CN

上市公司与拟上市公司合规指引

Date: 2021-06-24

作者按


亲爱的读者朋友,在《合规不起诉制度初探》一文中,我们分析了政府通过深入探索与实践合规不起诉制度,以推动企业合规经营管理的决心。根据合规不起诉制度,涉嫌犯有轻微刑事罪行的企业可以通过建立合规体系进行合规经营,避免被刑事起诉。那么,企业应当如何合规呢?特别是大型企业如上市公司或拟上市公司有哪些具体的合规需求?为此,我们在深圳市宝安区工信局和深圳市宝安区上市企业协会的倡议下,撰写《上市公司与拟上市公司合规指引》一文,为上市公司与拟上市公司提供重点领域的具体合规指引,为企业合规经营保驾护航。


本文接受倡议而着手起草于七个星期之前,很荣幸深圳市宝安区工信局的领导邀请国内著名的合规专家王志乐教授对我们的草稿提供宝贵的意见和指导,我们先后做了三轮的修订。我今天(6月20日)再修改的时候感触良多。我的感触主要是三方面:(1)合规对于我们的国家和企业的重要性和紧迫性从国家的政策文件和企业在国内外碰到的合规案件中均已体现。企业合规工作既是企业内部管理的核心工作,也是企业进一步防范与规避外部风险的有效举措,其重要性不言而喻,但我们国家的合规人才匮乏,需要大力培养合规人才,这个可能需要长达十年以上的时间,需要各方久久为功;(2)合规作为一项实操型业务,很容易陷入“纸上谈兵”的境地。仅仅将国内外合规文件进行书面翻译和汇总是远远不够的,企业应根据自身发展规模、业务类型和领域等,合理分配人员及预算来有效搭建合规体系,尽早防范合规风险,而不是被动地应对合规审查;(3)在我28年的法律实务经验中,我经历和/或处理过不少的合规案件:比如我2001年到2006年在北电网络担任中国区法律部主管,亲历北电网络因财务和会计的合规问题(当然还有其他综合的外部和内部因素)导致这个全球最大的电信设备生产之一的跨国企业最终于2009年申请破产结局,这个对我来讲是个非常谦卑的经验(humbling experience),我本来是并购和投资领域的律师,我亲眼看到合规的问题可以使到北电网络这个百年的企业沦落到申请破产的境地,北电网络股价最高峰是2000年7月份124.5加拿大元一股,2009年1月份申请破产时候的股价是39仙加拿大元一股,股东们的投资都打水漂了,我的期权也变了“墙纸”(没有用的废纸)。所以2006年我内心立了一个小小的心愿,我想成为一个合规的律师,当我在2006年9月份加入埃森哲成为其大中华区的法律总监的时候,我致力于合规体系的搭建,我在埃森哲13年(2006年-2019年)期间主要的工作就是合规和风控来赋能业务增长和帮助企业行稳致远,因为北电网络的谦卑经验(前车可鉴!),使我处理合规事务时永远抱着如临深渊、如履薄冰的态度。埃森哲自2007年至今连续13年成为合规的典范,埃森哲得到Ethisphere 连续13年World’s Most Ethical Companies®的嘉许。曾作为埃森哲亚太区域法律部董事总经理兼大中华区法律部董事总经理以及埃森哲全球法律部的领导成员之一,我非常荣幸可以参与合规的工作和见证埃森哲在合规方面的成就。埃森哲的股价从2001年7月19日的14.5美元一股升到2021年6月18日281.25美元一股,涨了约19倍,当然这个是综合因素,但我们内部认为埃森哲的合规体系是“居功巨伟”的。我在埃森哲大中华区除了担任法律部的董事总经理,还担任了埃森哲中国所有法律主体的董事长和法人代表(自2016年4月份至2019年1月份),所以我是用律师的视角和企业管理者以及企业家的视角来看待和处理合规项目和案件的。面对内地合规意识淡薄、专业合规人才匮乏、企业合规投入少等问题,我希望自己能以多年的合规实操经验为提升企业合规意识和合规实操能力尽绵薄之力,也希望本文起到抛砖引玉的作用,大家一起探讨和学习合规的方方面面。



1 引言


随着近年来中美贸易战的不断升级,以及2018年华为、中兴遭重创等事件,国企、央企及大中小型民营企业日益重视企业合规管理,特别是在数据保护与网络安全、出口管制与制裁、反腐败与反商业贿赂、知识产权与商业秘密保护、反洗钱、市场准入、反垄断与反不正当竞争等重点合规领域。


