近年来随着中国企业在世界范围内若干重大合规事件的发生,以及中国政府层面相继颁布央企合规指引及企业境外经营合规指引等文件,合规已经成为中国企业必须要考虑的一个重要问题。但对于合规的一些基本问题,包括概念、范围、与法务和内控的关系以及如何建立有效的合规体系等,在实务中并不统一。由此,本文从合规实务的起源入手,对合规的一些基本问题进行讨论,并指出中国企业建立有效的合规体系,应结合企业自身特点和实际情况,不能一概而论。
一、引言
2018年6月,中兴通讯因违反美国出口管制法律而与美国政府刚达成和解协议,2018年10月,华为CFO孟晚舟就因华为涉嫌违反美国出口管制法律而在加拿大国籍机场被逮捕,时至今日,仍在就是否应引渡至美国而在加拿大刑事司法程序中。2019年4月,香港民政局前局长何志平因违反美国《反海外腐败法》(FCPA)被美国联邦法院判处有期徒刑3年,罚金40万。实际上,根据美国司法部公开的案例,仅从2016年1月至2019年1月,因违反美国出口管制法律而被起诉的全球63家企业中,就有25家中国企业和个人,已经超过1/3[注1]。在世界银行公布的处罚名单中,中国企业从几年前的屈指可数到目前已经累计至数百家因违反世行规则而先后受到制裁(具体名单可参见世界银行网站每3小时更新的实时数据[注2])。其中很多涉及建筑行业,且多系在参与世行项目过程中“欺诈”所致。由此,在全球经济一体化的大环境下,在中国一带一路的倡议和践行过程中,中国企业建立有效的合规体系,已经迫在眉睫。近年来随着中国企业在世界范围内若干重大合规事件的发生,以及中国政府层面相继颁布央企合规指引及企业境外经营合规指引等文件,合规已经成为中国企业必须要考虑的一个重要问题。但对于合规的一些基本问题,包括概念、范围、与法务和内控的关系以及如何建立有效的合规体系等,在实务中并不统一。由此,本文从合规实务的起源入手,对合规的一些基本问题进行讨论,并指出中国企业建立有效的合规体系,应结合企业自身特点和实际情况,不能一概而论。
与此相应,2018年11月2日,国务院国资委颁布《中央企业合规管理指引(试行)》[注3]。同年12月26日,国家发改委、商务部等七部委联合颁布《企业境外经营合规管理指引》[注4]。据公开报道,在国务院国资委颁布央企合规管理指引之前,从2016年开始已有五家央企试点建立合规体系,但实际运行效果如何尚不得而知。然而,随着国际社会对中国企业因重大违规事件进行处罚而引发的中国企业对合规的关注,以及中国政府层面对合规的高度重视,可以预见包括央企在内的不同级别的国企以及民企将在接下来的几年内会意识到合规的重要性,从而期望建立合规体系。因此,如何建立有效的合规体系,将是中国企业接下来很长一段时间内将要面对的一个重要问题。
二、合规的价值
对于合规的价值,现在比较流行的一句话是,合规创造价值。它不像销售那样可以产生直接的经济效益,但如果企业一旦发生重大合规风险,就可能面临灭顶之灾。比如,如果中国企业因违反美国出口管制而被起诉,那么不但公司可能会被处以巨额罚款,公司的直接责任人员也可能会被追究刑事责任。如果公司高管不想被美国起诉,那就只能停留在中国境内,因为美国与全世界180多个国家签订引渡条约,一旦跨入这些协议国家,就极有可能被捕,然后被要求引渡,最后再到美国接受审理。所以显然,有效的合规,不仅会直接预防公司的员工包括管理层被行政处罚或刑事追责,更多的是预防或帮助公司避免发生重大合规风险,从而为公司带来稳定的经营环境,以及良好的国内国际商誉等,从而间接为公司带来效益。如果每个企业都合规,最终也会促进全社会公平竞争,促使企业更加专注于提高自身产品质量和服务水平,最终造福全社会。
三、合规的概念
