新知一下
海量新知
6 6 4 3 9 1 0

一文读懂企业合规的前世与今生(最新版) |为《中央企业合规管理办法》施行献礼

一法网 | 法务与合规培训 2022/09/30 15:10

企业合规在当前得到前所未有的重视。越来越多的理论研究和实务工作者,涌入这个新领域。他们从各自的角度观察和解释企业合规及合规管理。例如,从企业自身治理的角度,这本质上是一种基于风险管理的视角;从政府监管机构的角度,这本质上是一种基于特殊的司法量刑及行政处罚方式的视角。当然,还有其他一些角度,如基于社会责任或商业伦理等角度。这种多角度的现象,与合规本身起源的多样化,是密切相关的。从而,追溯当今社会“企业合规”的统一来源,是困难的。“合规”目前所体现的丰富状态,类似多条分散的小溪流,从不同时空汇集在一起,形成了一条奔涌向前的大河流。至于这条大河流的最终走向,则尚未完全显现,有待于实践的磨砺。

一、合规的起源

大多数研究者认为,现代合规源于二十世纪五六十年代的美国反垄断领域 【1】 。当时,众多的美国电气设备制造公司,从事了串通价格、瓜分市场等行为。政府对该类行为进行了反垄断指控。不仅如此,除了实施罚款外,还要求一些公司采用反垄断合规体系。1966年,美国联邦交易委员会主席提出,如果公司存在着符合法律的内部体系,在有效监督和诚实运营下,如果违规仅仅是粗心造成的,并迅速得到了纠正,那么公司对监管机关的承诺是可信的。这种罚款加对体系的重视,促使很多公司开始建立反垄断合规体系。

缘起于反垄断法的合规,在之后扩展到了美国证监会、税务署等系统。1970年代,水门事件爆发,检察官发现很多公司在1972年总统选举中提供非法政治献金。证监会和税务署随之发现,非法贿赂和回扣行为在公司商业实践之中非常普遍。同时还发现,美国的跨国公司为获取交易机会,一直使用公司资金贿赂外国政府官员。于是,制定了相应的上市公司自愿披露制度。如果公司采用自我调查,并且向证券交易委员会披露不当行为,则可以减轻处罚。证券交易委员会同时要求存在不当行为的公司作出承诺,改变其业务程序,并采用外部审计。

为遏制企业贿赂和恢复公众信任,美国于1977年颁布了《反海外腐败法》,要求上市公司在贿赂、回扣、记账等方面执行更为正式的合规政策,尤其是涉及财务记录和资产分配方面 【2】 。美国《反海外腐败法》在企业合规发展史上具有特殊意义。一方面,是因为该法在反腐败领域具有广泛的域外管辖效力,并以对多家知名跨国企业的执法而闻名;另一方面,是因为该法要求企业对资金往来进行准确的会计记录,从而以法律的形式介入了企业内部控制体系的建设。这也是为什么有人称《反海外腐败法》为合规之正式渊源的原因。

二、合规在境外的发展

合规在中国境外的发展,主要是指合规在美国的发展,以及合规通过一些国际组织的推动而进行的发展。

1. 20世纪80年代美国合规的发展

在美国,二十世纪八十年代是各领域违规问题多发的年代。从七十年代的反垄断、反腐败,发展到八十年代的金融、国防供应与环境保护等领域。

首先是这一时期发生了大量内幕交易。为此,美国国会于1988年制定了《内幕交易和证券欺诈取缔法》。该法案旨在促使证券公司更深入地参与行业监管,对证券行业的员工监管提出了新要求;同时还要求证券公司和投资顾问制定和执行书面流程,防止重要的内幕信息被滥用。随后,证券交易委员会强制要求投资银行制定书面行为准则,以遏制代理商的欺诈行为。同时,企业在借贷交易中的违规操作导致大型金融机构破产,令美国联邦存款保险公司捉襟见肘,于是美国国会于1991年通过了《联邦存款保险公司法案》,以加强被保险主体的监管。

