企业合规“强监管”时代来临已成普遍共识,无论国企民企,开展全面合规管理已成企业自觉。然而,中国企业的全面合规管理毕竟起步较晚,什么样的合规管理才是真正有效的合规管理,仍是困扰中国企业的一大痛点。监管部门、理论学者、合规从业者,以及企业主体都在为此思考和探索。本文梳理了以美国为代表的域外合规管理评估经验,总结了域外主流合规管理评估维度和评估标准,探讨了其内在逻辑,据此提炼出其对中国企业合规管理评估评价的启示。
一.
域外合规管理有效性评估的缘起与发展
如何评估全面合规体系的有效性具有一定的挑战性。域外国家或组织对此问题进行了较早的探索和研究。美国在全面合规体系有效性评估的研究上走在前端。有效性评估标准的探索可以追溯到美国1984年颁布的《量刑改革法案》(Sentencing Reform Act of 1984),《量刑改革法案》决定在司法部门成立独立的量刑委员会(U.S. Sentencing Commission)并赋予其制定量刑指南的职责。1991年,量刑委员会在1987年《联邦量刑指南》(Sentencing Guidelines)的基础上增加的《机构量刑指南》(Sentencing Guidelines of Organizations)成为美国全面合规体系有效性评估制度的“里程碑”。之后美国《萨班斯法案》(Sarbanes-Oxley Act)、《反海外腐败信息指引》(FCPA Resource Guide)、《海外资产控制办公室合规承诺框架》(OFAC Compliance Framework)、《工业和安全局出口管制合规管理指南》(BIS Export Compliance Guidelines:The Elements of Effective Compliance Program)、《司法部反垄断局公司合规体系有效性评估》(DOJ Antitrust Division Evaluation of Corporate Compliance Programs)、《公司合规体系评估指南》(Guidance on the Evaluation of Corporate Compliance Programs)等制度丰富和发展了美国全面合规体系的有效性评估标准的内容。
此外,其他国家和国际组织也对全面合规体系的有效性评估的标准进行了积极的探索。英国的《反贿赂法案指南》(U.K. Bribery Act Guidance)、《金融犯罪指南》(Financial Crime Guide)以及世界银行《廉政合规指南》(World Bank Group Integrity Compliance Guidelines)等制度对全面合规体系有效性评估的标准进行了有效的充实。
二.
域外合规管理有效性评估标准的典范及其主要内容
纵观域外企业合规管理有效性评估的各类标准,美国的《机构量刑指南》和《公司合规体系评估指南》为企业合规管理的有效性评估提供了较为成熟的标准。《机构量刑指南》和《公司合规体系评估指南》的合规有效性标准虽为美国司法机关在起诉和量刑时评估公司合规管理有效性的依据,但由于它们在实践中被广泛运用于其他领域,已成为政府机关以及公司日常评估其合规体系有效性的主要标准。
(一)《机构量刑指南》
《机构量刑指南》于1991年由美国量刑委员会发布并生效。经多次修改,量刑委员会于2021年发布了最新的《机构量刑指南》[1]。《机构量刑指南》主要包含两个根本性要素:(1)公司在防止和发现犯罪行为上已尽职尽责;(2)促进机构合规文化,鼓励道德行为和承诺遵守法律。根据这两大要素,《机构量刑指南》延展出公司合规体系有效性评估的“黄金七标准”:
第一,公司已建立合理的标准和程序,以预防和发现犯罪行为。
第二,企业的领导层了解合规体系的内容和运作情况,合理监督合规体系的执行和有效性。管理层保证自身具备有效的合规体系。高管个人对合规体系的整体负责,特定个人承担合规体系的日常运作,每年至少一次定期向包括领导层在内的上级汇报合规体系的有效性。为了完成前述职责,公司为个人配备足够的资源、适当的权限和向包括领导层在内的上级汇报的直接渠道。
第三,公司已尽合理努力将任何有违法行为或者违反合规体系要求的个人排除出组织的实权岗位;
第四,公司已根据受众的岗位和职责,通过培训项目和信息传播,定期、务实地向公司领导层、管理层、经理层、普通员工乃至代理人宣传合规体系标准、程序和其他方面;
第五,公司已采取合理行动,实施监督和审计,定期评估合规体系有效性,建立并公开匿名或保密举报机制;
第六,公司已采取措施激励合规行为,惩罚参与犯罪行为或未采取合理措施避免或发现犯罪的行为;
第七,发现违法行为,公司会采取合理措施加以应对,并防止类似犯罪行为再次发生,包括对合规体系作出必要调整。应对行为包括:补救因犯罪行为造成的损害,比如向可识别的受害者提供赔偿,主动向当局报告,并与当局合作。防止犯罪再次发生的措施包括评估合规体系并进行必要的修改以及聘用外部专业顾问对任何修改进行充分评估。
(二)《公司合规体系评估指南》
