筆者在2019年曾為某大型國有企業提供合規專項法律服務。在這之前,合規對于筆者或者其他律師來說,都不是一個陌生的名詞,我們在各種盡職調查報告、法律意見書等法律文件中大量使用“合規”這個名詞或概念,通常是與“合法”合稱“合法合規”,在這里,合規是一個約定俗成的概念,有其約定俗成的含義,我們使用起來也是信手拈來,并無障礙。但是在給客戶提供合規專項法律服務之初和過程中,我們就感覺到原來信手拈來、約定俗成的“合規”概念并不好用,無法套用在合規項目中。概念、推理、邏輯體系對于律師構建自己的知識體系以及解決實際法律問題的重要性不言而喻,雖然這次的合規項目有國資委《中央企業合規管理指引(試行)》(國資發法規【2018】106號)作為依據,但理論界、實務界尚未形成有說服力的或主流的理論與經驗。實踐與解決實際問題永遠是知識的起源和歸宿,雖然很多合規理論問題(是什么)沒有澄清,方法論工具(怎么做)沒有成形,邏輯體系(做什么)尚未形成自洽,但項目的持續推進也是檢驗或形成理論、工具、體系的最佳路徑。而且,2019年以來有關合規的文章、專著如雨后春筍般涌現出來,與合規有關的研究和實務也越發廣泛與深入。
本文是筆者對合規一般性問題的初步探討,主要圍繞合規的概念、合規的方法論和合規體系提出問題、分析問題、尋求答案或解題的路徑。筆者歸納、思考的合規一般性問題包括合規的價值與意義、合規風險與法律風險、合規與內控、合規的價值屬性、合規的制度屬性、合規管理的組織體系與文件體系、外法內規化、合規行為規范(合規行為準則/指引)。
一、合規對于企業的價值與意義
防范合規風險和滿足法律政策要求是企業合規的直接驅動力,近些年來國內外的合規風險事件已經引起了企業、監管機構、政府部門、司法機關的高度重視,尤其是重大合規風險事件關乎企業的生死存亡和管理層的刑事責任。從防范合規風險的角度,確保企業的經營安全和可持續發展、企業免責與管理層免責或減輕處罰都是合規對于企業直接的價值和意義。
2018年下半年《中央企業合規管理指引(試行)》、《企業境外經營合規管理指引》(發改外資〔2018〕1916號)也將合規管理上升到企業治理的高度和擴展到企業經營管理的全過程。《中央企業合規管理指引(試行)》第四條規定:“中央企業應當按照以下原則加快建立健全合規管理體系:(一)全面覆蓋。堅持將合規要求覆蓋各業務領域、各部門、各級子企業和分支機構、全體員工,貫穿決策、執行、監督全流程。(二)強化責任。把加強合規管理作為企業主要負責人履行推進法治建設第一責任人職責的重要內容。建立全員合規責任制,明確管理人員和各崗位員工的合規責任并督促有效落實。(三)協同聯動。推動合規管理與法律風險防范、監察、審計、內控、風險管理等工作相統籌、相銜接,確保合規管理體系有效運行。(四)客觀獨立。嚴格依照法律法規等規定對企業和員工行為進行客觀評價和處理。合規管理牽頭部門獨立履行職責,不受其他部門和人員的干涉。”第二十九條規定:“中央企業根據本指引,結合實際制定合規管理實施細則。地方國有資產監督管理機構可以參照本指引,積極推進所出資企業合規管理工作。”換言之,中央企業是否有健全完善的合規管理體系以及合規管理體系是否得到有效執行,本身就是一個合規判斷的問題,企業尤其是國有企業的很多經營管理過程中的風險在合規視角下都可能構成合規風險進而引發違法違規責任的承擔。
二、合規風險與法律風險
