通力法评 | 合规的四个基本问题

作者：通力律师事务所   潘永建 | 洪馨

对于中国企业而言, “合规”一词已经不再陌生。尽管如此, 不少企业可能对其含义仍不甚了解。明确何为“合规”之“规”, 是开展合规管理工作之前提。

“合规”一词最早起源于20世纪70年代的西方金融行业, 之后随着各国监管文件的陆续出台和监管力度的不断加强, “合规”开始在各行各业被普遍重视。“合规”之“规”的渊源存在多种理论, 我们在以下表一中总结了目前国际上合规监管领域的代表性文件, 以及我国有关合规的重要法律文件。总的看来, “合规”之“规”的含义非常广泛, 主要包括三个层次: 第一层是法律、法规和监管政策; 第二层是行业规范、企业内部的规章制度; 第三层是企业应遵守的道德规范和职业操守。换言之, “合规”之“规”不仅包括具有法律约束力的文件, 也包括普遍的道德规范和公序良俗; 不仅包括企业外部的监管要求, 也包括企业自身制定的行为规范。

表一: ”合规”之“规”的渊源

在全球化及“一带一路”背景下, 越来越多的中国企业开始“走出去”进行跨国经营。在讨论跨国经营合规的重要性之前, 我们需要了解一个重要的概念——“Carbon Copy” Prosecutions (副本指控)。

“副本指控”这一概念最初由Andrew S. Boutros和T. Markus Funk于2012年芝加哥大学法律论坛发表的一篇文章[1]中提出, 它描述了多个主权国家根据一个国家在成功执法行动中认定的企业的同一违法事实进行连续、重复起诉的趋势。举例而言, 如果一家公司与美国政府就国际贿赂相关指控达成谈判和解协议——无论是通过不起诉协议(non-prosecution agreement)、延期起诉协议(deferred prosecution agreement)还是认罪(plead guilty), 该公司将面临一种风险, 即其他国家将可能根据美国政府的调查结果和和解协议中认定的事实对该公司提出指控。如果和解协议涉及了某位公司高管, 即使和解协议中根本未提及该高管的名字, 该高管也面临着海外刑事指控的潜在风险。

一个典型的案例即是哈里伯顿公司(Halliburton)商业贿赂案。这家国际石油巨头曾向尼日利亚官员行贿1.8亿美元, 以获得价值60多亿美元的工程建设合同。2009年2月, 哈里伯顿公司以缴纳创纪录的5亿7900万美元罚款为代价与美国政府达成和解, 以结束美国政府对其进行的调查和指控。但是, 这项和解并没有给未受到刑事或民事指控的哈里伯顿高管们带来多久的平静。2010年12月, 尼日利亚政府对哈利伯顿、几家相关公司以及其多位高管提出了16项刑事控诉, 控诉的行为内容几乎完全反映了美国政府对同一事实的调查和指控, 且其中的大部分行为已被哈利伯顿公司公开承认实施。此外, 尼日利亚政府还援引了其与美国的长期引渡条约, 要求引渡被告(包括曾任哈利伯顿首席执行官的美国前副总统切尼)。最终, 在两周之内, 哈里伯顿公司通过支付另一笔高额罚款为代价与尼日利亚政府达成了和解。

由于同个行为可能受到多国法律的监管, 加上各国合规监管政策日趋严格, 同一违法违规行为可能遭受多国处罚, 这在客观上加大了企业跨国发展的合规风险。违规事件一旦发生, 企业不仅可能面临着多张天价罚单, 更将使企业的形象和声誉受到沉痛打击。因此, 加强企业跨国经营的合规管理事关重大。

我国法律法规为提升企业跨国经营合规管理水平提供了一些具体指引。2018年7月5日, 发改委发布了《企业海外经营合规管理指引(征求意见稿)》, 对中国企业在境外开展对外贸易、境外投资、海外运营以及海外工程建设等相关业务的合规要求进行了明确。同样, 《指引》要求强化海外投资经营行为的合规管理[2], 加强对海外人员的合规管理[3]。对于海外经营重要地区、重点项目, 《指引》还要求明确合规管理机构或配备专职人员, 以防范合规风险[4]。

《指引》明确要求各央企设立合规委员会, 承担合规管理的组织领导和统筹协调作用[5]。同时, 由法律事务机构或其他相关机构为合规管理牵头部门, 组织、协调和监督合规管理工作[6], 可以由总法律顾问担任合规管理负责人[7]。合规管理牵头部门独立履行职责, 不受其他部门和人员的干涉[8]。

