企业合规是企业依法依规经营的一种自我治理方式,对于推进国家治理与社会治理、维护公共秩序与经济秩序、防范合规风险与维护交易安全、提高企业商业竞争力与文化软实力等方面具有重大意义,是企业有效参与国际竞争的不二法门。一个完整的合规计划通常包括合规义务体系、合规组织体系、风险防范体系、合规监控体系、违规矫正体系、合规评价体系等六大体系,应当满足体系化、类型化、规范化、具体化、正当化、人性化、客观化、经常化等基本要求。为加速推进中国企业合规管理体系建设,需要塑造企业合规管理的文化,激发企业合规管理的内生动力,充分发挥行业社会组织的功能,强化各个监管部门的职责,努力提升企业合规管理的效能,创新企业合规管理的方式与方法。
关键词
企业合规 合规计划 合规体系 合规风险
企业合规是企业依法依规经营、防控合规风险的一种自我治理方式。通常而言,企业须遵守四个方面的规定:一是法律法规;二是商业行为守则和企业伦理规范;三是企业自身制定的规章制度;四是国际条约。企业合规肇始于美国,现已风靡全球,并成为公司治理体系的重要组成部分。结合历史来看,企业合规最初是一种公司内部的自我管理方式,后来随着行政监管合规和刑事合规制度的发展而演变为一项重要的法律制度。当然,企业合规不仅是一个法律领域内的问题,还是一个多领域、跨学科的问题。我国对企业合规的研究方兴未艾并不断深化,合规改革实践亦在如火如荼地推进着,但仍有一些基本问题值得探讨。为此,本文将围绕企业合规的几个基本问题,予以展开论述。
一、企业合规管理的重要意义
(一)企业合规管理是全面推进依法治国、建设法治社会的重要方面,是国家和社会治理的重要内容,是治理体系和治理能力现代化的应有之义
第一,企业合规管理是全面推进依法治国、建设法治社会的重要方面。党的十八大以来,党中央将全面依法治国纳入“四个全面”战略布局,提出了一系列全面依法治国新理念新思想新战略,明确了全面依法治国的指导思想、发展道路、工作布局、重点任务。2014年10月召开的十八届四中全会作出的《中共中央关于全面推进依法治国若干重大问题的决定》明确指出,“社会主义市场经济本质上是法治经济”。企业是中国特色社会主义市场经济的主体,企业合规管理即是从社会主义市场经济的本质出发,将企业的经营活动纳入法治化轨道,是依法治国战略在国民经济领域实施的具体体现。
第二,企业合规管理是国家和社会治理的重要内容。自党的十九届四中全会提出“构建一体推进不敢腐、不能腐、不想腐体制机制”以来,反腐败斗争已经成为国家治理和社会治理的重要内容。而以反腐败合规为核心领域的企业合规管理,既可以促进企业加强内部管理,提高自我预防能力,引导企业自主发现并消除经营活动中存在的违规隐患,又能推进企业层面依法治企,被视为企业治理、行政监管和犯罪治理领域的革命,是国家治理和社会治理法治化与现代化的体现。
第三,企业合规管理表征着国家治理体系与治理能力的跃迁,是国家治理体系与治理能力现代化的应有之义。近年来,中央政府一直在大力推动国家治理体系和治理能力现代化建设,而企业作为国家治理体系中的微观载体,是推进国家治理体系与治理能力现代化的微观市场主体。然而,侧重于管制与命令手段的传统行政监管与追求刑事处罚的报应及威慑功能的传统刑事司法,难以有效预防企业的违法犯罪行为。再者,随着社会行政任务的不断扩大,行政机关有限的行政资源难以满足日益扩充的行政需求。基于此,企业通过建立合规管理体系,将原有外部监管与外部治理转换为企业内部的自我监管与自我治理,不仅可以实现对违法犯罪行为的自我防范、自我监控与自我整改,而且具有缓解外部治理的压力与节省公共资源的作用。这不仅展现社会治理方式的跃迁,而且对于完善中国特色社会主义制度以及提升国家治理体系和治理能力现代化水平具有深远意义。
(二)企业合规管理是维护公共秩序、经济秩序的必要选择,是推动经济高质量发展的必要步骤
第一,企业合规管理是维护公共秩序、经济秩序的必要选择。根据“水漾理论”,起诉一个企业,相当于对其判处死刑;处罚一个企业,最终受到惩罚的将是企业的投资者、雇员、养老金领取者、客户等无辜的第三人。起诉和惩罚企业不仅会给企业带来商业伙伴流失、生产经营停滞、上市资格被取消、营业执照被吊销等灾难性的附带后果,还会严重损害无辜第三人的利益,造成社会失序与经济动荡。因此,以防范合规风险、避免企业被定罪处罚为主要功能的企业合规,在保护企业本身的同时,亦将有助于维护公共秩序与经济秩序。
第二,企业合规管理有助于优化营商环境,推动经济高质量发展。习近平总书记指出,“法治是最好的营商环境”。营商环境法治化是经济转型的内在要求,是经济高质量发展的根本前提。建立现代化的企业合规体系是营造法治化营商环境的重要内容,打造稳定、透明、公平和可预期的法治化营商环境,重点在于企业合规经营。近年来,中央积极努力为民营企业的发展营造良好的营商环境。党的十九届四中全会强调:“健全支持民营经济、外商投资企业发展的法治环境,完善构建亲清政商关系的政策体系,健全支持中小企业发展制度,促进非公有制经济健康发展和非公有制经济人士健康成长。营造各种所有制主体依法平等使用资源要素、公开公平公正参与竞争、同等受到法律保护的市场环境。”由此可见,加强企业合规管理,在法治化轨道上规范政府和市场、企业的关系,促使民营企业在法治框架下从市场获取资本、土地等资源要素,必将为经济发展营造更好的发展环境与更坚实的基础保障,为推动我国经济高质量发展作出贡献。
