第三节 合规风险及其中国化
合规风险是风险领域的另一种风险划分方式,但讨论起来有些复杂。因为它的产生初衷本是由美国政府主导的针对企业经营活动的反腐败行为,但随着其功能的扩大、要求的增多,它逐渐成为企业内部以反腐败为主的主动管理行为。而当这一理论到了中国,又发展成为包括但不限于法律风险管理的管理理念,并由政府部门推动实施,反腐败反而并非其重点。
一、“合规”在美国的发起
合规风险(Compliance Risk)一词源自20世纪美国对于企业合规管理的要求,原指各类违规行为带来的风险,但随着反腐败风潮的国际化以及银行业的推动,在其大力发展的过程中,内涵也在不断地发生变化。
(一)《反海外腐败法》
“合规”源自英文compliance,有遵从、服从、符合之意。从字面上理解,有要求企业依法行事之意。但如今的合规早已不仅仅是依法行事,还加入了行业规范、内部规章制度、道德规范等。而其最早的发起,却是政府的反腐败要求。
早在1977年,美国颁布了《反海外腐败法》(Foreign Corrupt Practices Act,简称FCPA,也有译为《反海外贿赂法》)。[9]作为一部联邦法律,其主要内容有两项,即反贿赂要求和账目条款要求。该法的主旨是规定美国的个人或证券发行商通过支付国外政府官员来获得或保持业务,或使任何其他人获得业务,否则均为非法行为。
这部法律的适用对象包括与美国有一定程度的关联且参与了在美国以外腐败行为的任何个人,同时也适用于任何美国公司或在美国进行证券交易的海外公司,以及任何促进海外腐败行为的美国国民、公民及居民,而不论他(她)们是否身在美国。
其适用的行为,包括任何向海外官员、候选人或政党等提供的不当支付,包括货币支付或任何有价值之物的支付,只要该支付最终形成对政府官员的贿赂。海外政府官员的定义非常宽泛,包括向海外官员拥有的企业支付、向政府所辖医院的医生支付,甚至包括政府所辖企业或机构的职员以及国际组织的雇员。
同时,该法还要求在美国上市的公司遵守为制止海外反贿赂行为而配套设计的相关会计规定,包括凡是受该法案管辖的公司必须准确地记录和保存账目且账目应诚实反映公司的交易。
除此之外,该会计规定还要求公司设计并维护足够的内部会计控制系统,许多企业对于内控系统的重视,盖发源于此。
(二)《针对组织机构的联邦量刑指南》[10]
1991年11月1日,作为对《量刑改革法案》的延伸,美国联邦量刑委员会的《针对组织机构的联邦量刑指南》(The Federal Sentencing Guidelines for Organizations,简称FSGO)作为一套联邦法官对犯有联邦罪行的组织量刑时的指导性标准得以颁布,明确把组织的合规及道德计划作为判刑的依据。2004年,该委员会修正了该指南,使得合规和道德计划的标准更为严厉。
根据该委员会官方网站对于这份指南的概览“Overview of the Organizational Guidelines”介绍,“组织量刑指南(适用于公司、合伙、工会、养老基金、信托、非营利实体、政府单位)经过数年的听证和分析,于1991年11月1日生效。这些指南被设计用于促进量刑中的两个关键用途:公平处罚和威慑。在公平处罚项下,处罚基于违法者的责任程度,而威慑则被提供给组织去侦查和阻止犯罪”。
而在第八章则列举了“建立有效合规程序的七个关键标准”:
修正的指南规定了董事及高管采取积极行动管理合规及道德计划,以及推动了组织文化符合法律规定及伦理道德。修正后的指南阐述了对于合规和道德计划的最低要求,使FSGO几乎成为合规的同义词。
(三)《公司合规管理程序评价》
2017年,作为对前述思路的延续和发展,美国司法部发布了《公司合规管理程序评价》(Evaluation of Corporate Compliance Programs),为评价合规体系的有效性、促进合规体系完善提供了依据。
在此基础之上,2019年4月30日,美国司法部刑事司(U.S.Department of Justice Criminal Division)发布了升级版的《公司合规管理程序评价》。在其引言部分提出:
这一问题同样细分为三个问题,分别为:持续改进、阶段性测试和复查(Contin-uous Improvement, Periodic Testing, and Review);对不当行为的调查(Investigation of Misconduct);对任何不当行为的分析和补救(Analysis and Remediation of Any Under-lying Misconduct)。
