文 | 郭青紅 匯業律師事務所 合夥人
企業合規審查是企業合規管理的重要內容,是指對企業經營管理活動(合規審查對象)是否符合合規規範進行審核檢查。企業合規審查,需要弄清楚依據什麼審查、審查什麼、誰來審查、如何審查、可以借用什麼工具審查等問題。本文試圖從這幾個方面進行分析探討。不足之處,請予指正。
一、合規審查依據:依據什麼審查?
合規審查依據,即企業開展合規審查所依據的合規規範。
關於合規規範的內涵與外延存在多個版本。
巴塞爾銀行監管委員會《合規與銀行內部合規部門》所述合規規範包括法律,監管規定和規則,自律性組織的準則,以及適用於銀行自身業務活動的行為準則。
我國銀監會《商業銀行合規風險管理指引》所述合規規範包括法律、規則和準則,即適用於銀行業經營活動的法律、行政法規、部門規章及其他規範性文件、經營規則、自律性組織的行業準則、行為守則和職業操守。
我國保監會《保險公司合規管理辦法》所述合規規範包括法律法規、監管規定、公司內部管理制度以及誠實守信的道德準則。
我國證監委《證券公司和證券投資基金管理公司合規管理辦法》所述合規規範包括法律、法規、規章及規範性文件、行業規範和自律規則、公司內部規章制度,以及行業普遍遵守的職業道德和行為準則。
我國標準化管理委員會ISO 19600《合規管理體系 指南》(GB/T 35770-2017)。所述合規規範包括適用的法律法規及監管規定,以及相關標準、合同、有效治理原則或道德準則。
我國國資委《中央企業合規管理指引(試行)》(徵求意見稿)將合規規範定義為中央企業及其員工對各項工作中所有適用規範,主要包括法律法規、黨內法規、監管要求、商業慣例、行業準則、道德規範等外部合規要求和企業內部規章制度。
我國發改委《企業海外經營合規管理指引》(徵求意見稿)將合規規範定義為我國及企業業務所在國法律法規、締結或者加入的有關國際條約等,企業內部的規章制度和自律規則,以及行業公認的職業道德規範和行為準則要求。
對上述標準、指引和辦法進行梳理和總結,我國企業應當遵守的合規規範可歸納如下:
1、適用的國際條約、國際規則(如聯合國貿易術語解釋通則)及國際組織的決定(如聯合國的制裁決議等);
2、企業國外經營所在國家和地區的法律、法規、監管規則、標準、司法判例、商業慣例、道德準則和公序良俗,以及部分具有有限域外效力的外國的法律法規(如美國的反海外腐敗法案、出口管制條例等);
3、我國的法律、法規、部門規章(包括司法解釋)、規範性文件、行業監管規則、標準、行政許可和授權;
4、黨內法規;
5、行業準則和自律性規則;
6、商業慣例;
7、社會公認並普遍遵守的道德規範和公序良俗;
8、與第三方之間的合同與協議;
9、企業股東決議、董事會決議、管理層決定、企業內部規章制度(包括企業本身的規章制度以及控股股東要求遵守的集團規章制度)。
以上第1至8所述合規規範統稱外部合規規範,第9項統稱內部合規規範。
每一企業因自身經營地域、所屬行業、企業所有權性質等的不同,其所適用的合規規範的範圍也存在差異。例如,一家純內資企業,如果不涉及任何涉外業務,其應遵守的就可能不包括以上第1、2項合規規範。而就目前而言,黨內法規僅適用於國有企業及其控股企業。
企業合規審查的首要任務是:(1)掌握適用於本企業的所有合規規範,建立完整的合規規範庫;(2)持續關注合規規範的最新發展,正確理解合規規範的規定,準確把握新的合規規範對企業的影響,確保持續合規;(3)開展合規培訓,讓合規管理人員懂得運用合規規範進行合規審查,並讓企業全體員工懂法知規。
