陈瑞华:解析企业合规4大易混淆问题
企业合规的本质在于通过建立一种防范、识别和应对违法违规行为的机制,在企业内部形成依法依规经营的惯例和文化。
企业合规并不是一般意义上的“法律风险防范”,而是专门针对行政监管处罚风险、刑事法律风险以及国际组织制裁风险,所建立的自我监管、自我报告、自我预防和自我整改的公司治理体系。企业合规既包含着依法依规经营、避免遭受损失的道德意义,同时也成为行政监管部门作出宽大监管处罚的依据,以及刑事执法机关作出宽大刑事处理的理由。
一、企业合规还是企业高管合规?
正因为如此,对于企业合规的概念和性质,我们经常存在着一些认识上的争议,也存在着一些不准确的判断和界定。本着正本清源的考虑,我们有必要对企业合规的性质作出进一步的揭示,并对有关的分歧和争议作出简要的澄清。
一些研究者认为,合规不仅仅是指企业合规,而且还包括企业高级管理人员的合规。有人甚至直接将企业合规与“企业家的风险防控”划等号。尤其是在刑法领域,鉴于我国刑法确立了单位犯罪制度,并设定了近两百个单位犯罪的罪名,而刑法对这些犯罪均实行“双罚制”,也就是确立一个犯罪主体,但要对单位和直接责任人员同时科以刑事处罚。因此,一些学者直接指出,企业合规机制的建立,既要达到防控企业法律风险的效果,也要避免公司高管承担刑事责任。
这种将企业合规混同于企业家风险防控的观点,是不能成立的。这是因为,企业合规的本质在于通过建立一种防范、识别和应对违法违规行为的机制,在企业内部形成依法依规经营的惯例和文化。通过建立合规机制,企业为高级管理人员、普通员工和第三方的行为划定了行为边界,依据各自法律法规设定了权利、义务和责任,并督促高管、员工和第三方遵守法律法规,避免从事违法违规的行为,对违法违规行为承担各自的责任和后果。
很显然,企业合规是企业对高管、员工和第三方等合作伙伴所展开的一种自我管理、自我防范和自我约束机制,属于企业内部治理的重要方式。企业合规所防范的当然是企业风险,而不是企业家的风险,更不是一般公司高管的风险。这是其一。
其二,企业合规机制的实施,可以有效地分割企业责任与员工、高管、第三方甚至被投资并购方的责任,最大限度地保护企业的利益。随着企业的发展,企业内部的治理结构变得越来越复杂,一些企业动辄拥有数以万计的员工,或者数以百计的分支机构。企业不仅面临着管理成本增加的问题,而且面临着企业因其高管、员工、第三方的行为而承担法律责任的问题。
而在投资并购等经营领域,那些作为投资并购对象的其他企业,一旦存在着违法违规行为,也有可能使负责投资并购的母公司受到连累,使其承担不应有的法律风险。而企业一旦建立合规机制,就意味着企业要对员工、高管进行必要的合规培训,将其合规政策和程序向高管和员工进行持续不断的传达和沟通,必要时还要向高管和员工发放员工行为手册,与高管和员工签署合规承诺书。
这样,一旦发生高管或员工的违法违规行为,企业就可以将上述合规管理行为作为免除企业责任的重要依据,从而将企业责任与高管和员工责任进行了有效切割。
与此同时,在发展诸如供货商、经销商、代理商等第三方合作伙伴的过程中,企业一旦建立合规机制,就要进行必要的合规风险评估,对潜在的第三方进行合规尽职调查,对存在违法违规风险的第三方进行必要的合规管理。这些第三方一旦出现违反违规行为,企业的这些合规管理行为,也可以成为其免除法律责任的重要依据。
不仅如此,在开展投资并购等经营活动过程中,作为被投资并购方的企业,一旦存在违法违规行为,根据所谓的“继承责任原则”,就有可能使得负责投资并购的母公司承担相应的法律责任。为避免承担如此大的法律风险,作为母公司的企业在投资并购之前,就应按照企业合规的机制,对被投资并购的企业进行合规风险评估,展开合规尽职调查,进行必要的合规风险管理。由此,被并购企业一旦出现违法违规行为,母公司就可以合规管理行为为依据,为自己进行必要的合规免责抗辩了。
从上述合规风险防控的角度来看,企业合规的本质是通过将企业责任与高管责任、员工责任、第三方责任和被投资并购方的责任进行有效的切割,最大限度地保证企业不因上述各方的违法违规行为而承担法律责任,从而有效地避免法律风险。这种企业合规不仅不等于企业家的风险防控,而且还将企业责任与企业家的责任进行了必要的区分。
其三,从企业应对合规风险的角度来看,企业合规包含了自我披露和自我内部调查的因素,而这种应对经常包含了对从事违法违规行为的高管和员工进行惩戒的内容。既然如此,企业合规机制的实施,就不仅不会加强企业家的风险防控,反而有可能带来追究企业家法律责任的后果。
企业一旦出现违法违规行为,就有可能面临着监管部门的调查和处罚。为避免受到更大的损失,那些建立合规机制的企业,通常都会在配合监管部门的基础上,展开独立的内部调查,不仅要查明企业违法违规的事实和企业合规机制的缺陷,而且还要查明造成企业违法行为的直接责任人员,并对这些责任人员作出纪律惩戒,必要时还要将那些负有责任的高管送交司法机关,使其被追究法律责任。
二、企业合规是否等于“内部控制”?
