前言
企业对法律与合规风险的有效管理,对各种所有制的企业都是势在必行并应高度重视的。设立合规管理团队、建立合规管理制度、培育合规是底线、全员合规,才能系统性地防范法律与合规风险,保障企业长期健康的盈利增长。
法律风险,是指因违反法律法规、监管规则或者因和交易方产生合同纠纷,而导致财务损失、被处罚或者产生诉讼纠纷的风险。
合规风险,通常指公司及其员工违反公司政策、规章制度和诚信合规行为准则,导致信用损失或经济损失的风险。
但法律风险与合规风险既有区别又有联系。当企业因某业务遭受政府查处时,它所面临的既是法律风险也是合规风险,因此业界常常将“法律风险”和“合规风险”统称为“法律合规风险”。
传统的企业对法律与合规风险的管理往往是个案的和被动的。现代法律与合规管理是一种全新的、制度化的、主动式的管理模式。无论是跨国公司,还是央企国企, 甚至是民营企业,都越来越将合规作为企业健康盈利增长的基石,设立合规管理团队、建立合规管理制度、创造全员合规与合规创造价值的企业文化、落实合规责任制、系统性地防范法律合规风险。已于2022年10月1日生效的《中央企业合规管理办法》(下称“办法”),作为国内“最为权威”的官方监管文件,首次将央企的合规工作提到了一个空前的高度,并对“合规”作出了明确的定义:“本办法所称合规,是指企业经营管理行为和员工履职行为符合国家法律法规、监管规则、行业准则和国际条约、规则,以及公司章程、相关规章制度等要求”。虽然该“办法”在法律效力上仅适用于中央企业,但其对“合规”的定义,对于各种所有制的企业都应是通用的。
本文分四个部分,从企业法务的视角谈谈我们是如何管理企业的法律与合规风险、落地实施各项适用的法律法规和企业规章制度,为企业长期健康的盈利增长保驾护航的。
一、建立有效的法律与合规团队和合规制度,保障企业的合规盈利增长
一个企业,尤其是拥有全球业务的企业,会在集团层面设立一个由全球法律与合规总监直接领导下的各方面法律专家组成的法律与合规部门,法律总监设在董事会或执行委员会里,下设全球合规、贸易、反垄断、数据安全、收购并购、合同风险管理、核能、产品责任、公司与财务、劳动法、诉讼以及知识产权等各方面的法律与合规专家,并在各个地区和所在国也设有专业的法律与合规团队,在董事会的领导下,与各业务部门和职能部门紧密配合,建立合规制度,领导以身作则,实现全员合规,保障企业长期的健康盈利合规增长。如果一个企业没有上述全部业务,可以有所取舍,但一个成功的企业背后,一定设有强有力的专业法律与合规部门,和切实可行的合规制度,并能全面践行,才能使企业在各个运营所在国长期健康地盈利增长,在当今错综复杂的国际环境中立于不败之地。
上图就是这样一个优秀的全球企业,其对法律与合规方面的要求非常严格,对违法违规行为实行“零容忍”。需要说明的是,在右上图中的“合规委员会”,并不是指法律与合规部门,而是一个独立的由企业所在国的董事长,会同法务与合规主管、财务主管、人事主管等组成的合规委员会,专门负责对企业员工违法违规事件的调查结果进行评估,并依法依规作出处理决定,然后由法律与合规部门会同劳动人事部门落地执行该决定,共同为企业的长期健康合规增长保驾护航。
公司与法律合规有关的制度和政策,通常以公司行为准则、供应商行为准则和员工手册等形式加以规定,但涉及到专业性强内容复杂且不容易在上述准则中详细规定的政策,例如《反垄断政策》《数据安全政策》《出口管制政策》《反商业贿赂政策》等,则可以按照专项规章或指南方式加以规定。这些合规制度和政策,通常是对各相关适用法律法规和公司政策的高度浓缩和概括,例如,行为准则会概括性的规定下列主题:
(1)在全球环境中开展业务,遵守业务所在国家/地区的法律法规;
(2)健康、安全与环境可持续发展;
(3)财务记录、财务管控与反洗钱;
(4)禁止内幕交易;
(5)公平竞争与反垄断;
(6)避免利益冲突;
(7)公平就业;
(8)多元化和包容性;
(9)反腐倡廉,凭借自身优势争取业务,不向任何人和组织支付不当付款;
(10)倡导人权的企业文化;
(11)保证信息安全,保护个人隐私与数据安全;(12)保护知识产权与保密信息;
(13)与国际组织和业务所在国政府合作;
(14)如何帮助客户成功:质量和业绩,信任和合规,公平交易,不正当的付款,礼物和款待;
(15)如何选择并与业务伙伴合规合作,包括供应商、代理人和顾问、分包商、合资公司和关联公司、贷款人和出口信贷方等;
