来源:肖飒律师狮姐
昨日,国际标准化组织ISO发布《合规管理体系要求及使用指南》(ISO:,简称合规新标准)替代七年前发布的ISO:,一时间引发合规圈热议,各种图表和简单的翻译文稿“忽如一夜春风来”,但仅限于介绍性质,缺乏理论深度和与中国企业现状的契合。恰好近期研究刑事合规的本土实践问题,结合飒姐法学背景,与大家聊一聊,合规管理体系整体升级对于中国企业的深刻影响以及如何在国内做好合规管理工作。
01中国企业合规,还在路上
不少中国企业家的风格,就像他们拜佛求财、求子、求lucky一样,基本上都是临阵抱佛脚。遇一法律纠纷,就想着把这款的问题解决;遭一内鬼,就想着要搞搞普法讲座;领一回监管机关的罚款,长一回“低调”的记性;撞一次群众举报,才知道回来把业务合规。“头痛医头,脚痛医脚”,鱼一样的记忆力,苦口婆心劝明白了,回公司一坐上老板椅就全部忘光光。
这样片面的功利主义的企业法律观,是中国企业主的短板。其实,合法合规没解决好,就像身体健康于一个人的作用类似,没有这个“1”,后面多少个“0”木有意义。
如今越来越多的中国企业家开始重视合规问题,但以往的合规模式还是“分而治之”的“搭积木”,飒姐见过一些合规报告,劳动密集型,律师团现场尽调访谈,动辄上百页,装订精美,收费斐然,然后,束之高阁,基本上无法在实践中有效使用。也许有些是为了应对检查有些是为了应对当年美国等对我们企业的种种要求。但是,中国本土的合规,恕我直言,还有很长的路要走。就飒姐熟悉的刑事合规来谈,鉴于未雨绸缪的少,亡羊补牢的多,给历史上有法律瑕疵的企业做刑事合规风险极高,基本上都异化为企业主个人的刑事风险防控+企业刑事专项咨询。还有一些刑事合规变成了内部反腐活动,甚至使用了一些侦查技术。在数据合规、金融App合规方面,在数据流转中嵌入式合规,以技术管理技术的办法倒是确实有些成效,但很难抽象成普遍适用的规则,基本上都得定制和逐一合规检验,还要不断迭代,成本不低。因此,我们需要对各国人民集体的智慧进行采撷,而ISO合规新标准总结了各国经验,抽象出闭环程序,值得参考。
02合规是一揽子解决方案
正如法学界对于苏俄“四要件”的批判一样,将罪与非罪的判断基于主体、主观、客体、客观四个方面,集齐即可是欠妥当的。要形成联动,甚至形成前后判断顺序和检验机制。我们来看合规新标准中“周而复始”的四个板块:“行动”(管理不合规的行为等;持续改进)“计划”(合规计划,包括公开承诺、合规范围、各部门职责、义务与风险);执行(严格执行合规计划,包括合规计划运行、控制与程序、书面化、支持机制、合规意识和能力、合规培训);检查(企业内部审核、管理评审、监督与评估、发现合规隐忧、展开调查);到这里,又回到第一部分“行动”,持续改进不合规的隐忧。
从英文原版的图表观察,飒姐认为有些公号上翻译的中文图有些没能get精髓,其实ISO想强调的不是合规计划这个死制度,而是重点在act行动,合规不是个名词或动宾短语,更是动词,持续合规,不断修炼,接近“随心所欲不逾矩”的规范经营目的。
ISO毕竟是国际组织,并未强行推行某一种合规理念,而是首先表明对于各个企业所处的法律环境和人文环境进行实事求是地认知,理解该企业所处的特殊环境(这里用了context一词,词根text是编织交错的意思,con是一起),因此,充分理解企业生长、发展的盘根错节的社会关系网络和由此产生的规则,对于做好企业合规起着基础性作用。
03谁来开启企业合规的程序
鉴于ISO合规新标准还是基于“企业内部视角”,对于外部机构和监管机关的着墨不多。但根据一般社会常识,一个商业主体好端端赚钱,为啥要花时间成本和真金白金在一个看起来没有即时经济效益的繁琐事上?
真实情况往往是被罚款.28亿之后;被追缴税收8亿+之后;实控人被约谈之后,才想起要为企业做个全面合规体检,内部检查时往往避重就轻,不痛不痒,曾经有一位合规总监苦笑着说:忙活了一个月,最终就查到一个在厕所里抽烟的。其实,这些年大型互联网平台挖了不少司法系统的办案能手,个个都是科班出身,功底深厚,他们不是不知道风险在哪,而是身在此山中,只能说云深不知处。
比较可行的办法是聘用第三方机构,如今的第三方机构五花八门,咨询公司、工作室、律所、会所、科技公司、智库,甚至还发现一例家族传承办公室也做这块业务,采访过其中几位老友,为啥要做合规业务,答曰:赚钱,于是我核算了其成本,发现纯利润不高,远比不上诉讼案件的性价比和成就感,那到底是为了啥,后续了解到,还是为了黏住企业客户,发展成现金流客户。我倒是觉得其实视野可以更开阔些,监管机关、司法机关在企业合规中也要起到作用,五六年前P2P行业的合规计划有相当一部分是由监管机关统一招投标遴选会所、律所,咱不说网贷自身问题,且说监管技术和监管科技,地方监管机关的智慧是值得肯定的。同时,检察院扮演者提醒大家守住底线的重要角色,推进合规计划与“相对不起诉”制度的衔接,让企业真正做到,合规就不会身陷囹圄。
04谁来为合规负责?
企业合规,并不是把责任压给没有生命的公司。ISO此举直接将最高管理机构(股东会中心主义和董事长中心主义无论如何缠斗,他们都是合规的义务主体)绑定进来,作为承担责任的领导者,参与合规计划的制定、执行、反馈等。
也就是说,对于企业最高管理决策机构而言:
(1)企业合规成为其必须完成的义务;
(2)建立一套维护合规企业文化的制度;
(3)决策机构内部就要有合规功能(直接汇报通道;定期提交合规报告);
(4)设置合理的授权体系以保障合规顺利进行;
(5)用通俗语言书面制定合规要求,确保容易理解;
(6)设立合规文档制度,确保方便被获取;
(7)合规计划要合理,不可强人所难;
(8)不折不扣执行合规计划;
(9)确保及时有效的合规汇报机制;
(10)建立可量化的行动计划;
(11)建立一套提升良好结果发生的制度
……(内容太多,飒姐就不一一翻译了哈,详见ISO
