随着全球公司治理理念和实践的发展,合规已经成为企业竞争力的重要衡量标准。最早“走出去”的一批中国企业,在境外投资、国际贸易或境外工程承包过程中需要遵循外国法律规定、国际公约或国际惯例,因而也面临越来越大的合规压力。而国内监管机构近年来也制定了一系列合规法律制度,加强对企业合规的要求和监管。企业合规已成为一种新的发展趋势。
在此背景下,笔者拟对企业合规的起源、含义、要点及律师合规实务逐一分析。
一、企业合规的起源
现有文献通常将“合规”溯源于1977年美国颁布的《反海外腐败法》,认为该法第一次提出了企业合规的概念。但实际上,合规的起源要早于FCPA。早在20世纪30年代经济大萧条时期,美国政府为维持经济秩序,保护市场公平竞争,提高经济效益,开始以反垄断为切入口加强企业合规监管,先后出台《谢尔曼法》《克雷顿法》《美国联邦贸易委员会法》等法律,打击不正当竞争或不公正、欺诈性行为,确保企业诚信经营。洛克菲勒、通用电气、西屋电气等垄断企业在政府强制性要求之下,被迫开始探索合规管理。
此后,美国政府将监管进一步延伸至证券法领域,先后制定了《证券法》《证券交易法》等证券法律,明确上市公司信息披露等强制性要求,促使上市公司开启合规治理。
20世纪70年代,美国发生了轰动世界的“水门事件”,牵涉出多家美国企业的海外行贿丑闻。对此,1977年,美国国会通过《反海外腐败法》,禁止在美国成立或上市的企业或与美国有关联的外国企业贿赂政府官员,该法首次确立了企业合规的基本制度。
为防止美国企业因遵循FCPA而在全球竞争中处于不利地位,美国政府积极游说、促使其他国家或国际组织制定类似反腐败制度。经济合作与发展组织和联合国先后通过《经合组织关于打击国际商业交易中行贿外国公职人员行为的公约》《联合国反腐败公约》,要求各缔约国依公约制定并实施反腐败合规政策。
上述法律法规除了对违法违规行为苛以重罚之外,还通过替代性措施允许建立并实施合规计划的涉案企业减轻或免除处罚,从而激励企业实施合规管理。因此,以美国企业为代表的跨国公司为了减轻或免除刑事或行政处罚,开启大规模反腐败合规治理活动,通过在企业内部制定并实施反腐败合规制度,防范反腐败合规风险。企业合规开始进入跨越式发展时期。
本世纪初,安然、世通等公司一系列财务欺诈丑闻发生后,美国国会于2002年通过《萨班斯—奥克斯利法案》,强化上市公司内部违法违规行为的防控,被称为史上最严的上市公司监管法案,促使美国企业合规的进一步升级。
此后,在各国政府或国际组织针对企业违规行为的制裁压力之下,以西门子为代表的众多跨国公司,反思企业经营过程中存在的违规风险,积极探索建立企业合规制度和政策,在减免违规制裁或处罚的同时,逐步优化公司治理体系,树立企业诚信合规的典范,将企业推入有序发展的轨道,逐渐为全球企业所效仿。
由此可见,企业合规的初衷在于通过在企业内部制定并实施合规政策和措施,适用替代性刑法措施,减免因违规行为遭致的刑事制裁或行政处罚。但随着实践的发展,合规逐渐显现其突出的价值和意义,合规不仅可以减免因违规事件导致的处罚,更可以在违规事件发生之前防患于未然,避免违法违规风险的发生,防止企业经济或声誉受损,从而保障企业的合规有序经营,提升企业的核心竞争力,实现企业的可持续发展。
二、企业合规的内涵
“合规”乃英文“compliance”的译文,是动词“comply”的名词形式。牛津英语字典中将comply定义为遵循、遵守,通常comply with后加法律法规、命令或请求,而compliance作为名词,则指遵循法律、命令或请求的行为。
“企业合规”,英文为“corporate compliance”,专指企业为预防、发现和处置违法违规行为而建立的一系列自上而下、贯穿企业各部门、各环节的合规措施,以确保企业员工遵守现行法律法规、行业规范等规章制度,实现防范违法违规风险的目的。
从字面理解,合规乃遵守或遵循法律规定之意。而企业合规的含义也因“规”的范围不同而有广义和狭义之分。狭义的“规”仅指国家制定的法律法令,包括大陆法系国家的成文法以及英美法系国家的判例法,狭义的“合规”则指遵循国家法律制度;而广义的“规”不仅包含国家法律法规,还包括国际条约、国际惯例、行业自律规范、商业惯例或诚信伦理、企业内部规章制度以及企业与第三方签订的合同及协议等等,广义的“合规”则指遵循所有这些制度规范。