国防开支浪费和承包商欺诈,是美国二十世纪八十年代另一个曝光度很高的企业违规现象。为强化国防供应领域的管理,里根总统建立了国防行政特别委员会——“帕卡德委员会”。帕卡德委员会提出了一系列改进方案,包括在国防产业承包商中建立伦理准则,建议承包商自愿披露不当行为,并提出可以将之作为一个减轻处罚的情节。1986年,18家国防供应商联合起草和发起“国防工业商业道德和行为倡议”,指出行业自我管理的六大原则,包括但不限于:推广、执行书面合规行为准则与向有权机关举报违规行为。该倡议经发起后得到积极响应,截止八十年代末,过半数的国防供应商签署了上述倡议书。

环境保护领域的合规也在这一时期得到发展。1986年,美国环境保护署在《环境审计政策声明》中鼓励企业对设备使用是否符合环保要求进行系统、定期和客观的检查,以确保公司合规体系有效性,发现潜在的环保违规问题,使得企业将环保作为工作的要点之一 【3】

2. 20世纪90年代美国合规的发展

二十世纪九十年代以前,合规多集中在某些具体领域。但从九十年代开始,企业合规逐步走向合规管理体系。1991年,美国量刑委员会在1987年首次发布的《联邦量刑指南》的基础上,专门增加了一章,即第八章——《针对机构实体联邦量刑指南》。量刑委员会一开始希望沿用法经济学的思想,大幅加重对机构实体的刑事处罚,且不加入刑事责任减免条款,希望机构实体在违法获利和违法责任之间进行经济考量,最终作出合规经营的理性选择。但一些美国公司和行业协会先后进行游说,主张将机构实体是否具备完善的合规体系作为减轻刑事责任的重要考量,最终得到量刑委员会的采纳。委员会制定了新的指南,明确了合规体系作为量刑处罚的考虑因素——如果存在有效的系统来阻止和发现违法行为时仍然存在违规,则可以在量刑打分上获得奖励,从而降低罚金。

2004年,《针对机构实体联邦量刑指南》进行修订,要求合规应推动组织文化,鼓励伦理行为,并明确规定了衡量机构实体合规体系是否完善的七项标准。这七项标准是合规标准和程序、监管、与有效道德和合规计划一致的组织机构、教育与培训、审查与监控、激励与纪律处分机制,违规应对和预防等 【4】 。这些合规管理要点对全球合规管理领域的发展有着重要影响。此后的许多关于合规的国际文件中,不论是金融领域的内部合规高级文件,还是在OECD(经济合作与发展组织)制定的合规最佳实践指南,或者是APEC(亚太经合组织)提出的有效合规基本要素,其内容与美国《联邦组织量刑指南》中提到的有效合规体系标准非常一致。《针对机构实体联邦量刑指南》的出现和不断改进,标志着现代合规管理理念的成型,在全球现代合规发展史上具有里程碑式的价值。

3. 21世纪初美国合规的发展

21世纪前五年是美国违规丑闻频发的黑暗时期,同时也是合规发展的黄金时期 【5】 。2001年到2002年,安然和世界通信等企业发生财务造假丑闻,暴露出美国上市公司治理和财务审计方面存在的严重问题。为加强公司监管、重振投资者信心,美国国会于2002年通过《萨班斯-奥克斯利法案》,对美国上市公司财务监管中相关主体的责任进行了规定。该法案不仅对上市公司必须强化内部控制提出了严厉的要求,而且基于其采纳美国COSO的内部控制整合框架作为判断内控建设有效性的标准,对于企业合规管理也产生深远影响。因为COSO企业《内部控制整合框架》存在三个控制目标,第一个目标便是法律法规的遵循性。而对法律法规的遵守,正是企业合规的核心要义。

2007年,次贷危机席卷全美,贝尔斯登公司和雷曼兄弟公司等多家投行破产,引发美国自大萧条时代以来最严重的股灾。为遏制金融违规,挽回公众信任,美国国会于2010年通过了《多德-弗兰克华尔街改革和消费者保护法案》(简称“《多德-弗兰克法案》”)。该法案的规则和指南多达数千页,内容非常广泛,是美国金融行业多年以来最为深远的一次改革。该法案强化了企业合规体系建设中很重要的一个具体制度,即“吹哨人”制度。《多德-弗兰克法案》第922条规定,如果执法回收金额超过一百万美元,那么美国证券交易委员会必须向提供证券违规举报原始信息的举报人发放10-30%的奖励金。此类鼓励举报的规定,促使企业进一步加强合规体系建设。

