|
2021年国际标准化组织(ISO)正式发布了ISO 37301:2021《合规管理体系要求和使用指南》和ISO/IEC TS 17021—13:2021 《合格评定 管理体系审核与认证机构的要求 第13部分:合规管理体系审核与认证能力要求》。2022年10月12日,等同采用国际标准的国标GB/T 35770—2022《合规管理体系要求及使用指南》正式发布。ISO/IEC TS 17021—13的国标等同转化工作也正在进行,不久也将会正式发布。 GB/T35770—2022/ISO37301:2021《合规管理体系要求及使用指南》规定了组织建立、运行、维护和改进合规管理体系的要求,并提供了使用指南,适用于全球任何类型、规模、性质和行业的组织。同时,GB/T35770—2022/ISO37301:2021《合规管理体系要求及使用指南》作为A类标准可以被认证机构在认证活动中直接应用或者在认证机构的认证技术规范中明确将其作为组织符合合规管理体系要求的认证依据。因此,国内许多认证机构已经开展了合规管理体系认证业务,也有越来越多的企业开始关注并申请合规管理体系认证。 本文从企业建立合规管理体系的动因研究入手,进而对企业合规管理体系认证的作用进行分析,对认证在协助、促进、提升企业合规管理体系的水平,满足相关方要求的方面发挥的重要作用进行阐述。 一、企业建立合规管理体系动因 (一)建立合规管理体系是企业自身持续良性稳健发展的需要 企业是合规管理体系中的主体,合规管理被认为是与业务管理、财务管理并驾齐驱的企业管理三大支柱之一。通过合规管理体系的建立和运行,可以协助组织建立和传播积极的合规文化,防范企业风险、规范员工行为、履行社会责任,有利于企业实现科学合规、高效合规、有效合规和全面合规,最终实现组织成功、持续和长远的发展。咨询服务机构受雇于企业,站在企业的立场和以企业利益为出发点提供专业咨询服务,如协助企业梳理合规义务、评估合规风险、制定并开展合规培训计划等。 (二)建立合规管理体系是企业避免/免除刑事处罚的需要 除自然人外,《刑法》将单位也列为部分犯罪的行为主体,并对其判处罚金。《刑法》第三十条规定“公司、企业、事业单位、机关、团体实施的危害社会的行为,法律规定为单位犯罪的,应当负刑事责任。”目前,我国《刑法》有160多个罪名涉及单位犯罪。对于单位的刑事处罚,采取的是无上限罚金制,根据企业的犯罪情节,判处的罚金数额有可能非常巨大。2021年底,上海市第一中级人民法院对“北八道集团有限公司”操纵证券市场案进行了宣判,不仅对实控人判处有期徒刑并处罚金,更是对“北八道集团有限公司”判处罚金3亿元,创下单位刑事犯罪的最大罚金数额。可见,建立合规管理体系,可以增强企业对于刑事风险的防控力。 1.已经建立合规管理体系的企业有可能据此作为无罪抗辩的法定事由 合规管理体系可以作为企业与员工之间的“防火墙”,在涉案时,把企业本身和员工个人行为隔绝开来,即使在员工以企业名义实施犯罪行为时,企业可以以自身合规管理体系的建立和实施为依据证明企业对于员工的犯罪行为不存在故意或者过失,不因此承担刑事责任。 在被称为“企业刑事合规抗辩第一案”的“雀巢案”中,兰州中院的二审判决为:“单位犯罪是为本单位谋取非法利益之目的,在客观上实施了由本单位集体决定或者由负责人决定的行为。雀巢公司手册、员工行为规范等证据证实,雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为,各上诉人违反公司管理规定,为提升个人业绩而实施的犯罪为个人行为。”因此,判决雀巢公司员工个人行为构成了侵犯公民个人信息罪,而非雀巢公司。 2.承诺并落实建立合规管理体系的涉案企业有可能据此免除相应的刑事处罚 《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》第一条“涉案企业合规第三方监督评估机制,是指人民检察院在办理涉企犯罪案件时,对符合企业合规改革试点适用条件的,交由第三方监督评估机制管理委员会选任组成的第三方监督评估组织,对涉案企业的合规承诺进行调查、评估、监督和考察。