企业合规管理与律师实务操作指引(下)
北京市律师协会企业合规管理与律师实务操作指引
目 录
第一章合规管理建设总则
第一条术语与定义
第二条基本原则
第二章合规组织与职责
第三条企业党委(党组)作用
第四条董事会职责
第五条经理层职责
第六条主要负责人作用
第七条合规委员会职责
第八条首席合规官职责
第九条业务及职能部门职责
第十条合规管理部门职
第十一条监督部门职责
第十二条全员合规责任
第三章合规制度建设
第十三条基本管理制度
第十四条合规重点领域
第四章合规风险识别、评估与应对
第十五条合规风险识别
第十六条合规风险分析
第十七条合规风险应对
第十八条合规风险处置
第五章合规运行机制
第十九条合规风险预警
第二十条合规审查
第二十一条合规联席会议
第二十二条合规报告
第二十三条违规举报
第二十四条违规调查
第二十五条违规问责
第二十六条合规整改
第二十七条合规保障
第六章合规体系评价
第二十八条合规绩效考核
第二十九条合规管理有效性评估
第三十条合规管理体系改进
第七章合规文化建设
第三十一条合规理念
第三十二条合规培训
第八章企业合规管理法律实务
第三十三条合规体系建设
第三十四条合规专项咨询
第三十五条合规监管调查
第三十六条常年合规顾问
第三十七条刑事合规
附则
第三十八条附则
第二十四条违规调查
(一)违规调查概述
企业对于已经发生的违规事件或潜在可能发生的违规事件可以启动违规调查工作。违规调查可以由举报管理部门依职权申请调查、也可以通过举报人的合规举报启动调查。
违规调查应遵守以下原则:合法、公平、公正、独立、保守秘密。
(二)违规调查的启动评估
原则上,在正式启动调查前,均需要对是否启动调查进行前期的评估工作,主要评估要素包括:
1. 是否属于调查范围;
2. 调查的必要性判断;
3. 风险级别及类型;
4. 对组织商务活动的影响;
5. 是否需要采取证据保全措施。
(三)违规调查的工作流程
企业可以根据自身的情况制定适合的调查流程,一般的调查流程可以包括以下几个主要环节:
1. 立项通知;
2. 调查计划;
3. 事实调查;
4. 当事人沟通;
5. 出具报告。
(四)违规调查的结论与处理
违规调查的结论主要是对违规问题的总结分析,对负面的行为要定性并做出具体的处理意见。结论可分为几类:不属于违规行为,无需处理;可内部处理的违规行为,在内部进行追责问责;违法行为需要提交司法机关处理。需要注意的是,调查结论也可以对正面的合规行为进行⿎励。处理意见一般包括以下内容:
1. 违规行为的处理建议;
2. 合规管理问题的改进建议;
3. 是否需要提交监管、司法部门做进一步处理。
调查结论的发送对象应考虑必要性和保密要求。
(五)合规检查
企业纪检监察机构、审计、巡视部门、企业合规部门及企业业务部门分别在其职责范围内,围绕企业经营管理工作及合规问题整改工作进行合规检查。不同于违规调查,合规检查一般在企业年度工作计划中列明,或根据企业经营实际需要发起。合规检查是通过主动性的自查发现企业合规风险或问题,并针对风险和问题提出整改意见,最终目的是通过对整改意见的贯彻落实,健全规章制度、优化业务流程、堵塞管理漏洞,提升依法合规经营管理水平。
合规检查分为全面检查或专项检查。合规检查主体在其职责范围内定期或随时发起合规检查,就已签订合同、已制定决策、已开展的经营管理工作是否合规进行检查,并应对就检查结果出具书检查报告。经合规检查发现风险或问题的,应当在检查报告中明确提出整改意见,相关部门及员工应当落实整改意见。经检查发现违规问题需要进入调查程序的,按违规调查流程处理。
第二十五条 违规问责
(一)违规问责概述
违规问责是指对企业高级管理人员及员工的违法、违规、违纪、违约行为进行责任追究的活动。如造成资产损失或者严重不良后果对,移交问责部门。如涉及违反刑法或其他国家层面的法律、法规,应按规定移交给司法部门或相关政府部门。
(二)违规问责部门
问责部门是指依据《公司法》、《劳动合同法》、《劳动法》、《民法典》等法律法规、公司章程、员工手册、财务管理制度、生产管理规定、公司合规清单、合规问责制度等规章制度,依据调查结果,对问责对象进行问责及实施的部门,通常问责部门为企业合规部门,实施部门为人力资源部门。
(三)违规问责的要求
问责原则须坚持实事求是、问责程序和结果合规、有错必究、问责与整改相结合等原则。
企业应当高度重视违规行为追责问责机制,制定专门的违规问责制度,明确责任范围,细化问责标准,针对问题和线索及时开展调查,将违规行为性质、发生次数、危害程度等作为考核评价、职称评定、提拔使用等工作的重要依据。
企业合规部门应跟进追责问责的执行情况,且将执行记录一并记录在档案中,最终执行完毕视为追责问责完成。
第二十六条 合规整改
合规整改是指合规检查部门与合规管理部门共享信息、共同商议违规事件发生的原因、场景及从违规事件调查中找到本质问题和共性问题,做出问题整改建议。整改建议书应有具体的整改问题、原因、整改责任主体及要求执行完成的具体时间、整改验收的方式等主要内容。
依据违规事件发生的原因,改进措施的要求不同,改进措施可以包括以下几种类型:
1. 制度的缺失或制定不完善:应要求制定制度、补充或修改制度;
