在各種法律風險之中,對企業具有致命影響的還是企業因為違反法律法規而受到監管處罰和刑事追究的風險。
1
1。企業合規還是企業高管合規?
在西方國家,企業合規機制已經有了半個多世紀的發展歷史,如今已經成為一種越來越重要的企業治理方式。而在我國,企業合規機制作為一種舶來品,其引入的時間僅有十年左右的時間。直至2018年以來,我國行政監管部門才開始嘗試在企業中全面推動合規管理體系的建設。正因為如此,對於企業合規的概念和性質,我們經常存在著一些認識上的爭議,也存在著一些不準確的判斷和界定。本著正本清源的考慮,我們有必要對企業合規的性質作出進一步的揭示,並對有關的分歧和爭議作出簡要的澄清。
一些研究者認為,合規不僅僅是指企業合規,而且還包括企業高階管理人員的合規。有人甚至直接將企業合規與“企業家的風險防控”劃等號。尤其是在刑法領域,鑑於我國刑法確立了單位犯罪制度,並設定了近兩百個單位犯罪的罪名,而刑法對這些犯罪均實行“雙罰制”,也就是確立一個犯罪主體,但要對單位和直接責任人員同時科以刑事處罰。因此,一些學者直接指出,企業合規機制的建立,既要達到防控企業法律風險的效果,也要避免公司高管承擔刑事責任。
這種將企業合規混同於企業家風險防控的觀點,是不能成立的。這是因為,企業合規的本質在於透過建立一種防範、識別和應對違法違規行為的機制,在企業內部形成依法依規經營的慣例和文化。透過建立合規機制,企業為高階管理人員、普通員工和第三方的行為劃定了行為邊界,依據各自法律法規設定了權利、義務和責任,並督促高管、員工和第三方遵守法律法規,避免從事違法違規的行為,對違法違規行為承擔各自的責任和後果。很顯然,企業合規是企業對高管、員工和第三方等合作伙伴所展開的一種自我管理、自我防範和自我約束機制,屬於企業內部治理的重要方式。企業合規所防範的當然是企業風險,而不是企業家的風險,更不是一般公司高管的風險。這是其一。
其二,企業合規機制的實施,可以有效地分割企業責任與員工、高管、第三方甚至被投資併購方的責任,最大限度地保護企業的利益。隨著企業的發展,企業內部的治理結構變得越來越複雜,一些企業動輒擁有數以萬計的員工,或者數以百計的分支機構。企業不僅面臨著管理成本增加的問題,而且面臨著企業因其高管、員工、第三方的行為而承擔法律責任的問題。而在投資併購等經營領域,那些作為投資併購物件的其他企業,一旦存在著違法違規行為,也有可能使負責投資併購的母公司受到連累,使其承擔不應有的法律風險。而企業一旦建立合規機制,就意味著企業要對員工、高管進行必要的合規培訓,將其合規政策和程式向高管和員工進行持續不斷的傳達和溝通,必要時還要向高管和員工發放員工行為手冊,與高管和員工簽署合規承諾書。這樣,一旦發生高管或員工的違法違規行為,企業就可以將上述合規管理行為作為免除企業責任的重要依據,從而將企業責任與高管和員工責任進行了有效切割。
與此同時,在發展諸如供貨商、經銷商、代理商等第三方合作伙伴的過程中,企業一旦建立合規機制,就要進行必要的合規風險評估,對潛在的第三方進行合規盡職調查,對存在違法違規風險的第三方進行必要的合規管理。這些第三方一旦出現違反違規行為,企業的這些合規管理行為,也可以成為其免除法律責任的重要依據。不僅如此,在開展投資併購等經營活動過程中,作為被投資併購方的企業,一旦存在違法違規行為,根據所謂的“繼承責任原則”,就有可能使得負責投資併購的母公司承擔相應的法律責任。為避免承擔如此大的法律風險,作為母公司的企業在投資併購之前,就應按照企業合規的機制,對被投資併購的企業進行合規風險評估,展開合規盡職調查,進行必要的合規風險管理。由此,被併購企業一旦出現違法違規行為,母公司就可以合規管理行為為依據,為自己進行必要的合規免責抗辯了。