合規風險是合規實務中用的最多也是最常見的用語,按照《中央企業合規管理指引(試行)》中給出的定義,企業合規風險是指“企業及其員工因不合規行為,引發法律責任、受到相關處罰、造成經濟或聲譽損失以及其他負面影響的可能性。”從風險管理的角度講,合規風險屬于企業風險的一種,《中央企業全面風險管理指引》(國資發改革[2006]108號)第三條規定:“本指引所稱企業風險,指未來的不確定性對企業實現其經營目標的影響。企業風險一般可分為戰略風險、財務風險、市場風險、運營風險、法律風險等;也可以能否為企業帶來盈利等機會為標志,將風險分為純粹風險(只有帶來損失一種可能性)和機會風險(帶來損失和盈利的可能性并存)。”根據該定義,合規風險應該是企業未來的一種不確定性以及該不確定性對企業的影響,合規風險管理應該是對該不確定性以及該不確定性對企業的影響的管理。就合規風險而言,合規風險應包括兩方面的內容,即企業在經營管理活動中出現不合規行為的風險(不確定性)以及不合規行為對企業的風險(影響),合規風險管理亦是包括對不合規行為風險的管理和對不合規行為對企業的影響的管理兩個方面,即按照合規的標準和要求對企業行為和員工的職務行為進行管理避免出現違規行為,對不合規行為進行識別和處置以減小或降低不合規行為對企業和員工的影響。法律風險是指企業由于立法(立、改、廢)、司法政策(九民會議紀要)、法律適用(刑事司法、行政執法、主張民事權利)而承擔刑事責任、行政責任以及民商事法律責任等一系列不利法律后果的可能性。合規風險與法律風險并非種屬關系或包含關系,合規風險與法律風險存在部分交叉,合規風險與法律風險的交集在于這樣一類法律風險:主要指含有法律否定評價的法律處罰和法律責任承擔的可能性,典型的有刑事處罰、行政處罰、行政監管措施、侵權責任承擔等。
三、合規與內控
本文不試圖深入探討企業內控,而是著眼于內控與合規、風險管理的關系和邊界。《關于加強中央企業內部控制體系建設與監督工作的實施意見》(國資發監督規〔2019〕101號)對三者的關系有一段非常精辟的論述,其在第一條“建立健全內控體系,進一步提升管控效能”中規定:
“(一)優化內控體系。建立健全以風險管理為導向、合規管理監督為重點,嚴格、規范、全面、有效的內控體系。進一步樹立和強化管理制度化、制度流程化、流程信息化的內控理念,通過“強監管、嚴問責”和加強信息化管理,嚴格落實各項規章制度,將風險管理和合規管理要求嵌入業務流程,促使企業依法合規開展各項經營活動,實現“強內控、防風險、促合規”的管控目標,形成全面、全員、全過程、全體系的風險防控機制,切實全面提升內控體系有效性,加快實現高質量發展。
(二)強化集團管控。進一步完善企業內部管控體制機制,中央企業主要領導人員是內控體系監管工作第一責任人,負責組織領導建立健全覆蓋各業務領域、部門、崗位,涵蓋各級子企業全面有效的內控體系。中央企業應明確專門職能部門或機構統籌內控體系工作職責;落實各業務部門內控體系有效運行責任;企業審計部門要加強內控體系監督檢查工作,準確揭示風險隱患和內控缺陷,進一步發揮查錯糾弊作用,促進企業不斷優化內控體系。
(三)完善管理制度。全面梳理內控、風險和合規管理相關制度,及時將法律法規等外部監管要求轉化為企業內部規章制度,持續完善企業內部管理制度體系。在具體業務制度的制定、審核和修訂中嵌入統一的內控體系管控要求,明確重要業務領域和關鍵環節的控制要求和風險應對措施。將違規經營投資責任追究內容納入企業內部管理制度中,強化制度執行剛性約束。
(四)健全監督評價體系。統籌推進內控、風險和合規管理的監督評價工作,將風險、合規管理制度建設及實施情況納入內控體系監督評價范疇,制定定性與定量相結合的內控缺陷認定標準、風險評估標準和合規評價標準,不斷規范監督評價工作程序、標準和方式方法。”