2. 有制度未执行:应要求相关部门执行制度、执行留痕,且出现此类情况可能制度的执行监督体系也会出现问题,要一并整改制度监督环节;
3. 职责不清、职责混乱:此类情况适用于出现无法问责、不知向谁追责的情况,应要求相关部门、人力管理部门厘清部门职责、岗位职责;
4. 合规管理体系无效或不系统、不全面:如果多个部门、多个岗位出现问题,可能不是某一点合规管理的问题,需要统筹查看整个合规管理体系是否合理、是否完善,如必要应启动合规管理体系的重建。
合规管理部门应对整改过程进行执行监督。一般情况下,整改部门都可能会延迟或者整改不到位,合规管理部门应对整改的质量进行把控,对照整改要求和整改内容进行检查监督,如不符合整改要求应要求再次整改。
第二十七条 合规保障
企业应当为合规管理人员履行职责提供必要支持和便利条件,包括但不限于人员、培训、宣传、场所、设备、经费、薪酬等人力物力保障。
(一)合规管理队伍保障
企业应当设置合规负责人岗位,统一负责企业合规管理工作。合规负责人应当通晓相关法律法规和准则,诚实守信,熟悉企业相关业务领域,具备胜任合规负责人所需的专业知识、经验、资质,最近3年未被监管机构实施处罚或采取重大行政监管措施等。
企业可以通过内部规章制度对合规负责人设置其他任职要求和条件,但应以保证企业负责人具备履职能力、资格以及信用良好为基本要求。
企业董事、监事、高级管理人员符合企业对于合规负责人的任职要求和条件的,在其职责与合规负责人职责不发生⽭盾的情况下,经企业通过有效的内部决策程序聘请,可以兼任合规负责人。
企业应当设置专门的合规管理部门,该部门对合规负责人负责及报告工作,按照企业内部规章制度及合规负责人的安排履行合规管理职责。合规管理部门及其人员不得承担与合规管理冲突的其他职责。
企业应当为合规管理部门配备足够的、具备与履行合规管理职责相适应的专业知识和技能的合规管理人员。
企业各业务部门应指定合规管理人员,负责业务部门内部合规审查等工作,并负责与合规管理部门的日常联络、报告工作。
合规负责人认为必要时,可以企业名义聘请外部专业机构或人员协助其工作,费用由企业承担。
(二)合规业务培训及文化建设保障
企业应当加强合规管理队伍建设,为合规管理人员提供业务培训,提升专业能力水平。企业应当重视企业整体合规培训及宣传教育,确保合规管理人员以外的其他员工能够充分理解合规管理的重要性及工作要求,使员工具备风险防范意识,积极配合合规管理工作。
企业应把合规经营管理情况纳入企业各部门及部门负责人的年度考核内容,细化评价标准。对员工合规管理职责情况进行评价,并将结果作为员工考核等工作的重要依据。
企业应当加强合规宣传教育,及时发布合规手册,组织签订合规承诺,强化全员守法诚信、合规经营意识。
(三)合规管理人员薪酬待遇保障
企业应当建立合理的合规管理人员薪酬制度,在工作称职的情况下,合规管理人员薪酬待遇不得处于企业同级别岗位薪酬待遇平均水平。
(四)合规管理工作条件和工作环境保障
企业应当保障合规负责人、合规管理部门及业务部门内合规管理人员充分履行职责的必要条件,保障其履职所需的知情权及调查权。企业召开董事会会议、经营决策等重要会议以及合规负责人要求参加或者列席的会议的,应当提前通知合规负责人。合规负责人有权根据履职需要参加或列席有关会议,查阅、复制有关文件、资料。合规负责人根据履行职责需要,有权要求业务部门人员对相关事项进行说明,向为公司提供审计、法律等服务的机构了解情况。
企业应当保障合规管理人员工作具有独立性。企业股东、董事、监事、高级管理人员不得违反规定职责及程序,直接向合规负责人或合规管理部门下达指令或干涉其工作。企业董事、监事、高级管理人员及各业务部门应当支持和配合合规管理人员工作,不得以任何理由限制、阻挠合规管理人员履行职责。
合规管理部门由合规负责人考核。业务部门内合规管理人员的考核方式应当由合规负责人参与,不得采取仅由业务部门评价、以业务部门经营业绩为依据等不利于合规管理独立性的考核方式。
(五)合规管理信息化建设保障
使用信息技术已成为企业合规体系有效运行的重要保障与支持。在合规管理中,可运用信息技术记录和保存企业相关信息,将合规制度、典型案例、合规培训、违规行为记录等纳入信息系统,运用大数据等技术工具,开展实时在线监控和合规风险分析,实现信息集成与共享;可利用信息化手段开展合规培训,尤其是对业务繁杂、分支机构多的企业,利用合规在线培训系统能够实现培训内容统一、培训情况可跟踪、培训效果可评价、培训人员可记录目标。
企业应当强化合规管理信息化建设,通过信息化手段优化管理流程,记录和保存相关信息。运用大数据工具,加强对经营管理行为依法合规情况的实时在线监控和风险分析,实现信息集成与共享。
企业可寻找合适的信息技术合作商并建立长期的合作关系,共同进行研究,为企业合规法律服务产品增添信息化模块。实力特别强、合规业务规模特别大的企业合规管理团队可以考虑引进专业信息技术人才。
在开展企业合规项目时,对相关合规计划和举措,企业应有意识地研究能否通过信息化手段实现。对能够实现的,应将其纳入企业合规建设方案中。
第六章 合规体系评价
第二十八条合规绩效考核
