企業專項合規計劃的制定
作者:李宗泰 2024-10-23企業制定合規計劃的目的總體可以分為兩個部分,企業既希望建立起一套確保企業依法依規經營的管理機制,也希望通過制定合規計劃能夠積極配合執法調查,將自身法律責任有限化,從而最大程度減少違法風險。由此企業制定合規計劃不能僅定位于應對政府部門的強制合規要求,而應著眼于優化企業管理的角度,制定專業化和有效化的合規計劃,使得合規治理達到規避隱藏的法律風險的效果,進而使得企業從中獲得實際利益。
為了達到有效合規管理的目標,企業進行合規整改時應樹立專項合規計劃的基本意識,放棄制定“大而全”合規計劃的空洞設想。在實務過程中,有的企業制定了極為全面與細致的合規計劃,針對數十種合規領域制定了綜合合規政策,此種類型的合規計劃不僅使得企業的管理成本快速增長,并且公司的組織結構未做到配套完善,工作人員素質未及時培訓提高,那么該份合規計劃最終也只能止于形式而無法發揮其預期作用,這顯然是一種失敗的合規計劃設計。真正專業的合規計劃應是針對企業的主要合規風險,就某一特定領域打造專項合規計劃。例如,作為合規整改的典型案例之一西門子公司打造的反海外賄賂合規計劃,便屬于針對特定合規領域的專項合規計劃,西門子公司為使得該計劃發揮實際作用,在打造專項合規計劃時還配套設立了專門的合規政策、合規組織以及合規管理程序。
搭建與落實合規計劃的關鍵在于識別與評估企業存在的法律風險,并且針對企業所面臨的主要風險制定專項合規計劃,從而保證合規計劃的有效性與可執行性。
一、制定有效合規計劃的前提:風險識別
合規計劃作為一種風險抵御工具,如能發揮有效作用,既能夠降低企業面臨的經營風險,從長遠來看也有利于增強企業競爭力、優化營商環境。[1]搭建有效合規計劃的前提是對合規風險的識別,企業應根據自身性質與業務內容,針對企業在稅收、反商業賄賂、知識產權等特定領域的風險,基于風險識別進行風險評估,并在風險評估的基礎上建立專項合規機制,避免企業因違法違規產生不必要的法律風險。
(一)合規風險的識別
合規管理與企業管理相同,并不存在適用于所有企業的管理模式,而應當根據企業自身情況尋找最為合適的管理方案。進行合規管理的目的在于規避企業生產經營過程中所面臨的經營風險,專項合規計劃需要以合規風險評估結果為基礎,有針對性地開展合規整改,企業制定專項合規計劃的前提是建立有效的風險識別機制。美國聯邦量刑委員會公布的《聯邦量刑指南》中即明確指出,構建有效合規計劃的前提是基于企業對自身經營風險所進行的自我調查。在特朗普政府發布的《企業合規計劃評估指南》中也特別要求檢察官重點關注企業識別、分析以及解決相關風險的方式。可以說在我國行政部門要求國內企業建立合規體系時,其出發點便是防范并控制“合規風險”。[2]伴隨“一帶一路”倡議與“企業走出去”戰略的施行,我國企業不僅受到國內法律規制,還可能受到外國法律以及相關國際條約的影響,加之《企業境外經營合規管理指引》《中央企業合規管理辦法》等多部法律法規的出臺,以及最高檢在多個基層檢察院開展企業合規不起訴的試點工作的有序展開,合規監管正在成為企業生產經營中所必須審慎面對的重要領域。對合規風險的忽視將為企業經營埋下一顆“定時炸彈”,當合規風險最終演變為嚴重違法違規問題時將給企業造成無法預計的損失。因此合規計劃的制定應當首先從合規風險的識別出發。
1,合規風險識別的義務來源
國際標準化組織發布的《合規管理體系要求及使用指南》(以下簡稱《使用指南》)第3條將合規風險定義為因不符合組織合規義務而發生不合規的可能性及其后果。企業合規風險與合規義務如同一枚硬幣的正反面,企業不遵守合規義務便會導致合規風險的產生,因此識別合規風險的前提明確合規義務的范圍。《使用指南》將合規風險分為內源風險與外源風險兩類。