美国司法部于2017年首次发布了《公司合规体系评估指南》,并分别于2019年、2020年对该指南进行了更新。《公司合规体系评估指南》[2]并非根据标准对公司合规体系的有效性进行刻板地评估,而是根据公司的规模、行业、地理分布、监管情况等因素对公司的合规体系的有效性进行个性化评估。在评估公司合规体系有效性时,评估主体将对公司合规体系评估三大事项:(1)公司的合规体系设计是否合理;(2)公司的合规体系是否被认真地执行,换言之,合规体系是否有足够的资源和权力来有效运作;(3)公司的合规体系是否在实践中发挥作用。《公司合规体系评估指南》在这三大评估事项之下细化了评估各项评估指标,包括十二大事项和五十个方面。
1. 公司的合规体系设计是否合理
评估合规管理有效性的关键因素在于评估该合规体系的设计是否合理,以最大限度地防止和发现雇员的违规行为。因此,评估主体应当评估合规体系的全面性,确保对外释放不容忍不当行为的明确信号,而且有制度(从适当的合规责任分配,到培训计划,再到激励和处罚制度)确保合规体系很好地融入公司的运营和员工队伍中。评估合规体系设计是否合理主要从如下6个方面进行考察:
第一,风险评估。评估公司的合规体系是否能有效识别公司日常经营中的违规风险。[3]
第二,政策和程序。审查公司是否有供公司所有员工查阅并适用的行为准则,其中规定了公司对全面遵守相关法律的承诺。评估公司是否制定了政策和程序,将合规文化纳入其日常运营。[4]
第三,培训与沟通。评估合规体系是否被传播给员工,并在实践中被员工理解,以确定合规体系是否真正有效。[5]
第四,保密的报告结构和调查程序。考察是否存在一个高效和可信的机制,员工可以通过该机制匿名或保密地报告关于违反公司行为准则、公司政策或涉嫌或实际不当行为的指控。评估公司的投诉处理程序是否包括积极主动的措施,以创造一个不担心报复的工作场所氛围,提交投诉的适当程序,以及保护举报人的程序。评估公司处理此类投诉的调查程序,包括将投诉转给适当的人员,及时完成彻底的调查,以及适当的后续行动和处罚等。[6]
第五,第三方管理。评估公司对第三方合作伙伴的资格和关联的了解程度,包括通常用来掩盖不当行为的代理人、顾问和分销商,如在国际商业交易中向外国官员行贿。评估公司是否知道在交易中需要第三方的商业理由,以及第三方合作伙伴带来的风险,包括第三方合作伙伴的声誉和与外国官员的关系(如有)。[7]
第六,兼并与收购。一个合理设计的合规体系应包括对任何收购目标的全面尽职调查,以及将被收购实体及时有序地纳入现有合规体系结构和内部控制的过程。一家公司对其收购目标进行适当审查的程度,表明其合规体系在实施过程中是否能够有效地执行其内部控制并纠正组织各级的不当行为。[8]
2. 合规体系是否有足够的资源和权力来有效运作
如果执行不严、资源不足或其他方面不力,即使是合理设计的合规体系在实践中也可能不成功。评估主体应具体评估合规体系是“纸上谈兵”还是“以有效的方式实施、审查和修改”的体系。评估公司合规管理是否有足够的资源来有效运作涉及以下3个方面的考察:
第一,高层和中层管理人员的承诺。考察是否在公司的各个层面创造和培养一种道德和遵守法律的文化。合规体系的有效性需要公司领导层做出高层承诺,从中层和高层实施合规文化。[9]
第二,自主性和资源。有效的实施要求负责合规体系日常监督的人有足够的权力和地位。对此,应评估合规体系的结构,评估合规职能部门的人员和资源是否充足,特别是负责合规的人员是否:在组织内有足够的资历;有足够的资源,即有效进行必要的审计、记录和分析的工作人员;有足够的自主权,不受管理层影响,如直接与董事会或董事会的审计委员会接触。[10]
第三,激励和纪律措施。有效的合规管理必须建立对合规的激励机制和对不合规的抑制机制。应评估公司是否有明确的纪律处分程序,是否在整个组织内一致执行这些程序,并确保这些程序与违规行为相称。[11]
3. 公司的合规体系是否在实践中发挥作用
在评估一家公司的合规体系是否在实践中发挥作用时,评估主体应考虑是否和如何发现不当行为,有哪些调查资源来调查可疑的不当行为,以及公司的补救努力的性质和彻底性。评估主体还应考虑该合规体系是否随着时间的推移而演变,以应对现有和不断变化的合规风险。还应考虑公司是否进行了充分和诚实的根本原因分析,以了解导致不当行为的原因以及为防止未来发生类似事件所需的补救程度。评估公司合规体系在实践中是否发挥作用主要从以下3个方面评估:
第一,持续改进、定期测试和审查。一个有效的合规体系的标志之一是其改进和发展的能力。控制措施在实践中的实际执行必然会揭示出风险和潜在调整的领域。一家公司的业务随着时间的推移而变化,其经营环境、客户的性质、管理其行为的法律以及适用的行业标准也在不断变化。因此,评估主体应考虑公司是否进行了有意义的努力来审查其合规计划,并确保其不会过时。[12]
第二,对不当行为的调查。合规体系有效运作的另一个标志是,存在一个运作良好、资金充足的机制,对公司、其雇员或代理人的任何指控或可疑的不当行为进行及时和彻底的调查。[13]
第三,对任何潜在的不当行为进行分析和补救。实践中有效运作的合规体系的一个标志是,公司能够在多大程度上对不当行为进行深思熟虑的根源分析,并及时和适当地进行补救以解决根源问题。[14]
三.