(16)如何保护公司的资产:使用公司资产,信息系统,邮件和网站,保密信息,他人的财产权利,利益冲突,特权信息,公司机会;
(17)如何相互帮助共同成功;
(18)社会责任;
(19)对违法违规的举报和处罚。
而比较复杂的《反垄断政策》《数据安全政策》《出口管制政策》《反商业贿赂政策》等,通常以专项规章加以规定。以《反垄断政策》为例,它高度地浓缩和概括了企业所适用的各国反垄断法律法规和公司在该领域的政策,便于企业所有员工掌握和践行,规定如下:
1. 关于公平竞争:禁止任何垄断协议和滥用市场地位
要求全体员工要始终遵守一切适用的反垄断法及其他竞争监管法律,最低标准如下:
|
我们在每个市场公开、独立地展开竞争
|
不与竞争者订立任何协议固定或设定价格、或者分配产品/市场/地域/或客户 |
|
不与竞争者共同获取或分享价格、利润率或成本、投标、市场份额、经销惯例、销售条款、具体客户或供应商信息 |
不与客户约定或要求客户按特定价格转售我们的产品
|
|
不在相互竞争的客户之间不公平地厚此薄彼
|
不对供应商或客户实行联合抵制 |
|
不向竞争者透露企业是否对某一项邀约进行报价或者报价条件
|
不向竞争者透露任何一方的购买/销售策略、包括是否从某一特定供应商或客户购买或销售某一产品或系统 |
2. 关于如何收集竞争者情报:交换商业敏感信息
要求全体员工遵守如下规则:
|
竞争者不是竞争情报的合法来源 |
不要直接或间接与竞争者或其员工或代表讨论、获取、或分享任何商业敏感信息 |
|
不要与竞争者直接或间接交换对未来的价格或数量将要采取的特定措施或个人意向性信息 |
不要接受供应商提供的竞争者的报价详情
|
|
不要接受客户提供的竞争者的报价或投标详情,除非客户已计划好投标步骤,并以公开透明的方式给予所有市场参与者平等获取信息的机会 |
不要与竞争者同意或讨论限制或提高或降低生产,包括生产水平,生产程序和/或服务的供应
|
|
可以从下列来源收集竞争情报: |
|
|
网站和新闻稿 |
行业刊物,实事通信,技术论文和其他期刊 |
|
营销手册 |
政府部门 |
|
年报 |
贸易展览上向公众披露的信息 |
|
报纸和其他媒体 |
供应商手册 |
|
分析报告 |
企业业务部门和关联公司,但应遵守保密协议 |
|
第三方的市场研究报告 |
|
3.关于如何参加行业协会会议:保证公平竞争方面
要求全体员工都应当使企业主动远离不当行为。在收到行业协会的会议邀请后,公司会要求查看该行业协会的章程确定是否有遵守反垄断法的规定,如果有,则会同意派有相关经验的员工参加。如果竞争者或其员工或代表直接或间接提及不当话题和/或提供商业敏感信息,该员工应当采取如下行动:
|
立即终止谈话(不接受任何文件) |
指出遵守《反垄断法》是企业的政策 |
|
如果谈论仍旧继续,立即离开会场,并尽可能确保其异议和离场记入会议纪要 |
不要在内部散布任何商业敏感信息 |
|
立即以书面形式将此事件及其行动汇报给主管和所在国合规官 |
在当地合规官的帮助下决定需要采取哪些措施 |
企业的政策和行为准则是适用于该企业在全球运营的所有子公司的所有管理人员和员工的。一旦违反,会受到调查,如确认违规,会根据情节严重程度给予纪律处分,直至开除。
4. 践行中国反垄断法和公司政策敦促交易对方合规运营
中国是与美国、欧盟相并列的三大反垄断司法辖区之一。近年来中国进一步加强了反垄断执法,尤其是2020年12月中央政治局会议明确要求强化反垄断和防止资本无序扩张以来,将互联网平台经济领域作为反垄断执法的重中之重,全年办结了109件反垄断案件,罚没金额4.5亿元。2021年2月7日《国务院反垄断委员会关于平台经济领域的反垄断指南》正式颁布实施。2021年是中国反垄断的“大年”,国家将强化反垄断作为新常态,重点办理大案要案,行政执法和司法双轨合力,依法制止和打击互联网领域垄断行为。2021年4月10日、12日,阿里巴巴、食派士相继受罚,成为平台企业反垄断执法的风向标和里程碑。2021年4月13日,市场监管总局、中央网信办、税务总局又联合召开互联网平台企业行政指导会,30多家平台企业纷纷发布合规经营承诺。2021年全国共查处各类垄断案件175件,同比增长61.5%,罚没金额235.92亿元,其中阿里巴巴一家就被罚182亿元。平台经济领域“二选一”行为基本停止,市场竞争秩序明显好转,进一步增强了发展活力。2022年8月1日,自2008年实施以来首次修改的《反垄断法》生效。三大亮点:(1)不得利用数据和算法、技术、资本优势以及平台规则从事垄断行为;(2)大幅提高对反垄断处罚标准;(3)增加垄断协议“安全港”规则,在纵向垄断协议中新增了两种豁免情形:一是能够证明不会限制竞争的情形;二是能够证明市场份额低于规定的情形。
