万方:企业合规的现状与未来
企业合规,一个曾经无人问津的话题,随着政府监管的深入与强化,逐渐成为一个蓬勃发展的法律实践领域,在企业治理与风险管理过程中发挥着至关重要的作用。 "中兴事件"的发生与持续发酵,引发了我国社会的广泛关注,也使得合规成为制约中国企业全球发展的焦点问题。纵观全球,几乎每天都有涉及企业合规的新闻事件发生,而所有事件的处理结果都告诉我们:构建并实施合规已成为推动企业全球发展的必由之路。企业合规计划在不同的历史发展阶段被赋予了不同的意义和内容。求木之长者,必固其根本;欲流之远者,必浚其泉源。为更好的理解和把握企业合规的未来发展方向,助力中国企业全球发展,有必要对企业合规的发展脉络作进一步的梳理。
1、 企业合规的缘起
企业合规起源于美国。20世纪80年代,美国的大企业普遍设立了法律合规部门,以确保企业行为符合法律规定。企业合规部门重新诠释了立法机关和监管机构颁布的法律法规, 并以此制定企业的行为准则。因此,不懂得法律的人也能够理解行为准则, 从而积极准确地执行准则,并受到法律的有效监督。综观近几十年来企业合规在美国取得的成绩和经验,不难发现,要想成功实施企业的行为准则,需要制定和实施能够使企业所有成员的行为发生改变的企业合规计划。
因此,为避免企业内部的员工实施违反法律和道德的行为,美国企业根据行业类型、企业规模等因素制定出了旨在预防、发现和制止企业员工违法犯罪的企业合规计划。通过在企业内部构建合规计划,企业确定了道德与法律行为的界限,建立了包含管理人员、培训与沟通程序、报告机制、审计与评估功能,以及跟踪法律要求与合规的系统。企业合规旨在采取企业治理与会计准则之外的措施,避免管理层和员工实施违反道德和法律的行为。
起初,合规计划只在美国政府监管与执法较为严格的行业(例如金融行业与反垄断领域)中实施。然而,随着监管法律的大量出台,美国联邦量刑委员会、美国司法部、美国国会,美国各级、各地区的法院和私募市场都将关注点从针对特定风险的合规转移到侧重威慑、预防违法行为与违反商业道德行为的合规上来,并将注意力聚焦于企业合规计划的有效性问题。实践中,这些主体以不同的方式在实践中创制诸多的政策、法案与先例,激励企业构建并实施有效的企业合规计划。
2、 企业合规的四大关键性进展
1、企业合规的第一个关键性进展——《联邦组织量刑指南》的颁行
为了解决组织量刑的难题,美国联邦量刑委员会于1991年颁布了《联邦组织量刑指南》。《联邦组织量刑指南》对企业合规问题进行了明确规定:在犯罪发生时,只要企业实施了有效的合规计划,那么依据《联邦组织量刑指南》,相应的企业就可以得到最高幅度为95%的减刑。《联邦组织量刑指南》为企业构建并实施合规计划提供了强烈而有效的激励机制。在量刑阶段,企业合规不仅可以帮助企业减免刑罚,而且,企业合规还可以作为对企业适用缓刑的重要条件。根据美国道德合规官协会的一项调查,85%的道德合规官是在1992年设立的。一定程度上,1991年《联邦组织量刑指南》的出台使得大量企业开始构建并实施企业合规计划。
2、企业合规的第二个关键性进展—《联邦起诉商业组织原则》的颁行
