作者:
郭小明 北京市通商(深圳)律师事务所资深合伙人
刘润兴 北京市通商(深圳)律师事务所高级顾问
要说2021年法律行业讨论度最高的业务领域,“企业合规”定在其中。
合规时代来临——建立健全合规管理体系是在新形势下企业应对外部监管的客观要求,也是实现持续发展的内在需求。只有加快提升企业依法合规经营管理的水平,着力打造合规企业,才能保障企业行稳致远。
深入到业务实践,律师如何帮助企业建立合规管理体系?有哪些原则性问题需要注意?又有何具体的实施路径可供参考?
一、应对合规风险的必然选择
10月8日,市场监管总局依法对美团在中国境内网络餐饮外卖平台服务市场实施"二选一"垄断行为作出行政处罚,责令美团停止违法行为,并处以34.42亿元罚款。
同时,市场监管总局向向美团发出《行政指导书》,要求其围绕完善平台佣金收费机制和算法规则、维护平台内中小餐饮商家合法利益、加强外卖骑手合法权益保护等进行全面整改,并连续三年向市场监管总局提交自查合规报告。
可以看出,在对违规行为进行处罚的同时,国家机关也要求企业必须完善自身的合规管理体系。
而在2020年9月18日,市场监管总局反垄断局就已经发布了《经营者反垄断合规指南》,强调经营者建立反垄断合规管理体系的重要性,主要包括:
经营者应当建立并有效执行合规承诺、合规报告、合规管理架构等方面的反垄断合规管理制度。
经营者应当针对重点合规风险加强合规管理,如禁止达成垄断协议、禁止滥用市场支配地位、依法实施集中等,并根据实际情况建立相关机制,对可能存在的风险进行识别和评估,并对员工面临的法律风险进行提醒。在识别评估的基础上,经营者应当建立健全处置机制,对有关风险进行控制和应对。
在合规管理保障方面,经营者应当实施与反垄断合规管理相配套的保障措施:
一是内部管理,建立健全对员工反垄断合规行为的奖惩机制,明确反垄断合规举报政策;
二是能力建设,鼓励经营者建立专业化、高素质的合规管理队伍,并通过加强教育培训等方式,帮助和督促员工了解并遵守反垄断法相关规定;
三是配套措施,鼓励经营者加强信息化建设,依法运用大数据等工具,加强对经营管理行为合规情况的监控和分析。
而在境外,企业对于合规风险进行事先防控的合规管理体系建设亦是监管机关关注的重点。
如2019年7月24日美国联邦贸易委员会与Facebook达成的和解协议中,除了对Facebook处以史无前例的50亿美元罚款外,还要求Facebook接受长达20年的监管,并按照监管部门的要求进行一系列的行为调整,包括:
建立独立的隐私委员会。Facebook需新设隐私委员会,管理人员和员工不得成为委员会成员。隐私委员会负责管理公司隐私合规风险、任免合规官和第三方评估人。
接受指定的合规官。合规官负责执行和维护隐私委员会批准的隐私计划。详细记录所有的隐私决策,并按季度向第三方评估人和首席执行官提交文件。合规官还必须每季度向联邦贸易委员会报告Facebook隐私合规工作情况。
委任具有广泛监督权力的第三方评估人。第三方评估人应在得到联邦贸易委员会的批准后才能任命,负责对Facebook隐私合规状况进行评估。第三方评估人每年可与隐私委员会召开四次会议,而Facebook管理层和员工除非受邀否则无权参加。
首席执行官在合规上拥有更少的权利,但需承担更大的责任。首席执行官可以听取隐私合规工作的季度报告但不能干预,且必须按季度向联邦贸易委员会提交公司遵守了和解协议的证明材料。
2021年6月3日,最高人民检察院等八部委联合发布了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》,其中要求涉案企业如希望适用“合规第三方监督评估机制”,应当提交专项或者多项合规计划,而且合规计划应当“主要围绕与企业涉嫌犯罪有密切联系的企业内部治理结构、规章制度、人员管理等方面存在的问题,制定可行的合规管理规范,构建有效的合规组织体系,健全合规风险防范报告机制,弥补企业制度建设和监督管理漏洞,防止再次发生相同或者类似的违法犯罪”。
2021年8月10日,深圳市司法局发布的《关于推进城市合规体系建设的指导意见(征求意见稿)》进一步要求包括企业在内的各类社会主体建立健全合规管理体系,将深圳打造成为“全国全面推进合规管理体系标准实施示范城市”。这也标志着,合规管理已经进入“城市合规体系”的新时代。
二、合规管理体系的有效性
从以上案例及相关文件中可以看出,企业的合规管理体系建设将会日益成为违法违规事件中相关政府部门关注的重点。
企业的合规管理体系不仅体现在对合规义务的遵从上,也应当体现在公司的日常管理中。只有持续完善公司的合规组织及合规机制等,通过管理将合规落地,合规管理体系才能被认定为有效的。
结合《ISO37301:2021 合规管理体系 要求及使用指南》《中央企业合规管理指引(试行)》《企业境外经营合规管理指引》及美国司法部《企业合规体系评估》等合规标准及指引,我们认为有效的企业合规管理体系应当体现在三个方面:设计的有效性、执行的有效性和结果的有效性。
1. 设计的有效性。合规管理体系要有针对性,基于企业的业务实际而设计,传达明确的信息,在预防和发现违规行为方面发挥作用。