在上述期间,在对互联网平台经济领域强化反垄断执法的大环境中,我所代表的一家电商公司,经过法务和业务团队的不懈努力和艰苦谈判,终于成功地促使一家互联网平台公司改变了其此前一直坚持在合同中保留违反反垄断法的“毛利润保证”的条款的错误做法,最终同意删除了该等条款。这是反垄断法律实践的又一胜利,也使市场竞争环境得到了进一步改善。
二、具有域外效力之法律在所在国的落地实施
对于一个拥有全球业务的企业法务部门而言,在全球总部与所在国之间有效地沟通和协作管理法律与合规风险,是保障企业在全球成功合规地运营并盈利增长的关键。所在国的法律与合规团队,应充分运用全球法律与合规团队各领域专家的经验,尤其是对于那些具有域外效力的法律,应采取由上而下地推动、由下在所在国层面拉动该等法律在该国的落地实施,从而保障企业在成功运营的同时将法律与合规风险最小化。
常见适用于企业的具有域外效力的法律包括但不限于:欧盟的《通用数据保护条例》(下称“GDPR”)、中国的网安法、数据保护法、个人信息保护法、反垄断法、美国出口管制法、和美国海外反腐败法,等等。由于篇幅有限,本文仅以欧盟的GDPR和中国的网安法为例,说明我们采取了如下由全球领导委员会通过专业运营团队和各职能部门领导自上而下推动GDPR在运营所在国的实施,落实到人头,所在国法律总监领导当地团队拉动GDPR在该国/该地区的落地实施,从而顺利地按计划完成了该法律在公司集团各运营所在国的落地实施,在保护个人数据的基础上,促进了数据安全在集团内部的有效流通。
1. 欧盟的GDPR和中国的网安法、数据保护法及个人信息保护法
对于公司集团运营所在国具有域外效力的重要法律法规,例如中国的网安法、数据保护法、个人信息保护法,我们采取了先在所在国领导层进行新法的介绍、评估其对企业的影响,找出合规差距,提出合规建议,然后根据业务需要向全球相关领导层作进一步介绍,并根据该法律要求将全球与中国有关的数字化平台应用迁移到中国,以支持公司集团从传统的生产性企业向数字化转型在中国落地实施,并建立个人信息收集和保护方面的政策,向中国有关政府部门作网络合规备案,担任所在国的数据隐私合规领导并提供培训,建立跨境数据传输审批制度及程序,等等,使该等法律法规有效地在企业运营所在国和企业集团内双向落地实施。
三、法律与合规部门采取主动的和预防性的法律战略
现代企业法务,应采取积极主动的、预防性的法律与合规战略来管理公司的法律与合规风险,争取尽最大努力将问题消灭在萌芽之中,而不是被问题追着跑,当救火队员。在这方面,我们做到了如下,取得了良好的效果:
|
定期向企业领导层介绍新法和法律变化及对企业的影响,找出差距,并提出解决方案 |
站在诉讼律师的角度起草合同条款 |
|
在全球所有运营国家和职能部门作年度风险评估并提出减少风险的方案 |
总结仲裁和诉讼经验教训,修改相应的合同条款和实践做法 |
|
部署企业的全球合规计划和政策在所在国的落地实施 |
总结内外部调查案件的经验教训,全方位整改,以防止类似问题重复发生 |
|
起草和颁布企业在当地国家的法律与合规的政策和指南 |
进行法律与合规调查,向合规委员会提供处理建议,并负责处理结果的落地实施,以及争议案件的解决 |
|
担任公司董事和/或监事,主导董事会和股东会议法律文件的起草和审阅 |
加强法律与合规培训,根据当地的业务实践和风险点设计培训资料 |
|
早期参与、全程护航。对于重大项目,从战略计划阶段就参与讨论,起草并谈判各个阶段的合同协议,并在合同签署后负责做好项目前期的谈判团队与项目执行团队之间的无缝交接,并在项目执行阶段全程参与项目,以避免小的问题演变成大的风险。 |
对供应商和第三方合作伙伴作尽职调查和入围审批 |
|
审查合同风险,提供日常法律与合规咨询和建议,及时提供解决方案,助力企业实现业务目标的同时将风险最小化 |
在法律与合规简报上发布新法、及典型合规案件的最佳实践和教训
|
|
审查捐款、赞助协议、审批礼物和款待申请 |