随着合规管理逐渐进入企业的视野,政府也逐渐将“合规”作为工作重点,试图为企业提供有效的合规风险防范指引和合规体系搭建指引。中国将2018年确定为合规元年。2018年11月2日,国务院国资委发布《中央企业合规管理指引(试行)》,推动中央企业合规管理,打造法治央企。2018年12月26日,国家发改委联合外交部等部门联合制定发布了《企业境外经营合规管理指引》,致力于更好地服务企业开展境外经营,推动企业持续提升合规管理水平。

2018年9月,中国证监会颁布新修订的《上市公司治理准则》,进一步规范上市公司合规运作,提升上市公司治理水平。2020年3月正式开始实施新修订的《中华人民共和国证券法》(以下简称“新《证券法》”),新《证券法》进一步强化了信息披露、关联交易和风险防控等方面,加大相关违法行为的处罚力度。

推动上市公司与拟上市公司的合规管理有助于强化这些企业在我国经济发展中的积极作用,也有利于推进“一带一路”的建设。上市公司与拟上市公司在充分利用境外资本市场进行融资的同时,很可能因不熟悉境外法律制度及监管机构要求而面临合规风险,也可能因反垄断、反不正当竞争、网络安全与数据保护等方面的违规行为被境外机构调查及采取处罚措施。随着各国政府对于企业合规的要求愈发严格,企业承担的合规风险成本也随之加重,企业的不合规行为不仅可能使自身被处以高额行政罚款,还可能因情节严重被追究刑事责任。因此,建立符合中国企业(包括上市公司和拟上市公司)的行业特点和适应国际规则的合规管理体系,不仅能够夯实上市公司和拟上市公司合规管理的基础,还能够积极防范政治风险、经济风险以及社会风险,助力上市公司和拟上市公司实现业务增长、创造竞争优势以及保护公司的品牌、员工、财务绩效等价值。

值得大家关注的是合规不起诉制度的发展:在后疫情时代的背景下,加强对中小微民营企业的保护、推动民营企业的健康发展已成为我国新时期经济复苏的一项核心议题。与此同时,为进一步提高我国治理能力现代化水平,加强我国检察机关的社会治理参与程度及推动我国检察制度改革,我国检察机关开始了对企业“合规不起诉”的制度探索。2020年3月,最高人民检察院启动涉案违法犯罪依法不捕、不诉、不判处实刑的企业合规监管试点工作,并确定上海市浦东新区、金山区检察院,广东省深圳市南山区、宝安区检察院,江苏省张家港市检察院,山东省郯城县检察院等6个基层检察院为试点单位。2021年4月,最高人民检察院下发《关于开展企业合规改革试点工作的方案》(《方案》),正式启动第二期企业合规改革试点工作,并将改革试点扩大到北京、辽宁、上海、江苏、浙江、福建、山东、湖北、湖南、广东等十个省(直辖市)。涉嫌刑事犯罪的企业获得不起诉的处理对于企业本身、检察机关和社会而言均具有不同程度的积极作用。对于涉案企业来说,获得不起诉的处理意味着该企业不必因其违法犯罪行为而被迫终止运营或破产,同时企业雇员也免于遭受失业风险;更为重要的是,合规不起诉制度为企业运营创造了激励制度,促进企业合规体系落实,为企业后续的合规经营打下了坚实的基础。所以上市公司和拟上市公司应留意合规不起诉的发展并搭建一个与其业务性质和经营管理相适应的合规体系。

为引起企业对于合规的重视与认识,促进上市公司与拟上市公司的合规经营,本文将首先阐述合规的内涵与价值,使企业对合规有初步的了解和认识。其次,本文将重点阐述企业在重点领域(如反腐败及商业贿赂)的具体合规要求,以及上市公司和拟上市公司在关联交易与信息披露方面的合规要求。最后,为了强化企业的合规意识并为企业开展合规经营提供具体指引,本文拟对一个成熟的合规体系所应具备的要素进行阐述和分析,以期提高并强化上市公司和拟上市公司的合规意识,促进企业合规经营与管理。



2 合规的内涵


合规的内涵主要体现为合规的义务主体及合规的义务内容两个方面,即谁应合规和合规包括哪些规定?