從上述合規風險防控的角度來看,企業合規的本質是透過將企業責任與高管責任、員工責任、第三方責任和被投資併購方的責任進行有效的切割,最大限度地保證企業不因上述各方的違法違規行為而承擔法律責任,從而有效地避免法律風險。這種企業合規不僅不等於企業家的風險防控,而且還將企業責任與企業家的責任進行了必要的區分。
其三,從企業應對合規風險的角度來看,企業合規包含了自我披露和自我內部調查的因素,而這種應對經常包含了對從事違法違規行為的高管和員工進行懲戒的內容。既然如此,企業合規機制的實施,就不僅不會加強企業家的風險防控,反而有可能帶來追究企業家法律責任的後果。
企業一旦出現違法違規行為,就有可能面臨著監管部門的調查和處罰。為避免受到更大的損失,那些建立合規機制的企業,通常都會在配合監管部門的基礎上,展開獨立的內部調查,不僅要查明企業違法違規的事實和企業合規機制的缺陷,而且還要查明造成企業違法行為的直接責任人員,並對這些責任人員作出紀律懲戒,必要時還要將那些負有責任的高管送交司法機關,使其被追究法律責任。甚至在有些情況下,為獲得更大的獎勵,企業還有可能對監管部門根本沒有掌握和違法違規情況進行主動披露,由此可能牽連出更多的員工和高管受到懲戒。因此,企業合規機制的實施,不僅不會減免企業家的法律風險,反而可能會帶來懲戒負有責任的高管,甚至追究企業家法律責任的後果。
2
2。企業合規是否等於“內部控制”?
很多企業都設有內部“內控部門”,專門從事風險防控工作。在推進合規體系建設過程中,一些國有企業將企業合規等同於風險防控或者內部控制,甚至主張將合規部門設定在“風控部門”之下。那麼,企業合規是否等於“內部控制”呢?
其實,企業合規本質上是對合規風險的防控體系。研究合規的性質,需要釐清合規風險的性質,也需要清晰界定合規風險與其他公司風險的關係。一般而言,公司治理結構的基本目標是要解決兩個關係:一是股東和經營者的關係,亦即所有權和經營權的關係;二是大股東和中小股東的關係,經濟學中的“隧道效應理論”,探討的就是控股股東侵害中小股東利益的現象。而如何保護中小股東權益,屬於現代公司治理的一大難題。
那麼,在公司治理層面上,企業究竟要防範什麼樣的風險呢?在企業所面臨的諸多風險之中,合規風險究竟處於什麼樣的地位呢?其實,很多企業負責人由於沒有正確認識公司治理風險的概念和種類,因而也就難以意識到合規風險的重要性。例如,有人把公司治理風險分為投資風險、併購風險、融資風險、銷售風險、市場風險、產品質量風險、技術風險、智慧財產權風險、用工風險等數十種。有人甚至將合規風險視為上述諸多風險的一種。這種觀點顯然沒有抓住重點,也沒有認識到合規風險的本質。一般而言,企業會面臨三個方面的風險:一是經營風險;二是財務風險;三是合規風險。下面簡要分析一下這三種風險的關係。