(三)企业合规管理是公司内部治理的重要内容,是有效防范企业风险、提高风险防范能力的重要手段,是维护交易安全、确保企业可持续发展的重要方法
第一,企业合规管理是企业依法提升经营管理水平、有效防范重大风险的重要手段。作为一种企业内部的治理方式,合规管理与业务管理、财务管理已被视为当代公司治理的三大组成部分。企业合规以避免合规风险为主要功能,虽不能直接为公司创造价值,但实质上通过建立一种防范、监测与应对合规风险的机制,全流程介入公司的日常运转,为企业高管、员工与第三方划定了行为边界,以避免违法违规行为的发生。如果企业没有搭建合规管理体系,或合规管理体系有所缺漏以致不能有效防控合规风险,那么一旦发生违法违规情况,企业便有可能付出巨大的代价。
第二,企业合规管理是维护交易安全、保障企业可持续发展的必由之路。随着法治国家、法治政府、法治社会建设的深入推进,企业在投资、环保、金融、市场交易等领域都面临着日益严格的监管要求。对一家旨在长期持续经营的企业而言,建立有效的合规管理体系,不仅是当下监管环境下的必然要求,更是企业可持续发展的基石。企业一旦建立有效的合规管理体系,便可以随着内外环境的变化,动态地调控合规管理措施,持续性地防控合规风险。例如,西门子公司自从行贿事件发生,与美国司法部、证交会达成和解协议而建立起一套全球领先的合规管理体系以来,便没有出现过系统性的重大海外贿赂事件。由此可见,合规管理不仅是应对危机的工具,也是实现可持续发展的重要手段。
第三,企业合规管理是一种责任分割机制,是化解企业风险、确保企业行稳致远的重要方法。在违法违规行为发生后,一个有效的合规管理体系可以将企业责任与员工责任、客户责任、第三方责任以及被并购企业的责任进行有效的切割与分离,从而最大限度地保护企业的利益。即使在企业责任无法免除的情况下,有效的合规管理体系仍可以作为一种减轻处罚的情节。例如,在涉案企业具备适当且有效的合规计划时,美国《联邦量刑指南》授权法院大幅减少企业被判处的罚款。
(四)企业合规管理有助于提高商业竞争力与文化软实力,是企业承担社会责任的主要路径
第一,企业合规有助于提高企业文化软实力与商业竞争力,为企业赢得更多的交易机会。一方面,当代企业的竞争愈加呈现为文化软实力的竞争,而提升合规竞争力可以避免企业的商誉受损,为企业塑造卓越的品牌形象,从而增强企业的文化软实力。另一方面,企业的合规情况逐渐成为市场衡量企业管理能力的重要指标。企业依法依规开展经营管理活动,能够提高企业的市场竞争力与影响力,使企业在较为激烈的市场竞争中凸显优势,获得更多的商业机会。
第二,企业合规是企业承担社会责任的一种重要方式。企业通过建立合规管理体系,将合规管理的理念与原则注入经营决策的各个流程,形成一种依法依规经营的文化氛围,在追逐利润的同时,兼顾了反腐败、环境保护、知识产权保护等诸多社会价值。一个具备有效合规管理体系的企业,在发展供货商、经销商、代理商等第三方商业伙伴以及从事并购等经营活动的过程中,会对其实施合规风险评估、尽职调查等方面的合规管理措施,并将自己的合规文化推而广之,促使更多的商业伙伴和交易相对方培育合规文化,形成一种合规文化传递效应,最终促成一种公平竞争的市场环境与公开透明的经营秩序。
(五)企业合规管理是企业有效参与国际竞争的不二法门
随着经济全球化的迅速发展与国际间综合国力的竞争日趋激烈,企业竞争方式从过去单个企业间的竞争上升为全球产业链、价值链和供应链的竞争。在各国政府加强监管和国际组织的推动下,强化企业合规经营便成为全球企业发展的普遍共识。
从市场准入的角度来看,一国出于保护本国产业与技术等需要,会给外来投资者设定各种准入条件,外国企业只有充分满足东道国的合规要求,才有获得进入的机会与可能。此外,很多跨国公司将“是否有健全的合规体系”作为其挑选供应商等合作伙伴的重要标准,有些企业公开拒绝与存在合规问题的企业合作。基于此,对于跨国企业而言,合规管理已成为参与国际竞争的先决条件,倘若未建立有效的合规管理体系,便会被排除在市场准入范围之外。
从市场运营的角度来看,随着全球合规监管日趋严格,企业在参与国际竞争时需要适应的国际规则日益增多,违规成本也大幅提高。尤其是在反海外贿赂、反洗钱、数据隐私保护等诸多领域,欧美国家的立法逐渐完善,监管力度也日益加强。在这样的背景下,企业主动建立一套合规管理体系,可以预防、减轻甚至免除海外监管机构与国际金融机构的制裁,保护企业的合法权益,有效提升企业的国际竞争力,为企业在全球化市场竞争中提供坚实的法律支撑,是企业扬帆海外、稳健行远的前提和保障。
二、企业合规的基本内容
企业合规管理体系的建立非一日之功,是一项系统性的长期工程,需要科学的统筹与规划,故应从顶层设计出发,加强统筹协调,逐步推进。一般来说,一个完整的合规计划包括以下六大体系。
(一)合规组织体系
合规组织是企业开展有效合规管理的人事基础与基本保障。开展合规管理,防范合规风险,首先要建立科学的合规组织体系,从而保障合规管理的有效进行。企业应搭建垂直领导、职责明确、层次清晰、上下联动、协同高效、管控严密的一体化合规管理组织架构,以分层管理、全面覆盖为基本要求,精准分配合规管理职能到不同的管理部门,并建立协同配合的合规管理工作机制,保障合规各部门有效开展合规管理工作,积极推进合规管理工作的实施。合规组织的设置和职责配置应以适当性、独立性和权威性为原则。
