随着全球公司治理理念和实践的发展,合规已经成为企业竞争力的重要衡量标准。最早“走出去”的一批中国企业,在境外投资、国际贸易或境外工程承包过程中需要遵循外国法律规定、国际公约或国际惯例,因而也面临越来越大的合规压力。而国内监管机构近年来也制定了一系列合规法律制度,加强对企业合规的要求和监管。企业合规已成为一种新的发展趋势。
在此背景下,笔者拟对企业合规的起源、含义、要点及律师合规实务逐一分析。
一、企业合规的起源
现有文献通常将“合规”溯源于1977年美国颁布的《反海外腐败法》(Foreign Corrupt Practices Act,简称FCPA),认为该法第一次提出了企业合规的概念。但实际上,合规的起源要早于FCPA。早在20世纪30年代经济大萧条时期,美国政府为维持经济秩序,保护市场公平竞争,提高经济效益,开始以反垄断为切入口加强企业合规监管,先后出台《谢尔曼法》(Sherman Act)《克雷顿法》(Clayton Act)《美国联邦贸易委员会法》(Federal Trade Commission Act)等法律,打击不正当竞争或不公正、欺诈性行为,确保企业诚信经营。洛克菲勒、通用电气、西屋电气等垄断企业在政府强制性要求之下,被迫开始探索合规管理。
此后,美国政府将监管进一步延伸至证券法领域,先后制定了《证券法(1933)》《证券交易法(1934)》等证券法律,明确上市公司信息披露等强制性要求,促使上市公司开启合规治理。
20世纪70年代,美国发生了轰动世界的“水门事件”,牵涉出多家美国企业的海外行贿丑闻。对此,1977年,美国国会通过《反海外腐败法》(FCPA),禁止在美国成立或上市的企业或与美国有关联的外国企业贿赂政府官员,该法首次确立了企业合规的基本制度。
为防止美国企业因遵循FCPA而在全球竞争中处于不利地位,美国政府积极游说、促使其他国家或国际组织制定类似反腐败制度。经济合作与发展组织(简称经合组织或OECD)和联合国先后通过《经合组织关于打击国际商业交易中行贿外国公职人员行为的公约》(简称“《OECD反贿赂公约》”)《联合国反腐败公约》(简称“UNCAC”),要求各缔约国依公约制定并实施反腐败合规政策。
上述法律法规除了对违法违规行为苛以重罚之外,还通过替代性措施允许建立并实施合规计划的涉案企业减轻或免除处罚,从而激励企业实施合规管理。因此,以美国企业为代表的跨国公司为了减轻或免除刑事或行政处罚,开启大规模反腐败合规治理活动,通过在企业内部制定并实施反腐败合规制度,防范反腐败合规风险。企业合规开始进入跨越式发展时期。
本世纪初,安然、世通等公司一系列财务欺诈丑闻发生后,美国国会于2002年通过《萨班斯—奥克斯利法案》(Sarbanes-Oxley Act,简称“《萨班斯法案》”),强化上市公司内部违法违规行为的防控,被称为史上最严的上市公司监管法案,促使美国企业合规的进一步升级。
此后,在各国政府或国际组织针对企业违规行为的制裁压力之下,以西门子为代表的众多跨国公司,反思企业经营过程中存在的违规风险,积极探索建立企业合规制度和政策,在减免违规制裁或处罚的同时,逐步优化公司治理体系,树立企业诚信合规的典范,将企业推入有序发展的轨道,逐渐为全球企业所效仿。
由此可见,企业合规的初衷在于通过在企业内部制定并实施合规政策和措施,适用替代性刑法措施,减免因违规行为遭致的刑事制裁或行政处罚。但随着实践的发展,合规逐渐显现其突出的价值和意义,合规不仅可以减免因违规事件导致的处罚,更可以在违规事件发生之前防患于未然,避免违法违规风险的发生,防止企业经济或声誉受损,从而保障企业的合规有序经营,提升企业的核心竞争力,实现企业的可持续发展。
二、企业合规的内涵
