【企业法务】资本市场上不得不说的合规风险

时间:2019-11-12 19:23:19 浏览:2107

先看一则案例


2019年10月21日中午有消息称,一百多名警察进入在香港上市的金融独角兽公司——51信用卡办公大楼,现场警车云集。消息随即发酵,下午港股开盘后,51信用卡股价随之闪崩,一度暴跌超40%,最低跌到1.58港币。而2018年51信用卡在香港上市首日开盘价8.76港元,较发行价8.5港元上涨3.06%。


随之媒体报道,51信用卡被警方调查可能与其使用爬虫程序不正当获取用户个人信息有关。在报道披露的截图中,某银行函件中称51信用卡“通过爬虫程序对我行用户信息进行抓取”、“贵司作为51信用卡管家等APP的运营方,全方位且数量巨大的获取用户个人信息,该行为涉嫌构成侵犯公民个人信息罪”。10月22日,51信用卡发布公告声明其所有的个人信息收集均有合法用户授权,并不存在未经用户授权非法盗取信息的情况。


1.webp.jpg


由此可见,资本市场对于企业的合规状况非常关注,尤其是在当前加强个人信息保护及数据合规的形势下,任何不合规或潜在不合规的事件都有可能给公司带来灾难性的后果。这就需要企业尽可能早地开始合规风险管理,因为不仅投资人对此关注,发行审核机关也将此作为审核重点。


一、上市中不可忽视的数据合规风险


2019年10月11日,中国证券监督管理委员会(“证监会”)发布公告,北京墨迹风云科技股份有限公司(以下简称“墨迹”)首发申请未予通过,成为当日过会的五家中唯一被否决的企业。发审委在公告中阐述了针对墨迹提出询问的四大主要问题,其中颇为重要的是用户数据收集及处理的合规性问题。


公告及之前对墨迹招股说明书的反馈意见均指出,墨迹通过自主收集及第三方途径获取用户数据及标签,利用数据进行商业化变现,并于2019年7月16日收到App专项治理工作组发出的《关于App收集使用个人信息相关问题的通知》,要求其就收集使用个人信息中存在的问题进行整改,问题包括了:(1)收集数据的合法性;(2)使用数据的合法性,是否存在潜在风险(3)内部合规体系是有效,是否出现过数据泄露事件或违规事件;(4)立法及执法的加强带来影响及应对措施;(5)持续改进情况,等。


虽然墨迹因数据合规问题而上市被否,但其并非首个因数据合规问题被关注的公司。在浙江每日互动网络科技股份有限公司(以下简称“每日互动”)的上市过程中,发审委也提出了类似的问题。每日互动的业务主要是为移动应用开发者提供运营推广、消息推送、数据统计和用户画像等服务,以及为品牌营销、金融风控、全域旅游和智慧城市等各垂直领域提供大数据解决方案,所以数据合规是其应当优先关注的重点合规事项。每日互动在招股说明书中提到了不当使用互联网用户信息的风险,发审委也在反馈意见中要求澄清数据的收集及使用合规性、内部合规体系及是否发生过风险事件等等。幸运的是,每日互动成功过会。


不仅仅是互联网公司备受关注,制造型的企业同样在数据合规问题上受到了监管机关的持续关注,比如发审委针对安克创新科技股份有限公司的反馈意见中也要求补充是否会获取用户数据、内部合规体系是否完善、是否存在违规情形等等。在茂业通信网络股份有限公司发行股份购买资产并募集配套资金申请、珠海汇金科技股份有限公司发行股份、可转换公司债券购买资产并募集配套资金申请中,发审委亦要求申请人澄清内部的管理措施是否完善、是否在数据合规方面存在风险。


所以,任何一家涉及到个人信息收集或处理、需要完善防泄密和保障网络安全的企业在上市过程中或其它资本活动中都应当充分重视数据合规方面的风险,并建立有效的数据保护合规体系。


二、成为市场策略及工具的合规风险


数据合规问题并非谋求上市公司应当关注的唯一风险,其它合规领域亦应当同样关注。比如,历经曲折的IPO之路后,深圳传音控股股份有限公司(以下简称“传音”)终于在今年成功登陆科创板。但就在上市前夕,来自华为技术有限公司(以下简称“华为”)的一纸诉状将其及5家子公司诉至深圳市中级人民法院。仅仅因一张手机壁纸,诉讼金额就达2000万元。虽然传音强调本次诉讼金额占公司资产总额、营业收入比例较小,不会影响公司涉案手机产品的正常销售,不会对公司未来生产经营构成重大不利影响,但在上市首日暴涨之后,10月8日就迎来大跌,最终下跌13.08%收盘,当日市值蒸发超60亿元。同时,华为的侵权诉讼再一次引发了外界对传音在技术研发和专利储备上的担忧。


