有效合规管理的基本原则
2024-04-13陈瑞华
陈瑞华
一、引 言
企业合规是一种以风险防控为导向的内部控制体系。通过建立一套合规管理体系,企业可以减少或避免违法违规行为的发生,建立防控合规风险的长效保障机制,确立一种依法依规经营的企业文化。根据企业合规建立的时机,可以将其分为“日常性合规体系建设”与“危机发生后的合规整改”两种类型。前者又称为“事前合规”或“自主性合规”,是企业在没有发生违法违规行为的情况下,为增强竞争实力、增加商业交易机会而开展的合规体系建设;后者又称为“事后合规”,是企业在发生违法违规事件,接受执法调查或刑事追诉后,为争取获得较为宽大的处理,避免陷入灾难性境地,而开展的制度补救和合规体系建设行为。①参见陈瑞华:《有效合规管理的两种模式》,《法制与社会发展》2022 年第1 期。根据企业涉嫌违法违规的类型,这种合规整改又可以分为“行政合规整改”“刑事合规整改”“国际金融合规整改”等相应的制度形态。②企业合规本来属于一种基于风险防控而建立的企业管理体系。但是,企业自生自发地建立合规管理体系,通常是难以取得成功的。而唯有建立源于外部的激励机制,给予企业在陷入危机时以合规管理换取宽大处理的机会,才能激发企业建立并实施合规管理体系的强大动力。根据合规激励的来源,我们将外部推动的企业合规整改分为三类:一是由行政机关推动的“行政合规激励”,简称为“行政合规”;二是由司法部门推动的“刑事合规激励”,简称为“刑事合规”;三是由世界银行等国际金融机构推动的“国际金融合规激励”,简称为“国际金融合规”。当然,除了推动合规激励之外,越来越多的国家和地区开始在行政监管、司法程序中引入“合规指导”和“合规强制”机制,从而激发企业在建立合规管理体系方面的更大压力或动力。对这一问题的分析,可参见陈瑞华:《企业合规基本理论》(第3 版),法律出版社2022 年版,第31-58 页。
一般而言,在没有外部监管、制裁或处罚压力的情况下,企业所建立的合规管理体系通常缺乏统一的评价标准,也不存在接受合规验收评估的压力,难以达到有效管控合规风险的效果。而在行政机关、司法部门或国际金融组织的执法调查程序启动后,“涉案企业”不仅面临着受到行政处罚、刑事追究或金融制裁的可能性,而且还要接受这些机构或组织的合规考察、评估和验收。在此情形下,涉案企业通常会尽量满足考察部门的合规整改要求,达到后者所确立的合规标准。可以说,企业通过开展“日常性合规体系建设”,通常可以解决合规管理体系“从无到有”的问题。而各种“危机发生后的合规整改”,则可以解决合规管理体系“从无效到有效”的问题。
所谓“有效合规管理”,又称为“有效合规计划”,是由行政机关、司法部门或国际金融机构针对涉案企业所确立的合规风险控制目标。要达到这种“有效控制合规风险”的目标,涉案企业需要建立起有效预防合规风险,实时监控企业经营活动,合理应对违法违规事件的内部控制体系。迄今为止,不少国家都在相关法律法规中确立了“有效合规管理的基本要素”。一些国际合规文件也列明了有效合规计划的基本内容。但是,这些法律和文件往往注重对一些具体合规管理要素的强调,却忽略了对有效合规管理基本理念的概括和总结。①例如,国际标准组织(ISO)2021 年发布的《合规管理体系——要求及使用指南》(ISO37301),认为一个组织的合规管理体系,应反映组织的“价值观、目标、战略和合规风险。并且应考虑组织环境”。在此基础上,组织的合规管理体系应遵循“良好治理”“相称性”“完整性”“透明度”“问责制”“可持续性”等基本原则。参见最高人民检察院涉案企业合规研究指导组:《涉案企业合规办案手册》,中国检察出版社2022 年版,第399 页。一些国家的法律法规尽管也声称确立了“有效合规的基本原则”,但这些原则通常包含着诸如“尽职调查”“风险评估”“文化传达与沟通”“合规审计与检测”等较为具体的制度和流程,而并不属于那种对合规管理产生指导作用的基本准则。例如,英国法律尽管针对反腐败合规管理确立了“充分程序六项基本原则”,并将其视为涉案企业据以作出无罪抗辩的法定事由,但这些原则中的部分内容都属于较为具体的合规管理制度。②英国司法部2011 年通过反贿赂法实施指南所确立的“充分程序”六项原则,在2017 年被《刑事金融法》实施指南所确立,又在2020年被SFO 企业合规评估操作手册确立为合规有效性的一般评估标准。这六项原则分别是相称程序原则、高层承诺原则、风险评估原则、尽职调查原则、有效沟通原则以及监控和评估原则。参见陈瑞华:《有效合规的中国经验》,北京大学出版社2023 年版,第270-274 页。又如,法国法律尽管也确立了反腐败合规管理的基本要素,并随后确立了反腐败合规管理的一个核心理念和三项制度支柱,但这些内容也大多属于对合规管理制度的列举,而缺乏对有效合规管理基本理念的总结。③2016 年法国议会通过的《萨宾第二法案》,曾确立了企业合规制度的七项制度要素:一是“制定行为准则”;二是建立“内部预警系统”;三是进行“风险评估”;四是制定“内部和外部会计控制程序”;五是建立“培训体系”;六是建立“惩处机制”;七是建立“内部控制和评价制度”。2020 年发布的《法国反腐败指南》试图为企业提高认识、预防、发现和制裁相关腐败犯罪确立必要的措施和程序。该指南将“相称性原则”确立为核心理念,并确立了反腐败合规计划的三个制度支柱:一是高级管理层的反腐败承诺;二是风险识别;三是风险管理。参见陈瑞华:《有效合规的中国经验》,北京大学出版社2023 年版,第278-279 页。再如,美国1991 年修订的《联邦量刑指南》曾确立了有效合规的七大要素,美国司法部则从2019 年开始发布《公司合规计划评价》,确立了有效合规计划的基本标准。但是,这些要素和标准并不是有效合规管理的基本原则。④根据1991 年修订的美国《联邦量刑指南》,一个有效的合规计划,既是检察官决定是否对涉案企业起诉的重要依据,也是法官对犯罪企业进行量刑时的参考因素。该项指南列出了有效合规的“一般标准”:一是建立合规标准和程序,合理预防犯罪行为的发生;二是企业领导人和治理部门(董事会)监控和管理合规计划;三是将那些有过违法或者不遵守有效合规程序的人,排除于企业合规管理职能之外;四是通过培训等方式向员工传达企业合规的政策和标准;五是建立有效合规的合理措施,如利用监测、审计和报告系统发现犯罪行为;六是建立惩戒机制,严格执行合规标准;七是持续不断地改进和更新合规计划。2019 年4 月,美国司法部刑事部门发布了《公司合规计划评价》。该文件后来经过多次修订,确立了有效合规计划的三项要素:一是公司是否有一个设计良好的书面合规计划,这被视为合规计划有效性的前提条件;二是合规计划在组织上是否得到了严格执行和有效落实;三是是否存在着违规行为的有效识别、纠正和报告机制。参见陈瑞华:《企业合规基本理论》(第3 版),法律出版社2022 年版,第102-109 页。
