北京凯通物资有限公司欢迎您!
企业邮箱:
ktgs@cfhec.com
法务专栏 您现在所在的位置 : 首页 >> 综合管理 >>  法务专栏
企业合规的基本理论
时间:2021-03-08 16:49:17 点击:

(一)企业合规的基本概念
      企业合规(compliance),从字面上看就是合乎法律规定的意思。这里的法律规定大体上不外乎四大类:
      第一,国家法律法规,包括法律、行政法规、行政规章、地方性法规、司法解释等,所有具有法律渊源资格的规范文件都是需要遵守的对象。
      第二,商业惯例,既包括成文规范,如各行业协会颁布的行为准则等,也包括不成文的商业习惯和伦理。
      第三,公司内部制定的规章制度,违反自定的规章制度同样会成为企业受到制裁的理由。
      第四,国际组织条约,如世界银行等国际组织,也设置了合规管理和制裁体系。世界银行可以通过附解除条件的制裁,为企业设置若干年考验期,要求其重建合规计划。
      当然,这些只是基于“合规”字面意义的解读,企业合规是围绕着合规风险而展开的,因此一定要深入合规风险的层面加以理解。所谓企业合规,是企业为有效防范、识别、应对可能发生的合规风险所建立的一整套公司治理体系。
     (二)合规风险的概念
      企业合规,在本质上属于公司治理问题。研究合规风险,首先要厘清公司治理风险的概念。公司治理结构的基本目标是要解决两个关系:一是股东和经营者的关系,亦即所有权和经营权的关系;二是大股东和中小股东的关系,经济学中的“隧道效应理论”,探讨的就是控股股东侵害中小股东利益的现象,如何保护中小股东权益,成为公司治理的一大难题。
      那么,在公司治理层面上,企业究竟要防范什么样的风险呢?在企业所面临的诸多风险之中,合规风险究竟处于什么样的地位呢?其实,很多企业负责人由于没有正确认识公司治理风险的概念和种类,因而也就难以意识到合规风险的重要性。例如,有人把公司治理风险分为投资风险、并购风险、融资风险、销售风险、市场风险、产品质量风险、技术风险、知识产权风险、用工风险等数十种,显得杂乱无章而抓不到重点。
       根据公司治理风险的基本理论,企业面临的主要风险可以分为三大类:
       第一,经营风险。经营风险也被称为业务风险,企业在开展投资并购、市场销售、质量保障等各种业务活动过程中,所面临的投资得不到回报、企业无法营利、面临生存困难的风险,统称为经营风险。经营风险需要依靠公司治理结构中的业务治理来进行有效的防控、识别和应对,公司首席执行官(CEO)是经营风险治理的第一责任人,由其所率领的执行团队是为企业创造业务收益的主干力量。经营风险属于经济学研究的范畴,通过研究投资经营全过程,按照市场和经济规律,寻找解决问题的对策。
       第二,财务管理风险。其是指由于财务管理混乱、舞弊、贪腐等行为,导致企业遭受损失,无法实现盈利目的,甚至濒临破产的风险。一个良好的现代财务管理制度包含数十个复杂的环节,公司除了配置首席财务官、会计、出纳等财务人员以外,还要设立审计委员会和审计部门加以监督。如现在大型的国有企业和跨国企业采用在董事会下设审计委员会的方式,以保证审计部门相对于管理团队的独立地位。财务管理是公司治理的重要一环,但与企业的经营活动无关。
       第三,合规风险。合规风险既不同于经营风险,也不同于财务风险,是指企业因为在经营中存在违法违规乃至犯罪行为,而遭受行政监管部门处罚和司法机关刑事追究的风险。合规风险可以分为两大类,第一类是企业因违法违规行为受到行政监管部门调查、处罚的监管合规风险,如美国财政部、商务部、证交会等行政监管部门作出的行政处罚、达成的行政和解,以及由此引发的合规风险,就是源于监管合规风险。