《指引》对于合规管理部门的一系列设置要求体现了以下考虑因素:
(1) 设置专门的合规领导机构, 有利于企业合规管理工作的开展;
(2) 由于企业法务与企业合规有较大的相容性, 所以建议由法务部门牵头实施合规管理职能;
(3) 合规管理部门在行使职责上的独立性是该部门有效运作的保障。

实践中, 合规管理部门的设置主要有以下两种模式:
(1) 独立模式, 即企业设立独立的合规部门, 统一负责企业的合规管理, 常见于重监管行业(如医药、金融等)的企业、大型公司、上市企业等;
(2) 合并模式, 即企业不设立独立的合规部门, 由法律部门下设合规分部或者合规专员履行合规管理职责, 常见于合规风险较低或者规模较小的企业。

大型跨国公司一般在总部设有独立的合规部门和首席合规官, 并在各国家或区域的分支机构设置当地的合规部和合规官。总部合规部门直接向高级管理层汇报; 各分支机构的合规部门则存在两条报告路线, 在向上一级合规主管报告的同时, 也向合规部门所在的分支机构的行政主管报告。

企业合规部门的设置采取何种模式, 取决于企业的组织架构、规模、运营管理模式以及行业监管环境。

企业应当注意, 无论采取独立模式抑或合并模式, 虽然企业法务与企业合规在部分职责上趋同, 但企业法务和企业合规在管理工作上还是存在较大的区别。企业法务职责重在负责起草、审查和修改各类合同, 进行法律咨询, 处理知识产权、劳动纠纷、争议解决管理(诉讼、仲裁)等事务; 企业合规则关注业务过程中影响企业各方面利益的风险点, 负责建立并维护合规管理体系, 监测、评估、控制、处理合规风险, 进行合规培训, 建立对不合规行为“零容忍”的合规理念。根据我们对“合规”之“规”的解读, 合规本质上属于公司治理的一部分, 合规管理中对于企业规章制度、道德规范的遵守以及对于合规文化的培养, 企业法务职能未能全部覆盖。采用独立模式将更有助于合规管理工作的有效开展; 即使采取合并模式, 也需要在法律部门内配备具备相关知识和经验的合规管理人员。

此外, 合规管理与全面风险管理、内部控制的职能也有紧密的联系, 都是企业治理与管理中不可缺少的部分。全面风险管理, 指企业围绕总体经营目标, 在企业管理的各个环节和经营过程中执行风险管理的基本流程。全面风险管理体系包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统等[9]。内部控制, 指企业围绕风险管理策略目标, 针对各项业务管理及其重要业务流程, 通过执行风险管理基本流程, 制定并执行的规章制度、程序和措施[10]。一方面, 合规管理是全面风险管理的一个重要内容。合规管理作为一项独特的风险管理技术, 较早是在金融行业普通使用。随着企业通过一系列重大合规风险事件认识到了合规管理的专业性和重要性, 企业开始整合内部管理资源, 逐渐形成了一整套专门的合规管理机制。现在的企业, 特别是银行类金融机构, 普遍把合规管理作为一项核心风险管理活动。另一方面, 内部控制是操作和实现合规管理的重要手段。合规是内部控制的目标之一; 如果说合规管理更注重结果, 内部控制则更重视管理的过程, 并发展出了完整的工具和方法[11]。有专家认为[12], 合规管理、内部控制、全面风险管理都根源于企业的委托-代理机制的天然局限性, 是从不同视角来填补委托-代理机制所会带来的缺憾: 合规管理强调对规则(法律、规章制度、商业伦理)的遵守, 内部控制强调对行为(企业各层级、业务各环节)的限制, 而全面风险管理则强调对风险纳入管理(战略制定与执行)的运用。从三者的内涵来看, 合规管理小于内部控制, 内部控制小于全面风险管理。

无论合规部门如何设置, 应保持合规部门的独立性。一方面, 合规部门履行职责不应受其他部门和人员的干涉; 另一方面, 合规部门不应承担与合规管理相冲突的其他职责。同时, 应当保证合规部门向企业高级管理层的独立汇报线, 否则合规风险无法传达到高级管理层, 合规部门将形同虚设。例如, 在中兴公司因违反美国出口管制法律而受到美国政府制裁之前, 中兴公司的合规管理部门没有向董事会直线报告的渠道, 而业务部门拥有的决策权力可以轻易突破合规管控, 使得中兴公司的合规管理部门没有发挥应有的职能。中兴事件暴露了中兴公司合规管理体系的重大缺陷, 事后, 中兴公司重组了法律及合规管理部, 将合规职能从法律部门分离, 建立了独立的合规管理部门, 并聘请合规专业人士, 保证合规部门的独立性[13]。