“合规”乃英文“compliance”的译文,是动词“comply”的名词形式。牛津英语字典中将comply定义为遵循、遵守,通常comply with后加法律法规、命令或请求,而compliance作为名词,则指遵循法律、命令或请求的行为。
“企业合规”,英文为“corporate compliance”,专指企业为预防、发现和处置违法违规行为而建立的一系列自上而下、贯穿企业各部门、各环节的合规措施,以确保企业员工遵守现行法律法规、行业规范等规章制度,实现防范违法违规风险的目的。
从字面理解,合规乃遵守或遵循法律规定(规则)之意。而企业合规的含义也因“规”的范围不同而有广义和狭义之分。狭义的“规”仅指国家制定的法律法令,包括大陆法系国家的成文法以及英美法系国家的判例法,狭义的“合规”则指遵循国家法律制度;而广义的“规”不仅包含国家法律法规,还包括国际条约、国际惯例、行业自律规范、商业惯例或诚信伦理、企业内部规章制度以及企业与第三方签订的合同及协议等等,广义的“合规”则指遵循所有这些制度规范。
企业合规,区别于外部监管,本质上属于一种自我约束,旨在通过建立一套自上而下的合规管理体系,规范企业员工、合作伙伴等主体的行为,防止因违法违规而导致的法律制裁、行政处罚、经济赔偿、商誉受损等风险,以保障企业依法合规经营、有序良性发展。
三、企业合规的分类
除了上述广义和狭义之分,企业合规还可以从不同的角度进行如下分类:
(一)全面合规及专项合规
从合规范围角度,企业合规可以划分为全面合规和专项合规。
全面合规,是企业全方位综合合规管理体系的构建,覆盖企业各业务领域、各部门、各关联企业及全体员工,贯穿决策、执行与监督各个环节,通常适用于初次建立合规管理制度的企业。
专项合规,是指针对特定领域实施的合规,例如反腐败合规、反垄断合规、反洗钱合规、反不正当竞争合规、出口管制合规、证券合规、税务合规、数据合规、知识产权合规等。
(二)境内合规与境外合规
从经营活动的地域角度,企业合规可以划分为境内合规与境外合规。
境内合规,是指不涉及境外业务的普通企业所实施的合规制度及政策。
境外合规,指从事境外经营的企业针对其境外经营活动开展的专项合规管理,具体包括境外设立公司、境外投资并购、进出口贸易、境外工程承包等活动相关合规管理。
(三)刑事合规、行政合规等
从合规拟防范的制裁或处罚类型及其实施主体角度,企业合规可以划分为刑事合规、行政合规、国际组织合规、行业组织合规、企业诚信合规。
刑事合规、行政合规、国际组织合规、行业组织合规,主要是企业为防止违反刑事法律、行政法规、国际组织或行业自律组织的规则而导致的制裁或处罚,从而制定并执行的有针对性的合规安排;
企业诚信合规,指企业依据监管部门或相关组织的诚信合规要求实施诚信合规管理,确保企业诚信合规经营。
(四)业务领域合规
从企业不同业务领域角度,企业合规可以划分为研发合规、采购合规、安全生产合规、营销合规、投资合规、财务合规、人力资源合规,不同业务侧重的合规重点各不相同,例如研发合规关注知识产权合规,采购及营销合规侧重反腐败合规、反不正当竞争合规,人力资源部合规则重点关注劳动法合规及社会保障合规。
(五)部门法合规
从合规涉及的法律领域角度,企业合规可以划分为合同法、公司法、证券法、劳动与社会保障法律、反垄断与反不正当竞争法合规、消费者权益保护法、网络安全与信息保护法等专项合规。
四、企业合规的辨析
在企业管理实践的演变过程中,公司治理、风险管理、内部控制、企业合规先后是企业管理的热点。公司治理、风险管理、企业合规还被视为一个有机联系的整体,即治理、风险与合规管理体系(Governance, Risk Management, and Compliance,简称 “GRC”),是现代企业对各项业务或环节进行管控,从而实现企业发展战略和经营目标的管理方法和工具的统称。这些概念之间由于含义和范围相互重叠又各有区别,因此常被混淆。为理清企业合规的含义,本文将就上述概念及其与合规的相互关系逐一辨析:
(一)公司治理(Corporate Governance)
公司治理有广义和狭义之分,广义的公司治理是指用于协调公司及利益相关者之间的权责利关系、确保公司决策科学公正、维护各方面利益平衡的一系列制度和机制,而狭义的公司治理专指为配置股东及经营者权责关系而建立的、由股东大会、董事会、监事会、高管等组成的公司内部治理结构。
合规可以理解为广义公司治理的组成部分。合规与公司治理都涉及行为规则及行为控制,两者最核心的区别在于起源及自主性不同。公司治理主要源自企业自身,包括股东、董事和高管等在内的企业内部主体为实现企业目标而制定的管理规则和政策,而合规主要源自政府及其他监管机构的强制要求。由此可见,公司治理的具体规则可由公司管理层自主决定,但合规制度必须依据强制性法律法规及相关规范来制定。
而狭义的公司治理即公司内部治理结构,是合规体系构建的重要方面。合规组织的建立需要依托于公司原有的治理结构,在原有治理结构的基础上依据合规职责的分配补充、调整、重构公司组织架构。
(二)风险管理(Risk Management)
风险管理也被称作风险控制(Risk Control),是指企业为识别并避免各类风险而实施的一系列管理安排,这些风险包括经营风险、财务风险、法律风险等。其中,经营风险是指企业采购、生产、销售、投资等业务活动中面临的企业价值变动的风险;财务风险是指企业财务管理过程中因各种原因导致企业偿债、营运、获利能力下降的风险;法律风险也称作合规风险,是指企业在经营过程中因企业或员工的违法违规行为可能遭受刑事制裁、民事赔偿、行政处罚等风险。
由此可见,风险管理的范围要广于合规。风险管理拟防范各类风险,合规则主要防范法律风险。而在企业面临的所有风险中,法律风险无疑是最严重、最根本的,极可能会触发企业的财务风险和经营风险。一旦发生法律风险,企业可能面临巨额处罚或是刑事制裁,企业的商誉也会受损,从而影响企业的资金储备或供应,降低影响企业的偿债、营运及盈利的能力,继而增加企业持续经营的风险。从这个意义上讲,合规被认为是企业风险管理最重要的内容之一,或者说是企业风险管理的核心。
除此以外,两者的侧重点也不尽相同,合规主要立足于规范企业和员工的行为,而风险管理主要以风险的识别、评估、监控和应对为落脚点。
(三)内部控制(Internal Control)
依据美国注册会计师协会《审计准则公告》,内部控制是指企业经营者围绕既定的经营管理目标,对企业人、财、物、业务流程进行有效监管的过程。而财政部、证监会等五部门联合发布的《企业内部控制基本规范》,则将内部控制定义为由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
由此可见,内部控制是一个过程,不需要以确定的、成文的制度作为运行依据,而是依托于一系列有效衔接的程序、流程、运行系统而进行的动态的、持续的管理活动。与内部控制不同的是,合规管理必须依赖于明确的合规制度及政策,并要求企业全员严格遵守。
此外,两者的侧重点也各不相同。内控的核心为财务控制,即通过对企业资金资产的有效管理,保障企业资产的安全以及财务数据的准确完整,从而提高企业的经营效益。而合规的核心在于对法律法规的遵循,侧重于法律风险的识别评估以及合规制度的制定及执行。
二者之间的联系在于,内控作为一种有效的管控方式,也是合规管理的重要措施。合规制度和政策可以通过内控程序或流程,贯彻落实到企业的各部门及各环节,以确保企业全员能够切实遵守合规制度,保障企业合法合规经营。
五、企业合规的内容及要素