與合規管理與風險管理相比,內控的工具屬性更強,依附于公司的戰略,表現為一系列流程、方法、工具、措施、標準,用《關于加強中央企業內部控制體系建設與監督工作的實施意見》里的話,就是管理制度化、制度流程化、流程信息化。內控的核心是控制與可控,目標包括資金資產安全、法規遵從、財報合規、防止舞弊、提高運營效率和效果等。企業的經營管理就是一系列活動和過程,內控并不是在企業經營管理的活動與過程之外再疊加一套內控管理活動與過程,合規管理也不是在企業的內控管理之外再疊加一套合規管理流程,從這個意義上講,就是上述規定中所說的“將風險管理和合規管理要求嵌入業務流程”,“在具體業務制度的制定、審核和修訂中嵌入統一的內控體系管控要求”。
四、合規的價值屬性——正當性
前文已經從功利(防范風險)角度談到合規對于企業的價值和意義,即確保企業的經營安全和可持續發展、企業免責與管理層免責或減輕處罰,避免含有法律否定評價的法律處罰是被動合規的主要推動力,但這只是合規的效用或合規對企業的功利性價值,風險管理和內控都有這樣的作用或價值。
企業是社會和經濟活動的重要參與者,就其參與社會經濟活動的廣度與深度而言,其對現代社會的重要性和影響是巨大而深刻的。企業是人為創設、法律擬制的一類主體,是社會經濟活動的重要參與者(主體)或組成部分,沒有天賦或先驗的權利,企業是以其對社會的作用和價值得以被社會接納認可,這是企業作為工具或載體其功利性價值的體現。但是,企業作為社會經濟活動的主體并不因其對社會的有用(比如創造就業、繳納稅收、提供產品)而獲得完全的主體正當性,企業作為社會經濟活動主體,以其依法設立、合法合規經營而獲得其正當性,正當性是企業設立、存續的基礎或基石,依法設立是企業設立的正當性,合法合規經營管理是企業存續的正當性。正當性是企業的基礎價值,是企業存續的基石。企業正當性的缺失或缺乏會導致企業基礎的崩塌,如果正當性不能恢復或修復,企業就喪失了存在或存續的正當性或合法性。這就是合規對于企業或人為創設機構的價值所在,這也是內控或風險管理無法解決的問題,合規要解決的恰恰是企業存在的正當性與持續發展的正當性。
五、合規的制度屬性
合規首先是一種價值,是更基礎性的價值——正當性派生出來的,適用于企業等人為創設、法律擬制的機構——合規理念;然后是一套滿足合規、合乎合規、達至合規的行為范式和行為規范/準則——合規制度;最后是合規的踐行——合規行動/行為。制度由一系列宗旨、目標、原則、標準、規范、準則、流程、組織(包括架構、編制、崗位、職責等)、技術、裝備等各種資源合乎目的、邏輯地組合、運轉。
合規制度的框架結構可參考下圖:
六、合規管理的組織體系與文件體系
合規管理的組織體系包括組織原則、組織架構、編制與崗位三個層次。
合規制度的組織原則是合規責任制,即總經理全面負責制、業務/部門負責人對業務/部門合規負責、專項合規負責人對專項合規負責、經辦人員對經辦事務合規負責。
《中央企業合規管理指引(試行)》第四條第二項規定:“把加強合規管理作為企業主要負責人履行推進法治建設第一責任人職責的重要內容。建立全員合規責任制,明確管理人員和各崗位員工的合規責任并督促有效落實。”
合規管理的組織架構分為治理層——董事會、監事會,管理層——總經理、合規負責人、專項合規負責人、業務/部門負責人和執行層——經辦人員三個層次。編制與崗位如下:
合規委員會:董事會下設專門委員會/管理層非常設機構
合規負責人:總法律顧問/法律總監/合規風控總監
合規管理牽頭部門:合規部/法律合規部/合規審計部/風險合規部
包含合規職能的部門/崗位:質量監督部門、安全監督部門、知識產權部門、審計部門、監察部門。
合規制度文件是合規制度的書面化、文件化,但文件本身不是制度全部,就如同法律規定不完全是法律制度。合規制度文件是指合規制度中反復適用、作為制度運行依據的一類文件。
按適用范圍或領域分類:一般性合規管理文件、專項合規管理文件。
按規范內容分類:組織、流程類合規管理文件、行為準則/指引類合規管理文件。
按文件與合規的關聯度分類:專門合規管理文件、規章制度中包含的合規條款。