在一些國家(尤其是英美法系國家),司法判例具有法律、法規的效力。因此,我國企業在國外經營時,須遵守和適用的當地合規規範可能包括司法判例。我國的司法判例不具備法律、法規的效力,但在企業合規風險管理中,司法判例對合規風險的識別、分析和評價有著重要參考價值。因此,我國司法判例雖然不構成合規規範的組成部分,但在企業合規管理中不能忽視。
與第三方之間的合同,其本身屬於合規審查的對象,但在特定情況下也會成為合規規範的一部分以及合規審查的依據。例如,主合同是從合同、合同附件的審查依據,總合同(如年度合同、框架協議等)是具體執行合同、分合同、訂單的審查依據,已訂立合同是合同修改、補充、續訂的審查依據,總包合同是分包合同的審查依據,以及與社會團體或非政府組織簽訂的協議、與公共權力機構和客戶簽訂的協議(我國ISO 19600《合規管理體系 指南》第3.5.1條)等。
關於如何獲取合規規範,我國標準化管理委員會ISO 19600《合規管理體系 指南》(GB/T 35770-2017)列舉了下列方法:(1)列入相關監管部門收件人名單;(2)成為專業團體的會員;(3)訂閱相關信息服務;(4)參加行業論壇和研討會;(5)監視監管部門網站;(6)與監管部門會晤;(7)與法律顧問洽商;(8)監視合規義務來源(如:監管聲明和法院判決)。
二、合規審查對象和範圍:審查什麼?
關於合規審查對象,可以從以下幾個方面進行考察。
1、全面合規審查
全面合規審查是企業合規審查的基本要求和內容,是合規管理全面性原則的重要體現,要求對企業經營管理的各個方面是否符合合規規範進行全面審查,防控合規風險,包括企業法人治理事務、企業決策、各類項目、各項合同與協議(包括其訂立、變更和終止)、其他法律文件以及企業內部規章制度等。
值得提及的是,企業所有內部規章制度既是合規審查依據,也是重要的合規審查對象。對某一企業內部規章制度進行審查,除審查其是否符合外部合規規範外,還須審查其是否符合企業內部更高效力層次的內部規章制度,以及與公司內部其他規章制度是否協調一致與融合,避免相互矛盾,儘量避免相互重疊。
2、專項合規審查
專項合規審查是對企業某一具體項目或者某一業務領域是否符合合規規範進行專門性審查,如重大項目(合資合作、投資併購、資產重組、改制上市、融資擔保、解散分立、新產品、新業務等)合規審查、商業夥伴(合同對方)合規盡職調查等。
3、重點領域合規審查
我國國資委《中央企業合規管理指引》(試行)徵求意見稿第三章,概括了一般企業合規審查的重點領域,包括市場交易、安全環保、產品質量、勞動用工、財務稅收、知識產權、商業夥伴等領域,以及對境外投資經營領域的投資保護、市場準入、外匯與貿易管制、環境保護、稅收勞工等高風險領域。
4、熱點領域合規審查
除上述重點領域外,目前合規審查的熱點領域還包括反壟斷與公平競爭、廣告、消費者權益保護、反腐敗、關聯交易、網絡安全與信息保護等。它們是我國政府目前監管比較嚴格、企業合規風險比較突出的領域。
不同企業,合規審查的重點領域和熱點領域也會存在差別。例如,跨國企業在華投資的外商投資企業更加側重於上述專項合規審查以及熱點領域的合規審查;金融、保險、醫療行業等,更側重於行業監管規則的合規性審查;上市公司對是否遵守證監委監管規則的合規審查尤為重視。因此,每一企業須根據其所屬行業、企業所有權性質等,通過合規風險識別、分析和評價,發現和確定本企業的合規審查重點領域,加強對重點領域、熱點領域的合規審查以及合規風險的日常監測和預警。
三、合規審查部門:誰審查?