       该风险对企业产生的最大影响不是罚款本身,而是随之而来的经营资格的剥夺,这会给企业带来经济损失、商业交易资格损失、声誉损失等三重损失,由此引发的雪崩效应最终使企业难以承受。合规风险的第二大类型是企业由于受到起诉而被定罪量刑的风险。
       企业一旦受到刑事追究,损失同样是多重的:一方面,企业因为被定罪而丧失了声誉,无法获得贷款,也不再有客户愿意与其进行交易;另一方面,企业上市资格会被剥夺,难以再有发展机会。在美国和欧洲多国的司法实践中,行政处罚和刑罚连带进行,这意味着企业一旦被定罪,除了被判处罚金以外,行政处罚中连带的剥夺经营资格的处罚会随之而来,甚至达到附加刑的效果。
       我国诸多合规指引中,给合规风险所下的定义都是因违反法律法规所可能遭受法律制裁、监管处罚、重大财务损失和声誉、商业机会的损失等方面的风险。所以合规风险不仅包括被行政处罚或被刑事追究的风险,还会带来声誉以及商业机会的损失。
       可见,合规风险作为与经营风险、财务风险并列的三大公司治理风险之 一,具有独立的概念内涵和结构体系。当然,还有人将合规风险与法律风险混同,认为合规风险就是所谓的法律风险,对此应予以澄清。其实,合规风险不同于法律风险,后者是一个广义的概念,企业的行为违反任何一部法律规定所可能遭受的后果都可以归入法律风险,所涉范围十分宽泛。
      法律风险可分为三大类型:第一类是企业违法违规带来的风险。第二类是由于国家法律制度变化给企业带来的不可抗力的损失,这与企业本身无关,属于法律制度的修改变革给营商环境造成的后果。第三类是由于商业合作伙伴违规给公司造成的损失。如所谓“合同风险”“被害的风险”等都不是合规风险,但属于法律风险,而在公司治理中可以归入经营风险的范畴,公司中最初设立法务部的目的就是为了防控经营类的法律风险。
       因此,合规风险和法律风险有所交叉,企业所面临的违反行政监管法规或违反刑法所遭遇的特定法律风险,才是合规风险;使公司免予承担行政责任和刑事责任的企业管理方式,才是合规治理。
     (三)合规治理的概念
      与三大公司治理风险相对应,现代企业形成了三大公司治理结构:一是为规避经营风险所建立的公司治理结构,就是“业务治理结构”;二是为规避财务风险建立的公司治理结构,称为“财务治理结构”;三是“合规治理结构”,就是企业为避免特定的合规风险,所建立的包括防范、识别、应对机制的管理体系或治理体系。
      其中合规管理体系、合规治理结构、合规机制、合规体制、合规计划等几个概念,在英语中都表述为“Compliance Program”,相互之间可以通用。
      当今世界,合规管理体系已经成为企业治理的必备要素。自20世纪80年代以来,现代公司治理领域发生革命性的观念变化,从合规委员会、首席合规官(Chief Compliance Officer, CCO)、合规部到遍及公司各部门的合规人员,合规治理成为公司治理的重要组成部分。传统以盈利为唯一目的的公司治理理念,逐步发生了实质性的变化。
      通过建立或改进合规计划,企业要实现四个方面的价值:
      第一,可持续发展的价值。由于不能鼓励企业竭泽而渔、只追求短期发展,所以必须建立有效的合规管理体系,让企业遵守法律规则和商业惯例。如果任由企业追求短期利益、恶性竞争,则无法可持续发展,甚至会出现全行业腐败的现象。
      第二,企业应承担应有的道德责任。作为大型的商业组织,企业不能只追逐盈利,还必须承担一定的道德责任和社会责任。很多企业的合规部门与道德直接挂钩,如世界银行的合规部门就叫作“诚信与合规部”。企业的道德责任要求企业经营过程中要保障基本的社会伦理道德,包括保护公民隐私、劳工权益、知识产权、生态环境,等等。
