企业合规的第三层含义是作为一种风险防控机制,合规的建立是为了防控合规风险,所以合规又叫基于风险防控的管理体系,它不要求大而全、一揽子、一劳永逸的合规计划,而是要求根据企业的特定合规风险建立专门性的合规管理体系,也就是建立“专项合规”。上述中兴公司的三大合规管理体系,就是基于三大合规风险所建立的,检察机关推进的合规不起诉改革,在要求企业建立合规时也只能针对合规风险打造专项合规计划。
一般而言,作为风险防控的合规由以下体系构成。一是合规章程,针对特有合规风险建立的合规章程,又叫“合规宪章”。二是合规的组织体系,有一个合规风险就要有相应的合规部门,例如有反腐败合规风险,就要有反商业贿赂反腐败的合规部;有出口管制合规风险就得有出口管制合规部;如果企业在税务方面出现问题,就应该有税收合规部门;存在侵犯商业秘密等知识产权违规风险,就需要设立知识产权保护合规部门。三是合规政策,又叫员工手册。四是合规程序,分为防范、识别、应对三大框架。
首先是合规章程,为了有效地防范风险要制定合规章程,也叫合规宪章、商业行为准则,是一个企业建立合规体系标志性、宪法性的文件,对于国家来说,宪法是治国安邦的总章程,对企业来说,章程是所有规章制度的灵魂。合规章程第一要有合规的理念、价值和目标等内容,比如西门子的合规理念就是要追求廉洁的经营活动,只做合规的业务,“追求廉洁的价值”是西门子合规宪章提出的基本要求;第二要有合规的基本框架,把合规组织体系的框架结构写入;第三要有合规的基本原则,在我国合规无罪抗辩第一案中,雀巢公司就将雀巢合规章程作为书证提交给兰州中院,作为证明已建立合规管理体系的证据,实现了责任的切割。
其次是合规组织体系,除了合规委员会、首席合规官、合规部门、合规人员等基本要求以外,尤其需要强调针对专项合规的专门合规组织体系,有几个专项合规就要有几个合规组织。合规组织体系有三条基本要求,一是高度的独立性;二是高度的权威性,具有较高的地位层级才能保证权威性;三是要有足够的外部资源保障,包括人员配备和经费拨冗。美国司法部考察企业是否建立有效合规计划时的重要指标就是合规组织的规模,一个有数万名员工的大型企业如果只有十余位合规人员,一年只拨款百万美元,必然是无效合规。
一个著名案例是中国某银行纽约分行受到美国金融监管制裁的例子,2016年这家银行来了一位客户要存进一笔巨款,根据美国法律,银行要对巨额存款进行反洗钱合规审查,但银行行长为了不让客户流失,想跳过反洗钱合规审查直接给客户办理存款,这项决定遭到纽约分行首席合规官和其下属各个合规官员的强烈反对,认为这会严重违反美国联邦和纽约州的金融监管法律,必须对客户和存款进行合规审查。世界范围内的反洗钱合规主要是审查两大重点,即腐败洗钱和恐怖主义融资,而这些业务如果发生在国内银行,有客户要办理一亿美元的存款业务,任何银行都会将其奉为座上宾,迅速为其办理业务,但是中国某银行纽约分行的这位首席合规官是一名美国女士,由其领导的合规部门具有高度独立性,集体提出抗议。结果纽约分行行长认为合规部门影响业务开展,让合规部集体休假两个月,这些合规官休假后发现该笔存款业务早已办理完毕,严重违反美国反洗钱法律,马上决定集体辞职,行长欣然同意,还不知道风险即将来临。首席合规官立即向纽约金融监管局举报了这家银行的违规行为,纽约州金融监管部门雷厉风行,经过调查,最后同意与纽约分行达成和解协议,但需要处罚1.67亿美元,在中国商业银行海外分支机构被罚款的数额中是比较高的。因此,合规体系不具有足够的独立性、权威性,没有资源保障,其他部门可以随意干涉其工作,就会被认为是无效合规,进而遭受处罚,可见光有一个组织架构是远远不够的。
再次是合规政策,这部分理解起来较为困难。所谓合规政策是指针对专项合规计划,就员工、第三方、被并购方、客户所要遵守的准则、规则而建立的一套规范体系。以中兴公司为例,其制定了出口管制合规政策、反商业贿赂合规政策、数据保护合规政策等三大合规政策。类比来看,合规章程相当于合规的宪法,合规组织体系相当于合规的组织法,合规政策相当于合规的实体法,合规还有三大程序法,这与国家的法律体系十分类似,之所以称其为超越法律的治理,也是因为企业内部的合规等于构建了一个类似于国家法律的体系。
