萬方：企業合規的現狀與未來

萬方：企業合規的現狀與未來

企業合規，一個曾經無人問津的話題，隨著政府監管的深入與強化，逐漸成為一個蓬勃發展的法律實踐領域，在企業治理與風險管理過程中發揮著至關重要的作用。 "中興事件"的發生與持續發酵，引發了我國社會的廣泛關注，也使得合規成為制約中國企業全球發展的焦點問題。縱觀全球，幾乎每天都有涉及企業合規的新聞事件發生，而所有事件的處理結果都告訴我們：構建並實施合規已成為推動企業全球發展的必由之路。企業合規計劃在不同的歷史發展階段被賦予了不同的意義和內容。求木之長者，必固其根本；欲流之遠者，必浚其泉源。為更好的理解和把握企業合規的未來發展方向，助力中國企業全球發展，有必要對企業合規的發展脈絡作進一步的梳理。

1、 企業合規的緣起

企業合規起源於美國。20世紀80年代，美國的大企業普遍設立了法律合規部門，以確保企業行為符合法律規定。企業合規部門重新詮釋了立法機關和監管機構頒佈的法律法規, 並以此制定企業的行為準則。因此，不懂得法律的人也能夠理解行為準則, 從而積極準確地執行準則，並受到法律的有效監督。綜觀近幾十年來企業合規在美國取得的成績和經驗，不難發現，要想成功實施企業的行為準則，需要制定和實施能夠使企業所有成員的行為發生改變的企業合規計劃。

因此，為避免企業內部的員工實施違反法律和道德的行為，美國企業根據行業類型、企業規模等因素制定出了旨在預防、發現和制止企業員工違法犯罪的企業合規計劃。通過在企業內部構建合規計劃，企業確定了道德與法律行為的界限，建立了包含管理人員、培訓與溝通程序、報告機制、審計與評估功能，以及跟蹤法律要求與合規的系統。企業合規旨在採取企業治理與會計準則之外的措施，避免管理層和員工實施違反道德和法律的行為。

起初，合規計劃只在美國政府監管與執法較為嚴格的行業（例如金融行業與反壟斷領域）中實施。然而，隨著監管法律的大量出臺，美國聯邦量刑委員會、美國司法部、美國國會，美國各級、各地區的法院和私募市場都將關注點從針對特定風險的合規轉移到側重威懾、預防違法行為與違反商業道德行為的合規上來，並將注意力聚焦於企業合規計劃的有效性問題。實踐中，這些主體以不同的方式在實踐中創制諸多的政策、法案與先例，激勵企業構建並實施有效的企業合規計劃。

2、 企業合規的四大關鍵性進展

1、企業合規的第一個關鍵性進展——《聯邦組織量刑指南》的頒行

為了解決組織量刑的難題，美國聯邦量刑委員會於1991年頒佈了《聯邦組織量刑指南》。《聯邦組織量刑指南》對企業合規問題進行了明確規定：在犯罪發生時，只要企業實施了有效的合規計劃，那麼依據《聯邦組織量刑指南》，相應的企業就可以得到最高幅度為95%的減刑。《聯邦組織量刑指南》為企業構建並實施合規計劃提供了強烈而有效的激勵機制。在量刑階段，企業合規不僅可以幫助企業減免刑罰，而且，企業合規還可以作為對企業適用緩刑的重要條件。根據美國道德合規官協會的一項調查，85%的道德合規官是在1992年設立的。一定程度上，1991年《聯邦組織量刑指南》的出臺使得大量企業開始構建並實施企業合規計劃。