适当性原则是指合规组织的管理架构与职责配置应与企业的业务、规模、行业特点与经营模式相协调,与企业的实际需求成比例。在具备现代公司治理机构的大型企业中,合规组织一般包括四个层级:一是董事会下设的合规管理委员会;二是首席合规官;三是企业合规部门;四是企业下属部门或分支机构。对于中小企业而言,企业应设立合规领导机构,以履行合规领导职能,比如确立企业合规目标,合理配置资源,监督和协调合规管理体系的运行等职能。应设立合规管理机构,以独立履行合规管理职能,比如及时识别企业合规义务,制定合规政策和管理流程,管控合规风险,保障合规目标的实现等职能。
独立性原则是指合规组织体系应与财务管理体系与经营治理体系相分离,在管理职能上独立出来,从而实现管理资源与权限的集中,确保合规管理工作的独立性与客观性。合规管理组织是企业合规制度的执行者与裁判者,须预防、监测并处置合规风险,审查企业实施的重大决策,监督内部员工的行为以及处理违法违规行为。为避免利益冲突,合规管理部门应保持最大限度的独立性,合规人员应由专职人员担任,不应承担与合规管理相冲突的工作。合规人员在履行职责时,不受任何部门和人员的干预,并有权直接向合规领导机构汇报合规工作。
权威性原则是指合规部门与合规人员应在企业内部具备一定的权威,表现在以下方面:一是在信息知情、决策参与、关键岗位控制、重点经营活动、重要法律文件等方面开展合规审查,出具合规审查意见,其意见应得到应有的尊重;二是对具有重大风险的重要决策进行合规评估,必要时可建议合规领导机构予以否决;三是定期对所有业务领域进行监督检查,及时处置潜在的法律风险。
企业合规管理涉及的领域十分广泛,要实施有效的合规管理,既须保障合规管理机构的独立性、权威性,又要强化合规管理机构与相关部门的协同合作与联动效应。企业合规管理部门应打通内部重要部门之间的沟通渠道,实现各个部门的通力配合,以提升合规管理的效能。
(二)合规义务体系
合规义务体系分为合规义务的梳理和识别机制以及合规风险的评估与分级机制。
合规义务的梳理和识别是合规风险评估与分级的前提,是企业合规管理的基础性工作。在合规义务的来源上,根据国资委颁布的《中央企业合规管理办法》,合规义务的来源为国家法律法规、监管规定、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求。在合规义务的分类上,根据《合规管理体系要求及使用指南》以及《中小企业合规管理体系有效性评价》,合规义务可分为强制性义务和自愿性义务。前者主要包括法律法规、监管机构发布的命令、法院的判决或行政决定以及国际条约、公约等,后者主要包括企业自己做出的承诺、企业与公益组织签订的协议、自愿遵守的规程、相关组织和产业的标准等。企业应根据合规管理目标,综合考量不断变化的内外部环境,持续性地收集、识别、汇编与企业业务活动、产品和服务相关的合规义务,并及时将外部有关的合规要求转化为内部规章制度与行为规范,以适应不断变化的监管情况。
合规风险评估与分级是合规管理体系实施的前提,也是对已识别的合规风险进行管理的基础。企业在有效识别出具体的合规风险后,便要分析与评估合规风险,即根据各项合规风险发生的可能性与后果,对合规风险进行排序与分级,形成合规风险清单,从而提高董事会和高级管理层对重大风险的重视程度,并为避免、减轻或补救这些风险提供决策依据。明确合规管理的重点领域是合规风险评估的主要目的。《中央企业合规管理办法》确立了反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等重点领域,并要求中央企业突出对重点领域、关键环节和重要人员的管理。企业应在合规风险较高的领域内投入更多的合规管理资源,并颁布专项合规管理指南与员工行为准则,划定高管和员工的行为界限,对相关的违法违规行为提出明确的禁止性要求。对于合规风险较低的领域,企业应通过加强日常管理来实现有效控制。
(三)风险防范体系
风险防范体系是根据合规风险评估的结果,针对可能的合规风险所采取的事前防范机制,主要包括合规风险应对机制与合规培训与沟通机制。
合规风险应对机制是风险防范体系的核心,是指企业根据合规评估和分级的结果,针对各项合规风险,设置应对责任人、应对措施与流程,以及针对突发合规事件的应对预案。企业须对发现的风险提前制定应对措施、流程与预案,明确应急处置职责、方式与要求,规范处理流程,最大限度化解风险、降低损失。同时,企业应当定期完善风险应对机制,强化日常演练,不断提升重大合规风险应对处置能力。
合规培训与沟通机制须得到企业领导与管理层的充分重视,是指企业及时与全体员工、客户、第三方商业伙伴沟通、交流与宣传企业合规建设的进展情况,同时以风险评估情况为主要依据,建立系统性的合规培训制度,将合规章程、政策与行为准则作为主要培训内容,对上述人员开展常态化的或针对性的培训和教育,以增进其对法律法规与企业合规章程、政策的了解,提高其合规意识与风险防范能力,促使其自觉遵守合规义务,从而有效预防合规风险。企业可出具相应的培训记录与员工签署的承诺函来证明其尽到了对员工的提醒、教育与沟通义务。
(四)合规监控体系
合规监控体系是指企业对经营活动的合规情况进行实时检测和控制的事中监控机制,旨在及时发现并处置违法违规行为。合规监控体系主要包括日常监测机制、违规行为举报机制与合规报告机制。