在联邦量刑委员会制定量刑指南的同时,企业合规领域迎来了第二个关键性进展:美国司法部起草了《联邦起诉商业组织原则》,用以在检察官决定是否对企业、合伙或其他拟制实体提起刑事指控时,为检察官提供操作指导。与《联邦组织量刑指南》相类似,《联邦起诉商业组织原则》同样将关注的焦点聚焦于企业合规方面。依据2008年对该文件的最新修订,联邦检察官在对企业提起公诉之前,应当充分考虑"相应企业是否拥有合规计划;诉讼发生前企业即拥有合规计划的,应当考察合规计划的有效性。" 依据对企业合规计划有效性的考察结论,检察官有权决定是否对违法企业作不起诉或者暂缓起诉的决定。《联邦起诉商业组织原则》对企业合规的规定,使得企业合规成为影响检察官决定是否对企业提起诉讼或暂缓提起诉讼的法定裁量因素。实践中,为避免遭受检察官提起的正式诉讼,大量的违法企业和潜在违法企业开始在企业内部构建并实施合规计划。
3、企业合规的第三个关键性进展——《萨班斯-奥克斯利法案》的颁行
2002年美国国会通过了《萨班斯-奥克斯利法案》,该法案着重强调了上市企业合规计划的重要性。 在企业没有实施有效合规计划的场合,《萨班斯-奥克斯利法案》针对那些未能确保实施有效合规计划的企业高管和审计师,规定了相应的民事和刑事责任。例如,《萨班斯-奥克斯利法案》要求上市公司的首席执行官和首席财务官证明公司已经为财务报告提供了有效的内部控制, 否则,他们将面临最高可达二十年的监禁刑。《萨班斯-奥克斯利法案》还要求上市公司的审计师对企业合规计划在财务报告方面的有效性,进行年度评估。正如人们所想象的那样,面对《萨班斯-奥克斯利法案》规定的这些条款,企业领导者们会把更多的注意力放在企业内部控制的有效性上,而"企业内部控制的有效性",正是所有企业合规计划的核心所在。
《萨班斯-奥克斯利法案》对私有企业同样产生着影响。法案中规定的一些条款(例如,其中关于妨碍司法公正的新条款),适用于所有企业——上市公司与非上市公司、大企业与小企业。对"妨碍、拖延或阻拦执法人员对可能的联邦罪行相关信息的获取"的行为,依据《萨班斯-奥克斯利法案》第1102条的规定,同样可以犯罪论处,最高可处以10年的监禁刑。实践中,企业领导者们对这些强化版犯罪条款的合理反应,便是加强企业的合规计划。
4、企业合规的第四个关键性进展——私募市场的强制要求
企业合规领域的第四个关键性进展,体现在私募市场的监管方面。实践中,纽约证券交易所和纳斯达克均要求上市企业构建并实施有效的企业合规计划。企业董事和管理层在其保险政策评估中,也将企业合规计划的有效性作为其承保过程的重要组成部分。当前,在企业的合并和针对企业的尽职调查审查中,也将对目标企业的合规计划进行全面评估。实践中,美国本土以外的企业想要进入美国市场,均需要遵守美国证券交易委员会或纽约证券交易所的准入要求,构建并实施有效的企业合规计划。
总体而言,在企业合规发展的初期,合规计划主要适用于政府监管较为严格的金融业与反垄断领域。随着政府监管的深入与强化,企业合规的实施领域由金融行业及反垄断领域,扩展至反贿赂、反洗钱、反舞弊、环境保护、食品药品安全、出口管制、移民等领域。此外,随着《联邦组织量刑指南》、《联邦起诉商业组织原则》、《萨班斯-奥克斯利法案》的颁行,以及私募市场对企业合规的强制性要求,构建有效的企业合规计划逐渐成为美国企业的法定义务,越来越多的企业开始构建并实施企业合规计划。
三、企业合规的全球发展
随着经济全球化的发展,美国企业在其全球扩张的过程中,将企业合规的理念、实践推向了世界各国和各地区。基于对企业合规理念和实践的认同,世界各国和各个地区在实践中不断创制的政策、法案,鼓励着企业构建并实施企业合规计划。
第1、 美国企业的全球发展推动企业合规实践的传播与推广