      第三,保护无辜第三人的价值。通过建立有效的合规计划使由于少部分人违法违规所带来的风险及时化解,保护股东、投资人、员工、养老金领取者、上游的供货商、下游的经销商、代销商、代理商乃至消费者和社会公众等大量第三人的利益,避免无辜第三人的利益受到不公平的损害,防止社会动荡。
      第四,实现企业责任与员工、第三方、被并购方、客户等多方责任的有效切割。企业之所以要建立和改进合规计划,其直接动因就在于运用合规管理体系来切割企业责任与相关自然人、单位的责任,从而有效预防、监控和摆脱相关的法律风险。
      例如,通过制定合规政策和员工手册,并有效地开展合规培训,企业可以将内部员工违法行为归于个人责任,避免因为员工或高管的违法行为而“引火烧身”。又如,通过进行合规风险评估,展开有效的合规尽职调查,企业可以为第三方合作伙伴、被并购企业或者客户的违法行为,建立“隔离带”或“防火墙”,实现有效的责任豁免。再如,通过建立有效的合规内部调查或反舞弊调查机制,企业可以及时有效地对内部员工或高管的违法行为加以调查和披露,展示自我治理、预防违法行为的决心,实现“交出责任人,放过企业”的效果。
      (四)有效合规计划的基本标准
      书面的合规计划并不重要,任何一个企业很容易就可以建立一套书面的合规体系。但合规的生命在于有效,一个有效的合规计划才能够带来收益,才能有效发挥预防违法违规行为的效果,并起到行政监管激励和刑法激励机制的作用。即便在我国,企业也可以用有效的合规计划来规避刑事责任。
      以我国实际发生的案件为例,2016年兰州市城关区人民法院一审认定雀巢公司6名员工为抢占市场份额,推销雀巢奶粉,通过拉关系、支付好处费等手段多次从多家医院医务工作人员手中非法获取十余万条公民个人信息,构成侵犯公民个人信息罪。
      一审判决后,各被告人均以其行为是公司行为、本案应属单位犯罪为由上诉至兰州市中级人民法院,以寻求更为轻缓的量刑。在本案一审过程中,雀巢公司就援引了合规作为抗辩事由。雀巢公司抗辩称,其从不允许员工以非法方式收集消费者个人信息,并且从不为此向员工、医务人员提供资金,其在《雀巢合规宪章》、《雀巢指示》(取自雀巢公司员工培训教材)、《关于与保健系统关系的图文指引》等文件中明确规定“对医务专业人员不得进行金钱、物质引诱”,对于这些规定要求,其还要求所有营养专员接受培训并签署承诺函,已建立了有效的合规计划,本案中员工行为应属个人行为。
      法院经审理认为以上合规文件充分证明雀巢公司已尽到合规管理的义务,具有规避、防范合规风险的意识,并进行了合规培训,本案被告人违反雀巢公司的合规管理规定,应属个人行为。最终二审法院兰州市中级人民法院对此也予以认可,裁定驳回上诉,维持原判。本案中,合规成为切割单位责任和员工责任的根据,成为无罪抗辩的理由。
      一个有效的合规计划一般包含合规宪章、合规的组织体系、合规政策、合规的程序四项基本要素。
      第一,合规宪章。公司要在总章程或专门制定的公司合规章程中体现合规的基本理念和要求,将合规目标、合规结构、合规政策写入最高效力的宣言性文件中。雀巢公司通过单独制定的《雀巢合规宪章》成功实现了无罪抗辩。湖南建工集团也制定了《湖南建工合规宣言》,要求所有员工在入职培训时集体宣读,并签署保证书。合规宪章中应注意列举常见的合规风险,对商业贿赂、洗钱、舞弊等违法违规行为作出禁止性的宣誓。
     第二,合规的组织体系。其主要包括适当设置的合规委员会、首席合规官、合规部门、合规人员,尤其是在每一个公司部门和分公司都要设立合规分支机构,由总公司合规部门垂直管理,即便在小型部门中也要配备合规专员。合规组织体系遵循四大原则:独立、权威、享有必要的资源、信息沟通顺畅。