反腐败合规在这一阶段再次成为热点。例如,2008年在美国上市的西门子公司因为违反《海外反腐败法》,被美国司法部和证监会罚款8亿美元。以该案为代表,美国有关司法部门和政府部门对大量跨国公司进行了反腐败调查和执法。与此同时,美国司法部检察官反复公开强调合规体系的重要性。受《反海外腐败法》项下巨额罚款的警示以及会计条款的要求,众多企业不断加强自身的反腐败合规体系建设。

至此,重视合规已经成为美国企业界的共识。越来越多的大型企业开始设立首席合规官一职,将合规职能提高到公司最高管理层。合规管理成为跨国公司企业治理和内部管理最重要的工作内容之一。

4. 合规在国际组织中的发展

1997年,OECD经合组织成员国,主要是发达国家,率先达成了全球反腐败合作的国际公约——《OECD反对国际商业活动中向海外政府官员行贿行为公约》。在此基础上OECD颁布了“内控,道德与合规,最佳实践指南”,成为发达国家的大型跨国企业在商务活动中共同遵守的合规管理标准。

2005年,巴塞尔银行监管委员会在总结各国合规实践的基础上,发布了《合规与银行内部合规部门》高级文件。文件中提出“合规义务”和“合规风险”的定义,成为指导各国银行乃至金融机构合规风险管理的代表性文件,标志着银行业合规风险管理框架的基本形成。该份文件指出:“合规风险”是指,银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则(统称为“合规法律、规则和准则”)而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。合规法律、规则和准则不仅包括那些具有法律约束力的文件,还包括更广义的诚实守信和道德行为的准则。

2010年,世界银行制定和公布了《诚信合规指南》,以指导被制裁企业建立满足世界银行要求的的合规体系,从而争取解除、免予或提前终止制裁。《诚信合规指南》首先要求企业通过行为准则或类似文件,明确被禁止行为的种类和范围,尤其要关注企业高风险业务板块。按世行的要求,被禁止的行为包括 “腐败、欺诈、串通、胁迫、妨碍”等五大“可制裁行为”。《诚信合规指南》将合规管理建设分为十一个模块,即:禁止不当行为、责任、诚信合规计划的启动/风险评估和审查、内部政策、关于商业伙伴的政策、内部控制、培训与沟通、激励机制、报告制度、不当行为的补救措施、集体行动等。

2014年,国际标准化组织组织并公布了ISO 19600《企业合规管理体系 指南》,为建立、发展、执行、评估和维护以及改进有效的合规管理体系提供指导,适用于所有类型的组织。不同的组织,可根据自身规模、结构、性质和复杂程度来选择适用其中的部分条款。本标准对中国国内合规发展产生深远影响,中国标准化研究院对ISO 19600进行了“汉化”,采用“等同翻译”的方式,推出了中国版的《企业合规管理体系 指南》(GB/T35770-2017)。2016年10月,国际标准化组织还颁布了ISO37001:2016《反贿赂管理体系 要求和使用指南》,对于企业运营当中可能存在的不正当利益往来行为,给出了预防、发现和应对等措施。

值得一提的是,随着近年来全球贸易关系愈加复杂,全球产业链进入深度调整与重构时期,监管机构加强了立法深度和执法力度,引导和督促企业实施更加主动的合规经营。合规已经成为各类组织成功和可持续发展的基础。为了满足全球化合规的快速发展和迫切需求,提升各类组织合规管理能力,ISO于2018年11月启动ISO 37301的制定工作,基于最新的合规管理实践,旨在代替ISO 19600标准。2021年4月13日,国际标准ISO 37301: 2021《合规管理体系 要求及使用指南》正式发布实施,成为一个可供认证的A类管理体系标准,并从此取代了ISO 19600:2014《合规管理体系 指南》。该标准一经颁布,多家合规管理实践相对较早的企业,获得了基于ISO 37301的合规管理体系认证证书。