实践中,总部设在美国的跨国企业将企业合规的理念、政策、标准和实践,传达至跨国企业的海外国际子公司。依据美国法律法规(如美国《反海外腐败法》、《进出口管制条例》),总部设在美国的跨国企业制定了符合美国法律法规要求的跨国企业全球行为准则,用以约束跨国企业所有海外子公司的业务与员工。通常情况下,跨国企业还会对全球所有的员工进行以企业行为准则、举报机制与合规监测评估为内容的合规培训。通过一系列的手段和措施,美国企业或与美国本土存在联系的跨国企业将企业合规的理念、体系与实践,推广至分布于世界各地的跨国企业海外子公司。此外,一些进入了美国市场的非美国企业,也积极遵守美国证券交易委员会或纽约证券交易所的准入要求,建立和实施了符合美国法律法规要求的企业合规计划。一定程度上,美国企业的全球发展与非美国企业赴美上市推动了企业合规实践在全球的传播与推广。
第二、国际组织和各国政府关于企业合规的立法不断颁行
基于对美国企业合规立法推动企业自我监管理念和实践的认同,国际组织和各国政府颁行了大量企业合规的法律文件。择其大端主要有以下两个方面:
1、 反贿赂(反腐败)合规
在经济全球化与法律全球化并融发展的背景下,受美国《反海外腐败法》执法扩张的推动,通过合规计划预防和治理企业腐败犯罪的立法实践在全球的反腐败立法活动中产生了深远影响。基于对合规计划功能与作用的认同,各国政府和国际组织迅速完成了对反腐败合规的立法理念接引与法律规则的摹写。
在国家层面,英国2010年颁布的《2010反贿赂法案》第七条明确规定在商业组织未制定并实施预防贿赂犯罪的内部合规程序,履行犯罪预防义务,从而导致贿赂行为发生的情况下,就可以追究其刑事责任。
2016年法国通过的《关于提高透明度、反腐败以及促进经济生活现代化的2016-1691号法案》,(又称为《萨宾II法案》)第17条规定,建立合规制度是相关企业及其高管人员应当履行的一项积极义务。如果企业没有主动建立合规管理制度,企业可能将面临巨额罚金,企业高管可能面临监禁。在国际组织层面,2010年2月,经合组织理事会OECD通过的《内控、道德与合规的操作指引》是目前唯一一个注重在政府层面从合规角度推动反腐败指引的法律文件。该文件已成为发达国家的大型跨国企业在商务活动中共同遵守的合规管理标准。由于规定的内容较为详实,OECD《内控、道德与合规的良好做法指引》中的12项标准成为实践中企业制定有效合规计划时采纳最多的标准。
2014年11月5日,亚太经合组织领导人非正式会议在北京召开。亚太经合组织各经济体建议企业在制定或补充企业反腐败合规时应遵循《亚太经合组织自愿和有效的合规计划》规定的基本要素和标准。实践层面上,在众多关于反腐败合规标准和要素的法律文件中,《亚太经合组织自愿和有效的合规计划》是我国首次参与制定并积极倡导的关于反腐败合规标准的法律文件,也是目前世界上最全面、最详细的有关企业反腐败合规标准和要素的法律文件。
2014 年 12 月 15 日,国际标准组织发布了 ISO 19600《合规管理体系——指南》,其目的是为公司、企业或其他任何组织设立一套行之有效的合规管理体系,并对该体系的实施、评估、维护和改善提供指导。
2016年10月15日,国家标准组织颁行了由28个国家的反腐败专家(以及来自16个观察员国家和7个相关国家)共同制定的《反贿赂合规国际标准ISO37001》。作为第一个国际反贿赂管理体系标准,该文件旨在帮助各商业组织在其自身业务及其整个全球价值链中规避反腐败执法风险,并抗制腐败犯罪。