但这些还只是第二层问题,其下还有更多的要点,要点之下则又细分为更多的具体问题点。这种详细到具体问题的评估方式,使看似模糊不清的问题有了较为清晰的具体问题界限,为判断合规体系是否有效提供了依据。
二、合规领域的国际发展
美国推出合规管理后不久,随着其他国家和国际组织的跟进,合规管理已经成为国际上的普遍性经营要求。
(一)英国和法国的相关立法
紧随着1991年美国联邦量刑委员会颁布《针对组织机构的联邦量刑指南》并将“有效的合规机制”作为对公司量刑的重要因素,英国于2010年颁布、次年7月1日生效的《贿赂法》(Bribery Act 2010)[12]对公司提出了更为严格的合规要求,包括在英国注册的公司、合伙企业以及虽不在英国注册但全部或部分业务在英国的任何公司、合伙企业。
依据该法,商业组织疏于构建行贿预防机制导致行贿产生的行为犯罪,则构成“商业组织预防贿赂失职罪”(section7,failure of commercial organizations to prevent bribery)。即,若一个商业组织的“关联人员”为了获取或保留该组织的业务,或者为获取或保留该组织在商业活动中的优势,而向他人行贿的,则该商业组织构成本罪,除非该组织能够证明其已制定了“充分程序”以预防“关联人员”从事行贿行为。
其中,“关联人员”是指为了或代表商业组织而提供服务的人员,该类人员包括但不限于商业组织的雇员、代理人或分支机构。而“充分程序”,根据2011年3月颁布的The Bribery Act 2010 Guidance包括六项原则,即适当的程序原则、顶层努力原则、风险评估原则、合理谨慎原则、沟通(含培训)原则、监督和复审原则。
2017年5月,法国的反腐败法——《萨宾二法案》(Sapin II)正式生效,以类似的内容进一步壮大了美国《反海外腐败法》和英国《贿赂法》的声势。
(二)国际组织的相关规则
在国际组织层面,类似的反贿赂努力也一直在推进。随着相关公约、协议等法律文件的签署,国际间的反腐败、反贿赂已经成为共识。
1.国际经合组织的公约
1997年,国际经合组织(Organisation for Economic Co-operation and Development,简称OECD)通过了《关于打击国际商业交易中行贿外国公职人员行为的公约》(Convention on Combating Bribery of Foreign Public Officials in International Business Transactions)。作为一份以反腐败为主旨的公约,其目的在于减少发展中国家的政治性腐败和单位犯罪,鼓励成员国公司在国际交易中对贿赂行为加以制裁。至2017年,43个国家批准了该公约,中国以观察员国身份参与活动。
2.巴塞尔银行的相关文件
2004年,由银行业国际组织巴塞尔银行监管委员会修订的新《巴塞尔协议》开始实施。其后的一系列文件,在传统的信用风险、市场风险、操作风险之上,提出了合规风险的概念。
2005年4月29日,巴塞尔银行监管委员会发布了《合规与银行内部合规部门》的咨询文件,并在引言部分对各个概念作出了解释。包括:
3.联合国的《反腐败公约》
2003年10月,联合国通过了《反腐败公约》(United Nations Convention Against Corruption),并于同年12月开放供各国签署。中国于2005年10月批准了该公约,2006年2月12日,该公约对中国生效。该公约将贿赂外国公职人员及国际公共组织官员等行为确定为犯罪。其中,“外国公职人员”系指外国无论是经任命还是经选举而担任立法、行政、行政管理或者司法职务的任何人员;以及为外国,包括为公共机构或者公营企业行使公共职能的任何人员”。同时,该公约还对贿赂本国公职人员、贿赂外国公职人员或者国际公共组织官员、公职人员贪污挪用或者以其他类似方式侵犯财产、影响力交易、滥用职权、资产非法增加、私营部门内的贿赂、私营部门内的侵吞财产、对犯罪所得的洗钱行为等作出了规定。
4.其他国际间组织的相关文件
作为有影响力的国际组织,世界银行也发布了《廉政合规指南》(World Bank Group Integrity Compliance Guidelines),并于2010年与其他几家国际多边发展银行共同签署了联动制裁协议,任何触发联动制裁机制的公司,都将受到这几家国际多边发展银行的共同制裁。