《指引》明确将“全面覆盖”作为建立健全合规管理体系的一项原则[14], 合规要求必须覆盖各业务领域、各部门、各级子企业和分支机构、全体员工, 并且贯穿决策、执行、监督全流程。同时, 《指引》还规定了自上而下的合规管理体系, 从董事会、监事会、经理层、合规委员会、合规管理负责人、合规管理牵头部门、业务部门到监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门, 均规定了各自相应的职责[15]。

《指引》的要求体现了“全面合规”的理念, 即一个完整且有效的合规管理体系必须具备以下要素:
(1) 在覆盖主体方面, 合规要求覆盖企业的各业务领域、各部门、各级子企业和分支机构、全体员工;
(2) 在贯彻执行方面, 合规要求贯穿企业各相关部门的制度制定、经营决策、生产运营、流程监督的各个环节;
(3) 在管辖内容方面, 合规管理关注市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴关系、跨国投资经营等各领域;
(4) 在持久建设方面, 合规工作重视培养和建立全面的合规意识以及合规文化。

为了建立全面有效的合规风险管理体系, “事前预防、事中控制、事后整改”这三方面缺一不可。其中, 从经济成本和治理效益出发, 事中控制优于事后整改, 事前预防更优于事中控制。全面有效的合规管理工作应该包括以下方面:

(1) 合规文化培养。建立制度化、常态化的培训机制, 定期开展针对新员工、新任管理人员、特定层级员工、关键岗位人员、高风险部门员工(如销售、采购、财务等)的合规培训, 使员工能够熟悉并遵守各项合规政策。同时, 通过制定发放合规手册、签订合规承诺书等方式, 树立员工依法合规、守法诚信的价值观。从培养合规意识角度看, 中国企业应树立“做对的事情(do right things)”的企业文化, 而不仅仅是“以对的方式做事情(do things right)”。这是因为, 后者往往默许甚至鼓励企业员工变通规则(bend the rule)以达到商务目的, 最终的结果是企业员工将逐步由变通规则演变为违反规则(break the rule);

(2) 识别合规风险。企业应结合自身实际, 全面系统梳理经营管理活动中存在的合规风险, 对风险发生的可能性、影响程度、潜在后果等进行系统分析, 以有针对性地加强对重点领域、重点项目、重点环节、重点人员的合规管理, 切实防范合规风险;

(3) 制定合规政策。企业应确保有“规”可循, 即按照外部法律法规的要求确立企业内部合规行为规范, 至少应包括员工行为守则(Code of Conduct)、反腐败政策、避免利益冲突政策、举报处理工作流程等, 并根据法律法规变化和监管动态, 及时将外部有关合规要求转化为内部规章制度;

(4) 监督合规政策的执行。监督业务决策及执行的内容和流程是否合规, 监督合规管理人员的职责履行情况, 并定期评估合规管理系统是否能够有效覆盖和管控全部合规风险, 在此基础上完善相关制度;

(5) 合规事件处理。对于合规风险事件, 展开内部调查, 对相关违规员工采取适当的惩戒措施, 并相应修订相关制度或流程上的漏洞。

在以上步骤中, 最重要同时也是最困难的一步是持续建设企业合规文化。随着中国法制化进程的日益加强, 原先存在的“(守规矩的)老实人吃亏”这一现象正在逐步消除。企业进行有效合规管理的关键在于合规文化的塑造和推广, 在于全体员工合规理念的树立和合规行为的养成。事实上, 合规文化正是欧美跨国公司成为“百年老店”的支柱之一。正如通用电气公司前总法律顾问Ben Heineman所推崇的“正直的文化”(a culture of integrity)[16], 它包括“遵守正式规则的精神和文字”, “采用超出约束公司及其雇员的正式规则的道德标准”, 以及培养“在内部和外部关系中体现诚实、公平、坦率、可信和可靠等基本价值观”的员工群体, 而正直的文化最终可促进提高企业的生产经营效率。合规文化的影响力是巨大而深远的, 企业合规管理工作只有建立在合规文化的基础上, 才能真正有效和长久。因此, 企业应重视培养合规文化, 使合规成为员工内心的信念, 成为员工行为的价值判断标准。

联系人：

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。