第一種經營風險也被稱為“業務風險”。企業在開展投資併購、市場銷售、質量保障等各種業務活動過程中,所面臨的投資得不到回報、企業無法營利、面臨生存困難的風險,都可以被稱為經營風險。經營風險需要依靠公司治理結構中的業務治理來進行有效的防控、識別和應對。公司執行長(CEO)是經營風險治理的第一責任人,由其所率領的執行團隊是為企業創造業務收益的骨幹力量。但是,經營風險屬於經濟學研究的範疇,企業要規避經營風險,就需要透過研究投資經營全過程,按照市場和經濟規律,尋找解決問題的對策。
第二種風險是財務管理風險。這主要是指由於在財務管理上存在混亂、舞弊、貪腐等行為,企業遭受經濟損失,無法實現營利目的,甚至瀕臨破產的風險。一個良好的現代財務管理制度包含非常複雜的環節,公司除了配置首席財務官以及專門財務管理部門以外,還要設立審計機構對企業財務管理進行必要的監督。有些企業甚至在董事會之下設立相對獨立的審計委員會,以提升審計部門的權威性和獨立性。可以說,財務管理是獨立與經營管理活動的獨立治理體系。
第三種風險就是合規風險。合規風險既不同於經營風險,也不同於財務風險,是指企業因為在經營中因為存在違法違規乃至犯罪行為,而可能遭受行政監管部門處罰和司法機關刑事追究的風險。根據前面的分析,合規風險可以分為監管處罰風險、刑事風險和國際組織制裁風險等三種。合規風險一旦得不到控制,企業除了被追究法律責任以外,還有可能被剝奪特許經營資格,甚至被吊銷營業執照,從而使企業遭受經濟損失乃至聲譽損失,由此引發的“雪崩效應”會使企業承受災難性的代價。
由此可見,企業建立合規機制,並不是防控一般意義上的“風險”,而主要是因違法違規行為而受到監管處罰和刑事處罰的風險。這種合規風險不僅不同於企業的經營風險,也與企業的財務管理風險具有實質性的區別。正因為如此,在那些建立有效合規計劃的企業中,在董事會領導之下,同時並存著業務經營、財務管理和監督以及合規管理等三大公司治理體系,三者分別防控相應的經營風險、財務管理風險以及合規風險,它們相互獨立,相互制衡,各自具有較高的權威,在公司治理中發揮著不同的作用。正因為如此,企業合規並不是一般的“風險控制”,而是一種具有“合規風險控制”職能的治理體系。企業合規也不等於一般意義上的“內部控制”,而屬於針對企業合規風險所建立的內部治理體系。
3
3。合規是否等於“法律事務”?
在建立合規管理體系過程中,很多企業都將合規管理部門設定在“公司法律部門”之下,甚至安排公司法務總監或總法律顧問擔任首席合規官(CCO)。據此,有人認為,所謂企業合規,就等於公司的法律事務,要對企業所遇到的全部法律風險承擔防範、識別和應對責任。有人甚至指出,企業建立合規機制,除了要防範行政監管風險、刑事風險和國際組織制裁風險以外,還要承擔民事法律風險。據此,有人還提出了所謂“民事合規”的概念。還有人認為,企業因別人實施違反或者犯罪行為而遭受經濟損失或其他損失的風險,也屬於企業合規所要防範的“法律風險”。因此,企業合規機制的實施,還要注意防範受到犯罪行為侵害的風險。
假如企業合規就等於所謂的“法律事務”,或者等同於“法律風險防控”,那麼,企業普遍設立的法律事務部門就足以擔當這種防控法律風險的責任了,何必還要設定專門的合規管理部門呢?更何況,從西門子重建反賄賂合規計劃的經驗來看,該公司原本就設立了法律部門,為什麼還要重建合規組織體系和合規管理機制呢?而從中國中興通訊公司重建出口管制合規體系的經驗來看,該公司早就設立了法律事務部門,為什麼在接受美國司法部、商務部和財政部的出口監管調查之後,還要重建出口管制合規體系呢?