关于企业合规的内容或要素构成,不同学者持不同观点,有三要素说、六要素说、九要素说,甚至有学者扩展至十三要素。而国内外合规制度及各企业的实践,也因角度和需求不同而各有差异。笔者在对比分析各种学说及企业实践的基础上,拟将企业合规共性的、核心的基础要素梳理归纳如下:
(一)风险识别及评估
风险识别是指发现企业存在的内外部风险,而风险评估是指针对这些风险的性质及其对企业的影响进行评估,确定风险等级。
风险识别和评估是合规的基础,也是合规的第一步。首先,需要通过风险识别,发现企业经营过程中面临的内外部风险,发现企业最易发生违法违规风险的环节、部门或岗位。在此基础上,针对已经识别出的风险,评估其发生的可能性及其可能的后果,将各类风险等级划分为高风险、中风险、低风险,并据此制订合规风险清单,建立合规风险库,为后续合规制度及流程的制定提供依据。
风险识别及评估的重点,因企业各自的特点而异,需综合考虑企业的主营业务、企业规模、组织架构、历史沿革、发展规划、适用法律法规等情况。
风险识别及评估并非一劳永逸,而是一个需要定期开展的、持续的过程。随着业务的发展、法律法规的更新以及外部合作关系的调整,企业可能会面临新的风险,而原有的风险等级也可能发生变化。企业需要依据业务调整、法律变动等进展,及时识别新的风险,优化调整合规方案及措施。
(二)高层合规承诺
高层合规承诺是指,企业高层将合规作为企业的核心价值观,推崇对违规行为“零容忍”的合规文化,宣示企业的合规方针和目标,并将合规的决心和信念传递给每一个员工,促进企业全员有效执行。
企业高层的重视与支持是企业合规制度制定并有效实施的基石,直接影响企业合规的效果。只有企业高层充分认识并认可合规的重要性和必要性,才能以合规思维统领企业的经营管理,才能为企业合规积极配置各项资源,敦促各相关部门和人员有效配合与协作,从而保障合规体系的有效实施。而且企业高层以身作则,践行合规文化和价值观,对于员工而言也是很好的示范和鞭策。
在形式上,高层承诺通常体现为企业董事长或管理层公开发表合规声明或承诺,例如、西门子、中石化、中兴集团等公司都曾公开发布董事长合规承诺,承诺的内容包括:企业高层致力于践行合规的宣誓、对违规行为零容忍的态度以及敦促每一位员工遵循合规制度的承诺等。
(三)合规组织
合规组织是企业实施合规管理的组织载体,管理层、合规团队、业务团队等机构或人员各司其职、各负其责,履行相应的合规职责。
合规组织是企业实施合规管理的组织保障。为确保合规组织真正发挥作用,确保合规的有效实施,合规组织架构的建立需要充分运用企业现有资源,与企业现有组织架构有效整合并衔接。在此基础上建立的合规组织通常包括董事会、合规委员会、首席合规官及合规部门、业务部门等。
董事会是合规管理体系的领导机构,负责确定合规体系的基本原则和方针,审批重要合规制度及合规计划,统筹调配企业合规资源等,通过履行合规领导职责确保合规制度得以制定并实施。
合规委员会设立于董事会之下,接受董事会的领导,负责合规调查分析,对于合规计划或政策的调整、违规惩戒、合规培训计划向董事会提出建议或意见。
首席合规官及合规部门,作为企业合规的核心力量,负责具体合规运营工作。合规部门的设置也因企业自身的条件和结构而各有差异,或与法务部门合并履行合规职责,或以独立部门负责合规工作。不管以哪种形式设置,均需确保首席合规官及合规部门的独立性及其直接向合规委员会及董事会汇报合规事项的职权。
业务部门,是企业业务发展的主干。业务部门与合规部门积极配合,贯彻落实企业合规方案或计划,是确保合规有效实施的重要力量。
(四)合规制度及流程
合规制度是企业有关合规管理的全部规章制度、工作指引、行为守则等规范的统称,合规流程是落实合规管理的所有步骤、方法和程序的统称。
合规制度相当于企业合规的“实体法”,是合规管理的指引和依据,而合规流程相当于企业合规的“程序法”,是落实合规管理的保障。静态合规制度是动态合规流程设置的依据,动态合规流程能够促使静态合规制度有效发挥作用。