我國銀監會、保監會、證監委、國資委等頒佈的有關企業合規管理辦法和指引中,都規定了企業合規負責人與企業合規管理部門的合規審查職能,要求公司管理層、各業務部門和員工尊重和重視合規管理部門的合規審查意見。
一般認為,合規審查是企業合規負責人與企業合規管理部門專屬職責和義務。這是一種誤解。企業具有合規審查職責的部門包括:
1、業務部門
我國國資委《中央企業合規管理指引》(試行)徵求意見稿第十九條就明確規定,中央企業業務部門合規管理職責主要包括“(四)組織開展本業務領域相關事項的合規論證審查”。我國證券業協議《證券公司合規管理實施指引》也要求證券公司在業務開展前應當充分論證業務的合法合規性。
業務部門(包括職能部門,如財務、內控、人事等部門)作為企業合規風險管理的第一道防線以及企業合規風險管理的主體,合規審查也是其重要的合規管理職責。企業業務部門對本業務領域所適用的合規規範最為熟悉,其職責之一是對本部門業務涉及的重大項目、合同、規章制度、其他文件等,對其是否符合合規規範進行審查。企業合規管理部門須加強對業務部門的合規培訓,業務部門也需要加強對適用於本部門合規規範的學習,以提高其合規審查的知識、能力和自覺性。
2、合規部
合規審查是企業合規管理體系的構成要素之一和重要內容,是企業合規部的重要職責。
3、法務部
一家企業的法務部從成立伊始,就一直在進行法律審查。法律審查是合規審查的重要組成部分與核心內容,但法律審查不等同於合規審查。
國際組織的有關合規管理指引以及我國有關部門的合規管理規章沒有對合規審查與法律審查進行詳細規定,但從企業合規管理實務經驗來看,合規審查與法律審查存在以下聯繫和區別:
(1)合規審查強調全面合規審查,範圍要廣於、幷包括法律審查,是合規管理全面性原則的反映和要求;法律審查是企業合規審查最重要和最核心的組成部分。
(2)從合規審查依據來看,合規審查涉及適用於企業的所有合規規範;法律審查僅涉及相關法律實務所適用的合規規範,一般不包括黨內法規、行業準則和自律性規則、技術標準、道德準則和公序良俗以及企業內部合規規範。
(3)法律審查側重於在處理企業法律實務(如合同、法律文件的起草、審查和修改,知識產權管理,重大項目法律服務,訴訟和仲裁等)的過程中適用合規規範並同時進行法律審查;合規審查則是合規管理部門開展的專門合規管理活動,但在強調全面合規審查時,更側重於行業監管規則、反腐敗、重點合規領域、熱點合規領域的合規審查。
(4)從合規審查對象來看,合規審查要求對企業經營管理的各個方面進行全面審查;法律審查的對象主要是法律實務所及範圍,如公司治理法律事務、合同法律事務、知識產權法律事務、勞動人事法律事務、重大項目法律事務、訴訟和仲裁法律事務等。
合規審查要求審查人員諳熟企業管理和業務,法律審查需要運用法律專業知識並能在法律專業領域對合規審查提供專業性支持,兩者相輔相成,協調統一,共同做好企業合規審查工作。
法律審查是合規審查最重要、最核心的部分,兩者也經常存在重疊、交叉的地方。法務合規部將企業法務與企業合規管理合二為一,更能解決這一問題。分別設立合規部與法務部的企業,則需要妥善協調處理,澄清職責邊界,避免人員、職責重疊和重複勞動。
4、審計部
企業內部審計部門是企業合規管理的第三道防線。合規審查是企業內部審計的對象和內容之一。企業內部審計部門在開展內部審計時,從審計角度對企業經營管理是否符合合規規範進行監督和檢查,原則上也具有合規審查的性質。
四、合規審查程序:如何審查?