一般而言,合规主要有三类义务主体。[1] 第一类是作为法人的企业本身是主要的合规义务主体;第二类是直接控制或参与决策、经营和管理的股东、董事、监事和高级管理人员、普通员工等;第三类是与企业发生业务往来,并对企业产生影响的外部主体,这主要包括客户、供应商、经销商、承包商、中间商等业务合作伙伴。上述三类主体均负有合规义务。[2]

从合规的内容方面来看,合规即符合法律规定。此处的法律规定是广义的概念,包括国家法律法规、行业监管规定、商业惯例、企业规章制度、国际组织条例等。《合规管理体系 指南》在引言中提出,“合规意味着组织遵守了适用的法律法规及监管规定,也遵守了相关标准、合同、有效治理原则或道德标准则”。[3] 总体而言,合规的义务内容主要包括以下三类:强制性要求、自愿性承诺、商业道德及公序良俗。强制性要求是指企业应遵守相关法律法规及监管规定,若存在违反规定的情形,企业将会面临行政处罚甚至刑事处罚的风险。例如,具有市场支配地位的企业违反了《反垄断法》的规定,则会面临高额的行政罚款。自愿性承诺是指企业通过主动披露自身的、非法律法规强制性规定的合规行为,自愿承担起法律法规及监管规定等强制性要求之外的合规责任。例如,企业在年报中主动披露自身采取高于行业标准的环保方式实施经营活动。商业道德及公序良俗是指企业的行为应符合公认的商业行为道德规范,不得扰乱公共秩序与善良风俗。



3 合规的价值


企业合规不起诉制度起源于美国的暂缓起诉协议制度(DeferredProsecution Agreement,DPA)和不起诉协议制度(Non-Prosecution Agreement, NPA),该制度的目的主要是创造涉案企业合规经营的刑事激励。暂缓起诉协议制度是指,美国的检察机关(Prosecutors)在调查涉嫌犯罪的企业并在作出是否起诉的决定前,可以选择与企业签订《暂缓起诉协议》。

企业搭建合规体系并合规运营的主要目的在于避免和防控合规风险的发生。所谓合规风险是指企业在其经营管理过程中因未遵守相关的法律和行政法规、监管规章、自律性组织规定的行业准则和行为准则以及基本的商业道德规范,而可能使企业承担刑事处罚、行政处罚、财产损失和声誉损失的风险。[4] 例如,若企业通过员工进行行贿受贿,则可能招致该员工或企业直接责任人承担有期徒刑的刑事责任,并且企业还将面临高额的刑事罚金;此外,这也可能导致企业被列入诚信黑名单,严重影响企业声誉,同时严重影响其上市、发债、并购等重大交易,致使企业各项业务重重受阻。


首先,企业通过建立合规体系并合规经营可以避免企业整体经济利益的损失。企业合规体系不像其他商业行为能为企业直接带来正面的商业利益,但是在触发合规风险时,有效的合规体系却可以有效防止企业经济利益的损失,保障企业经营的平稳运行。[5] 企业在运营过程中可能会通过实施欺诈手段、贿赂官员等其他恶性竞争的方式,获取短暂的经济利益,然而这样的行为却也同时成为企业经营的“定时炸弹”,一旦该违法行为被曝光或查处,企业将面临相应的行政处罚和刑事责任,并且企业还需要花费更多的时间、精力和金钱去修补受损的商誉和失去的商业机会,这对企业的重大经济利益而言将是极大的损害。


其次,通过建立合规体系,企业可以树立良好的社会形象,维持良好的商业信誉,从而实现企业经营的可持续发展,促进企业的长远健康发展。在现代法治社会中,一个拥有完善的合规体系和执行机制的企业,不仅可以减少多方面的损失,还能为其业务带来长久稳定的商业机会和经济回报。


最后,对于涉嫌犯罪且可能被提起公诉的企业,完善的合规体系和合规政策可以使企业免于刑事起诉,同时还可以使实施相关违法犯罪行为的企业董事、监事、高级管理人员及其他责任人员免于承担有期徒刑等刑事责任。目前,我国检察机关正在进行合规不起诉的制度探索,旨在为推动企业合规经营提供刑事激励。所谓企业合规不起诉,是指对于涉嫌轻微犯罪且可能被提起公诉的企业,检察机关若发现该涉案企业具有意愿建立合规体系,矫正其违法犯罪行为的,检察机关可以责令该涉案企业在一定的考验期内,就其违法犯罪事实提出针对性的合规体系搭建计划,推动其企业合规体系的构建与执行,而后检察机关根据对该涉案企业合规计划的验收情况,作出不起诉决定的制度。[6]