我国自2018 年“中兴事件”发生之后,在行政监管和刑事司法两个领域加快了合规改革的步伐。在反垄断、证券管理、网络数据管理、反洗钱等领域,行政机关为督促相关企业开展合规体系建设,初步确立了合规指导、合规强制和合规激励等多元化的合规监管方式,试图通过行政机关的引导和压力,来督促相关企业建立有效的合规管理体系。而随着涉案企业合规改革的兴起,检察机关探索建立了一种涉案企业合规监督考察制度,对于那些符合相关条件的涉案企业,启动合规监督考察程序,使其接受一定期限的第三方合规考察、评估和验收,对于通过合规整改验收的企业,作出不起诉或者建议从轻量刑的宽大刑事处理。与此同时,在各级国资委的指导和监督下,国有企业普遍开展“自主性合规”的建设活动,中央国有企业已经初步建立了“全面合规体系”,越来越多的省级国有企业也启动了合规体系建设的进程。
在我国行政机关、司法部门的推动下,有效合规管理的理念已经逐渐深入人心,得到诸多法律法规和规范性文件的承认。特别是检察机关推动发布的一些改革文件,更是在“涉案企业合规评估验收”领域,确立了“有效合规整改”或“有效合规计划”的基本目标,也就是通过进行有针对性的合规整改,建立专项合规计划,达到“有效预防相同或相似违法犯罪行为再次发生”的效果。但是,一个涉案企业在合规整改过程中究竟应贯彻哪些基本原则,才能达到这一有效合规整改的目标呢?对于这一问题,这些文件尽管列出了诸如“相称性”“高层承诺”等原则要求,却并没有给出较为完整的解释。文件所列出的有效合规整改要求,仍然是一些较为具体的合规管理和合规流程建设的要素。至于行政机关所通过的“合规指引”或“合规管理办法”,则更是侧重列举合规管理的制度、体系和流程,而缺乏对有效合规管理原则的总结和提炼。①2018 年,我国国家发展和改革委员会会同多个部门发布的《企业境外经营合规管理指引》,确立了企业合规管理的三项基本原则:一是独立性原则;二是实用性原则;三是全面性原则。我国国务院国资委2022 年发布的《中央企业合规管理办法》,在强调合规管理的政治方向的同时,为“中央企业”确立了“全面覆盖”“权责清晰”“务实高效”等基本原则。参见陈瑞华:《企业合规基本理论》(第2 版),法律出版社2021 年版,第467 页。另参见国务院国有资产管理委员会2022 年发布的《中央企业合规管理办法》第5 条。这就导致行政机关在向相关企业设定“强制性合规要求”,或者对涉案企业合规整改“进行评估验收”时,无法确立一些最低限度的有效合规要求,造成行政机关在合规评估验收时具有太大的自由裁量权。
有鉴于此,本文拟对有效合规管理的基本原则问题作出初步的研究。笔者拟在对一些国家的合规立法和相关国际文件进行反思的基础上,通过对我国行政机关开展合规监管和司法部门开展合规考察的经验进行总结,确立有效合规管理的六项原则,并对这些原则的内容、要求和适用作出初步的概括。本文所要论证的基本观点是:不同企业尽管有不尽相同的合规管理需求,行政机关和司法部门对不同的涉案企业尽管会提出迥然不同的合规整改要求,但是,任何一个有效的合规管理或合规整改,都应遵循一些最低限度的合规管理理念和准则,也就是“风险导向原则”“相称性原则”“高层承诺原则”“权威性原则”“业务流程渗透原则”“可持续性原则”。只有符合这些原则的要求,企业才能建立起有效的合规管理体系,或者完成有效的合规整改,并确保合规管理体系得到有效的运行,发挥有效防控合规风险的效果。
二、风险导向原则
目前,我国一些国有企业在行政监管部门的指导下,普遍开展了合规管理体系建设活动。这种合规管理遵循了一种“全面合规”的理念,强调实现“企业依法依规经营”的目标,先通过梳理国家法律、法规、政策、国际法律文件、企业规章制度乃至行业管理、职业伦理等规范,确定企业的“合规义务”,再根据企业所从事的业务和所处的行业,来识别和评估企业的重点合规领域,并据此建立一种覆盖全部业务流程、全部人员和全部经营活动的合规管理体系。
这种以管理为导向的合规模式,在企业合规管理建设初期有着一定的优势,能够集中公司整体的力量,自上而下地快速建立合规体系,保障合规管理的实施。但是,从有效合规管理的角度来看,这种合规模式也具有僵化、盲目执行和效率低下等弊端,无法适应企业的风险分布情况和场景化治理需求,也难以做到有针对性地预防违法违规行为的发生。正因为如此,越来越多的企业开始从有效防控合规风险的角度出发,确立了“以风险为导向的合规原则”。①参见中兴通讯股份有限公司:《合规创造价值——中兴通讯合规建设实践》,法律出版社2023 年版,第7-8 页。
与那种以管理为导向的合规理念不同,以风险为导向的合规原则最初发端于涉案企业的合规整改过程之中,后来逐渐为众多企业在日常性合规体系建设中所接受。无论是行政监管部门、司法机关还是国际金融机构,在查处涉嫌违法违规的企业时,通常会责令其建立专项合规计划,这种合规管理遵循了“以风险为导向”的理念,强调针对企业所涉嫌实施的违法违规行为类型,以有效预防相同或相似违法犯罪行为再次发生为目标,在调查合规风险的基础上,进行有针对性的制度纠错,然后再引进一种专门性的合规管理体系。
很多国际合规文件和相关法律都确立了这种以风险为导向的原则。例如,国际标准组织《合规管理体系——要求及使用指南》(ISO37301)就明确要求组织“采取以风险为基础的方法”,将合规风险评估作为开展合规管理的基础性工作。该文件将合规评估区分为“固有合规风险”和“残余合规风险”;要求组织开展“合规风险识别”,包括识别合规风险源和划分合规风险等级,制定合规风险源清单和合规风险等级清单;要求组织在发生诸如业务更新、组织架构改变、重大外部变化、合规义务改变、并购发生、不合规行为发生等情况时,应重新开展合规风险评估;要求组织在对合规风险采取零容忍态度的前提下,将精力和资源优先集中到高风险事项上,然后逐渐扩展至全部合规风险。②参见最高人民检察院涉案企业合规研究指导组:《涉案企业合规办案手册》,中国检察出版社2022 年版,第425-427 页。
美国是世界上较早确立有效合规评估标准的国家。美国司法部发布的《公司合规计划评价》将企业是否建立“风险评估机制”视为合规计划是否设计良好的首要标准。检察官在了解企业业务的前提下,要了解企业如何识别、评估和定义合规风险,在多大程度上进行了审查,以及为此投入了多少资源。在识别合规风险方面,检察官应考虑分析并处理因“经营地点、经营范围、竞争能力、监管主体、潜在客户和合作伙伴、第三方伙伴、礼物、差旅、娱乐开销、慈善捐赠和政治献金所带来的风险”。在风险评估方面,检察官还要考虑企业的风险管理过程、风险管理的资源配置以及风险评估机制的定期审查、更新和修订情况。①参见陈瑞华:《有效合规计划的基本标准——美国司法部〈公司合规计划评价〉简介》,《中国律师》2019 年第9 期。
