2017年中兴通讯被美国政府制裁引起了国内广泛关注。越来越多的国内企业开始重视合规管理,防范合规风险。2018年11月,国务院国资委颁布了《中央企业合规管理指引(试行)》(简称《合规管理指引》),要求中央企业以有效防控合规风险为目的,按照全面覆盖、强化责任、协同联动、客观独立的原则加快建立健全合规管理体系。2019年10月,国务院国资委颁布《关于加强中央企业内部控制体系建设与监督工作的实施意见》,提出“建立健全以风险管理为导向、合规管理监督为重点,严格、规范、全面、有效的内控体系,实现强内控、防风险、促合规的管控目标。”合规管理正逐步受到各企业的重视。如何协调合规管理与现行法律风险管理将是企业无法回避的问题,笔者认为企业应将合规管理与法律风险管理融合,将二者协同运转以更好地保障企业合法合规经营。
一、合规管理与法律风险管理的概念
(一)合规管理的概念
“合规”一词是由英文“compliance”翻译而来。“规”具体可以包含哪些方面,我国目前尚没有从法律法规层面对“规”做出法律意义上的界定。《合规管理指引》第二条规定:“本指引所称合规,是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业标准和企业章程、规章制度以及国际条约、规则等要求。”按照陈瑞华教授在《企业合规的基本问题》的观点,“法律规定大体上不外乎四大类:第一,国家法律法规,包括法律、行政法规、行政规章、地方性法规、司法解释等,所有具有法律渊源资格的规范文件都是需要遵守的对象。第二,商业惯例,既包括成文规范,如各行业协会颁布的行为准则等,也包括不成文的商业习惯和伦理。第三,公司内部制定的规章制度,违反自定的规章制度同样会成为企业受到制裁的理由。第四,国际组织条约,如世界银行等国际组织,也设置了合规管理和制裁体系。世界银行可以通过附解除条件的制裁,为企业设置若干年考验期,要求其重建合规计划。”可以看出,合规的“规”不仅仅是法律层面上的法律、法规、规章、司法解释,政策等,还包括企业章程、内部制度规范以及行业标准、商业习惯甚至国际条约和守则。企业在市场运作中,还可能存在单方承诺,这也是合规应遵守的内容。
《合规管理指引》第二条“合规管理,是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。”从该定义可以看出:合规管理包括合规风险的识别和评估、合规管理制度的建立、合规管理组织架构的组建以及合规管理机制的实施。合规管理贯穿着企业经营的每一个环节,不是企业经营管理独立存在的一个阶段。合规管理的本质是为了防控合规风险,目的是建立完善的企业管理体系,保障企业长久健康持续发展。
(二)法律风险管理的概念
法律风险相对容易理解,按照字面可以理解为由于法律问题可能导致的不利后果。目前,我国法律规范中尚未形成法律风险管理的统一概念,2011年国家标准化委员会发布的《企业法律风险管理指南》中对“法律风险”予以界定。法律风险是指基于法律规定、监管要求或合同约定,由于企业外部环境及其变化,或企业及其利益相关者的作为或不作为,对企业目标产生的影响。从这一概念可以看出,法律风险包括因违反法律、法规产生的风险,因违反合同约定而产生的违约风险,以及其他引起诉讼或仲裁风险等。
二、合规管理与法律风险管理的关系
在企业推进合规管理过程中,人们经常会有疑惑,既然企业进行了法律风险管理,现又推出合规管理,二者之间到底是什么关系?实务中,各企业实行合规管理和法律风险管理的经验不完全一致。有人认为法律风险管理包括合规管理,合规管理是法律风险管理的一部分;有人认为合规管理与法律风险管理类似,只是侧重点不同而已;有人认为合规管理包含法律风险管理,合规管理是上层概念。笔者认为:合规管理与法律风险管理都是企业法治建设下的重要内容,合规管理是纯管理方向,强调红线,是一种底线思维,侧重于价值评判,拥有更多的权力;而法律风险管理是有风险管理的特点,也有为企业服务和提供支持的要求,在不违反法律法规的原则下,是一种利益平衡的选择,合规管理与法律风险管理既有交集又有区别。