按制定機關分類:董事會制定/批準的合規管理文件、經理制定/批準的合規管理文件、合規負責人/合規牽頭部門制定的合規管理文件、含有合規管理職能的部門制定的合規管理文件。
結合按適用范圍和按規范內容兩種分類方法,合規制度文件體系可分為三類文件:
(1)一般性/基礎合規制度文件,該類文件一般以“XX公司合規管理規定/辦法”命名;
(2)合規管理工作流程文件,比如合規風險管理文件、合規檢查/審查文件、合規工作考核和評價文件等;
(3)專項合規管理文件,包括重點業務合規指引、專項合規指引等。
七、外法內規化
外法內規化是企業合規體系和合規制度建設的重要方法。《中央企業合規管理指引(試行)》第十七條規定:“建立健全合規管理制度,制定全員普遍遵守的合規行為規范,針對重點領域制定專項合規管理制度,并根據法律法規變化和監管動態,及時將外部有關合規要求轉化為內部規章制度。”《關于加強中央企業內部控制體系建設與監督工作的實施意見》也規定:“全面梳理內控、風險和合規管理相關制度,及時將法律法規等外部監管要求轉化為企業內部規章制度,持續完善企業內部管理制度體系。”按照上述規定,外法內規化是指將法律法規等外部合規義務、監管要求轉化為企業內部規章制度。
與傳統意義上防范合規風險的被動合規不同,外法內規化是企業的主動合規。外法內規化要避免兩方面的誤解:一是并不是所有的外法都要內規化;二是并不是企業所有的內部規章制度都是外法內規化的體現。
所謂內規不是簡單重復或重述外法的規定,而是從行為準則、行為規范、操作流程上轉化為企業及其員工自覺的行動指南、工作指引,相較于外法,內規更具體、更明確,通常是對外法的更嚴格適用,只有這樣才能保證內規符合外法。
所以,企業制定內規、遵守內規的目的是合規,而不是控制、防范合規風險。
八、合規行為規范(合規行為準則/指引)
如上文所述,合規管理不是在企業經營管理活動之外再額外增加一套合規管理活動或合規動作,而是要“將風險管理和合規管理要求嵌入業務流程”“在具體業務制度的制定、審核和修訂中嵌入統一的內控體系管控要求”,即是將合規行為準則(合規指引)嵌入到企業的業務流程和經營管理活動(過程)中去,在企業的經營管理行為和員工的職務行為上打上合規烙印(合規留痕)。按照《中央企業合規管理指引(試行)》的規定,就是要“制定全員普遍遵守的合規行為規范”(第十七條),具體包括重點領域、重點環節和海外投資經營行為(第十三條、十四條、十六條)。
合規行為準則/指引必須要和企業的經營活動和管理活動相結合,根據企業經營活動和管理活動的特點,合規行為準則/指引可分為重點業務合規指引和專項合規指引兩類,前者為業務類合規指引,后者為管理類合規指引。業務類合規指引可根據企業的主營業務或經營范圍來確定,比如房地產開發業務、國際貿易業務、工程承包業務、金融業務、投資并購業務等,著眼于業務模塊、業務流程、業務操作的合規,目標是業務全面合規、業務全流程合規,在邏輯或方法論上適用歸納法。管理類合規指引分為一般管理類和專項管理類,一般管理類合規指引適用于所有企業,包括勞動用工、財稅、知識產權等,在邏輯或方法論上適用歸納法;專項管理類合規指引通常與業務相關但不是必不可少的,從監管角度看一般也不屬于行業監管,比如反洗錢、數據信息安全、環境保護、信息披露、反商業賄賂、反壟斷、反不正當競爭、資產交易等,著眼于管理模塊和業務模塊、業務環節,在邏輯或方法論上適用演繹法。
從業務流程合規的角度,可根據業務流程的長度分為一級、二級、三級流程,在三級流程中歸納、尋找合規控制點即合規行為準則。從業務模塊合規的角度,可根據業務模塊的結構,進一步分為業務合規模塊、業務合規二級模塊,在業務合規二級模塊中歸納、尋找合規義務點和合規行為準則。業務模塊與業務流程的分類不是絕對的,業務類型單一、業務線較長的適用業務流程合規模式;業務類型多元化、業務線較短的適用業務模塊合規模式;還有一類是業務類型多元化且各業務類型的業務線較長,這其中又分為業務線重合與業務線不重合兩類,可根據具體情形將業務類型多元化的業務分解成不同的業務模塊進而做業務模塊合規的分析。
