【律师视点】合规与风控专栏 | 陶光辉:合规管理的基本原理:涵义、价值与要素
The following article is from 法务人俱乐部 Author 陶光辉
德衡律师集团高级合伙人
企业法务越来越多地被要求负责合规工作,并开始搭建合规管理体系,但很多法务对合规管理的认识,还处于比较浅显的地步。对于合规的基本概念、合规管理的内涵,包括合规管理的价值,都有不少模糊的地方。对合规管理体系如何搭建,合规工作与法务工作的差别性操作,更是一头雾水。企业法务,包括一些社会律师,根据自己的理解推动合规工作,使得本来属于舶来品的“合规”,在实践中是“各显千秋”。法务部要建立有效合规管理体系,还得从合规管理的基本原理说起。
一合规的概念
“合规”(compliance)是一个英语概念,指“遵循”、“遵守”、“遵从”。原在医学领域运用,指遵循医嘱。用到法学领域,“合规”指遵循“法规”。企业合规,是企业作为主体,对“法规”的主动遵守。在一些权威文件中,企业合规是指企业及其员工的经营管理行为符合法律法规、监管规定、行业准则,道德规范、企业规章制度以及国际条约、规则等要求。可以看出,企业合规的概念,其实由两部分组成。一是符合的“合”。“合”就是遵守、遵循的意思,而且是主动去遵守、遵循。二是各种规的“规”。“规”是法律、法规、规定等。
“规”是分层级的,可按两种角度来分。一个角度是按约束力强弱,另一个角度是按作用力方向。在前一角度,“规”分为强制性规定,如法律、行政法规、监管规定等,以及自愿性规范,如社会道德、职业规范等。自愿性规范,是对企业提出更高的伦理、道德标准。企业虽可选择性遵守,但一旦发生违反之处,对于企业,特别是大型企业,有时也会造成严重的声誉损害。因此,很多大型企业、跨国公司也特别重视这些自愿性规范。
在后一角度下,“规”分为“外规”和“内规”。外规是企业外部的规定、规范等,内规是企业自行发布的规定、规则等。外规,不仅是本国所颁布的法律、法规、规章,还包括本国参加的国际组织、国际联盟所发布的规定、规范,也包括他国发布的对本国企业有实际的约束能力的一些强制性法律、规定。最典型的如美国颁布的《反海外腐败法》,对于全球的跨国公司,在长臂管辖机制下,均有很强的约束力。这些域外法,也成为企业要遵守的,或者不得不遵守的“规”。
对“合”强调主动遵守,是因为企业作为一种人、财、物、信息的集合体,对于各项”规“的遵守不是会必然自动执行的,需要有意识的建立一些机制来保障、督促企业(企业内所有人员)去遵守。这些机制,正是合规管理体系建设中要落实的措施、行动等。对“规”分层级,是因为“规”本身是复杂的,有一些是对企业的业务有深刻影响的,有一些是需要企业优先考虑的。另外,一个重要的原因是,有一些“外规”,对企业来说,不易于识别,特别是对于企业内非法律人员来说。在不断产生新法的时代,法律条文和司法判例对于企业内大多数员工来说,是陌生的。因此,需要把一些“规”转化为企业员工能够更轻松认识到的“规”。这也正是合规管理体系建设需要重点关注的一项工作。
二合规管理的涵义
合规管理是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。从合规管理这个概念中,可以看出合规管理其实有三层涵义。
一是合规管理的目标,很明显,是防控合规风险。那么,什么是合规风险?合规风险,企业风险的一种,是因企业违反合规义务而产生的风险。合规义务,即我们在谈合规的概念时所述的“各项规”的边界。因此,合规管理的目标就是使企业不要触犯各项“规”。要达到该目标,显然首先是要识别这些合规义务。这一点,使得合规管理的目标和路径,与内控管理、法律管理等的目标和路径,是存在较大差异的。
第二,合规管理的对象,是企业和员工的经营 管理行为。合规管理,作为一种管理,其与其他管理,如营销管理、人力资源管理等,共同点是都把企业和员工的行为作为管理对象,不同点是合规管理的对象范围更广泛。营销管理,是把企业和员工的营销行为作为管理对象。人力资源管理,是把企业和员工的人力资源相关行为作为管理对象。合规管理,把企业和员工的全部经营管理行为作为管理对象。这正是合规管理原则的“全面性”之体现。