域外合规管理有效性评估标准的内在逻辑及启示
虽然美国《机构量刑指南》和《公司合规体系评估指南》的合规管理评估标准内容存在一些不同,如量刑委员会《机构量刑指南》列出的七项合规有效性评估标准较为原则而司法部《公司合规体系评估指南》列出了三类十二项五十个方面的评价标准内容更为具体,但二者有效性评估的主要标准内容具有一致性。
参考国外法律服务机构的优秀实践,《机构量刑指南》和《公司合规体系评估指南》有效性评估的标准可概括为“六事项”“二维度”。合规有效性评估的“六事项”包括:(1)合理的合规制度与程序;(2)畅通的合规沟通渠道;(3)持续的合规培训与教育;(4)持续的合规审计与监督;(5)有效的合规“执法”与惩处;以及(6)有效的合规调查、应对与预防。合规有效性评估的“二维度”主要指评估主体从“合规努力”与“合规效果”两个维度来评估上述“六事项”。在企业合规体系建成初期,侧重于从“合规努力”维度去评估合规体系的有效性;随着企业合规体系的日渐成熟,合规体系有效性评估的侧重点向“合规效果”倾斜。
(一)合理的合规制度与程序
评估企业合规管理有效性的首要事项是该企业是否建立了合理的书面合规制度和程序以防控企业的主要风险。有效的企业的合规制度和程序并非千篇一律,而是根据企业的规模、行业、地理分布、监管情况等因素进行个性化打造。建立企业合理的合规制度和程序并非需要制定成千上万的合规制度,而仅需要制定少数核心制度即可。
书面合规制度和程序的内容主要包括企业合规制度运行制度、遵守法律法规的内部制度、违反合规制度的后果以及企业的价值观和对员工的期待。实践中,企业书面的合规制度和程序主要有合规运行的制度、防控企业主要风险的制度以及企业行为准则。
对合规制度和程序的具体评估内容如下:
评估事项一:合理的合规制度与程序 |
||
评估的维度 |
评估指标 |
|
合规努力 |
1. 合规制度与程序是否存在? |
|
2. 合规制度与程序是否全面? |
||
3. 合规制度与程序是否易理解并且能够全面应用? |
||
4. 合规制度与程序的要求是否告知员工? |
||
5. 是否对企业的主要风险进行了评估? |
||
6. 是否对遵守合规制度与程序的情况进行了审计? |
||
合规效果 |
1. 在对员工进行访谈时,员工是否理解企业合规制度与程序的要求? |
|
2. 在合规制度与程序已执行的领域,审计发现的问题是否更少? |
||
3. 合规制度与程序的运行是否促成了内部控制的建立? |
(二)畅通的合规沟通渠道
有效的合规体系依赖于畅通的合规沟通渠道。企业应建立促进员工和商业伙伴如实举报的沟通机制,鼓励员工和商业伙伴向企业举报与企业有关的违规行为。
对合规沟通渠道是否畅通具体评估如下:
评估事项二:畅通的合规沟通渠道 |
||
评估的维度 |
评估指标 |
|
合规努力 |
1. 合规沟通制度是否存在并得到执行? |
|
2. 是否在企业的不同层级都设立合规举报机制,包括下级企业? |
||
3. 合规举报机制是否与企业的规模相适应?规模较大的企业可能需要合规举报热线,而小企业可能只需要合规举报信息即可。 |
||
4. 合规举报机制是否在全企业内公布? |
||
合规效果 |
1. 员工是否了解企业有合规举报制度?了解程度如何? |
|
2. 员工是否对合规举报机制有信心? |
||
3. 企业对合规举报的回应是否及时、全面? |
||
4. 合规举报的问题是否使得企业关注这些问题? |
(三)持续的合规培训与教育
持续的合规培训和教育是评估合规体系是否有效的重要标准,因为它能够促进员工对与企业相关法律法规的理解、明确员工的合规职责、增强识别潜在合规风险的能力。合规培训和教育制度应包括:关于企业合规体系如何运行的信息;可能影响企业的法律法规信息;违反合规制度的后果。
对合规培训与教育的具体评估如下:
评估事项三:持续的合规培训与教育 |
||
评估的维度 |
评估指标 |
|
合规努力 |
1. 企业是否要求员工定期进行合规培训与教育? |
|