三、合规在中国的发展

1. 反商业贿赂合规

国内真正的合规,首先是在治理商业贿赂领域中出现的。1993年颁布的《反不正当竞争法》(后经2017年、2019年两次修正)首次在法律层面明确禁止商业贿赂。其第八条规定,“经营者不得采用财物或者其他手段进行贿赂以销售或者购买商品。第二十二条规定,“经营者采用财物或者其他手段进行贿赂以销售或者购买商品,构成犯罪的,依法追究刑事责任;不构成犯罪的,监督检查部门可以根据情节处以一万元以上二十万元以下的罚款,有违法所得的,予以没收。”

在2017年修正的《反不正当竞争法》第七条,专门增加了一款规定,“经营者的工作人员进行贿赂的,应当认定为经营者的行为;但是,经营者有证据证明该工作人员的行为与为经营者谋取交易机会或者竞争优势无关的除外。”该款规定,可谓目前中国有关符合合规激励原理的唯一一款具有高级别法律效力的规定。该规定,再次验证了合规管理的多面性,也符合合规起源于反贿赂合规这样一种规律。

2. 金融合规

与美国、欧盟等国类似,我国金融行业的企业较早进行了系统的合规建设。这与金融业的业务特点、监管特点是分不开的。自2006年起,银监会、保监会、证监会等参考巴塞尔银行监管委员会《合规与银行内部合规部门》高级文件,相继发布合规管理指引。

2006年,银监会发布《商业银行合规风险管理指引》,提出加强商业银行的合规管理。该指引明确合规管理是商业银行一项核心的风险管理活动。商业银行合规风险管理的目标是通过建立健全合规风险管理框架,实现对合规风险的有效识别和管理,促进全面风险管理体系建设,确保依法合规经营。合规是商业银行所有员工的共同责任,并应从商业银行高层做起。这些理念在当时或现在看来,都是非常先进的。因此该份指引文件,到现在还在适用,一直未有任何修改。

2007年,保监会在总结之前的一些实践的基础上,发布了《保险公司合规管理指引》。该指引也明确规定,合规管理是保险公司全面风险管理的一项核心内容,也是实施有效内部控制的一项基础性工作。保险公司应当按照本指引的要求,建立健全合规管理制度,完善合规管理组织架构,明确合规管理责任,构建合规管理体系,有效识别并积极主动防范化解合规风险,确保公司稳健运营。随着保险市场的发展,为提高保险监管的科学性和有效性,中国保监会在2016年再次颁发《保险公司合规管理办法》,取代了之前的《保险公司合规管理指引》,保险公司合规管理工作再上台阶。

2008年,证监会发布《证券公司合规管理试行规定》,提出证券公司的合规管理应当覆盖公司所有业务、各个部门和分支机构、全体工作人员,贯穿决策、执行、监督、反馈等各个环节。后,为把证券公司以外的证券投资基金管理公司也纳入合规监管的范畴,2017年证监会重新颁发《证券公司和证券投资基金管理公司合规管理办法》,以此取代之前的《证券公司合规管理试行规定》。《证券公司和证券投资基金管理公司合规管理办法》在2020年由证监会进行了一次修正。金融业对合规尤为重视,特别是证券公司。为进一步落实证券业合规,中国证券业协会2017年发布《证券公司合规管理实施指引》,2021年发布《证券公司合规管理有效性评估指引》两份指引,对证券公司的合规操作给予了详实要求和指导。

3. 合规国家标准

如前述,中国在2017年月12月正式发布合规管理的国家标准GB/T 35770-2017《合规管理体系 指南》,2018年7月1日该标准正式实施。这个标准是ISO19600:2014的等同转换标准,汇集了国际上被广泛认可的合规管理最佳实践,是运用被全球广泛认可的ISO管理体系方法来处理合规管控问题的。

GB/T 35770-2017标准的发布和实施,给境内企业加强合规、提升合规技能、建设合规体系提供了系统指南,激发了企业对合规管理体系作为一种管理体系认证的热情。在这与一点上,不同于由监管部门推动的金融合规、刑事合规等。众多企业期待把合规管理作为一种规范的、具有时代气息的管理手段,主动付诸于企业经营管理实践当中,同时也希望收获一张第三方证书,以此表明企业是合规的、可信赖的。

