孙甲夫
吉林攸同律师事务所,吉林 长春 130033
目前为止,国内合规管理体系相关规定主要有《合规管理体系指南(GB/T 35770:2017)》《中央企业合规管理指引(试行)》《企业境外经营合规管理指引》《中央企业合规管理办法》等,国际上广泛应用的是国际标准化组织(ISO)2021年发布的ISO37301:2021《合规管理体系要求及使用指南》。上述各体系中对企业在合规制度建设中提出了基本一致但内容略有不同的标准,企业无论按照哪种体系建设合规,基本上都是从三个基本方面设计的:一是合规体系具有预防企业违规、违法行为发生的功能,二是合规体系具有监督企业实施合规计划过程中是否存在违规、违法行为的作用,三是当企业发生了违规、违法行为时应当具备相应的应对措施。据此,企业合规管理体系能否发挥防范、监控和应对违规行为的作用,关键在于体系包含的基本要素内容是否完善、全面和具体。前述几种合规体系分别规定了企业合规体系建设基本要素,各体系对要素的规定既有共同之处,也有不同之处,但总体来讲企业合规管理体系建设基本要素主要包含以下内容:
企业合规方针是企业合规管理体系的首要构成要素。[1]企业合规方针涵盖了企业合规体系建设的发展方向以及长期规划和远景目标。企业建设发展的目的通常要做大做强,而实现这个目的必须要遵循依法经营的理念,以法治思维管理企业,运营企业,以依法治企的思想使企业走上合法化、规范化的道路,促进企业可持续发展,确保企业合法权益的实现。企业合规方针应当包括合规宗旨和合规目标。
企业合规宗旨是关于企业合法、安全、稳定运营的目的的阐述。企业合规宗旨明确回答“什么是企业合规”这个问题,体现了企业建设合规管理体系的任务。企业合规宗旨包含了合规目的、合规原则及合规行为基本准则等内容。企业合规宗旨的作用在于统一企业全体员工的合规意识,固化员工依法依规行事的理念,不断加强法律意识,避免违法行为发生。
企业合规目标是指通过合规管理体系建设所要实现的合规目的。企业在经营过程中最大的风险就是法律责任风险。法律责任有三种,一是民事责任,主要是民事赔偿;二是行政责任,主要是行政处罚(罚款);三是刑事责任,主要是追究企业主要责任人的刑事犯罪责任和企业罚金。其中最严重的就是刑事责任。合规要为企业发展保驾护航,创造价值,避免因为违法违规行为而使企业或领导人遭受损害。由此可以看出,企业合规目标的最终目的无疑是避免企业和领导人承担任何法律责任,防止利益受损。
第一,企业应当建立适应合规要求的公司治理框架,即明确股东会、董事会、监事会的权责关系及其他们在合规管理中的权力和职责;第二,企业应当建立有效的合规风险管理组织架构,明确合规部门和相关部门的职责和人员组成;第三,企业合规建设需要全体员工共同参与。[2]
合规组织的主要职能包括:第一,起草合规制度和计划;第二,督促、协调、落实合规计划和要求;第三,调查违规违法问题,提出处理意见;第四,识别各类合规风险;第五,组织合规责任考核;第六,执行整改工作。[3]
制度是组织存在的基础,具有根本性、全局性、稳定性和长期性等特征。企业合规体系建设从形式上看也是制度建设的体现。合规是指企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度,以及国际条约、规则等要求。[4]完善的“合规”体系是由一系列的国内、国外的法律法规、条约规则及行业准则和企业内部各项规章制度构成的,是不可分割的有机整体,是企业行为合法合规的保障,是企业行使权利、履行义务、承担责任的依据。
广义的合规管理制度通常包括合规组织、合规风险管理、业务流程合规、合规审查、合规评估、合规审计、合规考核与评价、合规宣传与培训、合规违规问责、合规计划与合规报告、合规文化制度等。狭义的合规管理制度即为合规体系运行的具体制度。制度的原理是一种约束机制,制度不是约束人的,而是对人的行为的一种约束,它既保护合法行为又惩处违法行为。企业合规首要任务就是把各项规章制度按照合规体系要求建立起来,使全体成员在制度下行使相应的权利,履行相应的义务,承担相应的责任。
制度建设的重点就在于制度制定。企业合规管理的前提条件就是建立一整套完善有用的合规体系,而体系的建立又是以相关规章制度的建立为基础的。[5]制度具有强制力和约束力,在制度面前人人平等。企业合规管理制度建设的成败,关系到企业行为合法与违法的走向。因此企业合规体系建设的第一步就是制定完善的合规管理制度。只有建立健全合规规章制度,才能实现企业与员工的权利、义务、责任相统一。如果没有完善、全面、具体的合规制度,实践中就会存在着不同程度的权利与责任不平衡的问题。
组织应确定内部和外部问题,如与合规风险相关、与组织目标相关和影响组织实现合规管理体系预期成果能力的问题。在这种情况下,组织应考虑更大范围的内部和外部因素,包括监管、社会、文化、环境、经济形势、内部方针、程序、过程和资源等因素。[6]