2013年,在会计和审计专业的代表,巴塞尔治理研究院,经合组织商业和工业咨询委员会(BIAC),国际律师协会(IBA),国际商会(ICC),世界经济论坛合作反腐倡议(PACI),透明国际(TI)和联合国全球契约组织的支持下,经济合作与发展组织(OECD),联合国毒品和犯罪问题办公室(UNODC)以及世界银行共同协助制定了《反腐败道德合规商业手册》。经合组织,毒品和犯罪问题办公室以及世界银行希望《反腐败道德与商业合规手册》不仅对总部设在G20国家范围内的企业具有重要的指导作用,而且对所有认识到需要制定和实施强有力的反腐败道德合规计划的企业提供了一个可以受益的资源。
从反腐败合规法律发展的趋势来看,国家层面和国际组织层面在反腐败合规问题上的成熟立法,基本确立了全球企业反腐败合规的基本架构。企业反腐败合规的理念与实践从美国不断传播推广至世界各国和各个地区,依法经营,构建旨在预防、发现和制止企业腐败行为的合规内控机制已经成为全球共识。
2、 数据保护合规
2018年5月25日, 欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)正式生效。GDPR的目标是保护欧盟公民免受隐私和数据泄露的影响,同时重塑欧盟的组织机构处理隐私和数据保护的方式。
在适用范围方面,GDPR的适用范围从属地主义向属人主义扩展,范围更加广泛。与此同时,GDPR规定的处罚也更为严格:对违法企业的罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,具体以两者中最高额为准。从GDPR的立法规定来看,《欧盟一般数据保护条例》将导向企业合规计划。这对企业的内部组织会产生很大的影响:无论是在雇用人员(如数据保护官)时,还是在进行数据保护影响评估时所必需的时间和组织方面,抑或在允许关于数据违规的快速通知方面,以及在证明合规的记录保存方面(以及其他义务)。《欧盟一般数据保护条例》的条款强调了强有力的合规计划、建立合规文化以及通过提高认识、培训、风险评估和监测帮助企业保持正确遵守法律的重要性。依据《欧盟一般数据保护条例》实施的适当的合规计划,和依据美国《联邦量刑指南》实施的有效的企业合规计划一样,都可以在成立违法的情况下减少企业所受的惩罚。依据规定,GDPR将对不合规的企业予以制裁,同时对构建和实施数据保护合规的企业减免罚金来鼓励企业构建数据保护合规。这些措施,为企业制定强有力的合规计划提供了坚实的的理由。
值得注意的是,(数据保护方面违规的)代价巨大,不仅违反数据保护合规将给企业信誉造成严重损害,而且依据《欧盟一般数据保护条例》规定,企业违反数据保护合规将面临巨额处罚。GDPR增加了企业的合规责任:对全球范围内的企业而言,企业用户的数据安全、隐私保护,企业的业务流程、运营机制、信息技术系统、战略布局,均需要在数据保护合规的框架下重现规划。为应对欧盟在GDPR框架下确立的企业数据保护合规方面的严苛执法,全球企业都在积极尝试构建数据保护合规应对GDPR合规执法风险。
四、企业合规的未来展望
随着国际管制活动不断增多、日趋复杂,企业暴露在前所未有的合规风险之下,这要求我们以更宽广的视野看待企业合规的发展与合规执法风险。值得注意的是,大数据与人工智能技术的深化发展将对企业的法律责任和合规体系提供更为严苛的要求。人工智能技术的不断升级迭代,将会导致现有的行业标准、监管政策和法律规则发生重大变化。如何在大数据与人工智能时代应对日益复杂多变的企业合规执法风险,成为企业在大数据与人工智能时代实现持续发展所必须面对的关键问题。从科技创新与技术发展的视角出发,笔者认为企业合规的未来发展将主要聚焦于以下方面:
1、 传统企业合规的领域和深度将继续深化发展