2014年,亚太经合组织(APEC)北京会议通过了《北京反腐败宣言》,以及《亚太经合组织预防贿赂和反贿赂法律执行准则》《亚太经合组织有效和自愿的公司合规项目基本要素》等重要文件。
5.合规管理体系国际标准
2014年12月,国际标准化组织(International Organization for Standardization)发布了《ISO 19600:2014合规管理体系指引》(Compliance management systems-Guide-lines)。根据其官方网站(www.iso.org)上的介绍,该指引“为在一个组织内建立、发展、实施、评估、维护和改进高效和灵敏的合规管理体系提供指引。对合规管理体系的指引适用于各类组织。本指引的应用程度取决于组织的规模、结构、性质和复杂度”。
经过四十余年的发展,美国发起的反腐败立法如今已经成为商业领域的国际共识,而且多年来已有诸多跨国公司因腐败问题而被处以巨额罚款,其执法的力度和处罚力度均十分惊人。
目前,国外的合规管理已经不再仅仅是被政府立法推动的强制性要求,而是越来越成为企业控制法律风险损失、杜绝内部人员犯罪活动的“内需”,其内容也不再仅仅是符合所在国、经营行为发生国法律方面的法律规则、行业规则和公司内部规章制度、职业道德规范等。
三、中国合规领域的发展
中国的合规领域随着国际上的发展而发展,并在近年以政府推动的方式得到了大力发展和普及。但反腐败等合规领域的初始内容,并非本土化后的“合规”需要考虑的主要问题。
(一)中国“合规”的启动
中国最早的关于“合规”的部门规章是民政部于1989年11月以民审发〔1989〕50号下发的《民政部单位财会工作审计合规标准》,但其并非真正意义上的合规管理规章。
1.金融业的指引
金融业最早的与合规相关的规定,是中国银行业监督管理委员会(现已并入“中国银行保险监督管理委员会”)于2006年10月以银监发〔2006〕76号文件下发的《商业银行合规风险管理指引》第三条第一至三款对合规有如下规定:
中国保险监督管理委员会(现已并入“中国银行保险监督管理委员会”)于2007年9月以〔2007〕91号文件下发的《保险公司合规管理指引》(已失效)第二条对合规有如下描述:
2.相关的部门规章
随着合规管理理念的传播,中国的金融行业率先将其纳入管理要求,并迅速向其他领域拓展,其他行业的部门规章中也逐渐体现出该合规要求。
例如,《证券公司合规管理试行规定》(已失效)、中国保监会(已撤销)《保险公司合规管理办法》(2016年)、中国证券监督管理委员会《证券公司和证券投资基金管理公司合规管理办法》(2020年)等,均为金融领域的合规管理规定。
而商务部《贸易政策合规工作实施办法(试行)》(2014年)、国家税务总局的《税收政策合规工作实施办法(试行)》(2015年)等,则是跨越到了其他的行业行政管理事务方面。
其中,《贸易政策合规工作实施办法(试行)》(2014年)第三条规定:“本办法所称合规,是指上述贸易政策应当符合《世界贸易组织协定》及其附件和后续协定、《中华人民共和国加入议定书》和《中国加入工作组报告书》。”其适用范围为世界贸易组织成员对中国贸易政策提出的合规问题和国务院有关部门和地方各级人民政府及其部门制定或拟定的贸易政策涉及的合规问题。
而其中提及的“贸易政策”,按照该法第二条的解释,是指国务院各部门、地方各级人民政府及其部门制定的有关或影响货物贸易、服务贸易以及与贸易有关的知识产权的规章、规范性文件和其他政策措施,不包括针对特定的行政管理对象实施的具体行政行为。
而《税收政策合规工作实施办法(试行)》(2015年)第三条则规定:“本办法所称合规,是指税收政策应当符合世界贸易组织规则。世界贸易组织规则,包括《世界贸易组织协定》及其附件和后续协定、《中华人民共和国加入议定书》和《中国加入工作组报告书》。”
3.合规管理体系标准
2017年12月29日,中国国家质量监督检验检疫总局与中国国家标准化管理委员会联合发布了国家标准《GB/T 35770—2017/ISO 19600:2014合规管理体系指南》。其编号方式和“前言”均表明是“等同采用《ISO 19600:2014合规管理体系指南》”,即GB/T 35770—2017等同于ISO 19600:2014。这一标准的发布,使合规管理体系建设有了更为具体的参考方法。
该标准的“引言”部分还规定:“本标准以良好治理、比例原则、透明和可持续性原则为基础,可指导未进行合规管理的组织建立、实施、评价和改进合规管理体系,也可对已建立合规管理体系的组织改进合规管理提供指导。本标准的合规管理体系流程图与其他管理体系一致,以持续改进原则为基础制定。”
