孙一杰
近年来,中国企业越来越明显地意识到,良好的合规保障能力是确保企业顺畅有序发展壮大、尤其是开拓海外市场的重要战略能力与核心竞争力。遗憾的是,许多国内企业对于企业合规体系建设的重视程度仍然不足。换言之,企业对合规法律要求的详细技术性规范及其执行的严格程度,在主观认识上与实践要求存在一定差距;企业或许意识到应当防范合规风险,但却尚未充分了解应当建立何种具体的合规制度,以及对自身合规制度的执行应当严格到何种程度,才能符合国际合规法律的高标准高要求。
企业合规体系的构筑是一项系统性工程,包括企业对本国、他国以及国际一系列重要法律法规的遵守。本文主要以反商业贿赂相关法规以及合规体系构筑方案为例进行讨论,符合国际严格要求的企业内控体系在防止商业贿赂风险的同时,也可有效防止企业及其子公司的员工从事其他违规行为,如财务欺诈、违反出口管制及内幕交易等诸多有可能给企业带来不可承受的巨大损失的违规行为。
英美合规治理体系主要机制
美国《海外反腐败法》(FCPA)
自从Metcalf & Eddy一案开始,公司实施和保持有效的合规方案就是其认罪协议或FCPA违法指控和解的条件之一。此外,涉及FCPA违法的案件,按照美国联邦裁判指南及其修正案,以及司法部和证交会的内部控诉指南,公司事先存在有效的公司合规方案亦是减免处罚的情节。
FCPA合规方案主要有以下几项原则:
从规范内容的程度要求上來说,公司的《商业行为规范》应将基调定在最高点,充分强调对于合规行为“合乎道德标准“的要求,同时对公司遵守包括FCPA在内的相关法律法规应予以明确规定;
从规范受众范围上来说,公司应制定单独的适用于全体董事、高管、员工以及商业伙伴的FCPA合规政策并分发至各员工;
公司应成立专门小组并指派高级别公司官员来负责实施和监督FCPA合规方案遵守情况;
公司应对所有参与海外业务以及所有可能与外国官员接触的董事、高管人员和雇员定期举办互动式培训;
公司应设立并聘用内部和外部审计机构,通过对公司账簿及记录的核验以公正反映公司的交易和资产处置情况;
公司应建立匿名举报系统以及违规惩治程序,以便员工及其他人员可以报告涉嫌违反FCPA的行为,并进行后续调查及惩处;
公司应审慎筛选其外国顾问及商业伙伴,并在起草与顾问和商业伙伴签订的任何合同时均应纳入具有保护语言的FCPA条款。
英国《反贿赂法》(UK Bribery Act 2010)
2010年4月,英国颁布史上最严《反贿赂法》,首次规定了企业事先未能建立预防贿赂程序的法律风险,即商业机构未能预防贿赂罪。与之相适应,英国司法部对商业机构如何建立预防贿赂程序提出了六大原则。原则并非硬性规定,其意在灵活并以结果为中心,以适应商业机构自身可能所处环境的极端多样性,相较于FCPA合规方案,六大原则简洁但更为实用:
比例原则。商业机构所采取的预防贿赂程序应当与其所面临的业务风险相称,与其业务性质、商业规模、商业活动复杂性等因素相关。同时,预防程序应当因时制宜、因地制宜,根据公司业务领域以及主营地点的变化对反腐内控政策予以及时更新。比例原则的核心是预防程序应当取得实际效果,不能流于形式,成为纸上空谈。
高层承诺。商业机构的高层管理人员负有责任倡导并引领建立反腐败的企业文化,从而确保商业机构的相关人意识到该商业机构对贿赂犯罪零容忍的态度。
风险评估。商业机构应对其自身以及与其相关人所面临的潜在贿赂风险进行定期评估。风险评估模型应当根据商业机构的商业规模、主营业务、市场状况、当地情况、项目价值、项目人员而随时进行调整。
尽职调查。商业机构在与相关人进行交易时应当采取适当的方式,并基于风险评估进行尽职调查,从而减轻腐败风险。
