施俊侃:上市公司与拟上市公司合规指引(下)施俊侃 深圳市蓝海大湾区法律服务研究院合规委员会主任、咨询委员会委员,信达律师事务所合规与监管委员会主任。 作者按 亲爱的读者朋友,在《合规不起诉制度初探》一文中,我们分析了政府通过深入探索与实践合规不起诉制度,以推动企业合规经营管理的决心。根据合规不起诉制度,涉嫌犯有轻微刑事罪行的企业可以通过建立合规体系进行合规经营,避免被刑事起诉。那么,企业应当如何合规呢?特别是大型企业如上市公司或拟上市公司有哪些具体的合规需求?为此,我们在深圳市宝安区工信局和深圳市宝安区上市企业协会的倡议下,撰写《上市公司与拟上市公司合规指引》一文,为上市公司与拟上市公司提供重点领域的具体合规指引,为企业合规经营保驾护航。 本文接受倡议而着手起草于七个星期之前,很荣幸深圳市宝安区工信局的领导邀请国内著名的合规专家王志乐教授对我们的草稿提供宝贵的意见和指导,我们先后做了三轮的修订。我今天(6月20日)再修改的时候感触良多。我的感触主要是三方面:(1)合规对于我们的国家和企业的重要性和紧迫性从国家的政策文件和企业在国内外碰到的合规案件中均已体现。企业合规工作既是企业内部管理的核心工作,也是企业进一步防范与规避外部风险的有效举措,其重要性不言而喻,但我们国家的合规人才匮乏,需要大力培养合规人才,这个可能需要长达十年以上的时间,需要各方久久为功;(2)合规作为一项实操型业务,很容易陷入“纸上谈兵”的境地。仅仅将国内外合规文件进行书面翻译和汇总是远远不够的,企业应根据自身发展规模、业务类型和领域等,合理分配人员及预算来有效搭建合规体系,尽早防范合规风险,而不是被动地应对合规审查;(3)在我28年的法律实务经验中,我经历和/或处理过不少的合规案件:比如我2001年到2006年在北电网络担任中国区法律部主管,亲历北电网络因财务和会计的合规问题(当然还有其他综合的外部和内部因素)导致这个全球最大的电信设备生产之一的跨国企业最终于2009年申请破产结局,这个对我来讲是个非常谦卑的经验(humbling experience),我本来是并购和投资领域的律师,我亲眼看到合规的问题可以使到北电网络这个百年的企业沦落到申请破产的境地,北电网络股价最高峰是2000年7月份124.5加拿大元一股,2009年1月份申请破产时候的股价是39仙加拿大元一股,股东们的投资都打水漂了,我的期权也变了“墙纸”(没有用的废纸)。所以2006年我内心立了一个小小的心愿,我想成为一个合规的律师,当我在2006年9月份加入埃森哲成为其大中华区的法律总监的时候,我致力于合规体系的搭建,我在埃森哲13年(2006年-2019年)期间主要的工作就是合规和风控来赋能业务增长和帮助企业行稳致远,因为北电网络的谦卑经验(前车可鉴!),使我处理合规事务时永远抱着如临深渊、如履薄冰的态度。埃森哲自2007年至今连续13年成为合规的典范,埃森哲得到Ethisphere 连续13年World’s Most Ethical Companies®的嘉许。曾作为埃森哲亚太区域法律部董事总经理兼大中华区法律部董事总经理以及埃森哲全球法律部的领导成员之一,我非常荣幸可以参与合规的工作和见证埃森哲在合规方面的成就。埃森哲的股价从2001年7月19日的14.5美元一股升到2021年6月18日281.25美元一股,涨了约19倍,当然这个是综合因素,但我们内部认为埃森哲的合规体系是“居功巨伟”的。我在埃森哲大中华区除了担任法律部的董事总经理,还担任了埃森哲中国所有法律主体的董事长和法人代表(自2016年4月份至2019年1月份),所以我是用律师的视角和企业管理者以及企业家的视角来看待和处理合规项目和案件的。面对内地合规意识淡薄、专业合规人才匮乏、企业合规投入少等问题,我希望自己能以多年的合规实操经验为提升企业合规意识和合规实操能力尽绵薄之力,也希望本文起到抛砖引玉的作用,大家一起探讨和学习合规的方方面面。 【注:《上市公司与拟上市公司合规指引》分为两部分推送,本期推送该指引的第二部分。读者可以点击文末“阅读原文”获得具体合规表单,了解实操内容。】 