北京市律师协会企业合规管理与律师实务操作指引
序 言
近年来,在实施依法治国战略、境内外监管力度趋严、国际经贸规则变化等背景下,企业合规经营的重要性不断凸显。2018 年以来,国务院、各省国有资产监督管理委员会相继发布国有企业合规管理指引,标志着国有企业全面推行合规管理工作。2021年3月《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》则将“推动民营企业守法合规经营"纳入国家发展战略,意味着合规经营成为中国企业发展的共同课题。随着企业合规不起诉等制度试点,合规已从理论研究踏入企业经营实践,并逐渐成为企业高质量稳健发展的根基与保障。
当前合规经营已得到广大中国企业的关注,合规法律服务需求不断攀升,广阔的企业合规市场亟需高标准的专业法律服务支持。因此,为促进、指导我市律师规范开展企业合规法律服务,推动企业合规经营,市律师协会法律风险与合规管理法律事务专业委员会特将“企业合规管理与律师实务操作”作为研究课题,以构建有效合规管理体系为方向,以实践性、操作性为核心,结合现行合规管理规定、指引以及本市律师合规实务经验,编纂形成《企业合规管理与律师实务操作指引》(以下简称 《指引》)。
《指引》共两万余字,分为八章,分别为:合规管理建设总则;合规组织与职责;合规制度建设;合规风险识别、评估与应对;合规运行机制;合规体系评价;合规文化建设;企业合规管理法律实务。既阐明了企业合规管理体系的建设及落地实施,又对律师参与具体合规业务提供了指导和风险提示,以冀对本市律师开展合规法律服务提供参考。
企业合规法律服务在中国方兴未艾,尚未形成全面成熟的理论体系及实践方法,有待进一步积累、探索、总结。《指引》 系市律协法律风险与合规管理法律事务专业委员会对一段时期以来的合规管理规定、理论观点以及律师实务经验的阶段性总结,如有任何意见建议,欢迎向市律协反馈。在此,以《指引》的公布为契机,我们呼吁广大律师朋友投身企业合规法律服务,携手为中国企业合规经营的发展道路提供法律保障,为中国企业“走出去’的征程贡献法治力量!
第一章合规管理建设总则
第一条 术语与定义
(一)合规:是指企业经营管理行为和员工履职行为符合国家法律法规、监管规定、行业准则和国际条约、规则,以及企业章程、相关规章制度等要求。
(二)合规风险:是指企业及其员工在经营管理过程中因违规行为引发法律责任、造成经济或者声誉损失以及其他负面影响的可能性。
(三)合规管理:是指企业以有效防控合规风险为目的,以提升依法合规经营管理水平为导向,以企业经营管理行为和员工履职行为为对象,开展的包括建立合规制度、完善运行机制、培育合规文化、强化监督问责等有组织、有计划的管理活动。
第二条 基本原则
企业合规管理工作应当遵循以下基本原则:
(一)全面覆盖原则
企业合规管理工作应将合规要求嵌入经营管理各领域各环节,贯穿决策、执行、监督全过程,落实到各部门和全体员工,实现多方联动、上下贯通。
(二)权责清晰原则
企业合规管理应按照“管业务必须管合规”要求,明确业务及职
能部门、合规管理部门和监督部门职责,严格落实员工合规责任,对违规行为严肃问责。
(三)务实高效原则
企业应建立健全符合企业实际的合规管理体系,突出对重点领域、关键环节和重要人员的管理,充分利用大数据等信息化手段,切实提高管理效能。
除上述基本原则外,各级各类国有独资、全资、控股企业,还应当遵循“坚持党的领导’原则,充分发挥企业党委(党组)领导作用,落实全面依法治国战略部署有关要求,把党的领导贯穿合规管理全过程。
第二章 合规组织与职责
第三条 企业党委(党组)作用
如为国有企业,应发挥企业党委(党组) 把方向、管大局、促落实的领导作用。国有企业应将党建工作要求写入公司章程,写明党委(党组)的职责权限、机构设置、运行机制、基础保障等重要事项。企业党建工作机构在党委(党组) 领导下,按照有关规定履行相应职责,推动相关党内法规制度有效贯彻落实。
党委(党组)研究讨论是董事会、经理层决策重大问题的前置程序,研究讨论的事项主要包括:
(一)贯彻党中央决策部署和落实国家发展战略的重大举措;
(二)企业发展战略、中长期发展规划,重要改革方案;
(三)企业资产重组、产权转让、资本运作和大额投资中的原则性方向性问题;
(四)企业组织架构设置和调整,重要规章制度的制定和修改;
(五)涉及企业安全生产、维护稳定、职工权益、社会责任等方面的重大事项;
(六)其他应当由党组织研究讨论的重要事项。
党委(党组)应结合企业实际制定研究讨论的事项清单,厘清党委(党组)和董事会、监事会、经理层等其他治理主体的权责。
第四条 董事会职责
董事会充分发挥定战略、作决策、防风险职能,履行以下合规管理职责:
(一)审议批准企业合规管理基本制度、体系建设方案和年度报告等;
(二)研究决定合规管理重大事项;
(三)推动完善合规管理体系并对有效性进行评价;
(四)决定合规管理部门设置及职责;
(五)按照权限决定有关违规人员的处理事项;
(六)法律法规、企业章程等规定的其他合规管理职责。
第五条 经理层职责
经理层切实履行谋经营、抓落实、强管理职能,履行以下合规管理职责:
(一)拟订合规管理体系建设方案,经董事会批准后组织实施;
(二)拟订合规管理基本制度,批准年度计划,组织制定合规管理具体制度;
(三)组织应对重大合规风险事件;
(四)指导监督各部门和所属单位合规管理工作;
(五)法律法规、企业章程等规定的其他合规管理职责。
第六条 主要负责人作用
主要负责人作为推进法治建设第一责任人,应当切实履行依法合规经营管理重要组织者、推动者和实践者的职责,积极推进合规管理各项工作。
第七条 合规委员会职责
企业可结合实际情况设立合规委员会,合规委员会主任由董事长或合规管理工作分管领导、总法律顾问(如有)等担任,成员可由各部门主要负责人组成。合规委员会可以与法治建设领导机构等合署办公。
合规管理委员会承担以下职责:
(一)负责企业合规管理的统筹协调工作;
(二)经董事会或管理层授权,合规委员会可以代为审定企业合规管理战略规划、年度计划、年度报告、具体制度等重大事项;
(三)定期召开会议,研究解决合规管理重点难点问题。
第八条 首席合规官职责
首席合规官可由总法律顾问(如有)兼任,对企业主要负责人负责,领导合规管理部门组织开展相关工作,指导所属单位加强合规管理,具体工作职责可以包括:
(一)负责组织编制企业合规管理战略规划、基本制度、年度计划、年度报告,参与有关具体制度制定;
(二)负责签发企业重要制度和重要文件制定、重大决策、重要合同订立等重点环节业务的合法合规性审核意见;
(三)参与企业重大决策会议并提出合规意见;
(四)领导合规管理牵头部门推进合规管理体系建设;
(五)负责向合规委员会汇报合规管理重大事项;
(六)负责向董事会报告年度工作;
(七)指导业务部门合规管理工作,对合规管理职责落实情况提出意见和建议;
(八指导所属单位合规管理工作,对所属单位首席合规官的任免、合规管理体系建设情况提出意见;
(九)参与企业重大及以上违规事件的处置并提出意见建议;
(+)经合规委员会授权的其他事项。
第九条 业务及职能部]职责
业务及职能部门门是合规管理主体,负责日常相关工作,主要履行以下职责:
(一)建立健全本部门业务合规管理制度和流程,开展合规风险识别评估,编制风险清单和应对预案;
(二)定期梳理重点岗位合规风险,将合规要求纳入岗位职责;
(三)负责本部门经营管理行为的合规审查;
(四)及时报告合规风险,组织或者配合开展应对处置;
(五)组织或者配合开展违规问题调查和整改;
(六)其他相关合规管理工作。
业务及职能部门应当设置合规管理员,由业务骨干担任,负责本部门合规管理工作,接受合规管理部门]业务指导和培训。
第十条 合规管理部门职责
合规管理部门牵头负责本企业合规管理日常工作,主要履行以下职责:
(一)组织起草企业合规管理基本制度、具体制度、年度计划和工作报告等;
(二)负责规章制度、经济合同、重大决策合规审查;
(三)组织开展合规风险识别、预警和应对处置,根据董事会授权开展合规管理体系有效行评价;
(四)受理职责范围内的违规举报,提出分类处理意见,组织或者餐饮对违规行为的调查;
(五)组织或者协助业务及职能部门开展合规培训,受理合规咨询,推进合规管理信息化建设;
(六)企业合规委员会交办的其他工作。
合规管理部门应当配备与企业经营规模、业务范围、风险水平相适应的专职合规管理人员,持续加强业务培训,不断提升合规管理队伍专业化水平。
第十-条 监督部门职责