英国反腐败法律确立了有效合规管理的六项“充分程序原则”,其中第三项是“风险评估原则”,要求企业对所面临的外部和内部贿赂的性质和严重程度进行定期评估,包括:高层进行整体风险评估;企业进行适当的资源整合;确定内部和外部的信息源;开展尽职调查;准确记录风险评估过程和结论。②参见陈瑞华:《英国〈反贿赂法〉与刑事合规问题》,《中国律师》2019 年第3 期。
法国2016 年通过的一部反腐败法律将“风险评估”列为七项有效合规管理要素之一,要求企业根据其所在行业和运营地区,对贿赂风险进行识别、分析和分级,并定期进行风险评估。2020 年发布的《法国反腐败指南》进一步将“风险识别”和“风险管理”视为有效合规管理的主要制度支柱。所谓风险识别,也就是运用风险识别工具,对企业所面临的腐败风险作出具体的确认、评估,并采取分级管理措施。所谓“风险管理”,是指通过有效措施和程序来管理已识别的风险,以预防和发现任何违反行为准则或可能构成腐败的行为,并实施相应的制裁。③参见陈瑞华:《法国〈萨宾第二法案〉与刑事合规问题》,《中国律师》2019 年第5 期。另参见陈瑞华:《法国反腐败案件的有效合规标准》,“悄悄法律人”微信公众号,2022 年6 月29 日发布。
我国行政监管部门发布的合规管理指引对合规风险评估给予了一定程度的重视,并将其视为合规管理的基础工作之一。例如,国务院国资委发布的《中央企业合规管理办法》,将“合规管理”定义为企业以有效防控合规风险为目的的管理活动。根据这一办法,企业应当建立合规风险识别评估预警机制,全面梳理经营管理中的合规风险,建立并定期更新合规风险数据库,对风险发生的可能性、影响、潜在后果等进行分析,对典型的、普遍的或者可能产生严重后果的风险及时预警。国家发改委会同其他部门2018 年发布的《企业境外经营合规管理指引》也将合规风险识别、评估和处置视为合规管理的重要工作之一。根据这一指引,合规风险识别是指企业围绕着关键岗位或核心业务流程,通过内部合规咨询、审核、考核和违规查处等途径,或者通过获悉外部监管要求的变化,来识别合规风险。在识别合规风险的基础上,企业可以通过分析违规原因、来源、发生的可能性、后果的严重性等进行合规风险评估,并根据企业的规模、目标、市场环境及风险状况,来确定合规风险评估的标准和合规风险管理的优先等级。对于识别和评估的各类合规风险,企业应建立健全合规风险应对机制,采取必要的控制和处置措施。④参见陈瑞华:《企业合规基本理论》(第2 版),法律出版社2021 年版,第471 页。另参见国务院国有资产管理委员会2022 年发布的《中央企业合规管理办法》第20 条。
最高人民检察院推动发布的《涉案企业合规建设、评估和审查办法》将有效合规整改视为合规建设的目标。所谓有效合规整改,主要是指“能够有效防止再次发生相同或者类似的违法犯罪行为”。为实现这一目标,第三方组织要重点审查涉案企业是否对涉案合规风险采取了“有效识别和控制”措施。涉案企业应在全面分析研判企业合规风险的基础上,制定专项合规计划和内部规章制度;应针对合规风险防控和合规管理机构履职的需要,通过制定合规管理规范、弥补监督管理漏洞等方式,建立健全合规管理机制。①参见最高人民检察院涉案企业合规研究指导组:《涉案企业合规办案手册》,中国检察出版社2022 年版,第85 页。
以上文件普遍强调了“合规风险评估”或“风险识别”的重要性,并将其视为合规管理的重要工作。但迄今为止,有关合规风险防控的问题仍然被视为一种合规管理的制度要素,而没有被上升为“有效合规基本原则”的高度。其实,从实现有效合规管理的角度出发,我们应在对“以管理为导向的合规模式”进行反思的基础上,将“以风险为导向的原则”确立为合规管理的基本准则。
根据以风险为导向的原则,企业合规不应仅仅被定位为“遵从规则”,或者“依法依规经营”,而应被视为一种“以有效防控合规风险为目的”的公司治理活动。企业在经营过程中所要防控的“合规风险”,属于与决策风险、经营风险和财务风险相提并论的战略风险。这种战略风险通常有行政处罚风险、刑事追究风险和国际金融制裁风险三种形式,但都具有“资格剥夺”这一附随性后果。至于那种因违法违规所带来的一般经济损失、声誉损失或其他更为轻缓的不利后果,则不应被视为企业所要防控的“合规风险”。所谓“资格剥夺”,主要是指企业被取消或暂停各种市场准入资格,如被暂停经营资格、暂停特许经营权、被取消经营资格、被吊销经营许可证、被取消参与招投标资格、被取消贷款资格、被取消上市资格、被吊销营业执照等。正是为了防止企业遭受这种由行政处罚、刑事追究或国际金融制裁所带来的“资格剥夺”后果,才使得合规风险成为企业的战略风险,也使得合规管理成为企业的一种战略管理活动,成为当代企业所要解决的重大公司治理课题。
按照以风险为导向的原则,企业不应动辄从事那种宽泛无边的合规义务梳理工作,而应将合规风险的评估作为合规管理的基础工作。首先,根据有效合规管理的理念,企业应当进行科学的风险识别,区分“抽象性合规风险”和“具象性合规风险”,通过对具象合规风险的评估,找到那些现实的、迫在眉睫的并可能带来重大损失的系统性合规风险来源,包括可能带来重大损失的风险业务、风险人员和风险环节。其次,企业在发现“风险源”的前提下,应对这些风险爆发的可能性及其影响范围、影响程度、潜在后果作出准确的分析。再次,在合规风险分析的基础上,企业应对各种具体风险划定风险等级并进行合规风险排序,以便采取差异化的合规管理措施。
根据以风险为导向的原则,企业应以某一具象合规风险为单元建立专项合规计划。这种专项合规计划要得到有效的实施,就需要同时具备两个基本要素:一是基础性合规管理平台;二是专门性合规管理要素。前者是一种保证合规管理体系正常运转的支柱性合规管理要素,可以包括企业的合规章程、合规领导机构、合规组织结构、合规风险防范体系(合规风险评估、尽职调查、合规培训、合规承诺、内部沟通和宣传)、合规风险监控体系(合规报告、合规举报、合规调查、合规审计)以及合规风险应对体系(内部调查、违规惩戒、修复制度漏洞)等风险控制体系。后者则是一系列针对某一具体合规风险所确立的合规管理要素,包括专门性的合规准则、标准和流程,专门性的员工手册,专门性的合规培训和合规承诺,嵌入特定业务流程的专门性风险防控机制,等等。
根据以风险为导向的原则,无论是监管部门、司法机关或国际金融机构对涉案企业的合规整改情况进行评估验收,还是企业开展自主性合规管理体系建设,都应将有效防控合规风险作为基本的衡量标准。对于涉案企业而言,有效防控合规风险主要是指“有效地预防相同或者相似违法犯罪行为再次发生”。而对于没有涉案的企业而言,有效防控合规风险则是指有效地“预防违法违规行为的发生”“监控企业经营行为的合法性”,以及“对违规事件作出应对和补救”。对于涉案企业,监管部门、司法机关或国际金融机构唯有认为其合规整改达到上述标准的,才能通过宽大处理给予适当的合规激励。而对于非涉案企业,唯有达到上述有效防控合规风险的目标,才能满足相应的合规监管要求,被视为履行了合规管理义务。