企业合规,区别于外部监管,本质上属于一种自我约束,旨在通过建立一套自上而下的合规管理体系,规范企业员工、合作伙伴等主体的行为,防止因违法违规而导致的法律制裁、行政处罚、经济赔偿、商誉受损等风险,以保障企业依法合规经营、有序良性发展。
三、企业合规的分类
除了上述广义和狭义之分,企业合规还可以从不同的角度进行如下分类:
全面合规及专项合规
从合规范围角度,企业合规可以划分为全面合规和专项合规。所谓全面合规,是企业全方位综合合规管理体系的构建,覆盖企业各业务领域、各部门、各关联企业及全体员工,贯穿决策、执行与监督各个环节,通常适用于初次建立合规管理制度的企业。而专项合规是指针对特定领域实施的合规,例如反腐败合规、反垄断合规、反洗钱合规、反不正当竞争合规、出口管制合规、证券合规、税务合规、数据合规、知识产权合规等。
境内合规与境外合规
从经营活动的地域角度,企业合规可以划分为境内合规与境外合规。所谓境内合规是指不涉及境外业务的普通企业所实施的合规制度及政策,而境外合规指从事境外经营的企业针对其境外经营活动开展的专项合规管理,具体包括境外设立公司、境外投资并购、进出口贸易、境外工程承包等活动相关合规管理。
刑事合规、行政合规等
从合规拟防范的制裁或处罚类型及其实施主体角度,企业合规可以划分为刑事合规、行政合规、国际组织合规、行业组织合规、企业诚信合规。其中,刑事合规、行政合规、国际组织合规、行业组织合规主要是企业为防止违反刑事法律、行政法规、国际组织或行业自律组织的规则而导致的制裁或处罚,从而制定并执行的有针对性的合规安排;而企业诚信合规则指企业依据监管部门或相关组织的诚信合规要求实施诚信合规管理,确保企业诚信合规经营。
业务领域合规
从企业不同业务领域角度,企业合规可以划分为研发合规、采购合规、安全生产合规、营销合规、投资合规、财务合规、人力资源合规,不同业务侧重的合规重点各不相同,例如研发合规关注知识产权合规,采购及营销合规侧重反腐败合规、反不正当竞争合规,人力资源部合规则重点关注劳动法合规及社会保障合规。
部门法合规
从合规涉及的法律领域角度,企业合规可以划分为合同法、公司法、证券法、劳动与社会保障法律、反垄断与反不正当竞争法合规、消费者权益保护法、网络安全与信息保护法等专项合规。
四、企业合规的辨析
在企业管理实践的演变过程中,公司治理、风险管理、内部控制、企业合规先后是企业管理的热点。公司治理、风险管理、企业合规还被视为一个有机联系的整体,即治理、风险与合规管理体系,是现代企业对各项业务或环节进行管控,从而实现企业发展战略和经营目标的管理方法和工具的统称。这些概念之间由于含义和范围相互重叠又各有区别,因此常被混淆。为理清企业合规的含义,本文将就上述概念及其与合规的相互关系逐一辨析:
公司治理
公司治理有广义和狭义之分,广义的公司治理是指用于协调公司及利益相关者之间的权责利关系、确保公司决策科学公正、维护各方面利益平衡的一系列制度和机制,而狭义的公司治理专指为配置股东及经营者权责关系而建立的、由股东大会、董事会、监事会、高管等组成的公司内部治理结构。
合规可以理解为广义公司治理的组成部分。合规与公司治理都涉及行为规则及行为控制,两者最核心的区别在于起源及自主性不同。公司治理主要源自企业自身,包括股东、董事和高管等在内的企业内部主体为实现企业目标而制定的管理规则和政策,而合规主要源自政府及其他监管机构的强制要求。由此可见,公司治理的具体规则可由公司管理层自主决定,但合规制度必须依据强制性法律法规及相关规范来制定。
而狭义的公司治理即公司内部治理结构,是合规体系构建的重要方面。合规组织的建立需要依托于公司原有的治理结构,在原有治理结构的基础上依据合规职责的分配补充、调整、重构公司组织架构。
风险管理
风险管理也被称作风险控制,是指企业为识别并避免各类风险而实施的一系列管理安排,这些风险包括经营风险、财务风险、法律风险等。其中,经营风险是指企业采购、生产、销售、投资等业务活动中面临的企业价值变动的风险;财务风险是指企业财务管理过程中因各种原因导致企业偿债、营运、获利能力下降的风险;法律风险也称作合规风险,是指企业在经营过程中因企业或员工的违法违规行为可能遭受刑事制裁、民事赔偿、行政处罚等风险。
