当前位置:首页>法律咨询合规管理体系被称为企业/组织新时期三大基础管理体系之一,另外两项是财务管理和业务管理。合规管理体系建设法律服务不是律所的传统业务,而是一项全新的法律业务类型,新到2019年被称为我国中央企业合规管理体系建设元年。但自此波浪式传导开来,在各地国企和大型民企全面开花。
合规管理业务是法律与管理的结合,寓法律与管理之中,紧扣委托人防范风险和强化管理的本质诉求,既是交叉业务领域的创新突破,也代表了法律服务的发展方向之一。
本专栏共分7篇,计40篇文章,涵盖了合规管理体系全流程建设中关键节点的关键问题,以及贯标认证、内部调查、监管应对咨询等合规细分领域的经验分享。本专栏不包含已形成共识的基础问题,也不求全。
合规研究专栏 | 总论篇之一:合规管理建设的四类依据
全面合规管理体系建设是从央企开始的,确切地说是从央企总部开始的,当前央企全系统子企业和各地方国企则成为主力军。央国企开展合规管理建设,自然要基于国资委的监管要求,但国资委的指引性文件原则而概括,还难以在落地层面提供具体指导。对于国有企业而言,在完成国资委“规定动作”之外,如果有志于建设更具实操性、有效性,或者希望成为亮点、标杆的合规体系,则需要更多契合企业实际的“自选动作”。本文梳理了国有企业合规管理建设的四大类主要依据,供企业在推进合规管理有效性过程中参考。
这四类依据是:一是国资委关于合规管理的规范性文件及相关工作部署;二是有关部委关于内控、法务、全面风险管理的规范性文件对合规的要求;三是合规管理体系标准文件;四是行业性合规管理规范文件及地方国资委落实文件等其他依据。
一、 国资委关于合规管理的规范性文件及相关工作部署是合规管理的直接依据
(一)中央企业合规管理办法
该《办法》以国资委令形式发布,在位阶等级上属于部门规章。这是目前为止合规管理建设领域最重要、最权威,也是除公司法以外位阶最高的规范性文件。大多数企业制定的本企业合规管理办法,基本都以《办法》为蓝本,规定本企业合规管理的基本原则、组织架构、运行机制和保障体系等内容,作为本企业合规管理管总的龙头制度。
《办法》是正式的法律文件,其作为国有企业合规体系建设的外部义务属性更加明显,根据《办法》要求,无论是中央企业的全系统合规,还是地方国有企业合规,都不再具有可选择性,而是必须要推动和参照实施;若未按照《办法》开展合规管理体系建设,这本身就构成不合规,由此引发违规行为的将要依法承担责任。正因如此,在《办法》出台后,企业合规管理建设大范围拓展,各中央企业及其子企业、地方国有企业积极响应国资委的号召,开展企业合规管理建设工作。
值得一提的是,在《办法》正式出台之前,曾于2022年4月1日公布了《办法》征求意见稿,这一稿内容丰富,在诸多具体运行机制方面大胆吸收了业界建议,包括合法合规性审查、重大项目合规审查、合规免责、一票否决、复审机制等。虽然只是过程稿,但完全不影响企业在开展具体合规管理实践时借鉴参考。
(二)《中央企业合规管理指引(试行)》
该《指引》由国资委于2018年11月2日发布实施,这是在国资委进行了3年合规管理建设试点之后,发布的第一个正式的合规管理指引性文件。正是在《指引》中,才第一次明确了“合规”“合规风险”“合规管理”等基本概念的定义,为合规管理成为一个独立的管理体系奠定了基础,框定了边界。《指引》具有开创性、奠基性意义,是我国企业进行合规管理体系的基础性依据,奠定了企业合规管理体系的制度性基础。
在《办法》于2022年实施后,《指引》并未被替代,仍然有效。二者适用的关系是:对于《办法》有明确规定的,适用《办法》;《指引》与《办法》规定不一致的,适用《办法》;《办法》未规定而《指引》有规定的内容,比如有关管理重点领域重点环节的内容、有关监事会合规职责的内容等,仍然适用《指引》。
(三)“中央企业合规管理强化年”系列部署
