合规的三大程序,包括事前、事中、事后三个维度,可以概括为防范、识别、应对三大程序。
一是防范程序,指企业构建合规体系时要搭建一套管理体系,防止发生违规犯罪行为。西门子的合规体系和世界银行的诚信合规体系中都有单独的防范程序,具体而言,可以包括以下几个步骤。
1.定期的合规风险评估。合规风险评估要求与时俱进,随着公司业务的变化和发展而不断更新,每年度都要定期形成合规风险评估报告,发现新的合规风险点。
2.三大合规尽职调查(compliance due diligence),企业在发展三类主体时要做尽调。
首先是发展客户,比如银行在发展重大客户的时候要调查客户的背景、资金来源、违法违规历史、交易情况以及可能存在的洗钱、恐怖主义融资等法律风险,通过尽职调查,律师可以为有关客户的合规风险划出等级,为企业提供是否与有关客户展开商业合作的建议,没有尽职调查报告则说明没有尽到合规管理义务,将受到监管部门的处罚。
其次是发展第三方时要做尽职调查,任何与企业有商业合作关系的商业伙伴都是第三方,包括上游供货商、中游代理商、下游经销商,以及其他特殊服务提供商,如律师事务所、咨询公司、旅行社、会计师事务所等。这种合规尽职调查的目的首先是对第三方的违规历史、合规意识和合规制度进行全面了解,对第三方的合规风险作出准确识别和评估;其次是针对第三方责任与企业责任进行有效切割,以防范企业自身的合规风险。对于那些合规风险过高、可能使企业承担较大继承责任的第三方,企业应终止合作,避免第三方合规风险转移;而对于那些虽有合规风险,但处于可控制范围内的第三方,企业可作出适当的交易安排,提出恰当的合规治理措施,对第三方提出切实可行的合规整改要求,在第三方的合规管理达到企业要求之后,再启动与第三方的正式合作。
最后是并购前的尽职调查,是指在企业准备实施投资并购活动时,委托律师对被并购的企业所进行的尽职调查活动。这种调查需要对被并购企业的性质、规模、治理结构、经营业务、交易情况、资产负债状况、违法违规历史、商业模式、运营方式等展开全面的调查,以便查明被并购企业是否实施过违法违规的行为,有无可能在并购完成后带来新的法律风险。
企业的违规犯罪行为百分之九十发生在第三方和并购环节。企业对员工完成合规培训之后,直接违规比例大幅度下降,对员工的管理成本会也会降低,真正实施违规行为的基本上都是第三方和被并购企业。其中涉及几个重要概念,即连带责任、严格责任、继承责任,这些原本都是行政法和公司法上的概念,连带责任发生在客户身上,严格责任发生在第三方商业伙伴身上,继承责任发生在被并购企业身上。
连带责任是指客户存在违规犯罪行为,由于公司发展该客户业务的时候没有进行尽职调查和合规管理审查,所以客户构成的违规犯罪由公司承担相应责任。最典型的例子是洗钱犯罪,如果银行没有遵循反洗钱合规的流程,没有承担注意义务,未尽到合规职责,那么客户的洗钱行为就由银行承担连带责任,银行也能够构成洗钱犯罪。
严格责任是由于公司员工的违规犯罪行为而导致企业承担责任。我国2017年修订的《反不正当竞争法》第7条,在公法领域第一次引入严格责任原则。企业的工作人员只要实施了商业贿赂行为,就应当认定为经营者的行为,推定企业承担行政责任,这就是严格责任,也被称为无过错责任。
继承责任是母公司在并购一家企业的过程中,成了被并购企业的控股公司,一旦被并购企业从事违规犯罪活动,则母公司要继承其所有法律责任和风险,由母公司承担相应的行政责任和刑事责任。
建立合规防范体系和开展尽职调查都是为了将这三种责任及时切割,使客户和第三方的违规犯罪行为不再波及到公司,使被并购企业此前从事违规犯罪活动的责任不会被母公司继承,充分发挥合规管理和尽职调查的隔离带、防火墙功能,这是一项横跨合同法、侵权法、行政法、刑法、企业法的综合性合规管理活动。
