一个标准、完整的合规计划,以不合规行为发生为线索,可以区分为事前、事中和事后三个部分,即合规计划的三大支柱。
第一支柱: 认识—确定—结构化。所谓认识,即对未来可能发生风险的识别和评估。风险识别建立在过去经验的基础之上,面向现在以及战略方向中的风险。随着经济全球化的发展,这种风险既包括国内法产生的风险,也包括外国法带来的风险。尤其是,很多国家都在效仿美国《反海外腐败法》以及《萨班斯法案》,试图通过长臂管辖将全球企业纳入其效力范围。例如,《欧盟通用数据保护条例》( GD- PR) 第 3 条就明确将欧盟范围外的它国企业纳入管辖范围,只要存在最低限度的连接点,即 “无论是否存在对价,只要为欧盟范围内的数据主体提供商品或服务”,就受到 GDPR 的管辖。这也就可以理解为什么美国以中兴通讯公司违反其对伊朗的禁运规定为由,制裁中兴公司。需要特别强调的是,无论外国法的某种规定是否合理,或者单纯属于政治性立法,对于政治无涉的营业主体而言,都应当遵守这些规定,否则可能面临更大风险。所谓确定,即以风险识别和评估为基础,以书面形式确定需要遵守的规定与企业价值,尤其需要强调企业文化价值对人的行为潜移默化的影响。这也是《境外合规指引》第 29 条、第 30 条强调合规文化的价值所在。所谓结构化,是指创造合规组织。合规组织因企业大小、性质有所差异。对于规模较小的企业而言,合规可以由个别人来实现,例如经理或董事; 对于规模较大的企业而言,分工明确的专门化组织是必须的。
合规是企业整个领导层的集体义务,诸如确立合规守则之类的决定只能由领导集体做出,不可委派给他人。与之相反,在企业运营中,可从领导层中选出一位合规负责人,其作为合规问题最高负责人和联络人,负责向整个领导层报告合规问题并为相应决议做准备。此外,还需要建立一个独立于企业其他部门的合规部门,该部门包括一个独立的部门领导,即首席合规官。在股份有限公司中,首席合规官的主要工作在于对企业董事会负责,或必要时对董事长负责。在该部门中还有一些专门的工作人员,即合规官。在企业运营过程中,他们需要具体落实合规任务。该部门及其雇员的任务、主管领域、权限需要明晰界定。根据企业组织和规模大小的不同,企业还可以在各个分区设立区域合规部、分部等。无论如何设立企业合规部门,关键在于合规组织可以切实落实整个企业的合规指标,而要实现这一点,需为合规组织保证充足的人力与物质资源,最重要的是,足够的独立性和权威。
第二支柱: 传达—促进—组 织。所谓传达,即将纸面的合规标准传达给员工。传达的形式是灵活的,包括公布员工守则以及围绕行为准则进行的相关培训,使合规标准深入员工。必要时,可以采取问题反馈、问卷等形式定期检测,了解合规标准的传达是否有效,进而采取相应弥补措施。所谓促进,即促进对合规计划的遵守。为此,个别化的措施是必要的。
首先,最重要是领导层对合规规定的承诺,并且将这种承诺体现在企业经营管理与领导决策之中。其次,帮助员工实现守法的特别措施。例 如,通过合规咨询处、专线等方式使员工随时了解到业务运行中的合规标准。最后,可以将合规引入人事管理。例如,根据不同的岗位涉及的风险大小以及员工的合规表现进行岗位的分配和调整; 改变唯业绩论的传统,将合规表现引入薪酬结构,培育员工的合规意识。所谓组织,即实现合规流程化的组织性措施。归结起来说,流程化的组织性措施包括两个信息流,即自上而下的信息流和自下而上的信息流。自上而下的信息流依赖于合规检查,即通过定期与不定期相结合的方式,了解合规情况,促进合规计划的遵守; 自下而上的信息流依赖于合规报告,即在责任清单的基础之上,各负其责,发现了自己责任领域内的合规问题,及时向上反馈合规信息。对于领导层而言,由于其职位高,受到的监控较少,可以采取特别措施,包括明确的职能分工、风险领域严格的信息分流以及定期向合规委员会报告等。如果能保证企业内两种信息流的正常流通,那么就能实现合规经营。
第三支柱: 反应—制裁—改进。所谓反应,即违规行为发生后,及时展开内部调查。所谓制裁,即确立制裁标准,对于违规行为加以制裁,以实现特殊预防与一般预防的目的。在反应和制裁之后,还应当针对出现的问题,重新审视合规系统,找出问题加以改进,避免类似行为再次发生。