4. 国有企业 合规

2017年,中央全面深化改革领导小组第三十五次会议通过了《关于规范企业海外经营行为的若干意见》等重要文件。该意见指出,要加强企业海外经营行为合规制度建设。这是一次高级别的强调企业合规管理的官方文件,直接推动了国企合规的体系性发展。

2018年,随着中兴通讯事件的爆发及解决,再次深刻提醒国内企业需高度重视境外合规。不仅如此,还需要强化整体的合规管理体系建设。为此,国务院国资委2018年11月颁发《中央企业合规管理指引(试行)》,12月发改委等多部门联合颁发《企业境外经营合规管理指引》,为中央企业、国有企业的合规管理建设提出了要求以及提供了原则性的操作指引。随后几年内,各省国资委纷纷参照中央企业合规管理指引的内容,印发本省的省属企业合规管理指引。一时间,大型国有企业推动合规管理体系建设,已成必然之举。

对于国有企业加强合规管理,不仅有国资委的推动,还有司法部的加入。2021年12月,司法部办公厅印发《关于加强公司律师参与企业合规管理工作的通知》,就加强公司律师参与企业合规管理工作给出了指导。该通知要求公司律师全面、深度参与企业合规管理各项工作,聚焦合规风险易发多发领域和重点难点环节,着力做好企业治理合规管理、刑事合规管理、做好行政合规管理、海外合规管理、反垄断合规管理、识产权合规管理等,并要增强合规管理的针对性、实效性。

2022年,被国资委明确为“国有企业合规管理强化年”。该年8月,国务国资委再次发力,对中央企业的合规管理建设颁发重磅指导文件——《中央企业合规管理办法》。这是在中国面临的国际竞争越来越体现为规则之争、法律之争的大背景下,中央企业面临的国内外环境和风险挑战日趋复杂严峻的情况下颁布的。中央企业合规管理的目的,被明确界定为:“以有效防控合规风险为目的,以提升依法合规经营管理水平为导向”。该办法为国有企业强化合规建设,再次提供了非常具体的要求和明确的职责以及核心的指导原则。

国有企业合规的一个显著特点,是被之称为“大合规”或“全面合规”。首先,是把企业经营管理过程中所有可能遇到的合规风险,从市场交易、安全生产、产品质量、劳动用工、知识产权等,到网络安全、反垄断、出口管制、经济制裁等,全部涵盖在内。其次,把企业所有员工的行为,包括企业高管、部门主管、基层员工,都纳入合规管控范围。最后,尝试将合规与监察、审计、法律、内控、风险管理等相关部门进行协同,构建一个企业风险管理领域内的“大合规”、“大风控”。

5. 涉案企业合规

在中国合规发展历程之中,不得不重点提及的是刑事合规。在这中国,表现为由最高人民检察院主推的,现阶段更多是针对民营企业涉案以后的量刑处理,即涉案企业合规。一般认为,涉案企业合规的概念,是包含在刑事合规的范畴之内的。刑事合规的内涵,更为广泛。

2020年3月,最高人民检察院在全国6家基层检察院开展合规不起诉改革的试点工作。2021年4月,最高人民检察院下发《关于开展企业合规改革试点工作的方案》,启动第二期企业合规改革试点工作。所谓“企业合规改革试点工作”,该《方案》给出了定义,即“检察机关对于办理的涉企刑事案件,在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等的同时,针对企业涉嫌具体犯罪,结合办案实际,督促涉案企业作出合规承诺并积极整改落实,促进企业合规守法经营,减少和预防企业犯罪,实现司法办案政治效果、法律效果、社会效果的有机统一”。

2021年6月,最高人民检察院联合司法部、财政部、国资委等多个部委正式颁发《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》,其核心价值是“在依法推进企业合规改革试点工作中建立健全涉案企业合规第三方监督评估机制,有效惩治预防企业违法犯罪”。涉案企业合规第三方监督评估机制,指人民检察院在办理涉企犯罪案件时,对符合企业合规改革试点适用条件的,交由第三方监督评估机制管理委员会选任组成的第三方监督评估组织,对涉案企业的合规承诺进行调查、评估、监督和考察。考察结果作为人民检察院依法处理案件的重要参考。这便是具有中国特色的“企业合规不起诉制度”。