3.合规培训。如前所述,合规培训的对象包括所有企业员工、第三方以及被并购企业,培训的内容包括三个要点:一是合规政策和员工手册的内容;二是本公司此前的违规行为和违规案例;三是国家法律法规的最新变化以及对合规政策的影响。培训类型可以分为常规培训和有针对性的培训两种,常规培训的对象是不特定人,如一年一度面对全体员工的培训;有针对性的培训是针对高风险点和高风险领域的重点部门、员工和上下游第三方的专项培训。有效的合规培训要求书面记录,还要有所有参加培训人员的签字,进行电子和书面的留痕、存档。
4.建立合规惯例和文化。确保在公司内部实现合规信息畅通,形成合规的惯例和企业文化,从中兴公司网站可以看到,首席合规官每个月都发布告全体员工、股东、投资人的一封信,一直在传达本公司依法经营的合规理念,并且再三强调合规的基本框架结构、基本的政策,以及随时接受对违规行为的举报,同时通报最新的合规事件。中兴公司董事长自述每年花费大量时间投入合规管理,得到最高层的重视是有效合规的重要标志,不仅能使合规体系有效运行,还有利于形成合规的企业文化。
二是识别程序。识别程序又被形象地称为“合规雷达”,意指像雷达系统一样24小时监控整个企业,目的是随时发现合规风险、随时发现违规行为、随时做出相应处理,将违规消灭在萌芽之中,因而又叫预警系统。识别程序包括以下几大要点。
1.合规风险报告制度。合规报告是合规国际标准的要求,这种报告是自下而上的,由基层合规专员报告给总公司的合规部,再由CCO签字报告合规管理委员会,实现合规报告直通董事会。报告内容包括本公司近期以来的最新合规风险、发生的违规事件,说明企业管理体系存在的漏洞和风险防范的不到位之处,以便让最高决策层加强合规管理,弥补制度漏洞,及时完善合规体系,这就是自下而上的合规报告制度。
2. 合规巡视制度,这是一种像中纪委巡视组一样自上而下的巡视,由首席合规官和其率领的合规团队定期对公司部门、分公司进行巡视,发现违规事件和风险苗头及时处理,督促相关部门加以整改,同时向合规管理委员会进行报告。尤其是大型企业的分支机构数量庞大,并且可能遍及全球,合规巡视制度是识别程序的必要组成部分,实现了监管方式的创新。
3. 合规审计,大量的违规犯罪行为发生在经济领域和财务领域,因为内部审计部门不独立,有时候甚至参与帮助财务造假,此时合规部门根据情况需要可以引入外部专业力量,聘请外部审计团队,对财务审计工作进行再审计,这种再审计就是合规审计,是识别违规犯罪行为的一种手段,有人称合规审计为二次审计,与传统审计工作的功能不同,第一次审计是企业内部的财务管理方式,第二次审计是识别合规风险、发现违规行为的合规治理手段。
4. 吹哨人制度,即企业内部的违规行为举报制度。企业要构建24小时接收、传达违规举报的相关手段,包括电话、网站、微信公众号等,既要随时接受举报、及时处理违规事件,又要严格保护举报人,不能对其实施打击报复。世界银行制裁湖南建工的时候,有一次暗访,连续拨打10次举报电话,结果只有一次有人接听,如果要举报违规行为但没人接听电话,那么合规举报机制就成为摆设,世界银行马上要求整改,此后再次抽查时拨打10次电话能有7次被接听,这才被认定为合格。美国建立了最为发达的举报人制度,其建立在两个基础上,一是高额罚款,二是高额奖励举报人,重赏之下必有勇夫,举报人冒着被开除的风险,甚至冒着身家性命危险不顾打击报复进行举报,给予举报人的奖金要足以让其后半生衣食无忧,所以美国联邦系统会将罚款金额的三分之一奖励给举报人,有时这一金额可达数千万美金。2019年国务院通过了一个重要规定,即《关于加强和规范事中事后监管的指导意见》,其中首次明确建立吹哨人制度,吹哨人正式进入国务院的文件,只不过没有实施细则,期待后续有更加完善的制度规范。
三是应对程序。应对程序又叫危机处理,是指企业在违规行为发生以后要及时做出合规应对和处理。应对程序包含三大要素,分别是积极配合、有效补救、认真整改。