企业将合规管理情况作为法治建设重要内容,纳入对机构、部门和干部、员工的年度综合考核,细化评价指标。强化考核结果运用,将合规职责履行情况作为员工考核、干部任用、评优评先等工作的重要依据。
合规绩效考核的对象为合规制度适用的机构、部门和干部、员工。
合规绩效考核以企业合规制度为依据,对机构、部门和干部、员工开展合规各项控制措施和相关管理规定的行为,按照考核标准,实行评价和管理。
合规绩效考核纳入企业薪酬管理体系,遵循公平、公正、公开的原则,以客观指标和明确的分值来评价员工履行岗位职能的合规情况。
合规绩效考核依据外部监管要求和内部制度,通常以企业《合规手册》为直接依据,《合规手册》内容应完备齐全。
第二十九条 合规管理有效性评估
“合规管理有效性评估”是指企业根据监管要求或参照相关标准、依据,对合规管理活动及其所发挥的实际效用进行评估的行为。
(一)合规管理有效性评估概述
企业合规管理评估通常既包括有效性评估,还包括完整性评估。前者是为进一步指导企业完善合规体系设计,并注重对合规体系的有效实施与有效运行进行评估,适合于已建立合规管理体系的企业参考;后者则旨在指导企业建立合规体系,扩展合规管理职能及完善合规要素和合规内容。
企业应当定期开展合规管理体系有效性评估,针对重点业务合规管理情况适时开展专项评估,强化评估结果运用。
大多数中央企业从合规管理职责、合规管理重点、合规管理运行、合规管理保障四个方面进行合规管理体系建设。同样,在开展合规管理有效性评估时,也是参照此结构进行评估。
在评估指标体系中,具体指标并不固定,需根据企业实际情况和项目需求量身定制,在实践中倾向于使用具有较强弹性的评估指标,充分考虑评估的阶段性特征的同时,也要兼顾评估深度和调查实操性、评估重点和全面性的平衡。
大型企业开展合规管理有效性评估工作时,需要遵循全面性原则。合规管理有效性评估应当覆盖企业经营管理活动的全过程,评估指标应当系统、全面。总集团和下属企业之间的利益往来、合规管理体系的统筹安排都是评估工作的重点。
对跨国经营型企业在开展合规管理有效性评估工作时,需要注意中外合规管理要求的差异。对于跨国经营型的企业来说,不能只关注本土合规管理的有效性,对于有业务合作或进出口往来的国外地区的法律制度也要严格遵守。
(二)合规管理有效性评估的流程
合规管理有效性评估应定期开展。其一般流程为:
1. 作出评估决定。
2. 成立评估项目工作组。企业需要成立合规管理评估工作组。企业可以聘请第三方机构或者由企业各部门抽调相关人员组成联合评估工作组,并且明确负责人,开展合规管理有效性的评估工作。应当确保评估小组具备独立开展合规管理有效性评估的权力,并确保评估小组成员具备相应的履职能力。评估小组的权力应来自于企业最高管理层的授予,要切实保障评估小组可独立顺畅地开展评估工作,全企业人员应尽全力予以支持配合。
3. 文档收集和审查。评估小组需要获取和审阅合规管理体系设计、执行的相关文档,包括合规管理政策和程序、内部审计报告、与企业的合规运营及经营活动相关的各类文件。
4. 现场检查与评价。评估小组可通过调查问卷、调阅资料、实地查看、个人访谈等手段来深入挖掘信息、查找存在的问题,把各种途径渠道了解到的信息进行交叉印证,对企业合规管理制度的完备性、体系的完整性、机制设置的适当性和运行的有效性以及合规文化的环境氛围做出全面的评价。
5. 评估信息的分析。评估小组可以通过分析所收集的重要信息,对企业合规管理体系的状况进行详细评估,利用表格、矩阵如实地反映企业当前的合规管理体系运转及执行状态,同时对应目前行业领先的企业合规管理所采用的指标框架,将合规管理体系内各个重要元素分别进行对标。
6. 完成评估报告。最终评估结果应当以书面报告的形式展现,应当包括评估结果和意见、阐述企业合规管理工作涉及按重要性排序的风险及事项,并提供下一步潜在工作的具体意见。
7. 提出改进方案。
(三)合规管理有效性评估的具体评价指标
指标1:合规管理体系建设是否横向覆盖集团所有管理职能、经营管理业务和经营区域,是否纵向贯通集团内所有企业?
指标2:治理层、管理层、执行层是否明确合规管理责任机构及其管理职责,职责分工是否明确、各司其职,相关人员配备是否适当?
指标3:是否制定了规范本企业规章制度建设工作的制度性文件和规章制度更新的标准化流程?是否明确规章制度建设的统筹部门?规章制度是否已覆盖全部业务领域和管理职责,且内容合法,符合企业实际?规章制度能否根据外部法律监管环境的变化以及企业管理的实际需要及时调整更新?是否建立了合规管理基本制度及其配套规定和重点领域的专项规定?规章制度是否已有效宣传贯彻?
指标4:是否已对合规风险进行有效的识别和评估,并及时调整更新?是否已根据合规风险级别合理配置资源,采取有效措施防控重大合规风险?是否已通过内部检查、审计等方式检验合规风险防控措施的有效性?是否已建立有效的合规风险预警机制?
指标5:是否已持续开展合规宣传,使企业内部形成合法合规经营的企业文化?是否对员工持续进行合规培训?是否已建立有效的合规风险报告机制?是否有专业系统和数字化手段保障合规管理要求落实?是否已将合规指标纳入企业及员工的绩效考核?是否已建立违规追责机制?