同样,企业在谋求境外上市的过程中,亦应当充分重视合规风险识别、评估及防范、处理工作。2019年4月,阿里巴巴集团(以下简称“阿里巴巴”)同意支付2.5亿美元与一些投资者进行诉讼和解。这一集体诉讼案起因是在2015年1月公布的一份《关于对阿里巴巴集团进行行政指导工作情况的白皮书》,该文件披露了2014年7月在浙江省工商局召开的一次行政指导座谈会,会议主要就“阿里巴巴网站上出售的许多产品是假冒或侵犯商标的”而展开。阿里巴巴主要负责人员、核心部门管理团队均参加了会议,并接受行政指导,但阿里巴巴并未将这一事件披露在上市招股书上。因此被指控发布误导性声明并隐瞒受到监管调查的情况,美国律所宣布以涉嫌违反证券法为由将阿里巴巴及高管团队马云、蔡崇信、陆兆禧和武卫4人告上纽约联邦法院。尽管阿里巴巴称其不存在任何违法或不当行为,但还是选择在今年4月29日发布公告宣布以2.5亿美元来终结这场官司,因为“这样的漫长诉讼既无益于保障股东的利益,也无助于阿里巴巴专注为社会创造更多价值”。


无独有偶,现在在美国上市的拼多多也同样面临集体诉讼,拼多多自成立以来就一直因假货和山寨问题备受质疑。2018年7月26日上市之后,质疑之声愈演愈烈。上市之初,拼多多股价盘中一度涨幅达到40%,市值超过300亿美元。但随后几天拼多多股价一路下跌,上市仅5个工作日,股价一度跌破发行价,市值蒸发近百亿美元。北京时间8月1日上午,国家市场监督管理总局点名拼多多,要求相关部门调查其平台上销售山寨产品、傍名牌等问题。美国东部时间8月1日,美国六家律师事务所宣布,将代表投资者们展开对拼多多的集体诉讼,“股价下跌被认为是非正常市场原因导致的下跌,而是由于中国政府对拼多多平台上的山寨产品展开调查。”


三、充分重视合规风险,有效推进合规管理


从以上案例中可以看出,无论是在上市前还是上市后,企业都必须充分重视合规风险、做好合规管理,否则会对企业既有的发展战略造成阻碍,也会给公司品牌形象造成严重损失。比如从当前的案例来看,TO C的公司以及TO B的大数据公司最常见的合规风险就是数据及隐私保护方面的合规风险,而基础设施建设、医药行业的公司必须重视反贿赂反腐败风险,新兴技术公司必须警惕美国的制裁及出口管制合规风险,等等。


合规风险的识别、分析和评价从明确企业所处的内外部环境信息,如监管、行业、市场竞争、商业模式、内部管理、风险事件等方面开始,明确内部的风险偏好、容忍度以及价值取向等信息,再识别具体的合规风险主题、分析其发生可能性、后果严重性,确定合规风险优先级。在评估合规风险时,最重要的就是确保评估范围的全面性、系统性及准确性,在实践中主要有以下方法:


1.根据企业的业务类别进行区分,比如将企业的经营管理活动区分为采购、研发、生产、物流、售后、工程、人事、财务、投资等,然后探寻其中已发生的风险事件或潜在不合规之处;


2.也可以根据企业的组织架构来进行区分,即梳理企业内部的业务单元、部门、岗位的工作职责及日常业务活动,并从中发现合规风险;


3.因法律本身就是调整人与人之间关系的准则,所以也可以根据企业在行为过程中所可能接触到的相对方来进行区分,比如说判断在同股东、监管机构、合作伙伴、竞争对手、员工甚至社会公众之间的关系中存在何种风险;


4.企业可根据本身的业务实际,选择以上或其它的方法,甚至几种方法的集合,来评估自身可能存在的合规风险,便利后续围绕风险开展相应的治理、监控工作。


2.webp.jpg



在明确风险状况之后,企业应当围绕风险开展有效的合规管理工作,只有通过落地并产生实效的合规管理,才能防范或消除合规风险,达到发审委等监管机构的要求。在开展合规管理工作的过程中,最重要的是四个方面:文化、组织、流程、技术。


1.在文化方面,企业高层应当充分重视合规工作,并为合规工作提供足够的资源支持;全员参与合规工作,合规成为基本的行为准则;明确风险偏好,建立合规风险管理的基准。


2.在组织方面,企业应当建立以“横向到边,纵向到底”的三道防线为原则的合规管理组织,明确业务部门、法律合规部门及审计监督部门的职责,持续开展能力提升,并建立起沟通汇报、考核奖惩、资源保障等方面的机制和流程,加强对子公司的合规管控。


3.在流程方面,在开展全面合规评估的基础上,发布综合及专项的合规政策作为经营管理活动的指引,并定期开展业务检查,针对违规事件开展调查,追究违规人员责任,建立健全第三方管理机制。


4.在技术方面,建立日常运行的合规热线、合规平台,实现合规管理的线上化,合理改造业务系统及引入专项IT系统实现合规管控在业务流程的端到端嵌入,完善数据治理,做好文档保存,实现自动化管控。


在公司谋求上市的过程中以及上市之后,现代化的公司治理都是至关重要的一个方面。在立法不断完善、监管形势趋严,以及合规成为竞争工具、违规代价巨大的今天,合规风险管理及合规机制建设等合规工作不应被忽视,这是企业实现发展战略、保证业务连续性的基石。只有合规,企业的发展才能“蹄疾而步稳”,才能“行稳致远”。


来源:赛尼尔法务管理
登录合规网