四、企业重点领域合规指引 通常而言,根据企业运营所涉及的不同领域和不同环节,企业合规的重点领域主要包括反商业贿赂与反腐败合规、网络安全与数据保护合规、出口管制和制裁合规、市场准入合规、反洗钱合规、反不正当竞争合规、反垄断合规等方面。为使企业在上述重点领域合规运营,企业应当首先遵守合规的基本原则,并同时遵守其在各个重点领域的具体合规要求。 首先,上市公司和拟上市公司在进入境内外资本市场的时候,应掌握以下合规基本原则:[1] 第一,树立风险意识。企业的管理层及员工应当意识到风险无处不在,尤其是在境外上市中,应当有意识地了解他国规范及处罚措施。此外,为强化合规的风险意识,《中央企业合规管理指引(试行)》第四章要求企业应当建立合规风险识别预警机制,对其经营管理活动中存在的合规风险进行识别与评估,同时对风险发生的可能性、影响程度、潜在后果等进行系统分析。此外,对于典型性、普遍性和可能产生较严重后果的风险,应当及时发布预警,以避免造成更大的损失。 第二,培育合规文化。恪守诚信和商业道德及遵守法律法规是良好合规文化的核心,也是合规风险防范的基础和保证,还是企业与客户、供应商、投资人、渠道合作伙伴以及所在社区的关系基础。根据《企业境外经营合规管理指引》第八章的要求,合规文化应作为企业文化建设的重要内容,这意味合规文化不仅应在企业内部进行传播,企业也应当将合规文化传递至利益相关方。企业决策层和管理层应确立企业合规理念,注重身体力行,践行合法合规、诚信经营的价值观,不断增强员工的合规意识和行为自觉,营造依规办事、按章操作的文化氛围。 第三,建章立制。企业应当制定一套完整的合规政策和合规制度,包括公司指导方针、员工业务行为准则、客户准则、业务合作伙伴准则、业务指引等,涵盖基本合规风险管理、员工风险管理、客户风险管理、商业伙伴风险管理、广告/公关风险管理、反垄断/反不正当竞争行为风险管理、出口管制风险管理、反腐败/反商业贿赂风险管理等方面。并辅助建立文件审批流程、进出口筛查流程、数据记录及管理流程等。 第四,专员负责。企业应当设立由公司“第一把手”直属的专门合规管理机构,如合规委员会,或指定相关部门如法律部、审计部、财务部等专员负责合规管理。由公司首席诚信和合规官领导各级合规官统筹规划安排合规工作,并负责合规培训、合规行为准则制定、投诉与举报热线、合规调查以及奖惩和纠错的执行。 第五,保持合规制度的开放性和弹性。合规制度依赖于各国合规政策的调整,因此合规管理机构应当定期跟踪各国合规政策,及时更新相关数据及合规准则。 其次,对上述重点领域的不同合规要求,分述如下:[2] (1)在反商业贿赂与反腐败领域,合规的核心要求包括企业内部设立反商业贿赂规则和会计制度。反商业贿赂规则禁止个人或企业为了获取不正当优势以取得或保留商业机会,向公职人员行贿。而会计规则则要求企业保存准确的账簿和记录,并设立完善的财务内控制度。 结合反腐败和反商业贿赂合规国际实践,企业反商业贿赂合规制度的关键环节包括:风险识别和风险评估à管理层参与和承诺à合规部门或合规人员设置à反腐败政策制定à一般行为准则和程序制定à第三方调查、内部调查à培训、奖惩和举报à改进等,针对上述内容的分析如下: 其一,风险识别和风险评估。企业的合规管理制度应当与企业的风险相匹配,因此需要企业对自身面临的风险进行充分识别和排序。根据英国政府的建议,有关腐败和贿赂的风险识别和评估需要从多方面进行评估,包括国家风险(如企业或客户是否处于腐败高发领域等)、行业风险(如企业或客户所处行业是否涉及自然资源生产行业、大规模基础设施建设行业等高风险行业)、交易风险(如交易是否涉及政府官员、政府采购等)、合作伙伴风险(如合作伙伴是否使用中间商)及企业内部风险(如企业是否提供反腐败培训)等。如果企业经过评估,发现贿赂和腐败的风险较高,则该企业需要针对风险集中领域采取相应的防控措施。 其二,管理层参与和承诺。管理层的参与首先体现在对反商业贿赂的承诺,并且该承诺应当发布在公开渠道供员工了解和查询(比如发布于公司内网、员工行为手册之上)。管理层应在不同的重要场合(如公司年会、年度业绩报告会等)声明反商业贿赂的重要性,以此传达管理层对反商业贿赂的重视、塑造企业合规文化。 其三,合规部门或合规人员设置。