当前,不同的人,对“合规”这个词语的认识会有很大的不同。在日常用语中,“合规”一般情况下是指“符合相关规矩、规定”。在普通专业从业者的话语体系中,“合规”与过往常用语“合法”,意思基本一致,往往会连起来表述,即“合法合规”。但是,随着有关合规管理的官方监管及指导性文件出台,从业者对“合规”的认识逐渐在趋于统一。当然,本书所说“合规”,专指“企业合规”。
1 合规的概念
目前国内“最为权威”的官方监管文件——国资委2018年11月发布的《中央企业合规管理指引(试行)》第2条规定,“本指引所称合规,是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。”个人认为,该份文件对合规的定义,虽然只适用于中央企业及其员工,但其内容完全可用于所有企业,包括民营企业、上市公司等。在本概念下,合规包括要符合法律规定(监管规定)、行业规定、企业内部规定、国际条约规定等四个层面的规定。
2018年12月,发改委等七个部委联合印发《企业境外经营合规管理指引》,第3条规定,“本指引所称合规,是指企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求”。这份文件对合规概念的阐述,与国资委发布的指引文件中的合规之概念相比,最大的区别是增加了“商业惯例、道德规范”的规定。
这不是说中央企业及其员工的经营管理行为不需要符合“商业惯例、道德规范”,而是在企业境外经营过程中,遇到的外国社会法律环境下的“商业惯例、道德规范“对于企业来说,是更为陌生的,不利后果可能是更为严重的,因此也是需要特别加以重视的。
另外,还有两份文件对“合规“进行了定义。一是代表金融机构合规管理2006年10月银监会(现为银保监会)引发的《商业银行合规风险管理指引》。该指引第三条规定,”本指引所称合规,是指使商业银行的经营活动与法律、规则和准则相一致“。所谓“法律、规则和准则”是指,“适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。”该概念体现的特点,是强调行为主体的“行为守则和职业操守”。这与金融机构对员工的自律要求体现的精神是一致的。
其他金融机构对合规的规定,基本类似。如保监会2016年12月印发的《保险公司合规管理办法》第二条规定,合规是指保险公司及其保险从业人员的保险经营管理行为应当符合法律法规、监管规定、公司内部管理制度以及诚实守信的道德准则。2020年3月经修正后印发的《证券公司和证券投资基金管理公司合规管理办法》第二条规定,本办法所称合规,是指证券基金经营机构及其工作人员的经营管理和执业行为符合法律、法规、规章及规范性文件、行业规范和自律规则、公司内部规章制度,以及行业普遍遵守的职业道德和行为准则。
二是中国国家标准化管理委员会等2017年12月发布的《GB/T 35770-2017 合规管理体系 指南》第2.17款规定,合规是履行组织的全部合规义务。在该概念体系下,合规义务包括合规要求和合规承诺,即有义务遵守和选择性性遵守的要求。国家标准对“合规”的定义,因适用场景的广泛性,其规定相对宽泛,造成了其不易被理解和掌握的特点。
2“合规”所指的主体
综合以上合规管理指引文件中对合规的概念的规定,可以看出企业合规的“主体”是企业及其员工的经营管理行为。确切地说,“合规”是针对这些行为而言的。合规就是要“使得”企业及其员工的这些经营管理行为符合某种规定。
那么,谁来“使得“呢?当然,也是企业内的人员及执行企业经营管理行为的人员集合,即各部门或工作小组或企业自身。也就是说,企业内的一部分员工和员工的组织,通过采取某种措施或手段,使得企业内全体员工的行为符合某种规定。这种规定,包括法律法规、监管规定、行业规定、内部规定以及道德规范等。
于是,“合规”所指的主体是企业及其员工的经营管理行为。虽然称之为“主体”,其实似乎更应称为“对象”。这里说的“主体”,是从“作用对象”而言的。同时,应强调,是指“企业及其员工的经营管理行为”符合某种规定,而不是企业及其员工自身,也不是企业及其员工的非经营管理行为。
企业及其员工的经营管理行为,既包括采购行为、投资行为、营销行为,也包括人力资源管理、财务管理、信息管理等行为。这些行为,均应处于法律法规、监管规定等的约束之下。在企业经营发展之中,这些行为可能越过这些约束之边界,因此需要专门的“管控行为”来规范。
3“合规”中的“规”
