国际标准化组织ISO发布《合规管理体系 要求及使用指南》(ISO 37301:2021,简称合规指南)替代七年前发布的ISO 19600:2014,前辈+同事徐永前先生与好友+同事陈立彤先生,分别以国内专家组首席专家和国内注册专家全程参与制定此新标准。飒姐以与这样的优秀律师为同袍而自豪,鉴于本文是合规指南发布第二天就首次发表,对文章中一些表述和中文译本略作修改,由于飒姐自身学术背景有一定互补性,恰近期研究刑事合规的本土实践,与大家聊一聊,合规管理体系整体升级对于中国企业的深刻影响以及如何在国内做好合规管理工作。
01ISO合规指南,对中国企业的作用
从合规要求的主体,我们可以分为国际合规计划和国内合规计划。ISO合规指南是由国际标准化组织(各国国际标准组织成员组成的世界性联合会),具体制定标准的是ISO技术委员会。因此,ISO合规指南是典型的国际合规计划,对于中国企业“走出去”参与国际贸易,具有重要意义。
因此,ISO合规指南直接辐射到的企业,多为国内大中型有国际贸易的企业或跨国集团。为什么飒姐排除了多如牛毛的小微企业,那是因为合规需要“人财物”和“时间成本”,沿海地区的小微企业生存周期3年左右,利润微薄且基本都卡在精准的供应链上,其做到ISO合规要求的成本过高,并不现实。但我们可以通过供应链核心企业进行ISO合规管理,从而带动和影响上下游中小企业的合规水平,从而打造“多赢”的局面。
对于有海外贸易和跨国业务的大型中型企业而言,ISO合规管理是进一步提升企业管理水平的重要契机。读者可能会问,即便不遵守ISO又能怎样,讲真,ISO是国际组织并没有国家强制力保障实施其规则,但这是一套国际通行的游戏规则。如果我国的企业不按照通行规则行动,则有可能会出现合作伙伴们统统不跟咱们玩的尴尬局面,没有交往没有交易。
鉴于我国专家组也参与了ISO合规标准的制定,既然是各国人民的智慧,中国企业也没必要一味抗拒,应该主动做出尝试,以便尽快提企业的国际竞争力。
因此,我们需要对各国人民集体的智慧进行采撷,而ISO合规新标准总结了各国经验,抽象出闭环程序,值得参考。
02合规是一揽子解决方案
合规,到底是个报告,还是一种管理方法,再或者是一种“在路上”的态度。学界和业界是有不同观念的。至今,对于什么是合规,学者、从业者还在争论不休。
从ISO合规指南的定义来看:“合规是一个持续的过程,是一个组织履行其义务的结果。”这里的“组织”指的就是咱们传统意义上的企业,当然还包括一些非企业的组织。由此得出,ISO这样的国际组织,其对合规的认知已经上升到“持续的过程”层面,又接地气地要一个“履行其义务的结果”。
在我国合规业界,还停留在“合规=法律风险报告”,合规就是为了预防犯罪和预防违法行为的认识层面,亟待更新观念。正如法学界对于苏俄“四要件”的批判一样,将罪与非罪的判断基于主体、主观、客体、客观四个方面,集齐即可是欠妥当的。要形成联动,甚至形成前后判断顺序和检验机制。我们来看合规新标准中“周而复始”的四个板块:“行动”(管理不合规的行为等;持续改进)“计划”(合规计划,包括公开承诺、合规范围、各部门职责、义务与风险);执行(严格执行合规计划,包括合规计划运行、控制与程序、书面化、支持机制、合规意识和能力、合规培训);检查(企业内部审核、管理评审、监督与评估、发现合规隐忧、展开调查);到这里,又回到第一部分“行动”,持续改进不合规的隐忧。
从英文原版的图表观察,飒姐认为有些公号上翻译的中文图有些没能get 精髓,其实ISO想强调的不是合规计划这个死制度,而是重点在act行动,合规不是个名词或动宾短语,更是动词,持续合规,不断修炼,接近“随心所欲不逾矩”的规范经营目的。
ISO毕竟是国际组织,并未强行推行某一种合规理念,而是首先表明对于各个企业所处的法律环境和人文环境进行实事求是地认知,理解该企业所处的特殊环境(这里用了context一词,词根text是编织交错的意思,con是一起),因此,充分理解企业生长、发展的盘根错节的社会关系网络和由此产生的规则,对于做好企业合规起着基础性作用。
03谁来开启企业合规的程序
鉴于ISO合规新标准还是基于“企业内部视角”,对于外部机构和监管机关的着墨不多。但根据一般社会常识,一个商业主体好端端赚钱,为啥要花时间成本和真金白金在一个看起来没有即时经济效益的繁琐事上?