由此可见,风险管理的范围要广于合规。风险管理拟防范各类风险,合规则主要防范法律风险。而在企业面临的所有风险中,法律风险无疑是最严重、最根本的,极可能会触发企业的财务风险和经营风险。一旦发生法律风险,企业可能面临巨额处罚或是刑事制裁,企业的商誉也会受损,从而影响企业的资金储备或供应,降低影响企业的偿债、营运及盈利的能力,继而增加企业持续经营的风险。从这个意义上讲,合规被认为是企业风险管理最重要的内容之一,或者说是企业风险管理的核心。
除此以外,两者的侧重点也不尽相同,合规主要立足于规范企业和员工的行为,而风险管理主要以风险的识别、评估、监控和应对为落脚点。
内部控制
依据美国注册会计师协会《审计准则公告》,内部控制是指企业经营者围绕既定的经营管理目标,对企业人、财、物、业务流程进行有效监管的过程。而财政部、证监会等五部门联合发布的《企业内部控制基本规范》,则将内部控制定义为由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
由此可见,内部控制是一个过程,不需要以确定的、成文的制度作为运行依据,而是依托于一系列有效衔接的程序、流程、运行系统而进行的动态的、持续的管理活动。与内部控制不同的是,合规管理必须依赖于明确的合规制度及政策,并要求企业全员严格遵守。
此外,两者的侧重点也各不相同。内控的核心为财务控制,即通过对企业资金资产的有效管理,保障企业资产的安全以及财务数据的准确完整,从而提高企业的经营效益。而合规的核心在于对法律法规的遵循,侧重于法律风险的识别评估以及合规制度的制定及执行。
二者之间的联系在于,内控作为一种有效的管控方式,也是合规管理的重要措施。合规制度和政策可以通过内控程序或流程,贯彻落实到企业的各部门及各环节,以确保企业全员能够切实遵守合规制度,保障企业合法合规经营。
五、企业合规的内容及要素
关于企业合规的内容或要素构成,不同学者持不同观点,有三要素说、六要素说、九要素说,甚至有学者扩展至十三要素。而国内外合规制度及各企业的实践,也因角度和需求不同而各有差异。笔者在对比分析各种学说及企业实践的基础上,拟将企业合规共性的、核心的基础要素梳理归纳如下:
风险识别及评估
风险识别是指发现企业存在的内外部风险,而风险评估是指针对这些风险的性质及其对企业的影响进行评估,确定风险等级。
风险识别和评估是合规的基础,也是合规的第一步。首先,需要通过风险识别,发现企业经营过程中面临的内外部风险,发现企业最易发生违法违规风险的环节、部门或岗位。在此基础上,针对已经识别出的风险,评估其发生的可能性及其可能的后果,将各类风险等级划分为高风险、中风险、低风险,并据此制订合规风险清单,建立合规风险库,为后续合规制度及流程的制定提供依据。
风险识别及评估的重点,因企业各自的特点而异,需综合考虑企业的主营业务、企业规模、组织架构、历史沿革、发展规划、适用法律法规等情况。
风险识别及评估并非一劳永逸,而是一个需要定期开展的、持续的过程。随着业务的发展、法律法规的更新以及外部合作关系的调整,企业可能会面临新的风险,而原有的风险等级也可能发生变化。企业需要依据业务调整、法律变动等进展,及时识别新的风险,优化调整合规方案及措施。
高层合规承诺
高层合规承诺是指,企业高层将合规作为企业的核心价值观,推崇对违规行为“零容忍”的合规文化,宣示企业的合规方针和目标,并将合规的决心和信念传递给每一个员工,促进企业全员有效执行。
企业高层的重视与支持是企业合规制度制定并有效实施的基石,直接影响企业合规的效果。只有企业高层充分认识并认可合规的重要性和必要性,才能以合规思维统领企业的经营管理,才能为企业合规积极配置各项资源,敦促各相关部门和人员有效配合与协作,从而保障合规体系的有效实施。而且企业高层以身作则,践行合规文化和价值观,对于员工而言也是很好的示范和鞭策。
在形式上,高层承诺通常体现为企业董事长或管理层公开发表合规声明或承诺,例如、西门子、中石化、中兴集团等公司都曾公开发布董事长合规承诺,承诺的内容包括:企业高层致力于践行合规的宣誓、对违规行为零容忍的态度以及敦促每一位员工遵循合规制度的承诺等。