根据《中央企业合规管理指引(试行)》等监管文件,可以看出“合规”中的“规”是非常丰富的,而不仅是通常理解的“法规”或“规范”。综合前述几大指引或标准对合规定义,合规中的“规”可以包括法律法规、监管规定、行业准则、企业章程与规章制度、商业惯例、职业操守、道德规范、国际条约,以及具有长臂管辖效力的外国法律法规。
“合规”中的“规”可以从几个方面来认识。首先,从“作用力的大小”来看。对于企业及其员工,具有强制力的是法律法规、监管规定、国际条约、他国具有长臂管辖效力的法律法规等。不具有强制力,但如违反可能引起一定负面后果的“规”,包括商业惯例、职业操守、道德规范等。还有一种较为特殊的,处于中间地带。即企业的内部规章制度。通过一定法律程序,自身规定合法合理的企业规章制度,对于作为劳动者的员工,是具有约束力的。如企业出台的规章制度本身存在法律问题,那么其对员工的约束力是有限的,甚至是无效的。
其次,从“作用力的方向”来看。大多数“规”是企业外部的规定,包括法律法规、监管规定以及道德规范等,只有企业规章制度属于企业内部的规定。前者称为“外规”,后者称为“内规”。外规是相对固定的,但为大多数企业员工所不了解。内规则是企业可灵活制定的,更多地为员工所知晓。因此,在合规建设过程中,我们经常需要“外规内化”。
最后,还存在一些特殊的“规”。如党内法规。据法律数据库供应商“北大法宝”的统计,目前可称为党内法规的规定,已达6000多部,其数量仅比司法解释的数量稍微少一些。这些规定对于中央企业、国有企业及各企业内部的党员、党组织均具有约束力,当然构成企业经营管理行为应遵守的“规”。
4“合规”中的“合”
几大合规指引或标准文件均明确指出,“合规”中的“合”是指“符合”。“符合”是与标准、式样相一致的意思。合规中的“符合”,就是要把特定的操作行为与既定的标准进行对比,“使之符合”。
要达到“使之符合”的效果,必须运用管理控制。具体到企业活动中,这种管理控制包括激励、约束、监督、问责等方式。“合”与“规”相比,“合”的管理学属性很强,“规”的法律属性很强。这也是很多的合规人员,对合规风险的辨识有清晰的认识,但对于如何“合规”却感到困惑的原因。这是因为多数的“合规人员”,可能是学习和研究法律的,对于管理的手段和方式比较陌生。
如何“符合”,是合规管理的预防性质决定的。合规不能是事后的,一定是事前的。但是基于企业开展业务的压力,基于人性的复杂,事前的合规机制的设置往往是很难的。除非企业遇到较大的合规问题或风险,企业才会真正投入资源,将本质上属于控制的合规置于本质上希望摆脱不必要控制的业务流程之上。合规中的“合”,是合规管理中最不容易完成的部分。这需要至少三方面的因素。
一是意识方面。要“使之符合”,肯定是先问“为什么要符合”?任何一个管理行为,都是一项投入,都希望产生收益,否则不会有人从事之。在公司内作出投入决策的,是股东及其利益代表机构和人员。为什么要主动投入本来就有限的资源,使企业经营管理行为符合相关规定?这先与股东与公司高管的认识密切相关。如果他们的认识不到位,主动合规意识不强,当然很难“使之符合”。
二是能力方面。要“使之符合”,还要有“符合的能力”。如果对合规管理不了解,不具备合规的能力,那么也是很难使得企业员工经营管理行为符合相关规定。合规能力具体包括合规风险的识别能力、合规机制的设计能力、合规监督的执行能力等。
三是机制方面。要“使之符合”,最核心的是“如何符合”。如前述,“如何符合”主要是管理控制的问题。管理控制要达到的目的是防止问题的发生。这要求管理人员的思想要“往前看”,把控制措施建立在前馈而不是简单的反馈的基础上。这种前馈机制,需要一定的时间和过程,才能真正起作用。这也正是合规中的“合”之难点所在。
5 从合规概念得到的启示
虽然对合规的认识角度是多样的,但众多的合规监管文件对合规的概念的界定,基本是一致的。综上,合规的概念,事实上由三部分组成。一是合规所指的主体,是企业及其员工的经营管理行为。二是合规的“规”,是包括了四到五个层级的各项规定。三是合规的“合”,与管理控制机制密不可分。
从合规概念的第一部分,我们可以得到的启示是,合规管理建设必须深入了解企业及员工的经营管理行为。要对企业的经营管理行为进行拆解,把经营管理涉及的可能的业务模块、业务环节与业务任务等,都进行描述。这样才能准确界定企业及员工的经营管理行为,为下一步风险评估工作打下基础。这一部分工作,属于企业的业务部分。
从合规概念的第二部分,我们可以得到的启示是,合规管理必须超前地预测企业面临的所有风险,主要还是法律法规、监管规定所引发的风险。作为风险预测和评估的前提,先要进行大量的合规义务的搜索。这一部分工作,属于企业的法务部分。