上述企業重建合規計劃的經驗顯示,企業合規並不等於一般意義上的法律風險防控。一個企業從其成立之日起,經過時間不等的經營過程,直到被吊銷營業執照、宣告破產或者自行解散之日為止,要受到多種法律和法規的規範和約束,也面臨著難以計數的法律風險。假如我們將“法律風險”界定為因違反法律法規而受到處罰或遵守損失的風險,那麼,企業幾乎在每時每刻以及在每個經營管理環節,都會面臨著這樣的“法律風險”的。例如,企業一旦違反民事合同法,存在違約行為或者合同欺詐現象,就有可能被別人提起民事訴訟,並進而承擔民事責任。又如,企業一旦違反勞動法,侵犯了員工的合法權益,也有可能被訴諸司法程式,承擔民事賠償責任。再如,企業受到其他企業或者個人的違反犯罪行為的侵害,如被採取詐騙行為,被嚴重侵害權益,被內外勾結的人採取了貪腐或者舞弊行為,等等,因此受到嚴重的經濟損失。
那麼,企業所遇到的上述“法律風險”究竟是不是“合規風險”呢?企業合規是不是要防範所有這些法律風險呢?答案是否定的。其實,在各種法律風險之中,對企業具有致命影響的還是企業因為違反法律法規而受到監管處罰和刑事追究的風險。例如,企業因為實施商業賄賂行為,受到了反不正當競爭部門的調查,或者受到刑事執法機關的立案偵查;企業因為接受腐敗分子或恐怖分子的融資,違反了有關反洗錢的法律,因此受到金融監管部門的調查,或者受到檢察機關的起訴;企業因為違反有關網路安全管理法律,或者存在侵犯個人資訊的行為,受到有關監管部門的調查,或者受到法院的刑事審判;企業因為違反有關出口管制的法律,而受到監管部門的行政處罰,或者被追究刑事責任;企業因為排放危險廢物,造成汙染環境的法定後果,因此被環境保護部門採取行政處罰,或者被法院予以定罪……
這種由監管部門啟動的行政執法程式一旦啟動,企業有可能被作出嚴厲的行政處罰;這種由刑事執法機關啟動的刑事訴訟程式一旦啟動,企業就可能被宣告有罪,並被追究刑事責任。甚至在由世界銀行等國際組織所發動的制裁程式中,這種制裁一旦實施,那麼,企業將會遭受重大損失。而上述行政處罰、刑事追究以及國際組織制裁所帶來的最嚴厲後果,莫過於企業“被剝奪特定資格的後果”。根據前面的分析,這種資格剝奪可以是企業失去特定經營許可資格,也可以是喪失貸款和參加投標的資格,還可以是被吊銷營業執照,從而被依法宣告為“企業死亡”。
正因為上述監管制裁、刑事追究和國際組織制裁會給企業帶來如此嚴重的後果,因此,我們才將受到這些特定處罰視為一種特殊的“合規風險”,並將其與一般的法律風險區別開來。也正是為了防範這種合規風險,企業才需要設立合規委員會、首席合規官、合規部門等合規組織,並在釋出商業行為準則和員工行為手冊的前提下,建立專門的合規風險防範、識別和應對體系。由此可見,企業合規並不是一般意義上的“法律風險防範”,而是專門針對行政監管處罰風險、刑事法律風險以及國際組織制裁風險,所建立的自我監管、自我報告、自我預防和自我整改的公司治理體系。
當然,無論是中國企業還是西方企業,大都沒有將合規組織與原有的法律事務部門完全分離開來,而是由公司總法律顧問或法律總裁兼任首席合規官,或者將合規部門設定在法律事務部之下。但這並不意味著合規部門所承擔的是一般意義上的法律風險防控工作,而恰恰顯示出合規部門所承擔的“合規風險防控”,既是整個“法律風險防控”工作的組成部分,也與一般的“法律風險防控”具有實質性的區別。對於一個將合規部門設定在法律部門之中的企業而言,合規部門所承擔的主要是防範合規風險的工作。至於代表企業以原告或者被告的身份,參與民事訴訟,出席法庭或者仲裁庭,或者以受害單位的名義,啟動行政執法程式,或者提起刑事控告,這些法律事務應當由合規部門以外的其他法律事務人員來加以承擔。
4
4。企業合規究竟是道德問題,還是法律問題?