其实,企业合规本质上是对合规风险的防控体系。研究合规的性质,需要厘清合规风险的性质,也需要清晰界定合规风险与其他公司风险的关系。
一般而言,公司治理结构的基本目标是要解决两个关系:一是股东和经营者的关系,亦即所有权和经营权的关系;二是大股东和中小股东的关系,经济学中的“隧道效应理论”,探讨的就是控股股东侵害中小股东利益的现象。而如何保护中小股东权益,属于现代公司治理的一大难题。
那么,在公司治理层面上,企业究竟要防范什么样的风险呢?在企业所面临的诸多风险之中,合规风险究竟处于什么样的地位呢?
其实,很多企业负责人由于没有正确认识公司治理风险的概念和种类,因而也就难以意识到合规风险的重要性。例如,有人把公司治理风险分为投资风险、并购风险、融资风险、销售风险、市场风险、产品质量风险、技术风险、知识产权风险、用工风险等数十种。有人甚至将合规风险视为上述诸多风险的一种。这种观点显然没有抓住重点,也没有认识到合规风险的本质。
一般而言,企业会面临三个方面的风险:一是经营风险;二是财务风险;三是合规风险。下面简要分析一下这三种风险的关系。
第一种经营风险也被称为“业务风险”。企业在开展投资并购、市场销售、质量保障等各种业务活动过程中,所面临的投资得不到回报、企业无法营利、面临生存困难的风险,都可以被称为经营风险。经营风险需要依靠公司治理结构中的业务治理来进行有效的防控、识别和应对。
公司首席执行官(CEO)是经营风险治理的第一责任人,由其所率领的执行团队是为企业创造业务收益的骨干力量。但是,经营风险属于经济学研究的范畴,企业要规避经营风险,就需要通过研究投资经营全过程,按照市场和经济规律,寻找解决问题的对策。
第二种风险是财务管理风险。这主要是指由于在财务管理上存在混乱、舞弊、贪腐等行为,企业遭受经济损失,无法实现营利目的,甚至濒临破产的风险。一个良好的现代财务管理制度包含非常复杂的环节,公司除了配置首席财务官以及专门财务管理部门以外,还要设立审计机构对企业财务管理进行必要的监督。有些企业甚至在董事会之下设立相对独立的审计委员会,以提升审计部门的权威性和独立性。可以说,财务管理是独立与经营管理活动的独立治理体系。
第三种风险就是合规风险。合规风险既不同于经营风险,也不同于财务风险,是指企业因为在经营中因为存在违法违规乃至犯罪行为,而可能遭受行政监管部门处罚和司法机关刑事追究的风险。根据前面的分析,合规风险可以分为监管处罚风险、刑事风险和国际组织制裁风险等三种。
合规风险一旦得不到控制,企业除了被追究法律责任以外,还有可能被剥夺特许经营资格,甚至被吊销营业执照,从而使企业遭受经济损失乃至声誉损失,由此引发的“雪崩效应”会使企业承受灾难性的代价。
由此可见,企业建立合规机制,并不是防控一般意义上的“风险”,而主要是因违法违规行为而受到监管处罚和刑事处罚的风险。这种合规风险不仅不同于企业的经营风险,也与企业的财务管理风险具有实质性的区别。
正因为如此,在那些建立有效合规计划的企业中,在董事会领导之下,同时并存着业务经营、财务管理和监督以及合规管理等三大公司治理体系,三者分别防控相应的经营风险、财务管理风险以及合规风险,它们相互独立,相互制衡,各自具有较高的权威,在公司治理中发挥着不同的作用。
三、合规是否等于“法律事务”?