日常监测机制应与业务活动、产品和服务相匹配,覆盖重点人员、重点岗位和重点环节,主要包括合规预警、合规调查、合规审计、合规评审等措施。
合规预警是指合规组织在合规风险识别与评估的基础上,对于典型性、普遍性和可能产生严重后果的风险发布预警信号。监控主体应及时发现违规预警信号并启动合规调查,以调查所掌握的事实和证据为基础编制合规调查报告。调查报告可作为合规管理持续改进体系的依据。
合规审计是监督合规管理工作的重要手段,侧重于审查合规管理体系的运行情况、合规程序的执行情况以及财务控制和其他内控手段的实施情况。合规审计应遵循独立、客观、公正的原则,一般由企业委托外部独立的专业机构实施,既审查合规政策的执行情况,也审查企业内部的违法违规情况。企业应完整地记录并留存审计信息,从而为事后的调查、处置提供支撑。
合规评审是企业合规管理的有效手段,是规章制度制定、重大事项决策、重要合同签订以及重大项目运营的前置程序。企业在实施上述行为时,应由合规部门先行开展合规评审,就合法合规情况提出建议,未经合规评审,不得实施上述行为。对于存在重大违规倾向的业务,合规部门可以提出异议甚至否决的建议,从而在源头上制止不合规行为的实施。
违规行为举报是指企业员工根据一定的途径和步骤向合规部门报告企业经营活动中存在的合规风险或已发生的违规行为。员工实施举报行为的主动性在很大程度上取决于匿名举报措施的可信度。因此,企业应以明确而全面的举报规则为依托,赋予全体员工对不合规行为的举报权,并通过设置适时便捷的举报渠道、专门独立的受理机关、及时有效的查证方式、充分严格的保密措施来保障举报权的行使,防止举报者被打击报复。
合规报告机制是指公司合规部门就企业经营活动中存在的合规风险或已发生的违规行为,定期和不定期地向高级管理层乃至董事会报告的机制。建立一种系统性的合规报告机制,确保合规报告信息的真实、客观与全面,是有效合规计划的基本要求,以便董事会和高级管理层及时了解企业合规体系的实施状况并优化合规管理。
(五)违规矫正体系
违规矫正体系是企业合规的事后补救机制,即在违规行为发生后,企业对实施违规行为的员工实施相应的惩戒,检测并弥补合规管理体系的漏洞,对合规管理体系所采取的纠正和补救机制。违规矫正体系主要包括合规整改机制和违规问责机制。
合规整改机制是指合规风险发生后,企业通过分析合规风险的管控措施与合规管理目标偏离的原因,整改具体的不合规行为,调整或更新管控措施,补救系统性漏洞,以改善原先的合规管理体系,防止类似风险的发生。随着企业经营范围、业务的调整以及营商环境的变化,原先的合规管理体系不免出现失灵的状况,因此企业必须建立持续性的合规整改机制,以确保合规管理体系与企业的实际情况相适应。
违规问责机制是指企业对违规事件责任人采取惩戒措施,例如训诫、警告、调离岗位、免除职务、送交司法机关处理等措施。确定公司内部的责任归属是保障合规管理体系长期运行的重要环节,有责必究是在组织内部建立和保持道德文化的关键要素。因此,企业应明晰责任范围,细化惩处标准,加大问责力度,严肃追究违规人员的责任。为增强合规管理的约束力,企业可将合规管理情况与员工考核相关联,将合规职责履行情况作为年度考核、评优评先的重要依据,同时对违规事件责任人进行绩效扣罚与追责。
(六)合规评价体系
合规评价体系是指对企业合规管理体系有效性进行评价的机制,是合规计划落到实处的关键一环。在许多情况下,一项缺乏有效性评价的合规计划很可能只是徒耗金钱与机会成本,而难以维护企业利益与公共利益。企业的合规管理体系是否有效,不仅要看一定时间内是否发生违法违规行为,还要按照既定的标准进行评价。
从形式要素来看,合规管理体系有效性评价是对合规组织体系、合规义务体系、风险防范体系、风险监测体系、违规矫正体系的综合性评价,侧重于合规计划的全面性。然而形式意义上的评价并不能防止合规计划沦为以逃避处罚为目的的“纸面合规”。从企业合规的发展历程来看,合规有效性的标准经历了从强调管控与监督的形式指标转向侧重企业文化的实质指标的过程。有效合规的落脚点不仅在于合规管理体系的全面性,更在于有无实质性的合规文化。因此,合规评价体系的评价内容不限于合规组织体系、合规义务体系、风险防范体系、风险监测体系、违规矫正体系等形式要素,还应包括合规文化的建设情况。《中小企业合规管理体系有效性评价》将合规文化建设纳入评价内容,确立了最高管理层的重视、合规承诺、合规文化的沟通与传达、合规文化的形成这四个评价指标,以保障形式上的合规计划的全面落地生效,切实发挥其风险识别、风险防范、风险监控与违规矫正的功能。
有效性评价可采用文件审阅、问卷调查、访谈调研、突击检查等评价方法。文件审阅是指调阅企业的章程、规章制度、培训档案、尽职调查报告等文件,以审查合规计划是否具备形式要素。问卷调查、访谈调研旨在了解企业员工的合规意识、合规态度与企业的合规文化。突击检查是一种秘密性、迅速性的现场检查,检查内容具有不确定性,是检查企业合规计划是否有效实施的重要方式。
企业应定期开展合规管理体系有效性评价,根据合规评价报告,改进合规管理计划,以提高合规管理体系的实效性。有学者指出,一项有效的合规计划应当促进一种鼓励道德行为与信守法律的组织文化,以确保投资者的信心、减少商业交易的不确定性,并维护公司的声誉与资产安全。而合规评价体系正是保障合规计划持续完善、推动合规文化建设的长效机制。