沟通培训。商业机构应通过内外部交流以及与其面临风险相称的培训来确认预防贿赂程序是否已被理解和有效执行,反腐败的企业文化是否深入人心。
监督审查。商业机构应对其预防贿赂程序的有效性和交易过程中的道德问题进行监督,如内部监控、雇员协议、培训反馈、周期性调查报告、行业中其他企业的优秀或不良实践等,并以此为据对预防贿赂程序进行实时调整。
跨国公司合规治理经验
有鉴于部分国家政府打击商业腐败力度的增强以及对合规治理要求的提升,跨国公司自上世纪九十年代以来普遍强化合规经营。在合规管理制度组织方式上,不同跨国公司存在较大差异,基本上是以与自身风险管理战略和组织结构相吻合的方式展开合规工作,并为合规风险管理设定优先考虑的事项。在规模较大的公司,合规人员一般深入各运营业务线,有些跨国公司还设有集团合规官以及当地合规官;部分公司则为数据保护、反洗钱及反恐怖融资、诚信反腐等专门领域设立单独的合规部门;一些公司考虑到合规风险与操作风险的某些方面有着密切联系,因而在操作风险部门内设立合规部门等。概言之,进行横向比较,跨国公司的合规管理根据其行业特点、地域特点、企业规模等因素而保持了较高的灵活性,但同时,其又可归纳出以下普适性特征供中国企业予以参考。
企业合规管理体系建设应从高层意识及企业文化出发
当企业文化强调诚信与正直,并且董事会和高级管理层作出表率时,合规才最为有效。在一个公司组织内部,合规始于董事会和高级管理人员为公司所奠定的一个正确的总基调。即便是设计出一套理论上达标的合规体系,如果企业文化对合规并不真正重视,合规体系也会形同虚设。
合规部门具备独立性以及明确的职责分工
无论一家公司如何组织其合规部门、合规部门的设立和表现形式如何,该合规部门都应该是独立的。以何种方式实施独立性原则则取决于多种因素,如公司规模、业务性质、经营复杂程度、业务区域分布以及公司所在地的法律和监管框架。独立性并非意味着合规部门不能与其他业务单元共同工作,但不论合规部门与其他业务单元的工作联系如何紧密,其都应被确保作为有助于合规部门工作有效性的保障措施,内部审计部门也应定期、独立地审查合规部门工作。
在保障其独立性的基础上,合规部门应具备适当的定位以及授权。包括合规部门的功能和职责,确保合规部门独立性的各项措施,合规部门与公司其他风险管理部门和内部审计部门的关系,合规职责不同部门间的分配,合规部门向高级管理层正式报告的义务等。
合规部门具有与实施有效管理相应的职权
一方面,合规部门职员应具备必要的资质、经验、专业水平以及个人素质,以使他们能够履行特定职责;另一方面,合规部门应具备为履行其职责而获取必要信息的权力,应具备对可能违反合规政策的事件进行调查并在适当情况下委托外部专家进行调查的权力,此外,还应当具备向高级管理层陈述和披露其调查结果的权力等,以确保合规部门效用能得以切实发挥。
任命首席合规官负责全面的协调和管理
公司首席合规官将全面负责协调公司合规风险的识别和管理,以及监督其他合规部门职员的工作。通常而言,若该合规负责人为公司高级管理人员,其不应直接负责公司业务线;若首席合规官不是高级管理层人员,则应有一条向不直接负责业务线的高级管理层人员进行报告的路线。履行合规职责的职员与首席合规官之间报告路线的性质或其他职能关系,则取决于公司合规部门的组织方式。
健全中企合規治理体系