欧美国家早期的合规概念主要集中于诚信经营及反商业贿赂领域。比如美国的《反海外腐败法》(FCPA法案),自1977年立法至今已有四十多年,美国很多公司合规部门主要的职责就是确保公司经营符合FCPA的要求,而对于FCPA而言,其核心的内容就是禁止以贿赂的方法获取或保留业务。在欧美的世界500强公司中,虽然有些仅设法务部,合规部隶属与法务部,是法务部门的一个内设机构,但在很多公司中,合规部门却是一个独立于法务的部门,而且合规部门的工作仍以反商业贿赂为主,以其他领域的合规工作为辅,包括反垄断、个人隐私和数据保护及出口管制等。这一点也体现在欧美国家的执法部门,经常引人注目的合规案件,大部分仍然集中在反商业贿赂领域。美国的两大执法机构SEC和DOJ不定期颁布的FCPA案件,依然被各大欧美公司合规部门密切关注并经常引用,作为企业日常合规工作的重要官方参考和指引。
在中国涉外律师早期的合规业务中,基本来源于美国在华企业违反美国的FCPA法。因此,在涉外律师早先的概念中,合规基本上指的是要合乎美国FCPA法案要求的反贿赂条款和会计条款。当然,对于其他方面的合规,比如反垄断、反洗钱、劳动、税务、海关进出口以及出口管制等,也会涉及,但在涉外律师早期的合规业务中,反商业贿赂曾一度占据主要地位。而一些全球组织,比如OECD,世界银行等,对于合规的定义,也主要在诚信经营和反商业贿赂等方面。当然,随着时代的发展,合规的概念和范围也在不断延伸。比如随着互联网的普及以及智能化软件、工具越来越多的使用,个人隐私和数据保护合规,最近几年发展迅速,成为合规领域一个越来越重要的分支。再如,随着中兴通讯和华为事件的发生,中国企业也越来越关注美国出口管制领域的合规。
在中国语境下,尤其是伴随着《中央企业合规管理指引(试行)》和《企业境外经营合规管理指引》的颁布,在中国企业的概念中,合规更多指的是大合规,即全方位、各环节、各领域都要合规,包括反商业贿赂、反洗钱、反垄断、知识产权、个人隐私与数据保护、税务、环境保护及劳动用工等。但实际上,如果说合规与其他法律问题有何本质区别的话,那么合规关注更多的是因政府的行政监管或司法机关的刑事追责而可能引起的重大法律风险。如果只是一般的民事法律责任,通常并不需要纳入合规管理体系,比如民法概念中的违约责任或侵权责任。
从具体的概念层面来看,通常理解合规指的是遵守国家法律法规、国际惯例和国际条约、行业规范、以及企业内部规章制度等。但对于每一个具体的企业及其员工来讲,合规指的就是遵守企业内部的规章制度,而它当然也是来源于国家的法律法规、国际惯例和国际条约、行业规范等各个不同级别的强制性规范,但一定又是高于这些强制性规范,并且要更加细致、更加具有可操作性。如果企业内部的规章制度没有规定的,才需要到外部的强制性规范条文中去寻找行为依据,甚至是更高的道德层面的要求,比如诚信原则。
对于合规的概念,倒并不需要特别纠结。因为合规在中国刚起步,因此对于中国企业而言,目前会更加关注合规制度的建设,而且刚开始,企业通常期望建立全方位、各环节、各领域的内部规章制度。在建章立制后,企业会自然更加关注合规制度实际运行的效果问题以及树立正确的合规理念和文化的问题。此外,合规本身也会不断发展,可能因为某个时间,某个领域重大合规事件的发生,某个领域的合规会凸显其重要性。
四、合规与法务、内控及风险控制的关系
合规与法务、内控及风险控制,都是为了预防、减少公司风险。但四者之间,既有联系,也有区别。
(一) 合规与法务
首先,法务和合规工作范围有明显区别。在公司里,有一些工作明显属于法务部门,比如审核合同、修改合同,投资并购,诉讼,包括债务纠纷、劳动纠纷、产品责任纠纷、知识产权申请、维护及知识产权诉讼等。而有些看似与法务相关的法律工作,则明显属于合规部门,比如对第三方管理、捐赠与礼物、与政府官员交往,内部违规的调查以及审计等。此外,如果是因政府行政监管或司法机关刑事追责有关的事务,包括接受行政监管部门的调查、处理或司法机关的侦查、刑事处罚等,一般也会归属到合规部门职责范围。