合规团队的设置大体上有两种安排,一种是在法律团队中设置,名称多为法律合规部,也有风险管理部、风险控制部/委员会、内部控制部/委员会。另一种是与法律团队并列,为独立的团队,但最终都向主管法律事务的副总裁汇报。合规部门的设置可以有多种方式,但需要保证合规部门或负责人的独立以及充分的资源支持。 其四,公司反腐败与反商业贿赂政策的制定。公司制定的反腐败与反商业贿赂政策,需说明政策制定的目的,声明对腐败和贿赂的零容忍态度,并纳入具体的行为准则、反商业贿赂和反腐败的主要制度。例如,疏通费,礼品,商务宴请和招待,政治献金,社区参与、赞助和慈善事业,使用第三方等,这些是反商业贿赂的关键内容。建议企业可以参照境内外法律法规(如刑法规范、反不正当竞争法及相关规定等)的规定,结合自身实际情况加以制定。 其五,第三方调查。完整的第三方调查应遵循以下四个步骤,即风险评估、第三方调查、采取措施和监督保障。具体而言,风险评估的内容主要包括第三方是否为公职人员以及是否可能与公职人员打交道。而第三方调查主要的关注点在于第三方的股权结构、能力、公共记录资源(腐败记录或不利新闻报道)、商誉(商务引荐)、道德和合规制度等。调查结束后,企业需要对所识别的风险进行标记,并采取相应的应对措施,例如对第三方进行监督以及在合同中加入反腐败条款等。 (2)网络安全与数据保护合规主要涉及个人信息保护方面,即企业在收集个人信息时,应有正当目的,且仅收集一切与数据处理目的相关的必要数据;将收集到的数据进行存储,采用合理技术保证数据的完整性和保密性;同时,企业应当以合法合理和透明的方式来处理个人数据。具体来说,网络安全与数据保护合规的具体实操要求主要包括以下两点。[3] 其一,一般而言,企业在收集个人信息时应遵循知情同意原则、最小收集原则、合法性原则、公开透明原则以及完整性和保密性原则。这就要求,企业在收集个人信息的过程中,应当获得信息主体的明示同意,并在最小范围内合法地收集所需信息;同时企业还应当确保所收集信息对于信息主体的公开性和透明性,并将所收集信息保存并予以保密。 其二,信息收集者收集信息时,应履行的义务包括说明与提示义务、合理使用信息的义务、对所收集信息使用进行合理注意的义务以及侵权发生后的补救义务。具体而言,企业在收集个人信息时,应首先进行说明与提示,以合理的方式使用所收集信息并对所收集信息进行对应的监管等。 (3)出口管制和制裁合规,即要求企业所有涉及世界上任何国家和地区、其他企业、产品和原材料、终端用途的出口活动,都应当遵守所有适用的有关出口管制的法律、法规和其他规定等要求。 中国企业在进行出口管制与制裁合规的建设时,首先应当开展出口管制与制裁合规体检。出口管制与制裁合规体检可以为企业的制裁合规现状精准画像,从而定制适合自己的制裁合规体系。出口管制与制裁合规体检主要包括企业基本情况摸底、风险评估、企业出口管制与制裁合规体系的有效性评估、制裁合规历史等方面。 此外,在完成出口管制与制裁合规体检后,企业应当对其业务运营中的进行识别、预防与治疗。出口管制与制裁合规体检的目的是为了掌握企业的合规现状,找出薄弱环节对症下药。对于出口管制与制裁风险较高的,宜早搭建或完善自己的制裁合规体系。出口管制与制裁合规体系所应具备的最基本的五要素,即管理层承诺、风险评估、内部控制、测试与审计、培训。 (4)随着“一带一路”倡议的稳步推进,中资企业对外投资的力度不断加大,市场准入合规将成为企业走出去所应关注的重要内容。市场准入合规要求企业在对外国进行投资前,应首先深入了解和遵守目标国关于市场准入和国家安全审查的法律法规和相关政策等要求,例如目标国对于不同行业设置的外资准入门槛等,以免遭受主管机构的处罚并导致巨额损失。其次,企业在对外国投资前,还应了解该外国对外资进入投资行业的规定或相关指南,以对自己的投资有初步的了解与认知。最后,在了解市场准入法律法规以及投资行业的相关合规要求之后,企业在进行投资前,还应明确其具体的投资方式,例如企业可以选择通过直接投资(例如设立公司、合伙企业等)、跨国并购、股权并购的方式进行投资,也可以通过建设-经营-转让 (Build-Operate-Transfer, BOT)、政府和社会资本合作(Public-Private Partnership, PPP)的方式在外国进行投资。