危机管理团队-24小时在线,随时行动
|
四、运用法律科技,推动法律与合规工作数字化
法律行业的发展、律师对高效率、低成本、准确度和可靠性的追求,及其工作的可程序化和复制化的性质,使企业内部推动法律科技创新具有极大的原动力和积极性。基于此,我在多年来的法律实践中,非常注重运用法律科技,推动法律与合规工作的数字化。
1. 公司治理数据库
公司治理数据库,是记载公司集团及其子公司和分公司从设立、运营、重组到解散的关键信息大数据,也是实现知识共享和有效管理公司法律与合规风险的可靠基础和工具,通过授权方式将数据库信息与领导层和职能部门经理分享,可极大地加强公司治理的效力,减少风险和资源的浪费。有没有该等数据库,对于能否高效地管理一个公司差别很大,举例如下:
|
建立数据库之前 |
建立数据库之后 |
|
没有一个集中的、全面的、准确的、透明和可靠的数据库可供分享使用
|
有一个全面的、准确的、透明的、和可靠的数字化公司治理数据库供分享使用
|
|
每一次收集数据都要浪费很多时间和资源,并且下次再需要同样数据时可能还要重复劳动 |
该数据库定期更新,对企业拥有/控制的所有法律实体的关键信息了如指掌,极大地加强了公司治理及其对子公司/分公司的管理 |
|
低效率、低生产力 |
提高了效力和生产力、减少了重复劳动、风险和浪费 |
|
向内外部报告时使用不准确或不可靠的数据会有很大法律与合规风险 |
确保企业向内外部报告时使用数据的准确性和可靠性 |
|
人员流动、交接不好,会造成企业档案和记忆的流失
|
无论人员如何变化,企业的记忆将始终与企业共存 |
该数据库涵盖的内容,可根据企业的不同与特点设计,通常可包括但不限于:
|
企业关键信息一览表 |
企业股权结构图 |
|
建立企业时的合同和章程 |
政府批文和登记注册文件 |
|
营业执照 |
董事会和股东会文件和决议 |
|
行政许可 |
技术和商标许可协议及其修改 |
|
企业政策和指南 |
资质证书 |
|
分公司信息 |
关键合同模板 |
2. 企业合同和印章及对外付款的在线审批
在实践中,企业通常具有公章、法人代表章、合同专用章、财务专用章、发票专用章等等。企业的印章作为企业身份和权利的证明,是企业经营管理过程中行使权利的重要凭证和工具,所以,印章的使用和管理关系着企业能否正常合规经营以及生存与发展。
几年前,我们曾遇到有人非法伪造企业的公章,并用来伪造“独家授权函”“代表”该企业参加招投标。发现该非法事件后,我们确信该公章是伪造的,本想报警由警方介入调查并通过司法程序将其绳之以法,但苦于企业当时是纸质管理公章使用的审批流程,没有留下足够的证据证明该公章是伪造的。基于此教训,我们立即制定了公司印章使用线上审批的政策和流程(如下图),从申请人到各个审批人,都必须在公司授权的范围内申请和审批,并且必须书面承诺其申请和审批的内容是真实的和有效的,其将遵守中国适用法律法规和公司政策,如有违法违规,其将承担一切法律后果。该流程走完加盖了公司公章后,将永久保留记录,从各方面堵住了漏洞,杜绝了上述法律风险。
3. 法律与合规网站
除上述数字化项目外,法务部门还设立专门的法律在线网站和法律网盘,承载优化、统一化和数字化的各种合同模板,法律项目文件、合同风险审查记录,争议案件的解决文件,以及培训文件供法务部和相关业务部门共享。合规团队还设有专门的合规网站,包括所有合规信息、政策、审批程序,审查捐款、赞助协议、审批礼物和款待申请等,并对供应商和第三方合作伙伴作尽职调查和入围审批,所有这些都使法律与合规风险的管理更加透明、专业、高效和便捷。
4. 合同的优化、统一化和自动化
在上述部分实现的合同优化、统一化和数字化的基础上,我还与相关法律科技公司合作,进一步运用法律科技和专业知识,对各种合同文本进行优化、统一化和自动化,包括双语合同智能起草,英文合同智能审查,以及根据《外商投资法》和《公司法》转化三资企业的合同和章程,使其全面符合《公司法》的规定。这又从法律科技的角度,为企业法律与合规风险的管理进一步提供了自动化、高效力和技术保障。
综上所述,设立合规团队、建立合规制度、领导以身作则,实现全员合规,采取主动的和预防性的法律与合规战略,落地实施各项适用的法律和企业规章制度,运用法律科技推动法律与合规工作的开展,这些对于一家现代企业是非常必要的,也是企业长期健康的盈利增长的保障。