第二,从组织结构来讲,欧美很多公司都会设置合规委员会,并定期向董事会报告。然而一般情况下,对于法务部门,则几乎没有就法律问题会成立类似的公司层面的工作委员会。
第三,二者也有很多联系,工作上也有很多需要相互配合。比如合规也会审核合同,但它更多的会看一些法务部门审核以外的法律问题,比如反商业贿赂条款,价格或支付的对价是否符合公允的市场价,是否有垄断嫌疑,交易主体是否曾有不合规历史等。有些则以法务为主,合规部门为辅。比如,跨国公司大型并购,通常是由法务领衔,从一开始的项目论证,到对目标公司的尽调、谈判、起草文件,以及最后到相关政府部门办理股权变更等。而合规则只是整个项目的一部分,比如合规会关注目标公司经营过程中的重大合规问题,比如是否有商业贿赂,经营模式是否有刑事风险,是否有逃税,公司员工社保是否缴纳等。但有些事务也会由合规主导,法务配合。比如对于违规事件的合规调查或审计中,在合规部门主导调查或审计时,也需要法务提供法律意见,以确定违规事件的严重性。
(二) 合规与内控
首先,内控与合规有明显的区别。比如,内控主要关注企业的财务问题或现金流向等问题。从制度层面来讲,内控通常会关注与财务相关的规章制度等问题,而合规则更关注根本性的、关系公司全局性的问题。如果从一个更高层面来讲,内控仅关注制度,而合规是一个公司全局性的完善的体系,涉及公司内部规章制度、公司管理层态度、沟通与交流、培训、不断持续改进、调查、惩戒等,合规最终的目标是确保公司的各项运营,不但符合法律法规和公司内部规章制度,以避免行政处罚或刑事处罚所带来的风险,而且最终是期望建立一个合法合规的公司理念与文化。从这个角度看,内控只是合规体系的一部分。
其次,这两个部门之间也有很紧密的联系。比如目标都是一样的,都期望帮助公司做好预防工作,将风险防患于未然,而且在做合规审计和持续改进时,合规部门通常会邀请内控部门一起组成工作组,进行合规审计,撰写合规审计报告,并就审计中发现的问题,提出改进意见,以做到持续改进等。
(三) 合规与风险控制
对于企业而言,风险是各种各样的,按照不同标准划分也可以分成不同的风险,比如按照是否与法律直接相关,就可以简单分为商业风险和法律风险。早在2006年国务院国资委颁布的《中央企业全面风险管理指引》第三条就指出,企业风险是未来的不确定性对企业经营可能产生的各方面的影响,包括战略风险、财务风险、市场风险、运营风险、法律风险等。因此,只要是为控制企业风险而采取的各种措施都可以纳入风险控制体系。而合规风险则是企业整个风险中的一部分,而且通常是法律风险中最重要的一些风险,即与行政监管和刑事司法有关的、容易引起企业生死存亡的重大法律风险,所以现在世界各国普遍把合规风险单独列出来做为一类风险并提倡建立相应的合规管理体系。国务院国资委在出台央企风险管理指引多年后,又在2018年出台央企合规管理指引,或许正是基于这种考虑。
五、建立有效的合规体系
中国企业的合规体系建设体系化或者单独的作为一个概念提出来虽然较晚,但并非没有做过与合规相关的工作。比如银行业的合规指引很早就已出台,央企的风险控制指引也很早就出台。但这也恰巧说明风控和合规还是有区别,因为在经历风控之后,现在政府层面仍然提出了合规指引。因此在当下,提倡建立独立的、体系化的合规体系仍有必要,适逢其时。
然而,说到合规体系建设,目前国内企业对外部律师提出这个要求时,往往认为外部律师只要帮助企业建立一套规章制度就算合规体系建设完成。但实际上合规体系的建立,是一个系统工程。完善的企业制度固然是合规体系建设中极其重要也是非常基础的一部分,但这也只是其中一部分。制度建立以后,比制度更重要的是有效地运行、持续改进以及合规理念、文化的建立等。
(一) 合规风险