4 企业重点领域合规指引


通常而言,根据企业运营所涉及的不同领域和不同环节,企业合规的重点领域主要包括反商业贿赂与反腐败合规、网络安全与数据保护合规、出口管制和制裁合规、市场准入合规、反洗钱合规、反不正当竞争合规、反垄断合规等方面。为使企业在上述重点领域合规运营,企业应当首先遵守合规的基本原则,并同时遵守其在各个重点领域的具体合规要求。


首先,上市公司和拟上市公司在进入境内外资本市场的时候,应掌握以下合规基本原则:[7]


第一,树立风险意识。企业的管理层及员工应当意识到风险无处不在,尤其是在境外上市中,应当有意识地了解他国规范及处罚措施。此外,为强化合规的风险意识,《中央企业合规管理指引(试行)》第四章要求企业应当建立合规风险识别预警机制,对其经营管理活动中存在的合规风险进行识别与评估,同时对风险发生的可能性、影响程度、潜在后果等进行系统分析。此外,对于典型性、普遍性和可能产生较严重后果的风险,应当应当及时发布预警,以避免造成更大的损失。


第二,培育合规文化。恪守诚信和商业道德及遵守法律法规是良好合规文化的核心,也是合规风险防范的基础和保证,还是企业与客户、供应商、投资人、渠道合作伙伴以及所在社区的关系的基础。根据《企业境外经营合规管理指引》第八章的要求,合规文化应作为企业文化建设的重要内容,这意味合规文化不仅应在企业内部进行传播,企业也应当将合规文化传递至利益相关方。企业决策层和管理层应确立企业合规理念,注重身体力行,践行合法合规、诚信经营的价值观,不断增强员工的合规意识和行为自觉,营造依规办事、按章操作的文化氛围。


第三,建章立制。企业应当制定一套完整的合规政策和合规制度,包括公司指导方针、员工业务行为准则、客户准则、业务合作伙伴准则、业务指引等,涵盖基本合规风险管理、员工风险管理、客户风险管理、商业伙伴风险管理、广告/公关风险管理、反垄断/反不正当竞争行为风险管理、出口管制风险管理、反腐败/反商业贿赂风险管理等方面。并辅助建立文件审批流程、进出口筛查流程、数据记录及管理流程等。


第四,专员负责。企业应当设立由公司“第一把手”直属的专门合规管理机构,如合规委员会,或指定相关部门如法律部、审计部、财务部等的专员负责合规管理。由公司首席诚信和合规官领导各级合规官统筹规划安排合规工作,并负责合规培训、合规行为准则制定、投诉与举报热线、合规调查以及奖惩和纠错的执行。


第五,保持合规制度的开放性和弹性。合规制度依赖于各国的合规政策的调整,因此合规管理机构应当定期跟踪各国合规政策,及时更新相关数据及合规准则。


其次,对上述重点领域的不同合规要求,分述如下:[8]


(1)在反商业贿赂与反腐败领域,合规的核心要求包括企业内部设立反商业贿赂规则和会计制度。反商业贿赂规则禁止个人或企业为了获取不正当优势以取得或保留商业机会,向公职人员行贿。而会计规则则要求企业保存准确的账簿和记录,并设立完善的财务内控制度。


结合反腐败和反商业贿赂合规国际实践,企业反商业贿赂合规制度的关键环节包括:风险识别和风险评估→管理层参与和承诺→合规部门或合规人员设置→反腐败政策制定→一般行为准则和程序制定→第三方调查、内部调查→培训、奖惩和举报→改进等,针对上述内容的分析如下:


其一,风险识别和风险评估。企业的合规管理制度应当与企业的风险相匹配,因此需要企业对自身面临的风险进行充分识别和排序。根据英国政府的建议,有关腐败和贿赂的风险识别和评估需要从多方面进行评估,包括国家风险(如企业或客户是否处于腐败高发领域等)、行业风险(如企业或客户所处行业是否涉及自然资源生产行业、大规模基础设施建设行业等高风险行业)、交易风险(如交易是否涉及政府官员、政府采购等)、合作伙伴风险(如合作伙伴是否使用中间商)及企业内部风险(如企业是否提供反腐败培训)等。如果企业经过评估,发现贿赂和腐败的风险较高,则该企业需要针对风险集中领域采取相应的防控措施。