根據《使用指南》的精神及規定,內部合規義務往往來源于企業的自主意識確立的合規義務,常見的內部合規義務來源包括但不限于:企業內部的章程、規章制度;與法人、自然人簽訂的協議;與其他組織簽訂的合同;針對產品質量、環境保護作出的相關承諾等。來源于內部的合規義務雖然是“自愿遵守”,但是往往基于外部法律法規、行業性標準等均會產生相應的合規義務,如不規范履行合規義務將產生相應的合規風險。
外部來源的合規義務顧名思義是來源于企業之外的合規義務,往往是企業必須遵守的要求,包括但不限于:法律法規、行政許可、行業標準、國際條約、商業慣例等。
2. 識別合規風險的方法
為有效識別企業潛在的合規風險,企業須通過收集重要經營活動以及業務流程中存在的風險信息,并對相關風險進行分析歸納。現有商事實踐中,企業常用的識別方法有:調查回訪法、監督舉報法以及案例分析法。
(1)調查回訪法
企業與其他企業進行合作前,應該對合作企業開展全面的盡職調查,對合作企業的資金情況、違法違規情況等進行充分地了解,綜合判斷與該企業合作的法律風險,避免自身因牽涉合作企業的違法行為而承擔法律責任。在合作結束之后,企業也可以與相關合作企業開展合作回訪,通過合作企業的信息反饋,了解到此次合作過程中各環節可能存在法律風險,尤其是識別企業員工在此次合作中是否存在串通投標、商業賄賂等法律風險。[3]
(2)監督舉報法
企業可以建立舉報機制,鼓勵舉報人通過信函、電話、電子郵件、網絡留言等形式對企業可能存在的合規風險進行舉報;企業可以增設舉報獎勵,以提高舉報人的積極性。同時在舉報機制建立后,企業還要配套建立相應的調查機制,及時對舉報的合規風險進行調查、分析并采取風險化解和處置措施。[4]
(3)案例分析法
案例分析法是指企業根據自身以往的合規風險案例或者其他企業相同或類似的合規風險案例,通過研究分析、總結,以提升企業合規風險識別和預防能力的方法。采用案例分析法應當注重以下幾個要點:首先是案例的挑選。企業可以挑選企業先前發生的合規風險案例,企業先前沒有發生過類似的合規風險案例,則可以參考其他企業或相同行業、業務領域等的案例。其次是案例的分析。在選定適宜的案例后,要對案例進行系統的匯總和分析,結合案件的爭議焦點和核心合規風險,分析在該案件中企業做出的有效措施以及未來仍需改進和補充的部分。最后通過提煉案例中與本企業相同或類似的合規風險內容及合規風險應對措施,不斷更新、健全本企業的合規風險管理體系。[5]
(二)針對風險制定專項合規計劃
在有效識別出企業生產經營所面臨的風險之后,便應當針對具體風險制定專項合規計劃。不同企業之間存在企業性質、經營規模與業務范圍等多方面不同,試圖以一套普適性的合規計劃推廣適用于所有企業不具有可行性。相反,每個企業之間由于其性質、主營業務、治理結構的差異,都會產生具有自身特點的合規風險。因此,專項合規計劃的制定應當從企業實際情況出發,選擇特定角度對企業面臨的重要風險進行識別,并以此為基礎制定專項合規計劃。在最高檢公布的合規改革試點典型案例中,王某對非國家工作人員行賄的案件中,檢察機關便主要圍繞企業中與商業賄賂有關的內部治理結構存在的問題,要求其完善并填補反賄賂監管中存在的漏洞,制定企業內部防治商業賄賂的一系列專項合規計劃。
1.企業應當聚焦重點風險領域、重點業務的合規義務
