企業(yè)有效合規(guī)管理體系搭建要點

文/范磊 編輯/王亞亞

企業(yè)在“走出去”時，一定要綜合考慮各種規(guī)則的競合，如監(jiān)管規(guī)則、執(zhí)法動態(tài)以及企業(yè)實際業(yè)務(wù)風險等情況，以確定有效的合規(guī)管理體系。

當前，全球主要經(jīng)濟體不斷加強相關(guān)合規(guī)領(lǐng)域立法與執(zhí)法實踐，與此同時，我國多個細分領(lǐng)域的頭部企業(yè)也在加速“全球化”發(fā)展步伐。伴隨各類國際監(jiān)管風險的提升，企業(yè)迫切需要進一步加強全球合規(guī)體系建設(shè)，要推動企業(yè)合規(guī)體系建設(shè)從風險應(yīng)對型向風險防控型進行轉(zhuǎn)變。

有效的全球合規(guī)體系能夠?qū)崿F(xiàn)合規(guī)管理與企業(yè)業(yè)務(wù)模式、組織架構(gòu)的深度融合；可滿足企業(yè)內(nèi)部以及全球范圍內(nèi)不同監(jiān)管規(guī)則的適用要求；對內(nèi)可擴大內(nèi)部影響力與執(zhí)行力，促進企業(yè)內(nèi)部合規(guī)文化形成；對外可塑造誠信、透明國際合規(guī)形象，推動企業(yè)上下游構(gòu)建合規(guī)生態(tài)，增強跨文化背景下的國際監(jiān)管信任度，并最終形成內(nèi)部有效、外部認可的合規(guī)保障機制，為企業(yè)的全球化發(fā)展保駕護航。筆者從實務(wù)出發(fā)，從落地有效性角度分析企業(yè)全球化合規(guī)體系建設(shè)的要點。

以國際標準構(gòu)建企業(yè)合規(guī)管理體系并不斷優(yōu)化

為了滿足全球化合規(guī)的快速發(fā)展和迫切要求，2021年4月13日， ISO 37301：2021《合規(guī)管理體系要求及使用指南》（Compliance management systems — Requirements with guidance for use）（下稱《合規(guī)要求及指南》）國際標準正式發(fā)布實施?！逗弦?guī)要求及指南》在引言中提出，“組織范圍內(nèi)一個有效的合規(guī)管理體系應(yīng)該確保一個組織可以去證明其有效遵守了相關(guān)的法律、法規(guī)、行業(yè)準則、組織標準，并滿足了好的治理標準、通行的最佳實踐，以及道德和公眾的期待。”企業(yè)合規(guī)是企業(yè)對經(jīng)營管理中所有適用規(guī)范的普遍遵循。從管理體系落地角度來說，企業(yè)需要結(jié)合自己所在行業(yè)、業(yè)務(wù)開展區(qū)域/國家的政策環(huán)境，分析企業(yè)面臨的各類風險程度、抗擊風險能力等，在此基礎(chǔ)上綜合評估企業(yè)面對的風險等級并給與治理序列，以制定和推動企業(yè)全球化合規(guī)管理體系的搭建。