建立合规制度是有效合规体系最重要的基础。而建立制度的前提,就是要全面、准确识别企业自身的风险。关于合规风险,依据企业所属的行业(比如医疗、银行金融、建筑)、类型(生产、贸易等)及企业经营所在的国别等各种因素,每个企业的合规风险就不同。这就决定了在建立或完善制度时,首先需要清楚地识别企业自身的合规风险,才能有针对性地建立不同的内部规章制度。
比如,金融行业和生产型企业合规要求就会差异很大。此外,并不是每家企业都需要关注美国的出口管制规定,因为并不是每家企业都从美国进口零部件。也不是美国企业都需要去了解美国的FCPA法案,因为不是每家企业都会在美国有经营或者与美国有关联。再如,不是每家企业都需要关注世界银行的合规诚信指南,因为不是每家企业都会参与世行项目。
(二) 合规制度
通过五家试点央企公开披露的信息可以看到,在合规体系建设中,首先都在企业颁布合规管理规定或合规手册。这个可以视为是整个合规制度中的重中之重。在这个总则性的文件中,它是纲领性文件。首先它通常都会在引言部分阐明合规的意义和重要性。其次,会将企业认为最重要的问题,以列举的方式一一列出,比如不得以贿赂的方式开展业务,不得性骚扰,反垄断,不得内幕交易,遵守劳动法等等。
在这个纲领性文件之下,则有一系列配套文件,比如第三方管理,捐赠与礼品等。至于具体实施性文件,五家央企均未对外公布。但如果是健全的,应当会涉及合规管理的方方面面,比如合规体系中共同的部分,合规组织架构,包括部门成员、职责等,合规委员会议事规则,合规激励与奖惩,违规事件报告与调查,合规培训,合规审计与持续改进,然后也会有各个法律领域的规章制度,比如反商业贿赂领域的捐赠与礼品制度,对第三方管理制度等。如上所述,因为每个企业的合规风险都不一样,所以每家企业的制度也不会一样,而且不可能一劳永逸。因此虽然有值得借鉴的地方,但一定没有普世的合规制度,所以绝对不可能拿来抄就行。
对于集团性质的企业,在帮助总部建立合规体系后,还要考虑个子公司和分支机构的特点,具体制定切实可行的制度、组织架构和运营方式。对于有境外业务的走出去的企业,则还需要考虑企业经营所在国的不同国别合规风险。
(三) 合规组织架构
在合规体系的有效运行中,合规部门的设立和组织架构是很重要的一个环节。按照国务院国资委现行颁布的《中央企业合规管理指引(试行)》第十条:“法律事务机构或其他相关机构为合规管理牵头部门......”。这种设置并不是说一定不合适。但这是否会影响合规部门的独立性、自主性?比如,涉及公司高管的违规问题,合规部门去调查,是否有足够的权威性和足够的独立性?在欧美国家很多公司中,为保障合规部门能够有效地履行职责,虽然在部门设置上和其他部门都是平行的,但合规部门通常是独立的部门,享有极高的自主性,实际上也享有很高的地位,因为首席合规官可以展开独立调查,可以向董事会和CEO直接汇报。
这次中兴通讯也是个值得关注的例子。之前它也有自己的法务合规部。但从最后事件的发生来看,它的合规部门可能在事发当时就很难做到独立,因为在经营过程中虽明知违反美国出口管制法律,但并没有制止。甚至在2012年左右发生过一次违规事件后,仍然发生公司管理层伪造相关文件,以应付美国调查,但最终还是被美国相关部门在机场当场查出文件,被证明违反了美国的出口管制法律。而中兴通讯的产品很大程度上仍依赖于美国,因此它最终不得不接受了美国政府的安排。最后在合规部门的安排上,中兴通讯接受了美国执法部门直接指派的一位美国律师过来担任中兴通讯的合规官。虽然我们无从知晓合规官具体职责及效果,但从它的设置程序来看,它现在是独立的,且有权向美国相关执法部门直接汇报。
(四) 合规运行
