企业合规审查刍议

发布时间:2018-10-09

文 | 郭青红 汇业律师事务所 合伙人

企业合规审查是企业合规管理的重要内容,是指对企业经营管理活动(合规审查对象)是否符合合规规范进行审核检查。企业合规审查,需要弄清楚依据什么审查、审查什么、谁来审查、如何审查、可以借用什么工具审查等问题。本文试图从这几个方面进行分析探讨。不足之处,请予指正。

一、合规审查依据:依据什么审查?

合规审查依据,即企业开展合规审查所依据的合规规范。

关于合规规范的内涵与外延存在多个版本。

巴塞尔银行监管委员会《合规与银行内部合规部门》所述合规规范包括法律,监管规定和规则,自律性组织的准则,以及适用于银行自身业务活动的行为准则。

我国银监会《商业银行合规风险管理指引》所述合规规范包括法律、规则和准则,即适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。

我国保监会《保险公司合规管理办法》所述合规规范包括法律法规、监管规定、公司内部管理制度以及诚实守信的道德准则。

我国证监委《证券公司和证券投资基金管理公司合规管理办法》所述合规规范包括法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度,以及行业普遍遵守的职业道德和行为准则。

我国标准化管理委员会ISO 19600《合规管理体系 指南》(GB/T 35770-2017)。所述合规规范包括适用的法律法规及监管规定,以及相关标准、合同、有效治理原则或道德准则。

我国国资委《中央企业合规管理指引(试行)》(征求意见稿)将合规规范定义为中央企业及其员工对各项工作中所有适用规范,主要包括法律法规、党内法规、监管要求、商业惯例、行业准则、道德规范等外部合规要求和企业内部规章制度。

我国发改委《企业海外经营合规管理指引》(征求意见稿)将合规规范定义为我国及企业业务所在国法律法规、缔结或者加入的有关国际条约等,企业内部的规章制度和自律规则,以及行业公认的职业道德规范和行为准则要求。

对上述标准、指引和办法进行梳理和总结,我国企业应当遵守的合规规范可归纳如下:

1、适用的国际条约、国际规则(如联合国贸易术语解释通则)及国际组织的决定(如联合国的制裁决议等);

2、企业国外经营所在国家和地区的法律、法规、监管规则、标准、司法判例、商业惯例、道德准则和公序良俗,以及部分具有有限域外效力的外国的法律法规(如美国的反海外腐败法案、出口管制条例等);

3、我国的法律、法规、部门规章(包括司法解释)、规范性文件、行业监管规则、标准、行政许可和授权;

4、党内法规;

5、行业准则和自律性规则;

6、商业惯例;

7、社会公认并普遍遵守的道德规范和公序良俗;

8、与第三方之间的合同与协议;

9、企业股东决议、董事会决议、管理层决定、企业内部规章制度(包括企业本身的规章制度以及控股股东要求遵守的集团规章制度)。

以上第1至8所述合规规范统称外部合规规范,第9项统称内部合规规范。

每一企业因自身经营地域、所属行业、企业所有权性质等的不同,其所适用的合规规范的范围也存在差异。例如,一家纯内资企业,如果不涉及任何涉外业务,其应遵守的就可能不包括以上第1、2项合规规范。而就目前而言,党内法规仅适用于国有企业及其控股企业。

企业合规审查的首要任务是:(1)掌握适用于本企业的所有合规规范,建立完整的合规规范库;(2)持续关注合规规范的最新发展,正确理解合规规范的规定,准确把握新的合规规范对企业的影响,确保持续合规;(3)开展合规培训,让合规管理人员懂得运用合规规范进行合规审查,并让企业全体员工懂法知规。

在一些国家(尤其是英美法系国家),司法判例具有法律、法规的效力。因此,我国企业在国外经营时,须遵守和适用的当地合规规范可能包括司法判例。我国的司法判例不具备法律、法规的效力,但在企业合规风险管理中,司法判例对合规风险的识别、分析和评价有着重要参考价值。因此,我国司法判例虽然不构成合规规范的组成部分,但在企业合规管理中不能忽视。

与第三方之间的合同,其本身属于合规审查的对象,但在特定情况下也会成为合规规范的一部分以及合规审查的依据。例如,主合同是从合同、合同附件的审查依据,总合同(如年度合同、框架协议等)是具体执行合同、分合同、订单的审查依据,已订立合同是合同修改、补充、续订的审查依据,总包合同是分包合同的审查依据,以及与社会团体或非政府组织签订的协议、与公共权力机构和客户签订的协议(我国ISO 19600《合规管理体系 指南》第3.5.1条)等。

关于如何获取合规规范,我国标准化管理委员会ISO 19600《合规管理体系 指南》(GB/T 35770-2017)列举了下列方法:(1)列入相关监管部门收件人名单;(2)成为专业团体的会员;(3)订阅相关信息服务;(4)参加行业论坛和研讨会;(5)监视监管部门网站;(6)与监管部门会晤;(7)与法律顾问洽商;(8)监视合规义务来源(如:监管声明和法院判决)。

二、合规审查对象和范围:审查什么?