2018年末,为更好服务企业开展境外经营,推动企业持续提升合规管理水平,发改委、外交部、商务部等多部门共同制定了《企业境外经营合规管理指引》(以下简称“《指引》”),重点对对外贸易、境外投资、对外承包工程、境外日常经营等四项业务领域的企业合规管理规范提出要求,并提出三项原则供企业在合规制度设计时予以参考:1.独立性原则。企业合规管理应从制度设计、机构设置、岗位安排以及汇报路径等方面保证独立性。合规管理机构及人员承担的其他职责不应与合规职责产生利益冲突。2.适用性原则。企业合规管理应从经营范围、组织结构和业务规模等实际出发,兼顾成本与效率,强化合规管理制度的可操作性,提高合规管理的有效性,并随内外部环境的变化而持续调整并改进合规管理体系。3.全面性原则。企业合规管理应覆盖所有境外业务领域、部门和员工,贯穿决策、执行、监督、反馈等各个环节,体现于决策机制、内部控制机制、业务流程等各个方面。
在《指引》三项原则的基础上,结合当前国际主流合规治理体系要求以及跨国公司合规制度建设的经验,中国企业合规治理体系构筑可从三个方面着手予以具体建设。
设计企业合规管理的制度框架
合规制度不是孤立静态的某个文件,而是由不同层次的管理制度文件和流程共同构架的一个制度体系,是一系列企业应当遵守的规范和流程的总和。我们要意识到,在实际操作中,法律法规和行业标准等并不能自动成为企业合规工作的依据,只有将其转换为可操作的具体制度或操作手册和流程,才能得到切实执行。因此,一方面,外部的法律法规要通过一定转化嵌入到企业的各项规章制度;另一方面,企业也应当从岗位需要出发,使内部管理制度满足外部法规要求。
具体而言,企业合规管理制度文件至少应包含三个层次:1.企业应制定包含企业基本原则及标准的“合规纲领”作为统领性文件,包括但不限于企业核心价值观、合规目标、合规内涵、行为准则的适用范围及地位、企业和员工普适的合规行为标准、违规处理方式等;2.针对重点领域应制定专项合规管理制度,如进出口贸易、利益冲突管理、定价机制及价格政策、举报管理和内部调查、人力资源管理、税务管理、经销商及商业伙伴管理等内容;3.针对合规纲领以及合规管理制度进一步制定相应操作规程,细化标准及要求,或将其合规制度融入现有业务流程体系当中,便于员工理解落实,确保各项经营行为审慎合规。
搭建顺畅合理的合规管理组织架构
企业应当结合自身业务领域情况以及人员结构,建立相应合规组织。1.董事会、监事会以及合规委员会作为决策层,应以保证企业合规经营为目的,通过原则性顶层设计,解决合规管理工作中相关权力配置问题;2.企业经理层、合规管理负责人以及合规管理牵头部门作为管理层,具体负责企业合规管理体系的建立、制定、实施、评价、维护和后期改进;3.企业业务部门作为企业合规管理落脚点,则应当及时识别归口管理领域的合规要求,改进合规管理措施,执行合规管理制度及程序,收集合规风险信息,落实相关工作要求。
完善合规管理运行机制
在建设完成相应组织架构后,企业应将培训与沟通、责任与激励、举报与查处、优化与提升机制进行制度化协同管理。
首先,要对企业员工等利益相关方开展合规培训与沟通。让所有员工重视合规,树立以合规理念和合规工具进行合规经营的习惯。还要对各个关键岗位与高风险岗位员工进行针对性培训,在相应的项目中聘请有经验的合规专家或者深谙合规要求的律师,从合规风险角度为企业提供建议和意见,从而为企业做出正确决策,在复杂、多变、强监管的国际商业环境下保护好企业的商业成果打下基础。
其次,设计合规绩效考核指标,对合规管理责任人开展合规绩效考核,把考核结果与奖励、职务晋升等挂钩。
再次,建立合规咨询、举报和查处系统,规范举报与查处流程,建立对举报者打击报复零容忍机制,对违规员工给予责任追究与公开的纪律处分。
最后,针对合规问题要及时补救,分析根本性原因,不断优化与提升合规管理体系。促进企业合规管理体制的不断强化和完善。
作者供职于上海市锦天城律师事务所