如前所述,当前企业合规涉及的领域涵盖反垄断、反洗钱、反腐败、反舞弊、出口管制、数据保护、食品药品安全、环境保护、移民、职场骚扰等领域。随着世界各国政府监管的不断强化,新兴监管政策和制度的不断出台,企业合规涉及的领域将向更为宽广的领域、更精细具体的方向拓展。企业合规的学术研究和实践发展已经深入至行为合规、心理合规、企业合规宪法化、企业合规刑事化等前所未有的领域。
2、 企业治理、风险管理与企业合规的结合将更加紧密
实质上,最初的企业合规仅仅聚焦于企业的经营运作行为是否符合法律规定的企业合规标准,并未上升至企业治理与风险管理的高度。随着世界各国政府的监管要求和监管环境的不断变化,大多数企业在全球经营中更加重视企业的内部治理和风险管理。通过对企业风险的科学管理,企业能够制定有效的化解风险的管理策略,降低企业面临的风险,从而使企业在竞争市场中脱颖而出。
作为企业内部风险控制和管理的重要抓手,企业合规与企业合规部门在未来的企业治理与风险管理环节将发挥战略性作用。实践中,合规部门将参与企业的战略管理决策,引导企业内部的风险监测与评估,并基于企业风险评估结果制定风险化解的管理策略,科学管理企业风险,进而实现对企业的有效治理。
3、 企业合规监管的技术水平不断提升,监管成本不断减低
未来,人工智能技术的不断创新和发展,将大大降低企业合规审查的成本,也将使客观中立的审查立场更容易得到保持和贯彻,从而推动更多企业进行更广泛深入的合规监管。通过大数据和人工智能技术,可以实现自动搜索、抓取具体语境下企业员工行为监控的关键数据。一定程度上,使用人工智能技术对企业合规进行审查和监管,可以提高合规监管和审查的准确性,也能够降低企业合规审查和监管的运营成本。然而,企业运用大数据和人工智能技术审查员工音视频的做法,似乎有侵犯员工被遗忘权之嫌。
4、企业数据保护合规重要性日益凸显
欧盟《欧盟一般数据保护条例》(GDPR)立法的重点是保护欧盟公民可识别的个人数据,约束的对象则是企业。《欧盟一般数据保护条例》(GDPR)包含有旨在确保其条款得到遵守的各类措施。这些措施主要侧重于关注企业内部的组织部分,目标是增加企业的责任(要求企业构建数据保护合规要求),并提供数据保护合规的激励机制和违反数据保护合规的严苛的惩罚措施。
根据规定,GDPR的管辖对象不仅包括位于欧盟内部的企业,也包括欧盟以外的、向欧盟提供商品或服务,或监控欧盟数据对象行为的企业。换言之,所有企业只要处理和持有居住在欧盟的数据主体的个人数据,不管企业的位置在不在欧盟,都要遵从GDPR。
欧盟《欧盟一般数据保护条例》(GDPR)确立的数据保护合规框架适用范围最为宽泛,处罚最为严格,严重影响和制约了企业的隐私保护、数据安全、产业布局和战略部署。GDPR严苛的罚金处罚,使得数据保护合规的重要性日益凸显,在企业内部构建并实施切实有效的企业数据保护合规逐渐成为企业全球发展的必由之路。
五、结语
作为推进企业治理与企业风险管理的内控机制,合规计划在经济全球化和法律全球化并融发展的今天,日益成为立法者、监管者与企业的共同选择。然而,与发达国家迅速完成理念接引与规则摹写不同,我国尚处于对企业合规的引介阶段,缺乏对企业合规计划运作实施的细致、专门研究。合规计划所涉及的内容之丰富、范围之宽广,绝非寥寥数语可以阐述。
随着"一带一路"战略的全面铺开,我国企业的全球发展日渐加速,企业合规的作用日渐凸显,亟待理论界与实务界对企业合规的理论与实践展开深入研究。在此背景下,"万合企业合规研究院"将以国际视角和发展眼光,追踪域外企业合规的实践与理论前沿,致力于为中国企业的全球发展提供系统性的合规解决方案,助力中国企业行稳致远。
PAGE
1
閱讀更多 萬合企業合規研究院 的文章