首先是积极配合,在发生违规行为后,企业要积极配合调查,不能毁灭伪造证据,不能与员工建立攻守同盟。合规体现了一种合作性法律理念而非对抗性理念,一味与监管机关对抗,尤其是在行政监管阶段动辄要求行政复议、申请行政听证、提起行政诉讼,如果有对抗的空间还则罢了,如果根本没有对抗的余地,那么这种进攻的姿态就很容易使自己陷入极为不利的境地,而且丧失了最佳的合作机会,甚至迫使监管机关将案件移送刑事司法机关。这个时候就要理智地采取合作的方式,通过合规合作来换取宽大的处理,避免更大损失。
其次是有效补救,第一要立即赔偿被害人的损失,表现真诚的悔过态度,这是获得合规激励的前提。第二要补交税款,企业在税收方面存在的问题要及时补救,否则也没有进入合规的可能性。第三,积极缴纳罚款,只有主动缴纳相关罚款,才能显示企业补救的诚意,才能获得执法部门的认可。
最后是认真整改,最重要的是要及时开展合规内部调查,整改的具体标准有三。一是调查违规事实,这正是合规内部调查与合规尽职调查的区别所在,合规尽职调查是一种防范体系,合规内部调查则是危机应对机制,一般是由企业聘请外部律师团队对企业的违规行为进行专门调查,提交内部调查报告。当年西门子事件案发后,公司就聘请美国德普律师事务所介入,开展了为期两年的内部调查,最终合规内部调查报告提交美国证交会和司法部之后,促成了和解协议的达成。仅这项内部调查业务,西门子支付了高达8.5亿美元的律师费,如今合规已经成为律师的头号业务,美国律所诉讼业务收入与合规业务收入的比例接近一比五。二是发现违规人员后及时惩戒责任人,并将其予以披露,交由司法机关处理,这也是积极整改的重要标准。三是针对发现的合规漏洞提出补救方案,改进完善合规管理体系。系统性查清整个合规管理体系的漏洞,这本身就是内部调查的重要功能,发现漏洞后,要立即制定整改方案,对合规体系进行有效的修补和完善
摘自《多学科交叉视角下的企业合规》陈瑞华
一是防范程序,指企业构建合规体系时要搭建一套管理体系,防止发生违规犯罪行为。西门子的合规体系和世界银行的诚信合规体系中都有单独的防范程序,具体而言,可以包括以下几个步骤。
1.定期的合规风险评估。合规风险评估要求与时俱进,随着公司业务的变化和发展而不断更新,每年度都要定期形成合规风险评估报告,发现新的合规风险点。
2.三大合规尽职调查(compliance due diligence),企业在发展三类主体时要做尽调。
首先是发展客户,比如银行在发展重大客户的时候要调查客户的背景、资金来源、违法违规历史、交易情况以及可能存在的洗钱、恐怖主义融资等法律风险,通过尽职调查,律师可以为有关客户的合规风险划出等级,为企业提供是否与有关客户展开商业合作的建议,没有尽职调查报告则说明没有尽到合规管理义务,将受到监管部门的处罚。
其次是发展第三方时要做尽职调查,任何与企业有商业合作关系的商业伙伴都是第三方,包括上游供货商、中游代理商、下游经销商,以及其他特殊服务提供商,如律师事务所、咨询公司、旅行社、会计师事务所等。这种合规尽职调查的目的首先是对第三方的违规历史、合规意识和合规制度进行全面了解,对第三方的合规风险作出准确识别和评估;其次是针对第三方责任与企业责任进行有效切割,以防范企业自身的合规风险。对于那些合规风险过高、可能使企业承担较大继承责任的第三方,企业应终止合作,避免第三方合规风险转移;而对于那些虽有合规风险,但处于可控制范围内的第三方,企业可作出适当的交易安排,提出恰当的合规治理措施,对第三方提出切实可行的合规整改要求,在第三方的合规管理达到企业要求之后,再启动与第三方的正式合作。
最后是并购前的尽职调查,是指在企业准备实施投资并购活动时,委托律师对被并购的企业所进行的尽职调查活动。这种调查需要对被并购企业的性质、规模、治理结构、经营业务、交易情况、资产负债状况、违法违规历史、商业模式、运营方式等展开全面的调查,以便查明被并购企业是否实施过违法违规的行为,有无可能在并购完成后带来新的法律风险。