其二,管理层参与和承诺。管理层的参与首先体现在对反商业贿赂的承诺,并且该承诺应当发布在公开渠道供员工了解和查询(比如发布于公司内网、员工行为手册之上)。管理层应在不同的重要场合(如公司年会、年度业绩报告会等)声明反商业贿赂的重要性,以此传达管理层对反商业贿赂的重视、塑造企业合规文化。


其三,合规部门或合规人员设置。合规团队的设置大体上有两种安排,一种是在法律团队中设置,名称多为法律合规部,也有风险管理部、风险控制部/委员会、内部控制部/委员会。另一种是与法律团队并列,为独立的团队,但最终都向主管法律事务的副总裁汇报。合规部门的设置可以有多种方式,但需要保证合规部门或负责人的独立以及充分的资源支持。


其四,公司反腐败与反商业贿赂政策的制定。公司制定的反腐败与反商业贿赂政策,需说明政策制定的目的,声明对腐败和贿赂的零容忍态度,并纳入具体的行为准则、反商业贿赂和反腐败的主要制度。例如,疏通费,礼品,商务宴请和招待,政治献金,社区参与、赞助和慈善事业,使用第三方等,这些是反商业贿赂的关键内容。建议企业可以参照境内外法律法规(如刑法规范、反不正当竞争法及相关规定等)的规定,结合自身实际情况加以制定。


其五,第三方调查。完整的第三方调查应遵循以下四个步骤,即风险评估、第三方调查、采取措施和监督保障。具体而言,风险评估的内容主要包括第三方是否为公职人员以及是否可能与公职人员打交道。而第三方调查主要的关注点在于第三方的股权结构、能力、公共记录资源(腐败记录或不利新闻报道)、商誉(商务引荐)、道德和合规制度等。调查结束后,企业需要对所识别的风险进行标记,并采取相应的应对措施,例如对第三方进行监督以及在合同中加入反腐败条款等。


(2)网络安全与数据保护合规主要涉及个人信息保护方面,即企业在收集个人信息时,应有正当目的,且仅收集一切与数据处理目的相关的必要数据;将收集到的数据进行存储,采用合理技术保证数据的完整性和保密性;同时,企业应当以合法合理和透明的方式来处理个人数据。具体来说,网络安全与数据保护合规的具体实操要求主要包括以下两点。[9]


其一,一般而言,企业在收集个人信息时应遵循知情同意原则、最小收集原则、合法性原则、公开透明原则以及完整性和保密性原则。这就要求,企业在收集个人信息的过程中,应当获得信息主体的明示同意,并在最小范围内合法地收集所需信息;同时企业还应当确保所收集信息对于信息主体的公开性和透明性,并将所收集信息保存并予以保密。其二,信息收集者收集信息时,应履行的义务包括说明与提示义务、合理使用信息的义务、对所收集的信息使用进行合理注意的义务以及侵权发生后的补救义务。具体而言,企业在收集个人信息时,应首先进行说明与提示,以合理的方式使用所收集信息并对所收集信息进行对应的监管等。

(3)出口管制和制裁合规即要求企业所有涉及世界上任何国家和地区、其他企业、产品和原材料、终端用途的出口活动,都应当遵守所有适用的有关出口管制的法律、法规和其他规定等要求。


中国企业在进行出口管制与制裁合规的建设时,首先应当开展出口管制与制裁合规体检。出口管制与制裁合规体检可以为企业的制裁合规现状精准画像,从而定制适合自己的制裁合规体系。出口管制与制裁合规体检主要包括企业基本情况摸底、风险评估、企业出口管制与制裁合规体系的有效性评估、制裁合规历史等方面。


此外,在完成出口管制与制裁合规体检后,企业应当对其业务运营中的进行识别、预防与治疗。出口管制与制裁合规体检的目的是为了掌握企业的合规现状,找出薄弱环节对症下药。对于出口管制与制裁风险较高的,宜早搭建或完善自己的制裁合规体系。出口管制与制裁合规体系所应具备的最基本的五要素,即管理层承诺、风险评估、内部控制、测试与审计、培训。