相较于员工手册,合规政策往往比较简略,代表着公司基本的规章制度和规范。员工手册则是写给所有员工遵守的规则,要求更为细化,员工手册将员工需要遵守的规章制度进行汇总,一个合格的员工手册可以让员工不用读法律法规和国际规章,只要熟读合规政策和员工手册,按照其要求操作就足够了,起到了给企业员工说明书的作用,把所有需要掌握的法律法规、规章制度、行业惯例都予以写入,西门子公司光反商业贿赂合规政策就有上百条,写得十分清晰具体,具有高度的可操作性。合规政策和员工手册有两个功能,一是要约束所有相关人员遵守法律法规,必须得有完备的规范文件作为实体法;二是可以作为培训的教材,通过定期培训,强调企业设置的禁止性规范,并且对培训记录、存档、全程电子和书面留痕,这是责任切割的标志,如果通过培训还有员工违法违规,那么责任就是员工个人的,企业得以免责。
这是企业与员工实现责任切割的重要手段,也是企业无罪抗辩的依据所在,因为企业已经尽到培训义务、注意义务和管理责任,为员工划定了行为边界,如果员工在学习规章制度之后仍然实施商业贿赂、污染环境、偷逃税款等行为,企业既不知情也没有参与,那么企业不存在主观罪过,不构成犯罪。合规具有自我监管和责任切割两副面孔,有的企业在完成培训后会要求员工签署合规承诺书,注明“公司建立的合规体系包括以下内容,对此本人知情,已收到公司发放的合规政策、合规员工手册,并接受了公司的合规培训,本人郑重承诺遵守规章制度,绝不做违规犯罪行为,如实施了违规犯罪行为,责任由自己承担”。企业合规本身就有自保的动机,就像航空母舰一样,最重要的中枢指挥系统在最中心最安全的位置,其他部分分为几十个区域,其他区域被攻破后会立即启动隔离程序,防止火灾蔓延、海水浇灌导致功能失灵,最重要的是保证指挥系统的安全。合规就像是企业的隔离带和防火墙,企业员工、客户、第三方违法,通过合规,可以保证企业作为中枢系统的安全,仍然可以继续存活。
摘自《多学科交叉视角下的企业合规》陈瑞华
一般而言,作为风险防控的合规由以下体系构成。一是合规章程,针对特有合规风险建立的合规章程,又叫“合规宪章”。二是合规的组织体系,有一个合规风险就要有相应的合规部门,例如有反腐败合规风险,就要有反商业贿赂反腐败的合规部;有出口管制合规风险就得有出口管制合规部;如果企业在税务方面出现问题,就应该有税收合规部门;存在侵犯商业秘密等知识产权违规风险,就需要设立知识产权保护合规部门。三是合规政策,又叫员工手册。四是合规程序,分为防范、识别、应对三大框架。
首先是合规章程,为了有效地防范风险要制定合规章程,也叫合规宪章、商业行为准则,是一个企业建立合规体系标志性、宪法性的文件,对于国家来说,宪法是治国安邦的总章程,对企业来说,章程是所有规章制度的灵魂。合规章程第一要有合规的理念、价值和目标等内容,比如西门子的合规理念就是要追求廉洁的经营活动,只做合规的业务,“追求廉洁的价值”是西门子合规宪章提出的基本要求;第二要有合规的基本框架,把合规组织体系的框架结构写入;第三要有合规的基本原则,在我国合规无罪抗辩第一案中,雀巢公司就将雀巢合规章程作为书证提交给兰州中院,作为证明已建立合规管理体系的证据,实现了责任的切割。
其次是合规组织体系,除了合规委员会、首席合规官、合规部门、合规人员等基本要求以外,尤其需要强调针对专项合规的专门合规组织体系,有几个专项合规就要有几个合规组织。合规组织体系有三条基本要求,一是高度的独立性;二是高度的权威性,具有较高的地位层级才能保证权威性;三是要有足够的外部资源保障,包括人员配备和经费拨冗。美国司法部考察企业是否建立有效合规计划时的重要指标就是合规组织的规模,一个有数万名员工的大型企业如果只有十余位合规人员,一年只拨款百万美元,必然是无效合规。