在2021年有关企业发生造成重大影响的违规事件后,国资委将2022年定位为“中央企业合规管理强化年”,并进行了系列工作部署。包括列明了6个方面20项具体工作任务的1号通知,开展全级次、全领域、全方位合规风险排查的工作安排,以及每季度开展的推进会等。
本次强化年系列部署十分特殊,对中央企业合规管理建设的指导意义十分重大。一是史无前例的高规格,第一次工作部署会上,中央纪委国家监委、中央依法治国办、最高人民检察院等有关负责同志到场发言;此后的多次会议和历次季度推进会,均由委领导亲自部署工作,这在以往很少见。二是相关工作任务和验收标准明确具体,指引性强,弥补了《办法》《指引》这类规范性文件的不足,至今仍是中央企业开展合规管理的重要依据。
强化年系列部署体现了监管机构对合规管理工作的持续重视,相关工作部署是企业开展合规建设工作的重要方法论来源。2022年1月18日正式发布《关于开展中央企业“合规管理强化年”工作的通知》在“推动层层落实”这一工作要求中强调,“要加快推动合规管理各项要求向各级子企业延伸,通过开展约谈、纳入考核等方式,推动合规要求层层在子企业真正落实”。
(四)《关于进一步深化法治央企建设的意见》及年度法治合规工作会部署
国资委推行了多年法治央企建设,包括法治央企三个三年工作目标、法治建设第一责任人职责等。2021年,国资委再次发布《关于进一步深化法治央企建设的意见》,对法治合规工作进行了再部署,提出认真落实全面依法治国战略部署,持续深化法治央企建设,着力构建世界一流企业的合规制度体系,不断提升依法治企能力,助推企业高质量发展。
此外,国资委会在每年三月左右召开年度法治工作会,总结和部署法治建设工作。年度法治工作会内容,当然也是国有企业开展本年度工作的重要依据。有心人会发现,2023年起,以往的年度法治工作会已经悄然变成年度法治合规工作会,会议名称为“中央企业深化法治建设加强合规管理工作会”,这意味着国资委政策法规局推行工作的主要抓手已经发展为合规管理建设。
二、有关部委关于内控、全面风险管理的规范性文件和要求是合规管理的重要依据
合规管理只是企业的管理体系之一,企业既有的其他管理体系,如法务管理、内控管理、全面风险管理等,与合规管理一样,也兼具风险防范与管理提升的导向。不同管理体系侧重点各不相同,但在风险防范与合规运行方面,存在大量交叉,其他管理体系对合规的要求,也是国有企业开展合规管理应遵循的重要依据。特别地,其他三大管理体系在国有企业都推行了十余年时间,既积累了诸多好的经验,也暴露了一些不符合企业实际的问题,这也都是合规管理建设需要关注和借鉴的。
当然,一直以来,合规与法务、内控、全面风险之间是什么关系,如何避免管理体系之间叠床架屋,是业内长期没有形成共识的问题之一。有关四者之间的区别与协同关系,本专栏会在后续文章中进行专门分析。
(一)国资委关于全面风险管理的要求
全面风险管理也是国资委提出的监管要求,包括战略风险、市场风险、财务风险、安全风险、法律合规风险等6大类或8大类风险,涵盖了企业经营管理的方方面面。合规风险只是全面风险管理的内容之一,但全面风险管理由于求全,则不可避免地失之粗放。
合规管理建设过程中,遵循全面风险关于合规的要求的意义在于,更好地保证合规管理服务中心围绕大局,保证合规风险的识别不偏离企业整体战略方向。合规管理是企业的基础性管理,不可能封闭割裂地开展,必然要与企业主营业务和战略整体相衔接相协同。这是由合规管理的属性决定的,中兴通讯等大量案例表明,发生合规风险的后果,不仅仅是经济损失,更重要的业务模式、市场准入等发展战略层面的损失,是关乎企业生死存亡的风险。
(二)财政部等关于内控建设的要求
财政部、证监会、审计署、银监会、保监会早在2008年就联合印发了《企业内部控制基本规范》,后又出台了内控审计、评价、建设等多部专项指引。源自COSO体系的内控建设和评价,是当前国有企业风险管理中最为成熟的管理体系之一。