企業沒有必要也不可能識別所有合規義務,而應當以主要業務為基礎,關注重點風險領域,識別對于企業最重要的合規義務。最重要的合規義務,往往與企業重要業務領域息息相關,關乎企業的生存發展。若企業忽視或者不履行這些業務,必將給企業帶來重大風險和危害。例如,對于制造類企業,應重點關注安全生產、勞動保護及環境保護等相關合規義務;對于投資類企業,應重點關注投資負面清單、主管部門監管規定等相關合規義務;對于技術研發類企業,則需重點關注知識產權、商業秘密等相關合規義務。
在識別出企業最重要的合規與義務后,可以沿著業務領域的范疇,再去識別其他的合規義務。這部分合規義務數量龐雜,企業在識別過程中應將這些合規義務限定于與企業業務、發展有關聯的范疇當中,做到具體問題具體分析,抽象出與企業有密切關系的合規義務。
2.企業應以監管部門為導向,關注業務對應的監管風險
每個企業都有不同的業務領域,所對應的監管部門自然各不相同,同一個部門對不同的業務也有不同的監管要求。因此,企業可以從重點業務對應的主要監管機構進行識別,關注其監管權限和執法領域、重點,厘清違反相關監管規定所面臨的風險和處罰,以此識別主要監管部門涉及的重要合規義務。例如,食品企業的主要監管部門為市監局、衛健委等部門。
企業根據各個部門的業務范圍、職責為基礎,確定各自涉及的主要監管部門,將各種類型領域的合規義務的識別和更新下發給各部門。企業除了監管部門的規章制度及要求外,還要隨時了解這些監管部門公開發布的信息,從而識別并動態調整自己的合規義務。
3.借助第三方視角識別重要合規風險
在未建立合規管理體系的企業里,合規義務的識別工作往往是在自發狀態下分散性展開的,這些合規義務往往側重于企業內部面臨的風險,而一定程度上忽視了外部環境可能面臨的風險。
在建立了合規管理體系的企業里,其往往有意識地進行合規義務識別,并結合企業的實際情況,采用適當的識別方法識別企業的內外部環境面臨的合規義務。但無論是否建立合規管理體系,其識別合規義務往往是基于自身視角,難以發現企業的潛在風險。為此,企業可以考慮借助外部專家對企業內外部環境進行詳盡分析,提示出企業可能面臨的重大合規風險,并針對這些合規風險確定企業需要重點關注和識別的合規義務。
二、專項合規計劃的其他內容
專項合規計劃是企業針對特定風險,為防止發生特定的違法違規事件所專門建立的合規管理制度。除了對企業經營風險做到有效識別與評估外,為達到防止違法情況產生,還需要根據企業自身情況引入其他合規要素。例如,企業存在超標排放污染物這一情形時,在制定環保合規計劃的過程中便需要考慮適時引入第三方組織對企業污染物處理機制進行管理與監督,保障企業污染物排放符合國家標準與法律規定。盡管各企業之間因面臨風險各不相同而導致合規計劃存在差異性,但從既往檢察機關監督指導下的合規整改成功案例中仍能總結出一些共性內容,作為專項合規計劃的基礎制度結構。有學者將其總結為三項基本原則:(1)針對性原則:企業在制定專項合規計劃判斷是否需要引入相關制度時應當建立在有效的風險識別與評估結果之上,針對企業在生產經營各環節中所面臨的重大風險進行針對性管理。(2)補救性原則:企業應在原先已經存在的制度漏洞上(如在特定領域內曾經發生過違法違規情況)建立專門性補救機制,防止再次發生相關違法違規情形。(3)監控特定業務流程原則:對企業現存法律風險的經營流程或環節,建立內部控制機制,加強各部門之間的監督制約,減少開展業務時違法違規的可能性。[6]在這三項原則的指引下,依照《涉案企業合規建設、評估和審查辦法(試行)》的規定,企業還應當配置獨立的合規組織與管理人員、建立專門性的合規政策與員工手冊、尋求企業相關業務的替代方案并對專項合規管理體系進行持續改進等專門性合規機制,為企業有效合規管理提供制度保障。
(一)專門性的合規政策與員工手冊