2、企業合規的第二個關鍵性進展—《聯邦起訴商業組織原則》的頒行

在聯邦量刑委員會制定量刑指南的同時，企業合規領域迎來了第二個關鍵性進展：美國司法部起草了《聯邦起訴商業組織原則》，用以在檢察官決定是否對企業、合夥或其他擬製實體提起刑事指控時，為檢察官提供操作指導。與《聯邦組織量刑指南》相類似，《聯邦起訴商業組織原則》同樣將關注的焦點聚焦於企業合規方面。依據2008年對該文件的最新修訂，聯邦檢察官在對企業提起公訴之前，應當充分考慮"相應企業是否擁有合規計劃；訴訟發生前企業即擁有合規計劃的，應當考察合規計劃的有效性。" 依據對企業合規計劃有效性的考察結論，檢察官有權決定是否對違法企業作不起訴或者暫緩起訴的決定。《聯邦起訴商業組織原則》對企業合規的規定，使得企業合規成為影響檢察官決定是否對企業提起訴訟或暫緩提起訴訟的法定裁量因素。實踐中，為避免遭受檢察官提起的正式訴訟，大量的違法企業和潛在違法企業開始在企業內部構建並實施合規計劃。

3、企業合規的第三個關鍵性進展——《薩班斯-奧克斯利法案》的頒行

2002年美國國會通過了《薩班斯-奧克斯利法案》，該法案著重強調了上市企業合規計劃的重要性。 在企業沒有實施有效合規計劃的場合，《薩班斯-奧克斯利法案》針對那些未能確保實施有效合規計劃的企業高管和審計師，規定了相應的民事和刑事責任。例如，《薩班斯-奧克斯利法案》要求上市公司的首席執行官和首席財務官證明公司已經為財務報告提供了有效的內部控制， 否則，他們將面臨最高可達二十年的監禁刑。《薩班斯-奧克斯利法案》還要求上市公司的審計師對企業合規計劃在財務報告方面的有效性，進行年度評估。正如人們所想象的那樣，面對《薩班斯-奧克斯利法案》規定的這些條款，企業領導者們會把更多的注意力放在企業內部控制的有效性上，而"企業內部控制的有效性"，正是所有企業合規計劃的核心所在。

《薩班斯-奧克斯利法案》對私有企業同樣產生著影響。法案中規定的一些條款（例如，其中關於妨礙司法公正的新條款），適用於所有企業——上市公司與非上市公司、大企業與小企業。對"妨礙、拖延或阻攔執法人員對可能的聯邦罪行相關信息的獲取"的行為，依據《薩班斯-奧克斯利法案》第1102條的規定，同樣可以犯罪論處，最高可處以10年的監禁刑。實踐中，企業領導者們對這些強化版犯罪條款的合理反應，便是加強企業的合規計劃。

4、企業合規的第四個關鍵性進展——私募市場的強制要求

企業合規領域的第四個關鍵性進展，體現在私募市場的監管方面。實踐中，紐約證券交易所和納斯達克均要求上市企業構建並實施有效的企業合規計劃。企業董事和管理層在其保險政策評估中，也將企業合規計劃的有效性作為其承保過程的重要組成部分。當前，在企業的合併和針對企業的盡職調查審查中，也將對目標企業的合規計劃進行全面評估。實踐中，美國本土以外的企業想要進入美國市場，均需要遵守美國證券交易委員會或紐約證券交易所的准入要求，構建並實施有效的企業合規計劃。

總體而言，在企業合規發展的初期，合規計劃主要適用於政府監管較為嚴格的金融業與反壟斷領域。隨著政府監管的深入與強化，企業合規的實施領域由金融行業及反壟斷領域，擴展至反賄賂、反洗錢、反舞弊、環境保護、食品藥品安全、出口管制、移民等領域。此外，隨著《聯邦組織量刑指南》、《聯邦起訴商業組織原則》、《薩班斯-奧克斯利法案》的頒行，以及私募市場對企業合規的強制性要求，構建有效的企業合規計劃逐漸成為美國企業的法定義務，越來越多的企業開始構建並實施企業合規計劃。

三、企業合規的全球發展

隨著經濟全球化的發展，美國企業在其全球擴張的過程中，將企業合規的理念、實踐推向了世界各國和各地區。基於對企業合規理念和實踐的認同，世界各國和各個地區在實踐中不斷創制的政策、法案，鼓勵著企業構建並實施企業合規計劃。