4.合规管理指引
尤其值得一提的是2018年。由国务院国有资产监督管理委员会于2018年11月发布的《中央企业合规管理指引(试行)》(2018年),以及由国家发展改革委、外交部、商务部、人民银行、国资委、外汇局、全国工商联于2018年12月联合印发的《企业境外经营合规管理指引》(2018年),标志着风险管理领域已经从以前的强调法律风险管理转变为强调合规管理,而且工作重心已经从中央企业转为所有中国企业,而企业所需要遵守的也不再仅仅是法律。
这些由政府主管部门主导的集大成的规定或指引的出台,使合规从只有模糊的轮廓发展为已有明确的步骤和方法,必将全面促进中国企业在合规领域的大发展。正因为这些具有划时代意义的规定的出台,2018年被誉为“中国合规元年”。
(二)中国语境下的合规
从以上发展历程和定义角度来看,合规在中国的发展无论是领域还是过程均可谓“丰富多彩”,在不同的领域有着不同的定义和应用范围。
1.指引中的表述
除了行业管理行政法规中的合规定义,相对通用的《中央企业合规管理指引(试行)》(2018年)第二条第二款规定:“本指引所称合规,是指中央企业及其员工的经营管理行为符合法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求。”
图1-2 合规管理体系流程图
由于对象和适用范围不同,略迟发布的《企业境外经营合规管理指引》(2018年,以下简称《境外经营合规管理指引》)第三条对于合规的解释则略有不同:“本指引所称合规,是指企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求。”
虽然并非强制执行的行政法规,但是这两个指引内容更为系统,也更有普遍意义。二者的定义,均包括了“企业及其员工的经营管理行为符合”“法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求”,只是前者的主体限定为“中央”企业、后者的“规”中增加了“国际条约”。
2.合规标准中的定义
由于是等效采用国际标准ISO 19600:2014,国家标准《GB/T 35770—2017/ISO 19600:2014合规管理体系指南》中对于合规的定义,完全译自英文原版,因而非常国际化。
依据其相关条文,“2.17合规”(compliance)是指“履行组织的全部合规义务(2.16)”。“2.16合规义务”(compliance obligation),是指“合规要求(2.14)或合规承诺(2.15)”。而“2.14合规要求(compliance requirement)”是指“组织(2.1)有义务遵守的要求(2.13)”,“2.15合规承诺(compliance commitment)”是指“组织(2.1)选择遵守的要求(2.13)”。
对于“2.13要求(requirement)”,该标准中的定义为“明示的、通常隐含的有义务履行的需求或期望”。根据相关的注释,“通常隐含”是指“组织(2.1)和相关方(2.2)的惯例或一般做法,所考虑的需求或期望是不言而喻的”。“规定的要求是指在诸如文件化信息中明示的要求”。
这种表述方式与汉语存在着巨大的差异,因此在阅读了一系列的不同方向的引用之后,人们仍旧有些不明就里。但这是国际标准中的常态,因而即使相关标准在手,也未必能够顺理成章地完成合规体系建设。
综合以上对于合规的不同定义可知,当下对于“合规”的定义可谓各有所表,但并不存在严重冲突。其中,这两部指引均属于供参考执行的指导性文件,并不具有强制性。而国家标准《GB/T 35770—2017/ISO 19600:2014合规管理体系指南》则由于是推荐标准(编号GB/T中的“T”即代表国家鼓励采用的推荐性国家标准),同样不具有强制力。但各行业主管部门发布的各类“实施办法”“管理办法”等,则属于强制执行的部门规章级的法律,其根据相关行业所定义的“合规”及强制性要求,对于相关行为而言完全合法有效。
(三)合规风险与法律风险
尽管中外对于“合规”有着许许多多不同的定义和适用范围,但在如今的中国语境内,主要的合规风险是法律风险。或者说,合规风险包括但不限于法律风险。但合规风险领域对于法律风险研究的专业化程度和深度还远远不够,因为合规管理更强调对于“规”的遵从而不是创造性的运用。
1.合规风险与法律风险
如前所述,合规领域的发展本是为了反腐败,但在进入中国后随着政府的进一步普及和推动,其功能和领域早已不再是反腐败,而是成为了具有国资成分的大中型企业管理活动的有机组成部分。
根据《中央企业合规管理指引(试行)》(2018年)第二条第三款规定:“本指引所称合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。”
根据《企业境外经营合规管理指引》(2018年)第二十二条规定:“合规风险,是指企业或其员工因违规行为遭受法律制裁、监管处罚、重大财产损失或声誉损失以及其他负面影响的可能性。”
根据国家标准《GB/T 35770—2017/ISO 19600:2014合规管理体系指南》,风险(risk)是指“不确定性对目标(2.9)的影响”。同时,“合规风险以组织合规义务(2.16)的不合规(2.18)发生的可能性和后果表述”。
其中的“2.16合规义务(compliance obligation)”,是指“合规要求(2.14)或合规承诺(2.15)。”“2.18不合规(noncompliance)”,是指“不履行合规义务(2.16)”。并注释,“不合规能为单一或多项事件,且可为或可不为不合格(2.33)的结果”。而“2.33不合格(nonconformity)”则指“不满足管理体系要求(2.13)”。另外还有一个注释,“不合格不一定是不合规(2.18)”。
由以上定义可知,合规风险与法律风险并无太大区别,均为遭受某种不利后果的可能性,只是依据法律要求还是依据合规要求来判断的问题。二者的目标和路径完全一致,也就是通过提高对规则的遵从度来降低企业风险,只是合规风险的范围包括但不限于法律风险。
2.合规管理与法律风险管理
从法律风险管理到合规管理,虽然内涵、方法上有所区别,但是在沿革的过程中存在着一定的内在联系,而非简单的替代。合规管理更直观,更容易理解、执行、监督和检查。
根据《中央企业合规管理指引(试行)》(2018年)第二条第四款的规定:“本指引所称合规管理,是指以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。”
而在《企业境外经营合规管理指引》(2018年)和《GB/T 35770—2017/ISO 19600:2014合规管理体系指南》中,虽多次提及“合规管理”,但均未加以定义。对此,可理解为其采用了人们通常情况下理解的含义,即“合规方面的管理”。无独有偶,法律管理方面的国家推荐标准《GB/T 27914-2011企业法律风险管理指南》中也只是反复提及“法律风险管理”却并无标准定义。
在判断依据方面,二者的判断依据因工作目标而不同。法律风险关注因违反法律强制性规定而引发的风险,其判断标准基于法律规定的必须承担责任的强制性义务,因而有明确的法律依据。而合规风险除了关注基于法律的“外规”之外还要关注包括公司章程、内部规章制度在内的各种规则、准则等“内规”,即使法律并无强制性的规定、违反后也未必有处罚。
在工作目标方面,法律风险管理的目标是使企业以最有效的方式应对法律风险,甚至将法律作为资源用以达成企业目标;而合规管理的目标是使企业的行为不仅符合法律而且符合各种法律以外的规则。前者强调以各种积极手段对待法律风险,技术要求较高且操作不易;而后者只是强调是否符合规则,“守规矩”的要求相对容易理解和执行。
在工作环节方面,合规管理由于同企业管理更为密切,因而可以有更多、更复杂的环节,而法律风险管理则由于其更多的是涉及法律专业,因而主要需要借助外力完成。在《中央企业合规管理指引(试行)》中,合规管理是分阶段实施且内容交织、循环往复的复杂过程,按通常的逻辑顺序依次为风险识别、风险应对、制度制定、合规培训、合规审查、责任追究、考核评价七个部分。这远比《中央企业全面风险管理指引》中提及的收集风险管理初始信息、进行风险评估、制定风险管理策略、提出和实施风险管理解决方案、风险管理的监督与改进这五大措施更具体、细致。
例如,《中央企业合规管理指引(试行)》不仅仅要求“提出和实施解决方案”,而是细化分解为“风险应对、制度制定、合规培训、合规审查”等流程,并强调从实施结果出发的责任追究,通过明确激励机制的方式促进措施的落实和执行到位。
总体而言,合规管理与法律风险管理在基于法律规定引发的风险方面高度重叠但又互不包含,或者说合规管理涉及面更广但又更“扁平”,只涉及法律风险管理表层的内容。
另一方面,每个企业的“合规”本身也必须合法,而且现实中的企业不可能仅按照法律办事,还需顺应法律以外的行业规则、上级企业的管理要求以及某些“内规”的要求。二者之间的逻辑和内容在许多情形下可以通用。