除《合規(guī)要求及指南》之外，我國發(fā)展和改革委員會等相關(guān)部委也出臺了企業(yè)相關(guān)合規(guī)管理工作指引，此外，境外美國商務(wù)部、財政部、司法部，世界銀行等政府機構(gòu)與國際組織均制定了相關(guān)的合規(guī)體系建設(shè)指導文件，這些政策文件提煉出來的核心原則和內(nèi)容往往就是眾多國際企業(yè)有效合規(guī)體系建設(shè)的經(jīng)驗，更代表了監(jiān)管機構(gòu)對企業(yè)合規(guī)體系構(gòu)建的標準認知。因此，企業(yè)應(yīng)深入研究相關(guān)合規(guī)制度與體系構(gòu)建指引，找到不同合規(guī)領(lǐng)域、監(jiān)管機構(gòu)國際組織合規(guī)體系構(gòu)建指引的相同處或相似點，夯實企業(yè)合規(guī)管理體系搭建的基礎(chǔ)。一個有效的合規(guī)管理體系包含了高層重視與組織建設(shè)、風險評估、流程嵌入、合規(guī)培訓、文檔保存、合規(guī)審計、違規(guī)處理與改進、合規(guī)手冊與持續(xù)更新（簡稱“八要素”）內(nèi)容，轉(zhuǎn)化成企業(yè)內(nèi)部管理語言，就是要在企業(yè)組織、制度、流程、工具、文化等方面搭建起適應(yīng)公司發(fā)展的合規(guī)管理體系，進而形成“有規(guī)可依、有規(guī)必依、知規(guī)守規(guī)、違規(guī)必究”的PDCA（即Plan-計劃、Do-執(zhí)行、Check-檢查和Act-處理）循環(huán)理念和機制，以推動企業(yè)合規(guī)管理體系有效運轉(zhuǎn)。

以核心要素為抓手貫穿合規(guī)管理體系構(gòu)建全過程

隨著國際環(huán)境的變化，政府行政監(jiān)管愈發(fā)嚴格，中資企業(yè)在全球化的進程中不僅要在形式上構(gòu)建包含八要素的合規(guī)管理體系，更需要從合規(guī)有效性的角度將合規(guī)管理的各項要求嵌入到各業(yè)務(wù)環(huán)節(jié)中。

無論是出口管制、經(jīng)濟制裁、數(shù)據(jù)安全與個人隱私，還是反洗錢、反商業(yè)賄賂等，其合規(guī)構(gòu)建體系思路一致，只是在與業(yè)務(wù)結(jié)合時其重點關(guān)注要素不同。如出口管制以產(chǎn)品（硬件、軟件、技術(shù)、服務(wù)）為基礎(chǔ)管控，并結(jié)合國家、最終用戶和最終用途構(gòu)成核心管控要素；美國經(jīng)濟制裁以交易/合作主體作為基礎(chǔ)管控，并結(jié)合美元結(jié)算、特定行業(yè)和特定國家的因素構(gòu)成核心管控；數(shù)據(jù)安全和個人隱私以數(shù)據(jù)為核心管控要素；反洗錢和反商業(yè)賄賂均以金錢或者任何金錢等價物為核心管控要素。

合規(guī)管理體系對核心要素的運用，需從風險梳理和流程嵌入兩個維度來著手。在風險梳理環(huán)節(jié)，企業(yè)需要進行大量的業(yè)務(wù)訪談與調(diào)研、查閱整理現(xiàn)有流程制度、查看現(xiàn)有IT系統(tǒng)數(shù)據(jù)，在這個過程中可在問卷設(shè)計、人員訪談、流程制度與IT數(shù)據(jù)的調(diào)閱時提取核心要素，將復雜問題復雜場景簡單化。例如對于金融機構(gòu)和科技企業(yè)來說，經(jīng)濟制裁風險往往要與出口管制風險放在一起考量，因此，在對業(yè)務(wù)單位和人員進行訪談時，其問卷設(shè)計可圍繞交易/合作主體、美元結(jié)算、特定行業(yè)、特定國家、產(chǎn)品、最終用途這些核心要素進行提問。