据此,有人认为,所谓企业合规,就等于公司的法律事务,要对企业所遇到的全部法律风险承担防范、识别和应对责任。有人甚至指出,企业建立合规机制,除了要防范行政监管风险、刑事风险和国际组织制裁风险以外,还要承担民事法律风险。据此,有人还提出了所谓“民事合规”的概念。还有人认为,企业因别人实施违反或者犯罪行为而遭受经济损失或其他损失的风险,也属于企业合规所要防范的“法律风险”。因此,企业合规机制的实施,还要注意防范受到犯罪行为侵害的风险。
假如企业合规就等于所谓的“法律事务”,或者等同于“法律风险防控”,那么,企业普遍设立的法律事务部门就足以担当这种防控法律风险的责任了,何必还要设置专门的合规管理部门呢?更何况,从西门子重建反贿赂合规计划的经验来看,该公司原本就设立了法律部门,为什么还要重建合规组织体系和合规管理机制呢?而从中国中兴通讯公司重建出口管制合规体系的经验来看,该公司早就设立了法律事务部门,为什么在接受美国司法部、商务部和财政部的出口监管调查之后,还要重建出口管制合规体系呢?
上述企业重建合规计划的经验显示,企业合规并不等于一般意义上的法律风险防控。一个企业从其成立之日起,经过时间不等的经营过程,直到被吊销营业执照、宣告破产或者自行解散之日为止,要受到多种法律和法规的规范和约束,也面临着难以计数的法律风险。
假如我们将“法律风险”界定为因违反法律法规而受到处罚或遵守损失的风险,那么,企业几乎在每时每刻以及在每个经营管理环节,都会面临着这样的“法律风险”的。
例如,企业一旦违反民事合同法,存在违约行为或者合同欺诈现象,就有可能被别人提起民事诉讼,并进而承担民事责任。又如,企业一旦违反劳动法,侵犯了员工的合法权益,也有可能被诉诸司法程序,承担民事赔偿责任。再如,企业受到其他企业或者个人的违反犯罪行为的侵害,如被采取诈骗行为,被严重侵害权益,被内外勾结的人采取了贪腐或者舞弊行为,等等,因此受到严重的经济损失。
那么,企业所遇到的上述“法律风险”究竟是不是“合规风险”呢?企业合规是不是要防范所有这些法律风险呢?
答案是否定的。
其实,在各种法律风险之中,对企业具有致命影响的还是企业因为违反法律法规而受到监管处罚和刑事追究的风险。例如,企业因为实施商业贿赂行为,受到了反不正当竞争部门的调查,或者受到刑事执法机关的立案侦查;企业因为接受腐败分子或恐怖分子的融资,违反了有关反洗钱的法律,因此受到金融监管部门的调查,或者受到检察机关的起诉;企业因为违反有关网络安全管理法律,或者存在侵犯个人信息的行为,受到有关监管部门的调查,或者受到法院的刑事审判;企业因为违反有关出口管制的法律,而受到监管部门的行政处罚,或者被追究刑事责任;企业因为排放危险废物,造成污染环境的法定后果,因此被环境保护部门采取行政处罚,或者被法院予以定罪……
这种由监管部门启动的行政执法程序一旦启动,企业有可能被作出严厉的行政处罚;这种由刑事执法机关启动的刑事诉讼程序一旦启动,企业就可能被宣告有罪,并被追究刑事责任。甚至在由世界银行等国际组织所发动的制裁程序中,这种制裁一旦实施,那么,企业将会遭受重大损失。
而上述行政处罚、刑事追究以及国际组织制裁所带来的最严厉后果,莫过于企业“被剥夺特定资格的后果”。根据前面的分析,这种资格剥夺可以是企业失去特定经营许可资格,也可以是丧失贷款和参加投标的资格,还可以是被吊销营业执照,从而被依法宣告为“企业死亡”。
正因为上述监管制裁、刑事追究和国际组织制裁会给企业带来如此严重的后果,因此,我们才将受到这些特定处罚视为一种特殊的“合规风险”,并将其与一般的法律风险区别开来。
也正是为了防范这种合规风险,企业才需要设立合规委员会、首席合规官、合规部门等合规组织,并在发布商业行为准则和员工行为手册的前提下,建立专门的合规风险防范、识别和应对体系。
由此可见,企业合规并不是一般意义上的“法律风险防范”,而是专门针对行政监管处罚风险、刑事法律风险以及国际组织制裁风险,所建立的自我监管、自我报告、自我预防和自我整改的公司治理体系。
当然,无论是中国企业还是西方企业,大都没有将合规组织与原有的法律事务部门完全分离开来,而是由公司总法律顾问或法律总裁兼任首席合规官,或者将合规部门设置在法律事务部之下。但这并不意味着合规部门所承担的是一般意义上的法律风险防控工作,而恰恰显示出合规部门所承担的“合规风险防控”,既是整个“法律风险防控”工作的组成部分,也与一般的“法律风险防控”具有实质性的区别。
四、企业合规究竟是道德问题,还是法律问题?