第三,合规管理的手段,包括制度制定、风险识别、审查、风险应对、责任追究、考核评价、培训等。合规管理是一种管理活动,管理上的措施和手段,合规管理都可以用得到,也应该用上。例如,制度制定,这是所有的企业管控活动必须依赖的。合规管理的手段,必须综合运用,形成一个可不断测量和改进的循环过程,方可取得好的效果。
三合规管理的历史发展
合规管理的起源,可从两条主线来看。一是合规领域的路线。1977年美国因水门事件及当时大量跨国公司向外国政府官员行贿以拿到订单的丑闻等而颁布的《反海外腐败法》(FCPA),可谓现代第一部与合规紧密相关的法案。美国《反海外腐败法》因其域外管辖效力引起一些国家和组织的非议,但FCPA作为最主要的“禁止企业向外部人员,特别是公职人员行贿”的法律规定,仍是合规领域中最传统的一种合规——反商业贿赂合规的来源。在FCPA之后,英国、法国等国家陆续出台一系列反腐败法案,要求企业实施主动的反贿赂反腐败机制。联合国、世界银行、经济合作与发展组织OECD等也相继制定一系列国际公约、实践指南,指导跨国企业建立有效的反腐败内控系统。反贿赂、反腐败合规,也称为狭义上的合规。之此同时,反垄断合规、出口管制与经济制裁、数据与隐私保护合规等专项合规也逐渐得到重视。目前,前述专项领域,加之以传统的劳动用工合规、环境保护合规、财务税收合规、安全生产合规等,合并在一起被称为“大合规体系”。
二是行业合规的路线。一开始,是金融行业的合规。以巴塞尔银行监管委员会2005年4月29日发布的《合规与银行内部合规部门》为标志,金融机构的合规管理工作体系正式普遍启动。《合规与银行内部合规部门》提出了合规管理十项原则,向各国银行业金融机构及其监管当局推荐有效管理合规风险的最佳做法。这种由监管部门为行业提供合规指引的做法,为后续企业合规管理发展奠定了良好的基础。从金融行业合规管理,目前已逐渐发展到外贸行业、互联网行业、零售行业、建设工程行业、高端制造行业等众多行业的合规管理。近期国务院反垄断委员会制定出台的《关于汽车业的反垄断指南》,更是将行业合规与专项合规结合起来,将企业合规管理的发展推向一个新阶段。
在合规管理的历史发展中,还有一份重要的法律文件。那便是1991年美国联邦量刑委员会颁布的《针对机构实体联邦量刑指南》。这一指南旨在统一美国联邦法律刑事判决中对违反联邦法律的获罪企业的量刑标准。《针对机构实体联邦量刑指南》中对违反联邦法律犯罪企业将面临的刑事处罚有明确规定。它不仅强调犯罪企业将面临高额罚款,同时它又规定,对于采取了发现和预防犯罪行为措施的公司,可免除或减轻处罚。这一制度后来被称为“合规激励机制”。它标志着现代企业合规体系走向成熟。在2004年《针对机构实体联邦量刑指南》进行修订,重申了企业建立有效合规体系可以减轻处罚的原则。该种“立法模式”的设计,激励着企业去主动建立有效的合规管理体系,完善内部控制措施。这其实是合规管理发展的最大推动力,被称为“合规管理机制的灵魂”。
四合规管理的文件渊源
合规管理虽是一种实践性工作,但其指导思想和核心内容却主要体现在合规发展进程中出现的各种经典合规文件中。这些文件,有的是国家法案,有的是行业指南或指引,有的是国际国内管理标准等。甚至可以说,合规管理的历史发展,基本上是围绕重要的合规管理文件为核心在推动。
在国内,目前有三类重要的合规管理文件在推动和指导企业合规管理的实施。一类是中央企业、国有企业的合规管理文件。在这方面的文件包括:2018年11月国务院国资委印发的《中央企业合规管理指引(试行)》,2018年12月国家发改委等七部委联合颁发的《企业境外经营合规管理指引》,以及各省国资委于2018年底到2020年陆续印发的《省属国有企业合规管理指引》等。如上海市国资委于2018年12月印发的《上海市国资委监管企业合规管理指引(试行)》,江苏省国资委于2019年12月印发的《省属企业合规管理指引(试行)》,广东省国资委于2020年3月印发的《广东省省属企业合规管理指引(试行)》等。