在流程嵌入環(huán)節(jié)，企業(yè)需要提煉核心要素，并對業(yè)務(wù)流程進行分級分類管控。如在銷售領(lǐng)域做出口管制合規(guī)嵌入時，業(yè)務(wù)流程有商機、客戶、授權(quán)、合同、發(fā)貨等不同階段，企業(yè)可從產(chǎn)品、國家、最終用戶、最終用途四個要素，對這幾個階段進行分級管控。如在尋找商機或者開發(fā)客戶階段，因為缺乏具體產(chǎn)品信息、最終用途信息、產(chǎn)品發(fā)往國家信息等而導致合規(guī)部門無法給出是否可以進行交易的最終判斷，此時企業(yè)可在商機客戶階段進行用戶掃描和打標簽，將客戶/潛在客戶進行風險分類，并注上不同風險等級標簽；而在投標或者合同階段，企業(yè)因為獲得了產(chǎn)品、最終用途、最終用戶、目的國等信息，則可以結(jié)合商機/客戶階段的標簽來進行系統(tǒng)管控，決定合規(guī)部門具體參與的業(yè)務(wù)場景和業(yè)務(wù)環(huán)節(jié)；在發(fā)貨階段，企業(yè)也會存在核心要素變化情況，企業(yè)也需要進行一定合規(guī)管控。再比如在做個人隱私與數(shù)據(jù)保護合規(guī)的流程嵌入時，企業(yè)也需抓住各部門業(yè)務(wù)活動產(chǎn)生的數(shù)據(jù)，并進行標簽分類，然后根據(jù)標簽分類確定不同數(shù)據(jù)，結(jié)合不同數(shù)據(jù)保護法規(guī)、個人數(shù)據(jù)保護法規(guī)、網(wǎng)絡(luò)安全法規(guī)等政策要求，進行數(shù)據(jù)的流轉(zhuǎn)、存儲、使用等管控的嵌入。

推動頂層設(shè)計一體化、落地執(zhí)行本地化

合規(guī)是指經(jīng)營活動與法律、規(guī)則和準則相一致。合規(guī)的概念外延很大，廣義的“規(guī)”包括：法律法規(guī)、行業(yè)準則、企業(yè)內(nèi)部的規(guī)章制度乃至社會道德要求。企業(yè)在全球化經(jīng)營過程中尤其要考慮國際監(jiān)管形勢、法律法規(guī)和特定地區(qū)的宗教風俗。在確立管理制度方面，要考慮多地區(qū)監(jiān)管法規(guī)的統(tǒng)一性與特殊性問題。如，在出口管制合規(guī)方面，中國、美國、歐盟、日本等都有相關(guān)規(guī)定；在經(jīng)濟制裁方面，除了美國等各國自身規(guī)定外，聯(lián)合國和世界銀行等機構(gòu)也有相關(guān)規(guī)定。對于企業(yè)來說，將具有類似性質(zhì)的監(jiān)管法規(guī)在每個業(yè)務(wù)開展國家/地區(qū)都獨立建立一套完整的制度并不現(xiàn)實。較可取的方式是根據(jù)地方分支機構(gòu)面臨的風險狀況，選擇一部最嚴的法律作為總部基準；或從相關(guān)法律中尋找各個監(jiān)管法規(guī)的共性以建立總部制度，在具體制度一線落地之際，涉及到不同國家和地區(qū)的規(guī)定時，再采用當?shù)靥厥庑砸筮M行管理。

組織架構(gòu)與跨境管理兼顧全球化與本地化

在全球化合規(guī)體系組織架構(gòu)搭建方面，企業(yè)要考慮中國總部與海外本地信息渠道“上傳下達”的暢通，保證一線風險及時上升至總部、總部要求能夠快速落地到一線。在設(shè)置總部專職部門與海外業(yè)務(wù)部門專職崗位時，需明確職責，強化總部合規(guī)部門對海外專職或兼職合規(guī)人員的考核權(quán)限；對于海外分子公司的合規(guī)建設(shè)管理需結(jié)合分子公司情況與當?shù)貒鴺I(yè)務(wù)風險進行具體設(shè)計。若海外公司是分公司，母公司需承擔100%的合規(guī)監(jiān)管責任，總部可以將其視為一個部門進行管理。如果海外公司是子公司，則可能需要結(jié)合當?shù)啬澈弦?guī)領(lǐng)域風險狀況以子公司法人的模式來考慮合規(guī)建設(shè)。美國財政部海外資產(chǎn)管理辦公室規(guī)定，如果一個主體被制裁，其控制的股權(quán)超過50%的主體即自動被制裁。而美國商務(wù)部工業(yè)安全局出口管制相關(guān)指引和實踐表示，母公司被制裁，子公司不一定被制裁，除非母公司是子公司的殼公司或者代理機構(gòu)。基于類似監(jiān)管規(guī)定或者執(zhí)法實踐的共識存在，企業(yè)在海外開展業(yè)務(wù)時在考量究竟是設(shè)立子公司還是分公司時，也可以基于當?shù)睾弦?guī)監(jiān)管形勢和監(jiān)管要求做出安排，在符合相關(guān)可適用法律法規(guī)前提下可將母子公司的風險進行區(qū)分隔離。