三、相称性原则
企业要建立有效的合规管理体系,需要防止陷入那种“一刀切的合规计划”的陷阱。经验表明,那种不考虑企业的规模、业务、行业和合规风险等因素,而动辄追求“大而全”或“标准化”合规管理的做法,一般难以达到有效防控合规风险的目标。因为这种合规计划并不区分低风险领域与高风险领域,将有限的合规资源分散适用于所有领域和业务活动,无法实施与其交易规模和风险相称的尽职调查,通常也无法管控那些高风险领域违法违规行为的发生。
要实现有效的合规管理,避免合规走向纸面化和形式化,就需要在合规管理体系建设中确立“相称性原则”。根据这一原则,企业应当根据自身的规模、经营情况、业务类型、治理结构、企业文化、合规风险等情况,识别、评估和管理合规风险,并确立与合规风险相适应的合规管理体系。同时,监管部门、司法机关或国际金融机构在督导涉案企业开展合规整改过程中,也应根据这一原则,要求企业建立一种与实现有效合规目标相符合的合规管理体系,按照必要性原则投入人力物力等合规资源,并根据比例性原则建立合规风险的防控、监控和应对管理流程。
从实现有效合规目标的角度来看,相称性原则有两个方面的具体要求:一是“积极的相称性原则”;二是“消极的相称性原则”。前者是指企业在合规体系建设过程中,需要投入较为充足的资源,建立必要的合规管理制度,以满足有效合规整改的基本要求,也就是有效地预防违法违规行为的发生,建立依法依规经营的企业文化。而所谓消极的相称性原则,则要求企业所投入的资源和所建立的合规管理制度,要以有效的合规整改为限度,选择那些给企业带来最小负担和代价的管理制度,并将其所投入的资源和所建立的制度与企业所要预防的合规风险相适应。一方面,企业的合规管理制度应遵循“必要性原则”,也就是在足以达到有效防控合规风险的前提下,尽量选择那些对企业损害较小、负担较轻或者惩罚后果较为轻缓的制度安排;另一方面,根据狭义的“成比例原则”,企业所建立的合规组织、所配备的合规管理人员、所设定的考察期限、所设定的合规监管人以及所投入的其他合规资源,应当与其规模、业务范围、行业特点、涉罪轻重程度以及所面临的合规风险相适应,或者成正比例关系。原则上,涉案企业规模越大,所面临的合规风险等级越高,就应建立更为标准化的合规管理体系。相反,对规模较小、合规风险等级较低的企业,就不应提出过高的合规整改要求,避免使其承担不成比例的合规负担。否则,就构成一种“过度合规”,违背了相称性原则的要求。①参见陈瑞华:《企业合规整改中的相称性原则》,《比较法研究》2023 年第1 期。
相称性原则已经得到诸多国家法律的确立,被视为有效合规管理的基本准则。例如,英国法律就将“相称程序原则”确立为反腐败合规“充分程序”的首要原则。根据这一原则,商业组织用来预防相关人员实施贿赂的程序,应当与其所面临的贿赂风险以及该组织活动的性质、规模和复杂程度成正比例,它们应当是清晰的、实用的、易于获取的和有效实施的。具体而言,商业组织以预防违法犯罪为目的所建立的合规计划,需要采用以风险为基础的方法(Risk-Based Approach),对企业内部进行整体上的风险评估,以便使合规程序与所面临的合规风险相适应。与此同时,考虑到不同企业的业务性质、规模以及复杂程度都不一样,所面临的合规风险也不尽相同,因此企业在建立合规程序时,还应建立与上述因素相适应的合规管理制度。②参见张远煌等:《企业合规全球考察》,北京大学出版社2021 年版,第95-96 页。
又如,《法国反腐败指南》将“相称性原则”确立为企业反腐败合规的核心理念。③参见陈瑞华:《法国反腐败案件的有效合规标准》,“悄悄法律人”微信公众号,2022 年6 月29 日发布。根据这一原则,企业应根据其所面临的合规风险情况来建立反腐败合规计划。合规风险情况由不同的因素所决定,这些因素可以包括业务活动、产品或服务类型、治理结构、规模、业务部门、营业地点以及不同类型的第三方商业伙伴等。为体现相称性原则的要求,企业高级管理层应当“根据企业的风险状况投入适当的反腐败资源,以便设计、实施和监督作为反腐败计划组成部分的措施和程序”。对于任何违反反腐败指南或者被定性为腐败的行为,高级管理层应对行为人实施适当的和成比例的制裁措施。
再如,美国监管部门和司法机关对涉案企业的合规整改也奉行了“相称性原则”的要求。无论是美国司法部还是证交会,都要求企业根据自己的需求、风险和所面临的挑战来量身打造各自的合规计划。一个行之有效的合规计划,一定是经过合规风险评估,根据企业所面临的不同等级的合规风险领域,投入与其相适应的合规管理资源,建立成比例的合规风险防范、监控和应对机制。
为贯彻相称性原则,美国检察官通常会根据企业的规模、结构和风险情况,来确认企业是否投入了足够的合规人员和资源。在进行风险评估方面,检察官鼓励涉案企业投入更多精力和资源到较高风险领域,并随着合规风险的增加,及时调整包括尽职调查和内部审计在内的合规程序。在是否指定合规监管人方面,检察官要考虑企业是否建立合规计划或者是否建立内部控制机制等情况。对于那些自愿披露违法行为、采取合作配合措施并承诺改革内控机制的涉案企业,检察机关可以不任命合规监管人,而责令企业进行自我监管,定期提交合规报告。④参见陈瑞华:《有效合规的中国经验》,北京大学出版社2023 年版,第290-297 页。
我国检察机关在开展涉案企业合规改革过程中,逐渐将“相称性原则”确立为合规建设、评估和审查的基本原则。根据最高人民检察院2022 年4 月19 日发布的《涉案企业合规建设、评估和审查办法(试行)》(以下简称“合规办法”),涉案企业应当以“全面合规为目标、专项合规为重点”,根据企业规模、业务范围、行业特点等因素变化,逐步增设必要的专项合规计划,推动全面合规。⑤参见最高人民检察院涉案企业合规研究指导组:《涉案企业合规办案手册》,中国检察出版社2022 年版,第85 页。原则上,根据企业涉嫌犯罪的具体情况,检察机关应督促其制定“专项合规计划”,确保所进行的合规整改能够有效地防止再次发生相同或者类似的违法犯罪行为。
其次,在合规资源投入上,检察机关要求涉案企业应设置与企业类型、规模、业务范围、行业特点等相适应的合规管理机构或者管理人员。根据企业的具体情况,在保证有效合规整改的前提下,涉案企业既可以专设合规管理机构和合规管理人员,也可以设置兼职合规管理人员,或者从外部聘请合规管理人员。
再次,第三方组织在制定合规评估工作方案时,要根据有效合规评估的要求,结合特定行业合规评估指标,制定符合涉案企业实际情况的“评估指标体系”。根据《合规办法》的要求,评估指标的权重可以根据“涉案企业类型、规模、业务范围、行业特点以及赦罪行为等因素”进行设置,并适当提高合规管理的“重点领域、薄弱环节和重要岗位等方面指标的权重”。