第1、 美國企業的全球發展推動企業合規實踐的傳播與推廣

實踐中，總部設在美國的跨國企業將企業合規的理念、政策、標準和實踐，傳達至跨國企業的海外國際子公司。依據美國法律法規（如美國《反海外腐敗法》、《進出口管制條例》），總部設在美國的跨國企業制定了符合美國法律法規要求的跨國企業全球行為準則，用以約束跨國企業所有海外子公司的業務與員工。通常情況下，跨國企業還會對全球所有的員工進行以企業行為準則、舉報機制與合規監測評估為內容的合規培訓。通過一系列的手段和措施，美國企業或與美國本土存在聯繫的跨國企業將企業合規的理念、體系與實踐，推廣至分佈於世界各地的跨國企業海外子公司。此外，一些進入了美國市場的非美國企業，也積極遵守美國證券交易委員會或紐約證券交易所的准入要求，建立和實施了符合美國法律法規要求的企業合規計劃。一定程度上，美國企業的全球發展與非美國企業赴美上市推動了企業合規實踐在全球的傳播與推廣。

第二、國際組織和各國政府關於企業合規的立法不斷頒行

基於對美國企業合規立法推動企業自我監管理念和實踐的認同，國際組織和各國政府頒行了大量企業合規的法律文件。擇其大端主要有以下兩個方面：

1、 反賄賂（反腐敗）合規

在經濟全球化與法律全球化並融發展的背景下，受美國《反海外腐敗法》執法擴張的推動，通過合規計劃預防和治理企業腐敗犯罪的立法實踐在全球的反腐敗立法活動中產生了深遠影響。基於對合規計劃功能與作用的認同，各國政府和國際組織迅速完成了對反腐敗合規的立法理念接引與法律規則的摹寫。

在國家層面，英國2010年頒佈的《2010反賄賂法案》第七條明確規定在商業組織未制定並實施預防賄賂犯罪的內部合規程序，履行犯罪預防義務，從而導致賄賂行為發生的情況下，就可以追究其刑事責任。

在國際組織層面，2010年2月，經合組織理事會OECD通過的《內控、道德與合規的操作指引》是目前唯一一個注重在政府層面從合規角度推動反腐敗指引的法律文件。該文件已成為發達國家的大型跨國企業在商務活動中共同遵守的合規管理標準。由於規定的內容較為詳實，OECD《內控、道德與合規的良好做法指引》中的12項標準成為實踐中企業制定有效合規計劃時採納最多的標準。

2014年11月5日，亞太經合組織領導人非正式會議在北京召開。亞太經合組織各經濟體建議企業在制定或補充企業反腐敗合規時應遵循《亞太經合組織自願和有效的合規計劃》規定的基本要素和標準。實踐層面上，在眾多關於反腐敗合規標準和要素的法律文件中，《亞太經合組織自願和有效的合規計劃》是我國首次參與制定並積極倡導的關於反腐敗合規標準的法律文件，也是目前世界上最全面、最詳細的有關企業反腐敗合規標準和要素的法律文件。

2014 年 12 月 15 日，國際標準組織發佈了 ISO 19600《合規管理體系——指南》，其目的是為公司、企業或其他任何組織設立一套行之有效的合規管理體系，並對該體系的實施、評估、維護和改善提供指導。

2016年10月15日，國家標準組織頒行了由28個國家的反腐敗專家（以及來自16個觀察員國家和7個相關國家）共同制定的《反賄賂合規國際標準ISO37001》。作為第一個國際反賄賂管理體系標準，該文件旨在幫助各商業組織在其自身業務及其整個全球價值鏈中規避反腐敗執法風險，並抗制腐敗犯罪。

2013年，在會計和審計專業的代表，巴塞爾治理研究院，經合組織商業和工業諮詢委員會（BIAC），國際律師協會（IBA），國際商會（ICC），世界經濟論壇合作反腐倡議（PACI），透明國際（TI）和聯合國全球契約組織的支持下，經濟合作與發展組織（OECD），聯合國毒品和犯罪問題辦公室（UNODC）以及世界銀行共同協助制定了《反腐敗道德合規商業手冊》。經合組織，毒品和犯罪問題辦公室以及世界銀行希望《反腐敗道德與商業合規手冊》不僅對總部設在G20國家範圍內的企業具有重要的指導作用，而且對所有認識到需要制定和實施強有力的反腐敗道德合規計劃的企業提供了一個可以受益的資源。