合规组织
合规组织是企业实施合规管理的组织载体,管理层、合规团队、业务团队等机构或人员各司其职、各负其责,履行相应的合规职责。
合规组织是企业实施合规管理的组织保障。为确保合规组织真正发挥作用,确保合规的有效实施,合规组织架构的建立需要充分运用企业现有资源,与企业现有组织架构有效整合并衔接。在此基础上建立的合规组织通常包括董事会、合规委员会、首席合规官及合规部门、业务部门等。
董事会是合规管理体系的领导机构,负责确定合规体系的基本原则和方针,审批重要合规制度及合规计划,统筹调配企业合规资源等,通过履行合规领导职责确保合规制度得以制定并实施。
合规委员会设立于董事会之下,接受董事会的领导,负责合规调查分析,对于合规计划或政策的调整、违规惩戒、合规培训计划向董事会提出建议或意见。
首席合规官及合规部门,作为企业合规的核心力量,负责具体合规运营工作。合规部门的设置也因企业自身的条件和结构而各有差异,或与法务部门合并履行合规职责,或以独立部门负责合规工作。不管以哪种形式设置,均需确保首席合规官及合规部门的独立性及其直接向合规委员会及董事会汇报合规事项的职权。
业务部门,是企业业务发展的主干。业务部门与合规部门积极配合,贯彻落实企业合规方案或计划,是确保合规有效实施的重要力量。
合规制度及流程
合规制度是企业有关合规管理的全部规章制度、工作指引、行为守则等规范的统称,合规流程是落实合规管理的所有步骤、方法和程序的统称。
合规制度相当于企业合规的“实体法”,是合规管理的指引和依据,而合规流程相当于企业合规的“程序法”,是落实合规管理的保障。静态合规制度是动态合规流程设置的依据,动态合规流程能够促使静态合规制度有效发挥作用。
制定合规制度,需要涵盖企业全部业务环节及合规风险领域。完整的合规制度既包括企业整体合规制度,例如《商业行为准则》《诚信合规管理手册》或《合规宪章》,也包括具体合规政策,例如纳入合规内容的审计制度、内控制度、考核制度、纪律惩戒制度等,还包括专项合规制度,例如《反腐败合规政策》《反垄断合规守则》《数据合规手册》等。
设置合规流程,需要贯穿企业合规管理的全过程,聚焦重点业务领域或高风险环节。有效的合规流程,应当将企业的研发、采购、生产、销售、投资、财务等业务纳入合规审批流程,非经合规审批通过相关业务不得进行,确保合规贯穿于企业业务活动的全过程。有条件的企业还可以建立合规信息管理系统,协助合规审批流程。
不同的企业面临的合规风险及风险等级不尽相同,没有放之四海而皆准的合规模板。合规制度和流程的设置无法照搬照抄,需要结合企业所在国家和地区、适用法律法规、所处行业、企业规模、业务模式、组织结构以及外部市场需求等因素量身定制。
企业合规制度和流程也不宜盲目严苛,需要依据企业内外部环境以及企业自身发展需求和目标,合理确定合规的范围及约束程度。具体合规政策还应明确、清晰、细致、有针对性,明确“可为”与“不可为”行为的边界,划清员工合规的红线、底线,以便员工严格遵守,保障合规制度的有效实施。
合规培训及沟通
合规培训是指企业针对内部员工、合作机构及相关主体开展的有关遵循合规义务及守则的教育和培训。合规沟通是指企业与员工、企业与第三方之间有关企业合规的交流及沟通。
徒法不足以自行,合规制度只有被企业全员切实遵守才会发挥作用,而员工遵守的前提是将合规制度自上而下充分传达。因此,通过合规培训与合规沟通,让每一位员工了解并熟悉合规制度,确保每位员工切实遵循,是合规制度执行不可或缺的重要环节。
合规培训需要针对不同的员工群体设置不同形式、内容、频次和强度的培训。而且合规培训应当是一个系统的、持续的过程,依据法律法规及风险动态及时更新,以便让员工及时深入理解合规政策和流程。培训过程中还可以结合测试检验学习成果,加深员工的理解和认知。企业还可以定期发布合规新法速递、警示案例、企业新政等资讯。必要时企业还可以为外部商业伙伴提供合规培训。通过科学合理的合规培训机制,确保企业员工及相关主体获知并理解合规制度及流程,强化员工及相关主体的合规意识,以达到防范违规风险的目的。
合规沟通要求企业建立安全、机密、畅通的合规沟通渠道,方便员工及时报告合规实施情况、反映合规风险、提出合规改进建议。企业可以设置专门的合规