纪检监察机构和审计、巡视巡察、监督追责等部门]是企业合规管理监督部门,主要履行以下职责:
(一)依据有关规定,在职权范围内对合规要求落实情况进行监督;
(二)对违规行为进行调查,按照规定开展责任追究;
(三)会同合规管理部门、相关业务部门对合规管理工作开展全面检查或专项检查;
(四)对完善企业合规管理体系提出意见和建议;
(五)有关规定、企业章程等规定的其他职责。
各监督部门]应将合规管理监督结果及时通报合规委员会。合规管理部门也可以根据合规风险情况主动向监督部门提出开展审计等工作的建议。
第十二条 全员合规责任
全体员工应当熟悉并遵守与本岗位职责相关的法律法规、企业内部制度和合规义务,依法合规履行岗位职责,接受合规培训,对自身行为的合法合规性承担责任。具体承担以下合规管理职责:
(一)签订合规承诺书,接受合规培训;
(二)坚持合规从业,杜绝发生违反合规底线清单的违规事件,对自身行为的合规性承担直接责任;
(三)主动识别、报告、控制履职过程中的合规风险;
(四)监督和举报违规行为。
第三章 合规制度建设
第十三条基本管理制度
企业合规管理制度是指对企业合规管理活动的制度性安排的统称,一般包含企业合规经营目标和理念以及各业务职能领域活动的制度性规定和要求。企业合规管理制度是员工在企业生产经营活动中需要共同遵守的行为指引、规范以及制度规定的总称。
企业合规管理制度的表现形式-般包括合规行为准则、制度规范、各项合规专项管理办法、合规管理的工作流程、管理表单等管理制度类文件。
企业合规管理制度内容一般包括合规管理机构与职责;合规管理重点业务要求;合规管理的机制运行及内容;违规举报、调查与问责;合规评估、改进与报告;合规培训;合规管理保障等。
第十四条 合规重点领域
(一)企业治理。规范企业治理,依法合规履行决策程序,实际控制人和受益所有人可识别,法人层级合理,与自身资本规模、经营管理能力和风险管控水平相适应;
(二)信息披露。完善信息披露事务管理制度,按照法律、 行政法规、规章要求,遵循真实、准确、完整的原则,及时进行信息披露;
(三)内幕信息。重视内幕信息的管理与内幕交易的防范,加强对内幕信息知情人的管理,建立内幕信息报告制度及具体的操作指引流程,规范内幕信息的传递、收集及管理;
(四)关联交易。加强关联交易管理,建立健全关联交易管理制度,严格遵守法律、行政法规和监管机构关于关联交易的相关要求,禁止进行不当或违规关联交易;
(五)对外担保。企业或企业控股子企业对外担保的,必须经企业董事会或股东大会审议通过。企业应当审慎对待和严格控制对外担保产生的债务风险,并及时履行有关信息披露义务;
(六).上市企业独立性。控股股东、实际控制人与企业应当实行人员、资产、财务分开,机构、业务独立,各自独立核算、独立承担责任和风险;
(七)投资并购。围绕企业经营发展目标,在实施资产重组、投融资,以及其他投资并购工作中做好合规调查、论证、审查等工作,规范相关合同的签订和履行,有效防控合规风险;
(八)招标采购。健全招标采购制度,强化制度执行,严禁应招未招、虚假招标行为,强化依法合规采购;完善对供应商在招标采购中失信行为处理机制;
(九)财务税收。健全完善财务内部控制体系,严格执行财务事项操作和审批流程,严守财经纪律,强化依法纳税意识, 严格遵守税收法律法规和政策规定;
(十)劳动用工。严格遵守劳动用工法律法规,健全完善劳动用工合同管理制度,规范劳动用工合同签订、履行、变更和解除,严防各种违规劳务分包,确保企业依法合规用工;
(十-)知识产权。加强对商业秘密、专利和商标等知识产权的保护,及时确权企业知识产权,规范实施许可和转让;依法规范使用他人知识产权,防止侵权行为;
(十二)网络安全与数据管理。依法保护业务数据与客户信息安全,做好相关网络与信息系统的安全防护,建立网络安全与数据安全事件的应急响应预案,防范因网络攻击、网络侵入,以及违规数据处理、数据泄露等导致的合规风险;
(十三)安全环保。依据国家安全生产、环境保护法律法规,设立、完善企业生产规范和安全环保制度,加强监督检查,及时发现并整改违规问题,防范安全生产事故、环境污染等引发的合规风险;
(十四)反垄断。加强反垄断制度建设,保护市场公平竞争,维护消费者利益和社会公共利益。强化反垄断事前审查、合同管理,逐步建立健全反垄断合规风险管理体系,对反垄断行为进行调查、监督,防范垄断协议、滥用市场支配地位引发的合规风险。
(十五)反商业贿赂。强化对企业员工及供应商、合作伙伴的管理、监督,将反商业贿赂纳入企业管理制度及合同条款,加强岗位职责、业务流程设计,综合运用调查、审计等方法,防范商业贿赂所引发的合规风险。
(十六)其他需要重点关注的领域。
第四章 合规风险识别、评估与应对
第十五条合规风险识别
(一)合规风险识别概述
合规风险识别是对企业内部合规风险存在或者发生的可能性以及合规风险产生的原因等进行分析判断,并通过收集和整理企业所有合规风险点形成合规风险列表,以便进- -步对合规风险进行监测和控制等系统性活动。
企业合规风险识别是实施合规风险防控项目的第- -阶段,通过了解企业各类历史或现实行为的真实情况信息,为从整体上识别企业合规风险提供基础资料,便于发现企业的管理制度及经营行为中各个具体的作为与不作为所存在的合规风险。
企业应当将其合规义务与活动、产品、服务及运营方面联系起来,确认可能发生不合规的情况,从而识别合规风险。企业广泛、持续收集合规风险信息,进行必要的筛选、比较、分类、组合等,有效识别合规风险。
(二)合规风险识别的对象及依据
在合规风险识别上,应将企业经营管理行为和员工履职行为作为识别对象,法律法规、监管规定、行业准则和企业章程、规章制度以及国际条约、规则等要求为识别依据。
(三)合规风险识别的方法
企业识别合规风险,需要综合运用各种方法。 包括:
1.问卷调查法、访谈调研;
2.合规管理部门在合规日常工作中发现的需要引起足够重视的
合规风险或问题;内、外部审计、纪检、监控等活动中发现的合规风险事件等;
3.员工举报等。
企业在分析合规风险时,应考虑不合规的原因、起因及其后果的严重性,以及不合规和相关后果发生的可能性。
企业应当制定适当的流程来识别新的和变更的法律、法规和规则以及其他的合规义务,以便及时跟踪法律、法规、规范和其他合规义务的出台和变更,以确保企业持续合规。
识别风险最好制作调查清单,由于合规管理涉及领域的不同,调查清单并非只有一份,尽可能将各类合规缺陷的调查分给不同的方式完成。
(四)合规风险信息动态管理
合规风险信息应实施动态管理,包括但不限于搜集下列内容:
1.已发生的合规风险事件;
2.新的法律、规则和准则颁布对本行经营活动的影响及可能引起的合规风险;
3.新产品和新业务的开发,新业务方式的拓展,新客户关系的建立,或者这种客户关系的性质发生重大变化所产生的合规风险;
4.内部规:章制度和业务流程未遵循法律、规则和准则的合规风险;
5.内部规章制度未覆盖全部业务流程的合规风险;
6.内部规章制度执行过程的合规风险;
7.职能机构、分支机构和关键岗位管理制度的合规风险;
8.内、外部审计中所发现的合规风险等信息;
9.国内外与本企业相关的政治、法律环境;
10.员工道德操守的遵从性;
11.企业签订的重大协议和有关贸易合同;
12.本企业发生重大法律纠纷案件的情况;
13.监管部门提示的合规风险等;
14.其他需要关注的问题。
第十六条 合规风险分析
(-) 合规风险分析概述
合规风险分析是在风险识别的基础上,考虑不合规发生的原因、后果及发生可能性等因素,最后形成合规风险清单。合规风险分析是要增进对合规风险的了解,为风险评价和应对提供支持。合规风险分析根据目的、可获得的信息数据和资源,可以有不同的详细程度,可以是定性、定量的分析,也可以是这些分析的组合。合规风险分析是在风险识别的基础上,考虑不合规发生的原因、后果及发生可能性等因素,最后形成合规风险列表清单。
(二)合规风险清单的要素
合规风险清单包括:风险描述、风险发生原因、风险发生结果、风险发生可能性等内容,应达到下列标准:
1.风险描述:简单且准确地描述风险,风险可能在什么情况下以什么方式发生以及风险对既定目标的影响。
2.风险发生原因:明确会导致风险发生的真正原因。
3.风险发生结果:说明风险发生后在哪些方面,以及以怎样的方式造成影响。具体可以考虑但不限于以下因素:
(1)后果的类型,包括财产类的损失和非财产类的损失(商誉损失、企业形象受损)等;
(2)后果的严重程度,包括财产损失金额的大小、非财产损失的影响范围、利益相关者的反应等。
4.风险发生可能性:说明风险发生的概率大小。
第十七条 合规风险应对
(-)合规风险应对概述
合规风险应对是针对发现的风险制定预案,采取有效措施,及时应对处置。对于重大合规风险事件,应当由首席合规官牵头,合规委员会统筹领导,相关部门协同配合,最大限度化解风险、降低损失。
业务部门负责本领域的日常合规管理工作,按照合规要求完善业务管理制度和流程,主动开展合规风险识别和隐患排查,组织合规审查,及时向合规管理牵头部门通报风险事项,妥善应对合规风险事件,做好本领域合规培训和商业伙伴合规调查等工作,配合进行违规问题调查并及时整改。
监察、审计、法律、内控、风险管理、安全生产、质量环保等相关部门,在职权范围内履行合规管理职责。
(二)合规风险应对的流程
合规风险应对一般包括以下流程:
1.识别合规相关要求:识别需要合规的要求,并将要求内容按相关责任部门]进行分解。
2.依据合规要求建立控制:相关责任部门]按照合规要求条款,建立必要的制度、流程、技术控制。
3.落实合规控制措施:相关责任部门及岗位人员,按照已经建立好的合规控制进行整改、落实。
4.执行合规控制措施检查:运用检查手段,确认合规控制的落实情况,评估合规控制执行效果。
5.验证合规要求符合情况:将合规要求、合规控制、合规检查结果等进行对比,展示合规状态与结果。
第十八条 合规风险处置
企业应建立健全合规风险应对机制,对识别评估的各类合规风险采取恰当的控制和处置措施。发生重大合规风险时,企业合规管理机构和其他相关部i ]应协同配合,依法及时采取补救措施,最大程度降低损失。必要时,应及时报告有关监管机构。
第五章 合规运行机制
合规运行机制是指合规风险预警、合规风险应对、合规审查、合规联席会议、违规问责、合规有效性评估等合规管理工作内容的相互关系和运行方式。
第十九条 合规风险预警
合规风险预警属于合规风险事前管控手段,通常依托风险管理信息系统形成对各种合规风险的计量和定量分析,实时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态,对超过风险预警上限的合规风险实施信息报警。
合规风险预警是合规风险识别的一部分,企业通过全面梳理、收集经营管理活动中的合规风险点,建立并定期更新合规风险数据库作为支撑风险管理信息系统的基础,通过风险管理信息系统对合规风险进行监测和监控,并根据监测发现的风险进行发生可能性、影响程度、潜在后果等分析,在此基础上对具有典型性、普遍性或者可能产生严重后果的合规风险信息进行内部警示或报警。合规风险预警后,对于触发预警的合规风险,企业还应当进-一步识别,并根据具体情况开展合规风险评估和合规风险应对。
第二十条 合规审查
合规审查是指由业务及职能部门]或企业合规部门在企业生产经营管理流程中依据职责要求,分别负责本部^门经营管理行为的合规审查和负责规章制度、经济合同、重大决策的合规审查。
业务部门负责对其业务部门日常经营管理行为的合规审查,其审查对象包括其开展具体业务所涉及到的文件、合同、及具体经营决策等内容是否存在合规风险。
企业合规部门依据国家法律法规、规章、监管规定、行业准则、规范性文件、国际条约、规则,以及企业章程和规章制度、企业标准、自愿性承诺等要求负责对规章制度、经济合同、企业重大经营决策事项的合规审查。
业务及职能部门企业合规部门]依据职责权限完善审查标准、流程、重点等,定期对审查情况开展后评估。
第二十一条 合规联席会议
为指导协调合规管理工作,研究解决合规管理中存在的重大问题、障碍,协调议定重大事项,促使企业合规管理工作有效推进,可由合规管理人员、与联席会议议题相关的各业务部门人员、独立的第三方合规评价服务机构组成企业合规联席会议,通过定期召开会议,研究解决重点难点问题、提出解决方案建议,推动完善合规管理体系,推动企业各部门合规管理工作落实。
合规联席会议由企业合规负责人召集和主持,合规负责人不能履行召集及主持职责的,由其授权委托一名企业合规部门人员代为召集及主持。联席会议的日常工作由企业合规部门负责,合规部门应常设一名联席会议联系人,负责处理联席会议日常联系沟通工作,并承办联席会议召集人、主持人交办事项。
合规联席会议以会议纪要形式确定会议议定事项,印发企业各部门贯彻落实,联席会议议定的事项按照法律法规或公司规章制度应当履行审批程序的,应提交内部审批或外部报批流程,审批通过后印发各部门。
企业各有关部门应当贯彻落实联席会议纪要内容,并在下一期联席会议上汇报落实情况。
第二十二条 合规报告
业务部门的合规人员应当定期向企业合规部门提交阶段性合规管理汇报文件;企业合规部门应当定期向合规负责人提交阶段性合规计划和工作报告。
合规年度计划和工作报告至少应当每年度出具一次。合规年度计划应上报企业经理层批准。年度合规工作报告应上报企业董事会审议批准。合规负责人应对经审议通过的年度合规报告签署确认意见,保证报告的内容真实、准确、完整;董事会对年度合规报告内容有异议的,应当注明意见和理由。
年度合规工作报告应当包括下列内容:
1.企业及企业各部门、各层级子公司及分支机构合规管理的基本情况;
2.合规负责人履行职责情况;
3.违法违规行为、合规风险隐患的发现及违规问题整改情况;
4.合规管理有效性评估及评价结果运用情况;
5.根据相关法律法规、行业规范或企业内部规章制度,要求在
年度合规工作报告中汇报的其他内容。
第二十三条 违规举报
(-)违规举报概述
违规举报是指企业员工或相关方对企业经营管理活动中已经发生的违反合规政策、合规义务的行为或潜在可能发生的风险隐患行为进行报告的行为。企业应建立违规举报机制。违规举报机制是通过一系列综合措施建立的举报调查体系,包括职能的设立、制度的建立、工作流程的制定、以及反馈、监督机制的设立等。违规举报应以指定的路径向举报管理部门报告。
(二)违规举报机制
建立违规举报机制可以预防合规风险和保障合规政策的执行,优化业务流程,发现、堵塞管理漏洞,检验合规管理体系的有效性。
举报机制的要求应至少包括以下内容:
1.领导人的认同与承诺;
2.有明确的部门]或人员负责举报工作并给与他们相对应的权限、资源;
3.举报系统公开、可见、可方便使用;
4.建立保护举报人的具体措施,保护举报人免受报复;
5.举报途径向相关人公示,并确保相关人了解、清晰并可以使用;
6.举报调查过程公正、公平,调查过程有书面记录、可追溯;
7.举报结果有反馈,调查的违规问题有改进、有问责、有监督。
违规举报的渠道包括当面举报、电话举报、信函举报、电子邮件举报,也可以允许举报人通过实名举报、保密举报、匿名举报的方式举报。企业应提供多种渠道接收举报人的举报制度。企业应建立、健全完善的违规举报制度。违规举报制度可以是
独立的制度、也可以在合规制度、内控制度中专章订立,企业应根据自身的组织结构和业务特点制定举报制度。
(三)举报管理部门职责
企业可根据自身的组织架构和职能分工确定给予举报管理部门的职权内容。违规举报的举报管理部门大多为企业合规管理部门或内控、纪检监察部门。
举报管理部门]的职权可以包括以下内容:
1.举报的受理、调查权:企业应给予调查部门门独立的调查权,包括资料调取、相关部门工作配合等必要权限,并通过制度形式予以保障;
2.向最高管理层的上报权:上报权保证了工作的独立性;
3.对举报人、被举报人的评价权:评价权对于建立合规文化有积极的推动作用;
4.对合规改进措施的建议、监督权:工作的闭环、保证工作结果的执行;
5.其他企业需要给予举报管理部门]的职权。
(四)举报的处理流程
1.调查立项:确定符合举报范围并正式立项;
2.开展调查:询问举报人、收集证据材料、访谈相关人员等;
3.做出调查结论:确定被举报人是否存在违反合规义务的情况、程度、违规行为性质、发生次数、给企业造成的损失的大小,危害程度,并将调查结论和处理意见上报企业最高管理层决策; .
4.改进及监督:提出企业的管理漏洞和问题、协同合规管理部门做出改进措施的建议并传达给相关人、相关部门。同时对后续改进措施的执行情况进行监督。
第二十四条 违规调查
(一)违规调查概述
企业对于已经发生的违规事件或潜在可能发生的违规事件可以启动违规调查工作。违规调查可以由举报管理部门门依职权申请调查、也可以通过举报人的合规举报启动调查。违规调查应遵守以下原则:合法、公平、公正、独立、保守秘密。
(二)违规调查的启动评估
原则上,在正式启动调查前,均需要对是否启动调查进行前期的评估工作,主要评估要素包括:
1.是否属于调查范围; .
2.调查的必要性判断;
3.风险级别及类型;
4.对组织商务活动的影响;
5.是否需要采取证据保全措施。
(三)违规调查的工作流程
企业可以根据自身的情况制定适合的调查流程,-般的调查流程可以包括以下几个主要环节:
1.立项通知;
2.调查计划;
3.事实调查;
4.当事人沟通;
5.出具报告。
(四)违规调查的结论与处理
违规调查的结论主要是对违规问题的总结分析,对负面的行为要定性并做出具体的处理意见。结论可分为几类:不属于违规行为,无需处理;可内部处理的违规行为,在内部进行追责问责;违法行为需要提交司法机关处理。需要注意的是,调查结论也可以对正面的合规行为进行鼓励。处理意见一般包括以下内容:
1.违规行为的处理建议;
2.合规管理问题的改进建议;
3.是否需要提交监管、司法部门做进-步处理。
调查结论的发送对象应考虑必要性和保密要求。
(五)合规检查
企业纪检监察机构、审计、巡视部门、企业合规部门及企业业务部门分别在其职责范围内,围绕企业经营管理工作及合规问题整改工作进行合规检查。不同于违规调查,合规检查-般在企业年度工作计划中列明,或根据企业经营实际需要发起。合规检查是通过主动性的自查发现企业合规风险或问题,并针对风险和问题提出整改意见,最终目的是通过对整改意见的贯彻落实,健全规章制度、优化业务流程、堵塞管理漏洞,提升依法合规经营管理水平。
合规检查分为全面检查或专项检查。合规检查主体在其职责范围内定期或随时发起合规检查,就已签订合同、已制定决策、已开展的经营管理.工作是否合规进行检查,并应对就检查结果出具书检查报告。经合规检查发现风险或问题的,应当在检查报告中明确提出整改意见,相关部门及员工应当落实整改意见。经检查发现违规问题需要进入调查程序的,按违规调查流程处理。
第二十五条 违规问责
(-)违规问责概述
违规问责是指对企业高级管理人员及员工的违法、违规、违纪、违约行为进行责任追究的活动。如造成资产损失或者严重不良后果对,移交问责部门。如涉及违反刑法或其他国家层面的法律、法规,应按规定移交给司法部门或相关政府部门。
(二)违规问责部门
问责部门是指依据《公司法》、《劳动合同法》 、《劳 动法》、《民法典》等法律法规、公司章程、员工手册、财务管理制度、生产管理规定、公司合规清单、合规问责制度等规章制度,依据调查结果,对问责对象进行问责及实施的部门,通常问责部门为企业合规部门,实施部门为人力资源部门。
(三)违规问责的要求
问责原则须坚持实事求是、问责程序和结果合规、有错必究、问责与整改相结合等原则。
企业应当高度重视违规行为追责问责机制,制定专门的违规问责制度,明确责任范围,细化问责标准,针对问题和线索及时开展调查,将违规行为性质、发生次数、危害程度等作为考核评价、职称评定、提拔使用等工作的重要依据。
企业合规部门应跟进追责问责的执行情况,且将执行记录-并记录在档案中,最终执行完毕视为追责问责完成。
第二十六条 合规整改
合规整改是指合规检查部门与合规管理部门共享信息、共同商议违规事件发生的原因、场景及从违规事件调查中找到本质问题和共性问题,做出问题整改建议。整改建议书应有具体的整改问题、原因、整改责任主体及要求执行完成的具体时间、整改验收的方式等主要内容。
依据违规事件发生的原因,改进措施的要求不同,改进措施可以包括以下几种类型:
1.制度的缺失或制定不完善:应要求制定制度、补充或修改制度;
2.有制度未执行:应要求相关部门执行制度、执行留痕,且出现此类情况可能制度的执行监督体系也会出现问题,要-并整改制度监督环节;
3.职责不清、职责混乱:此类情况适用于出现无法问责、不知向谁追责的情况,应要求相关部门、人力管理部门厘清部门]职责、岗位职责;
4.合规管理体系无效或不系统、不全面:如果多个部门、多个岗位出现问题,可能不是某一点合规管理的问题,需要统筹查看整个合规管理体系是否合理、是否完善,如必要应启动合规管理体系的重建。
合规管理部门应对整改过程进行执行监督。-般情况下,整改部门都可能会延迟或者整改不到位,合规管理部门应对整改的质量进行把控,对照整改要求和整改内容进行检查监督,如不符合整改要求应要求再次整改。
第二十七条 合规保障
企业应当为合规管理人员履行职责提供必要支持和便利条件,包括但不限于人员、培训、宣传、场所、设备、经费、薪酬等人力物力保障。
(-)合规管理队伍保障
企业应当设置合规负责人岗位,统-负责企业合规管理工作。合规负责人应当通晓相关法律法规和准则,诚实守信,熟悉企业相关业务领域,具备胜任合规负责人所需的专业知识、经验、资质,最近3年未被监管机构实施处罚或采取重大行政监管措施等。
企业可以通过内部规章制度对合规负责人设置其他任职要求和条件,但应以保证企业负责人具备履职能力、资格以及信用良好为基本要求。
企业董事、监事、高级管理人员符合企业对于合规负责人的任职要求和条件的,在其职责与合规负责人职责不发生矛盾的情况下,经企业通过有效的内部决策程序聘请,可以兼任合规负责人。
企业应当设置专门的合规管理部门,该部门]对合规负责人负责及报告工作,按照企业内部规章制度及合规负责人的安排履行合规管理职责。合规管理部门及其人员不得承担与合规管理冲突的其他职责。
企业应当为合规管理部门]配备足够的、具备与履行合规管理职责相适应的专业知识和技能的合规管理人员。
企业各业务部门门应指定合规管理人员,负责业务部门内部合规审查等工作,并负责与合规管理部门的日常联络、报告工作。
合规负责人认为必要时,可以企业名义聘请外部专业机构或人员协助其工作,费用由企业承担。
(二)合规业务培训及文化建设保障
企业应当加强合规管理队伍建设,为合规管理人员提供业务培训,提升专业能力水平。企业应当重视企业整体合规培训及宣传教育,确保合规管理人员以外的其他员工能够充分理解合规管理的重要性及工作要求,使员工具备风险防范意识,积极配合合规管理工作。
企业应把合规经营管理情况纳入企业各部门及部门负责人的年度考核内容,细化评价标准。对员工合规管理职责情况进行评价,并将结果作为员工考核等工作的重要依据。
企业应当加强合规宣传教育,及时发布合规手册,组织签订合规承诺,强化全员守法诚信、合规经营意识。
(三)合规管理人员薪酬待遇保障
企业应当建立合理的合规管理人员薪酬制度,在工作称职的情况下,合规管理人员薪酬待遇不得处于企业同级别岗位薪酬待遇平均水平。
(四)合规管理工作条件和工作环境保障
企业应当保障合规负责人、合规管理部门及业务部门内合规管理人员充分履行职责的必要条件,保障其履职所需的知情权及调查权。企业召开董事会会议、经营决策等重要会议以及合规负责人要求参加或者列席的会议的,应当提前通知合规负责人。合规负责人有权根据履职需要参加或列席有关会议,查阅、复制有关文件、资料。合规负责人根据履行职责需要,有权要求业务部门人员对相关事项进行说明,向为公司提供审计、法律等服务的机构了解情况。
企业应当保障合规管理人员工作具有独立性。企业股东、董事、监事、高级管理人员不得违反规定职责及程序,直接向合规负责人或合规管理部门下达指令或干涉其工作。企业董事、监事、高级管理人员及各业务部门应当支持和配合合规管理人员工作,不得以任何理由限制、阻挠合规管理人员履行职责。
合规管理部门由合规负责人考核。业务部门内合规管理人员的考核方式应当由合规负责人参与,不得采取仅由业务部门评价、以业务部门经营业绩为依据等不利于合规管理独立性的考核方式。
(五)合规管理信息化建设保障
使用信息技术已成为企业合规体系有效运行的重要保障与支持。在合规管理中,可运用信息技术记录和保存企业相关信息,将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统,运用大数据等技术工具,开展实时在线监控和合规风险分析,实现信息集成与共享;可利用信息化手段开展合规培训,尤其是对业务繁杂、分支机构多的企业,利用合规在线培训系统能够实现培训内容统一、培训情况可跟踪、培训效果可评价、培训人员可记录目标。
企业应当强化合规管理信息化建设,通过信息化手段优化管理流程,记录和保存相关信息。运用大数据工具,加强对经营管理行为依法合规情况的实时在线监控和风险分析,实现信息集成与共享。
企业可寻找合适的信息技术合作商并建立长期的合作关系,共同进行研究,为企业合规法律服务产品增添信息化模块。实力特别强、合规业务规模特别大的企业合规管理团队可以考虑引进专业信息技术人才。
在开展企业合规项目时,对相关合规计划和举措,企业应有意识地研究能否通过信息化手段实现。对能够实现的,应将其纳入企业合规建设方案中。
第六章 合规体系评价
第二十八条 合规绩效考核
企业将合规管理情况作为法治建设重要内容,纳入对机构、部门和干部、员工的年度综合考核,细化评价指标。强化考核结果运用,将合规职责履行情况作为员工考核、干部任用、评优评先等工作的重要依据。
合规绩效考核的对象为合规制度适用的机构、部门和干部、员工。
合规绩效考核以企业合规制度为依据,对机构、部门和干部、员工开展合规各项控制措施和相关管理规定的行为,按照考核标准,实行评价和管理。
合规绩效考核纳入企业薪酬管理体系,遵循公平、公正、公开的原则,以客观指标和明确的分值来评价员工履行岗位职能的合规情况。
合规绩效考核依据外部监管要求和内部制度,通常以企业《合规手册》为直接依据,《合规手册》 内容应完备齐全。
第二十九条 合规管理有效性评估
“合规管理有效性评估”是指企业根据监管要求或参照相关标准、依据,对合规管理活动及其所发挥的实际效用进行评估的行为。
(一)合规管理有效性评估概述
企业合规管理评估通常既包括有效性评估,还包括完整性评估。前者是为进一步指导企业完善合规体系设计,并注重对合规体系的有效实施与有效运行进行评估,适合于已建立合规管理体系的企业参考;后者则旨在指导企业建立合规体系,扩展合规管理职能及完善合规要素和合规内容。
企业应当定期开展合规管理体系有效性评估,针对重点业务合规管理情况适时开展专项评估,强化评估结果运用。
大多数中央企业从合规管理职责、合规管理重点、合规管理运行、合规管理保障四个方面进行合规管理体系建设。同样,在开展合规管理有效性评估时,也是参照此结构进行评估。
在评估指标体系中,具体 指标并不固定,需根据企业实际情况和项目需求量身定制,在实践中倾向于使用具有较强弹性的评估指标,充分考虑评估的阶段性特征的同时,也要兼顾评估深度和调查实操性、评估重点和全面性的平衡。
大型企业开展合规管理有效性评估工作时,需要遵循全面性原则。合规管理有效性评估应当覆盖企业经营管理活动的全过程,评估指标应当系统、全面。总集团和下属企业之间的利益往来、合规管理体系的统筹安排都是评估工作的重点。
对跨国经营型企业在开展合规管理有效性评估工作时,需要注意中外合规管理要求的差异。对于跨国经营型的企业来说,不能只关注本土合规管理的有效性,对于有业务合作或进出口往来的国外地区的法律制度也要严格遵守。
(二)合规管理有效性评估的流程
合规管理有效性评估应定期开展。其一般流程为:
1.作出评估决定。
2.成立评估项目工作组。企业需要成立合规管理评估工作组。
企业可以聘请第三方机构或者由企业各部门门]抽调相关人员组成联合评估工作组,并且明确负责人,开展合规管理有效性的评估工作。应当确保评估小组具备独立开展合规管理有效性评估的权力,并确保评估小组成员具备相应的履职能力。评估小组的权力应来自于企业最高管理层的授予,要切实保障评估小组可独立顺畅地开展评估工作,全企业人员应尽全力予以支持配合。
3.文档收集和审查。评估小组需要获取和审阅合规管理体系设计、执行的相关文档,包括合规管理政策和程序、内部审计报告、与企业的合规运营及经营活动相关的各类文件。
4.现场检查与评价。评估小组可通过调查问卷、调阅资料、实地查看、个人访谈等手段来深入挖掘信息、查找存在的问题,把各种途径渠道了解到的信息进行交叉印证,对企业合规管理制度的完
备性、体系的完整性、机制设置的适当性和运行的有效性以及合规文化的环境氛围做出全面的评价。
5.评估信息的分析。评估小组可以通过分析所收集的重要信息,对企业合规管理体系的状况进行详细评估,利用表格、矩阵如实地反映企业当前的合规管理体系运转及执行状态,同时对应目前行业领先的企业合规管理所采用的指标框架,将合规管理体系内各个重要元素分别进行对标。
6.完成评估报告。最终评估结果应当以书面报告的形式展现,应当包括评估结果和意见、阐述企业合规管理工作涉及按重要性排序的风险及事项,并提供下一步潜在工作的具体意见。
7.提出改进方案。
(三)合规管理有效性评估的具体评价指标
指标1:合规管理体系建设是否橫向覆盖集团所有管理职能、经营管理业务和经营区域,是否纵向贯通集团内所有企业?
指标2:治理层、管理层、执行层是否明确合规管理责任机构及其管理职责,职责分工是否明确、各司其职,相关人员配备是否适当。
指标3:是否制定了规范本企业规章制度建设工作的制度性文件和规章制度更新的标准化流程?是否明确规章制度建设的统筹部门规章制度是否已覆盖全部业务领域和管理职责,且内容合法,符合企业实际?规章制度能否根据外部法律监管环境的变化以及企业管理的实际需要及时调整更新?是否建立了合规管理基本制度及其配套规定和重点领域的专项规定?规章制度是否已有效宣传贯彻?
指标4:是否已对合规风险进行有效的识别和评估,并及时调整更新?是否已根据合规风险级别合理配置资源,采取有效措施防控重大合规风险?是否已通过内部检查、审计等方式检验合规风险防控措施的有效性?是否已建立有效的合规风险预警机制?
指标5:是否已持续开展合规宣传,使企业内部形成合法合规经营的企业文化?是否对员工持续进行合规培训?是否已建立有效的合规风险报告机制?是否有专业系统和数字化手段保障合规管理要求落实?是否已将合规指标纳入企业及员工的绩效考核?是否已建立违规追责机制?
第三十条 合规管理体系改进
合规管理体系改进,是合规管理循环以及风险管理过程的必备步骤。唯有改进,才能完成-个合规管理循环。合规改进的步骤,包括两部分:一是对不合规的纠正。二是改进和改善已有的合规措施。纠正和改进对企业来说是合规管理的重要组成部分。纠正和改进可以将某些负面事物转化成对风险识别,流程优化,风险管控有利有益的信息和机会,为合规管理中的预防和监督部分提供有价值的内容,为合规培训提供活生生的案例,并帮助提升企业的合规和道德文化。
企业根据合规审计和体系评价情况,进入合规风险再识别和合规制度再制定的持续改进阶段,保障合规管理体系全环节的稳健运行。
企业应积极配合监管机构的监督检查,并根据监管要求及时改进合规管理体系,提高合规管理水平。
为保证合规风险闭环管理,企业应明确合规管理改进政策,定期评估合规管理体系的有效性,并将测试监控的成果纳入改进工作。
企业应根据内外部环境变化,持续调整和改进合规管理体系。
第七章 合规文化建设
合规文化是指与合规组织机构、制度、运行机制、评价与追责等相互作用,有利于规范合规行为的价值观、道德、信念和行为。
第三十一条 合规理念
(一)合规理念培育
企业应由决策层、管理层确立合规目标和价值观,通过入职教育、合规手册、合规承诺、合规培训、企业网站、宣传手册等各种方式使全员建立合规理念,并将合规理念与制度、岗位相结合,促使企业形成依法办事、按规经营的合规文化。
(二)合规理念实施
企业应引导全体员工自觉践行合规理念,同时向企业的供应商、分包商、客户、代理人等利益相关主体宣传企业的合规理念,以认同本企业合规理念作为交易前提,将合规理念转化为交易条款(如廉洁条款、安全生产条款),促使企业与利益相关方形成共同守法合规的合规文化。
第三十二条 合规培训
(-)合规培训目的
企业应以形成良性企业文化为目的,以全体员工(含管理层)及商业合作伙伴等利益相关方为对象开展企业培训,通过培训传递合规理念、政策和承诺以及对于员工、商业合作伙伴的要求,促进形成企业文化,减少企业合规风险。
(二)合规培训内容
合规培训应充分考虑企业的运营环境、商业模式、组织结构、生产经营目标、合规风险现状、员工的合规能力水平等因素基础上确定培训内容:
1.全员合规培训
全员合规培训侧重于:
(1) 普及企业基础的合规理念、合规政策和要求;
(2)组织内部现有的合规制度、管理流程等与业务活动紧密相关的合规要素;
(3)岗位职责、合规清单和员工行为准则等内容。确保员工理解、遵循企业的合规目标和要求,为员工行为划定规范和边界,使得员工特别是重要风险岗位人员熟悉并严格遵守业务涉及的各项规定。
2.管理层培训
(1) 引导管理层重视合规,把合规文化建设纳入企业战略层面;
(2)侧重于合规与企业治理关系,企业合规管理体系的构架和建设;
(3)管理层的合规责任。
将合规管理纳入企业党组织法治专题学习,促进管理人员切实提高合规意识,带头依法依规开展经营活动,认真履行承担的合规管理责任。
3.合规专项培训
(1) 针对特定业务部门或者新入职员工等相关人群的专项培训(如重点领域合规指南、操作手册)
(2) 针对高风险岗位(如采购、营销、财务、人事)的专项培训
(3)针对行业或企业内部发生的风险事件的复盘和整改专项培训
4.针对相关第三方的合规培训
针对企业的供货商、经销商、代理商和商业合作伙伴,将企业对利益相关第三方的行为合规要求明确传达,如反腐败、安全合规等要求。
(三)合规培训形式
企业应建立多层次、立体式、常态化、制度化的合规培训机制,丰富合规培训的形式和方式。例如面授培训和线上培训。
1.面授培训,一般为定制化培训,有利于吸引受训对象思考,方便参与互动。
2.线上培训,可以通过漫画、动画、游戏、电影、案例等多种方式高频次输出,不受时间和空间限制。
(四)合规培训时间
企业应结合实际情况建立常态化的合规培训机制,制定并实施定期培训、专项培训计划。企业开展培训时应保留完整的培训记录,使企业面临监管执法检查、司法诉讼时具备相关证据。
1.企业明确定期培训的频次要求,持续性进行合规文化输出。
2.企业应在发生以下情况时开展特定的专项培训:
(1)在企业外部的法律法规及政策、市场环境变化等对合规风险造成重大影响时开展专项培训;
(2)在企业的内部战略、政策方针、经营模式、主营业务等发生变化致使合规义务变化时点开展专项培训;
(3)在员工职务、职责发生重大变化时,需要针对新的职务、职能进行针对性培训。
(五)合规培训结果反馈
在合规培训结束后,通过问卷调查、合规知识考核、合规数据分析等方式进行培训效果评估,对现有的培训计划、培训内容和培训重点进行调整,持续保持合规培训的有效性。
第八章企业合规管理法律实务
律师可以通过研判企业的商业行为,在掌握国家有关法律法规、规章、监管规定、行业准则、规范性文件、国际条约、规则、商业惯例和道德规范,企业依法制定的章程及规章制度、企业标准、自愿性承诺等的基础上,出于帮助企业有效防控合规风险的目的,协助企业进行合规管理和合规体系建设,为企业提供咨询、代理等专项法律服务和顾问服务。
律师从事的企业合规管理法律服务类型,包括但不限于合规体系建设、合规专项咨询、合规监管调查、常年合规顾问以及刑事合规。
第三十三条合规体系建设
(-)定义
合规体系建设:指结合企业的实际情况在企业内部建立起一套以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别评估和预警、合规审查、风险应对、责任追究、考核评价、合规培训、合规文本库的形成和完善等有组织、有计划的体系。
(二)合规体系建设业务的开展
1.律师开展合规体系建设法律服务时,应与企业签订专项法律服务合同,明确服务内容和服务范围。合规体系建设的服务内容多,业务复杂,通常期限较长,建议法律服务合同签订期限至少为6个月。
2.律师提供合规体系建设的法律服务内容包括但不限于:开展合规尽职调查工作、梳理合规规则、拟定《合规风险报告》、拟定《合规管理体系建设方案》、建立合规管理体系构架、合规运行流程、合规义务收集与风险评估、体系文件策划与编制辅导、合规培训、合规体系的运行和测试、档案管理、成果验收等。
其中尽职调查工作、拟定《合规风险报告》等属于合规体检的内容。
3.开展尽职调查工作:与企业的法务部门(或者合规业务 部门)对接,可通过发放调查问卷、研究企业提供的资料、公开途径检索调研,必要时与主要业务部门进行访谈、实地走访的方式,了解以下内容:企业的沿革、治理结构、管理架构、业务、业务的主要利益相关者、劳动用工、财务税收、合规管理现状(现有制度流程的梳理、自愿性承诺、协助义务的收集和整理)、各部门的合 规意识等。与企业特点有关的重点领域合规分析(治理机构、市场交易、合同管理、投资管理、债务管理、资本运作、安全环保、产品质量、工程建设、劳动用工、财务税收、知识产权、信息安全、数据管理、商业伙伴、社会捐赠与赞助、出口管制等)。
尽职调查的目的在于了解企业的基本情况、风险管理情况、合规意识情况、对于建设合规管理体系的有利和不利之处。
4.梳理合规规则:根据企业的特点和类型,总结企业涉及的合规要素,梳理与企业行业、业务、所涉国家的相关的法律法规、监管规定、行业准则以及国际条约、规则等。
5.拟定《合规风险报告》:根据尽职调查的发现,对标现行《合规管理体系指南》及《中央企业合规管理指引(试行)》、《中央企业合规管理办法》等政策法规标准,帮助企业了解目前的合规管理水平,全面掌握企业的合规管理工作现状,发现与标准准则的差距,总结合规风险,确定风险管理的优先层级,拟定《合规风险报告》。
6.拟定合规体系建设方案:根据企业合规管理需求,制定符合《合规管理体系指南》、法律规定、企业治理结构实际要求的合规管理体系建设方案,并在获得企业认可后协助企业实施。建设方案应当包括明确合规制度的牵头部门,比如由合规委员会或企业法治建设领导机构等法律事务机构为合规管理牵头部门,完善企业治理结构的建议,董事会、经理层、合规委员会、业务及职能部门、合规管理部门的合规职责、合规管理架构的搭建、合规负责人的确定、合规岗位的设置、合规岗位的合规职责、合规管理制度建设、具体合规规范建设、合规运行机制、评价体系的设计、合规文化建设的建议等。
7.建立合规管理体系构架、运行流程:协助企业依照《合规管理体系指南》搭建合规管理体系及制定合规管理方针,体系应覆盖企业各业务领域、部门,贯穿全业务流程。通过业务过程梳理和组织结构的优化,明确合规管理责任制并梳理各业务流程环节的合规管理要求、合规绩效和职责。同时补充完善合规管理流程框架,包括合规风险识别评估预警和防范流程、违规行为调查流程、问责流程、监督流程、投诉与举报流程等。
8.合规义务收集与风险评估:协助企业梳理各环节适用法律法规、标准及其他合规要求,并编制《重要合规义务清单》、《风险清单》及合规性检查清单。建立合规义务识别机制,全面系统地梳理经营管理活动中存在的合规风险,指导业务部门进行识别评估,并制定风险管控措施。包括反舞弊、反商业腐败、反垄断、反不正当竞争、生态环保、财务税收合规、知识产权、安全生产、数据安全、职业健康、劳动用工等方面。识别企业全生命周期的合规风险,并指导建立典型合规风险分析与控制措施策划、合规管理具体制度或专项指南、合规风险应对预案。
企业风险评估需要考虑企业经营管理活动涉及的行业监管动态、将出台和实施的新政策等。需要对风险发生的可能性、影响程度、危害性、潜在后果等进行系统分析,综合考量定性分析(如是否构成刑事案件)、定量分析(单次金额、占比,是否构成重大损失或严重不良后果)、 发生频次(偶发或常发)等,对典型性、普遍性或者可能产生严重后果的风险及时预警。
9.体系文件策划与编制辅导:策划合规管理体系文件架构,辅导企业梳理各环节合规管理的相关要素及其过程文件,并将其转化编制成企业管理文件,包括合规手册、合规风险库、合规义务清单、合规管理方针、合规运行制度、保障制度等管理制度、管理规范等。
作为企业经营管理的参考,律师可以协助企业建立合规文本库,内容可以包括: (1) 相关法律法规库(定期更新) ; (2) 企业分级分类的合规制度和流程库; (3) 合规风险清单和应对预案库; (4) 合规风险数据库(定期更新) ; (5) 合规管理体系有效性评价和评价结果运用库(6) 合同文本库(可按照不同行业和领域进行细分)。
为了更好适应企业现代化的发展,律师可以协助企业就上述文本库进行信息化,形成更容易使用的现代化管理工作。
10.合规培训:组织企业对不同层级、不同业务部门的人员开展合规初始培训,向员工下发合规手册,让员工签署合规承诺函等,导入合规理念。合规培训为企业合规文化建设的重要组成部分。
11.合规管理体系的运行和测试:按照企业合规管理体系建设方案,协助企业合规管理部门成立和运作、合规管理文件颁布和实施,并形成运行《测试报告》。组织并检查企业总体层面、各部门、各业务流程内部控制的体系运行工作;协助企业定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,优化业务流程,堵塞管理漏洞,强化过程管控。
12.档案管理:根据《合规管理体系指南》的要求,从应对监管部门调查的角度,协助企业完善归档流程、应存档文件清单、重要存档文件模板。
13.成果验收:提请企业合规管理部门]对合规管理体系建设的情况进行验收。
第三十四条合规专项咨询
(-)定义
合规专项咨询服务,系指律师依据国家法律法规、规章、监管规定、行业准则、规范性文件、国际条约、规则、商业惯例和道德规范、企业的章程、制度文件、企业标准、自愿性承诺等合规依据,就企业提出的针对企业的商业模式、特定业务、特定项目、特定事项,提供合规咨询法律服务,根据企业要求出具法律备忘录、法律意见或法律意见书等。商业模式,如社交电商;特定业务,如对美国的出口业务,涉及到出口管制的合规审查;特定项目,如某个对外投资项目,涉及到被投资地的合规要求;特定事项,如劳动人事部门关于与员工解除劳动合同是否合法合规、企业数据安全合规体系的建设.、企业业务中的反舞弊风险排查的合规服务、对企业进行合规体检、协助企业建立合规运行机制、协助企业建立合规体系评价机制、协助企业进行合规文化建设等合规体系建设之专门环节的法律咨询等。
(二)合规专项咨询的开展
1.律师开展合规专项咨询服务,应与企业签署专项法律顾问合同。
2.律师开展专项合规咨询服务的业务流程包括:了解委托事项的背景情况,掌握涉及委托事项的法律法规、监管规定、行业准则、规范性文件、国际条约、准测,商业惯例和道德规范以及企业章程、规章制度、企业标准、自愿性承诺,根据该等合规规定及要求对企业之委托咨询出具法律意见。
就数据安全合规的专项合规咨询,数据安全合规是企业合规的重要组成部分,律师应根据《民法典》《数据安全法》《网络安全法》《个人信息保护法》 《网络安全审查办法》《电子商务法》《消费者保权益护法》《征信业管理条例》《电信和互联网用户个人信息保护规定》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《数据出境安全评估办法》等;还有其他规范性文件和国家标准,例如《APP违法违规收集使用个人信息自评估指南》《网络安全等级保护基本要求》《大数据安全管理指南》 等相关规定,围绕数据处理、流转的合法合规问题,结合企业内部制度文件,就企业数据安全管理体系是否完整,可否有效识别、防范风险及应对风险,以及企业拟开展业务的业务模式、操作流程以及业务过程中的合作对象、数据主体的类别等出具合规法律意见。
就企业关于反舞弊风险排查的专项合规咨询,律师可开展尽职调查业务,向企业了解全面的业务背景、业务流程,查阅业务文件,深入走访了解企业架构、业务模式、财务制度、审批流程、岗位职责、重点人员等情况,拟定访谈方案、起草访谈清单,对相关人员进行访谈,起草尽职调查报告,进而根据《民法典》《刑法》的相关规定,对企业员工是否存在舞弊行为以及处理意见、整改建议等出具合规意见。
就企业关于关联企业合规治理的专项咨询,律师应先开展尽职调查工作,全面了解关联企业的关联关系、财务管理制度、组织架构、决策机制、人员任免、人员薪资发放、奖金发放等制度文件,自关联企业独立性、决策的有效性以及执行的可操作性等角度出具合规审查意见。
就企业关于股权并购的专项合规咨询,律师应了解标的股权的性质,标的股权转让的原因,标的企业的性质,出让方与受让方的性质,股权转让价格及定价原因等背景情况,如股权并购不涉及国有资产,则律师应结合《公司法》、企业登记管 理条例、企业章程、内部制度等规定,就股权转让的内部授权手续是否完备、交易是否公允性等交易是否符合交易主体的内部规定、企业章程、企业登记相关规定、税务是否合规等给出合规意见;如涉及国有资产的,还需根据国有资产转让相关规定,结合标的股权是否进行挂牌,是否经过评估,是否经过章程、内部制度规定的决策流程等,就标的股权的转让是否符合公司法、企业国有资产法、监管规定、企业章程、内部控制制度、税务规定等给出合规意见;如涉及上市企业的,还需根据上市企业监管规定,对是否履行信息披露义务等给出合规意见。
就企业关于海外业务的专项合规咨询,律师应协助企业健全海外经营合规制度,根据跨境贸易、对外投资、承包工程等不同业务特点加强风险风控,尊重东道国国家或地区的法律法规、交易规则、国际规则、国际组织规则、监管规定,落实市场准入、安全审查、外汇管理、劳动保护、反洗钱、反贿赂等方面合规要求,就海外业务合规问题出具提示指引或制作合规清单,同时注重保护环境和履行社会责任,防范经济制裁、出口管制、技术封锁等方面法律经营风险,以切实维护企业在海外合法安全,维护国家主权、安全和发展利益。
就企业关于新开拓业务的合规专项咨询,在无明确法律规定和监管规定的情况下,律师应依据近似业务领域的法律法规、交易规则、国际规则、监管规定,同时对新业务之本质进行剖析,结合现有法律法规,对该业务的合规性进行分析,并就此向企业出具法律意见,帮助企业把控风险。
第三十五条 合规监管调查
(-)定义
合规监管调查:系指企业或者企业人员出现或涉嫌违规行为,已经或者可能受到境内外行政机关、司法部门、国际组织的监管时,企业委托律师开展的应对法律服务,以达到平稳处理,控制风险的目的。
(二)合规监管调查业务的开展
1.律师开展合规监管调查服务时,需与企业签订专项法律顾问合同,明确服务内容和服务范围。
2.开展尽职调查工作:调查的内容包括违规行为是否存在、违规行为所涉及的具体事实经过、违规行为人的任职情况和个人其他情况、企业的管理规定、与违规行为有关的业务流程等。
3.梳理合规规则:梳理与违规行为有关的法律法规、地方性规定、政策文件、监管规定等合规规则。
4.出具《合规调查报告》:内容包括详细的违规行为事实发生经过、有关合规规则、对违规行为性质的分析、违规行为的处理建议。
如企业或企业人员不存在违规行为的,则协助企业或企业人员出具法律意见或陈述意见,就相关行为发生的背景、经过、有关合规规则和法律规定,对相关行为的性质进行分析,出具法律意见。
5.区分违规行为的不同情况,以及企业对违规行为处理的相关意见,协助企业对实施违规行为的责任人予以劳动纪律处理、民事诉讼追究或者刑事报案。
需要注意的是,与合规管理体系建设法律服务不同,律师开展合规调查法律服务时,应当承担严格的保密责任,同时注意避免利益冲突。
律师在从事合规监管应对法律服务时,除以上工作流程外,还应当协助企业对外发布与合规监管有关的信息。包括违规/不违规事实、受到合规监管的情况、企业的态度、违规事实的处理情况等。
第三十六条 常年合规顾问
(一)定义
律师为企业提供合规顾问服务,既可以上述专项法律顾问的方式进行,也可与企业签署常年合规法律顾问合同,以常年法律顾问的形式开展。
(二)常年合规顾问的业务领域包括:
1.对与日常法律事务相关的法律、法规、政策提供解答和咨询,并进行必要法律、法规、政策和相关司法解释的收集整理,应企业要求及时向企业提供。
2.对企业提供的与企业日常经营有关的法律合规问题,根据中国法律、法规、政策及律师实践提供专业法律合规咨询意见或建议;
3.应企业要求,审阅、审查、修改和草拟与日常法律事务相关的法律文件,及与各商业合作伙伴的各种协议、合同、章程、契约等各类法律文件;
4.企业其他关联方如有重大事项,应企业要求为企业提供法律合规方面的解答和咨询;
5.应企业之要求,就企业已经、面临或者可能发生的纠纷,进行法律分析,提出解决方案,出具律师函,发表律师意见,或者参与非诉讼谈判、协调、调解;
6.为企业提供合规培训法律服务;
7.协助企业处理与员工的劳动关系;
8.应企业要求协助或代理企业参加有关涉及法律及商贸事务的谈判、签约;
9.其他企业委托的常年法律事务。
(三)常年合规顾问业务的开展
1.律师开展常年合规顾问法律服务,应与企业签署常年法律顾问合同,在服务期限内,为企业日常业务开展、企业运营等提供全面的法律合规服务。
2.律师为企业提供法律服务时,应完整、准确了解企业的法律服务需求,而后在企业要求的时限内,依据相关法律、行政法规、监管规则、政策要求、行业准则、商业管理、道德规范及企业的章程、内部制度等规定,为企业提供高效、优质、具有针对性的法律服务。
就企业治理合规的日常合规咨询,要区分企业行为和个人行为,完善企业相关制度,避免出现个人行为和企业行为混同,主要以岗位职责分工、建立审批流程等方式完成。
就业务类合同审核法律服务,律师应关注合同签署主体是否具备签署合同的主体资格、是否具备履行合同的能力或资质、相关业务的开展流程、各方权利义务、责任的承担是否符合相关法律、法规的规定,关于管辖约定是否存在法律风险等,向企业就合同存在的合规问题、法律风险等进行提示。
就劳动人事方面的法律咨询、合同审核,律师应根据《劳动合同法》《劳动法》 及相关司法解释、部门规章的规定,重点关注招聘与入职管理、试用期管理、劳动合同管理、薪酬管理、福利管理与工伤管理、培训服务竞业限制保密期等方面的合规。注意除了劳动合同文本的严格审查之外,还需要对劳动合同的签署流程、条款设计,相关法律制度识别,以及强制性法律规定等进行提醒,并根据实际情况制定、设立和完善企业有关的劳动规章制度,特别注意
保证制度的合法性,保证制度必须符合实体法的规定,并遵循相应的程序,如涉及劳动关系解除的,应注意劳动合同解除前的程序问题,避免出现违法解除劳动合同的情形。
就企业需要的合规培训法律服务,律师应针对企业的需要和实际情况,对企业及其相关人员进行日常合规知识和技能的培训。
3.律师开展合规法律培训的流程为:
(1)律师应与企业沟通开展合规培训的主题; (2) 律师应根据培训主体,提前制作合规培训课件和讲稿,并发送给企业; (3) 律师进行现场合规培训,记录并回答听众的提问; (4) 在培训结束后,可以发放问卷调查,了解培训效果;也可以根据企业要求,设置考卷。
4.律师开展常年法律顾问项目,可定期(按季度或年度)向企业提交法律服务报告,就服务过程中了解到的合规问题、法律风险进行总结,并就该等合规问题、法律风险给出法律建议、意见。
第三十七条 刑事合规
刑事合规实际上是一种刑事犯罪风险企业内部防控机制。企业通过刑事合规,以刑事法律法规的标准来识别、评估企业在经营管理活动中可能发生的刑事法律风险,增强企业刑事犯罪风险预防及控制能力,同时也有利于刑事法律预防犯罪功能的实现。
(一)制定企业刑事合规计划
实践中,大部分规模较小的企业并未设立独立的法务或合规部门,在实际的业务操作中尚存在种种不规范行为。帮助企业量身打造一套有效的刑事合规计划,是律师可以提供的重要合规业务,属于律师事务所协助企业开展有效的企业治理的工作。
首先,根据企业的具体情况,律师事务所为其量身打造刑事合规计划,用以规避可能发生的刑事法律风险;
其次,在刑事合规计划的履行上,律师事务所可以通过企业日常经营对刑事合规计划的执行情况提出法律意见,并因地因时置宜地对企业的整体合规计划进行调整;
再次,当企业面对行政处罚或刑事起诉的危险时,律师事务所通过独立的合规调查,协助企业改进并履行合规计划,进行合规整改;
最后,律师事务所在危险解除后对企业合规经营制定方略,加强企业识别风险、堵塞漏洞、避免违法违规行为再次发生的能力。
(二)刑事合规调查服务
在企业刑事合规中,律师或律师事务所进行的刑事风险合规性调查,是指作为外部调查人对企业存在的刑事合规风险进行的调查活动。这种独立调查目的在于查明企业违规发生刑事法律风险的环节和漏洞、企业刑事合规的风险所在和应对效果等基本事实。
律师事务所作为独立的第三方专业服务机构,其进行的刑事合规性调查具有两方面的势,-方面,律师能更准确地在企业中主导刑事合规相关调查活动,因受律师执业规范的制约,律师对在调查中悉知的与案涉事实无关的信息和商业秘密可以进行很好的保护。
另一方面,由律师事务所进行刑事合规调查,可以通过专业的调查程序得到更为独立、准确的法律意见;同样是因为受到律师执业规范的制约,这样的调查结果更加客观公正,可信度也更高。
刑事合规调查通常分为刑事合规常规尽职调查和刑事合规内部调查。前者是在企业投资、并购及发展新的业务伙伴时,为避免业务及法律风险而进行的专业法律调查。后者则是企业内部的日常刑事合规调查或是企业在面临监管调查甚至刑事调查的情况下,由律师以独立身份进行专业的内部调查活动,以查明违规行为、确定责任人员、识别合规漏洞,为切割企业和员工个人责任做好应对的准备。
(三)执法调查的应对
在我国,企业的违法违规行为通常会面临两类调查,一是政府行政监管部门的调查,如市场监管、税务、金融监管等;二是刑事调查,由公安机关针对已经立案的单位犯罪行为进行调查取证活动。律师可以在前期完成企业内部刑事合规调查的基础上全程参与调查、协商、听证、讨论以及沟通等活动,运用专业的法律知识最大限度地为企业及时“止损”,降低各级各类风险。
律师的传统业务在企业刑事合规中对于应对行政监管和刑事调查能发挥重要的作用,主要体现在:企业接受政府监管部门]调查或者受到刑事起诉时,律师事务所可以为被行政监管的企业提供代理服务,及时在企业内组织行政合规整改,并与行政机关交涉,避免行政机关将案件转入刑事司法程序。对于已经被移送进入刑事司法程序的企业,律师事务所可以为其提供辩护或准辩护服务,使其最大限度地通过建立、完善和执行刑事合规计划,来获得不起诉、暂缓起诉、减免刑罚的机会。
(四)刑事合规业务具体操作模式简述
一是把握好供给与需求的关系。传统意义上律师服务企业的模式基本上就是担任常年法律顾问、办理诉讼和非诉案件、提供专项法律服务。过去几年间,在司法部和工商联等部门的安排下,律师先后两次大规模开展对民营企业免费法治体检活动,但效果都不是很理想,存在律师对企业法律风险排查不深入、提出法律意见流于形式,企业对律师体检不欢迎、意见建议不采纳等问题。开展刑事合规业务首先就要求律师对企业有深入的了解,找准企业迫切解决的涉刑风险关键点,一企-策,提出有高度针对性的意见方案,做到“真合身”“真管用",使企业能切实感受到刑事合规工作带来的好处,做到律师有利益,企业有需求。
二是把握好刑事合规与涉案企业整体合规的关系。目前开展的刑事合规改革试点主要是针对涉案企业,目的是检察机关通过督促涉案企业作出合规承诺、落实合规整改,对企业涉案人员做出依法不捕、不诉或者提出轻缓量刑建议。开展涉案企业合规改革试点只是企业合规工作的第一步,是一个激励措施,其目的是通过对涉案企业不予处罚或减轻处罚,给其他企业做出示范,引导企业强化合规意识,鼓励企业开展合规建设,完善企业合规机制,从事后合规走向事前合规。
三是要把握好运动员与裁判员的关系。外部律师在企业刑事合规业务中既扮演者裁判员的角色,也扮演者运动员的角色,因此要做好事前、事中、事后的各项工作。具体来说:在事前,担任企业的刑事合规法律顾问,指导企业建立-整套的刑事合规体系,从而预防各类法律风险;在事中,担任三方组织成员,履行监管人职责,配合监督好企业的合规建设;在事后,参与检察机关的合规不起诉工作,充当检察机关和企业之间的媒介。最高检《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》规定:第三方组织组成人员系律师、注册会计师、税务师(注册税务师)等中介组织人员的,在履行第三方监督评估职责期间不得违反规定接受可能有利益关系的业务;在履行第三方监督评估职责结束后-年以内,上述人员及其所在中介组织不得接受涉案企业、个人或者其他有利益关系的单位、人员的业务。因此,律师甚至律师事务所在从事合规业务时,要长远考虑,统筹安排,处理好裁判员与运动员之间的关系,在发挥好职能的同时实现利益最大化,防止出现相互冲突影响业务的情况。
四是要把握好个人与团队的关系。企业刑事合规涉及的业务范围非常广泛,除了法律业务,还涉及企业管理、财会审计、自然科学等相关领域,需要具有更广阔的视野、综合的知识面和业务能力,这对传统的刑事律师的知识结构提出了新的挑战,不仅需要我们具有专业的刑事法律知识,还需要有风险管理、内部控制、企业治理等方面的专业知识。因此,传统型的常年顾问模式已经不能满足合规业务的要求,要做好刑事合规业务,就必须组建一支汇集法律、财务/审计、风险管理等方面专业人员的合规管理队伍,才能帮助企业建立涵盖内部控制制度、风险规避、企业架构等方面的全方位的合规体系。因此,律师团队的组建、复合型人才的培养将是在企业合规领域取胜的关键所在。
五是要把握好当前与长远的关系。在当前涉案企业合规试点改革阶段,律师需要积极参与的工作主要包括向有关部门]提出意见建议、进入第三方组织专家库、开展涉案企业监督评估、帮助涉案企业争取合规不起诉等。但从长远来看,律师参与合规业务的主战场在企业,包括为企业制定完善的合规体系、搭建科学的组织架构、持之以恒开展合规培训,不断培养合规理念,持续监测刑事风险等。开展合规业务既要做好当下,又要着眼长远,才能发挥出律师应有的作用。
附则
第三十八条附则
本操作指引依据当前法律、法规及司法解释、监管规定等,并结合律师实务经验进行编写。
本操作指引仅作为北京市范围内的律师从事企业合规管理法律业务的参考,不具有强制性。
本操作指引由北京市律师协会法律风险与合规管理法律事务专业委员会解释。