市场不是一成不变的,其中往往潜藏着巨大风险,主要是外部环境的不确定性导致的,它包括国际政治、经济、文化等战略的改变,国家法律法规规章等的制定、变更,政府对相关政策的变动,市场消费需求的变化,获取信息渠道不同或信息不对称,同行业的规则制约等等。因此在制定企业合规计划时,除了要考虑企业内部因素外,更要考虑企业外部因素。
企业最高领导者和治理机构应该在合规方面起带头和表率作用,要通过言行证明其对合规管理体系的领导作用和承诺。[7]
领导的作用主要体现在管理层的承诺方面。管理层是指企业的高级管理人员。根据《中华人民共和国公司法》(以下简称《公司法》)规定,高级管理人员包括股东、董事、监事、管理者等。管理层是企业的治理机构和企业的最高管理者。从管理角度看,企业管理实行传统的“上行下效”模式,即一种制度政策往往是自上而下地施行,其中上级率先垂范是规章制度能否得到良好执行的关键所在。同理,在企业合规体系建设中,合规目的能否实现也与领导作用息息相关,而领导作用则体现在领导承诺。在前述ISO37301∶2021《合规管理体系要求及使用指南》和《合规管理体系指南》中,就明确了领导作用的重点就是领导承诺。领导承诺重点内容包括在合规组织中的角色、地位、职责和权限,其实质是体现了合规不是某个人或者某几个人的事情,也不是某个部门或者某个机构的事情,而是企业全体员工共同的责任和义务,是合规全覆盖原则的具体体现。领导承诺直接反映出合规的价值,是企业实现全员合规的关键环节。
合规风险识别是企业合规体系在实践中的工作主线,合规风险评估是评估企业合规体系是否发挥作用的重要因素,而合规风险应对则是企业合规体系目的实现的重要保障。合规风险识别在工作程序中应力求达到及时、准确。企业各个部门、机构根据工作流程应对每一个环节中可能发生争议和纠纷的风险点提前做出预判,并精准识别该风险点的性质和严重程度。企业应将其合规义务与活动、产品、服务及运营方面相互联系起来,确认可能引发合规风险的因素和情形,从而及时规避合规风险。
合规风险评估是企业针对已经发生或者可能发生的违规、违法行为进行的,包括但不限于风险发生的范围、违反的规则、损失范围、损失程度、责任性质(民事、行政或者刑事责任)等各方面做出的评价和分析。
合规风险应对是企业对已经发生的违规行为采取有效措施予以处置的程序。合规体系建设的终极目的,一是预防违法违规行为的发生,二是对已发生的违法违规行为做出最适当的应对。有效的应对措施能够保护企业的合法权益最大化。
企业合规体系建设资源包括财务资源和人力资源、外部建议和专业技能、组织的基础设施,以及关于合规管理、法律义务、企业发展和相关技术的参考资料。企业需要具备的合规体系建设能力是应用知识和技能实现预期结果的本领。[8]
企业合规建设工作不是简单的部门工作,而是全员参与的体系建设工作。在资源支持上体现在人力、物力、财力等各方面的投入,在能力支持上体现在合规、法律、财务、管理等专业技术人才的多方面组合。大型企业的合规体系制度能否得到有效贯彻、执行和落实,关键是需要建立一套合规组织体系完整、管理层次分明、部门分工明确、物资保障有力、人员职责清晰、监督措施有效、奖惩制度完善的团体化管理制度模式。中小微型企业与大型企业不同,应当在合规管理上适当减少层级,在人员配备上可以采取兼职方式,以减轻中小微企业在合规体系建设过程中的财务负担。
企业合规文化建设指贯穿于整个企业的价值观、道德观和信念,并与合规组织的结构和控制系统相互作用,以产生有利于合规成果的行为准则。[9]合规文化在企业合规管理体系中具有重要地位和作用。如何系统地构建企业合规文化,并使合规文化长久地在企业发展过程中传承下去,是企业家必须面对的重要课题。
企业合规计划要明确合规指导思想,统一思想是成功的基础。企业合规计划要确定“合规创造价值”的合规理念,正确的理念是价值观的体现。企业合规计划要树立明确的合规目标,有目标也就有了方向,在工作中就会少走弯路。企业要制订不同的合规计划宣传贯彻方式,多样化的宣传贯彻方式是企业全员合规热情高涨的最佳途径。同时,企业要制订合规培训计划,通过培训员工更好地掌握合规知识、增强合规意识,使其对法律和企业禁止的违规违法行为有更加清晰地认识。
合规的指导思想、理念、目标、宣传和培训是合规文化重要组成部分,一个真正有效的合规管理体系必须将合规文化理念嵌入到企业建设之中。
企业合规组织应设法持续改进合规管理体系的适用性、充分性和有效性。[10]ISO37301:2021《合规管理体系要求及使用指南》规定,质量管理分为四个阶段,即计划(Plan)、执行(Do)、检查(Check)和修正(Act),简称PDCA 循环。一是要制订计划,二是要按计划去实施,三是要检查实施效果,四是将成功的经验和做法纳入标准,将不成功的留待下一个循环去解决。企业应设法持续改进合规管理体系的适用性、充分性和有效性。企业所收集、分析和评价的信息,以及纳入合规报告的信息,应作为识别该企业合规绩效改进的依据。企业要想对合规管理体系进行改进,就要解决经评价而识别出来的不合规现象,消除不合规的根本原因,以避免再次发生或在其他领域发生类似情形。由此可见,针对问题持续改进是企业合规体系建设得以不断更新进步的原动力。