从合规概念的第三部分,我们可以得到的启示是,合规管理要“使得行为符合标准”,必须借助管理手段。通过管理将合规风险予以防范和管控,是合规管理体系建设落地的必然之举。这一部分工作,属于企业的管理部分。
综合以上,我们认为合规的内涵可简化为一个公式:合规=业务+法律+管理。其中,风险的发现、控制与应对穿插于其中。进言之,合规是一个对业务进行了解,对法规进行匹配,对管控进行执行的综合过程。
作|者|介|绍
陶光辉律师
北京德和衡律师事务所高级合伙人,德衡律师集团副总裁,全球中国企业法务协会秘书长
仲裁员,高级经济师,上市公司独立董事资格,大连大学法学院客座教授,北大全球高端法商人才计划未来领袖班授课专家,中国人民大学企业法治研究所兼职研究员,青岛仲裁委互联网仲裁院副院长,北京市律师协会企业法律顾问专业委员会副主任
著《公司法务部》《法务之道》《合规管理十论》,论文《以合规管理为核心的企业法治运行》发表于《北京律师》2021年第2期
曾获ALB2016年中国最佳总法律顾问称号,2020年度北京朝阳律师协会优秀共产党员称号
为数百位央企、国企的法务、合规人员提供合规管理体系建设的培训和咨询服务
————————— 课程推荐 —————————
法律合规大风控管理体系构建暨法务合规内控风险一体化管理高级研修班
课程内容
第一天上午:法律合规大风险管理体系构建及一体化管理的基础:思维方式与各自侧重
1.法务合规内控与风险的不同思维方式
2.法务合规内控与风险的不同工作模块
3.法务合规内控与风险的工作竞合与边界难题
4.从风险视角看法务、合规、内控与风险的不同之处
5.对法务合规内控与风险整合的现行三种说法集合
6.对法律合规大风控管理体系的最新理解
第一天下午:法务管理的最佳运作与合规管理体系建设流程:基于效率与底线管理
1.法务管理目标与工作场景
2.法务价值提升的七个关键动作
3.合规管理基础与合规管理体系五系统
4.合规管理体系建设流程(经典九步法)
5.合规风险评估与合规管理手册编制
6.从法务到合规(法务1和法务2)
第二天上午:内控框架的搭建与全面风险管理体系建设:相互制衡与风险能力
1.内控风险与合规风险之根本区别:基于目标
2.内部控制五要素与内控框架的搭建及其成果体现
3.流程梳理与内控缺陷识别与内控矩阵
4.风险(不确定性)的来源、分类与应对策略
5.全面风险管理体系建设的逻辑与流程:从顶层设计到岗位管控
6.内部控制的局限与风险管理的失效
第二天下午:法律合规大风险管理体系构建及一体化管理的路径:高阶架构与风险三重防范
1.一体化管理体系建设的在先案例与思路启发
2.基于高阶架构的法务合规内控风险协同运行
3.基于风险三道线的法务合规内控风险一体化管理
4.法律合规大风控管理体系及一体化管理的案例
5.法律合规大风控管理体系建设过程中的主线
6.风险管理工作的最终价值观:效率、合规与风控并行
课程收益
1. 获得主办方颁发的培训证书。
2. 获得与课程相关的课件资料等。
3. 获得与优秀同行进行线下交流、专业探讨的机会。
课程时间与地点
课程时间:2021年7月31日-8月1日(两天)
课程地点:西安(5星酒店,具体地址,另行通知)
报名方式
如您对企业法务与合规的培训、咨询等感兴趣,可加“一法”官方微信crocso,将有专人为您提供优质服务。
课程讲师
陶光辉,企业合规管理实务培训与咨询集大成者。
现任职务:北京德和衡律师事务所高级合伙人,北京大学全球高端法商人才计划未来领袖授课专家,大连大学法学院客座教授等。
职业资格:律师,仲裁员,高级经济师,同时拥有上市公司独立董事资格、企业管理咨询师资格、证券/期货从业人员资格等。
职业经历:武汉大学法学硕士,前后18年企业法律工作经验。其中,8年企业法务经历,曾任中国100强集团法务总监,获ALB2016中国最佳企业总法律顾问称号;3年法律创业经历,系知名法务教育平台(一法网)的创始人;7年执业律师经历,现任德衡律师集团副总裁。
学术成果:著有《公司法务部》(法律出版社)、《法务之道》(中国法制出版社)、《合规管理十论》(内部出版)。在合规管理体系建设领域,陶律师创建“DHH合规内控风险一体化建设五环模型”。
服务客户:中广核新能源、中国新时代、中国兵器、中国纸业、中交规院、河钢集团、泰康健投、京煤集团、长城汽车、北京供销社、北京昌平国资委、北京建工、北京地铁、上海企业法律顾问协会、潍柴集团、华为、中兴通讯、上海铁路局、上海杨浦国资委、青岛地铁、青岛港、银川建发、华润集团、国网江西电力、桂林交投、深圳投资控股、深圳航空、聊城信发、甘肃地矿、北京大学法学院、中国政法大学网络学院、上海海关学院、北京联合大学法学院等。