三、企业合规管理的基本要求
为保障企业合规管理体系的全面覆盖与有效运行,企业在构建合规计划时应遵循一些基本要求,将其作为企业合规管理体系搭建的标准与抓手。具体而言,企业合规管理应当满足以下八个方面的要求。
(一)体系化
企业合规管理依托于一套体系化的机制。合规组织体系、合规义务体系、风险防范体系、风险监测体系、违规矫正体系、合规评价体系构成了一套相对封闭的完整体系,全面覆盖业务领域、各部门、各级子企业和分支机构、全体员工,贯穿决策、执行、监督、反馈等各个环节,融入企业各项经营管理活动的整个流程。尽管企业之间的经营范围、组织机构和业务规模有所不同,但一项有效的合规计划至少具备以上要素,才能形成一套具有持续改进和自我强化能力的体系,以发挥最低限度的合规风险管理的效果。从整体治理的角度来看,体系化的合规管理模式有助于全面识别、合理评估、整体防范、动态监测合规风险,有效应对和处理合规危机,是合规计划持续改进与企业实现自我治理的重要保障。在体系化的基础上,企业应基于业务类型、公司治理结构、商业模式乃至企业文化的不同,设置各个流程的合规管理重点,持续关注合规风险的高发领域。
此外,合规管理体系亦应与企业内其他管理体系协同。根据国资委颁布的《中央企业合规管理办法》,合规管理体系建设也应与企业现有的管理体系相互衔接、协同联动,形成一个完整的风险管理体系架构,以加强统筹协调,凝聚工作合力,提高管理效能。企业既要将行政、人事、财务、法务、审计等各专项管理活动纳入合规管控的对象,也要注重合规管理与其他风控职能相互融合,形成合规管理与专项管理相互赋能、有机结合的治理格局,进一步发挥合规管理体系的功效。
(二)类型化
企业合规管理不能照搬固定不变的标准,而是应在体系化的基础上,根据企业合规风险、经营规模、行业特点、业务范围的不同,对合规义务体系、合规组织体系、风险防范体系、合规监控体系、违规矫正体系等设置不同层次的有效性标准,确定不同类型的评价内容、评价指标以及指标权重,以实现企业合规的本土化,提高企业合规标准的可操作性。
企业合规标准的类型化,首先,应考虑企业的规模大小。大型企业往往具有广泛多元的业务领域,面临复杂严峻的经营环境,其合规风险遍及各个领域,因而应以高标准的要求建立合规管理体系。相形之下,中小微企业的合规风险单一、业务领域固定、经济能力有限,以同等标准建立合规管理体系既无可能也无必要。我国中小企业协会发布的《中小企业合规管理体系有效性评价》仅以合规计划的基本内容作为最低限度的合规标准,并为中型企业和小微型企业在合规管理机构设置和职责配置、合规风险识别、应对和持续改进、合规文化建设等方面设置不同类型的评价指标。
其次,应考虑企业的业务领域差异。不同业务领域的有效合规标准不尽相同,企业应根据各个行业的监管要求,制定专项合规计划。监管部门应当根据行业的特点与风险类别,制定不同类型的有效性标准指引。例如,最高检涉案企业合规研究指导组编发的《涉案企业合规办案手册》,在反商业贿赂类、涉税类、生态和环境保护类、数据安全类、安全生产类、知识产权类等六类领域分别确立了专项合规计划有效性评估和审查的重点,并发布了相关的管理制度示例。
(三)规范化
从传统的经验化管理转向规范化管理是企业经营管理活动的发展趋势。合规管理的规范化是制定规范、执行规范和改进规范的一个循环往复、不断提高的过程,至少包括以下三个方面的要求:
第一,严格落实外部监管要求,建立健全合规管理制度。合规管理制度是企业和员工在生产经营活动中需要共同遵守的行为指引、规范和规定的总称,是企业开展合规管理工作的主要依据。为实现企业的内部治理、自我治理,企业应以经营风险为导向,及时将外部合规要求转化为内部规章制度,理顺合规管理流程,保障企业依法合规经营。
第二,按照合规管理制度与程序,独立开展合规管理工作。企业应落实合规管理制度,将合规管理要求与日常经营活动有机结合起来,建立起独立、有序、稳定、高效的合规运行机制,确保合规管理有规可依,执规必严,以规范性的合规管理秩序约束企业的经营活动。
第三,根据企业内外环境变化,改进合规管理制度。随着外部监管要求的变化以及企业自身的规模、经营范围的变动,企业应及时更新、改进合规管理的相关制度,通过制定单独的规章或以补充说明的形式,将新的法律法规、监管要求等内容予以补充和明确化。
(四)具体化
合规管理的具体化是指在规范化的基础上,要求相应的规范明确、具体,具有确定性与可操作性。从企业内部治理的角度来看,合规管理实质上是企业通过建立一套规范体系,来实现对风险的防范、检测与处置。该规范体系应具有相当程度之确定性,以避免解释、适用时的任意性,从而有效引导、约束领导和员工的行为,达成企业自我治理的目的。
为达到合规管理的具体化要求,企业可以从两个层次来建构合规规范体系。第一,制定原则性的合规章程。合规章程又被称为“商业行为准则”,用以载明企业的合规理念、合规基本原则以及合规管理体系的基本框架,是合规管理体系建立的标志。第二,制定合规政策与员工手册。合规政策与员工手册应分门别类,针对特定的业务领域,用以载明具体的禁止或强制性规范,其内容来源主要是相关领域的法律、法规和规章。合规政策与员工手册在解释、适用上应具有确定性,是企业自我治理的主要依据。