关于合规审查对象,可以从以下几个方面进行考察。

1、全面合规审查

全面合规审查是企业合规审查的基本要求和内容,是合规管理全面性原则的重要体现,要求对企业经营管理的各个方面是否符合合规规范进行全面审查,防控合规风险,包括企业法人治理事务、企业决策、各类项目、各项合同与协议(包括其订立、变更和终止)、其他法律文件以及企业内部规章制度等。

值得提及的是,企业所有内部规章制度既是合规审查依据,也是重要的合规审查对象。对某一企业内部规章制度进行审查,除审查其是否符合外部合规规范外,还须审查其是否符合企业内部更高效力层次的内部规章制度,以及与公司内部其他规章制度是否协调一致与融合,避免相互矛盾,尽量避免相互重叠。

2、专项合规审查

专项合规审查是对企业某一具体项目或者某一业务领域是否符合合规规范进行专门性审查,如重大项目(合资合作、投资并购、资产重组、改制上市、融资担保、解散分立、新产品、新业务等)合规审查、商业伙伴(合同对方)合规尽职调查等。

3、重点领域合规审查

我国国资委《中央企业合规管理指引》(试行)征求意见稿第三章,概括了一般企业合规审查的重点领域,包括市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等领域,以及对境外投资经营领域的投资保护、市场准入、外汇与贸易管制、环境保护、税收劳工等高风险领域。

4、热点领域合规审查

除上述重点领域外,目前合规审查的热点领域还包括反垄断与公平竞争、广告、消费者权益保护、反腐败、关联交易、网络安全与信息保护等。它们是我国政府目前监管比较严格、企业合规风险比较突出的领域。

不同企业,合规审查的重点领域和热点领域也会存在差别。例如,跨国企业在华投资的外商投资企业更加侧重于上述专项合规审查以及热点领域的合规审查;金融、保险、医疗行业等,更侧重于行业监管规则的合规性审查;上市公司对是否遵守证监委监管规则的合规审查尤为重视。因此,每一企业须根据其所属行业、企业所有权性质等,通过合规风险识别、分析和评价,发现和确定本企业的合规审查重点领域,加强对重点领域、热点领域的合规审查以及合规风险的日常监测和预警。

三、合规审查部门:谁审查?

我国银监会、保监会、证监委、国资委等颁布的有关企业合规管理办法和指引中,都规定了企业合规负责人与企业合规管理部门的合规审查职能,要求公司管理层、各业务部门和员工尊重和重视合规管理部门的合规审查意见。

一般认为,合规审查是企业合规负责人与企业合规管理部门专属职责和义务。这是一种误解。企业具有合规审查职责的部门包括:

1、业务部门

我国国资委《中央企业合规管理指引》(试行)征求意见稿第十九条就明确规定,中央企业业务部门合规管理职责主要包括“(四)组织开展本业务领域相关事项的合规论证审查”。我国证券业协议《证券公司合规管理实施指引》也要求证券公司在业务开展前应当充分论证业务的合法合规性。

业务部门(包括职能部门,如财务、内控、人事等部门)作为企业合规风险管理的第一道防线以及企业合规风险管理的主体,合规审查也是其重要的合规管理职责。企业业务部门对本业务领域所适用的合规规范最为熟悉,其职责之一是对本部门业务涉及的重大项目、合同、规章制度、其他文件等,对其是否符合合规规范进行审查。企业合规管理部门须加强对业务部门的合规培训,业务部门也需要加强对适用于本部门合规规范的学习,以提高其合规审查的知识、能力和自觉性。

2、合规部

合规审查是企业合规管理体系的构成要素之一和重要内容,是企业合规部的重要职责。

3、法务部

一家企业的法务部从成立伊始,就一直在进行法律审查。法律审查是合规审查的重要组成部分与核心内容,但法律审查不等同于合规审查。

国际组织的有关合规管理指引以及我国有关部门的合规管理规章没有对合规审查与法律审查进行详细规定,但从企业合规管理实务经验来看,合规审查与法律审查存在以下联系和区别:

(1)合规审查强调全面合规审查,范围要广于、并包括法律审查,是合规管理全面性原则的反映和要求;法律审查是企业合规审查最重要和最核心的组成部分。

(2)从合规审查依据来看,合规审查涉及适用于企业的所有合规规范;法律审查仅涉及相关法律实务所适用的合规规范,一般不包括党内法规、行业准则和自律性规则、技术标准、道德准则和公序良俗以及企业内部合规规范。

(3)法律审查侧重于在处理企业法律实务(如合同、法律文件的起草、审查和修改,知识产权管理,重大项目法律服务,诉讼和仲裁等)的过程中适用合规规范并同时进行法律审查;合规审查则是合规管理部门开展的专门合规管理活动,但在强调全面合规审查时,更侧重于行业监管规则、反腐败、重点合规领域、热点合规领域的合规审查。