從反腐敗合規法律發展的趨勢來看，國家層面和國際組織層面在反腐敗合規問題上的成熟立法，基本確立了全球企業反腐敗合規的基本架構。企業反腐敗合規的理念與實踐從美國不斷傳播推廣至世界各國和各個地區，依法經營，構建旨在預防、發現和制止企業腐敗行為的合規內控機制已經成為全球共識。

2、 數據保護合規

2018年5月25日， 歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）正式生效。GDPR的目標是保護歐盟公民免受隱私和數據洩露的影響，同時重塑歐盟的組織機構處理隱私和數據保護的方式。

在適用範圍方面，GDPR的適用範圍從屬地主義向屬人主義擴展，範圍更加廣泛。與此同時，GDPR規定的處罰也更為嚴格：對違法企業的罰金最高可達2000萬歐元（約合1.5億元人民幣）或者其全球營業額的4%，具體以兩者中最高額為準。從GDPR的立法規定來看，《歐盟一般數據保護條例》將導向企業合規計劃。這對企業的內部組織會產生很大的影響：無論是在僱用人員（如數據保護官）時，還是在進行數據保護影響評估時所必需的時間和組織方面，抑或在允許關於數據違規的快速通知方面，以及在證明合規的記錄保存方面（以及其他義務）。《歐盟一般數據保護條例》的條款強調了強有力的合規計劃、建立合規文化以及通過提高認識、培訓、風險評估和監測幫助企業保持正確遵守法律的重要性。依據《歐盟一般數據保護條例》實施的適當的合規計劃，和依據美國《聯邦量刑指南》實施的有效的企業合規計劃一樣，都可以在成立違法的情況下減少企業所受的懲罰。依據規定，GDPR將對不合規的企業予以制裁，同時對構建和實施數據保護合規的企業減免罰金來鼓勵企業構建數據保護合規。這些措施，為企業制定強有力的合規計劃提供了堅實的的理由。

值得注意的是，（數據保護方面違規的）代價巨大，不僅違反數據保護合規將給企業信譽造成嚴重損害，而且依據《歐盟一般數據保護條例》規定，企業違反數據保護合規將面臨鉅額處罰。GDPR增加了企業的合規責任：對全球範圍內的企業而言，企業用戶的數據安全、隱私保護，企業的業務流程、運營機制、信息技術系統、戰略佈局，均需要在數據保護合規的框架下重現規劃。為應對歐盟在GDPR框架下確立的企業數據保護合規方面的嚴苛執法，全球企業都在積極嘗試構建數據保護合規應對GDPR合規執法風險。

四、企業合規的未來展望

隨著國際管制活動不斷增多、日趨複雜，企業暴露在前所未有的合規風險之下，這要求我們以更寬廣的視野看待企業合規的發展與合規執法風險。值得注意的是，大數據與人工智能技術的深化發展將對企業的法律責任和合規體系提供更為嚴苛的要求。人工智能技術的不斷升級迭代，將會導致現有的行業標準、監管政策和法律規則發生重大變化。如何在大數據與人工智能時代應對日益複雜多變的企業合規執法風險，成為企業在大數據與人工智能時代實現持續發展所必須面對的關鍵問題。從科技創新與技術發展的視角出發，筆者認為企業合規的未來發展將主要聚焦於以下方面：

1、 傳統企業合規的領域和深度將繼續深化發展

如前所述，當前企業合規涉及的領域涵蓋反壟斷、反洗錢、反腐敗、反舞弊、出口管制、數據保護、食品藥品安全、環境保護、移民、職場騷擾等領域。隨著世界各國政府監管的不斷強化，新興監管政策和制度的不斷出臺，企業合規涉及的領域將向更為寬廣的領域、更精細具體的方向拓展。企業合規的學術研究和實踐發展已經深入至行為合規、心理合規、企業合規憲法化、企業合規刑事化等前所未有的領域。