(4)随着“一带一路”倡议的稳步推进,中资企业对外投资的力度不断加大,市场准入合规将成为企业走出去所应关注的重要内容。市场准入合规要求企业在对外国进行投资前,应首先深入了解和遵守目标国关于市场准入和国家安全审查的法律法规和相关政策等要求,例如目标国对于不同行业设置的外资准入门槛等,以免遭受主管机构的处罚并导致巨额损失。其次,企业在对外国投资前,还应了解该外国对外资进入投资行业的规定或相关指南,以对自己的投资有初步的了解与认知。最后,在了解市场准入法律法规以及投资行业的相关合规要求之后,企业在进行投资前,还应明确其具体的投资方式,例如企业可以选择通过直接投资(例如设立公司、合伙企业等)、跨国并购、股权并购的方式进行投资,也可以通过建设-经营-转让 (Build-Operate-Transfer, BOT)、政府和社会资本合作(Public-Private Partnership, PPP)的方式在外国进行投资。[10]


(5)反不正当竞争合规要求企业在处理与竞争对手、供应商、经销商和客户的关系时应当谨慎,不能限制或排除竞争、不能采取诸如固定价格、分割市场、分配客户、联合抵制交易、协议限制产量、串通投标等行为。同时对于已经处于市场主导地位的企业,禁止滥用市场支配地位限制竞争。[11]


应当指出的是,上述内容仅是我们针对关键合规领域所总结的实操要求,除此之外,相关企业仍需要关注反洗钱合规、反垄断合规、知识产权与商业秘密合规等相关合规领域的具体合规要求。




5 上市公司与拟上市公司在关联交易和信息披露方面的合规要求


上市公司与拟上市公司是我国经济发展中的关键主体,因此两者的合规经营对于促进我国经济的健康发展至关重要。本部分主要介绍上市公司与拟上市公司在关联交易方面的具体合规要求,以及上市公司的信息披露合规要求。


(1)在上市公司的关联交易方面,合规的核心要求为公司的控股股东、实际控制人、董事、监事、高级管理人员等关联人不得利用其关联关系损害公司利益。通常而言,关联人主要包括关联法人和关联自然人,而关联交易主要是指上市公司或者其控股子公司与上市公司关联人之间发生的可能导致转移资源或者义务的事项。此外,为确保上市公司关联交易合规,上市公司的关联交易应当依照《中华人民共和国证券法》《中华人民共和国公司法》《上市公司信息披露管理办法》《上市公司治理准则》等法律法规及证券交易所发布的规则、指引等规范性文件的有关规定,合法合规进行关联交易、严格履行决策程序和信息披露义务。


而对于拟上市公司而言,其进行关联交易时的合规要求主要是指拟上市公司应完整披露关联方关系并按重要性原则恰当披露关联交易,关联交易价格应公允,不得存在通过关联交易操纵利润的情形,也不得存在严重影响独立性或者显失公平的关联交易。拟上市公司应参照上市公司相关规定及《企业会计准则——关联方关系及其交易的披露》的规定认定关联方及关联交易。


(2)上市公司在信息披露方面的合规要求主要是指信息披露义务人应当及时依法履行信息披露义务,且其所披露的信息应当真实、准确、完整,简明清晰,通俗易懂,不得有虚假记载、误导性陈述或者重大遗漏。近几年,我国资本市场正在进行的注册制改革,更加强调信息披露的重要性。关于上市公司信息披露的合规要求,应主要把握以下几点:(1)信息披露义务人,包括上市公司及其董事、监事、高级管理人员、股东、实际控制人等重大交易相关人员;(2)信息披露文件包括定期报告、临时报告、招股说明书、募集说明书、上市公告书、收购报告书等。(3)上市公司应制定信息披露事务管理制度,明确应披露的信息,董事、监事和高级管理人员的披露职责等内容。





6 企业合规体系的搭建


企业合规经营的关键支柱在于合规体系之搭建。要使合规管理形成企业经营的“防火墙”,保护企业免受因合规风险所带来的严重影响或重大损失,企业应当根据其行业特点和经营管理模式搭建针对性的合规体系。而一个行之有效的合规体系搭建,离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分。[12]  具体而言:


第一,企业应制定合理的制度和程序,其作为企业合规体系的核心,是企业所有员工履行职责的基本要求。主要分为以下四方面:(1)企业行为准则,这是企业经营管理和文化建设的纲领性文件,包括企业愿景、使命、核心价值观、合规方针、社会责任等方面;(2)企业合规管理制度,这是企业合规部门进行合规管理的程序性规章制度,包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面;(3)职能部门管理规章,企业不同的职能部门涉及到不同的合规规范的执行与遵守,例如,管理、财务、人事行政、法务、内控等部门均有相对应的合规规范;(4)业务合规流程,企业各业务领域涉及不同的合规规范,例如传统的业务合规流程、网络安全合规流程、产品合规流程、跨境电商领域合规等,具备较强的专业性,往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。


第二,企业合规运作应有高层的参与,形成较为成熟的合规组织体系。[13]  高层参与能够使企业形成上下连贯的合规组织结构,如公司自上而下设立合规委员会、分支机构和职能部门中的合规部门,合规部门直接向公司合规委员会和首席合规官汇报。这样能够确保企业管理层及时识别合规风险并采取应对措施。


第三,企业应建立合规的防范体系,包括风险评估、尽职调查以及培训与沟通。[14]  防范体系针对可能存在的合规风险采取预防性措施,具体而言:(1)风险评估,即定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如,在投融资或收购项目中,企业需要对该项目进行合规风险评估,评估结果作为决策参考,降低企业风险;(2)尽职调查,即合规部门针对已存在的合规风险进行调查和研究,形成合规风险报告,并研究制定和实施降低风险的措施;(3)培训与沟通,企业需要定期组织培训和沟通,一方面能够确保员工了解最新的法律法规、监管规定、企业内部规章制度等方面内容;另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通,使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工,形成合规文化。


第四,企业应建立合规监控体系,包括监督与审核。[15]  监督是指企业的高层管理者或员工在进行业务活动时,都应在其职责范围内进行可持续的管理与监督,检查每一项业务活动是否存在违规行为。审核是指企业的合规部门与审计部门相互独立地对企业活动中的违规行为进行审查,确保企业的合规体系在全球各地得到了良好的贯彻执行。





7 结语



在全球化背景下,企业之间的竞争已进入到全球价值链竞争的时代,企业合规在国内和国际环境下的重要性日益突出。随着中国经济的快速发展,企业竞争日益激烈,为创建有序运作的市场环境,中国政府对于企业合规性的审查与监管愈加严格。与此同时,欧美及亚洲等多个国家与地区对企业合规提出更加严格的要求,合规已成为跨国企业、国有企业以及大中小型民营企业运作管理中的核心议题。


前期的合规投入以及合规体系的建立能够使企业在以后的运营中降低潜在的合规风险,并有效处理和应对那些可能对企业造成重大损失的风险事件,助力企业业务的稳步增长及业务运营的行稳致远。上市公司和拟上市公司应留意合规不起诉的发展并搭建一个与其业务性质和经营管理相适应的合规体系。我们希望本文能够引起上市公司与拟上市公司建立合规制度的重视,为公司建立相应的合规体系提供指引。





[1]刘相文:《中国企业全面合规体系建设实务指南》,中国人民大学出版社,2019年11月第1版,第3-7页。

[2]刘相文:《中国企业全面合规体系建设实务指南》,中国人民大学出版社,2019年11月第1版,第3-7页。


[3]中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会:《合规管理体系指南》(GB/T 35770-2017/ISO 19600:2014),第II页。


[4]陈瑞华:《企业合规制度的三个维度——比较法视野下的分析》,《比较法研究》2019年第3期,第65页。


[5]陈瑞华:《企业合规制度的三个维度——比较法视野下的分析》,《比较法研究》2019年第3期,第65页。


[6]刘少军:《企业合规不起诉制度的本土化可能及限度》,《法学杂志》2021年第1期,第51页。


[7]深圳市蓝海法律查明与商事调解中心:《中国企业出口合规指南》,第68-70页。

[8]深圳市蓝海法律查明与商事调解中心:《中国企业走出去法律风险控制实务指南》,第120-130页。


[9]深圳市蓝海法律查明与商事调解中心:《“一带一路”法律库建设调研之分课题三:数据和隐私合规指南》,第165-190页。


[10]深圳市蓝海法律查明与商事调解中心:《“一带一路”法律库建设调研之分课题三:数据和隐私合规指南》,第165-190页。


[11]深圳市蓝海法律查明与商事调解中心:《企业走出去法律风险控制建议》,第31-34页。


[12]陈瑞华:《企业合规制度的三个维度——比较法视野下的分析》,《比较法研究》2019年第3期,第64-65页。


[13]同上注。


[14]同上注。


[15]同上注