(4)从合规审查对象来看,合规审查要求对企业经营管理的各个方面进行全面审查;法律审查的对象主要是法律实务所及范围,如公司治理法律事务、合同法律事务、知识产权法律事务、劳动人事法律事务、重大项目法律事务、诉讼和仲裁法律事务等。

合规审查要求审查人员谙熟企业管理和业务,法律审查需要运用法律专业知识并能在法律专业领域对合规审查提供专业性支持,两者相辅相成,协调统一,共同做好企业合规审查工作。

法律审查是合规审查最重要、最核心的部分,两者也经常存在重叠、交叉的地方。法务合规部将企业法务与企业合规管理合二为一,更能解决这一问题。分别设立合规部与法务部的企业,则需要妥善协调处理,澄清职责边界,避免人员、职责重叠和重复劳动。

4、审计部

企业内部审计部门是企业合规管理的第三道防线。合规审查是企业内部审计的对象和内容之一。企业内部审计部门在开展内部审计时,从审计角度对企业经营管理是否符合合规规范进行监督和检查,原则上也具有合规审查的性质。

四、合规审查程序:如何审查?

合规审查程序类似于法律审查程序。分述如下:

1、业务部门自我合规审查

如前所述,业务部门(包括职能部门,如财务、内控、人事等部门)作为企业合规风险管理的第一道防线以及企业合规风险管理的主体,有责任对其负责的合规审查对象作自我合规审查。为鼓励和督促业务部门的自我合规审查,宜将其列入业务部门的合规管理绩效考核范畴。

对于有些合规审查对象,如企业重大决策、重大项目、重大合同、重大规章制度、合规尽职调查等,宜将合规管理部门的合规审查(尤其是法律审查)前移至项目启动阶段(如企业重大决策会议,重大项目的意向书、备忘录、框架协议、保密协议的谈判与签署等),使合规审查贯穿项目始终,实现重大项目的事前、事中和事后的全过程合规审查。

2、提起合规审查申请

日常合规审查一般由负责合规审查对象的业务部门提起。业务部门应由其具体业务经理提起合规审查申请,注明业务部门内部合规审查情况,报业务部门负责人审批。合规审查也可以由合规管理部门主动提起,或者由审计部门或其他业务部门(如人事、财务、内控等)提起,也可以由企业董事会、监事会或管理层指令合规审查。

3、相关部门专业合规审查

合规审查申请经业务部门负责人批准后,应首先报相关业务部门(如财务、内控、人事、技术、安全环保、IT、其他相关业务部门等)作专业合规审查。

4、法律审查

企业法务部门与合规管理部合二为一的,法律审查与合规审查也可以合二为一。企业法务部门与合规管理部分别设立的,应先由法务部门作法律审查。

5、合规管理部门最终合规审查

除重大项目合规审查前移至项目启动阶段外,合规管理部门的合规审查应置于最后环节,以确保合规审查对象事先得到业务部门自身的审查以及相关部门的专业审查,发挥合规管理部门第二道防线的作用。合规管理部门开展合规审查,应包括以下步骤:

(1)确保完全理解合规审查对象的目的和内容。必要时,应与提起合规审查的部门以及其他相关部门作充分沟通协商。

(2)确定审查依据(即适用的合规规范),查询合规风险成案。

(3)确定合规审查负责人员,进行合规审查。必要时,还应聘请外部咨询机构(如律师事务所、会计师事务所、劳动咨询事务所等)参与和支持。

(4)制作合规审查意见。要求对合规审查对象进行修改的,应提出修改建议,并指导合规审查申请部门进行修改。经修改的合规审查对象,须按原程序重新提起合规审查。

(5)制作合规审查记录,将相关资料存档。合规部门进行合规审查,“应当将出具的合规审查意见、提供的合规咨询意见、签署的公司文件、合规检查工作底稿等与履行职责有关的文件、资料存档备查,并对履行职责的情况作出记录。”(我国证监委《证券公司和证券投资基金管理公司合规管理办法》第十七条)

合规审查是合规管理部门的重要职责,是合规管理部门开展合规培训的重要途径和实战演练,也是将合规要求融入业务部门规章和业务流程的有利途径。

需要明确的是,合规审查的对象和内容,只限于合规审查对象是否符合合规规范,而不包括合规审查对象的专业内容(如业务、财务、技术、商务、技术、安全环保、IT等)。合规审查对象的专业内容,系业务部门和其他相关部门的专业审查范畴。

五、合规审查工具:用什么审查?

企业合规管理信息系统(OA系统),是企业合规审查的重要工具。合规审查的各部门,应通过OA系统进行合规审查,实现合规审查的网络化、无纸化、远程化及高效率。

六、合规审查的独立性

独立性原则是企业合规管理的重要原则之一。合规审查的独立性,是企业合规管理独立性原则的重要内容和体现,要求合规管理部门和合规管理人员独立履行合规审查职责,不受其他部门和人员的干涉;也要求各业务部门积极配合,不得以任何方式或借口加以干涉或阻扰,并应当确保所提供信息真实、准确、完整(我国证监委《证券公司和证券投资基金管理公司合规管理办法》三十二条)。


返回列表