制定合规制度,需要涵盖企业全部业务环节及合规风险领域。完整的合规制度既包括企业整体合规制度,例如《商业行为准则》《诚信合规管理手册》或《合规宪章》,也包括具体合规政策,例如纳入合规内容的审计制度、内控制度、考核制度、纪律惩戒制度等,还包括专项合规制度,例如《反腐败合规政策》《反垄断合规守则》《数据合规手册》等。
设置合规流程,需要贯穿企业合规管理的全过程,聚焦重点业务领域或高风险环节。有效的合规流程,应当将企业的研发、采购、生产、销售、投资、财务等业务纳入合规审批流程,非经合规审批通过相关业务不得进行,确保合规贯穿于企业业务活动的全过程。有条件的企业还可以建立合规信息管理系统,协助合规审批流程。
不同的企业面临的合规风险及风险等级不尽相同,没有放之四海而皆准的合规模板。合规制度和流程的设置无法照搬照抄,需要结合企业所在国家和地区、适用法律法规、所处行业、企业规模、业务模式、组织结构以及外部市场需求等因素量身定制。
企业合规制度和流程也不宜盲目严苛,需要依据企业内外部环境以及企业自身发展需求和目标,合理确定合规的范围及约束程度。具体合规政策还应明确、清晰、细致、有针对性,明确“可为”与“不可为”行为的边界,划清员工合规的红线、底线,以便员工严格遵守,保障合规制度的有效实施。
(五)合规培训及沟通
合规培训是指企业针对内部员工、合作机构及相关主体开展的有关遵循合规义务及守则的教育和培训。合规沟通是指企业与员工、企业与第三方之间有关企业合规的交流及沟通。
徒法不足以自行,合规制度只有被企业全员切实遵守才会发挥作用,而员工遵守的前提是将合规制度自上而下充分传达。因此,通过合规培训与合规沟通,让每一位员工了解并熟悉合规制度,确保每位员工切实遵循,是合规制度执行不可或缺的重要环节。
合规培训需要针对不同的员工群体设置不同形式、内容、频次和强度的培训。而且合规培训应当是一个系统的、持续的过程,依据法律法规及风险动态及时更新,以便让员工及时深入理解合规政策和流程。培训过程中还可以结合测试检验学习成果,加深员工的理解和认知。企业还可以定期发布合规新法速递、警示案例、企业新政等资讯。必要时企业还可以为外部商业伙伴(如销售代理等)提供合规培训。通过科学合理的合规培训机制,确保企业员工及相关主体获知并理解合规制度及流程,强化员工及相关主体的合规意识,以达到防范违规风险的目的。
合规沟通要求企业建立安全、机密、畅通的合规沟通渠道,方便员工及时报告合规实施情况、反映合规风险、提出合规改进建议。企业可以设置专门的合规举报平台,鼓励员工、第三方合作机构、社会舆论通过平台举报企业或员工的违规行为,禁止打击报复举报人,对于举报情况及时受理、调查并向举报人反馈处理结果。合规沟通除了内部沟通外,还包含外部沟通,例如,企业可在采购、招标或招聘公告中明确合规规则,向关联方、承包商、分包商、第三方合作机构明确企业的合规制度,防止关联方或合作机构以企业的名义实施违规行为。
(六)合规监控及审查
合规监控是指企业实施合规管理后,对合规计划的运行情况、合规管理成效而进行的一系列监督、检测活动。
合规制度及流程设定之后不能束之高阁,也不能放任不管,而是需要定期监控、及时改进。随着企业业务范围的调整、适用法律法规的修订更新、并购新公司或建立新的合作关系等等,企业面临的合规风险会因内外部环境的变化而随时变化,企业用于防控风险的合规政策及程序也应相应调整。因此,合规制度及流程设定之后,企业有必要对其进行定期监控,评估合规制度及流程的成效,发现现有合规制度的问题与不足,同时依据企业内外部环境的变化及时优化合规制度及流程,确保企业合规制度及程序合理有效。