真实情况往往是被罚款182.28亿之后;被追缴税收8亿+之后;实控人被约谈之后,才想起要为企业做个全面合规体检,内部检查时往往避重就轻,不痛不痒,曾经有一位合规总监苦笑着说:忙活了一个月,最终就查到一个在厕所里抽烟的。其实,这些年大型互联网平台挖了不少司法系统的办案能手,个个都是科班出身,功底深厚,他们不是不知道风险在哪,而是身在此山中,只能说云深不知处。
比较可行的办法是聘用第三方机构,如今的第三方机构五花八门,咨询公司、工作室、律所、会所、科技公司、智库,甚至还发现一例家族传承办公室也做这块业务,采访过其中几位老友,为啥要做合规业务,答曰:赚钱,于是我核算了其成本,发现纯利润不高,远比不上诉讼案件的性价比和成就感,那到底是为了啥,后续了解到,还是为了黏住企业客户,发展成现金流客户。我倒是觉得其实视野可以更开阔些,监管机关、司法机关在企业合规中也要起到作用,五六年前P2P行业的合规计划有相当一部分是由监管机关统一招投标遴选会所、律所,咱不说网贷自身问题,且说监管技术和监管科技,地方监管机关的智慧是值得肯定的。同时,检察院扮演者提醒大家守住底线的重要角色,推进合规计划与“相对不起诉”制度的衔接,让企业真正做到,合规就不会身陷囹圄。
04谁来为合规负责?
企业合规,并不是把责任压给没有生命的法人(企业)。ISO直接将最高管理机构(股东会中心主义和董事长中心主义无论如何缠斗,他们都是合规的义务主体)绑定进来,作为承担责任的领导者,参与合规计划的制定、执行、反馈等。
也就是说,对于企业最高管理决策机构而言,合规责任实际上是与自己绑定在一起的:
(1) 企业合规成为其必须完成的义务;
(2) 建立一套维护合规企业文化的制度;
(3)决策机构内部就要有合规功能(直接汇报通道;定期提交合规报告);
(4)设置合理的授权体系以保障合规顺利进行;
(5)用通俗语言书面制定合规要求,确保容易理解;
(6)设立合规文档制度,确保方便被获取;
(7)合规计划要合理,不可强人所难;
(8)不折不扣执行合规计划;
(9)确保及时有效的合规汇报机制;
(10)建立可量化的行动计划;
(11)建立一套提升良好结果发生的制度
……(内容太多,飒姐就不一一翻译了哈,目前请大家以ISO官网的英文版本为准,未来会有中文官方译本出现,请诸位盯紧官网,付费领取)
05支持与配套措施
ISO合规新标准,除了对谁为企业合规负责的问题进行详细阐述,还对如下板块进行了要求:
(1)合规计划:揭示风险、制定合规目标、进行变革;
(2)合规支持:资源匹配、员工培训、警告与沟通、建章立制;
(3)执行合规计划:筹划与控制合规进程;建立合规程序;内部调查;
(4)表现评估机制:监督手段、分析与评估、反馈机制、资料保存、内部纪检、管理理念等;
(5)改进计划:持续改进;不合规与纠错机制。
总结一下,从企业内部合规计划的成果而言,飒姐认为,结合ISO合规指南,与多年从事合规服务的经验,建议拟合规企业在合规过程中形成如下十个成果(飒姐个人观点,仅供读者参考,非官方建议):
(1)风险甄别报告;(实务里有很多其他叫法,比如风险尽职调查或风险报告等,主要目的就是自查自纠,从刑法、行政法、民商法以及政策和道德要求上提出风险点,有些还有加权等,制作成图表,风格可以不统一,但风险点要足够全面。)
(2) 建章立制;(设置配合合规目的的各种内部规章制度,修改决议、合同等)
(3) 员工培训;(这也是市面上找飒姐最多的一类,我认为应该区分高管和普通员工,根据其对公司的影响,分别进行普法教育和警示宣导)
(4)内部调查;(这是企业纪检难度最大的一个方面,目前接举报比较多,在资金流和业务流中发现异常主动调查的较少;请注意,企业内部调查注意维护员工的隐私,以取证为目的不是以逼迫员工“认罪”为目的)
(5)程序救济;(没有程序申诉的实体权利,就是废纸一张。应当允许员工有渠道申诉)
(6)反馈与评估;(以往使用反馈表的办法,虽然笨,也能反映出很多问题;飒姐建议与技术相结合,整理一套及时反馈系统)
(7)内部授权体系;(授权清晰,接触到某业务的人留痕)
(8)文书和证据保存体系;(不注意保留自证清白的证据,是通病)
(9)合规建议书;(针对企业风险现状和现有改进条件,给出整改意见并监督执行)
(10)如有必要,准备法律意见书,供监管机关和司法机关检查和办案时参考,争取主动。
写在最后
合规这个赛道,远比我们想象更具挑战。找到问题,只是个辛苦活儿;解决问题,才是烫手山芋。要想把国际标准中国化,或者移植某种制度安排,亟需行政和解与“相对不起诉制度”的有效衔接,否则,合规就有点像自说自话的童话故事,在中国生根儿需要的配套基础设施。
同时,企业合规虽然讲的是对企业行为的规范,实则是对企业内部每一个人的规制与监督。而这种对于个人的“盯防”是否会引起对于公民合法权益的侵害,需要诸位认真反思,企业也是由活生生的人组成的,尊重人,爱护人,才能真正培养出百年老店。好了,今天聊到这里,ISO此举必将引起合规界重视,我们拭目以待。