一方面,内控建设也强调合规风险防范,企业开展合规管理过程中,也应参考内控建设关于合规的要求,做好与内控建设的协同。另一方面,内控与合规,二者侧重点内外有别、迥然不同,合规管理过程中应加以区分;同时,内控管理实践中暴露出的输出文件过于冗繁无法落地的教训,也值得合规管理过程中认真汲取。
总之,尽管合规管理具有后发优势,代表了企业管理发展趋势,但鉴于诸多客观限制,比如不同的上级主管部门、企业内部机构设置和人事安排的敏感性、企业管理惯性等,合规管理不可能像建设初期有业内人士设想的那样“一统天下”,建设所谓大合规体系;甚至近些年被广为提倡的“四位一体”“五位一体”“N位一体”等一体化设想实践中也困难重重。我们认为,不同的管理体系必将长期共存,短期内都不可能被取代,在建设合规管理体系过程中,重要的是尽量清晰地理解和认识不同体系之间的边界,并处理好交叉重叠部分的内容,避免叠床架屋,做好“融合、协同”文章。
事实上,国资委《办法》第二十六条也规定,中央企业应当结合实际,建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制,加强统筹协调,避免交叉重复,提高管理效能。从监管机构的监管态度来看,监管机构对于各管理工具的融合态度,从最初的一体化要求,转化为协同管理要求,这是回归理性的体现。因为各管理工具虽有存在重合的情形,但同时具有大量的个性化要求,彼此之间亦存在一定的制衡,一体化要求虽然有利于减少企业重复工作,但也难以有效发挥各管理工具的独特价值,可能因此产生一些更大的风险。
关于如何处理合规管理与既有其他管理体系的关系,笔者作为起草人之一的《企业法律、合规、风险、内控一体化管理体系要求》团标也将在近期出台,相信对解决这一问题有所助益。
三、合规管理体系标准文件遵循不同的管理逻辑,是促进合规管理有效性的重要参考依据
合规管理作为一种软科学,也可以依照我国《标准化法》制定属于自己的标准。目前主流的合规管理体系标准有两个,一是国际标准化组织(ISO)颁布的ISO37301:2021《合规管理体系要求及使用指南》,另一是国家市场监督管理总局与国家标准化管理委员会共同发布的国家标准GB/T35770-2022《合规管理体系要求及使用指南》,后者是对前者的等同转化。当前越来越多的企业在开展贯标认证工作,所贯之标准,主要就是这两个标准。
ISO37301:2021是由ISO在2021年4月发布和实施,适用于全球任何类型、规模、性质和行业的组织的A类管理体系标准。GB/T35770-2022则是基于前者,规定了相应的合规管理体系的要求与使用指南,统一各相关方对于合规管理的认识并提供依据,也为《中央企业合规管理办法》等政策文件的落地提供了有效的技术工具。
合规管理体系标准之所以重要,是因为其与国资委规范性文件和相关的工作部署所遵循的逻辑完全不同。前者是规范文件,大多是具有指引性和原则性的规定,后者则采用的PDCA理念,并不着眼于静态的合规体系建设,而是围绕组织的动态运行,基于合规治理原则,为组织管理的建立、运行、保持和改进全流程提供整套解决方案。国有企业面对国资委的规范性文件,在具体操作中需要通过细化和转化,将其与企业自身的特点和业务活动相结合,此时标准的重要性就被突显出来。
对有志于建设深化、有效的合规管理体系的企业来说,合规管理标准文件是一个值得认真研究的“富矿”。合规管理体系除了上述国际标准和国家标准外,还有诸多其他类型的标准文件,包括诸多合规管理团体标准,一些地方性合规管理标准,诸多行业型合规管理标准,以及国外标准和优秀企业的企业标准等。相关标准在国家市场监督管理总局官网首页右下角“国家标准化管理委员会”板块中都能找到。
四、行业性合规管理规范文件及地方国资委落实文件等其他依据