第三十条 合规管理体系改进
合规管理体系改进,是合规管理循环以及风险管理过程的必备步骤。唯有改进,才能完成一个合规管理循环。合规改进的步骤,包括两部分:一是对不合规的纠正。二是改进和改善已有的合规措施。纠正和改进对企业来说是合规管理的重要组成部分。
纠正和改进可以将某些负面事物转化成对风险识别,流程优化,风险管控有利有益的信息和机会,为合规管理中的预防和监督部分提供有价值的内容,为合规培训提供活生生的案例,并帮助提升企业的合规和道德文化。
企业根据合规审计和体系评价情况,进入合规风险再识别和合规制度再制定的持续改进阶段,保障合规管理体系全环节的稳健运行。
企业应积极配合监管机构的监督检查,并根据监管要求及时改进合规管理体系,提高合规管理水平。
为保证合规风险闭环管理,企业应明确合规管理改进政策,定期评估合规管理体系的有效性,并将测试监控的成果纳入改进工作。
企业应根据内外部环境变化,持续调整和改进合规管理体系。
第七章 合规文化建设
合规文化是指与合规组织机构、制度、运行机制、评价与追责等相互作用,有利于规范合规行为的价值观、道德、信念和行为。
第三十一条合规理念
(一)合规理念培育
企业应由决策层、管理层确立合规目标和价值观,通过入职教育、合规手册、合规承诺、合规培训、企业网站、宣传手册等各种方式使全员建立合规理念,并将合规理念与制度、岗位相结合,促使企业形成依法办事、按规经营的合规文化。
(二)合规理念实施
企业应引导全体员工自觉践行合规理念,同时向企业的供应商、分包商、客户、代理人等利益相关主体宣传企业的合规理念,以认同本企业合规理念作为交易前提,将合规理念转化为交易条款(如廉洁条款、安全生产条款),促使企业与利益相关方形成共同守法合规的合规文化。
第三十二条 合规培训
(一)合规培训目的
企业应以形成良性企业文化为目的,以全体员工(含管理层)及商业合作伙伴等利益相关方为对象开展企业培训,通过培训传递合规理念、政策和承诺以及对于员工、商业合作伙伴的要求,促进形成企业文化,减少企业合规风险。
(二)合规培训内容
合规培训应充分考虑企业的运营环境、商业模式、组织结构、生产经营目标、合规风险现状、员工的合规能力水平等因素基础上确定培训内容:
1. 全员合规培训
全员合规培训侧重于:
(1)普及企业基础的合规理念、合规政策和要求;
(2)组织内部现有的合规制度、管理流程等与业务活动紧密相关的合规要素;
(3)岗位职责、合规清单和员工行为准则等内容。
确保员工理解、遵循企业的合规目标和要求,为员工行为划定规范和边界,使得员工特别是重要风险岗位人员熟悉并严格遵守业务涉及的各项规定。
2. 管理层培训
(1)引导管理层重视合规,把合规文化建设纳入企业战略层面;
(2)侧重于合规与企业治理关系,企业合规管理体系的构架和建设;
(3)管理层的合规责任。
将合规管理纳入企业党组织法治专题学习,促进管理人员切实提高合规意识,带头依法依规开展经营活动,认真履行承担的合规管理责任。
3. 合规专项培训
(1)针对特定业务部门或者新入职员工等相关人群的专项培训(如重点领域合规指南、操作手册)
(2)针对高风险岗位(如采购、营销、财务、人事)的专项培训
(3)针对行业或企业内部发生的风险事件的复盘和整改专项培训
4. 针对相关第三方的合规培训
针对企业的供货商、经销商、代理商和商业合作伙伴,将企业对利益相关第三方的行为合规要求明确传达,如反腐败、安全合规等要求。
(三)合规培训形式
企业应建立多层次、立体式、常态化、制度化的合规培训机制,丰富合规培训的形式和方式。例如面授培训和线上培训。
1. 面授培训,一般为定制化培训,有利于吸引受训对象思考,方便参与互动。
2. 线上培训,可以通过漫画、动画、游戏、电影、案例等多种方式高频次输出,不受时间和空间限制。
(四)合规培训时间
企业应结合实际情况建立常态化的合规培训机制,制定并实施定期培训、专项培训计划。企业开展培训时应保留完整的培训记录,使企业面临监管执法检查、司法诉讼时具备相关证据。
1. 企业明确定期培训的频次要求,持续性进行合规文化输出。
2. 企业应在发生以下情况时开展特定的专项培训:
(1)在企业外部的法律法规及政策、市场环境变化等对合规风险造成重大影响时开展专项培训;
(2)在企业的内部战略、政策方针、经营模式、主营业务等发生变化致使合规义务变化时点开展专项培训;
(3)在员工职务、职责发生重大变化时,需要针对新的职务、职能进行针对性培训。
(五)合规培训结果反馈
在合规培训结束后,通过问卷调查、合规知识考核、合规数据分析等方式进行培训效果评估,对现有的培训计划、培训内容和培训重点进行调整,持续保持合规培训的有效性。
第八章 企业合规管理法律实务
律师可以通过研判企业的商业行为,在掌握国家有关法律法规、规章、监管规定、行业准则、规范性文件、国际条约、规则、商业惯例和道德规范,企业依法制定的章程及规章制度、企业标准、自愿性承诺等的基础上,出于帮助企业有效防控合规风险的目的,协助企业进行合规管理和合规体系建设,为企业提供咨询、代理等专项法律服务和顾问服务。
律师从事的企业合规管理法律服务类型,包括但不限于合规体系建设、合规专项咨询、合规监管调查、常年合规顾问以及刑事合规。
第三十三条 合规体系建设
(一)定义
合规体系建设:指结合企业的实际情况在企业内部建立起一套以有效防控合规风险为目的,以企业和员工经营管理行为为对象,开展包括制度制定、风险识别评估和预警、合规审查、风险应对、责任追究、考核评价、合规培训、合规文本库的形成和完善等有组织、有计划的体系。
(二)合规体系建设业务的开展
