从概念来看,企业合规是指遵守上述四个方面的要求,但是,合规的含义远不止于此。合规还涉及公司治理、公司内部结构等公司法的内容,在公司内部的由董事会、监事会,以及首席执行官(CEO)、首席财务官(CFO)等所组成的治理架构基础上增加了合规治理结构,使公司的内部结构和组织框架发生革命性变化。例如,在董事会之下设立合规管理委员会,增设首席合规官(CCO)等。其中CEO负责管理企业经营,CFO负责财务管理,而CCO则负责风险防控,合规官所拥有的权力被视为第三项权力(the third power),合规官相对独立,具有一票否决的权力,公司的任何重大交易,只要被合规部门一票否决、不予批准,交易就无法进行。因此,合规部门不负责营利,在不为公司创造利润的情况下却掌管着公司的经营业务开展、交易进行,以及对公司客户、第三方、交易伙伴的管理,还在并购活动当中起到最主要的把关作用,负责对被并购企业的尽职调查、客户尽职调查、第三方尽职调查等。
公司治理要解决的是所有权和经营权的关系,最初是指董事会和执行团队的关系,随着企业法理论的发展,公司治理结构越来越复杂,在董事会中还涉及董事会和股东大会的关系,在股东内部涉及大股东和中小股东的关系等等。在企业法视角,合规是指企业为防控合规风险所建立的一套公司治理结构。一个企业面临着各种风险,企业治理体系正是为了防控风险而建立的,有人将这些林林总总的风险分为几十种,将合规风险作为其中之一,如此一来,合规风险的地位就被大大削弱了。事实上,我们可以将企业面临的主要风险分为三大类,在现代公司治理结构当中以下三大风险是并立的。
首先是经营风险,也叫业务风险,是指企业所面临的投资得不到回报、无法营利的风险,其表现方式多种多样,包括市场风险、竞争风险、政治风险等等,今年的疫情导致很多企业难以存续,这也是经营风险的体现。经营风险由CEO团队负责应对,建立起一套极其复杂的经营或业务治理结构,贯彻执行董事会决策,使企业获得营利。
其次是财务风险,财务管理是公司治理中非常重要的组成部分,企业设置了近乎叠床架屋的财务治理机构,从董事会下设立的审计委员会,到首席财务官、财务部、内部审计部门等,都是为了防范财务风险。而财务风险一旦爆发,要么导致效率低下,要么导致贪污腐败、内部舞弊横行,这也将导致企业遭受巨大损失,甚至濒临破产。
最后还有一种风险就是合规风险,其是指企业在经营过程中由于违反法律法规所带来的受到损失的可能性,合规风险由CCO来负责防控。目前来看合规风险可以分为三大类,一是行政处罚的风险,企业由于经营过程违反行政法规而遭受行政处罚,如污染环境、虚开发票、卫生检疫不合格、侵犯知识产权、违反金融监管法规、违反大数据管理法规等等,受到行政机关的处罚。二是企业因为涉嫌犯罪而被追究刑事责任,刑法分则第三章和第六章有160多个针对企业及其高管的罪名,以相应的行政违法为基础,包括生产销售伪劣商品、走私、危害税收征管、破坏金融管理秩序、污染环境、侵犯公民个人信息等等情形,具备情节严重等条件即可转化为犯罪。三是受到国际组织制裁,如世界银行对湖南建工集团实施的就属于国际组织制裁。
在这三大合规风险的处罚机制中,罚款并不是企业忧虑的主要内容。当然,目前国内的罚款存在数额过小的问题,如此低额的罚款根本不足以对企业形成威慑,反而让企业将罚款纳入经营成本中,并追求违法经营所得的丰厚利润。真正能让企业感到畏惧的是制裁中的“资格剥夺理论”,包括取消上市资格、取消特许经营资格等。例如,美国证监会取消了安达信会计师事务所给上市公司提供审计服务的特许经营资格,意味着该企业在短时间之内就会走向破产。最严厉的资格剥夺处罚是吊销营业执照,这相当于直接宣告企业死刑。当然,资格剥夺的类型还有很多,西门子愿意跟美国达成DPA的原因之一,就是因为即将面临被取消跟美国政府进行交易的资格,而西门子的很多仪器设备都是由美国政府购买的,这一资格被剥夺给西门子造成的损失将达到数百亿美元。湖南建工集团则曾被取消参与由世界银行资助项目的招投标资格。