有效合規管理要求企業在針對合規風險制定完備的合規政策后在企業中進行公示,使其成為企業員工所共同遵守的行為準則。例如,在企業存在用工方面的合規風險時,企業應當針對此風險建立用工合規管理體系,這包括用工合規政策與人力資源員工手冊。二者均應當針對企業面臨的特定領域的合規風險,吸納其中的法律、行政法規、部門規章等強制性規范,使其成為企業開展合規整改的重要規范依據。[7]
合規政策與員工手冊分別作為對外與對內實施合規管理的義務依據。就對外來說,企業面臨的合規問題不僅來自對公司高管與員工的合規管理,對公司合作方的合規管理也同樣重要。如果公司的合作方違法違規,公司往往也要承擔合作方違法的法律后果。[8]專項合規政策對外將特定領域所需要遵守的法律規范與行為準則以及企業開展相關業務時的業務流程進行宣示,督促合作伙伴遵守相關規范性文件,減少因合作方違法導致自身遭受牽連的可能性。員工手冊則將特定領域的禁止性規定與義務性規定加以整理匯編,督促企業員工與管理人員依法依規開展業務。
專門性合規政策與員工手冊的出臺,一方面能夠起到宣揚合規管理文化的作用,另一方面還能落實合規風險識別、合規風險評估等具體內容,從而有效預防特定風險的產生。例如,在企業出具與稅收合規相關的專門合規政策與員工手冊后,企業不僅可以針對企業目前是否存在稅收違規問題進行識別,并對后續是否產生稅收違規的可能性進行評估,還可以以員工手冊為依據,對企業相關員工作出遵循稅收相關法律法規及規章制度的專項培訓,督促員工作出遵守稅收相關法律法規的承諾。
(二)尋求企業相關業務的替代性方案
許多企業長期持續存在違法違規風險的主要原因是在之前開展業務的過程中未能提前進行合規性審查,導致企業持續在違法違規的經營方式中開展業務,但又無法擺脫相關模式提供的便利,形成了制度性依賴。因此,企業在合規整改過程中如果僅滿足于規章制度的構建,而不對企業涉嫌違法違規的業務作出實質性改變,那么企業在生產經營過程中一旦很可能回到原有的經營方式,導致企業生產重新回到違法違規的循環當中,經營活動中的相關合規風險始終難以消除,如同一把高懸的“達摩克利斯之劍”,成為隨時可能威脅企業的不穩定因素。
在檢察機關推動的合規整改過程中,企業一般都會選擇暫停原有業務,尋找合適的合法合規的替代方案。舉例而言,涉嫌污染環境的企業為了開展有效的合規整改,一般會選擇在停止生產銷售原有產品后,既可以選擇設立相應環保措施,也可以選擇變更生產產品的類型,選擇一種對環境影響在國家允許范圍內的新產品。又如涉嫌侵犯知識產權的企業,要想使得合規常態化,避免在合規整改過后企業又因涉嫌知識產權遭受行政處罰乃至最終構成犯罪,在向被侵權企業作出賠償后可以與其簽署知識產權許可協議,通過合法合規的方式獲得知識產權的使用許可,最終實現剝離具有合規風險的商業模式。[9]
值得一提的是,為相關業務設計“可替代方案”并非每個企業所必須采取的合規管理措施,而屬于企業可選擇的合規風險管理方式,企業應當在對合規風險進行評估后,根據風險的嚴重程度決定是否需要采用業務的替代性方案。
(三)專門性的業務流程監管體系
企業在合規管理的過程中,除了積極尋找存在合規風險業務的替代方案以外,對無法替代的生產經營環節,為避免其再次出現違法違規情形,還需要制定一套對特定領域業務流程的監管體系。例如,中興公司因違反美國商務部出口禁令遭受制裁后,便制定了一套運行良好的出口管制合規計劃,其中為避免再次出現分銷違規問題,中興公司及其子公司發布了產品“出口管制分類編碼”(ECCN),從而保證公司的供應鏈與分銷渠道的出口合規。[10]
企業根據應當針對出現現實法律風險的特定領域與環節,引入專門性的監管體系。例如,為避免再次出現因招投標引發的法律風險,企業應當對招投標決策、標書制作等環節,進行合規性審查,加強內部控制。[11]