合規審查程序類似於法律審查程序。分述如下:
1、業務部門自我合規審查
如前所述,業務部門(包括職能部門,如財務、內控、人事等部門)作為企業合規風險管理的第一道防線以及企業合規風險管理的主體,有責任對其負責的合規審查對象作自我合規審查。為鼓勵和督促業務部門的自我合規審查,宜將其列入業務部門的合規管理績效考核範疇。
對於有些合規審查對象,如企業重大決策、重大項目、重大合同、重大規章制度、合規盡職調查等,宜將合規管理部門的合規審查(尤其是法律審查)前移至項目啟動階段(如企業重大決策會議,重大項目的意向書、備忘錄、框架協議、保密協議的談判與簽署等),使合規審查貫穿項目始終,實現重大項目的事前、事中和事後的全過程合規審查。
2、提起合規審查申請
日常合規審查一般由負責合規審查對象的業務部門提起。業務部門應由其具體業務經理提起合規審查申請,註明業務部門內部合規審查情況,報業務部門負責人審批。合規審查也可以由合規管理部門主動提起,或者由審計部門或其他業務部門(如人事、財務、內控等)提起,也可以由企業董事會、監事會或管理層指令合規審查。
3、相關部門專業合規審查
合規審查申請經業務部門負責人批准後,應首先報相關業務部門(如財務、內控、人事、技術、安全環保、IT、其他相關業務部門等)作專業合規審查。
4、法律審查
企業法務部門與合規管理部合二為一的,法律審查與合規審查也可以合二為一。企業法務部門與合規管理部分別設立的,應先由法務部門作法律審查。
5、合規管理部門最終合規審查
除重大項目合規審查前移至項目啟動階段外,合規管理部門的合規審查應置於最後環節,以確保合規審查對象事先得到業務部門自身的審查以及相關部門的專業審查,發揮合規管理部門第二道防線的作用。合規管理部門開展合規審查,應包括以下步驟:
(1)確保完全理解合規審查對象的目的和內容。必要時,應與提起合規審查的部門以及其他相關部門作充分溝通協商。
(2)確定審查依據(即適用的合規規範),查詢合規風險成案。
(3)確定合規審查負責人員,進行合規審查。必要時,還應聘請外部諮詢機構(如律師事務所、會計師事務所、勞動諮詢事務所等)參與和支持。
(4)製作合規審查意見。要求對合規審查對象進行修改的,應提出修改建議,並指導合規審查申請部門進行修改。經修改的合規審查對象,須按原程序重新提起合規審查。
(5)製作合規審查記錄,將相關資料存檔。合規部門進行合規審查,“應當將出具的合規審查意見、提供的合規諮詢意見、簽署的公司文件、合規檢查工作底稿等與履行職責有關的文件、資料存檔備查,並對履行職責的情況作出記錄。”(我國證監委《證券公司和證券投資基金管理公司合規管理辦法》第十七條)
合規審查是合規管理部門的重要職責,是合規管理部門開展合規培訓的重要途徑和實戰演練,也是將合規要求融入業務部門規章和業務流程的有利途徑。
需要明確的是,合規審查的對象和內容,只限於合規審查對象是否符合合規規範,而不包括合規審查對象的專業內容(如業務、財務、技術、商務、技術、安全環保、IT等)。合規審查對象的專業內容,系業務部門和其他相關部門的專業審查範疇。
五、合規審查工具:用什麼審查?
企業合規管理信息系統(OA系統),是企業合規審查的重要工具。合規審查的各部門,應通過OA系統進行合規審查,實現合規審查的網絡化、無紙化、遠程化及高效率。
六、合規審查的獨立性
獨立性原則是企業合規管理的重要原則之一。合規審查的獨立性,是企業合規管理獨立性原則的重要內容和體現,要求合規管理部門和合規管理人員獨立履行合規審查職責,不受其他部門和人員的干涉;也要求各業務部門積極配合,不得以任何方式或藉口加以干涉或阻擾,並應當確保所提供信息真實、準確、完整(我國證監委《證券公司和證券投資基金管理公司合規管理辦法》三十二條)。
閱讀更多 匯業法律觀察 的文章
