2022年10月1日,国资委颁布的《中央企业合规管理办法》(部门规章,下称《管理办法》)正式施行,成为合规管理法制建设近期最为引发关注的事件。该《管理办法》于2022年4月1日发布《意见稿》公开征求意见,历时5个多月的讨论及修订终于正式出台。而自2018年11月2日国内第一部中央企业合规管理的制度文件《中央企业合规管理指引(试行)》(部门规范性文件,下称《指引》)出台,到《管理办法》的正式施行,其间已历经四年。
在2022年9月13日召开的国资委中央企业合规管理工作推进会上,合规管理被强调为新形势下持续健全公司治理,确保企业良性循环、稳健发展的迫切需要,是一件“必须要做、并且一定要做好”的事。如果说《指引》的颁布主要解决央企合规管理体系“从无到有”的问题,那么本次《管理办法》作为对《指引》的更新与升级,解决的是“有效合规”的问题。可以预见,《管理办法》将成为今后较长一段时间内,中央企业乃至地方国有企业、较大规模私营企业开展合规管理工作的重要依据。本文将《管理办法》相较于《指引》的亮点内容进行提炼,并浅议《管理办法》出台对于青年律师的执业启示。
01、从《指引》到《管理办法》的亮点
(1)明确央企主要负责人“第一责任人”的地位
《管理办法》第十条规定:中央企业主要负责人作为推进法治建设第一责任人,应当切实履行依法合规经营管理重要组织者、推动者和实践者的职责,积极推进合规管理各项工作。而对应原《指引》第四条,仅规定企业主要负责人履行推进法治建设第一责任人职责,并未明确“第一责任人”在企业合规管理中的地位。“第一责任人”概念的强化,点明了企业主要负责人是依法合规经营管理“重要组织者、推动者和实践者”;且《管理办法》中不再列举中央企业主要负责人的职责范围,因为其对企业承担的合规建设、管理责任是总括的、责无旁贷的。
需要说明的是,“第一责任人”的概念在《指引》出台之前就被提出。2017年7月20日,国资委发布《中央企业主要负责人履行推进法治建设第一责任人职责规定》,就已明确中央企业主要负责人为“履行推进法治建设第一责任人”。本次在《管理办法》中的再次明确,系在法律位阶上的提升,以及在央企合规管理大框架下,对主要负责人权责的定位。
(2)设立首席合规官
从国际大企业实践看,设立首席合规官是世界一流企业的普遍做法。ISO 37301:2021《合规管理体系要求及使用指南》规定,应当指定一人对合规管理体系运行负有职责、享有权限。与这种趋势相同,原《指引》第九条提到的“总法律顾问”,在《管理办法》中被赋予了“首席合规官”的身份;名称的变化,也意味着对于合规这一管理目标和职责的强调,从“法律”理论到“合规”为目的的意识进步。首席合规官对企业主要负责人负责,对合规管理部门承担领导、组织开展工作等职能。相较于此前《意见稿》,《管理办法》中简化了首席合规官的产生方式,不再由董事会确定,而是直接规定由总法律顾问兼任,也不新增领导岗位和职数。这样的调整更便于企业快速建立起首席合规官模式,显然更加实际高效。同时,《管理办法》对首席合规官的职权在第二十一、二十二条中进行了强调:明确应当将合规审查作为必经程序嵌入经营管理流程,企业重大决策事项的合规审查意见应当由首席合规官签字(第二十一条);央企因违规行为引发重大合规风险事件,造成或者可能造成企业重大资产损失或者严重不良影响的,应当由首席合规官牵头采取措施妥善应对(第二十二条)。
另外,《管理办法》还确定了“合规管理员”这一人员设置,规定由业务骨干担任,即“管业务必须管合规”。这对于实际构建成合规管理“第一道防线”具有重要意义。
(3)新增重点领域及构建分级分类管理体系