总之,一个企业最在乎的合规风险并不是行政处罚、刑事责任追究、国际组织制裁本身,而是大量经营资格被剥夺,这会让企业遭受灭顶之灾。不公平的是,剥夺经营资格的处罚竟然是由极少数自然人的违规犯罪行为所造成,大量无辜第三人受到损失,大量员工、股东、投资人、客户都没有实施违法违规行为,难道因为极少数自然人的违规就要惩罚数以万计的无辜者吗?这显然是不合理的,因此通过让企业建立合规体系的方式尽量不惩罚企业,而是严惩负有责任的自然人。
作为一种公司治理方式,合规治理是独立于财务治理、经营治理的第三套治理结构。对此可以从两个方面理解,第一,合规治理与财务治理和经营治理相互独立,绝对不能相互合并,不能把CCO至于CEO的领导之下,也不能将合规与财务审计相提并论,而要保持相对的独立,例如有企业由董事会秘书兼任首席合规官,还有的国有企业由纪委书记兼任首席合规官,这就使合规治理具有了独立性。第二,合规治理体系对经营治理和财务管理活动具有监督控制的权力。首先,合规机构对所有经营业务具有一票否决权,中兴公司现在的经营业务最后都由首席合规官审查,只要不按键交易就不能进行,无论发展客户有多困难,一旦存在违规风险就必须拒绝交易,这就是一票否决机制。其次是合规审计,企业内部有财务审计部门,这是财务治理的一部分,而合规部门从外部引入专家对审计部门再审计被称为“合规审计”,所以合规机构中也需要审计人员的加入,或者从外部聘请审计团队,对公司财务治理状况进行以防范合规风险为目的的审计。
概括来看,合规治理结构由三个板块构成,一是合规管理委员会,合规管理委员会要求设在董事会之下,具有高度的权威性和独立性,董事长和总经理都可以成为委员会成员,但合规委员会主席必须是一个非执行董事,不参与经营和管理;二是CCO,也就是首席合规官;三是公司的合规部。大型企业往往根据不同的专项合规计划设立相应的合规部门,中兴公司的合规部由出口管制合规部、反商业贿赂合规部、数据保护合规部三个部门组成,与大而全的合规体系不同,中兴公司只建立这三项合规计划,涵盖了中兴公司特有的合规风险。西门子公司在与美国司法部和证券交易委员会达成和解协议后开始建立合规,如今已建成五大合规体系,包括反商业贿赂合规、出口管制合规、大数据合规、反洗钱合规、反垄断合规。
摘自《多学科交叉视角下的企业合规》陈瑞华
公司治理要解决的是所有权和经营权的关系,最初是指董事会和执行团队的关系,随着企业法理论的发展,公司治理结构越来越复杂,在董事会中还涉及董事会和股东大会的关系,在股东内部涉及大股东和中小股东的关系等等。在企业法视角,合规是指企业为防控合规风险所建立的一套公司治理结构。一个企业面临着各种风险,企业治理体系正是为了防控风险而建立的,有人将这些林林总总的风险分为几十种,将合规风险作为其中之一,如此一来,合规风险的地位就被大大削弱了。事实上,我们可以将企业面临的主要风险分为三大类,在现代公司治理结构当中以下三大风险是并立的。
首先是经营风险,也叫业务风险,是指企业所面临的投资得不到回报、无法营利的风险,其表现方式多种多样,包括市场风险、竞争风险、政治风险等等,今年的疫情导致很多企业难以存续,这也是经营风险的体现。经营风险由CEO团队负责应对,建立起一套极其复杂的经营或业务治理结构,贯彻执行董事会决策,使企业获得营利。
其次是财务风险,财务管理是公司治理中非常重要的组成部分,企业设置了近乎叠床架屋的财务治理机构,从董事会下设立的审计委员会,到首席财务官、财务部、内部审计部门等,都是为了防范财务风险。而财务风险一旦爆发,要么导致效率低下,要么导致贪污腐败、内部舞弊横行,这也将导致企业遭受巨大损失,甚至濒临破产。