企业的违规犯罪行为百分之九十发生在第三方和并购环节。企业对员工完成合规培训之后,直接违规比例大幅度下降,对员工的管理成本会也会降低,真正实施违规行为的基本上都是第三方和被并购企业。其中涉及几个重要概念,即连带责任、严格责任、继承责任,这些原本都是行政法和公司法上的概念,连带责任发生在客户身上,严格责任发生在第三方商业伙伴身上,继承责任发生在被并购企业身上。
连带责任是指客户存在违规犯罪行为,由于公司发展该客户业务的时候没有进行尽职调查和合规管理审查,所以客户构成的违规犯罪由公司承担相应责任。最典型的例子是洗钱犯罪,如果银行没有遵循反洗钱合规的流程,没有承担注意义务,未尽到合规职责,那么客户的洗钱行为就由银行承担连带责任,银行也能够构成洗钱犯罪。
严格责任是由于公司员工的违规犯罪行为而导致企业承担责任。我国2017年修订的《反不正当竞争法》第7条,在公法领域第一次引入严格责任原则。企业的工作人员只要实施了商业贿赂行为,就应当认定为经营者的行为,推定企业承担行政责任,这就是严格责任,也被称为无过错责任。
继承责任是母公司在并购一家企业的过程中,成了被并购企业的控股公司,一旦被并购企业从事违规犯罪活动,则母公司要继承其所有法律责任和风险,由母公司承担相应的行政责任和刑事责任。
建立合规防范体系和开展尽职调查都是为了将这三种责任及时切割,使客户和第三方的违规犯罪行为不再波及到公司,使被并购企业此前从事违规犯罪活动的责任不会被母公司继承,充分发挥合规管理和尽职调查的隔离带、防火墙功能,这是一项横跨合同法、侵权法、行政法、刑法、企业法的综合性合规管理活动。
3.合规培训。如前所述,合规培训的对象包括所有企业员工、第三方以及被并购企业,培训的内容包括三个要点:一是合规政策和员工手册的内容;二是本公司此前的违规行为和违规案例;三是国家法律法规的最新变化以及对合规政策的影响。培训类型可以分为常规培训和有针对性的培训两种,常规培训的对象是不特定人,如一年一度面对全体员工的培训;有针对性的培训是针对高风险点和高风险领域的重点部门、员工和上下游第三方的专项培训。有效的合规培训要求书面记录,还要有所有参加培训人员的签字,进行电子和书面的留痕、存档。
4.建立合规惯例和文化。确保在公司内部实现合规信息畅通,形成合规的惯例和企业文化,从中兴公司网站可以看到,首席合规官每个月都发布告全体员工、股东、投资人的一封信,一直在传达本公司依法经营的合规理念,并且再三强调合规的基本框架结构、基本的政策,以及随时接受对违规行为的举报,同时通报最新的合规事件。中兴公司董事长自述每年花费大量时间投入合规管理,得到最高层的重视是有效合规的重要标志,不仅能使合规体系有效运行,还有利于形成合规的企业文化。
二是识别程序。识别程序又被形象地称为“合规雷达”,意指像雷达系统一样24小时监控整个企业,目的是随时发现合规风险、随时发现违规行为、随时做出相应处理,将违规消灭在萌芽之中,因而又叫预警系统。识别程序包括以下几大要点。
1.合规风险报告制度。合规报告是合规国际标准的要求,这种报告是自下而上的,由基层合规专员报告给总公司的合规部,再由CCO签字报告合规管理委员会,实现合规报告直通董事会。报告内容包括本公司近期以来的最新合规风险、发生的违规事件,说明企业管理体系存在的漏洞和风险防范的不到位之处,以便让最高决策层加强合规管理,弥补制度漏洞,及时完善合规体系,这就是自下而上的合规报告制度。
2. 合规巡视制度,这是一种像中纪委巡视组一样自上而下的巡视,由首席合规官和其率领的合规团队定期对公司部门、分公司进行巡视,发现违规事件和风险苗头及时处理,督促相关部门加以整改,同时向合规管理委员会进行报告。尤其是大型企业的分支机构数量庞大,并且可能遍及全球,合规巡视制度是识别程序的必要组成部分,实现了监管方式的创新。