最后,针对小微企业在合规资源投入有限性等方面的特殊情况,《合规办法》提出了一些有别于大中型涉案企业的简易化的合规整改要求。例如,对于未启动第三方机制的小微企业,检察机关可以不再对第三方组织合规评估过程和结论进行审核,而直接对企业提交的合规计划和整改报告进行审查。又如,对于小微企业合规计划和整改报告的审查,无论是检察机关还是第三方委员会,都应重点审查“合规承诺的履行”、“合规计划的执行”和“合规整改的实效”等内容。
四、高层承诺原则
作为一种为防控企业战略风险而建立的内控体系,合规管理体系经常面临着被架空、被搁置的危险。一方面,企业即便设计出了貌似完备的合规计划,但假如不改变内部的企业文化,允许各级管理层为追求经济效益的最大化,明示或者暗示员工从事违法违规行为,或者纵容业务部门、子公司或第三方商业伙伴实施不法行为,那么,这种合规管理也注定是流于形式的。另一方面,假如企业的高级管理层不重视合规管理的有效执行问题,对于合规管理既不投入充足的人力物力资源,也不亲自传达合规经营的文化理念,那么面对业务部门的质疑,这种合规管理也经常会走向“边缘化”的境地,而难以发挥有效管控合规风险的作用。
为避免上述问题的发生,企业在合规管理中需要确立“高层承诺原则”,并将此作为有效合规管理的制度保障。所谓“高层承诺原则”,主要是指企业的董事会、高级管理人员(简称为“高级管理层”)在有效合规治理方面发挥着领导、监督和推进的作用。那么,最高管理层的合规治理职能究竟体现在哪些方面呢?这直接涉及高层承诺原则的基本内涵和外延。要理解高层承诺原则,需要区分“合规治理”与“合规管理”,前者属于企业高层作出承诺和担当责任的领域,而后者则属于合规部门的具体管理职能。高层承诺原则并不意味着企业高层承担较为具体的合规管理事务,也不意味着高层要对合规管理事必躬亲,而是强调高层将合规风险视为公司的战略风险之一,与决策风险、经营风险和财务风险给予同等地充分重视,并将合规治理上升到公司战略治理的高度。
一般而言,高层承诺原则包含着三个方面的基本含义:一是企业高级管理层应承担着“搭建合规管理体系”的职责,包括推动建立一个有效运行的合规领导机构,以及推动合规管理体系的有效制定和持续改进;二是企业高层应在企业内部传达合规文化,包括做出合规治理的承诺,向全体员工、股东、分支机构、商业伙伴传达合规理念,分享合规知识,介绍合规管理体系的进展情况;三是企业最高层应承担维护合规管理体系有效运行的职责。这主要包括:企业高层应为合规管理投入充足的人力物力资源;持续关注合规管理与业务活动的协调,确保业务得到切实的合规性审查;对于存在重大合规风险的业务或产品立项,给予果断否决;对于实施违法违规行为的员工或管理人员,给予纪律惩戒;等等。①参见陈瑞华:《合规整改中的高层承诺原则》,《法律科学(西北政法大学学报)》2023 年第3 期。
作为一项旨在实现有效合规管理的基本准则,“高层承诺原则”在国际合规文件和各国法律中得到普遍确立。例如,2005 年4 月,巴塞尔银行监管管理委员会发布的《合规与银行内部合规部门》,强调合规应从银行高层做起,唯有董事会和高级管理层作出表率,合规才最为有效;在最高层的领导监督下,银行开展业务时应坚持较高合规标准,始终力求遵循法律的规定和精神。②参见陈瑞华:《企业合规基本理论》(第2 版),法律出版社2021 年版,第450 页。
国际标准化组织发布的《合规管理体系——要求及使用指南》,强调组织领导层在推进合规方面的重要性,认为“组织合规的实现是由领导层运用核心价值观以及普适的优秀治理方法,结合道德要求和社会准则共同形成的”。该文件高度重视组织的最高管理者在推进合规方面的“领导作用”,这主要体现在三个方面:一是发挥合规的领导作用并作出合规承诺;二是制定符合要求的合规方针;三是在组织内分配和沟通相关岗位的职责和权限。③参见最高人民检察院涉案企业合规研究指导组:《涉案企业合规办案手册》,中国检察出版社2022 年版,第408-411 页。
根据美国司法部刑事部门发布的《公司合规计划评价》,有效的合规计划需要公司中高级管理层创造和培养合规文化。检察官应审查公司高级管理层是否清楚地表达了公司的道德标准,准确无误地进行了传达,并且以身作则实施这些标准;检察官也要审查公司中层在强调合规标准和鼓励员工遵守标准方面的表现;检察官在分析高层和中层的重视程度时,应审查中高层本身的行为,对合规的承诺以及如何有效地进行监督。④参见陈瑞华:《有效合规计划的基本标准——美国司法部〈公司合规计划评价〉简介》,《中国律师》2019 年第9 期。
英国法律将“高层承诺原则”视为反腐败合规“充分程序”的六项原则之一。根据这一原则,商业组织的高级管理人员(包括董事会、股东和其他同等机构或个人)应致力于预防关联人员商业贿赂行为的发生,他们应在组织内部培养一种禁止商业贿赂的企业文化。⑤参见张远煌等:《企业合规全球考察》,北京大学出版社2021 年版,第95-96 页。随后,英国相关监管部门对这一原则的适用作出了解释。无论企业的规模、结构和市场情况如何,高层承诺原则都体现在两个方面:一是高级管理层应传达企业的反贿赂立场;二是高级管理层应参与预防贿赂的程序。⑥参见最高人民检察院涉案企业合规研究指导组:《涉案企业合规办案手册》,中国检察出版社2022 年版,第449 页。
与英国相似,法国也高度重视反腐败领域的合规监管,将“高级管理层的承诺”、“风险识别”和“风险管理”确立为有效预防腐败的三个制度支柱。⑦参见陈瑞华:《法国反腐败案件的有效合规标准》,“悄悄法律人”微信公众号,2022 年6 月29 日发布。在反腐败合规体系建设方面,企业高级管理人员在执行企业任务、展示能力和开展业务方面所作的反腐败承诺,是任何反腐败计划的基础。
这种承诺不仅体现在高级管理层在企业内部实施预防和发现腐败行为的决心上面,还体现在反腐败资源的适当分配上面。例如,高级管理层既可以亲自负责反腐败计划的设计、实施和监督工作,也可以将这些工作委派给其他工作人员。后者必须直接向高级管理层进行报告;高级管理层应确保其下属工作人员通过经验或接受培训获得必要知识,享有为履行职责所需要的足够权力和相关信息;高级管理层应对其反腐败计划的各项措施和程序的审计结果加以审查,以确保该计划的正常运行;高级管理层应亲自参与执行某些重要的反腐败措施和程序;高级管理层应在企业内部并向第三方商业伙伴传达其反腐败计划,强调自己对道德和诚信的坚定承诺;高级管理层应确保对那些违反行为准则或实施腐败行为的人,作出适当和成比例的制裁;等等。①See AFA,“The French Anti-Corruption Agency Guidelines”,https://www.agence-francaise-anticorruption.gouv.fr,accessed by July 23,2022.