最后还有一种风险就是合规风险,其是指企业在经营过程中由于违反法律法规所带来的受到损失的可能性,合规风险由CCO来负责防控。目前来看合规风险可以分为三大类,一是行政处罚的风险,企业由于经营过程违反行政法规而遭受行政处罚,如污染环境、虚开发票、卫生检疫不合格、侵犯知识产权、违反金融监管法规、违反大数据管理法规等等,受到行政机关的处罚。二是企业因为涉嫌犯罪而被追究刑事责任,刑法分则第三章和第六章有160多个针对企业及其高管的罪名,以相应的行政违法为基础,包括生产销售伪劣商品、走私、危害税收征管、破坏金融管理秩序、污染环境、侵犯公民个人信息等等情形,具备情节严重等条件即可转化为犯罪。三是受到国际组织制裁,如世界银行对湖南建工集团实施的就属于国际组织制裁。
在这三大合规风险的处罚机制中,罚款并不是企业忧虑的主要内容。当然,目前国内的罚款存在数额过小的问题,如此低额的罚款根本不足以对企业形成威慑,反而让企业将罚款纳入经营成本中,并追求违法经营所得的丰厚利润。真正能让企业感到畏惧的是制裁中的“资格剥夺理论”,包括取消上市资格、取消特许经营资格等。例如,美国证监会取消了安达信会计师事务所给上市公司提供审计服务的特许经营资格,意味着该企业在短时间之内就会走向破产。最严厉的资格剥夺处罚是吊销营业执照,这相当于直接宣告企业死刑。当然,资格剥夺的类型还有很多,西门子愿意跟美国达成DPA的原因之一,就是因为即将面临被取消跟美国政府进行交易的资格,而西门子的很多仪器设备都是由美国政府购买的,这一资格被剥夺给西门子造成的损失将达到数百亿美元。湖南建工集团则曾被取消参与由世界银行资助项目的招投标资格。
总之,一个企业最在乎的合规风险并不是行政处罚、刑事责任追究、国际组织制裁本身,而是大量经营资格被剥夺,这会让企业遭受灭顶之灾。不公平的是,剥夺经营资格的处罚竟然是由极少数自然人的违规犯罪行为所造成,大量无辜第三人受到损失,大量员工、股东、投资人、客户都没有实施违法违规行为,难道因为极少数自然人的违规就要惩罚数以万计的无辜者吗?这显然是不合理的,因此通过让企业建立合规体系的方式尽量不惩罚企业,而是严惩负有责任的自然人。
作为一种公司治理方式,合规治理是独立于财务治理、经营治理的第三套治理结构。对此可以从两个方面理解,第一,合规治理与财务治理和经营治理相互独立,绝对不能相互合并,不能把CCO至于CEO的领导之下,也不能将合规与财务审计相提并论,而要保持相对的独立,例如有企业由董事会秘书兼任首席合规官,还有的国有企业由纪委书记兼任首席合规官,这就使合规治理具有了独立性。第二,合规治理体系对经营治理和财务管理活动具有监督控制的权力。首先,合规机构对所有经营业务具有一票否决权,中兴公司现在的经营业务最后都由首席合规官审查,只要不按键交易就不能进行,无论发展客户有多困难,一旦存在违规风险就必须拒绝交易,这就是一票否决机制。其次是合规审计,企业内部有财务审计部门,这是财务治理的一部分,而合规部门从外部引入专家对审计部门再审计被称为“合规审计”,所以合规机构中也需要审计人员的加入,或者从外部聘请审计团队,对公司财务治理状况进行以防范合规风险为目的的审计。
概括来看,合规治理结构由三个板块构成,一是合规管理委员会,合规管理委员会要求设在董事会之下,具有高度的权威性和独立性,董事长和总经理都可以成为委员会成员,但合规委员会主席必须是一个非执行董事,不参与经营和管理;二是CCO,也就是首席合规官;三是公司的合规部。大型企业往往根据不同的专项合规计划设立相应的合规部门,中兴公司的合规部由出口管制合规部、反商业贿赂合规部、数据保护合规部三个部门组成,与大而全的合规体系不同,中兴公司只建立这三项合规计划,涵盖了中兴公司特有的合规风险。西门子公司在与美国司法部和证券交易委员会达成和解协议后开始建立合规,如今已建成五大合规体系,包括反商业贿赂合规、出口管制合规、大数据合规、反洗钱合规、反垄断合规。
摘自《多学科交叉视角下的企业合规》陈瑞华