关于有制度而运行出问题的,这方面的例子并不少。2013年发生在中国的葛兰素史克(GSK)案是近年来发生的一个有合规制度却并无有效运行机制的典型案例。GSK作为一家在制药领域处于世界领先地位的全球性企业,它的合规制度不可谓不完善。然而,2013年5月份公司却爆发丑闻,公司四位核心高管,包括总经理、人事总监、市场总监及法务总监,均被逮捕并最终均被判处刑罚。作为一家世界500强企业之一,而且是RDPAC会员单位之一,它的内部规章制度应该很健全。然而就是在这种背景之下,却仍然能发生这样的重大违规事件并构成犯罪,只能说明它的运行有问题。其法务总监也卷入其中就说明合规在这家公司没有得到很好的运行。事后证明,至少它的合规部门在公司日常经营中没有真正做到独立。同样,它没有事后持续的审计和持续改进,也没有很好的对于公司内部违规事件的报告和调查机制等。从事后报道来看,GSK经营过程中出现的不合规并不是一天两天,而是持续若干年。业务部门几乎造假成风。他们在平时组织的所谓学术会议中,基本全部采用虚假的申请文件。而在后面的报销流程中,则大量伪造会议照片、会议参与者假的签名、虚假的演讲PPT以及与旅行社合谋,开具虚假的会议场所使用发票等。然而从会议召开之前的审批到事后费用报销,偌大的公司法务部、合规部、财务及内控等部门,却都没有发现。其制度和运行机制,完全形同虚设。一直到最后中国的执法部门收到涉嫌犯罪举报进行刑事立案,才发现GSK极其严重的违规行为。以致最后构成犯罪,GSK中国区四大高管均被判处刑罚,而公司也被处以30亿罚金而收场。
因此,一个完善的合规体系,应该远远不止是建立全面而完善的内部规章制度。在有制度的情况下,如何确保它持续、有效地运行,或许是比建规立制更重要的工作。而它的有效运行,如果参考美国司法部2012年颁布的FCPA指引,可以看到至少包括以下若干要素:企业最高层对合规的态度、合规组织、架构的建立、对于违规事件的内部汇报与调查机制、合规的沟通与培训、对第三方的管理、合规激励与惩罚、合规审计及持续有效的合规体系改进等[注5]。2019年4月,美国司法部进一步颁布了《对于合规体系的有效评价》[注6]。除此以外,一些国际组织的合规制度,也可作为参考,比如世界银行颁布的《世界银行集团诚信合规指南摘要》。
(五) 合规人才
在国家层面从2018年底开始,从上往下推行合规管理体系建设的背景来看,目前中国企业对建立合规体系的意识,尚没有达到普及的程度。合规工作不仅要求具备广泛的知识,尤其是法律,而且需要极其丰富的管理和协调能力,因为合规往往面对的都是企业重大问题,而且在为企业把好关的同时,还要保护企业正常的业务发展,这会导致业务部门与合规部门之间会有天然的矛盾。中国企业目前对于合规的需求并不完全相同,其中国企(包括央企和地方国企)基本上是应国务院国资委或各级地方国资委的要求才会去被动建立合规体系,而民企则更多是碰到行政处罚或刑事处罚时,才会想到去建立合规体系。与此相应,中国国内的合规人才目前并不是很多。从目前中国市场中比较活跃的合规从业员来看,主要有较早接触合规业务的国际律师事务所律师,跨国公司合规部门的从业人员,以及大型央企、国企或民企中合规部门从业人员,还有国内一流律所中从事合规业务的律师,是目前国内主要的合规力量,弥显珍贵。因此,在目前起步阶段,中国企业要建立合规体系,还需要外部有合规经验的律师协助。之后,在企业建立合规体系的过程中或者积累一定经验后,可以再发掘、培养了解和适应企业自身特点的合规从业人员。
(六) 国企与民企
国企与民企在建立合规体系时,在某些方面具有共通的地方,比如都要有基本的合规架构和运行机制,都要根据企业自身的特点、风险建立具体领域的合规制度,但国企也会有一些不同于民企的地方。比如,国企里面因为有国资成分,所以对于国资的合规运行可能会有不同于民企的专门规章制度。再如,国企的机构设置上,通常会有纪检、党委等不同于民企的部门设置,那么在合规机构的设置上,可能需要根据这些机构在国企的分工来合理设置。同时在企业员工的构成上,国企还会有国家工作人员这一主体,那么他们跟民企员工可能涉及的刑事合规风险也并与完全一致,那么这个也可能需要在制定合规制度时,予以综合考虑。
(七) 刑事合规