1. 律师开展合规体系建设法律服务时,应与企业签订专项法律服务合同,明确服务内容和服务范围。合规体系建设的服务内容多,业务复杂,通常期限较长,建议法律服务合同签订期限至少为6个月。
2. 律师提供合规体系建设的法律服务内容包括但不限于:开展合规尽职调查工作、梳理合规规则、拟定《合规风险报告》、拟定《合规管理体系建设方案》、建立合规管理体系构架、合规运行流程、合规义务收集与风险评估、体系文件策划与编制辅导、合规培训、合规体系的运行和测试、档案管理、成果验收等。
其中尽职调查工作、拟定《合规风险报告》等属于合规体检的内容。
3. 开展尽职调查工作:与企业的法务部门(或者合规业务部门)对接,可通过发放调查问卷、研究企业提供的资料、公开途径检索调研,必要时与主要业务部门进行访谈、实地走访的方式,了解以下内容:企业的沿⾰、治理结构、管理架构、业务、业务的主要利益相关者、劳动用工、财务税收、合规管理现状(现有制度流程的梳理、自愿性承诺、协助义务的收集和整理)、各部门的合规意识等。与企业特点有关的重点领域合规分析(治理机构、市场交易、合同管理、投资管理、债务管理、资本运作、安全环保、产品质量、工程建设、劳动用工、财务税收、知识产权、信息安全、数据管理、商业伙伴、社会捐赠与赞助、出口管制等)。
尽职调查的目的在于了解企业的基本情况、风险管理情况、合规意识情况、对于建设合规管理体系的有利和不利之处。
4. 梳理合规规则:根据企业的特点和类型,总结企业涉及的合规要素,梳理与企业行业、业务、所涉国家的相关的法律法规、监管规定、行业准则以及国际条约、规则等。
5. 拟定《合规风险报告》:根据尽职调查的发现,对标现行《合规管理体系指南》及《中央企业合规管理指引(试行)》、《中央企业合规管理办法》等政策法规标准,帮助企业了解目前的合规管理水平,全面掌握企业的合规管理工作现状,发现与标准准则的差距,总结合规风险,确定风险管理的优先层级,拟定《合规风险报告》。
6. 拟定合规体系建设方案:根据企业合规管理需求,制定符合《合规管理体系指南》、法律规定、企业治理结构实际要求的合规管理体系建设方案,并在获得企业认可后协助企业实施。建设方案应当包括明确合规制度的牵头部门,比如由合规委员会或企业法治建设领导机构等法律事务机构为合规管理牵头部门,完善企业治理结构的建议,董事会、经理层、合规委员会、业务及职能部门、合规管理部门的合规职责、合规管理架构的搭建、合规负责人的确定、合规岗位的设置、合规岗位的合规职责、合规管理制度建设、具体合规规范建设、合规运行机制、评价体系的设计、合规文化建设的建议等。
7. 建立合规管理体系构架、运行流程:协助企业依照《合规管理体系指南》搭建合规管理体系及制定合规管理方针,体系应覆盖企业各业务领域、部门,贯穿全业务流程。通过业务过程梳理和组织结构的优化,明确合规管理责任制并梳理各业务流程环节的合规管理要求、合规绩效和职责。同时补充完善合规管理流程框架,包括合规风险识别评估预警和防范流程、违规行为调查流程、问责流程、监督流程、投诉与举报流程等。
8. 合规义务收集与风险评估:协助企业梳理各环节适用法律法规、标准及其他合规要求,并编制《重要合规义务清单》、《风险清单》及合规性检查清单。建立合规义务识别机制,全面系统地梳理经营管理活动中存在的合规风险,指导业务部门进行识别评估,并制定风险管控措施。包括反舞弊、反商业腐败、反垄断、反不正当竞争、生态环保、财务税收合规、知识产权、安全生产、数据安全、职业健康、劳动用工等方面。识别企业全生命周期的合规风险,并指导建立典型合规风险分析与控制措施策划、合规管理具体制度或专项指南、合规风险应对预案。
企业风险评估需要考虑企业经营管理活动涉及的行业监管动态、将出台和实施的新政策等。需要对风险发生的可能性、影响程度、危害性、潜在后果等进行系统分析,综合考量定性分析(如是否构成刑事案件)、定量分析(单次金额、占比,是否构成重大损失或严重不良后果)、发生频次(偶发或常发)等,对典型性、普遍性或者可能产生严重后果的风险及时预警。
9. 体系文件策划与编制辅导:策划合规管理体系文件架构,辅导企业梳理各环节合规管理的相关要素及其过程文件,并将其转化编制成企业管理文件,包括合规手册、合规风险库、合规义务清单、合规管理方针、合规运行制度、保障制度等管理制度、管理规范等。
作为企业经营管理的参考,律师可以协助企业建立合规文本库,内容可以包括:(1)相关法律法规库(定期更新);(2)企业分级分类的合规制度和流程库;(3)合规风险清单和应对预案库;(4)合规风险数据库(定期更新);(5)合规管理体系有效性评价和评价结果运用库(6)合同文本库(可按照不同行业和领域进行细分)。
为了更好适应企业现代化的发展,律师可以协助企业就上述文本库进行信息化,形成更容易使用的现代化管理工作。
10. 合规培训:组织企业对不同层级、不同业务部门的人员开展合规初始培训,向员工下发合规手册,让员工签署合规承诺函等,导入合规理念。合规培训为企业合规文化建设的重要组成部分。
11. 合规管理体系的运行和测试:按照企业合规管理体系建设方案,协助企业合规管理部门成立和运作、合规管理文件颁布和实施,并形成运行《测试报告》。组织并检查企业总体层面、各部门、各业务流程内部控制的体系运行工作;协助企业定期对合规管理体系的有效性进行分析,对重大或反复出现的合规风险和违规问题,深入查找根源,完善相关制度,优化业务流程,堵塞管理漏洞,强化过程管控。
12. 档案管理:根据《合规管理体系指南》的要求,从应对监管部门调查的⻆度,协助企业完善归档流程、应存档文件清单、重要存档文件模板。
13. 成果验收:提请企业合规管理部门对合规管理体系建设的情况进行验收。
第三十四条 合规专项咨询
(一)定义