之所以要提出这一问题,是因为不少研究者对此存在着分歧和争议:有人认为,企业合规本质上是道德问题,因为它无非是企业进行自我管理和自我建章立制的问题,迄今为止也没有任何国家在基本法律中确立合规机制。与此同时,企业合规机制的实施,最终还是依赖于企业形成一种依法依规经营的文化。而这种文化本身就属于道德问题或者企业伦理问题,没有上升为法律层面的问题。
但是,也有人认为,企业合规不是道德层面的问题,而仅仅属于属于法律问题。这是因为,无论是西方国家还是中国,在行政法中都确立了以合规换取宽大行政处理的激励机制,尤其是确立了以合规为基础的行政和解协议制度。而西方国家还在刑法中确立了以合规换取宽大刑事处理的刑事合规机制,并在刑事诉讼法中确立了对合规企业的暂缓起诉协议或不起诉协议制度。这显然说明,企业合规已经被纳入行政法律和刑事法律之中,成为国家法律体系的组成部门。
这两种观点貌似各有道理,但都有失偏颇。从根本上说,这种争论反映出研究者对于企业合规的概念没有进行全面的了解和掌握。
按照前面的分析,企业合规是一种非常复杂的公司治理方式,具有多重的含义。从其积极含义来看,企业合规似乎就是企业“遵纪守法”的代名词,与自然人一样,被赋予依法依规进行经营活动的义务。这种企业合规似乎难以被归入“法律制度”的范畴。
与此同时,从其消极含义来看,企业合规属于企业为避免因违法违规行为而遭受监管处罚或者刑事处罚所建立的公司治理方式。为避免遭受经济损失以及其他损失,企业在内部建立了旨在防控、识别和应对合规风险的管理机制。这似乎也不属于典型的法律问题,而带有“道德问题”的色彩。
更何况,在企业合规制度发展的早期,众多西方企业一度将企业合规管理部门直接称为“道德与合规部”,甚至将企业合规的负责人命名为“首席道德与合规官”。而企业合规机制的实施,确实也要形成一种依法依规经营的文化,由此还提出了所谓“合规文化”的概念。
这些都显示出,企业合规的确有其道德问题的性质,那种将企业合规仅仅视为法律问题的观点,是有失偏颇的。
但是,企业合规是否属于单纯的道德问题呢?答案也是否定的。
常识告诉我们,假如企业合规仅仅属于道德问题,那么,为什么在行政法中要确立行政监管合规机制和行政和解协议制度?为什么在刑法中要确立刑事合规机制?为什么在刑事诉讼法中要确立暂缓起诉协议或者不起诉协议制度?