2022年4月,为贯彻落实前述指导意见,全国工商联、最高人民检察院、司法部等多个部门联合印发了《涉案企业合规建设、评估和审查办法(试行)》。该办法提出:案企业合规建设,是指涉案企业针对与涉嫌犯罪有密切联系的合规风险,制定专项合规整改计划,完善企业治理结构,健全内部规章制度,形成有效合规管理体系的活动。涉案企业合规评估,是指第三方监督评估组织对涉案企业专项合规整改计划和相关合规管理体系有效性进行了解、评价、监督和考察的活动。涉案企业合规审查,是指负责办理案件的人民检察院对第三方组织的评估过程和结论进行审核。由此,涉案企业合规是一个多主体介入的涉案行为整改的过程。在该试行办法中,联合主管机关还特别提出:“涉案企业应以全面合规为目标、专项合规为重点,并根据规模、业务范围、行业特点等因素变化,逐步增设必要的专项合规计划,推动实现全面合规。”这为涉案企业的合规整改,由专项合规走向全面合规,进行了有效的铺垫。

6. 当前合规热点

当前,在行业主管、国资主管、检察机关、司法部以及国家标准制定机构等多个部门的推动下,伴随着一系列的重大不合规案例的爆发,催生出了中国本土的企业合规热点。它包括企业合规师正式成为一种国家新职业,合规应当与法务、内控与全面风险管理,甚至是审计、法人治理等的协同,以及在网络安全、隐私保护、反垄断等方面的专项合规等。

企业合规师成为一种新职业。2021年3月18日,人力资源和社会保障部等公布了一批新职业,其中“企业合规师”第一次被明确为国家新职业。2022年7月,人力资源和社会保障部向社会公示了新修订的《中华人民共和国职业分类大典》(2022版),“企业合规师”正式入典,职业编码:2-06-07-14。在职业大典中,“企业合规师”,被归为“商务专业人员”。企业合规师是从事企业及企业内部成员行为符合法律法规、监管要求、行业规定和道德规范等合规管理和监督的工作人员。

合规、内控、风险等的协同运作。合规管理出现后,在中国的企业中,特别是央、国企之中,便一直面临如何与原来的法务管理、内部控制以及全面风险管理工作进行协调、统筹,乃至融合的问题。国资委也很早意识到这个问题。2015年12月,国资委发布《关于全面推进法治央企建设的意见》,明确要求央企“探索建立法律、合规、风险、内控一体化管理平台”。这对合规、内控、风险等进行协同管理,提出了初始的要求。2019年10月,国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》中,提出“中央企业要建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系,实现“强内控、防风险、促合规”的管控目标”,这为促进合规、风控、风险等的整合提供了新思路。2021年10月,国资委印发《关于进一步深化法治央企建设的意见》,再次提出“探索构建法律、合规、内控、风险管理协同运作机制,加强统筹协调,提高管理效能”。这表明合规、内控、风险管理必须走向协同的道路。2022年10月,随着《中央企业合规管理办法》的施行,建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制,再次成为时下中央企业、国有企业进行合规管理建设绕不开的一个热点问题。

特别领域内的专项合规。随着合规意识逐渐深入人心,一些重大的企业风险事件,被认为是缺乏专项合规管控而造成的。例如,某知名电商零售巨头因“二选一”等行为,遭遇反垄断调查而被处于巨额罚款,这引起人们对反垄断合规的重视。再如,某知名网约车平台因其APP存在违法违规收集使用个人信息等而被下架,甚至进而整个公司被宣布“退市”。这引起人们对网络安全与数据保护合规的重视。2021年6月10月,全国人民代表大会常务委员会表决通过《中华人民共和国反外国制裁法》,再次引起人们对出口管制和经济制裁合规的重视。随着《个人信息保护法》、《数据安全法》等新法的颁布与实施,一些企业经营管理密切相关的领域,如数据、网安、竞争、平台运营等,都需要企业专项的合规风险梳理和针对性管控措施的实施,这些都是法治环境变化在企业合规领域的体现,也是合规从业人员应注意的热点及趋势。


更多“法务”相关内容

更多“法务”相关内容

新知精选

更多新知精选