合规专项咨询服务,系指律师依据国家法律法规、规章、监管规定、行业准则、规范性文件、国际条约、规则、商业惯例和道德规范、企业的章程、制度文件、企业标准、自愿性承诺等合规依据,就企业提出的针对企业的商业模式、特定业务、特定项目、特定事项,提供合规咨询法律服务,根据企业要求出具法律备忘录、法律意见或法律意见书等。商业模式,如社交电商;特定业务,如对美国的出口业务,涉及到出口管制的合规审查;特定项目,如某个对外投资项目,涉及到被投资地的合规要求;特定事项,如劳动人事部门关于与员工解除劳动合同是否合法合规、企业数据安全合规体系的建设、企业业务中的反舞弊风险排查的合规服务、对企业进行合规体检、协助企业建立合规运行机制、协助企业建立合规体系评价机制、协助企业进行合规文化建设等合规体系建设之专门环节的法律咨询等。
(二)合规专项咨询的开展
1. 律师开展合规专项咨询服务,应与企业签署专项法律顾问合同。
2. 律师开展专项合规咨询服务的业务流程包括:了解委托事项的背景情况,掌握涉及委托事项的法律法规、监管规定、行业准则、规范性文件、国际条约、准测,商业惯例和道德规范以及企业章程、规章制度、企业标准、自愿性承诺,根据该等合规规定及要求对企业之委托咨询出具法律意见。
就数据安全合规的专项合规咨询,数据安全合规是企业合规的重要组成部分,律师应根据《民法典》《数据安全法》《网络安全法》《个人信息保护法》《网络安全审查办法》《电子商务法》《消费者保权益护法》《征信业管理条例》《电信和互联网用户个人信息保护规定》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《数据出境安全评估办法》等;还有其他规范性文件和国家标准,例如《APP违法违规收集使用个人信息自评估指南》《网络安全等级保护基本要求》《大数据安全管理指南》等相关规定,围绕数据处理、流转的合法合规问题,结合企业内部制度文件,就企业数据安全管理体系是否完整,可否有效识别、防范风险及应对风险,以及企业拟开展业务的业务模式、操作流程以及业务过程中的合作对象、数据主体的类别等出具合规法律意见。
就企业关于反舞弊风险排查的专项合规咨询,律师可开展尽职调查业务,向企业了解全面的业务背景、业务流程,查阅业务文件,深入走访了解企业架构、业务模式、财务制度、审批流程、岗位职责、重点人员等情况,拟定访谈方案、起草访谈清单,对相关人员进行访谈,起草尽职调查报告,进而根据《民法典》《刑法》的相关规定,对企业员工是否存在舞弊行为以及处理意见、整改建议等出具合规意见。
就企业关于关联企业合规治理的专项咨询,律师应先开展尽职调查工作,全面了解关联企业的关联关系、财务管理制度、组织架构、决策机制、人员任免、人员薪资发放、奖金发放等制度文件,自关联企业独立性、决策的有效性以及执行的可操作性等⻆度出具合规审查意见。
就企业关于股权并购的专项合规咨询,律师应了解标的股权的性质,标的股权转让的原因,标的企业的性质,出让方与受让方的性质,股权转让价格及定价原因等背景情况,如股权并购不涉及国有资产,则律师应结合《公司法》、企业登记管理条例、企业章程、内部制度等规定,就股权转让的内部授权手续是否完备、交易是否公允性等交易是否符合交易主体的内部规定、企业章程、企业登记相关规定、税务是否合规等给出合规意见;如涉及国有资产的,还需根据国有资产转让相关规定,结合标的股权是否进行挂牌,是否经过评估,是否经过章程、内部制度规定的决策流程等,就标的股权的转让是否符合公司法、企业国有资产法、监管规定、企业章程、内部控制制度、税务规定等给出合规意见;如涉及上市企业的,还需根据上市企业监管规定,对是否履行信息披露义务等给出合规意见。
就企业关于海外业务的专项合规咨询,律师应协助企业健全海外经营合规制度,根据跨境贸易、对外投资、承包工程等不同业务特点加强风险风控,尊重东道国国家或地区的法律法规、交易规则、国际规则、国际组织规则、监管规定,落实市场准入、安全审查、外汇管理、劳动保护、反洗钱、反贿赂等方面合规要求,就海外业务合规问题出具提示指引或制作合规清单,同时注重保护环境和履行社会责任,防范经济制裁、出口管制、技术封锁等方面法律经营风险,以切实维护企业在海外合法安全,维护国家主权、安全和发展利益。
就企业关于新开拓业务的合规专项咨询,在无明确法律规定和监管规定的情况下,律师应依据近似业务领域的法律法规、交易规则、国际规则、监管规定,同时对新业务之本质进行剖析,结合现有法律法规,对该业务的合规性进行分析,并就此向企业出具法律意见,帮助企业把控风险。
第三十五条 合规监管调查
(一)定义
合规监管调查:系指企业或者企业人员出现或涉嫌违规行为,已经或者可能受到境内外行政机关、司法部门、国际组织的监管时,企业委托律师开展的应对法律服务,以达到平稳处理,控制风险的目的。
(二)合规监管调查业务的开展
1. 律师开展合规监管调查服务时,需与企业签订专项法律顾问合同,明确服务内容和服务范围。
2. 开展尽职调查工作:调查的内容包括违规行为是否存在、违规行为所涉及的具体事实经过、违规行为人的任职情况和个人其他情况、企业的管理规定、与违规行为有关的业务流程等。
3. 梳理合规规则:梳理与违规行为有关的法律法规、地方性规定、政策文件、监管规定等合规规则。
4. 出具《合规调查报告》:内容包括详细的违规行为事实发生经过、有关合规规则、对违规行为性质的分析、违规行为的处理建议。
如企业或企业人员不存在违规行为的,则协助企业或企业人员出具法律意见或陈述意见,就相关行为发生的背景、经过、有关合规规则和法律规定,对相关行为的性质进行分析,出具法律意见。