从德沃金开创并由阿列克西发展的原则规则区分理论来看,合规章程的主要内容为原则性规范,不能直接适用,但具有综合性、稳定性的特点,可以贯穿企业全方面的业务领域与长期的经营过程,具有指导意义;合规政策与员工手册的主要内容为明确具体的规则性规范,以“全有或全无”的方式适用,具有可操作性与直接的约束力,以满足企业合规管理的具体化要求,但须随着内外部环境的不断变化,实时做出调整。
(五)正当化
企业合规管理要求企业员工服从管理并根据合规计划的具体指令来行动,而这必然离不开合规管理权的行使。马克思·韦伯认为,任何命令权力的持续运作,都有诉诸正当性原则而为自己辩护的必要。基于此,作为一种命令权力的合规管理权也须经受正当性的拷问,为其来源与运行方式寻求正当性基础。由于合规管理权源自合规义务体系,藉由合规组织体系、风险防范体系、风险监测体系、违规矫正体系与合规评价体系而运行,所以其正当性指涉整个合规计划的正当性。质言之,员工之所以服从合规管理权,主要是出于对合规计划正当性的认可。
合规计划的正当性主要包括以下几个方面的内容:合规义务的设定应与企业的内外部环境相适应,避免创设不必要的合规义务;合规机构的设置与职权配置应以适当性、独立性和权威性为标准,与企业实际需求成比例,既要防止因机构庞杂而产生额外的经营成本,又要避免因机构过于简单而不能有效管理;风险防范体系、合规监控体系、违规矫正体系所包含的管理流程与管理措施应适度合理,以足以防控风险为原则,并在运行过程中严格遵循既定的程序;合规评价体系应以建设合规文化为鹄的,依托于科学、准确、客观的评价标准,从而推动合规计划的持续完善。
(六)人性化
人类社会的发展总是逐步摒弃蒙昧、走向文明,向更加尊重人的个性,注重“以人为本”,遵循人道主义,更多地考虑人的自由和发展转变。企业合规管理也应顺应这一趋势,遵循以人为本的理念,从传统的刚性管理方式向人性化的柔性管理方式转变。
刚性管理以制度约束、纪律监督、处罚制裁等为手段,要求员工遵守与服从规则,具有强制性。柔性管理则依据企业的价值观、精神氛围,以说服教育、舆论引导、心理沟通、激励等非强制性的方式,潜移默化地增强员工对企业合规的认同感,引导员工自觉做出合规行为。柔性管理并非否定企业规章制度的效力,而是在充分考虑员工的实际需求和能力的基础上,于制度刚性中寻求管理柔性,实现刚柔并济、相辅相成。
柔性管理要求企业领导坚持“以人为本”的理念,重视员工的主体地位并维护其人格尊严,创造一个良好的合规氛围,简化不必要的合规程序,避免采取过于严苛的管理措施。同时,企业应积极开展合规培训,制定适当的激励措施,加强与员工的沟通交流,从而充分发挥员工的积极性,促使员工主动合规、自愿合规。人性化管理既可以提高合规管理的实效性,又切合员工的人性需求,体现出企业的人文关怀。
(七)客观化
社会心理学的研究表明,程序公平在引导个体行为上发挥着重要作用。因此,企业合规管理应坚持程序公正原则,追求管理过程的客观化与科学化,逐渐摆脱人为因素的干扰,避免以主观判断盖棺定论,从而有效引导企业领导和员工的行为。合规管理的客观化主要包括以下两个方面的内容:
第一,在合规评价体系上,追求合规评价要素、过程和结论的可证实性。根据《中小企业合规管理体系有效性评价》,设置的评价机制和评价指标应便于理解和采集,能够通过客观的追溯方法或溯源材料得到证实,合规评价的过程和结论也能够得到客观证实,以期准确如实地揭示企业的合规状况。在王某某泄露内幕信息、金某某内幕交易案中,检察机关量身定制了包括检察建议完成情况、合规方案、合规文化培育等12个模块65项评价要素的评价体系,并以此为基础出具合规考察报告。企业自身在开展合规管理体系有效性评价时也可参照此做法。
第二,在合规监控体系上,要求监控措施的客观高效与全面覆盖。例如,合规审计应以独立、客观、公正为准则,获取审核证据并对其进行客观评价,为确保审核过程客观公正,一般由企业委托外部独立的专业机构实施;合规管理人员应秉持客观公正的立场与实事求是的原则,严格依照法律法规和企业内部规定,对企业的经营管理行为与员工的履职行为实施检查与评审,以确保合规报告信息的客观性、真实性与全面性。
(八)经常化
企业合规管理是一项长期的系统性工程,既要注重当下措施的实效性,又要谋划长远,持续地评估、防控潜在的合规风险。为此,应做到以下三点:
第一,保持合规管理措施的常态化。所谓合规管理措施的常态化,即企业在没有违法犯罪的情况下,开展常态化的合规管理,以防范潜在的合规风险。例如,修订后的《联邦量刑指南》明确指出,合规风险评估并非一劳永逸的易事,而是一项应定期开展的常态化机制。
第二,根据内外部环境变化,动态调整合规计划。因为合规风险是持续存在动态变化的,且企业的经营规模与业务领域也会因时而变,这便意味着企业的合规计划应不断更新,以适应不断变化的经营环境。
第三,配备充足的资源,保障合规管理体系的长期运行。合规管理体系若要成为一种长效机制,离不开充足的人力资源与物力投入。例如,美国联邦司法部评价合规计划是否有效的一个重要依据便是合规团队的人员与经费规模。因此,企业应建立与实际情况相适应的合规队伍,并根据发展需要不断提升管理人员的专业化水平。
四、企业合规管理之加速推进
为持续增强企业的合规风险防范能力,助力企业持续健康发展,应多方联动、多措并举、多点并进,顺应我国企业合规管理的潮流,加快推进企业合规管理体系的建设工作。
(一)要塑造企业合规管理的文化