[4] (5)反不正当竞争合规要求企业在处理与竞争对手、供应商、经销商和客户的关系时应当谨慎,不能限制或排除竞争、不能采取诸如固定价格、分割市场、分配客户、联合抵制交易、协议限制产量、串通投标等行为。同时对于已经处于市场主导地位的企业,禁止滥用市场支配地位限制竞争。[5] 应当指出的是,上述内容仅是我们针对关键合规领域所总结的实操要求,除此之外,相关企业仍需要关注反洗钱合规、反垄断合规、知识产权与商业秘密合规等相关合规领域的具体合规要求。 五、上市公司与拟上市公司在关联交易和信息披露方面的合规要求 上市公司与拟上市公司是我国经济发展中的关键主体,因此两者的合规经营对于促进我国经济的健康发展至关重要。本部分主要介绍上市公司与拟上市公司在关联交易方面的具体合规要求,以及上市公司的信息披露合规要求。 (1)在上市公司的关联交易方面,合规的核心要求为公司的控股股东、实际控制人、董事、监事、高级管理人员等关联人不得利用其关联关系损害公司利益。通常而言,关联人主要包括关联法人和关联自然人,而关联交易主要是指上市公司或者其控股子公司与上市公司关联人之间发生的可能导致转移资源或者义务的事项。此外,为确保上市公司关联交易合规,上市公司的关联交易应当依照《中华人民共和国证券法》《中华人民共和国公司法》《上市公司信息披露管理办法》《上市公司治理准则》等法律法规及证券交易所发布的规则、指引等规范性文件的有关规定,合法合规进行关联交易、严格履行决策程序和信息披露义务。 而对于拟上市公司而言,其进行关联交易时的合规要求主要是指拟上市公司应完整披露关联方关系并按重要性原则恰当披露关联交易,关联交易价格应公允,不得存在通过关联交易操纵利润的情形,也不得存在严重影响独立性或者显失公平的关联交易。拟上市公司应参照上市公司相关规定及《企业会计准则——关联方关系及其交易的披露》的规定认定关联方及关联交易。 (2)上市公司在信息披露方面的合规要求主要是指信息披露义务人应当及时依法履行信息披露义务,且其所披露的信息应当真实、准确、完整,简明清晰,通俗易懂,不得有虚假记载、误导性陈述或者重大遗漏。近几年,我国资本市场正在进行的注册制改革,更加强调信息披露的重要性。关于上市公司信息披露的合规要求,应主要把握以下几点:(1)信息披露义务人,包括上市公司及其董事、监事、高级管理人员、股东、实际控制人等重大交易相关人员;(2)信息披露文件包括定期报告、临时报告、招股说明书、募集说明书、上市公告书、收购报告书等。(3)上市公司应制定信息披露事务管理制度,明确应披露的信息,董事、监事和高级管理人员的披露职责等内容。 六、企业合规体系的搭建 企业合规经营的关键支柱在于合规体系之搭建。要使合规管理形成企业经营的“防火墙”,保护企业免受因合规风险所带来的严重影响或重大损失,企业应当根据其行业特点和经营管理模式搭建针对性的合规体系。而一个行之有效的合规体系搭建,离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分。[6]具体而言: 第一,企业应制定合理的制度和程序,其作为企业合规体系的核心,是企业所有员工履行职责的基本要求。主要分为以下四方面:(1)企业行为准则,这是企业经营管理和文化建设的纲领性文件,包括企业愿景、使命、核心价值观、合规方针、社会责任等方面;(2)企业合规管理制度,这是企业合规部门进行合规管理的程序性规章制度,包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面;(3)职能部门管理规章,企业不同的职能部门涉及到不同的合规规范的执行与遵守,例如,管理、财务、人事行政、法务、内控等部门均有相对应的合规规范;(4)业务合规流程,企业各业务领域涉及不同的合规规范,例如传统的业务合规流程、网络安全合规流程、产品合规流程、跨境电商领域合规等,具备较强的专业性,往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。 第二,企业合规运作应有高层的参与,形成较为成熟的合规组织体系。