2、 企業治理、風險管理與企業合規的結合將更加緊密

實質上，最初的企業合規僅僅聚焦於企業的經營運作行為是否符合法律規定的企業合規標準，並未上升至企業治理與風險管理的高度。隨著世界各國政府的監管要求和監管環境的不斷變化，大多數企業在全球經營中更加重視企業的內部治理和風險管理。通過對企業風險的科學管理，企業能夠制定有效的化解風險的管理策略，降低企業面臨的風險，從而使企業在競爭市場中脫穎而出。

作為企業內部風險控制和管理的重要抓手，企業合規與企業合規部門在未來的企業治理與風險管理環節將發揮戰略性作用。實踐中，合規部門將參與企業的戰略管理決策，引導企業內部的風險監測與評估，並基於企業風險評估結果制定風險化解的管理策略，科學管理企業風險，進而實現對企業的有效治理。

3、 企業合規監管的技術水平不斷提升，監管成本不斷減低

未來，人工智能技術的不斷創新和發展，將大大降低企業合規審查的成本，也將使客觀中立的審查立場更容易得到保持和貫徹，從而推動更多企業進行更廣泛深入的合規監管。通過大數據和人工智能技術，可以實現自動搜索、抓取具體語境下企業員工行為監控的關鍵數據。一定程度上，使用人工智能技術對企業合規進行審查和監管，可以提高合規監管和審查的準確性，也能夠降低企業合規審查和監管的運營成本。然而，企業運用大數據和人工智能技術審查員工音視頻的做法，似乎有侵犯員工被遺忘權之嫌。

4、企業數據保護合規重要性日益凸顯

歐盟《歐盟一般數據保護條例》（GDPR）立法的重點是保護歐盟公民可識別的個人數據，約束的對象則是企業。《歐盟一般數據保護條例》（GDPR）包含有旨在確保其條款得到遵守的各類措施。這些措施主要側重於關注企業內部的組織部分，目標是增加企業的責任（要求企業構建數據保護合規要求），並提供數據保護合規的激勵機制和違反數據保護合規的嚴苛的懲罰措施。

根據規定，GDPR的管轄對象不僅包括位於歐盟內部的企業，也包括歐盟以外的、向歐盟提供商品或服務，或監控歐盟數據對象行為的企業。換言之，所有企業只要處理和持有居住在歐盟的數據主體的個人數據，不管企業的位置在不在歐盟，都要遵從GDPR。

歐盟《歐盟一般數據保護條例》（GDPR）確立的數據保護合規框架適用範圍最為寬泛，處罰最為嚴格，嚴重影響和制約了企業的隱私保護、數據安全、產業佈局和戰略部署。GDPR嚴苛的罰金處罰，使得數據保護合規的重要性日益凸顯，在企業內部構建並實施切實有效的企業數據保護合規逐漸成為企業全球發展的必由之路。

五、結語

作為推進企業治理與企業風險管理的內控機制，合規計劃在經濟全球化和法律全球化並融發展的今天，日益成為立法者、監管者與企業的共同選擇。然而，與發達國家迅速完成理念接引與規則摹寫不同，我國尚處於對企業合規的引介階段，缺乏對企業合規計劃運作實施的細緻、專門研究。合規計劃所涉及的內容之豐富、範圍之寬廣，絕非寥寥數語可以闡述。

隨著"一帶一路"戰略的全面鋪開，我國企業的全球發展日漸加速，企業合規的作用日漸凸顯，亟待理論界與實務界對企業合規的理論與實踐展開深入研究。在此背景下，"萬合企業合規研究院"將以國際視角和發展眼光，追蹤域外企業合規的實踐與理論前沿，致力於為中國企業的全球發展提供系統性的合規解決方案，助力中國企業行穩致遠。

PAGE

1

閱讀更多 萬合企業合規研究院 的文章

關鍵字: 合規 法律 萬方