5. 区分违规行为的不同情况,以及企业对违规行为处理的相关意见,协助企业对实施违规行为的责任人予以劳动纪律处理、民事诉讼追究或者刑事报案。
需要注意的是,与合规管理体系建设法律服务不同,律师开展合规调查法律服务时,应当承担严格的保密责任,同时注意避免利益冲突。
律师在从事合规监管应对法律服务时,除以上工作流程外,还应当协助企业对外发布与合规监管有关的信息。包括违规/不违规事实、受到合规监管的情况、企业的态度、违规事实的处理情况等。
第三十六条 常年合规顾问
(一)定义
律师为企业提供合规顾问服务,既可以上述专项法律顾问的方式进行,也可与企业签署常年合规法律顾问合同,以常年法律顾问的形式开展。
(二)常年合规顾问的业务领域包括:
1. 对与日常法律事务相关的法律、法规、政策提供解答和咨询,并进行必要法律、法规、政策和相关司法解释的收集整理,应企业要求及时向企业提供。
2. 对企业提供的与企业日常经营有关的法律合规问题,根据中国法律、法规、政策及律师实践提供专业法律合规咨询意见或建议;
3. 应企业要求,审阅、审查、修改和草拟与日常法律事务相关的法律文件,及与各商业合作伙伴的各种协议、合同、章程、契约等各类法律文件;
4. 企业其他关联方如有重大事项,应企业要求为企业提供法律合规方面的解答和咨询;
5. 应企业之要求,就企业已经、面临或者可能发生的纠纷,进行法律分析,提出解决方案,出具律师函,发表律师意见,或者参与非诉讼谈判、协调、调解;
6. 为企业提供合规培训法律服务;
7. 协助企业处理与员工的劳动关系;
8. 应企业要求协助或代理企业参加有关涉及法律及商贸事务的谈判、签约;
9. 其他企业委托的常年法律事务。
(三)常年合规顾问业务的开展
1. 律师开展常年合规顾问法律服务,应与企业签署常年法律顾问合同,在服务期限内,为企业日常业务开展、企业运营等提供全面的法律合规服务。
2. 律师为企业提供法律服务时,应完整、准确了解企业的法律服务需求,而后在企业要求的时限内,依据相关法律、行政法规、监管规则、政策要求、行业准则、商业管理、道德规范及企业的章程、内部制度等规定,为企业提供高效、优质、具有针对性的法律服务。
就企业治理合规的日常合规咨询,要区分企业行为和个人行为,完善企业相关制度,避免出现个人行为和企业行为混同,主要以岗位职责分工、建立审批流程等方式完成。
就业务类合同审核法律服务,律师应关注合同签署主体是否具备签署合同的主体资格、是否具备履行合同的能力或资质、相关业务的开展流程、各方权利义务、责任的承担是否符合相关法律、法规的规定,关于管辖约定是否存在法律风险等,向企业就合同存在的合规问题、法律风险等进行提示。
就劳动人事方面的法律咨询、合同审核,律师应根据《劳动合同法》《劳动法》及相关司法解释、部门规章的规定,重点关注招聘与入职管理、试用期管理、劳动合同管理、薪酬管理、福利管理与工伤管理、培训服务竞业限制保密期等方面的合规。注意除了劳动合同文本的严格审查之外,还需要对劳动合同的签署流程、条款设计,相关法律制度识别,以及强制性法律规定等进行提醒,并根据实际情况制定、设立和完善企业有关的劳动规章制度,特别注意保证制度的合法性,保证制度必须符合实体法的规定,并遵循相应的程序,如涉及劳动关系解除的,应注意劳动合同解除前的程序问题,避免出现违法解除劳动合同的情形。
就企业需要的合规培训法律服务,律师应针对企业的需要和实际情况,对企业及其相关人员进行日常合规知识和技能的培训。
3. 律师开展合规法律培训的流程为:(1)律师应与企业沟通开展合规培训的主题;(2)律师应根据培训主体,提前制作合规培训课件和讲稿,并发送给企业;(3)律师进行现场合规培训,记录并回答听众的提问;(4)在培训结束后,可以发放问卷调查,了解培训效果;也可以根据企业要求,设置考卷。
4. 律师开展常年法律顾问项目,可定期(按季度或年度)向企业提交法律服务报告,就服务过程中了解到的合规问题、法律风险进行总结,并就该等合规问题、法律风险给出法律建议、意见。
第三十七条 刑事合规
刑事合规实际上是一种刑事犯罪风险企业内部防控机制。企业通过刑事合规,以刑事法律法规的标准来识别、评估企业在经营管理活动中可能发生的刑事法律风险,增强企业刑事犯罪风险预防及控制能力,同时也有利于刑事法律预防犯罪功能的实现。
(一)制定企业刑事合规计划
实践中,大部分规模较小的企业并未设立独立的法务或合规部门,在实际的业务操作中尚存在种种不规范行为。帮助企业量身打造一套有效的刑事合规计划,是律师可以提供的重要合规业务,属于律师事务所协助企业开展有效的企业治理的工作。
首先,根据企业的具体情况,律师事务所为其量身打造刑事合规计划,用以规避可能发生的刑事法律风险;
其次,在刑事合规计划的履行上,律师事务所可以通过企业日常经营对刑事合规计划的执行情况提出法律意见,并因地因时置宜地对企业的整体合规计划进行调整;
再次,当企业面对行政处罚或刑事起诉的危险时,律师事务所通过独立的合规调查,协助企业改进并履行合规计划,进行合规整改;
最后,律师事务所在危险解除后对企业合规经营制定方略,加强企业识别风险、堵塞漏洞、避免违法违规行为再次发生的能力。
(二)刑事合规调查服务
在企业刑事合规中,律师或律师事务所进行的刑事风险合规性调查,是指作为外部调查人对企业存在的刑事合规风险进行的调查活动。这种独立调查目的在于查明企业违规发生刑事法律风险的环节和漏洞、企业刑事合规的风险所在和应对效果等基本事实。
律师事务所作为独立的第三方专业服务机构,其进行的刑事合规性调查具有两方面的势,一方面,律师能更准确地在企业中主导刑事合规相关调查活动,因受律师执业规范的制约,律师对在调查中悉知的与案涉事实无关的信息和商业秘密可以进行很好的保护。另一方面,由律师事务所进行刑事合规调查,可以通过专业的调查程序得到更为独立、准确的法律意见;同样是因为受到律师执业规范的制约,这样的调查结果更加客观公正,可信度也更高。
