RDL RESEARCH
合规风险的有效控制&治理的第三体系——多维视界中的企业合规管理体系(上篇)
作者:吴磊 2023-04-10 20:17:45 浏览:
前言
国际标准化组织(简称“ISO”)在2021年4月发布的ISO 37301:2021《合规管理体系—要求及使用指南》(以下简称“国际标准”),为各种类型、不同规模、不同性质和不同行业的组织的规范化合规管理提供了方便,当然也包括公司和其他企业。基于这一标准,我国在2022年10月发布了GB/T 35770-2022《合规管理体系—要求及使用指南》(以下简称“国家标准”,或两个标准统称“标准”),其技术内容一脉相承,另外为适配我国语境和法域的本土化特点,增加了资料性的附录。
标准的开发采用了PDCA理念,即策划、运行、检查、改进(Plan–Do–Check–Act)的“螺旋上升式”循环实证理念,详尽地指导了合规义务边界的标定、风险的识别和防范、体系的绩效管理评审与持续改进、合规风险和危机事件的应对整改等,使通过体系认证的组织能够取得行政监管机构以及司法机构的“另眼相待”。由于合规管理是独立于业务管理、财务管理之外的第三项权力,能够有效地控制合规风险,所以合规管理体系又可以作为组织治理的“第三体系”,与业务治理、财务治理分庭抗礼又彼此融合构建了组织的管理体系。
本文单独就企业的合规管理体系进行探讨。本文将分为上中下三篇,此为上篇。
合规管理体系是一个围绕合规义务策划基本结构、制订合规方针、建设合规管理制度和运行合规管理程序的有机组合框架,目的在于实现期望的合规结果,并能在防范、发现和应对不合规等方面发挥作用消除风险,概括起来可以从三个维度解构:
合规管理体系第一维:合规义务
合规义务是合规管理体系策划、运行、检查和持续改进的基础依据,合规管理体系的一切行为均围绕合规义务开展,通常包括强制必须遵守的要求以及自愿选择遵守的要求两类,即强制性义务和选择性义务。后者比如与公共权力机构、社会团体、客户签订协议的合同义务的约束以及自愿的承诺如环境承诺等。企业的合规风险通常来自强制性义务,且强制性义务的性质决定了其风险等级也远远高于选择性义务。
首先,企业合规风险的识别均源自对合规义务的确立,企业应当首先根据自身性质和特点检索并对标确立相应的合规义务。
国际标准中强制性义务的种类包括:法律法规;许可、执照或其他形式的授权;法院判决和行政决定;条约公约和协定五大类。国家标准在附录《补充使用指南》中进行了补充和提示,其中强制性义务包括:(1)法律法规;(2)法院判决、检察决定、指导性案例和司法解释;(3)强制性标准。其中,“法院判决”和“检察决定”在我国一般并不具有英美法系“遵循先例”的判例法效力,仅仅最高人民法院指导性案例具有仅次于司法解释的效力,能对同类型案件起到司法解释无法细化的指导和辅助作用,可以在判决说理中引用。例如,为了说明组合的技术信息能否构成商业秘密的问题,上海高院和最高法有两个案件的终审判决观点一致,都认定已经为公众知悉的商业秘密的组合,只要满足商业秘密的特性要求,也可以成为新的商业秘密加以保护。但是前者就只对案件当事人发生法律效力;而后者以指导性案例发布,就能产生仅次于司法解释的效力。
发生在兰州的Q公司被控侵犯公民个人信息犯罪一案影响非常深远,被称为“企业合规无罪抗辩第一案”,笔者通过对该案的分析说明一下合规义务的类型。
Q公司某分公司两个领导为提升业绩,指使下属四名员工通过金钱引诱等不正当手段,多次从多家医院医务人员手中获取公民个人信息,被检察机关以侵犯公民个人信息罪起诉。在一审庭审中,各被告人均辩称其动机是为完成公司的任务,辩护律师则以系单位犯罪进行辩护。