即便在我国,随着企业合规机制逐步被确立在企业管理过程之中,行政法律开始确立行政执法和解制度,使得企业建立合规机制可以成为达成行政和解的依据,同时开始确立合规抗辩制度,使得企业可以建立合规计划为根据,将企业责任与员工责任加以分离。
这也足以说明,我国在行政法律中已经引入了合规激励机制,初步形成了行政监管合规的制度框架。至于刑法和刑事诉讼法,目前的确尚未将合规纳入激励机制中,暂时无法使合规成为司法机关对企业作出宽大刑事处理的依据。但根据西方国家建立企业合规制度的经验,这种刑事合规迟早会被引入我国刑事法律之中。
而从西方国家行政监管和刑事执法的经验来看,对于那些没有建立合规计划或者合规计划存在漏洞的企业,监管部门和刑事执法部门会作出严厉的处罚,追究其法律责任。而对于建立有效合规计划的企业,监管部门则有可能与其达成行政和解协议,刑事执法机关也有可能与其达成暂缓起诉协议或者不起诉协议,责令其重建合规计划。
即便对涉案企业作出行政处罚或者刑事处罚,有关部门对建立合规计划的企业,也会予以宽大处理。这显然说明,企业合规已经被行政法律和刑事法律所吸收,成为有关部门对企业作出行政处理和刑事处理的重要依据。
很显然,在西方国家,企业合规早就属于行政法律和刑事法律所共同确立的法律制度,成为监管部门对企业作出宽大行政处理的依据,也成为刑事执法机关对企业作出宽大刑事处理的理由。
不仅如此,企业合规的发展经历了从道德治理走向法律治理的过程。
在20世纪六十年代,直至90年代,西方企业已经开始展开了合规管理体系的建设。这一阶段的企业合规机制,基本属于企业内部自我管理、自我建章立制的问题,无论是行政监管部门还是刑事执法机关,对于企业合规没有作出法律规定。
可以说,这一阶段的合规制度基本上不属于法律问题,而带有道德问题的性质。但自20世纪90年代以来,随着企业违法违规情况的愈加普遍和严重,对于企业加强监管和治理成为西方国家普遍关注的问题。
特别是20世纪初期,随着安然、世通和安达信等企业欺诈丑闻的爆发,加强对企业(特别是上市公司)的监管,尤其是通过督促企业建立内部控制体系来督促其依法依规经营,已经引起整个西方社会的普遍重视。
自此以后,企业合规作为一种公司治理方式,再也不是企业自由选择的道德治理问题,而成为企业为避免最严重损失而不得不采取的危机应对方式。而为避免监管部门和刑事执法机关滥用自由裁量权,西方国家在行政法和刑事法中确立了有效合规的标准,企业与有关执法机关达成和解协议的条件,甚至确立了对于合规企业予以宽大处罚的标准和幅度。
合规制度的发展历史也足以证明,随着行政法和刑事法的发展,企业合规早就从最初的道德治理方式,转化为当下的法律治理方式,成为监管部门从外部督促企业自我监管、自我整改的法律依据,也成为刑事执法机关从外部督促企业建立防范合规风险、识别违规行为以及应对监管调查的法律依据。
结 论
最初,企业合规属于一种由企业和行业协会推行的内部治理方式。后来,随着政府监管力度的加强,企业合规从原来的依法依规经营,变成了在行政监管激励和刑事激励下的企业治理方式。
在诸多国际组织的推动下,企业合规还逐渐成为一种新的国际公司治理方式,不仅为一些国际公约所确立,而且还成为国际组织督促企业改变经营方式的执法激励机制。
因此,企业合规不仅仅具有企业依法依规经营的含义,还是企业自我治理、自我监管和自我整改的治理方式,更是一种在企业陷入执法调查时获得宽大处理的激励机制。
迄今为止,企业合规刚刚被引入我国行政监管体系,一些企业开始了建立合规体系的努力,一些法律服务机构也尝试为企业提供合规服务。但是,假如不对企业合规的含义和性质作出准确的定位和认识,那么,无论是监管部门还是企业、法律服务机构,都有可能偏离企业合规的发展方向,甚至因为无法建立有效合规计划,而给企业造成更大的合规风险和经济损失。
原则上,企业合规视为避免企业自身合规风险而建立起来的治理体系,它尽管有时会使企业高管获得收益,但从本质上不是“保护企业高管”的管理机制。有时为维护企业的最大利益,实现企业责任与员工责任的有效切割,企业甚至还要对直接实施违法违规行为的高级管理人员进行纪律惩戒,交给执法部门和司法机关予以处理。
与此同时,企业合规也不是一般意义上的“风险防控”,甚至也不等于笼统的“法律风险防控”。企业合规对于经营领域的业务风险和内部管理中的财务风险没有防范效果,也不同于一般意义上的“法律风险防控”,而是针对行政处罚风险和刑事法律风险所建立的专门公司治理机制。对于那些参与国家组织招投标项目的企业而言,企业合规还有助于防止那种国际执法处罚的风险。
不仅如此,对于那些存在违法违规行为的企业而言,建立合规机制,不仅仅属于一种道德义务,更属于一种法律义务,因为国家法律和行政监管法规中确立了强制合规的制度,行政法和刑法开始将企业合规确立为一种执法激励机制,不履行合规管理义务,企业就有可能受到行政处罚或者被追究刑事责任,并因此承担诸多方面的损失。从道德问题变成法律问题,这恰恰是企业合规得到普遍确立的制度保障。
作者 | 陈瑞华 北京大学法学院教授、博士生导师
来源 | 浙江工商大学学报
节选自:陈瑞华《论企业合规的性质》载《浙江工商大学学报》2021(1)
推荐阅读