原《指引》明确了“重点领域”“重点环节”“重点人员”以及关于“海外投资经营行为”的合规管理详细要求;而《管理办法》摒弃了该做法,对新“重点领域”进行明确,要求就重点领域制定具体制度或专项指南。这些领域包括:反垄断、反商业贿赂、生态环保、安全生产、劳动用工、税务管理、数据保护等。其中的“数据保护”是一大亮点。在个人信息能够被毫无遗漏地捕捉的大数据时代,数据保护明确地走进了合规管理的视野。同时,保护数据信息,亦需利用信息化手段。《管理办法》将“信息化建设”作为专门一章,要求推动中央企业运用信息化手段将合规要求嵌入业务流程,利用大数据等技术对重点领域、关键节点开展实时动态监测,实现合规风险即时预警、快速处置。
同时,《管理办法》在“制度建设”板块,规定央企应当根据适用范围、效力层级等,构建分级分类的合规管理制度体系。包括合规管理基本制度、合规管理具体制度、专项制度、专项指南,将合规管理制度与国企制度编制方法统一,合规管理制度文件纳入国企制度文件体系中。这种分级分类的管理思路能够区别部门、业务领域等的合规风险差异,使制度能够结合实际得到精准地调整与应对。
(4)强调防控风险和结果导向
《管理办法》将“务实高效”作为央企合规管理的基本原则之一,要求企业务必从自身实际出发,构建适宜、务实的合规组织架构、识别合规重点领域、排查重大风险;加强重大风险、重大决策的合规审查、预警和报告工作。《管理办法》在第一条立法目的中,将《指引》的“加快提升依法合规经营管理水平”,修改为“推动中央企业加强合规管理,切实防控风险”,强调了防控风险较之管理水平提升更应当成为合规管理工作的重点。当然,《管理办法》也指出企业合规管理是以提升依法合规经营管理水平为导向,毕竟企业的本质是发展,防控风险不会必然促进发展。可以说,这是对企业风险管理价值的重申。
02、律师合规业务执业启示
(1)提升企业合规主题专业培训水平
《管理办法》在“合规文化”一章中第三十条明确规定,中央企业应当建立“常态化”合规培训机制,制定年度培训计划,将合规管理作为管理人员、重点岗位人员和新入职人员培训必修内容。合规培训对于合规意识的强化、合规文化的形成起着基础性的作用。《管理办法》要求,中央企业的全体员工应当自觉接受合规培训,且中央企业应当将合规培训、违规行为记录等纳入合规管理信息系统。
在近两年的企业常规法律服务中,也有越来越多的企业要求外部律师能够进行合规管理方面的培训。通过合规培训可以把最新的合规风险案例、合规要点、合规意识等传递给企业;因此,有能力提供规范、系统、专业的合规培训课程,必然成为律师开拓业务的名片。所以,律师应注意结合《管理办法》开发更加务实的培训课程,以作为重要的业务切口。
(2)坚持重点专精,推进合规管理专项指南业务
如前所述,《管理办法》提出中央企业应构建分类分级的合规管理制度体系,对于反垄断等重点领域以及合规风险较高的业务,应制定合规管理具体制度或专项指南。根据该规定,需构建制度及专项指南的业务分为两类,一类是重点领域,例如反垄断、反商业贿赂、安全生产、劳动用工、数据保护等;另一类是合规风险较高的业务,例如股权投资、私募基金、大宗贸易、海外工程等。根据《管理办法》中“全面覆盖”的基本原则,合规审查、合规要求、防控措施均须“嵌入”经营管理流程。也就是说,其内容不仅是提示重点领域和合规风险较高业务的“合规要求”,而且就这些“合规要求”如何嵌入到对应的业务流程之中也要进行规定,可以理解为“制度”与“操作手册”的结合。因此,大合规下的小合规,仍是央企构建分类分级体系的应有之义。
作为执业律师,应注意选择重点领域、重点业务深挖合规需求,并注重以结果为导向、研究制度的落地操作,贴合央企建设具体制度和专项指南的要求提供服务。
需要注意的是,《管理办法》的出台并不代表《指引》的废止。相比《意见稿》,《管理办法》删除了最后一句“《中央企业合规管理指引(试行)》(国资发法规〔2018〕106号)同时废止。”因此目前,两个文件仍并行有效。笔者认为,该处理是为了二者的衔接过渡,如《指引》第九条关于合规管理负责人的职责、第十二条关于重点领域的管理要点等,对企业合规建设仍有指导意义。但在内容存在冲突时,应当按照新法优先、高位阶优先的原则,适用《管理办法》的相关规定。