合规管理的其他参考依据,还包括:各地国资委对省属或市属企业合规管理建设的指引文件;行业型合规管理规范文件;金融行业合规管理文件;国外合规管理优秀经验等。
(一)各地方国资委合规管理规范性文件
自2019年起,各地方国资委,以省级国资委为主,纷纷按照国务院国资委要求,出台针对省属、市属企业的系列合规管理体系建设政策文件,作为地方国有企业合规管理的基本依据。笔者初步统计,所有的省级国资委、一半以上的地级市国资委出台了合规管理指引文件,其中,四分之一以上的省级国资委出台了一个以上的指引性政策文件。
各地方性合规管理政策文件,在框架上基本与国务院国资委《指引》和《办法》一致,内容也基本一致。但总有一些文件在某些细节上进行了突破和创新,例如北京市国资委文件关于合规风险来源、合规管理机构、联席会议机制等的规定,上海市国资委关于合规免责事项清单的规定,广东省国资委要求所辖企业三年内全部通过贯标认证的要求等等,这些具体“点”层面的有益探索,对于任何企业开展合规管理,都极具借鉴价值。毕竟国资委从未要求企业只能按照国务院国资委或本地国资委要求开展合规管理工作,而是反复强调要结合企业实际,建设符合本行业、本企业客观情况的能落地的合规管理体系。
(二)行业性合规管理指引文件
各领域的监管或者行业机构也在不断积极引导企业开展合规管理,比如,针对汽车销售行业个人信息保护,上海市消费者权益保护委员会和上海市汽车销售行业协会于2023年共同制定《上海市汽车销售行业个人信息保护合规指引》;针对数据安全,深圳市政府部门发布《深圳市企业数据合规指引》;针对广告行业,北京市政府部门发布《北京市互联网广告企业合规经营指引》等等。
上述行业性合规指引文件,立足本行业合规管理特征,更具针对性和操作性,是企业在开展重点领域合规专项管理过程中的重要参考依据。根据目前的实践经验,合规风险易发多发领域主要体现在安全生产、环境保护、反垄断、数据安全、个人信息保护、税务、广告、零售、知识产权、医疗、电子商务、用工等领域。单就反垄断领域来说,除了市场监管总局在反垄断法修改后不停出台相关指引外,还有数十个地方市场监督管理局也发布了反垄断领域的合规指引,成为企业开展相应专项合规建设的重要参考依据。
(三)其他依据
一是银证保等金融行业合规风控管理经验。金融行业是强监管行业,合规风控管理起步早,管理成熟。虽然金融行业具有特殊性,其管控方式不一定适用于其他行业,但其出台的合规管理规范性文件和优秀的合规监管经验,仍值得所有企业在开展合规管理过程中加以借鉴。
二是国外合规管理经验。企业合规管理来源于优秀的国际经验,我国是后来者学习者,我国的合规管理还处于起步期。国外的合规管理监管文件,以及合规管理建设经验,同样应该认真学习借鉴。尤其在面临争议问题或者合规信念发生动摇时,可以通过进行源头学习正本清源。
总体而言,企业合规管理的依据并非单一的,也不仅仅来自于某一个层级的法律法规或者规范性文件,而是多元化、多层级和全方位的。2023年底,新公司法发布,特别将国家出资企业开展合规管理工作写入法律,也意味着企业合规管理正式有了法律供给。企业应当根据自身的经营情况判断,合理选择风险偏好,结合合规管理长远方针和阶段性目标,有机选择和参考不同依据,建设符合企业自身特征的个性化的合规管理体系。
来源:德恒律师事务所
作者:
汤敏志,德恒北京办公室合伙人;主要执业领域为企业合规、诉讼仲裁、投融资、国资国企;E:tangmz@dehenglaw.com
晏高兴,德恒北京办公室律师;主要执业领域为企业合规、诉讼仲裁、投融资、国资国企;E:yangx@dehenglaw.com
陆柏谕,德恒北京办公室律师助理;主要业务领域为企业合规、诉讼仲裁、投融资、国资国企。
声明:本文由德恒律师事务所律师原创,仅代表作者本人观点,不得视为德恒律师事务所或其律师出具的正式法律意见或建议。