企業合規作為一種公司治理方式,究竟是道德問題,還是法律問題呢?之所以要提出這一問題,是因為不少研究者對此存在著分歧和爭議:有人認為,企業合規本質上是道德問題,因為它無非是企業進行自我管理和自我建章立制的問題,迄今為止也沒有任何國家在基本法律中確立合規機制。與此同時,企業合規機制的實施,最終還是依賴於企業形成一種依法依規經營的文化。而這種文化本身就屬於道德問題或者企業倫理問題,沒有上升為法律層面的問題。但是,也有人認為,企業合規不是道德層面的問題,而僅僅屬於屬於法律問題。這是因為,無論是西方國家還是中國,在行政法中都確立了以合規換取寬大行政處理的激勵機制,尤其是確立了以合規為基礎的行政和解協議制度。而西方國家還在刑法中確立了以合規換取寬大刑事處理的刑事合規機制,並在刑事訴訟法中確立了對合規企業的暫緩起訴協議或不起訴協議制度。這顯然說明,企業合規已經被納入行政法律和刑事法律之中,成為國家法律體系的組成部門。
這兩種觀點貌似各有道理,但都有失偏頗。從根本上說,這種爭論反映出研究者對於企業合規的概念沒有進行全面的瞭解和掌握。按照前面的分析,企業合規是一種非常複雜的公司治理方式,具有多重的含義。從其積極含義來看,企業合規似乎就是企業“遵紀守法”的代名詞,與自然人一樣,被賦予依法依規進行經營活動的義務。這種企業合規似乎難以被歸入“法律制度”的範疇。與此同時,從其消極含義來看,企業合規屬於企業為避免因違法違規行為而遭受監管處罰或者刑事處罰所建立的公司治理方式。為避免遭受經濟損失以及其他損失,企業在內部建立了旨在防控、識別和應對合規風險的管理機制。這似乎也不屬於典型的法律問題,而帶有“道德問題”的色彩。更何況,在企業合規制度發展的早期,眾多西方企業一度將企業合規管理部門直接稱為“道德與合規部”,甚至將企業合規的負責人命名為“首席道德與合規官”。而企業合規機制的實施,確實也要形成一種依法依規經營的文化,由此還提出了所謂“合規文化”的概念。這些都顯示出,企業合規的確有其道德問題的性質,那種將企業合規僅僅視為法律問題的觀點,是有失偏頗的。
但是,企業合規是否屬於單純的道德問題呢?答案也是否定的。常識告訴我們,假如企業合規僅僅屬於道德問題,那麼,為什麼在行政法中要確立行政監管合規機制和行政和解協議制度?為什麼在刑法中要確立刑事合規機制?為什麼在刑事訴訟法中要確立暫緩起訴協議或者不起訴協議制度?即便在我國,隨著企業合規機制逐步被確立在企業管理過程之中,行政法律開始確立行政執法和解制度,使得企業建立合規機制可以成為達成行政和解的依據,同時開始確立合規抗辯制度,使得企業可以建立合規計劃為根據,將企業責任與員工責任加以分離。這也足以說明,我國在行政法律中已經引入了合規激勵機制,初步形成了行政監管合規的制度框架。至於刑法和刑事訴訟法,目前的確尚未將合規納入激勵機制中,暫時無法使合規成為司法機關對企業作出寬大刑事處理的依據。但根據西方國家建立企業合規制度的經驗,這種刑事合規遲早會被引入我國刑事法律之中。
而從西方國家行政監管和刑事執法的經驗來看,對於那些沒有建立合規計劃或者合規計劃存在漏洞的企業,監管部門和刑事執法部門會作出嚴厲的處罰,追究其法律責任。而對於建立有效合規計劃的企業,監管部門則有可能與其達成行政和解協議,刑事執法機關也有可能與其達成暫緩起訴協議或者不起訴協議,責令其重建合規計劃。即便對涉案企業作出行政處罰或者刑事處罰,有關部門對建立合規計劃的企業,也會予以寬大處理。這顯然說明,企業合規已經被行政法律和刑事法律所吸收,成為有關部門對企業作出行政處理和刑事處理的重要依據。很顯然,在西方國家,企業合規早就屬於行政法律和刑事法律所共同確立的法律制度,成為監管部門對企業作出寬大行政處理的依據,也成為刑事執法機關對企業作出寬大刑事處理的理由。