考察结果作为人民检察院依法处理案件的重要参考。”《涉案企业合规建设、评估和审查办法》第二条“对于涉案企业合规建设经评估符合有效性标准的,人民检察院可以参考评估结论依法作出不批准逮捕、变更强制措施、不起诉的决定,提出从宽处罚的量刑建议,或者向有关主管机关提出从宽处罚、处分的检察意见。”2022年,检察机关共办理企业合规案件5150件,对整改合规的1498家企业、3051人依法不起诉。因此,企业涉案后,在符合条件的前提下,通过建立合规管理体系并经评估符合有效性标准,则有可能不予起诉并免除处罚。 (三)建立合规管理体系是企业遵守行政要求的需要 1.合规管理体系的建立有助于企业防范行政违规风险 行政违规风险有两大特点:发生的可能性大、产生的后果有可能巨大。相较于《刑法》涉及单位犯罪的罪名数量160多个,我国行政法规、行政规范类文件的数量更是非常庞大。我国现行有效的行政法规就有700多部。行政规范性文件的数量更是多不胜数,仅2022年度,仅北京市司法局,完成备案登记的行政规范性文件就有489件。同时,相较于刑事罪名的相对稳定性,行政类各项要求的新增和变更也较为频繁。基于行政类义务数量多、变更快的特点,企业发生行政违规风险的可能性比较大。 相较于《刑法》对于单位犯罪中单位本身只有罚金处罚,《行政处罚法》则赋予了行政执法机关可以处以罚款、没收违法所得、吊销许可证件、责令停产停业等一系列的处罚权,从而导致企业行政违规有可能承担严重的后果。实践中,我国的行政处罚金额甚至可能远远高于刑事罚金。2022年,因滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》,国家互联网信息办公室依法对其处以罚款高达人民币80.26亿元。 合规管理体系可以协助企业系统性、持续性、全面性地识别、评估以及管理相关的义务,最大限度地防范相关行政违规风险,减少由此给企业带来的损失。 2.合规管理体系的建立是相关企业的强制性义务 《商业银行合规风险管理指引》第八条规定“商业银行应建立与其经营范围、组织结构和业务规模相适应的合规风险管理体系。”《保险公司合规管理办法》第三条“保险公司应当按照本办法规定,建立健全合规管理制度,完善合规管理组织架构,明确合规管理责任,构建合规管理体系,推动合规文化建设,有效识别并积极主动防范化解合规风险,确保公司稳健运营。”《证券公司和证券投资基金管理公司合规管理办法》第二条“在中华人民共和国境内设立的证券公司和证券投资基金管理公司应当按照本办法实施合规管理。” 《中央企业合规管理办法》第三十九条“中央企业应当根据本办法,结合实际制定完善合规管理制度,推动所属单位建立健全合规管理体系。”因此,对于商业银行、保险公司、证券公司、证券投资基金管理公司等合规高风险行业以及中央企业等来说,建立并实施合规管理体系是其履行强制性义务的要求。 (四)建立合规管理体系是企业满足客户期望的需要 1.满足交易客户的合规期望 建立了合规管理体系的企业在商业竞争中更容易获得优势,在其他能力相当的情况下,政府部门、大型企业以及国际组织等更倾向于与建立合规管理体系的企业进行合作,这不但可以避免因合作企业出现违法违规行为而造成合作项目停滞甚至取消,同时也能体现自身的商业合规理念。 2.符合潜在客户的合规期望 建立了合规管理体系的企业更能体现承担社会责任的形象,有利于提高商业信誉。建立合规管理体系可以向社会传达企业并非将追逐商业利益作为自身经营和发展的唯一目标,企业同时注重承担环境责任、安全责任、劳动责任等社会责任,从而树立企业在公众的正面形象,为企业吸引并积累潜在客户。 总之,企业建立合规管理体系是自身持续良性稳健发展的需要,是避免/免除刑事处罚的需要,是遵守行政要求的需要,也是满足客户期望的需要。 