我国检察机关在推进涉案企业合规改革过程中,也逐渐认识到高层承诺原则的重要性,并将这一原则贯彻到诸多制度的设计之中。②参见最高人民检察院2022 年4 月发布的《涉案企业合规建设、评估和审查办法(试行)》,第4 条、第6 条和第9 条。根据最高人民检察院2022 年4 月发布的《合规办法》,企业最高层在开展合规整改方面可以发挥以下主要作用:首先,“涉案企业一般应当建立合规建设领导小组,由其实际控制人、主要负责人和直接负责的主管人员等组成,必要时可以聘请外部专业机构或者专业人员参与或者协助。合规建设领导小组应当在全面分析研判企业合规风险的基础上,研究制定专项合规计划和内部规章制度”。这就以权威性文件的形式确立了企业最高层建立合规领导机构的制度设计。其次,“涉案企业实际控制人、主要负责人应当在专项合规计划中作出合规承诺并明确宣示,合规是企业的优先价值,对违法违规行为采取零容忍的态度,确保合规融入企业的发展目标、发展战略和管理体系”。这就确立了企业最高管理层在推进企业合规文化建设方面的责任,将预防违法违规行为作为企业合规管理的基本目标。再次,“涉案企业应当为合规管理制度机制的有效运行提供必要的人员、培训、宣传、场所、设备和经费等人力物力保障”“涉案企业应当建立合规绩效评价机制,引入合规指标对企业主要负责人等进行考核”。这就对企业高层承担在合规管理资源投入方面的责任确立了明确规范依据。
五、权威性原则
传统上,企业法律事务部门也承担着一定的合规管理职能。但是,这些部门和管理人员没有被授予较大的权威,既不能对那些存在重大合规风险的业务活动提出否定意见,也无法对那些存在违法违规行为或不遵守合规管理制度的员工或管理人员展开调查,作出纪律处分。这就导致合规管理无论是对业务活动还是人事管理均缺乏足够的约束力,在企业内部逐渐走向“边缘化”的地位,难以发挥有效防控合规风险的作用。
为避免合规管理重蹈法律事务管理的“覆辙”,确保合规部门切实有效地履行合规风险管理的职能,企业应确保合规管理部门具有真正的权威性,在保证独立履职的前提下,赋予其对业务和人员的合规管理职权,并投入与合规管理职能相称的资源保障。对于这一合规管理理念,我们可以简称为“权威性原则”。
例如,根据国际标准组织《合规管理体系——要求及使用指南》(ISO37301)的要求,合规职能部门要有效地履行合规管理职责,就需要具备以下基本保障:可以直接接触治理机构和最高管理层;保持独立,不受组织架构或其他因素的影响,可以自由行动,不受垂直管理的干涉;保持权威性,可根据需要指导其他工作人员,应有“发言权”,可以主张并提出合规问题;有足够的资源来支持组织履行合规管理职责。①参见最高人民检察院涉案企业合规研究指导组:《涉案企业合规办案手册》,中国检察出版社2022 年版,第429 页。
巴塞尔银行监督管理委员会发布的《合规与银行内部合规部门》确立了十项合规管理“原则”,其中第五项和第六项原则就涉及合规部门的独立性和资源配备问题。根据这两项原则,合规部门在银行内部享有正式地位;应由一名合规官全面协调银行的合规风险管理工作;应避免合规管理职责与其他职责发生利益冲突。与此同时,合规部门为履行职责,可以获取任何记录或档案材料,可以自行或委托外部专家进行内部调查,可以就调查情况直接向银行最高管理层报告,也可以绕开通常报告路线,直接向董事会进行报告。不仅如此,为保证合规风险的有效管理,银行应为合规部门提供充足和适当的资源保障,包括具有合规专业素质的合规人员,为合规人员提高专业技能而提供的教育培训等。②参见陈瑞华:《企业合规基本理论》(第2 版),法律出版社2021 年,第451-252 页。
我国行政监管部门在对企业开展合规管理指导时,也注意到保持合规部门独立性的重要性,并将其确立为合规管理的基本原则。例如,国家发改委会同其他部门发布的《企业境外经营合规管理指引》明确将独立性确立为合规管理的三大原则之一。根据这一原则,企业的合规管理应在制度设计、机构设置、岗位安排、回报途径等方面保持独立性,尽量避免利益冲突。③同注②,第467 页。最高人民检察院推动制定并发布的《涉案企业合规建设、评估和审查办法》,强调涉案企业在开展合规考察工作时,应确保合规管理机构和管理人员独立履行职责,对于涉及重大合规风险的决策具有充分发表意见并参与决策的权利,并应为合规管理机制的有效运行提供必要的人力物力保障。④同注①,第86 页。
从实现合规管理目标的角度看,上述文件和规范所确立的相关原则各有不同的侧重方面,而很少系统地确立合规部门在履行合规管理职责方面的权威性。其实,企业合规管理要发挥有效预防合规风险的作用,就需要贯彻“权威性原则”。这一原则可以有“独立性”、“优先性”和“充足资源保障”三项基本要素。
首先,合规管理的独立性,是指在遵循高层承诺原则的前提下,合规管理部门有权独立自主地开展合规管理工作,不受业务部门或其他管理部门的干预或限制。一方面,合规管理的最高领导者应当具有独立的地位,并具有公司高管的身份。无论是合规管理委员会负责人,还是首席合规官或总法律顾问,都不应被赋予与合规管理不相符合的决策、业务或财务管理工作,而应保持合规管理的独立性。另一方面,企业应设置相对独立的合规部门和专职合规团队,使其专门从事合规管理工作,而不从事与合规管理不相符的业务管理工作。企业的合规管理应保持“自上而下”的领导体制,确保母公司与子公司、分公司、各部门或派出机构在合规管理上的“上令下从关系”,激活母公司合规部门对下级合规部门的“合规巡视机制”,实施下级合规部门向上级合规部门的“合规报告机制”。
其次,“合规优先性”,是指合规管理部门对于企业的决策过程、业务活动和管理流程发挥权威的影响和决定作用。具体而言,在决策环节,未经合规部门进行合规性审查,企业不得作出任何重大决策。在业务开展方面,对于那些存在系统性合规风险的业务活动或产品立项活动,合规管理部门有权提出异议,并可以绕开业务部门,直接报请最高层审核批准,对存在问题的业务或产品予以否决。而对于任何员工或高管存在违法违规行为的,合规部门有权启动合规调查程序,对查证属实的违法违规行为,可以报请高层作出纪律惩戒。
尤其是在惩戒违法违规人员方面,企业需要激活合规调查和合规举报系统,建立合规稽查机制,由相关合规管理人员对违法违规事件开展及时的内部调查和反舞弊调查,一方面查明企业发生违法违规行为的事实,揭示发生这些违法违规事件的内生性结构原因,另一方面查明对违法违规事件负有直接责任的员工和高级管理人员,以便确定这些人员的责任,对其作出调离工作岗位、撤销职务或送交司法机关处理的处理。
再次,一个有效的合规管理体系,应当确保企业的合规管理具有基本的资源保障。一方面,企业应确保合规管理人员具有与合规管理相适应的身份和地位,如:首席合规官应具有高级管理人员的身份,能够参加包括董事会、监事会、高级执行团队在内的最高层会议;分支机构的合规负责人应具有较高的地位,兼职合规官专员应具有分支机构或部门副职的地位;等等。另一方面,企业应当根据其规模、业务、产品以及合规风险情况,为合规管理投入必要的人力、物力和财力资源,尤其是设置专职的合规管理人员,包括适量的专门性合规管理人员、合规组织人员和合规调查人员,投入为开展合规管理所需要的经费预算。