一个著名案例是中国某银行纽约分行受到美国金融监管制裁的例子,2016年这家银行来了一位客户要存进一笔巨款,根据美国法律,银行要对巨额存款进行反洗钱合规审查,但银行行长为了不让客户流失,想跳过反洗钱合规审查直接给客户办理存款,这项决定遭到纽约分行首席合规官和其下属各个合规官员的强烈反对,认为这会严重违反美国联邦和纽约州的金融监管法律,必须对客户和存款进行合规审查。世界范围内的反洗钱合规主要是审查两大重点,即腐败洗钱和恐怖主义融资,而这些业务如果发生在国内银行,有客户要办理一亿美元的存款业务,任何银行都会将其奉为座上宾,迅速为其办理业务,但是中国某银行纽约分行的这位首席合规官是一名美国女士,由其领导的合规部门具有高度独立性,集体提出抗议。结果纽约分行行长认为合规部门影响业务开展,让合规部集体休假两个月,这些合规官休假后发现该笔存款业务早已办理完毕,严重违反美国反洗钱法律,马上决定集体辞职,行长欣然同意,还不知道风险即将来临。首席合规官立即向纽约金融监管局举报了这家银行的违规行为,纽约州金融监管部门雷厉风行,经过调查,最后同意与纽约分行达成和解协议,但需要处罚1.67亿美元,在中国商业银行海外分支机构被罚款的数额中是比较高的。因此,合规体系不具有足够的独立性、权威性,没有资源保障,其他部门可以随意干涉其工作,就会被认为是无效合规,进而遭受处罚,可见光有一个组织架构是远远不够的。
再次是合规政策,这部分理解起来较为困难。所谓合规政策是指针对专项合规计划,就员工、第三方、被并购方、客户所要遵守的准则、规则而建立的一套规范体系。以中兴公司为例,其制定了出口管制合规政策、反商业贿赂合规政策、数据保护合规政策等三大合规政策。类比来看,合规章程相当于合规的宪法,合规组织体系相当于合规的组织法,合规政策相当于合规的实体法,合规还有三大程序法,这与国家的法律体系十分类似,之所以称其为超越法律的治理,也是因为企业内部的合规等于构建了一个类似于国家法律的体系。
相较于员工手册,合规政策往往比较简略,代表着公司基本的规章制度和规范。员工手册则是写给所有员工遵守的规则,要求更为细化,员工手册将员工需要遵守的规章制度进行汇总,一个合格的员工手册可以让员工不用读法律法规和国际规章,只要熟读合规政策和员工手册,按照其要求操作就足够了,起到了给企业员工说明书的作用,把所有需要掌握的法律法规、规章制度、行业惯例都予以写入,西门子公司光反商业贿赂合规政策就有上百条,写得十分清晰具体,具有高度的可操作性。合规政策和员工手册有两个功能,一是要约束所有相关人员遵守法律法规,必须得有完备的规范文件作为实体法;二是可以作为培训的教材,通过定期培训,强调企业设置的禁止性规范,并且对培训记录、存档、全程电子和书面留痕,这是责任切割的标志,如果通过培训还有员工违法违规,那么责任就是员工个人的,企业得以免责。
这是企业与员工实现责任切割的重要手段,也是企业无罪抗辩的依据所在,因为企业已经尽到培训义务、注意义务和管理责任,为员工划定了行为边界,如果员工在学习规章制度之后仍然实施商业贿赂、污染环境、偷逃税款等行为,企业既不知情也没有参与,那么企业不存在主观罪过,不构成犯罪。合规具有自我监管和责任切割两副面孔,有的企业在完成培训后会要求员工签署合规承诺书,注明“公司建立的合规体系包括以下内容,对此本人知情,已收到公司发放的合规政策、合规员工手册,并接受了公司的合规培训,本人郑重承诺遵守规章制度,绝不做违规犯罪行为,如实施了违规犯罪行为,责任由自己承担”。企业合规本身就有自保的动机,就像航空母舰一样,最重要的中枢指挥系统在最中心最安全的位置,其他部分分为几十个区域,其他区域被攻破后会立即启动隔离程序,防止火灾蔓延、海水浇灌导致功能失灵,最重要的是保证指挥系统的安全。合规就像是企业的隔离带和防火墙,企业员工、客户、第三方违法,通过合规,可以保证企业作为中枢系统的安全,仍然可以继续存活。
摘自《多学科交叉视角下的企业合规》陈瑞华