刑事合规调查通常分为刑事合规常规尽职调查和刑事合规内部调查。前者是在企业投资、并购及发展新的业务伙伴时,为避免业务及法律风险而进行的专业法律调查。后者则是企业内部的日常刑事合规调查或是企业在面临监管调查甚至刑事调查的情况下,由律师以独立身份进行专业的内部调查活动,以查明违规行为、确定责任人员、识别合规漏洞,为切割企业和员工个人责任做好应对的准备。
(三)执法调查的应对
在我国,企业的违法违规行为通常会面临两类调查,一是政府行政监管部门的调查,如市场监管、税务、金融监管等;二是刑事调查,由公安机关针对已经立案的单位犯罪行为进行调查取证活动。律师可以在前期完成企业内部刑事合规调查的基础上全程参与调查、协商、听证、讨论以及沟通等活动,运用专业的法律知识最大限度地为企业及时“止损”,降低各级各类风险。
律师的传统业务在企业刑事合规中对于应对行政监管和刑事调查能发挥重要的作用,主要体现在:企业接受政府监管部门调查或者受到刑事起诉时,律师事务所可以为被行政监管的企业提供代理服务,及时在企业内组织行政合规整改,并与行政机关交涉,避免行政机关将案件转入刑事司法程序。对于已经被移送进入刑事司法程序的企业,律师事务所可以为其提供辩护或准辩护服务,使其最大限度地通过建立、完善和执行刑事合规计划,来获得不起诉、暂缓起诉、减免刑罚的机会。
(四)刑事合规业务具体操作模式简述
一是把握好供给与需求的关系。传统意义上律师服务企业的模式基本上就是担任常年法律顾问、办理诉讼和非诉案件、提供专项法律服务。过去几年间,在司法部和工商联等部门的安排下,律师先后两次大规模开展对民营企业免费法治体检活动,但效果都不是很理想,存在律师对企业法律风险排查不深入、提出法律意见流于形式,企业对律师体检不欢迎、意见建议不采纳等问题。开展刑事合规业务首先就要求律师对企业有深入的了解,找准企业迫切解决的涉刑风险关键点,一企一策,提出有高度针对性的意见方案,做到“真合身”“真管用”,使企业能切实感受到刑事合规工作带来的好处,做到律师有利益,企业有需求。
二是把握好刑事合规与涉案企业整体合规的关系。目前开展的刑事合规改⾰试点主要是针对涉案企业,目的是检察机关通过督促涉案企业作出合规承诺、落实合规整改,对企业涉案人员做出依法不捕、不诉或者提出轻缓量刑建议。开展涉案企业合规改⾰试点只是企业合规工作的第一步,是一个激励措施,其目的是通过对涉案企业不予处罚或减轻处罚,给其他企业做出示范,引导企业强化合规意识,⿎励企业开展合规建设,完善企业合规机制,从事后合规走向事前合规。
三是要把握好运动员与裁判员的关系。外部律师在企业刑事合规业务中既扮演者裁判员的角色,也扮演者运动员的角色,因此要做好事前、事中、事后的各项工作。具体来说:在事前,担任企业的刑事合规法律顾问,指导企业建立一整套的刑事合规体系,从而预防各类法律风险;在事中,担任三方组织成员,履行监管人职责,配合监督好企业的合规建设;在事后,参与检察机关的合规不起诉工作,充当检察机关和企业之间的媒介。最高检《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》规定:第三方组织组成人员系律师、注册会计师、税务师(注册税务师)等中介组织人员的,在履行第三方监督评估职责期间不得违反规定接受可能有利益关系的业务;在履行第三方监督评估职责结束后一年以内,上述人员及其所在中介组织不得接受涉案企业、个人或者其他有利益关系的单位、人员的业务。因此,律师甚至律师事务所在从事合规业务时,要长远考虑,统筹安排,处理好裁判员与运动员之间的关系,在发挥好职能的同时实现利益最大化,防止出现相互冲突影响业务的情况。
四是要把握好个人与团队的关系。企业刑事合规涉及的业务范围非常广泛,除了法律业务,还涉及企业管理、财会审计、自然科学等相关领域,需要具有更广阔的视野、综合的知识面和业务能力,这对传统的刑事律师的知识结构提出了新的挑战,不仅需要我们具有专业的刑事法律知识,还需要有风险管理、内部控制、企业治理等方面的专业知识。因此,传统型的常年顾问模式已经不能满足合规业务的要求,要做好刑事合规业务,就必须组建一支汇集法律、财务、审计、风险管理等方面专业人员的合规管理队伍,才能帮助企业建立涵盖内部控制制度、风险规避、企业架构等方面的全方位的合规体系。因此,律师团队的组建、复合型人才的培养将是在企业合规领域取胜的关键所在。
五是要把握好当前与长远的关系。在当前涉案企业合规试点改⾰阶段,律师需要积极参与的工作主要包括向有关部门提出意见建议、进入第三方组织专家库、开展涉案企业监督评估、帮助涉案企业争取合规不起诉等。但从长远来看,律师参与合规业务的主战场在企业,包括为企业制定完善的合规体系、搭建科学的组织架构、持之以恒开展合规培训,不断培养合规理念,持续监测刑事风险等。开展合规业务既要做好当下,又要着眼长远,才能发挥出律师应有的作用。
附 则
第三十八条附则
本操作指引依据当前法律、法规及司法解释、监管规定等,并结合律师实务经验进行编写。
本操作指引仅作为北京市范围内的律师从事企业合规管理法律业务的参考,不具有强制性。
本操作指引由北京市律师协会法律风险与合规管理法律事务专业委员会解释。
 |
扫描左边二维码手机访问 分享到微信 1. 打开微信,点击“发现”,调出“扫一扫”功能 2. 手机摄像头对准左边的二维码,打开文章 3. 点击右上角分享文章 |
 | 京ICP备12000547号-4 京公网安备11010502039877号 |