六、业务流程渗透原则
合规作为一种风险防控体系,唯有与企业的业务经营活动相结合,才能有效地发挥预防、监控和应对合规风险的作用。但是,很多企业动辄采取“全面合规”的措施,简单地将外部法律法规的要求转化为“合规义务”,并据此开展所谓的“遵从法律法规的管理”,既没有对企业业务经营中的具体合规风险作出科学的识别和评估,发现业务管理流程中的“风险点”,也没有对这些具体合规风险设计出有针对性的业务风险管控手段,更没有通过不断检查、监控和风险评估去发现新的制度漏洞和管理隐患,持续升级相应的内部监控水平。这种合规管理注定会走向“纸面合规”。
为避免上述问题的发生,企业的合规管理体系需要贯彻“业务流程渗透原则”。根据这一原则,企业合规管理不应站在业务流程之外,仅仅充当外部的监督者、审核者和否决者,而是应当嵌入“企业的全业务流程”之中,针对企业业务流程所存在的合规风险点,找到相应的合规管控点,实施有针对性的合规管控措施。
我国监管部门发布的一些合规管理指引,尽管对企业提出了将合规管理融入业务流程之中的要求,但这种要求还远没有上升到“合规管理基本原则”的高度。例如,国务院国资委2020 年发布的《中央企业合规管理办法》明确确立了合规管理“全面覆盖原则”,要求将合规要求嵌入经营管理各领域各环节,贯穿决策、执行、监督全过程,落实到各部门、各单位和全体员工。这显然包含着“业务流程渗透”的基本理念。该办法还要求中央企业将合规审查“作为必经程序嵌入经营管理流程”,重大决策事项的合规审查意见应由首席合规官签字,对决策事项的合规性提出明确意见;业务部门、职能部门、合规管理部门定期对审查情况开展相关评估工作。①参见国务院国资委2022 年发布的《中央企业合规管理办法》第5 条和第21 条。
一些因为涉及重大违规事件而被迫开展合规整改的企业,因为掌握了较为科学的合规管理方法,从实现有效合规管理的角度出发,开始进行将合规管理嵌入业务流程的制度探索,并取得了较为理想的效果。例如,中兴通讯公司就确立了“风险-管控-流程-工具”的风险控制流程。该公司区分了“抽象性合规风险”和“具象性合规风险”,将前者定位为一种宏观的、概括的、潜在的合规风险,将后者则界定为一种微观的、纯粹的、现实的合规风险。在识别和分析具象性合规风险的基础上,该公司确定了各项业务流程中的关键控制点(KCP)。所谓关键控制点,是指那些“能够预防和消除风险的影响或将其减少到可接受水平的控制措施”,如检查、验证、评审、审核、复核、决策、考核、预算、预警、分析、授权、盘点、不相容职务分离等措施。通常情况下,企业可以通过四个步骤来判断某一风险控制点是否为关键控制点:一是该步骤是否有风险控制措施?二是该步骤是否有专门用于消除风险因素或能够将风险因素降低至可接受风险水平的管控措施?三是判断风险因素的影响是否超出可接受水平?四是判断后续步骤是否可以消除或降低风险发生的影响?通过建立一个判断控制点属性的模型,企业可以判定风险控制点的类型,结合风险评估结果和业务类型来设定KCP,有效分配合规管理资源,增强风险管控能力。②参见中兴通讯股份有限公司:《合规创造价值——中兴通讯合规建设实践》,法律出版社2023 年版,第14-34 页。
中兴通讯公司的合规管理经验,其实就体现了一种将合规管理融入业务流程的基本思路,这一思路符合“业务流程渗透原则”的要求。为推广该公司的合规管理经验,我们可以对这一原则作出简要的分析。
首先,在合规风险评估环节,企业应对业务流程存在的具象性合规风险作出全面准确的识别,找到存在重大现实风险的“合规风险源”,也就是具有发生违法违规行为重大可能性的业务领域、业务环节、业务岗位和业务人员。为准确地评估业务流程中存在的具象性合规风险,企业需要将业务流程中存在的风险源进行分解和标注,在此基础上,对其爆发风险的可能性和影响后果作出分析,对其风险等级作出评定,对各种风险排出需要优先管理的次序。
其次,在合规风险管理环节,企业应针对业务流程的各个风险来源,分别引入差异化的合规管控措施,消除业务流程的风险隐患和管理漏洞。中兴公司所提出的合规“关键控制点”的概念,对于企业开展合规风险管理具有普遍的借鉴意义。其精髓在于企业需要根据合规风险的具体内容,制定相应的风险管控方法,确立合理有效的合规管控落地方案,最终将合规管控要求嵌入业务流程之中,达到合规融入业务流程的效果。
再次,在合规管理组织方面,企业应对合规管理与业务管理进行深度融合,配备充足的“合规兼职人员”,将业务开展打造成合规风险防控的“第一道防线”。为确保合规与业务的深度融合,避免发生合规与业务“两层皮”的现象,企业可以考虑在各业务管理部门设置合规联络人或合规兼职人员,由其负责按照专业合规团队、所在单位的要求,负责合规规则、标准和指引的传递和有关合规管理任务的执行工作。对于没有设置合规联络人的业务单位或子公司,也可以默认由该单位或子公司的总经理担任合规联络人。与此同时,为激发业务部门参与合规管理的积极性,企业可以考虑确立合规风险防控“三道防线”的机制。其中,各业务单位可以作为合规管理的“第一责任人”,担负起将合规管控措施加以落地的责任;合规管理部门作为第二道防线,通过制定合规规则和持续监督来识别和处理合规风险;合规稽查部门作为第三道防线,负责接收违规事件的举报、违规事件的调查、违规人员的处分以及持续不断的合规审计工作。上述三道防线相互联系,共同发挥有效管控合规风险的作用。
七、可持续性原则
很多企业出于应付行政机关监管要求的考虑,或者出于应对行政机关或司法部门合规整改验收的需要,在短时间内建立了一套合规管理体系。这种合规体系对于管控此前爆发的合规风险或许是有效的,也发挥了预防、监控和应对特定合规风险的作用。但是,随着企业经营活动的开展和业务的变化,也随着国家法律法规的更新,企业所面临的合规风险也发生了程度不同的变化。假如企业不对合规风险进行持续的评估,不对原有合规体系的有效性作出及时的检测和评估,或者不根据合规风险的变化情况来改进合规管理体系,那么,这种合规管理就有可能陷入“被动落伍”的窘境,难以发挥有效控制合规风险的作用。
为防止出现上述问题,企业的合规管理体系需要贯彻“可持续性原则”,也就是合规管理应针对外部法律法规的变化和企业合规风险的转型作出持续不断的调整和更新,以便可持续性地发挥防控合规风险的作用。
对于合规管理体系的持续更新问题,一些国际合规文件提出了明确的要求。例如,国际标准组织《合规管理体系——要求及使用指南》(ISO 37301)明确将可持续性作为合规管理的基本原则。根据这一指南,合规管理体系的有效性取决于它具有持续改进和发展的能力。考虑到企业的环境和业务会随着时间的推移而发生变化,客户的情况以及所适用的合规义务也会出现改变,因此需要对合规风险进行持续和定期的重新评估,对合规管理体系进行不断审查和改进,以确保其保持最新状态并有助于合规目标的实现。必要时,企业可以对其合规文化展开重新调查和评价;对于所发生的不合规行为,企业应通过调查找到发生这种行为的原因,并据此对合规政策和程序作出更新。①参见最高人民检察院涉案企业合规研究指导组:《涉案企业合规办案手册》,中国检察出版社2022 年版,第441-442 页。