以文化建設(shè)全方位推動合規(guī)體系有效性

從當前合規(guī)執(zhí)法實踐來看，有效的合規(guī)管理體系是監(jiān)管機構(gòu)對企業(yè)進行處罰時考慮是否減輕或者免除處罰的重要因素。幾乎所有與被制裁企業(yè)的和解協(xié)議中，都附帶有要求企業(yè)加強合規(guī)管理體系建設(shè)的條件。此外，監(jiān)管機構(gòu)在與企業(yè)達成和解的過程中，往往并不與個人達成和解，即對造成企業(yè)違規(guī)的個人采取繼續(xù)追責處罰的措施。因此，中企全球化合規(guī)管理體系建設(shè)須從形式合規(guī)轉(zhuǎn)向?qū)嵸|(zhì)合規(guī)，方能發(fā)揮作用。

所謂實質(zhì)性合規(guī)，是指合規(guī)管理體系八要素在企業(yè)有效落地，企業(yè)需從高層重視、合規(guī)培訓、合規(guī)審計等角度塑造其合規(guī)文化。高管要主動參加合規(guī)培訓，帶頭遵守公司合規(guī)要求，簽署合規(guī)承諾，要在自己分管的領(lǐng)域強化合規(guī)要求；合規(guī)部門也需要通過分級分類式的培訓、宣傳引導等方式將合規(guī)理念和知識傳遞至企業(yè)的各級人員和業(yè)務(wù)領(lǐng)域，通過開展合規(guī)審計、建立對員工的合規(guī)考核獎懲機制，以保證合規(guī)管理執(zhí)行的有效性。當然，保證合規(guī)主導部門工作的獨立性、合規(guī)工作資源得到足夠投入，在全公司努力下，人人配合合規(guī)工作、人人遵從合規(guī)工作程序及要求也是企業(yè)合規(guī)文化建設(shè)的重要部分，更是監(jiān)管機構(gòu)審視企業(yè)合規(guī)有效性的重點。這是當前部分中企在海外運營中可能忽視的地方。需要注意的是，合規(guī)管理制度建設(shè)得再完善，也都很難保證公司不發(fā)生違規(guī)行為，人員不遵守合規(guī)要求依然有可能帶來企業(yè)的違規(guī)風險，企業(yè)構(gòu)建有效合規(guī)管理體系的一個重要作用，就是將組織責任與個人責任相區(qū)分，一旦發(fā)生違規(guī)行為，如果監(jiān)管機構(gòu)認可企業(yè)合規(guī)體系的有效性，就可以僅處理違規(guī)人員。