      首先,独立是指不能有利益冲突,业务管理部门、财务审计部门都不能介入合规。如巴塞尔银行监管委员会制定的《合规与银行内部合规部门》中就确立了合规部门应与审计部门分离的原则,以确保合规治理和财务治理相互独立。
      其次,权威是指要使合规部门拥有足够的地位,比如在董事会下设合规委员会,由决策层和管理层高管担任合规委员会成员,董事长担任主席,赋予其高于CEO领导的执行团队的地位。同时也要保障首席合规官足够的地位,目前这一职务在我国公司中主要由总法律顾问兼任,也有公司直接将首席合规官设为副总裁,甚至还有公司由董事会秘书兼任首席合规官,但无论如何,首席合规官应当具有公司高级管理人员的地位。只有享有足够权威的地位,合规组织才有能力应对管理层的压力,而不至于沦为摆设。
       再次,享有必要的资源主要是指充足的人力和物力投入。美国联邦司法部评价企业合规计划是否有效的一个重要依据就是合规团队的人员和经费规模,这意味着有效合规计划要求付出一定的物质代价。西门子公司每年的合规经费达到10亿美元,全球拥有过千名合规人员;湖南建工集团在遭受世界银行制裁后也大大扩充了合规部门的人员和经费配备,形成超百人的合规团队和每年达8亿元人民币的合规经费规模,最终得到世界银行的认可。
      最后,合规组织体系中还高度强调信息上下沟通的畅通性。这就要求企业建立各合规部门和合规人员重大事项报告制度,而且报告内容可以直接通达合规委员会和董事会。西门子公司还创造性地建立了全球特派合规官巡视制度,由总部合规官率领包含合规、财务审计等人员的团队对全球各分支机构进行巡视,接待当地员工和“吹哨人”的投诉。
      美国率先为举报企业违规的“吹哨人”设置了完善的保密制度和高额奖励措施,我国国务院于2019年9月发布的《关于加强和规范事中事后监管的指导意见》中也提出建立“吹哨人”、内部举报人等制度,对举报严重违法违规行为和重大风险隐患的有功人员予以重奖和严格保护。“吹哨人”制度本身也作为合规体系的一部分,在合规识别程序中发挥了重要的作用。
      第三,合规政策。合规政策相当于合规体系中的“实体法”,主要以合规管理指引和员工手册的形式,针对不同的合规风险点和合规风险领域建立不同的行为准则。合规风险点是指依据特定行业中企业经常发生的违规行为而设立的高风险爆发点。
      合规重点风险领域则需要根据企业的重点岗位、重点人员、重点业务加以确定,反商业贿赂合规、出口管制合规、反洗钱合规、反不正当竞争合规、个人信息数据保护合规是目前风靡全球的五大重点合规领域。每个风险领域和风险点都需要设置相应的管理规范和行为准则,为企业和员工划定行为的规范和边界,这对于违法违规行为发生后单位责任和员工责任的切割具有重要意义。
第四,合规的程序。合规的程序主要包括防范体系、识别体系、应对体系三大体系,被称为合规的三大支柱。
      防范体系是为防范合规风险的发生而建立的一套程序体系,可由四大要素组成:
    (1)合规风险评估。具体形式包括定期评估和不定期评估。合规风险评估要求与时俱进,随着公司业务的变化和发展而不断更新,每年度都要定期形成合规风险评估报告,作为建立良好防范体系的证据予以留存。所谓“越是全面越是无效”,风险评估同样要针对合规风险点和重点合规风险领域展开,尤其针对重点风险领域,要进行定期评估。
    (2)合规尽职调查。合规尽职调查根据调查对象的不同可以分为三大板块,首先是客户尽职调查,例如商业银行要调查大额存款客户的背景和存款来源,防止违反银行业监管法规;其次是第三方尽职调查,由于大多数合规风险来自于商业合作伙伴,开展该项尽职调查的目的是为了防止第三方违规祸及母公司;最后是投资并购相对方尽职调查,这同样是为了避免投资或收购带病企业,防范合规风险。