2021年4月10日,國家市場監督管理總局公布處罰決定書,責令阿里巴巴集團停止濫用市場支配地位行為,并處以其2019年中國境內銷售額4557.12億元4%的罰款,計182.28億元;同時向該集團發出行政指導書,要求其全面整改,并連續3年向國家市場監督管理總局提交自查合規報告。2021年4月13日,國際標準化組織ISO發布ISO 37301:2021《合規管理體系 要求及使用指南》(Compliance management systems — Requirements with guidance for use,簡稱合規指南)。這兩件具有標志意義的事件將進一步加深企業對合規的感受和理解,合規指南則為企業建立完善合規管理體系提供了非常好的參考和工具。
合規管理體系對于企業提高合規意識、提升合規管理水平、降低合規管理成本、系統性合規的重要性和必要性是專項合規或個案(個別項目)合規所不能比擬和替代的,可以避免企業在合規管理上陷入頭痛醫頭、腳痛醫腳、首尾不能相顧、顧此失彼的境地。
以上是筆者對合規一般性問題的初步探討,也是筆者對合規體系相關基本問題的梳理,淺嘗輒止,希望能引起同仁對合規體系以及合規一般性問題的關注與興趣。
北京
北京市朝陽區東三環中路5號財富金融中心35-36層
電話:+86 10 8587 9199
上海
上海市長寧區長寧路1133號長寧來福士廣場T1辦公樓37層
電話:+86 21 6289 8808
深圳
廣東省深圳市福田區金田路榮超經貿中心4801
電話:+86 755 8273 0104
天津
天津市河西區郁江道14號觀塘大廈1號樓17層
電話:+86 22 8756 0066
南京
南京市江寧區秣周東路12號7號樓知識產權大廈10層1006-1008室
電話:+86 25 8370 8988
鄭州
河南省鄭州市金水區金融島華仕中心B座2樓
電話:+86 371 8895 8789
呼和浩特
內蒙古呼和浩特市賽罕區綠地騰飛大廈B座15層
電話:+86 471 3910 106
昆明
云南省昆明市盤龍區恒隆廣場11樓1106室
電話:+86 871 6330 6330
西安
陜西省西安市雁塔區翠華路500號佳和商務大廈A座26層07室
電話:+86 29 8931 3353
杭州
浙江省杭州市西湖區學院路77號黃龍國際中心B座11層
電話:+86 571 8673 8786
重慶
重慶市兩江新區慶云路2號國金中心T6寫字樓8層8-8
電話:+86 23 6752 8936
海口
海南省海口市龍華區玉沙路5號國貿中心11樓
電話:+86 898 6850 8795
日本東京
日本國東京都港區虎之門一丁目1番18號HULIC TORANOMON BLDG.
電話:0081 3 3591 3796
加拿大愛德華王子島省
加拿大愛德華王子島省夏洛特頓市皇后街160號B座
電話:001 902 518 2988
阿聯酋迪拜
迪拜伊瑪爾商業園1號樓505號
電話:971 52 8372673
Copyright 2001-2026 Anli Partners. All Rights Reserved 京ICP備05023788號-2 京公網安備11010502032603號
聲明:本官網文章僅供交流,不構成安理律師對特定事項的法律意見或建議。如您面臨法律問題,建議您聯系安理律師或其他具有相關資格的專業人士尋求法律幫助。安理法律咨詢電話:400-800-5639。