3. 合规审计,大量的违规犯罪行为发生在经济领域和财务领域,因为内部审计部门不独立,有时候甚至参与帮助财务造假,此时合规部门根据情况需要可以引入外部专业力量,聘请外部审计团队,对财务审计工作进行再审计,这种再审计就是合规审计,是识别违规犯罪行为的一种手段,有人称合规审计为二次审计,与传统审计工作的功能不同,第一次审计是企业内部的财务管理方式,第二次审计是识别合规风险、发现违规行为的合规治理手段。
4. 吹哨人制度,即企业内部的违规行为举报制度。企业要构建24小时接收、传达违规举报的相关手段,包括电话、网站、微信公众号等,既要随时接受举报、及时处理违规事件,又要严格保护举报人,不能对其实施打击报复。世界银行制裁湖南建工的时候,有一次暗访,连续拨打10次举报电话,结果只有一次有人接听,如果要举报违规行为但没人接听电话,那么合规举报机制就成为摆设,世界银行马上要求整改,此后再次抽查时拨打10次电话能有7次被接听,这才被认定为合格。美国建立了最为发达的举报人制度,其建立在两个基础上,一是高额罚款,二是高额奖励举报人,重赏之下必有勇夫,举报人冒着被开除的风险,甚至冒着身家性命危险不顾打击报复进行举报,给予举报人的奖金要足以让其后半生衣食无忧,所以美国联邦系统会将罚款金额的三分之一奖励给举报人,有时这一金额可达数千万美金。2019年国务院通过了一个重要规定,即《关于加强和规范事中事后监管的指导意见》,其中首次明确建立吹哨人制度,吹哨人正式进入国务院的文件,只不过没有实施细则,期待后续有更加完善的制度规范。
三是应对程序。应对程序又叫危机处理,是指企业在违规行为发生以后要及时做出合规应对和处理。应对程序包含三大要素,分别是积极配合、有效补救、认真整改。
首先是积极配合,在发生违规行为后,企业要积极配合调查,不能毁灭伪造证据,不能与员工建立攻守同盟。合规体现了一种合作性法律理念而非对抗性理念,一味与监管机关对抗,尤其是在行政监管阶段动辄要求行政复议、申请行政听证、提起行政诉讼,如果有对抗的空间还则罢了,如果根本没有对抗的余地,那么这种进攻的姿态就很容易使自己陷入极为不利的境地,而且丧失了最佳的合作机会,甚至迫使监管机关将案件移送刑事司法机关。这个时候就要理智地采取合作的方式,通过合规合作来换取宽大的处理,避免更大损失。
其次是有效补救,第一要立即赔偿被害人的损失,表现真诚的悔过态度,这是获得合规激励的前提。第二要补交税款,企业在税收方面存在的问题要及时补救,否则也没有进入合规的可能性。第三,积极缴纳罚款,只有主动缴纳相关罚款,才能显示企业补救的诚意,才能获得执法部门的认可。
最后是认真整改,最重要的是要及时开展合规内部调查,整改的具体标准有三。一是调查违规事实,这正是合规内部调查与合规尽职调查的区别所在,合规尽职调查是一种防范体系,合规内部调查则是危机应对机制,一般是由企业聘请外部律师团队对企业的违规行为进行专门调查,提交内部调查报告。当年西门子事件案发后,公司就聘请美国德普律师事务所介入,开展了为期两年的内部调查,最终合规内部调查报告提交美国证交会和司法部之后,促成了和解协议的达成。仅这项内部调查业务,西门子支付了高达8.5亿美元的律师费,如今合规已经成为律师的头号业务,美国律所诉讼业务收入与合规业务收入的比例接近一比五。二是发现违规人员后及时惩戒责任人,并将其予以披露,交由司法机关处理,这也是积极整改的重要标准。三是针对发现的合规漏洞提出补救方案,改进完善合规管理体系。系统性查清整个合规管理体系的漏洞,这本身就是内部调查的重要功能,发现漏洞后,要立即制定整改方案,对合规体系进行有效的修补和完善
摘自《多学科交叉视角下的企业合规》陈瑞华