在主体方面,企业可以充分发挥合规组织在合规监控中的作用,对合规执行情况进行定期审查与监控。合规委员会与首席合规官定期对企业整体合规体系运行情况进行审查,合规部门与业务部门定期就各个业务领域合规情况进行审查,定期评估各项业务中存在的合规风险。合规部门与企业员工定期进行年度合规沟通及讨论,从员工处了解合规体系的运行情况,发现企业合规存在的问题和薄弱环节,听取企业合规完善和改进的建议。必要时,合规部门还可以通过尽职调查,就特定合规风险进行审查评估,为管理层的合规决策提供参考。
在周期方面,企业可以依据自身情况确定审查的周期,可以设置固定的审查周期,例如,每季度、每半年、每年,或是明确合规审查程序启动的触发情形,例如,适用法律的更新、涉足新的业务领域、并购其他企业、出现员工违规事件、企业因违规事件面临调查。
除此以外,企业还可以委托独立的认证机构或行业协会对企业内部合规计划进行审查认证,提出专业的改进意见,为企业进一步完善合规管理体系提供参考。
六、律师如何协助企业做好合规
除了企业内部合规团队之外,很多企业也会委托外部服务机构协助企业处理合规事务,包括搭建合规管理体系、开展合规尽职调查、草拟专项合规计划、协助违规危机处理、提供系统合规培训等。目前提供合规服务的专业机构包括:专业咨询顾问公司、会计师事务所、律师事务所等。
区别于其他服务机构,律师基于其职业属性及特点,其代理合规业务主要立足于“规”。而合规的本质恰恰是对“规”的遵循,始终要以“规”为准绳。从这个角度看,律师在协助企业合规过程中发挥着不可取代的作用。
律师做好合规通常需要注意以下要点:
(一)合规尽职调查
尽职调查是律师代理上市、重组、并购等项目过程中为调查事实、分析问题常用的工作方法。尽管各类尽调的方法大同小异,但区别于其他尽调,合规尽调全部围绕“合规”二字展开。
在开展合规尽调之初,首先需要明确调查的目的,即需要通过调查了解企业面临什么违规风险、企业具备哪些合规管理的条件和资源,分析违规风险可能带来的后果,梳理防止违规风险的方式方法有哪些,初步确定企业当前的条件适合什么合规方式。
合规尽调需要重点考虑因素包括企业所在法域、适用法律、所属行业、业务范围、企业规模、商业模式、政府关系、合作关系等,律师应通过对企业业务流程、业务环节全面调查,全面准确评估企业面临的合规风险,作为合规方案及计划制定的基础。
(二)理清“规”的范围及内容
企业的合规义务主要来源于适用于企业的规范规则。对适用于企业的规范规则进行全面梳理,是合规计划制定的基础和依据。
企业所处行业、企业性质、企业规模、业务模式等情况不同,适用的规范规则也不尽相同。例如,从事金融业、医药行业、建筑工程业、互联网行业、高新技术行业的企业,分别需要关注金融监管法、医药管理法、工程质量法、数据保护法、知识产权法等法律;国有企业、上市公司不同于普通企业,需要关注国资委、证监会等监管部门出台的规章;体量规模及市场占有率达到一定程度的企业,需要特别关注反垄断法律规定;涉及进出口贸易、境外投资、境外工程承包的企业还需适用于境外合规相关法律规定。
除此以外,律师还应梳理企业内部各项规章制度,特别是现行内部管理制度,以便制订与之有效衔接的合规制度。企业与第三方签署的协议也是“规”的重要内容,律师可以据此判断涉及第三方的风险、界定承担部分合规义务的第三方主体。律师还要了解企业以往违法违规记录,依据企业违法违规的后果,区分各类“规”对企业的约束程度,梳理规范规则清单,作为后续风险识别和评估的依据。
(三)相关案例借鉴
“合规”作为舶来品,对于很多中国企业而言还是一个新生事物。有些境外企业在合规管理方面提供了很好的范本,部分国际组织也在总结归纳的基础上制订了相应的企业合规指引,国内首批实施合规管理的国有企业经过探索也积累了丰富的经验。这些都可以成为企业建立合规体系的重要参考,也是很多初次构建合规管理体系的企业常用的方法。