为证明公司存在合规管理,Q公司提交了一系列包括培训记录及合规承诺函等的公司文件,显示各被告人的不法行为都属于公司明文禁止的范围,而且也有他们接受培训的记录和个人签字的合规承诺函。世界卫生组织的规则及我国卫生部门的规定作为公司应遵守的合规义务也都在合规的文件中予以载明,一二审法院据此认定涉案个人构成犯罪而公司无罪。
笔者认为,Q公司的文件从主观方面实现了公司与个人之间的责任切割。根据刑法理论,主客观方面一致是单位犯罪的构成要件,客观上实施了为公司谋取利益的行为,在通常情况下基于利益归属可以认定单位犯罪,但如果单位有证据证实所实施行为背离公司意志的除外。分析本案各自然人被告的主观故意有两层意思组合完成,其一是为公司谋取利益,这是员工与公司发生意志重合的相同点;另一层在是否要采取违法手段的方面,公司的意志体现为“不得非法”,并通过合规培训、要求承诺合规等方式希望员工与自己的意志保持一致,而员工擅自采取了公司不允许的违法手段,属于员工的主观故意与公司的意志发生背离的情形,脱离了公司能够控制的范围,公司当然可以进行免责抗辩;其次,两个分公司领导虽然是地区负责人,但二人所做的决定违背公司合规章程的内容,同样背离了公司法人的意志,因此两人的决定不能视为公司的整体意志和集体决策的结果,二人做的决定只能由个人承担责任;最后,相反的情形是,如果公司指示的任务非经不正当手段无法完成且有相应的奖惩措施,那么公司潜藏的意志是积极追求员工通过不当手段达成目的的直接故意,合规文件只是“纸面合规”,公司也就无法以此作为免责抗辩。
可见,Q公司的合规文件、培训记录和承诺函等证明了公司的合规意愿等公司意志,起到人企责任切割的作用,最终被免予刑事追诉。而案件中所运用的裁判实体依据包括刑法、国际卫生组织的规则以及我国卫生部门的规定等等,都属于合规强制性义务的范围。
其次,要分清合规义务的重要性级别,以便合规管理体系的运行主次分明、先后有序。标准要求识别合规义务时应遵循“帕累托法则”,即二八定律、关键少数法则。笔者认为这里的“帕累托法则”与哲学的矛盾论阐述的原理一致,即要用最多的关注解决主要矛盾,其后解决次要矛盾。对于需要遵守的合规义务,应当首先识别出与业务相关的最重要合规专项,这些合规专项应该能够覆盖企业绝大部分、级别最高的合规风险,然后再关注其他所有合规义务。
这种主次分明和先后有序的分级在不同情形下有不同衡量标准的侧重。比如最高检合规改革试点发布的第一批典型案例中,张家港L公司因为污染环境涉嫌犯罪,检察机关最终只考察了L公司的环评合规是否通过,而该公司还有多达20余项专利,对知识产权合规管理检察机关就未予考虑。这是因为涉案企业最紧迫需要解决的就是环境污染的刑事合规问题,刑事追诉的问题不首先解决,公司就有可能陷入极其危险的境地,皮之不存毛将焉附,所以才没有把知识产权的合规与环境污染合规放在同等重要、同时进行的位置上。
最后,根据企业的活动(如开拓国际市场)、产品和服务的变化,要适时识别企业应当遵守的变更或新增的合规义务。企业的经营会跟随市场的需求而调整和发展,对于需要遵守的合规义务也就应当进行相应地调整、变更或者增加。例如,一家私募股权基金在原来股权投资之外,准备发行新的基金产品在二级市场进行证券投资,就要将证券监督管理方面的规定纳入合规义务范围;再比如企业的经营信息经过一段时间的积累形成了商业秘密,对于商业秘密的保护就应该检索法律法规、司法解释、指导性案例,调整商业秘密的保护和增加企业应当遵守的合规义务。