合规文化实质上是企业的守法文化,贯穿在整个组织的价值观、道德规范、信仰和行为中,并能与组织的结构和控制系统相互作用,以产生有利于合规的行为规范。合规文化之塑造有助于夯实企业合规经营的思想基础,对于保障合规管理的有效性与持续性具有重大意义。在企业结构从过去的“家长式的企业体制”向“公开、透明、负有责任的企业体制”转换的潮流中,呼吁合规文化是一种必然趋势。2004年美国《联邦量刑指南》修订,要求组织必须采取必要的措施弘扬企业文化。日本金融厅认为,合规文化是合规风险管理的关键要素,关乎管理层的态度和内部控制体系的整个结构。
合规文化建设亦是我国企业合规进程中的关键一环。国资委颁布的《中央企业合规管理办法》专设一章规定有关企业文化建设的内容;中小企业协会发布的《中小企业合规管理体系有效性评价》将合规文化建设状况纳入有效性评价体系,并规定了详细的评价指标。也有一些学者致力于重构以合规文化为核心内容的有效性标准。
推进合规文化建设,可以从以下几个方面入手:一是建立一套合规价值观。价值观是良好合规文化的核心,是组织行为的基本原则。合规价值观可引导员工认同合规的价值,自觉做出合规行为。二是领导层与管理层率先垂范,做出合规承诺,推崇对违规行为“零容忍”的合规文化;以身作则,带头遵守合规管理制度,践行合规文化与价值观。三是持续开展合规培训。合规培训是培育合规文化的基本手段,应贯彻在企业经营活动的各个环节,实现在职人员全覆盖,使合规价值观内化于心,外化于行。
(二)要激发企业合规管理的内生动力
“政府若想要有效地阻止企业的犯罪行为,则应该为企业提供强大的动力,促使其进行企业监管”这一理论,早已为人熟知并被详细记录在法律和经济学的文献中。企业合规管理的内生动力,并非是指对企业施加合规管理的强制性义务而形成的外部压力,而是企业因生存发展需要而产生的自发动力。激发企业合规管理的内生动力,主要包括以下两个方面的内容:
一是建立健全合规管理的激励机制。我国传统的企业合规主要属于公司内部治理的范畴,企业在建设合规管理体系上缺乏积极性。而西方企业之所以在建立合规计划方面具有强大的动力,是因为存在一种完善的合规激励机制,可以使企业在违法犯罪以后,通过建立有效的合规计划,来换取政府部门的宽大处理。例如,美国确立了影响深远的暂缓起诉协议制度和不起诉协议制度,执法机关或监管机构可以与涉案企业达成和解协议,并设定一定的考验期,责令企业缴纳高额罚款并建立或完善合规计划,以换取考验期结束后的撤销起诉。为避免被起诉而导致的严重后果,涉案企业往往积极建设合规管理体系。反观我国正在进行着的企业合规改革实践:最高人民检察院全面推开涉案企业合规改革试点工作以后,合规办案规模不断扩大,质效不断提升,呈现出良好的发展态势。然而随着合规改革的实践推进,合规管理激励机制在立法层面的阙如或将影响到改革的深化。因此,应建立健全合规管理的激励机制,以缓解严格依法办案与深化合规改革的紧张关系,激发企业合规管理的主动性与积极性。
二是建立健全合规竞争的市场机制,推动法治化营商环境建设。从当前国际实践来看,企业开展合规建设的内生动力主要来自合规激励机制,但是市场驱动力仍不失为一种合规推动力。营商环境是市场主体生存发展的土壤。企业合规管理有助于优化营商环境,而法治化的营商环境又会反过来助推企业合规,两者相互影响、相互促进。从长远来看,随着我国社会主义市场经济体系的完善,合规将成为企业的核心竞争力,合规管理体系的有效性将成为企业选择商业伙伴的重要考量因素。换言之,在合规竞争的市场机制下,企业会因不合规而丧失诸多商业机会,合规管理便成为企业参与市场竞争的自发选择。
(三)要充分发挥行业社会组织的功能
一般而言,同一行业的合规风险具有一定的趋同性,因而从一类案件出发来规范一个行业便具备相当程度之可行性。在这个由点及面推进行业合规的进程中,行业社会组织作为政府与企业沟通的桥梁与纽带,扮演着不可或缺的角色。一方面,行业社会组织可以作为公权力一方,有效弥补党政机关管理职能的不足;另一方面,行业社会组织又可以代表私权利影响政府决策的形成和实施,同时又可以对国家公权力进行有力的监督。
具体而言,行业社会组织至少可以在以下几个方面发挥作用:第一,将同业经营者组织起来,发挥其熟悉本行业技术标准、业务流程与合规重点的优势,藉由内部的沟通与协调,制定出一般性的行业合规指南,以期引导行业规范有序发展,最终实现自治自理。第二,提供合规信息和合规培训服务。行业社会组织的职能部门和专业人员可以建立一个即时更新信息库,向行业成员传达最新的合规政策与要求,并可以定期为行业成员提供合规培训服务。第三,行业社会组织可以定期对行业成员开展合规管理体系有效性评价,优先为合规状况良好的企业提供更多的政策优惠与交易机会。第四,开展对本行业合规管理情况的研究,收集、汇总行业成员对合规管理的意见与建议,并转达于政府部门,从而为合规政策的制定与修正提供参考,防止政府部门过度监管。第五,严格管理并监督本行业的合规管理工作,并在政府简政放权的前提下,对不合规企业依法依规行使一定范围和限度的制裁权。
(四)要强化各个监管部门的指导职责
企业合规最初是一种由企业和行业协会推进的内部治理方式,属于公司内部治理的范畴。然而企业追逐利润的本性与有效合规管理所需要的高昂成本之间存在一定的冲突,这使得实践中的合规管理体系容易流于形式。此外,企业作为市场经济活动的微观载体,处在多重社会经济关系之中,其经营活动不仅关乎自身利益,更关乎社会公共利益。因此,当这种内部治理方式失灵,以致冲击公平竞争的交易秩序时,各个监管部门作为维持市场秩序的外在力量,就有必要对企业实施监管。