2. 企业是否针对高风险岗位人员开展专门的合规培训与教育? |
||
3. 企业是否对需要合规培训与教育的非雇员代理人或承包人是否进行合规培训与教育? |
||
4. 合规培训与教育是否覆盖合规制度的运行以及对企业和员工影响最大的法律问题? |
||
5. 是否有跟踪与企业高风险相关法律法规的最新动态并及时修改合规培训与教育的内容? |
||
6. 企业是否有确保合规培训与教育有效的机制?如要求员工进行合规测试。 |
||
合规效果 |
1. 是否有记录表明企业开展过合规培训与教育? |
|
2. 企业是否有记录表明合规制度与程序的相关材料已经发放给相应的培训员工? |
||
3. 企业是否有记录表明企业已对未完成合规培训与教育的员工进行处罚? |
(四)持续的合规审计与监督
持续、主动的合规审计与监督是有效合规体系的重要组成。合规审计与监督目的在于监测企业或员工是否遵守外部的法律法规以及企业内部的书面合规制度。
评估企业是否持续进行合规审计与监督的具体指标如下:
评估事项四:持续的合规审计与监督 |
||
评估的维度 |
评估指标 |
|
合规努力 |
1. 企业是否有书面的合规审计与监督制度(包括审计与监督的对象、频率、方式等)? |
|
2. 企业是否进行定期的合规审计与监督? |
||
3. 企业合规审计与监督是否与企业的规模、经营范围等相适应? |
||
4. 合规审计与监督的人员是否独立于被审计与监督的部门? |
||
5. 合规审计与监督的结果是否告知企业的管理层或决策层? |
||
6. 合规审计与监督发现的问题,如合适,是否报告相应的政府部门? |
||
7. 是否有针对合规审计与监督中发现的问题的矫正机制并被执行? |
||
8. 合规审计与监督的结果是否传达给相应部门对问题进行整改? |
||
合规效果 |
1. 合规审计与监督的结果是否表明企业理解并遵守内部制度与外部法律法规? |
|
2. 对多次合规审计与监督结果进行分析是否显示企业在理解并遵守内部制度与外部法律法规上有改善的趋势? |
(五)有效的合规“执法”与惩处
有效的合规体系还需要有效的合规“执法”与惩处制度。当不合规行为出现时,企业必须要有合规“执法”和惩处违规行为人的机制。对于合规制度的“执法”和对违规行为人的惩处力度反映一个企业对合规的重视程度。
评估有效合规“执法”与惩处的具体指标如下:
评估事项五:有效的合规“执法”与惩处 |
||
评估的维度 |
评估指标 |
|
合规努力 |
1. 企业是否有合规“执法”与惩处违规行为人的制度与程序? |
|
2. 合规“执法”与惩处违规行为人的制度是否传达企业全体? |
||
3. 合规是否被列为薪酬考核的一项内容? |
||
合规效果 |
1. 对惩处决定的复核是否表明企业的惩处过程和决定是公证、前后一致的? |
|
2. 员工对合规考核的满意度? |
(六)有效的合规调查、应对与预防
有效的合规体系还包括有效的合规调查以及对违规行为的有效应对与预防。评估有效合规调查、应对与预防的具体评价指标如下:
评估事项六:有效的合规调查、应对与预防 |
||
评估的维度 |
评估指标 |
|
合规努力 |
1. 企业是否建立调查举报的可疑违规行为的流程? |
|
2. 企业是否建立应对发现的违规行为的流程? |
||
3. 企业是否建立应对政府调查的书面制度? |
||
4. 违规行为的调查报告是否经常定期向管理层报告? |
||
合规效果 |
1. 企业是否及时应对报告的违规行为? |
|
2. 违规行为造成的损害是否在该违规行为被企业发现后得到制止? |
||
3. 企业的违规矫正行为是否与法律法规和监管建议一致? |
||
4. 违规预防措施是否能有效减少和消除将来类似的违规行为? |
上述“六事项”“二维度”的合规管理评估模型在域外有关法律服务实践中被使用并得到认可,具有普适性。深入理解其内在逻辑,结合本土管理实践和思维习惯,其对中国企业合规管理有效性评估的开展具有重要借鉴意义。
[注]