国际标准化组织(简称“ISO”)在2021年4月发布的ISO 37301:2021《合规管理体系—要求及使用指南》(以下简称“国际标准”),为各种类型、不同规模、不同性质和不同行业的组织的规范化合规管理提供了方便,当然也包括公司和其他企业。基于这一标准,我国在2022年10月发布了GB/T 35770-2022《合规管理体系—要求及使用指南》(以下简称“国家标准”,或两个标准统称“标准”),其技术内容一脉相承,另外为适配我国语境和法域的本土化特点,增加了资料性的附录。
标准的开发采用了PDCA理念,即策划、运行、检查、改进(Plan–Do–Check–Act)的“螺旋上升式”循环实证理念,详尽地指导了合规义务边界的标定、风险的识别和防范、体系的绩效管理评审与持续改进、合规风险和危机事件的应对整改等,使通过体系认证的组织能够取得行政监管机构以及司法机构的“另眼相待”。由于合规管理是独立于业务管理、财务管理之外的第三项权力,能够有效地控制合规风险,所以合规管理体系又可以作为组织治理的“第三体系”,与业务治理、财务治理分庭抗礼又彼此融合构建了组织的管理体系。
本文单独就企业的合规管理体系进行探讨。本文将分为上中下三篇,此为上篇。
合规管理体系是一个围绕合规义务策划基本结构、制订合规方针、建设合规管理制度和运行合规管理程序的有机组合框架,目的在于实现期望的合规结果,并能在防范、发现和应对不合规等方面发挥作用消除风险,概括起来可以从三个维度解构:
合规管理体系第一维:合规义务
合规义务是合规管理体系策划、运行、检查和持续改进的基础依据,合规管理体系的一切行为均围绕合规义务开展,通常包括强制必须遵守的要求以及自愿选择遵守的要求两类,即强制性义务和选择性义务。后者比如与公共权力机构、社会团体、客户签订协议的合同义务的约束以及自愿的承诺如环境承诺等。企业的合规风险通常来自强制性义务,且强制性义务的性质决定了其风险等级也远远高于选择性义务。
首先,企业合规风险的识别均源自对合规义务的确立,企业应当首先根据自身性质和特点检索并对标确立相应的合规义务。
国际标准中强制性义务的种类包括:法律法规;许可、执照或其他形式的授权;法院判决和行政决定;条约公约和协定五大类。国家标准在附录《补充使用指南》中进行了补充和提示,其中强制性义务包括:(1)法律法规;(2)法院判决、检察决定、指导性案例和司法解释;(3)强制性标准。其中,“法院判决”和“检察决定”在我国一般并不具有英美法系“遵循先例”的判例法效力,仅仅最高人民法院指导性案例具有仅次于司法解释的效力,能对同类型案件起到司法解释无法细化的指导和辅助作用,可以在判决说理中引用。例如,为了说明组合的技术信息能否构成商业秘密的问题,上海高院和最高法有两个案件的终审判决观点一致,都认定已经为公众知悉的商业秘密的组合,只要满足商业秘密的特性要求,也可以成为新的商业秘密加以保护。但是前者就只对案件当事人发生法律效力;而后者以指导性案例发布,就能产生仅次于司法解释的效力。
发生在兰州的Q公司被控侵犯公民个人信息犯罪一案影响非常深远,被称为“企业合规无罪抗辩第一案”,笔者通过对该案的分析说明一下合规义务的类型。
Q公司某分公司两个领导为提升业绩,指使下属四名员工通过金钱引诱等不正当手段,多次从多家医院医务人员手中获取公民个人信息,被检察机关以侵犯公民个人信息罪起诉。在一审庭审中,各被告人均辩称其动机是为完成公司的任务,辩护律师则以系单位犯罪进行辩护。