不僅如此,企業合規的發展經歷了從道德治理走向法律治理的過程。在20世紀六十年代,直至90年代,西方企業已經開始展開了合規管理體系的建設。這一階段的企業合規機制,基本屬於企業內部自我管理、自我建章立制的問題,無論是行政監管部門還是刑事執法機關,對於企業合規沒有作出法律規定。可以說,這一階段的合規制度基本上不屬於法律問題,而帶有道德問題的性質。但自20世紀90年代以來,隨著企業違法違規情況的愈加普遍和嚴重,對於企業加強監管和治理成為西方國家普遍關注的問題。特別是20世紀初期,隨著安然、世通和安達信等企業欺詐醜聞的爆發,加強對企業(特別是上市公司)的監管,尤其是透過督促企業建立內部控制體系來督促其依法依規經營,已經引起整個西方社會的普遍重視。自此以後,企業合規作為一種公司治理方式,再也不是企業自由選擇的道德治理問題,而成為企業為避免最嚴重損失而不得不採取的危機應對方式。而為避免監管部門和刑事執法機關濫用自由裁量權,西方國家在行政法和刑事法中確立了有效合規的標準,企業與有關執法機關達成和解協議的條件,甚至確立了對於合規企業予以寬大處罰的標準和幅度。合規制度的發展歷史也足以證明,隨著行政法和刑事法的發展,企業合規早就從最初的道德治理方式,轉化為當下的法律治理方式,成為監管部門從外部督促企業自我監管、自我整改的法律依據,也成為刑事執法機關從外部督促企業建立防範合規風險、識別違規行為以及應對監管調查的法律依據。
因此,企業合規既包含著依法依規經營、避免遭受損失的道德意義,同時也成為行政監管部門作出寬大監管處罰的依據,以及刑事執法機關作出寬大刑事處理的理由。這當然意味著企業合規既具有道德問題的屬性,也屬於一種重要的法律制度。
結論
從歷史的角度看,企業合規是針對企業出現的違法違規行為而確立的一種公司治理方式。最初,企業合規屬於一種由企業和行業協會推行的內部治理方式。後來,隨著政府監管力度的加強,企業合規從原來的依法依規經營,變成了在行政監管激勵和刑事激勵下的企業治理方式。在諸多國際組織的推動下,企業合規還逐漸成為一種新的國際公司治理方式,不僅為一些國際公約所確立,而且還成為國際組織督促企業改變經營方式的執法激勵機制。因此,企業合規不僅僅具有企業依法依規經營的含義,還是企業自我治理、自我監管和自我整改的治理方式,更是一種在企業陷入執法調查時獲得寬大處理的激勵機制。
迄今為止,企業合規剛剛被引入我國行政監管體系,一些企業開始了建立合規體系的努力,一些法律服務機構也嘗試為企業提供合規服務。但是,假如不對企業合規的含義和性質作出準確的定位和認識,那麼,無論是監管部門還是企業、法律服務機構,都有可能偏離企業合規的發展方向,甚至因為無法建立有效合規計劃,而給企業造成更大的合規風險和經濟損失。
原則上,企業合規視為避免企業自身合規風險而建立起來的治理體系,它儘管有時會使企業高管獲得收益,但從本質上不是“保護企業高管”的管理機制。有時為維護企業的最大利益,實現企業責任與員工責任的有效切割,企業甚至還要對直接實施違法違規行為的高階管理人員進行紀律懲戒,交給執法部門和司法機關予以處理。
與此同時,企業合規也不是一般意義上的“風險防控”,甚至也不等於籠統的“法律風險防控”。企業合規對於經營領域的業務風險和內部管理中的財務風險沒有防範效果,也不同於一般意義上的“法律風險防控”,而是針對行政處罰風險和刑事法律風險所建立的專門公司治理機制。對於那些參與國家組織招投標專案的企業而言,企業合規還有助於防止那種國際執法處罰的風險。不僅如此,對於那些存在違法違規行為的企業而言,建立合規機制,不僅僅屬於一種道德義務,更屬於一種法律義務,因為國家法律和行政監管法規中確立了強制合規的制度,行政法和刑法開始將企業合規確立為一種執法激勵機制,不履行合規管理義務,企業就有可能受到行政處罰或者被追究刑事責任,並因此承擔諸多方面的損失。從道德問題變成法律問題,這恰恰是企業合規得到普遍確立的制度保障。