一些国家发布的企业合规指南也提出了持续改进合规管理体系的要求。例如,英国反腐败法律所确立的“充分程序六项原则”就明确包含了“监控和评估”的要求,要求商业组织采取监控和评估程序,确保合规计划得到持续不断的改进。为此,商业组织应建立内部和外部检测机制,包括针对员工的调查、内部控制以及其他监控措施;商业组织还应建立合规风险定期报告制度,以确保商业组织最高层对合规计划的有效性开展定期审查。②参见陈瑞华:《有效合规的中国经验》,北京大学出版社2023 年版,第273 页。
又如,美国司法部和证交会发布的反腐败合规指南,也对企业提出了定期改进合规计划的要求。该指南认为,有效的合规计划建立在不断改进的基础上,随着企业的业务、经营环境、客户以及习惯法律或政策的变化,也随着原有合规计划不断暴露出缺陷和不足,企业应定期审查和改进其合规计划。对于那些及时改进和更新合规计划的涉案企业,司法部和证交会会以此为依据作出宽大处理,或者采取其他奖励措施。③同注②,第295 页。
目前,我国行政机关发布的一些合规管理指引,也对企业提出了持续改进合规管理体系的要求,例如,国务院国资委发布的《中央企业合规管理办法》要求中央企业应当定期梳理业务流程,查找合规风险点,将合规要求和防控措施嵌入流程,针对关键节点加强合规审查,强化过程管控。企业应加强对重点领域、关键节点的动态监测,实现合规风险的即时预警与快速处置。与此同时,中央企业还应当建立合规风险识别评级预警机制,建立并定期更新合规风险数据库;定期开展合规管理体系有效性评价,针对重点业务合规情况开展专项评价,强化评价结果运用。④参见国务院国有资产管理委员会2022 年发布的《中央企业合规管理办法》第20 条和第34 条。
考虑到合规管理体系刚刚被引入我国的行政监管机制和司法激励体系,众多企业的合规管理还处于初创阶段,无论是监管部门还是司法机关,都很少明确提出持续更新合规管理体系的要求,更没有将此作为有效合规计划评价的重要标准。不过,从有效防控合规风险的角度考虑,企业在合规管理体系中需要确立可持续性原则,并将此作为建立、完善、评价合规管理体系有效性的基本原则。
首先,企业应根据内部和外部环境的变化,考虑到业务、客户、产品和商业伙伴的变化情况,及时识别新的合规风险源,并针对这些风险适当调整和更新合规管理体系。具体而言,企业应定期开展合规风险评估活动,识别出新的风险业务流程、风险环节、风险岗位和风险人员,并通过对风险爆发可能性和影响力的分析,重新划分风险等级并排列风险顺序。
在风险评估方面,企业尤其需要对第三方商业伙伴和被并购企业进行持续不断的合规管控。例如:企业在聘用第三方业务伙伴时,应进行尽职调查,并对尽职调查的情况作出记录;应对第三方进行合规政策和程序的告知或者培训,促使其作出合规承诺;应通过更新尽职调查、培训、审计、年度合规认证等方式,对第三方进行持续不断的合规监控。又如,在企业实施并购活动时,企业需要将其相关的合规准则、政策和程序尽快适用于被并购的企业。对于潜在的被并购企业,涉案企业应进行适当的尽职调查,并可以采取包括培训、审计在内的其他合规管理措施。
其次,企业应及时更新合规义务库,以便将相关法律法规的最新变化反映在企业相关合规政策、标准、管理规范、流程和员工手册之中。企业合规包含着一种“外法内规化”的过程。对企业经营活动影响较大的“外法”,主要是行政监管法律、刑事法律和国际法律法规。在企业建立并运行一种合规管理体系之后,上述“外法”有可能不断发生变化和更新。唯有将这些变化和更新及时吸收进“内规”之中,使之转化为合规政策、员工手册的内容,体现在合规培训、合规承诺之中,使之成为全体员工和管理人员一体遵行的行为准则,才能发挥有效防控合规风险的作用。
再次,对合规计划的有效性应采取定期检查和测试措施。为应对不断变化的法律要求、监管环境和合规风险,企业应对合规管理体系进行定期的审查和测试,以便评估和改善它们在发现和预防有关违法违规行为方面的有效性。根据这种合规测试的结果,企业应及时发现合规管理体系的不足和漏洞,采取有针对性的查缺补漏工作,对合规政策和程序作出必要的调整。
最后,违法违规事件发生后,企业此时采取应对和补救措施,应是更新合规管理体系的时机。对于违法违规事件,企业应进行必要的内部调查,在查明违规事实和查处责任人的基础上,应当揭示违法违规行为发生的内生型结构原因,并采取有针对性的制度纠错或补救措施,在此基础上对合规管理体系作出改进和完善。这可以确保合规管理体系持续发挥有效预防合规风险的作用。
八、结语
企业合规管理尽管存在着事先合规与事后合规、自主性合规与合规整改等多种制度形式,但要实现有效防控合规风险的目标,就需要确立若干带有通用性的基本准则,使之成为各种合规管理制度赖以确立的根据。与各种法律原则一样,有效合规基本原则尽管也具有一定的抽象性,却可以从长远的角度影响着合规管理体系的建立、发展和完善。确立有效合规的基本原则,既要考虑有效合规的基本要求,为监管部门、司法机关开展合规评估验收确立主要依据,也要从那些较为具体的管理制度中抽象出普遍适用性的理念,并针对一些无效合规或纸面合规的情形,确立最低限度的管理准则。
本文讨论的六项基本原则从不同角度发挥着维护合规管理有效性的功能。其中,“风险导向原则”为企业建立有效合规管理机制确立了一种模式选择,帮助企业放弃那种不切实际的“管理导向型合规模式”,而选择一种建立在风险评估、风险管理和风险控制基础上的内控体系。“相称性原则”要求企业建立一种与规模、业务、行业、合规风险相适应的风险控制体系,确保合规领导体制、组织体系、资源投入和管理流程等满足有效预防违法违规行为的需要。“高层承诺原则”强调企业高级管理层承担起合规治理的责任,避免合规管理陷入“边缘化”的命运,维护合规管理的有效运行。在高层承诺原则的保障下,“权威性原则”要求企业赋予合规管理相对独立的地位,在合规性审查、违法业务否决和违规人员惩戒等方面具有权威性,并获得较为充足的资源保障,这是一切合规管理有效运行的制度保障。“业务流程渗透原则”强调合规管理与业务流程的深度融合,实现对业务流程合规风险点的有效管控,这是避免合规脱离业务管理的制度保障。而“可持续性原则”,则重视合规管理体系的持续改进和更新,要求企业针对不断变化的合规风险,以及外部法律法规和监管环境的改变,对合规管理体系作出相应调整,使之与时俱进地发挥预防系统性合规风险的作用。
上述六项有效合规基本原则,适用于所有企业搭建合规管理体系的场景,属于指导企业运行有效合规管理体系的通用性准则。企业在不同的合规体系建设中,可能还要遵循一些差异化的基本原则。例如,企业开展自主性合规体系搭建,与涉案企业开展合规整改,可能要遵循不尽相同的方法和步骤,也需要奉行一些不同的准则。又如,企业在搭建不同的专项合规管理体系时,可能也会遵守不同的合规管理理念,如在搭建“反商业贿赂合规体系”“数据保护合规体系”“安全生产合规体系”“环境资源保护合规体系”“反洗钱合规体系”等不同体系时,可能会贯彻各不相同的管理理念。尽管如此,企业在开展上述合规管理活动中,要避免出现“纸面合规”、“形式化合规”或“无效合规”的情况,仍然要遵守一些最低限度的管理要求。本文所讨论的六项基本原则,就为企业建立、运行、评估有效合规计划,提供了最低限度的行为准则。