二、企业合规管理体系认证的作用 尽管企业大都意识到建立合规管理体系的重要性和必要性,然而,不同的企业对于合规管理体系的理解参差不齐。GB/T 35770—2022/ISO 37301:2021 《合规管理体系要求及使用指南》规定了组织建立、开发、实施、评价、维护和改进有效的合规管理体系的要求,并提供了使用指南和推荐做法。同时,它作为A类标准可以被认证机构在认证活动中直接应用或者在认证机构的认证技术规范中明确将其作为组织符合合规管理体系要求的认证依据。合规管理体系认证与其他管理体系认证一样,是一种保证方法,用以确保组织已实施了与其方针及相关标准的要求一致的、用以管理其活动、产品和服务相关方面的体系。企业可以依据GB/T 35770—2022/ISO 37301:2021 《合规管理体系要求及使用指南》建立且运行合规管理体系,并通过认证机构的认证,从而提升自身运用系统思维、风险方法、持续改进合规管理体系的能力;为司法机关和监管部门提供有力证明和重要参考;向社会公众传递信任。 (一)合规管理体系认证可以提升企业运用系统思维、风险方法、持续改进合规管理体系的能力 首先,管理体系是“组织为确立方针和目标以及实现这些目标的过程所形成的相互关联或相互作用的一组要件”(见GB/T 35770—2022/ISO 37301:2021 《合规管理体系要求及使用指南》3.4),合规管理体系通常是一个具有结构性特征的框架,该框架是基本结构、方针、过程和程序的有机组合,因此企业需要以系统性思维去构建并运行合规管理体系,从而获得认证。其次,即使是一家中小企业,其面对的合规义务也非常繁多,因此,“组织宜采取基于风险的方法,即组织宜首先识别出与业务相关的最重要的合规义务,然后关注所有其他合规义务(帕累托原则)” (见GB/T 35770—2022/ISO 37301:2021 《合规管理体系要求及使用指南》A4.5)。最后,合规管理体系是一个不断持续循环的过程,“组织应持续改进合规管理体系的适宜性、充分性和有效性” (见GB/T 35770—2022/ISO 37301:2021 《合规管理体系要求及使用指南》10.1)。合规管理体系认证正是运用PDCA理念,帮助企业通过策划、实施、检查和改进,确保合规管理体系的完整性和有效性。 (二)合规管理体系认证可以为司法机关和监管部门提供有力证明和重要参考 通过合规管理体系认证帮助企业向司法机关和监管部门证实其已经建立了适宜和有效的合规管理体系,对于发生的不合规事件不存在主观故意或过失,并且企业已采取了合理的措施避免其发生。同时,对于已经发生的问题,企业有能力通过合规管理体系不断持续改进。司法机关和监管部门可以据此认可并信任企业合规意愿真实和合规措施有效,从而对企业不予入罪或免除对其处罚。 (三)合规管理体系认证可以向社会公众传递信任 认证的总体目标就是使所有相关方相信管理体系满足规定要求。通过合规管理体系认证有利于协助企业的领导层运用核心价值观、良好治理方法和社会准则等来打造和传播积极的合规文化;有利于保护并提升企业的声誉和信誉,最大限度地降低违规导致的风险和声誉损失;有利于向相关方传递信任,提升对于企业持续良好经营的信心;有利于证实企业切实有效管理并实施合规承诺和合规义务,树立企业良好的社会形象。 综上,认证机构对企业的合规管理体系的认证活动对企业及其相关方都非常重要,起到了技术支撑和提供证明的作用。认证的价值取决于认证机构通过公正、有能力的评定所建立的公信力的程度。但是,认证机构的公正性会受到来自自身利益、自我评审、熟识信任以及胁迫等威胁,认证机构的人员能力也需要被评价、管理和证实,而认可机构可以为认证相关方提供以上的证实,弥补认证机构自身的局限性。认可机构通过签署国际互认协议、制定发布认可规范等文件,要求认证机构以有能力、一致和公正的方式实施认证,并通过对认证机构实施认可评审,以增强国内外的政府、监管者、公众和消费者对认证机构能力的信任,并促进各方对认证结果达成广泛承认。 来源:《中国认证认可》杂志 2023年第7期 |
|
|