监管部门对企业实施监管固然具有避免市场失灵、维护公共利益的作用,但仍有过度干预企业经营自主权之虞,尤其是在合规管理监管制度不健全的情况下,监管部门利用所掌握的丰富资源与政府权威,强制干预企业合规管理,便会引发合规监管的合法性风险。有鉴于此,强化各个监管部门的指导职责,充分发挥行政指导等非强制性行为方式的功效,既能契合企业合规管理的外部监管需求,又能回应市场主体对监管措施的合法性期待。
具体而言,行政监管部门可以在以下几个方面发挥其指导职责:一是发布合规管理指引或合规指南,细化具体合规领域的标准。各个监管部门应利用其在知识、资讯与资源等多方面的优势,在充分掌握企业合规管理理论与实践经验的基础上,在各个监管领域制定专门的合规管理指南,为企业建立合规管理体系提供基本遵循与行动指引。二是灵活高效运用行政指导的方式,引导企业自主开展合规管理。各个行政监管部门应在相对人同意的前提下,主动告知其合规管理的作用及必要性,帮助其建立合规管理体系,并对不合规企业提出合规整改意见,指导其制定整改方案。
(五)要努力提升企业合规管理的效能
对企业而言,合规管理固然有降低合规风险与增强市场竞争力等作用,但同时亦会增添企业的负担,且有不能实现合规目标之虞。为此,企业要努力提高合规管理的效能,聚焦有效实施合规管理的目标,以正当且高效的方式开展合规管理工作,既要避免不必要的资源投入,又要在保证合规管理效果的基础上着力提升合规管理的效率与效益。合规管理效能的高低,既取决于合规计划的设计与安排是否科学合理,又依赖于企业员工合规能力的大小。具体而言,企业可以从以下几个方面提升合规管理的效能:
第一,增进外部的沟通与协作。一般而言,企业合规管理有投资决策上的考虑,此种投资决策是基于企业自身实际以及与外部管理者的关系等各种因素所做出的成本有效性分析。鉴于此,企业应加强与监管部门以及行业协会的沟通交流与协调配合,充分了解合规改革的实践情况,依托外部合规标准与合规实践并结合自身实际情况去构建企业内部的合规计划,以降低合规计划的设计成本与运行成本。
第二,合理配置企业各部门职能。在企业合规管理体系建设的过程中,合规管理与法务管理、内部控制、风险管理等管理体系同时运行于企业的组织架构中,容易导致职能的交叉重复与合规资源的浪费,进而影响合规管理效能。为此,企业应尽力消除部门之间的抵牾与冲突,优化自身的资源配置,形成各部门相互协调、相互协作的合规管理体系。例如,《中央企业合规管理办法》第26条规定,中央企业应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制,加强统筹协调,避免交叉重复,提高管理效能。
第三,加强合规考核。企业应将各部门与员工个人的合规情况纳入绩效考核,将考评结果作为工资调整与职务调动的重要依据,并通过对考核结果的分析,对员工开展针对性的培训以提高其合规意识与合规能力。
第四,打造合规管理的专业化队伍。为有效发挥合规管理职能,企业合规管理人员不仅要充分理解一系列复杂而令人困惑的法律法规,而且应根据企业内部的受众和利益相关者的差异,有针对性地传递合规信息。一旦缺乏专业化的合规管理队伍,便会导致管理效能的低下。基于此,企业应根据业务规模、合规风险大小等因素配置专职合规人员,持续开展业务培训,提高合规计划的执行力。
(六)要创新企业合规管理的方式和方法
随着人类社会进入信息化时代,互联网技术和信息化手段得到了愈发广泛的应用,企业正在经历一场由数据的使用与分析所驱动的革命。2021年,国务院印发《“十四五”数字经济发展规划》,明确数据成为最具时代特征的生产要素。在此背景下,各类企业都在积极探索网络技术和数据技术的应用,力图通过技术创新来提升企业的竞争优势。企业合规管理也应因利乘便,充分利用大数据、云计算、人工智能等信息化手段,科学高效地落实企业合规计划,切实提高管理质效。结合《中央企业合规管理办法》有关信息化建设的内容,笔者认为信息化手段主要可以应用于以下几个方面:
一是构建独立的合规信息管理系统。企业可以运用信息化手段去采集、汇总合规信息,将其纳入信息系统的基本功能中,既便于管理,又能发挥员工的监督作用。例如,企业可以将合规风险清单的实时情况、合规典型案例、合规培训与考核、违规行为矫正等内容纳入信息系统。
二是加强各部门的协同运作机制。组织架构复杂或部门职能分散的企业经常遭受“信息孤岛”的困扰,以致企业内部产生沟通障碍,进而阻碍合规管理工作的开展。为此,企业可以通过信息化管理平台,整合合规管理信息系统与财务、投资、采购等其他信息系统,打通企业内部的“信息孤岛”,实现各部门数据的实时共享,以加强合规部门与其他部门的协调性,实现企业各项资源的高效利用。
三是利用信息管理系统加强过程管控。企业可以运用信息化手段将合规管理要求、防范风险的措施与具体业务流程相结合,在业务开展的具体过程中加强关键节点的审查。例如在业务招待费等事项上添加事前审批流程,经过审批方可执行。
四是实时动态监测合规风险。企业可以依托大数据等信息技术,加强对重点领域、关键环节以及重要人员的在线管控,实时分析合规风险并主动截停违规行为,实现合规管理的常态化。