企业应当:(1)确保管理者言行一致,并身体力行参与合规工作;(2)建立完善的合规管理组织,合规部门在企业组织架构中的地位能够保障其发挥作用,合规人员具备足够的经验及资质,并有充分的资源及自主权确保其有效履行职责;(3)确立完备的合规运作机制、合规保障机制,并合理分配资源,定期更新和修正。
2. 执行的有效性。合规管理体系不能停留在纸面,有效的执行必须有全流程的合规管控,鼓励合规,对违规零容忍。
企业应当:(1)发布经良好设计的政策和流程,并确保员工正确理解,将合规要求落实到业务流程中,明确审核职责,有效管控风险;(2)基于合规风险和业务量身定制培训内容,向员工明示企业对违规行为的态度及立场,为员工寻求建议和指导提供畅通的渠道;(3)建立可供匿名举报的机制,由适格人员进行及时、充分地调查,并且评估举报机制运作情况;(4)公平公正公开地及时处罚违规行为,并对合规行为采取多种奖励方式。
3. 结果的有效性。合规管理体系应当有效运作,随着内外部环境发展变化而演进改变,以应对现有的和潜在的合规风险。
企业应当:(1)通过检查、测试等方式,发现合规管控的不足并加以改进;(2)对合规管理状况开展独立客观的评估,对标外部要求与业界实践;(3)以企业战略为根本,将合规管理融入经营管理中,动态调整管理要求,实现与业务活动可持续发展。
三、合规管理体系实施路径
企业合规管理体系建设工作既要坚持全面性原则,覆盖全业务领域、全部门、全层级,贯穿决策、执行、监督、反馈等各个环节,强调合规人人有责;又要坚持个性化原则,从组织设置、流程管控、规章制度、运作机制、文化建设、管理工具等方面保证合规管理体系适宜于企业发展。
建立健全合规管理体系应当从以下几个方面开展工作:
1.搭建合规管理组织,健全合规管理架构
高效的合规管理组织架构是合规管理体系成功的关键性要素。合规经营是企业开展合规工作的目的和要求,也是合规管理组织的核心职责。企业应当合理确定合规管理组织的层级、权限,做好顶层设计,并为合规管理组织履职配备充足的资源,维护合规管理组织的专业性与独立性。
实践中,合规管理中的最佳实践往往是,企业在董事会的领导下,建立由合规管理委员会、合规负责人和合规管理部门组成的合规管理组织,指导业务部门开展本领域的日常合规管理工作,与审计、监察等部门形成管理合力,并协调与监管机构及合作伙伴的关系。
2.完善风险管理流程,防范应对合规风险
防范和管控合规风险是合规管理工作的导向,企业需要持续关注业务开展情况及内外部法律变化,及时识别、评价及应对潜在的新增风险和既有风险变化。
企业应当建立合规风险管理制度和流程,关注重点领域、重点环节和重点人员,全面分析合规风险的发生可能性、后果严重性及发生原因、潜在后果等,制定合规风险应急预案,采取有效措施,及时应对处置,避免潜在风险并未现实的危险事件。
3.全面识别合规要求,制定合规管理制度
合规管理政策是合规管理体系的成文化要求,也是合规管理工作的制度依据。无论是履行具体合规义务的行为要求,还是合规管理工作的开展方式,均应当通过企业内部正式发布的合规制度,以可得、易得的方式为员工所获取。
一般而言,优秀的合规管理企业会建立合规行为准则、合规管理办法、合规操作流程等多级合规制度体系,针对重点领域制定专项合规管理制度,并根据法律法规变化和监管动态,及时将外部有关合规要求转化为内部规章制度,实现有规可依。
4.完善合规运作机制,实现合规要求落地
合规目标的实现离不开合规管理这一过程。在推进合规管理中,企业应建立健全合规审查、合规培训、合规汇报、合规考核、合规检查等方面的工作机制,将合规管控嵌入关键业务流程中,尤其是作为规章制度制定、重大事项决策、重要合同签订、重大项目运营等经营管理行为的必经程序,确保全员知规守规、有规必依。
合规管理体系的成效还会体现在企业是否能及时发现和处理违规事件或行为。为此,企业应完善举报管理、违规调查、责任追究等机制,畅通举报渠道,明晰违规情形与场景,细化惩处标准,开展违规调查,严肃追究违规人员责任。
5.重视合规文化建设,树立积极正面形象
合规应当成为企业内部文化的核心价值观,这也是合规管理体系最佳实践的应有之义。企业塑造合规文化要求管理层重视合规建设并做出合规承诺,全体员工不断提升合规意识及能力。
企业应建立制度化、常态化、定制化的培训体系,确保管理层及各级员工理解、遵循企业合规目标和合规要求,践行依法合规、诚信经营的价值观。企业亦可参与行业合规组织,展示自身合规成就,参与营造和谐健康的经营环境。
6.引进实施合规工具,持续改进合规工作
有效的合规管理体系,要求企业优化合规管控手段,对业务系统进行合规改进或引入先进合规工具嵌入业务系统,实时监控业务活动开展并提示合规要求、预警合规风险。
合规管理工作无止境,合规管理体系也不能一成不变。企业应当持续评估合规管理体系各方面的有效性,及时发现和纠正存在的问题,根据企业业务发展及外部监管变化,不断调整合规管理要求,更新合规风险管理措施,优化合规运行和保障机制,实现合规管理体系的不断完善。