为证明公司存在合规管理,Q公司提交了一系列包括培训记录及合规承诺函等的公司文件,显示各被告人的不法行为都属于公司明文禁止的范围,而且也有他们接受培训的记录和个人签字的合规承诺函。世界卫生组织的规则及我国卫生部门的规定作为公司应遵守的合规义务也都在合规的文件中予以载明,一二审法院据此认定涉案个人构成犯罪而公司无罪。
笔者认为,Q公司的文件从主观方面实现了公司与个人之间的责任切割。根据刑法理论,主客观方面一致是单位犯罪的构成要件,客观上实施了为公司谋取利益的行为,在通常情况下基于利益归属可以认定单位犯罪,但如果单位有证据证实所实施行为背离公司意志的除外。分析本案各自然人被告的主观故意有两层意思组合完成,其一是为公司谋取利益,这是员工与公司发生意志重合的相同点;另一层在是否要采取违法手段的方面,公司的意志体现为“不得非法”,并通过合规培训、要求承诺合规等方式希望员工与自己的意志保持一致,而员工擅自采取了公司不允许的违法手段,属于员工的主观故意与公司的意志发生背离的情形,脱离了公司能够控制的范围,公司当然可以进行免责抗辩;其次,两个分公司领导虽然是地区负责人,但二人所做的决定违背公司合规章程的内容,同样背离了公司法人的意志,因此两人的决定不能视为公司的整体意志和集体决策的结果,二人做的决定只能由个人承担责任;最后,相反的情形是,如果公司指示的任务非经不正当手段无法完成且有相应的奖惩措施,那么公司潜藏的意志是积极追求员工通过不当手段达成目的的直接故意,合规文件只是“纸面合规”,公司也就无法以此作为免责抗辩。
可见,Q公司的合规文件、培训记录和承诺函等证明了公司的合规意愿等公司意志,起到人企责任切割的作用,最终被免予刑事追诉。而案件中所运用的裁判实体依据包括刑法、国际卫生组织的规则以及我国卫生部门的规定等等,都属于合规强制性义务的范围。
其次,要分清合规义务的重要性级别,以便合规管理体系的运行主次分明、先后有序。标准要求识别合规义务时应遵循“帕累托法则”,即二八定律、关键少数法则。笔者认为这里的“帕累托法则”与哲学的矛盾论阐述的原理一致,即要用最多的关注解决主要矛盾,其后解决次要矛盾。对于需要遵守的合规义务,应当首先识别出与业务相关的最重要合规专项,这些合规专项应该能够覆盖企业绝大部分、级别最高的合规风险,然后再关注其他所有合规义务。
这种主次分明和先后有序的分级在不同情形下有不同衡量标准的侧重。比如最高检合规改革试点发布的第一批典型案例中,张家港L公司因为污染环境涉嫌犯罪,检察机关最终只考察了L公司的环评合规是否通过,而该公司还有多达20余项专利,对知识产权合规管理检察机关就未予考虑。这是因为涉案企业最紧迫需要解决的就是环境污染的刑事合规问题,刑事追诉的问题不首先解决,公司就有可能陷入极其危险的境地,皮之不存毛将焉附,所以才没有把知识产权的合规与环境污染合规放在同等重要、同时进行的位置上。
最后,根据企业的活动(如开拓国际市场)、产品和服务的变化,要适时识别企业应当遵守的变更或新增的合规义务。企业的经营会跟随市场的需求而调整和发展,对于需要遵守的合规义务也就应当进行相应地调整、变更或者增加。例如,一家私募股权基金在原来股权投资之外,准备发行新的基金产品在二级市场进行证券投资,就要将证券监督管理方面的规定纳入合规义务范围;再比如企业的经营信息经过一段时间的积累形成了商业秘密,对于商业秘密的保护就应该检索法律法规、司法解释、指导性案例,调整商业秘密的保护和增加企业应当遵守的合规义务。