[7]高层参与能够使企业形成上下连贯的合规组织结构,如公司自上而下设立合规委员会、分支机构和职能部门中的合规部门,合规部门直接向公司合规委员会和首席合规官汇报。这样能够确保企业管理层及时识别合规风险并采取应对措施。 第三,企业应建立合规的防范体系,包括风险评估、尽职调查以及培训与沟通。[8]防范体系针对可能存在的合规风险采取预防性措施,具体而言:(1)风险评估,即定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如,在投融资或收购项目中,企业需要对该项目进行合规风险评估,评估结果作为决策参考,降低企业风险;(2)尽职调查,即合规部门针对已存在的合规风险进行调查和研究,形成合规风险报告,并研究制定和实施降低风险的措施;(3)培训与沟通,企业需要定期组织培训和沟通,一方面能够确保员工了解最新的法律法规、监管规定、企业内部规章制度等方面内容;另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通,使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工,形成合规文化。 第四,企业应建立合规监控体系,包括监督与审核。[9]监督是指企业的高层管理者或员工在进行业务活动时,都应在其职责范围内进行可持续的管理与监督,检查每一项业务活动是否存在违规行为。审核是指企业的合规部门与审计部门相互独立地对企业活动中的违规行为进行审查,确保企业的合规体系在全球各地得到了良好的贯彻执行。 七、结语 在全球化背景下,企业之间的竞争已进入到全球价值链竞争的时代,企业合规在国内和国际环境下的重要性日益突出。随着中国经济的快速发展,企业竞争日益激烈,为创建有序运作的市场环境,中国政府对于企业合规性的审查与监管愈加严格。与此同时,欧美及亚洲等多个国家与地区对企业合规提出更加严格的要求,合规已成为跨国企业、国有企业以及大中小型民营企业运作管理中的核心议题。 前期的合规投入以及合规体系的建立能够使企业在以后的运营中降低潜在的合规风险,并有效处理和应对那些可能对企业造成重大损失的风险事件,助力企业业务的稳步增长及业务运营的行稳致远。上市公司和拟上市公司应留意合规不起诉的发展并搭建一个与其业务性质和经营管理相适应的合规体系。我们希望本文能够引起上市公司与拟上市公司建立合规制度的重视,为公司建立相应的合规体系提供指引。 注释: [1] 深圳市蓝海法律查明与商事调解中心:《中国企业出口合规指南》,第68-70页。 [2] 深圳市蓝海法律查明与商事调解中心:《中国企业走出去法律风险控制实务指南》,第120-130页。 [3] 深圳市蓝海法律查明与商事调解中心:《“一带一路”法律库建设调研之分课题三:数据和隐私合规指南》,第165-190页。 [4] 深圳市蓝海法律查明与商事调解中心:《“一带一路”法律库建设调研之分课题三:数据和隐私合规指南》,第165-190页。 [5] 深圳市蓝海法律查明与商事调解中心:《企业走出去法律风险控制建议》,第31-34页。 [6] 陈瑞华:《企业合规制度的三个维度——比较法视野下的分析》,《比较法研究》2019年第3期,第64-65页。 [7] 同上注。 [8] 同上注。 [9] 同上注。 延伸阅读 企业合规工作既是企业内部管理的核心工作,也是企业进一步防范与规避外部风险的有效举措,其重要性不言而喻。自2016年起,在深圳市司法局指导下,深圳市蓝海大湾区法律服务研究院和深圳市蓝海法律查明和商事调解中心联合域内外专家开展海外合规系列课题研究,完成《企业合规指南》《企业海外知识产权管理和商业秘密保护》《企业走出去法律风险控制建议》《数据和隐私合规指南》《市场准入合规指南》《香港法律查明指南》等十二项重大课题;深圳市蓝海法律查明和商事调解中心于2019年获法制日报社评选的第二届“一带一路·合规之路”优秀法律服务案例。2019-2021年,深圳市蓝海大湾区法律服务研究院连续三年受深圳市南山区司法局委托,为南山区“走出去”重点企业提供深度调研、问卷、访谈等多种形式的合规体检服务,对企业可能遇到的合规问题进行风险提示并提出解决建议。 |