    (3)合规报告制度。尤其是针对合规风险点和风险领域,要保证上下沟通顺畅。一方面,要定期由公司内部的合规部门自下而上进行报告,另一方面,合规部门和最高层也要将合规的政策和程序传达至每一位员工。
    (4)合规培训。可以分为常规培训和有针对性的培训两类。常规培训的对象是不特定人,如一年一度面对全体员工的培训;有针对性的培训是指针对高风险点和高风险领域的部门、员工和上下游第三方的专门培训。合规培训蕴含着责任分担,可以有效切割公司责任、员工责任和第三方责任,以保住母公司为最终目标,及时建立隔离带和防火墙,防止母公司受到牵连。因此,有效的合规培训要求书面记录,还要有所有参加培训人员的签字,必要时还可以录音录像予以存档,为日后应对行政监管调查和刑事调查留存证据。
      识别体系要求公司的合规计划具有雷达预警的效果,24小时防止违规行为的发生,因而又被称为合规风险的预警系统。识别体系主要包括以下几个要素:
     (1)定期合规报告制度。合规报告本身兼具预防和识别的双重功能,根据报告内容的不同,对合规进展、风险领域的报告具有预防作用,而针对违规行为的报告则体现识别的功能,这一过程同样要保证信息上下沟通的顺畅。
     (2)匿名举报制度,即“吹哨人”制度。匿名举报制度有两种模式,一种模式是鼓励企业所有员工、第三方举报违规行为,任何人都可以成为“吹哨人”;另一种模式是建立专门的“吹哨人”制度,由合规部门向各部门、分支机构秘密派驻员工,这些员工只对合规部门负责,成为专门的“吹哨人”。对“吹哨人”要进行高额奖励,也要建立完善的保护体系,保证其人身安全。
     (3)巡回合规检查制度。大型企业的分支机构数量庞大,而且可能遍及全球,因此需要总部指派合规官进行巡视和调研,发现新的风险点和违规行为,及时督促其加以整改。
      应对体系是指违规和犯罪行为一旦发生,企业及时应对处理合规引起的危机。应对程序一般包括五个要素:
     (1)及时进行合规内部调查。企业需要聘请外部律师介入,对违规行为发生的原因、规章制度的漏洞和责任人展开全面调查,向监管部门和调查部门呈交内部调查报告。
     (2)有效的配合调查。企业尤其要注意避免实施销毁账目、硬盘等阻碍调查的行为,禁止和员工建立攻守 同盟,有效的配合调查强调合作的理念,这同时也是合规的前提。
     (3)及时报告合规体系的漏洞以及合规计划的缺陷和不足。
     (4)及时奖励发现违规的自然人,并惩戒实施违规行为的自然人,必要时交由司法机关处理。合规的生命就在于交出自然人,放过企业,其所体现的正是市场经济的交换法则。中兴公司无效合规的原因就在于应对体系失效,只有及时惩罚责任人,才能显示企业治理公司的决心,才能消除再次实施违规违法行为的人的基础。
     (5)建章立制,完善合规体系。只有建立了有效的应对机制,才能真正建立有效的合规程序。
       综合来看,有效的合规计划构成了相对封闭的完整体系,也被视为公司自我治理的有效方式,大大节省了外部行政监管和行政调查资源。行政监管机关也因此给予企业轻缓处罚的奖励,以激励企业自我调查、主动进行合规体系的完善。一个公司只有意识到建立合规体系的重要性,并且主动进行自我革命,发现违规行为和违规原因、找到合规漏洞,才能有效完善合规体系,实现企业的自我治理,这也成为合规在全世界兴起的一个重要原因。
                                                                               摘自:合规管理平台

Copyright 2021 北京凯通物资有限公司 All Right Reserved. 京ICP备14008549号-1