合规管理和法律风险管理相同或相交之处:(1)管理目标相同:合规管理目标是保证企业合规经营,防控合规风险,法律风险管理目标是防范企业法律风险。终极本质都是法治企业的具体要求,都是围绕企业经营目标保障企业正常持续运营。(2)遵守的“规”有交集:合规管理的“规”要求企业行为要符合“法律、法规、内部制度、行业准则、市场承诺、国际条约等”,法律风险管理重在要求企业的行为遵守法律法规的规定。二者需要遵守的法律法规是一致的,合规管理的“合规”与法律风险管理的依据有相同部分但又不完全一致,合规的规则更广泛。(3)管理的对象有相同之处:合规管理的对象是企业及其员工,法律风险管理的对象主要是企业行为。二者的管理对象有相同之处。(4)操作流程较为相似:合规管理和法律风险管理流程在制度制定、风险评估、风险识别、风险审查、风险应对方面较为相似。
二者在实务中也存在很大的不同:(1)法律风险管理相对具有“柔性”,强调根据法律风险等级,寻求商业利益需求与风险管理要求的平衡,并根据管理需求提供凯时尊龙官网的解决方案;而合规管理相对具有“刚性”,强调红线意识和高度严格的执行力,合规风险管理则是底线,是监督,是零容忍。(2)合规管理不仅规范企业对外行为,亦侧重于内部员工行为,合规管理对个人的职业道德等都有要求。法律风险管理侧重于规范企业行为,即使是因员工的行为产生的法律风险一般也被视为代理行为,由企业来承担法律后果。(3)合规管理的责任后果主要是行政法律责任和刑事法律责任;而法律风险管理的责任后果一般是以民事责任为主,最终风险的凯时尊龙官网的解决方案要视企业内外部利益具体情况而选择。所以,不是所有的法律风险管理都是合规管理,也不是所有的合规风险都是法律风险,二者不是包含与被包含的关系。
三、合规管理与法律风险管理融合的构建
2019年12月,国务院国资委发布《关于做好2020年中央企业内部控制体系建设与监督工作有关事项的通知》,明确要求整合优化内控、风险管理和合规管理监督工作,意在将内控、风险、合规管理纳入同一体系。作为一名法务人员,借鉴一些企业的实际做法,笔者尝试将合规管理与法律风险管理从以下方面融合:
(一)二者的组织架构融合
当前,有的企业是将合规管理与法律风险管理分别设置不同的部门,合规管理由合规部门执行,法律风险管理由法律事务部门执行。有的企业是将合规管理和法律风险管理设置同一部门。有的企业(例如中国中铁)合规管理是建立“三防一查”(或“三位一体”)体系,其中合规参与管理部门是合规管理的第一道防线;法律合约部、董事会办公室等合规综合、专项管理部门是合规管理的第二道防线;最后公司党委会、董事会、监事会、总裁办公会、职代会是合规管理的第三道防线;过程中纪委、审计部门是合规管理的保障,通过查处违规行为保障合规管理体系的有效运行。《合规管理指引》第9条和第10条分别规定,中央企业相关负责人或总法律顾问担任合规管理负责人,法律事务机构或其他相关机构为合规管理牵头部门,组织、协调和监督合规管理工作,为其他部门提供合规支持。笔者认为合规管理以法务部为牵头部门,将合规和法律事务融合为一个部门,二者有相通之处,并且法务人员具有专业优势,更有利于合规管理和法律风险管理的协同合作。
(二)二者相关制度的融合
合规管理需要建立专门的合规管理制度,从合规管理制度出发,重新梳理企业各项规章制度,积极探索合规管理与法律风险管理制度等其他公司制度的一体化,对企业现有各个管理制度进行检查、分析,对现有管理制度与流程进行修改、补充或废止。厘清各项管理制度界限、确保各项管理制度达到无缝连接、避免相互交叉和冲突。
(三)借助大数据与信息化融合二者
运用大数据信息化手段,从流程上将合规管理和法律风险管理嵌入企业运营的每个环节。强化信息化系统应用,利用信息化规范流程,提高信息采集的准确性、完整性、及时性,防控不合规行为,规避法律风险,保障企业运营管理。
综上所述,合规管理与法律风险管理不能互相代替,也不能在法律风险管理基础上简单的增加合规管理,笔者建议,企业可以以合规管理为红线,以法律风险管理为基础,提高合规管理的地位,整合企业风险管理资源、规范企业内部制度、有效推动合规管理这一舶来品的有效落地。
发表评论