對業務環節進行的內部流程監管,一般包括:(1)建立并發布必要的規章制度,明確相應的工作流程。例如發票管理制度、合同審查制度以及進出口管理制度等。(2)引入新的管理流程,提高決策事項的審批層級,構建不同部門之間的監督制約機制,避免企業對合規計劃失察,從而及時發現相關漏洞,避免企業產生更為復雜的合規風險。(3)實施交易過程真實記錄機制,對容易產生合規風險的特定領域作出準確的書面或電子記錄,為后續不定期審查業務的合規性提供制度保障。例如在黃金交易過程中,以往存在虛開發票的違法行為,在合規整改過程中,企業通過制定《發票管理制度》《黃金交易業務實施流程》等規范性文件,建立了包括合同審查、發票管理在內的黃金交易流程,消除了“票貨分離”的交易模式,保證每一項發票的開具都有對應的黃金交易。并對該交易進行詳盡記錄,避免虛開發票行為的再次發生。
(四)定制化的合規培訓
合規培訓不僅能夠有效應對合規風險,還能作為企業建設合規文化的重要途徑。《聯邦量刑指南》便要求企業在制定專項合規機制后,應當對企業員工進行培訓,介紹特定領域的合規程序以及標準,讓員工了解合規計劃的具體操作步驟,也讓員工知曉相關合規計劃對企業的重要程度。[12]在開展合規培訓時,企業應當根據風險識別與評估的結果,建立差異化與針對性的合規培訓制度。在合規培訓的過程中,應當結合前述專門性的合規政策與員工手冊,針對特定領域的業務內容,制定針對性的培訓內容,對開展業務各環節與流程中所可能產生的風險進行預警。并且合規培訓不能僅流于形式,員工除了學習課程、收聽講座外,更要以實戰模擬、分組討論等方式切實參與其中。合規培訓并非一蹴而就,而是持續性的系列行為。
(五)獨立的合規組織與合規管理人員
專項合規計劃建立適當的合規組織并配置必要的合規管理人員,是合規管理體系得以有效執行的組織保障。[8]2018年頒布的《中央企業合規管理指引(試行)》規定了八個層級的企業合規組織,為企業設置專門合規組織提供原則性的指引。但合規組織與合規管理人員的設置應當視企業具體情況而定,對小微企業而言,如不加區分盲目套用大型企業的合規體系設置專門合規機構,將導致在實際過程中企業經營成本過度增加,進而使得企業對推進合規管理缺乏動力,合規管理的效果必然也將打折扣。相反對于小微企業來說,可執行性是合規組織設立的重要標準,可以僅設立合規專員負責合規管理工作,并通過在合規管理過程中加強對合規專員的績效考核保障合規計劃的執行效果。[9]對大中型企業而言,由于其內部治理結構本身較為復雜,也不能盲目按照普適標準配置合規組織及其工作人員,而應遵循“量身打造”的基本原則。基于開展合規管理的重點領域,針對性設立合規組織并配置一定數量的合規管理人員。
在最高人民法院公布的企業合規典型案例中,便存在因企業管理層與工作人員對知識產權侵權以及刑事犯罪的法律意識淡薄,企業領導在內部管理中大搞“一言堂”,致使公司股東與實際控制人的違法行為未能得到董事會與監事會的監督。在該案的后續合規整改過程中,第三方監督評估組織在指導企業制定合規計劃時便要求企業根據自身的經營風險情況,細化合規計劃所涉及的組織體系、程序,保障合規計劃在后續執行中能夠得到落實。[10]
盡管目前對合規組織的性質仍存有一定爭議,部分學者主張應將合規作為公司組織與成員的基本法定義務,將合規規定作為企業的基本行為準則;也有部分學者主張應當區分一般合規義務與合規治理義務,在法律規定中僅需確立合規治理的有效性標準,但仍將合規治理結構的具體方案交由企業自行決定。但不論此后合規組織能否在公司法中予以明確規定,有效合規的執行都需要穩定運行的合規組織體系予以保障。