自政府层面颁布两个合规指引以来,国内从事刑事领域的部分律师和学者先后提出了刑事合规的概念,部分检察机关在试点的过程中也出现刑事合规不起诉的提法。不可否认,在实践中,合规作为法律的一个重要领域,起初是来源于行政处罚或刑事处罚,比如美国FCPA项下的反商业贿赂合规,但实际上刑事风险只是合规风险中最高级别的风险,而且各个法律领域的合规风险都可能涉及各自领域独特的刑事风险,比如反商业贿赂可能会涉及行贿罪或受贿罪等,数据与隐私可能会涉及非法获取、出售、非法提供公民个人信息罪等,因此,将刑事合规风险归类至各法律领域中的最高级别风险可能更合适,而无需单独列为一类合规风险。在检察机关推行的刑事合规不起诉试点改革中,对涉罪企业要求的合规体系通常也是要求企业首先要建立一个全面的合规体系,其次才是针对涉嫌罪名所对应的特定领域进行整改。
六、合规领域最新发展及展望
欧美国家的法律对于企业合规,大多有相应的激励机制。比如,根据美国的法律,如果公司员工违反FCPA,除了直接责任人会被处罚外,公司和相关管理层人员如果参与其中,也可能会被追究法律责任。但如果公司在发生违规事件后,主动配合调查或自行展开调查并主动向司法部披露,且证明公司有完善的合规体系,承诺并将进一步完善、执行切实有效的合规体系,则美国的司法部(DOJ)和证监会(SEC)有权根据企业合规体系建设和运行的实际情况决定延缓起诉或不起诉,而仅处以罚款。正是因为美国在法律制度层面有合规激励,才极大地推动美国企业对合规体系建设的重视,比较普遍地主动建立合规体系,培育合规理念和文化。
在中国现有的法律制度下,在立法层面,尚并无法律明确规定企业有完善的合规体系而发生重大合规风险时,尤其是可能引起行政处罚或刑事处罚时,可以免于、减轻行政处罚或暂缓起诉以及不起诉。然而,在司法实践中,尤其是刑事司法层面,在最高人民检察院的推行下,已经出现若干刑事合规不起诉的试点单位和案例。这一制度的试行,已经彰显出其巨大的制度价值以及对于全社会建立合规体系的引导价值。因此,如果中国的立法机关在立法层面,或者司法机关通过司法解释的形式,将刑事合规不起诉制度化,必将极大推动企业合规体系建设和合规理念、文化在中国的发展,而这最终将最大程度保障企业健康发展,并形成良性的公平竞争的商业环境。
七、结语
因为中国企业合规体系建设刚开始,虽有央企试点,并在政府层面颁布了两个合规指引,但要全面建立合规体系,树立、形成合规理念和文化,有效运行合规体系,充分发挥合规体系的价值,仍然任重而道远。中国企业只有根据自己所处的行业、经营特点及经营国别等各方面因素综合考虑后,建立切合实际的合规制度,并确保有效运行,才能建立有效的合规体系,真正实现合规创造价值,让企业行稳走远。
参考文献:
[1] 参见美国司法部网站:https://www.justice.gov/nsd/page/file/1044446/download .
[2] 参见世界银行网站:https://www.worldbank.org/en/projects-operations/procurement/debarred-firms.
[3] 参见国务院国有资产监督管理委员会网站:https://www.sasac.gov.cn/n2588025/n2588164/n4437287/c9806875/content.html.
[4] 参见国家发展改革委网站:https://www.ndrc.gov.cn/gzdt/201812/t20181229_924456.html.
[5] 参见美国司法部网站:https://www.justice.gov/sites/default/files/criminal-fraud/legacy/2015/01/16/guide.pdf.
[6] 参见美国司法部网站:https://www.justice.gov/criminal-fraud/page/file/937501/download.