在多重規(guī)則遵循中找到平衡點

企業(yè)全球化要遵守業(yè)務(wù)所在國的法律法規(guī)，但在具體實踐中可能存在不同國家對同一類型法律關(guān)系有不同規(guī)定的情況。對此，中資企業(yè)要綜合考慮監(jiān)管規(guī)則、執(zhí)法動態(tài)、企業(yè)業(yè)務(wù)與風險情況，綜合確定一套有效的規(guī)則競合處理方式。企業(yè)合規(guī)部門可從多個維度著手，一是緊緊抓住與自身公司業(yè)務(wù)緊密聯(lián)系的全球監(jiān)管動態(tài)，如對既定規(guī)則的深度研究、對不同規(guī)則的對比分析、對監(jiān)管機構(gòu)過往執(zhí)法案例的多維度歸納總結(jié)、對監(jiān)管機構(gòu)未來動向的持續(xù)追蹤等，可在合規(guī)部門內(nèi)部形成強大的信息儲備，提早研判與預期未來動向；二是緊抓公司戰(zhàn)略發(fā)展方向、全球市場布局、核心產(chǎn)品開發(fā)、客戶策略、供應(yīng)鏈分布及態(tài)勢，從而將對多重合規(guī)規(guī)則的研究與公司核心業(yè)務(wù)緊密結(jié)合，既從戰(zhàn)略上為公司最高層提供多重規(guī)則競合下全球化業(yè)務(wù)布局與安排的有效參考意見，也可在具體合規(guī)事宜上做好準備，保證企業(yè)在進行相關(guān)制度設(shè)計和合規(guī)管控舉措實施時取得平衡。如上文提到針對國際合同簽訂中考慮增加競合應(yīng)對的條款，針對業(yè)務(wù)執(zhí)行中可吸收合并的規(guī)則吸收合并，并以最嚴規(guī)則執(zhí)行，對不同國家的業(yè)務(wù)若規(guī)則競合則考慮采取分級分類與本地化業(yè)務(wù)經(jīng)營模式。在極端情況下，企業(yè)若無法取得平衡，可通過咨詢主管機關(guān)來解決，如果風險超過收益，企業(yè)則可能要考慮放棄部分地區(qū)的業(yè)務(wù)。

以品牌思維構(gòu)筑全球產(chǎn)業(yè)鏈合規(guī)生態(tài)

我國企業(yè)在“走出去”的過程中面臨跨文化挑戰(zhàn)，而跨文化最難解決的就是溝通和信任問題。如何向國外監(jiān)管機構(gòu)乃至上下游合作伙伴證明自身合規(guī)并且是長期持續(xù)合規(guī)？以品牌思維來運營和展現(xiàn)企業(yè)的全球化合規(guī)體系建設(shè)、加大符合國際標準的合規(guī)文化展示與宣傳才是正確的砝碼。

以品牌思維來打造全球化合規(guī)管理體系，需要企業(yè)在以國際認可標準打造企業(yè)合規(guī)體系的基礎(chǔ)上，積極開展合規(guī)品牌建設(shè)工作。首先，要加大與供應(yīng)商、客戶、代理機構(gòu)、銀行等上下游合作伙伴的合規(guī)互動，加大與全球合作伙伴在合規(guī)規(guī)則理解、合規(guī)體系建設(shè)成果、合規(guī)落地困難交流、合規(guī)資源共享等方面的溝通與協(xié)助；其次，企業(yè)需要重視面向社會大眾的合規(guī)工作宣傳，可通過參與或舉辦業(yè)界合規(guī)論壇來擴大公司的合規(guī)建設(shè)知名度，也可以通過發(fā)布企業(yè)合規(guī)白皮書、企業(yè)合規(guī)宣傳片等多種方式向社會大眾呈現(xiàn)企業(yè)合規(guī)建設(shè)成果；再者，企業(yè)可在扎實推進合規(guī)工作的基礎(chǔ)上，結(jié)合不同國家文化特點，與監(jiān)管機構(gòu)進行良性對話與互動。以品牌思維構(gòu)建與上下游合作伙伴、社會大眾、監(jiān)管機構(gòu)的良性合規(guī)互動，可進一步塑造企業(yè)誠信、真實、透明的合規(guī)形象，這將反作用于企業(yè)的業(yè)務(wù)安全與商業(yè)機會，推動中企在全球化的發(fā)展中更好地解決跨文化、跨規(guī)則系列問題，并最終行穩(wěn)致遠。