例如,英国石油公司在原有HSE合规政策的基础上更新迭代,创建了HSEE(Health, Safe, Security, Environment)合规模式,成为众多能源企业奉行的圭臬。中国石化2019年发布《中国石化HSSE管理体系》,就是借鉴的HSSE合规模式。西门子制定的《商业行为准则》以及建构的风险防范、监察和应对机制一直是跨国公司效仿的典范。中兴集团搭建的综合合规管理架构也成为国内企业学习的样本。
因此,律师在协助企业构建合规体系过程中,可以充分借鉴国内外企业的先进合规经验,尤其是同行业、同性质企业的有效做法,也可以参考经合组织、国际标准化组织等发布的有关公司治理、内部控制、诚信合规的指引。
(四)合规风险识别和评估
律师协助企业识别评估合规风险,需要以尽职调查的结果为依据,以企业需遵循的规范规则为立足点。
首先,律师需要依据尽职调查的结果,比照相关法律法规规则及其确定的权利义务,对企业面临的合规风险进行梳理,分析归纳各类合规风险产生的原因、聚焦的领域或环节,确定对应的合规风险点及风险领域,形成初步风险清单。
其次,律师需综合考虑业务领域及业务模式、管理机制、组织机构、以往发生的违规事件、风险事件责任后果等因素,依据合规风险触发的可能性、可能产生的后果、影响的范围和程度针对企业面临的合规风险划分风险等级。在此基础上编制合规风险清单,注明合规风险类型、适用规范、产生原因、责任后果、风险等级、相关部门、相关环节、应对建议等,作为企业制定合规计划的重要依据。
在此基础上,律师应当基于上述合规风险等级,分清轻重缓急,结合企业的资源、条件及目标,帮助企业分析确定现阶段企业合规的范围及方式,这是下一步合规计划制定的前提。
(五)制定合规计划或方案
合规计划或合规方案,是指企业为了预防违法违规、避免法律责任而制定的一揽子方案,既包括合规组织的建构、合规责任的分配,也包括合规制度与政策的制定、合规计划的执行流程和时间表等。其中,合规制度及政策是合规计划的重中之重,也是合规计划实施的指引和依据。
从律师的角度,协助企业制定合规制度和政策,需要穷尽法律法规、行业自律规范、商业惯例,如果是涉及境外业务,还需要考虑其他国家的法律规定、国际公约等,将适用法律的所有规定转化成合规制度或政策的具体条款,特别要将法律法规中的禁止性、限制性规定明确写入企业合规政策中,确保严格遵守。
律师协助企业制定合规计划时还需注意,不宜盲目追求“大而全”,不宜生搬硬套,不能寄希望于通过合规计划避免全部的合规风险。恰当的合规计划需要服务于企业可持续发展目标,将合规风险置于可防可控的范围之内。因此,科学合理的合规计划应当基于自身的业务、规模、治理结构等背景和条件,尤其是要针对企业面临的风险量身定制。
(六)合规执行、监控与改进
企业及其员工是合规计划实施及监控的主力。律师在这一环节对企业的协助主要体现在为企业提供合规培训、协助企业合规审查、协助风险事件的应对方面。
在合规培训方面,律师可以协助企业制定合规培训计划,针对不同群体设置有针对性的合规培训安排,也可以应企业要求,与企业合规部门或业务部门相配合,为企业高管、员工、第三方合作机构进行定期或不定期培训。
在合规审查方面,律师可以协助企业定期审核合规体系,通过专项调查的方式了解合规体系实际运行情况,及时发现并纠正合规体系存在的问题,促进合规体系的不断完善,确保合规体系有效实施。
在风险事件的应对方面,当违法行为发生后,律师可以协助企业展开调查、协助沟通与协调、提供应对方案,将违规事件带来的危害降到最低,还可以依据违规事件暴露的合规体系运行漏洞及问题,为企业提供改进及完善建议。
特别声明:以上内容属于作者个人观点,不代表其所在机构立场,亦不应当被视为出具任何形式的法律意见或建议。
来源:大成律师事务所
作者:
