本文作者:周传青律师
只要是接触过合规法律服务的人,应该都对ISO:《合规管理体系要求及使用指南》(以下简称“ISO”)耳熟能详。这份语言晦涩难懂、跨专业词汇颇多的文件,几乎是每个想要从事企业合规管理法律服务的律师研究的起点。它究竟包括哪些重要的内容?又如何利用这些内容进行涉案企业合规建设?笔者将作逐一解读。
一、ISO的前世今生
《中华人民共和国标准化法》规定,标准(含标准样品)是指农业、工业、服务业以及社会事业等领域需要统一的技术要求,包括国家标准、行业标准、地方标准和团体标准、企业标准。
《采用国际标准管理办法》规定,采用国际标准是指将国际标准的内容,经过分析研究和试验验证,等同或修改转化为我国标准(包括国家标准、行业标准、地方标准和企业标准),并按我国标准审批发布程序审批发布。国际标准是指国际标准化组织(ISO)、国际电工委员会(IEC)和国际电信联盟(ITU)制定的标准,以及国际标准化组织确认并公布的其他国际组织制定的标准。
ISO(InternationalOrganizationforStandardization)即国际标准化组织,是当前全球范围内最大的综合性国际标准化机构。ISO出具的文件类型主要有国际标准(InternationalStandards)、技术规范、技术报告、公共规范、国际研讨会议和指南。
年4月13日,ISO国际标准正式发布实施,这是继年《ISO合规管理体系指南》(以下简称“ISO”)生效之后出台的更新替代标准。
年10月12日,GB/T-《合规管理体系要求及使用指南》(以下简称“GB/T-”)作为ISO等采转化的国内标准正式实施,全部代替标准GB/T-《合规管理体系指南》(以下简称“GB/T-”)。
据此,我们可以厘清几个关键点:第一,“标准”是指特定领域统一的技术要求,企业合规管理的标准ISO就是企业在合规管理领域可以适用的统一的技术要求;第二,ISO出具的标准,经过等同或修改可以转化为我国标准,也就是我们常见的推荐性国家标准或强制性国家标准;第三,合规管理的滥觞是年由ISO颁行的ISO,在年被等采为国家推荐性标准GB/T-。年,ISO结合多年企业合规管理实践经验反馈,颁行了ISO,全面替代ISO。年,ISO又被等采为国家推荐性标准GB/T-,替代了GB/T-。
因此,目前最新的企业合规管理国际标准为ISO,中国国家推荐性标准为GB/T-。由于是等采,GB/T-可以说是ISO的中文译本。当然,GB/T-在附录也特意增加了4页“补充使用指南”,针对中国国情对ISO中的一些术语作出了中国化的解释。
二、ISO与涉案企业合规整改的关系
根据最高检《关于开展企业合规改革试点工作方案》,涉案企业合规是指检察机关对于办理的涉企刑事案件,在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等的同时,针对企业涉嫌具体犯罪,结合办案实际,督促涉案企业作出合规承诺并积极整改落实,促进企业合规守法经营,减少和预防企业犯罪,实现司法办案政治效果、法律效果、社会效果的有机统一。
ISO作为企业管理领域统一的适用要求,包含的主要内容是企业合规体系建设的各大要素,根据ISO的技术要求建立的合规属于企业管理领域的“大合规”,属于企业日常经营管理、防范日常合规风险的范畴。
结合笔者办案经验,涉案企业合规首先要求涉案企业弥补法益、实现经营和管理模式的去犯罪化,并在此基础上构建企业合规管理体系。笔者梳理了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》《涉案企业合规建设、评估和审查办法(试行)》等文件中企业合规建设的相关内容,发现它们不成体系,也不深入细致,无法成为有效的涉案企业合规建设指引。笔者又梳理了《中央企业合规管理指引(试行)》《中央企业合规管理办法》《企业境外经营合规管理指引》等文件,发现它们的内容万变不离其宗,都是根据ISO的要素延伸而来,对于涉案企业合规具有一定参考性,但仍然存在体系性不够、缺少逻辑性等问题,不能直接适用。
在此背景下,提供涉案企业合规法律服务的律师,可以提炼并利用ISO中的合规要素对涉案企业进行合规整改建设。另一方面,通过提炼ISO的合规要素,律师就掌握了企业合规的底层逻辑,在不同的案件中可以选择适用不同的要素组合方式,把控合规建设模式和节奏。
三、提炼ISO中的合规管理要素并运用于涉案企业合规建设
合规管理要素是指构成合规管理体系的必要因素,有了这些要素,合规管理体系才能完整建立、正常运行。上面这张图包含了ISO中合规管理的所有要素。
(一)底层要素——组织及其所处的环境
底层要素是企业开展合规管理体系建设的基石,就像图片中体现的那样。通常来说,企业面临的环境分为内外两种。
外部监管环境包括法律法规、国家政策、强制性标准、法院判决、指导性案例和司法解释、党内法规等。另一方面,外部监管环境还包括企业自愿选择遵守的要求,如与第三方合作达成的协议、自愿加入的组织、团体、以及对外披露的政策等。
内部环境则指企业自身发展现状,包括企业文化、企业的经营战略与业务模式、业务性质和业务范围、企业自身内部的组织架构、管理政策、现有资源以及与第三方伙伴的关系等。
涉案企业合规中,本部分要素体现为律师介入案件后的基础工作——了解企业基本信息、进行犯罪成因分析以及合规差距分析,以识别企业原有制度的漏洞,便于企业或从无到有生成制度,或对已有制度进行修订。
这里的制度不仅包括宪法性的合规管理制度,也包括针对具体方面的合规政策,比如环保、反商业贿赂、招投标、税务等,还包括这些制度、政策的落实细则,以及这些落实细则的操作流程,属于层层细化、简化,最后到员工手里可能就是易于操作的一页纸的内容。
(二)顶层要素——合规目标及原则
合规目标指合规管理体系建设需解决的问题或所追求的价值,合规原则指指导、约束企业建设合规管理体系的方针。
比如透明原则,就强调了及时报告和披露合规信息,通过举报违规行为或及时披露信息,及时采取措施应对不合规问题进而降低合规风险。可持续性原则,则强调了合规管理体系并非建成就一成不变了,而是通过不断调整和更新推动体系建设发展。
合规原则比合规目标更为具体,是贯穿在合规管理体系建设过程中的指引。
涉案企业合规中,合规目标可以结合核心要素一起向企业全体人员宣贯,合规原则则主要指导律师和企业参与合规管理建设的人员进行工作。
(三)核心要素——领导作用、合规治理及合规文化
1.领导作用
企业的经济性以及治理结构,决定了企业的决策权、话语权等掌握在实控人或高层手里,有浓厚家族背景和个人色彩的中国企业更是如此,所以合规体系的建构都是“自上而下”地推动。只有企业实控人、管理层重视并大力推行,员工才有动力去了解和执行,所以发挥领导作用是合规建设的核心之一。
涉案企业合规中要求企业、领导层、管理层签署合规承诺、承担合规建设职责,便旨在发挥他们的领导示范作用,以显示企业对合规整改的重视,推动员工了解、理解合规整改工作。
2.合规治理
合规治理是ISO新设立的合规管理体系版块,它的主要作用在于明确负责合规管理的合规团队在企业内部治理架构中的地位及权力。实践中,合规团队可以单独成为部门,也可以和法务、风控合署办公,但必须保持独立,有充分的资源支持,并且有权力“上传下达”。合规治理的形式也多种多样,有首长负责制、集体决策制等。
涉案企业也要有负责开展合规工作的组织机构,并且要形成体系。为使合规整改工作顺利、彻底地推进,合规组织体系一般分为横向和纵向两条组织线贯穿于涉案企业的组织架构,以比较标准的合规组织架构为例,顶头的是合规委员会,负责把握公司整个的合规政策和方向,下属可能有首席合规官、合规部门等负责上传下达的岗位或组织,再往下走就是设置在各个部门的合规专员,负责本部门合规工作的具体落实。这是竖向的合规条线。横向的组织架构中最重要的是与其他部门的分工协调,以及合规组织架构的独立性。分工很好理解,指的是合规工作部门与同级其他部门工作内容的协调,法务和合规部门可以合署办公,也可以分开。独立性主要指保障合规部门拥有直接向公司董事会汇报工作的权力,首席合规官有时也同时是董事会成员之一。
3.合规文化
合规文化指贯穿整个组织的价值观、道德准则、信念以及影响第三方伙伴的行为和做法,它和其他要素相互作用,产生有利于合规成果的行为准则。笔者认为合规文化是最重要也是最难确立的合规管理体系要素之一,实践中,制度和政策是有限的,但总是存在许多灰色地带,一旦企业形成了合规文化,它将在很大程度上帮助员工在缺少规制的情境下作出符合公司合规价值观的正确选择。
合规是舶来品,涉案企业合规是“中西结合”的产物,在许多国内企业仍不具备现代公司治理结构的今天,需要律师把专业术语转化为大白话跟他们解释,让他们理解合规是什么、为什么要做合规、如何做合规、他们如何参与、对他们有什么切实的好处等内容。虽然是思想方面的东西,但一点都不虚无缥缈。涉案企业合规建设离不开公司全体员工的参与,唤醒全体人员的合规意识,是磨刀不误砍柴工,非常有助于合规文化的形成。
(四)执行要素——可循环推动的合规管理结构
这是一个“PDCA”(Plan-Do-Check-Act)的管理模型,企业首先要有合规计划,然后通过执行政策、流程和程序使得这一体系运作,并在运作的过程中不断进行合规体系有效性绩效评估,进而以此为基础不断改进合规体系。它强调了合规管理体系并非一成不变,是一个循环推动的管理模式。在执行合规计划的措施时,又会引入合规的运行机制,对应“Do-Check-Act”这一过程,协助落实并巩固合规计划的工作成果。
涉案企业合规启动后的工作起点便是制定一份详细的合规计划,在检察院或第三方组织确定的考察期间内,逐步落实、执行,并在执行中检验其有效性。在执行、检验、改进合规计划的时候,需要启动合规运行机制。利用运行机制可以巩固前期制度性纠错的工作成果,也可以加强企业的日常性合规管理。
合规运行机制一般包括事前预防流程、事中识别流程和事后合规管理流程。
首先,事前预防流程指的是涉案企业日常为防范合规风险而做的一些预防性工作,包括定期合规风险评估、合规尽职调查、合规培训等内容。
其次,事中识别流程指的是涉案企业针对合规风险进行的监控工作,包括合规性审查机制、合规审计、举报机制以及合规报告制度,就像启动一个扫描仪或者摄像头,实时监测是否有合规风险即将或正在发生。
最后,事后合规管理流程指的是涉案企业对违规事件的处理体系,包括对违规事件和人员的调查,对涉事人员的奖惩,以及相应对合规管理体系的再评估和改进。
至此,借助ISO提炼出的合规要素,涉案企业合规管理的建设内容就清晰呈现了。
作者介绍
传青律师,外交学院法学学士、香港大学法学硕士,长期专注于企业法律风险管理、公司商事、刑事辩护与合规等领域,曾为多家大型企业担任法律顾问,提供公司上市、并购重组等综合非诉服务,承办过多起各地、各类型首批企业合规整改案件,所办理的涉证券类适用第三方监督机制企业合规案,被最高人民检察院收录为第三批涉案企业合规典型案例。系企业合规师考试教材《企业合规事务管理》编写人员,《中小企业管理体系有效性评价适用指南》编委会成员,曾发表《从ISO到ISO——企业合规管理标准修订变化解读》《新一代企业竞标利器——可认证的国际合规管理标准ISO》《刑事合规尽职调查实务探讨》等多篇专业文章,被“中国律师网”“威科先行法律信息库”等知名法律平台转载。
部分典型案例:
1.广东某公司高管涉嫌内幕交易罪刑事合规项目(第三方监管人)
2.北京某小微企业实控人涉嫌销售假冒注册商标的商品罪刑事合规项目(第三方监管人)
3.上海某上市公司及实控人涉嫌对非国家工作人员行贿罪刑事合规项目(不起诉)
4.北京某新三板上市企业涉嫌虚开增值税专用发票罪刑事合规项目(海淀区首批)
5.北京某小微企业涉嫌虚开增值税专用发票罪刑事合规项目(海淀区首批)
6.山东某环保企业涉嫌污染环境罪事前刑事法律风险分析和辩护(不起诉)
7.中国国际贸易促进委员会汽车行业分会合规建设项目