第二类是金融机构的合规管理文件。从2006年10月银监会最早颁布《商业银行合规风险管理指引》开始,各类金融机构的监管部门一直在颁布对金融企业的合规管理指引文件。目前最新版本的文件还包括:2016年12月保监会重新修订并颁发的《保险公司合规管理办法》,2017年6月证监会重新修订并颁发的《证券公司和证券投资基金管理公司合规管理办法》,2017年9月证券业协会发布的《证券公司合规管理实施指引》等。
第三类是国家标准制定部门颁发的合规管理标准文件。2017年12月国家质量监督检验检疫总局、中国国家标准化管理委员会使用翻译法等同采用IS019600: 2014《合规管理体系 指南》推出了中国的合规管理标准——GB/T 35770-2017《合规管理体系 指南》。该标准适用于所有类型的组织,当然也就包括所有类型的企业。适用性广,正是标准性文件的优势。但同时,从实用和操作角度,这也造成了企业适用标准文件的难题。由标准文件推动企业合规管理实践,其好处之一便是“标准”可以不断地更新和补充。目前有关标准机构正在制定合规管理有效性评价的新标准。
还有其他一些文件在推动某个专项合规或行业合规。如2020年9月国务院反垄断委员会印发的《经营者反垄断合规指南》,但相比于国资委发布的合规管理指引文件,这一类合规管理指引文件因其效力问题,对于企业合规并未起到很好的“指南”作用。正如《经营者反垄断合规指南》第二十八条明确表明,“本指南仅对经营者反垄断合规作出一般性指引,不具有强制性”。这使得这类文件推动企业某一领域合规的效果有待验证。
五合规管理的价值
合规管理的价值,是一个多维度的问题。关键是看对哪个主体的价值。有对企业的价值,对监管部门的价值,对员工的价值和对社会的价值等。从不同的主体看,价值点是不一样的。本书论述合规管理的价值,是从合规管理对企业作为一个整体的价值的维度。
如前述,企业之所以越来越重视合规管理建设,除了一些影响巨大的不合规案例(合规风险事件,如2006年爆发的西门子全球商业贿赂案)给世人带来警示等原因以外,“合规激励机制”是合规管理发展的内在驱动力。也就是说,企业为什么要在内部耗费资源和人力来建立预防式的自我“守法”约束机制?这些自我约束举措,对企业生存和发展有什么好处?或者换个角度,以前对企业违法违规行为的惩罚一直是存在的,为什么直到美国《针对机构实体联邦量刑指南》明确强调“企业建立有效合规体系可以免除或减轻处罚”,企业才真正明白建立这种预防式的自我约束机制是必要的。
这便是企业实行合规管理的独特价值。合规管理体系,不仅可以帮助企业减少违法、违规的行为,关键是万一被指控为违法、违规而企业整体将遭受“毁灭式“打击时,企业可以有一个大大的”缓冲地带“。涉事企业可以已建立合规管理体系为由,当然需要证明其有效性,在“合规激励机制”相关规定的支持下,有很大可能性避免整体被牵连进去。当然,需要“交出”具体的违法违规责任人。也就是这些直接责任人还是需依法承担法律责任的,但企业的最高责任人和企业自身,却可以此为由得到“免除或减轻”处罚。这里有两个前提条件。一个是需要有法律法规自身的制度预先创设,二是企业已建立合规管理体系并可证明其有效性符合该制度的规定。可以判断的趋势是,未来关于企业的刑事及行政责任追究,会越来越多地引进该种“立法技术“。
合规体系作为一种“责任切割”的原理,得到了很多企业的追捧。这促进他们投入资源去建立有效合规体系。但合规体系对企业的价值,除了这个“特有亮点”以外,还有其他同样重要的价值点。一是合规管理可防止或减少企业发生违法违规的行为,从而避免遭受越来越严苛的刑事责任或监管处罚,也能避免企业声誉受损而带来预料不到的其他损失。二是有效的合规管理,可提升企业的品牌,有助于企业在市场竞争中、商业合作中,以及履行社会责任中获得更高的评价,从而提升企业竞争力。这两方面的价值,可谓一个预防性价值,一个提升性价值。从企业的经营管理角度,尽管企业为了建合规管理体系投入了资源和人员等一些必要的成本,甚至放弃了一些短期的交易机会,但从长期来看,建合规体系是“非常划算”的。合规创造价值,已是一句被很多跨国公司奉为圭臬的论断。
六合规管理的要素
合规管理是一种有组织、有计划的管理活动。它的核心在于其是成体系的过程管理。过程是由一系列存有相互依存、相互加强关系的要素组成。合规管理体系本质上就是各个合规管理的要素组合而成的。这些要素,在不同的合规管理指引或标准文件中基本相同,但也不是完全一致。
目前国内中央企业、国有企业参考最多的合规管理指引文件,便是《中央企业合规管理指引(试行)》。这份合规管理建设指导文件,规定了央、国企的合规管理体系的必备要素。这些要素包括合规管理原则、合规管理职责、合规管理重点领域与环节、合规管理制度、合规风险识别预警机制、合规风险应对、合规审查、违规问责、合规管理体系有效性评估、合规考核评价、合规管理信息化、合规培训、合规文化、合规报告等14项。发改委等七部委联合颁发的《企业境外经营合规管理指引》以及各省国资委颁发的省属企业合规管理指引文件所体现出的要素,与国务院国资委的合规管理文件基本类似。
国家质量监督检验检疫总局、国家标准化管理委员会发布的GB/T 35770-2017《合规管理体系 指南》所体现的合规管理要素包括:组织环境(合规体系范围、合规治理原则、合规义务、合规风险评估)、领导作用(领导合规承诺、合规方针、合规职责)、策划(合规风险应对措施、合规实施策划)、支持(资源、能力和培训、意识、沟通、文件化信息)、运行、绩效评价、改进等七项。
对于合规管理,关键是要关注其体系或机制的有效性。这一点上,美国司法部2020年6月公布的新版《企业合规体系评估》(Evaluation of Corporate Compliance Programs)有一定借鉴意义。该合规管理文件从合规体系设计、合规体系实施、合规体系有效性等三个方面进行规定,其具体包含风险评估、政策与程序、培训和沟通、举报和调查机制、第三方管理、并购尽职调查、高中层管理人员的承诺、独立性和资源、激励和惩罚措施、持续改进、定期测试和审查、对不当行为的调查、分析和补救不当行为等13项要素。
世界银行集团一直致力于完善其制裁体系,其发布的《诚信合规指南》为很多企业所遵从。该合规管理文件体现的合规管理要素包括:禁止不当行为、职责、合规计划启动与风险评估及检查、内部政策、针对业务伙伴的政策、内部控制、培训与交流、激励机制、报告制度、不当行为的补救措施、集体行动等11项。世界银行该合规管理文件特别指出,“指南的适用对象主要为受制裁方,但也欢迎其他各方参考采纳。该指南并非包罗万象的唯一规范性文件,各方应根据自身情况决定是否予以采纳或做出相应调整。”
合规管理指引文件的要素对比
或许您还想看
陶光辉:DHH法务、合规、内控与风险一体化管理体系 建设服务方案
陶光辉 :央、国企建立“企业法治中心”的时代要求、框架设计与流程重组
作者简介
陶光辉
德衡律师集团高级合伙人
陶光辉,德衡律师集团合规与企业法治业务中心总监、法学硕士、高级经济师,曾任500强法务总监,获ALB2016中国最佳总法律顾问称号,目前担任“北大全球高端法商人才计划”(PKUGLBE)未来领袖授课专家,大连大学法学院客座教授,中国人民大学企业法治研究所研究员,青岛仲裁委互联网仲裁院副院长等社会职务,出版《公司法务部》、《法务之道》等书籍。陶律师专注国企合规与风控、法治管理等领域,为多家大型央、国企提供合规管理体系方面的培训与讲座,并发表多篇关于企业合规的文章。
手机:18201002170
邮箱:taoguanghui@deheng.com
质控人简介
王琳琳
合伙人
合规与企业法治业务中心执行总监
wanglinlin@deheng.com
✦本文仅代表作者观点,如需转载、节选,请在后台留言