动其建议和指导被接受的能力和坚定的立场; (4)相关能力。 这里,对合规管理团队提出了两个要求:一是无利益冲突原则;二是能力要求。律师在对合规管理团队的岗位和职责进行设计时,应当根据这两个原则合理进行设计。 2、帮助企业识别合规风险,协助其制定专项合规制度[1] 除了合规章程以外,还需要制定相应的专项合规制度,因为合规章程是原则性规定,是其他专项合规制度的指导原则,不可能把某项或者全部的合规风险及其防范都规定在合规章程里,既无必要也不合适,故专项合规制度应运而生,帮助企业打造专项合规制度,是对企业合规章程的有力补充,也便于合规管理体系的顺利实施。 律师帮助企业打造专项合规制度,应当注意,专项合规制度适用于企业的特定领域和具体的合规风险,对这一领域的合规风险的识别以及与这一领域有关的管理规范和行为准则,需要覆盖企业经营管理活动的每一个具体环节,非常具体和精细。 例如,要打造一个专门的反商业贿赂合规制度,就需要先研究刑法等有关贿赂行为和贿赂犯罪的具体规定,继而查询和研究相应的地方性法规,甚至还包括一些部门规章,将相应的禁止性或者法律责任条款改写进专项合规制度中,对相关合规风险进行全面识别和防控。可以在该专项合规制度中,把招待、差旅、娱乐、赞助、业务推广、费用报销、礼品等环节中可能存在的违规行为或者合规风险细化到合规制度中,完成对商业贿赂合规风险的识别和防控。 律师帮助企业打造专项合规制度,熟练开展合规业务,不仅需要对民商法体系、行政法体系、刑法体系等法律体系有相当的了解,还要对公司治理、行业惯例和标准、企业管理、企业文化等内容也有一定的了解,穷尽这些法律和资料的相关规定、原则和要求,才能根据企业的具体需求制定出相应的专项合规制度。 3、帮助企业制定相应的合规配套制度[2] 合规配套制度,是指与企业合规管理运行相关的预防和监控机制,一般指合规管理体系的三大实施程序:一是合规风险的防范机制;二是违规行为的监控机制;三是违规事件的应对机制。这三大机制,在《合规管理体系 指南》里均有明确规定,是合规管理体系有效运行的制度保证。 防范机制,是一种事先预防体系,根据《合规管理体系 指南》的规定,主要措施包括合规风险的识别、与关联方的关系、合规培训和合规文化培育,即: (1)针对企业合规的重点环节和主要风险点,进行全面的合规风险排查、分析和评估; (2)对关联第三方(包括客户、合作伙伴)进行合规风险调查; (3)在企业内部开展合规培训; (4)推广企业的合规文化和培育合规意识。 监控机制,根据《合规管理体系 指南》的相关规定,企业合规监控机制应当包括合规流程监控、举报制度、合规考评和合规报告等四个方面,其具体要求是: (1)要能够做到对企业的合规风险实时监控,及时报告和纠正不合规行为; (2)要随时接受合规投诉和检举,并采取措施保护举报人,使其不能因合规举报而受到报复; (3)定期对合规管理体系进行考评和改进,以保持体系的有效性和适当性。 应对机制,是指发生不合规事件后,企业能根据合规管理体系及时作出反应,并能作出恰当的处理。根据《合规管理体系指南》第9.1.1条的规定,发生不合规事件时企业应及时作出反应,采取措施控制和纠正,并对事件进行分析、评估和报告,消除不合规和预防不合规再次发生。企业对已发生的不合规事件,除采取措施作出合理的应对外,如适用,还应当按照法律或者监管规定主动、及时地向监管机构报告,当受到监管机构的调查时,应采取积极的配合措施,在企业应当承担的法律责任范围内争取宽大处理,将可能的惩罚、损失和不利影响降至最低。 如果说专项合规制度系具体的风险管理实体规定,那么三大机制就是具体实施合规管理的程序规定。律师在帮助企业制定配套合规制度时,应考虑这三大机制的功能和作用,必须设计出具备上述功能和作用的制度体系。 六、结语 律师帮助企业打造合规管理体系,要了解和研究企业的具体需求,做到合规管理体系的适当性和有效性,还要设计合理的合规配套制度以保证合规体系的有效运行。因此,合规管理体系不仅是静态的制度性体系建设,还包括动态的合规管理活动的实施和合规目标的实现,这个体系不是一个纸面上的制度体系,而是一个包含了内部规章制度和保证制度运行的管理体系。 |