摘自:李本灿《企业视角下的合规计划建构方法》,载《法学杂志》2020年第7期
第一支柱: 认识—确定—结构化。所谓认识,即对未来可能发生风险的识别和评估。风险识别建立在过去经验的基础之上,面向现在以及战略方向中的风险。随着经济全球化的发展,这种风险既包括国内法产生的风险,也包括外国法带来的风险。尤其是,很多国家都在效仿美国《反海外腐败法》以及《萨班斯法案》,试图通过长臂管辖将全球企业纳入其效力范围。例如,《欧盟通用数据保护条例》( GD- PR) 第 3 条就明确将欧盟范围外的它国企业纳入管辖范围,只要存在最低限度的连接点,即 “无论是否存在对价,只要为欧盟范围内的数据主体提供商品或服务”,就受到 GDPR 的管辖。这也就可以理解为什么美国以中兴通讯公司违反其对伊朗的禁运规定为由,制裁中兴公司。需要特别强调的是,无论外国法的某种规定是否合理,或者单纯属于政治性立法,对于政治无涉的营业主体而言,都应当遵守这些规定,否则可能面临更大风险。所谓确定,即以风险识别和评估为基础,以书面形式确定需要遵守的规定与企业价值,尤其需要强调企业文化价值对人的行为潜移默化的影响。这也是《境外合规指引》第 29 条、第 30 条强调合规文化的价值所在。所谓结构化,是指创造合规组织。合规组织因企业大小、性质有所差异。对于规模较小的企业而言,合规可以由个别人来实现,例如经理或董事; 对于规模较大的企业而言,分工明确的专门化组织是必须的。
合规是企业整个领导层的集体义务,诸如确立合规守则之类的决定只能由领导集体做出,不可委派给他人。与之相反,在企业运营中,可从领导层中选出一位合规负责人,其作为合规问题最高负责人和联络人,负责向整个领导层报告合规问题并为相应决议做准备。此外,还需要建立一个独立于企业其他部门的合规部门,该部门包括一个独立的部门领导,即首席合规官。在股份有限公司中,首席合规官的主要工作在于对企业董事会负责,或必要时对董事长负责。在该部门中还有一些专门的工作人员,即合规官。在企业运营过程中,他们需要具体落实合规任务。该部门及其雇员的任务、主管领域、权限需要明晰界定。根据企业组织和规模大小的不同,企业还可以在各个分区设立区域合规部、分部等。无论如何设立企业合规部门,关键在于合规组织可以切实落实整个企业的合规指标,而要实现这一点,需为合规组织保证充足的人力与物质资源,最重要的是,足够的独立性和权威。
第二支柱: 传达—促进—组 织。所谓传达,即将纸面的合规标准传达给员工。传达的形式是灵活的,包括公布员工守则以及围绕行为准则进行的相关培训,使合规标准深入员工。必要时,可以采取问题反馈、问卷等形式定期检测,了解合规标准的传达是否有效,进而采取相应弥补措施。所谓促进,即促进对合规计划的遵守。为此,个别化的措施是必要的。
首先,最重要是领导层对合规规定的承诺,并且将这种承诺体现在企业经营管理与领导决策之中。其次,帮助员工实现守法的特别措施。例 如,通过合规咨询处、专线等方式使员工随时了解到业务运行中的合规标准。最后,可以将合规引入人事管理。例如,根据不同的岗位涉及的风险大小以及员工的合规表现进行岗位的分配和调整; 改变唯业绩论的传统,将合规表现引入薪酬结构,培育员工的合规意识。所谓组织,即实现合规流程化的组织性措施。归结起来说,流程化的组织性措施包括两个信息流,即自上而下的信息流和自下而上的信息流。自上而下的信息流依赖于合规检查,即通过定期与不定期相结合的方式,了解合规情况,促进合规计划的遵守; 自下而上的信息流依赖于合规报告,即在责任清单的基础之上,各负其责,发现了自己责任领域内的合规问题,及时向上反馈合规信息。对于领导层而言,由于其职位高,受到的监控较少,可以采取特别措施,包括明确的职能分工、风险领域严格的信息分流以及定期向合规委员会报告等。如果能保证企业内两种信息流的正常流通,那么就能实现合规经营。
第三支柱: 反应—制裁—改进。所谓反应,即违规行为发生后,及时展开内部调查。所谓制裁,即确立制裁标准,对于违规行为加以制裁,以实现特殊预防与一般预防的目的。在反应和制裁之后,还应当针对出现的问题,重新审视合规系统,找出问题加以改进,避免类似行为再次发生。
摘自:李本灿《企业视角下的合规计划建构方法》,载《法学杂志》2020年第7期