(六)企業合規持續改進機制
企業如需確保合規整改成果的長期有效,便不能固守合規整改的短期成果,而應做到與時俱進,合規風險發展變化以及相關法律法規在不斷變化發展,這就要求企業對合規機制進行持續性地改進,從而確保企業的合規機制持續發揮其應有作用。[11]其一,企業應當根據法律法規的變動情況,對合規政策與員工手冊進行及時更新,組織員工與管理人員重新進行培訓,并對企業相關合規風險點再次識別與評估。其二,企業還應當對特定領域的合規風險的變化進行及時進行評估,甄別其中容易出現違法行為的環節與流程,與此前合規風險識別的結果相比照,進而針對性地改進相關合規管理制度并調整相應業務流程。其三,企業在后續經營過程中,如涉及拓展業務范圍、擴大經營規模,如設立分支機構、開展并購業務以及開拓海外市場等,也都需要對新增領域的合規風險進行重新評估,并對相關合規機制作出調整。
結語
近年來陸續頒布的一系列與企業合規相關法律法規凸顯出社會對切實推進合規整改的重視。企業合規是未來一段時間內企業管理改革的主旋律,為了實現合規整改的有效化,企業應當依據業務內容與合規風險,為自身量身打造適合企業情況的合規計劃,并且合規整改不能僅流于形式,企業還應采取建立合規組織、聘用專業合規管理人員等措施,確保合規計劃落到實處,使得合規計劃充分發揮其防范風險的作用,保障企業合法合規經營。
注釋
[1] 李本燦:《法治化營商環境建設的合規機制——以刑事合規為中心》,載《法學研究》2021年第1期。
[2] 《商業銀行合規風險管理指引》第五條:商業銀行合規風險管理的目標是通過建立健全合規風險管理框架,實現對合規風險的有效識別和管理,促進全面風險管理體系建設,確保依法合規經營。
[3] 孟博:《企業合規:快速識別合規風險的6個方法》,載“威科先行”微信公眾號,
https://mp.weixin.qq.com/s/qQ5snF0zjqJmtT2MEQXNFQ,于2023年11月9日訪問。
[4] 同前注。
[5] 孟博:《企業合規:快速識別合規風險的6個方法》,載“威科先行”微信公眾號,
https://mp.weixin.qq.com/s/qQ5snF0zjqJmtT2MEQXNFQ,于2023年11月9日訪問。
[6] 陳瑞華:《企業合規整改中的專項合規計劃》,載《政法論壇》2023年第1期。
[7] 陳瑞華:《企業合規整改中的專項合規計劃》,載《政法論壇》2023年第1期。
[8] 解志勇、那揚:《有效企業合規計劃之構建研究》,載《法學評論》2022年第5期。
[9] 陳瑞華:《企業合規整改中的專項合規計劃》,載《政法論壇》2023年第1期。
[10] 陳瑞華:《中興公司的專項合規計劃》,載《中國律師》2020年第2期。
[11] 陳瑞華:《企業合規整改中的專項合規計劃》,載《政法論壇》2023年第1期。
[12] 解志勇、那揚:《有效企業合規計劃之構建研究》,載《法學評論》2022年第5期。
[13] 段君尚:《自貿試驗區企業有效合規標準研究》,載《上海政法學院學報(法治論叢)》2023年第5期。
[14] 李澤全:《涉案企業如何構建有效的合規計劃》,載《中國律師》2023年第7期。
[15] 《最高人民檢察院企業合規典型案例(第二批)》,載最高人民檢察院官網,
https://www.spp.gov.cn/spp/xwfbh/wsfbt/202112/t20211215_538815.shtml#2,于2024年1月22日訪問。
[16] 陳瑞華:《企業合規整改中的專項合規計劃》,載《政法論壇》2023年第1期。
