2023有效合規(guī)管理體系構(gòu)建及熱點(diǎn)問(wèn)題分析

目

錄一、

前言.............................................................................................................

1二、

合規(guī)管理詞源及其淵源.............................................................................

1（一）

合規(guī)詞源.........................................................................................

1（二）

合規(guī)淵源.........................................................................................

5三、

合規(guī)管理體系建設(shè)關(guān)鍵要素解析.............................................................

7（一）

合規(guī)要求之組織架構(gòu)完善.............................................................

7（二）

合規(guī)要求之資源支持...................................................................

11（三）

合規(guī)要求之運(yùn)行監(jiān)督...................................................................

11（四）

合規(guī)要求之信息化建設(shè)...............................................................

13（五）

合規(guī)要求之建立合規(guī)體系并持續(xù)改進(jìn).......................................

14（六）

合規(guī)要求之合規(guī)文化氛圍形成...................................................

16四、

不同領(lǐng)域?qū)ｍ?xiàng)指引...................................................................................

18（一）

數(shù)據(jù)安全保護(hù)專項(xiàng).......................................................................

18（二）

反商業(yè)賄賂專項(xiàng)...........................................................................

26（三）

反壟斷專項(xiàng)...................................................................................

27（四）

勞動(dòng)用工專項(xiàng)...............................................................................

30（五）

知識(shí)產(chǎn)權(quán)專項(xiàng)...............................................................................

33五、

合規(guī)典型案例...........................................................................................

37（一）

事前合規(guī).......................................................................................

37（二）

事后合規(guī).......................................................................................

38六、合規(guī)管理體系建設(shè)和有效運(yùn)行的整體優(yōu)勢(shì).............................................

42（一）

刑事責(zé)任方面的激勵(lì)...................................................................

43（三）

合規(guī)不起訴案例簡(jiǎn)析...................................................................

44（三）

行政責(zé)任方面的激勵(lì)...................................................................

47（四）

行政和解案例簡(jiǎn)析.......................................................................

47結(jié)語(yǔ).....................................................................................................................

48一、前言合規(guī)管理體系構(gòu)建是指企業(yè)在遵守法律法規(guī)、社會(huì)道德和商業(yè)道德的基礎(chǔ)上，通過(guò)內(nèi)部控制和外部審查，證明企業(yè)行為符合相關(guān)標(biāo)準(zhǔn)的過(guò)程?！吨醒肫髽I(yè)合規(guī)管理辦法》（以下簡(jiǎn)稱《央企辦法》）和

ISO

37301:2021

是兩個(gè)重要參考標(biāo)準(zhǔn)。其中，合規(guī)體系認(rèn)證又稱貫標(biāo)認(rèn)證是合規(guī)管理體系有效性評(píng)價(jià)的一種，一般而言，在對(duì)企業(yè)進(jìn)行合規(guī)管理認(rèn)證時(shí)參考的標(biāo)準(zhǔn)為

ISO

37301:2021

或

GB/T

35770-2022?！堆肫筠k法》是中國(guó)政府頒布的關(guān)于企業(yè)合規(guī)管理的指導(dǎo)性文件。該辦法主要強(qiáng)調(diào)了中央企業(yè)必須遵守的法律法規(guī)、企業(yè)倫理和社會(huì)責(zé)任等方面的要求。同時(shí)，該辦法還規(guī)定了企業(yè)合規(guī)管理的組織結(jié)構(gòu)、內(nèi)部控制、風(fēng)險(xiǎn)評(píng)估和監(jiān)督檢查等方面的要求，強(qiáng)化了企業(yè)在合規(guī)管理方面的責(zé)任意識(shí)和能力。ISO

37301:2021

是國(guó)際標(biāo)準(zhǔn)化組織最新發(fā)布的企業(yè)合規(guī)管理標(biāo)準(zhǔn)，旨在幫助組織建立和維護(hù)有效的合規(guī)管理體系。該標(biāo)準(zhǔn)包含了企業(yè)合規(guī)管理的基本原則、組織架構(gòu)、策略規(guī)劃、資源配置等內(nèi)容，并提供了一套適用于各種類型和規(guī)模組織的實(shí)施指南和評(píng)估要求。同時(shí)

GB/T

35770-2022

等同采用

ISO

國(guó)際標(biāo)準(zhǔn)：ISO37301:2021。1企業(yè)合規(guī)認(rèn)證不僅可以加強(qiáng)企業(yè)合規(guī)管理的能力和水平，提高企業(yè)在市場(chǎng)中的競(jìng)爭(zhēng)力和信譽(yù)度，還可以從根本上保障企業(yè)的經(jīng)營(yíng)穩(wěn)定和可持續(xù)發(fā)展。因此，在實(shí)踐中，企業(yè)應(yīng)當(dāng)根據(jù)《央企辦法》和

ISO

37301:2021

等參考標(biāo)準(zhǔn)，制定相應(yīng)的合規(guī)管理方案，并通過(guò)內(nèi)部控制和外部審查進(jìn)行自檢和認(rèn)證。這樣，企業(yè)才能更好地建立起一套有效的合規(guī)管理體系，為企業(yè)的可持續(xù)發(fā)展提供堅(jiān)實(shí)的基礎(chǔ)和保障。二、合規(guī)管理詞源及其淵源（一）合規(guī)詞源1.

“合規(guī)”詞義辨析“合規(guī)”一詞的起源可以追溯到漢朝時(shí)期。在古代，為了統(tǒng)治國(guó)家和維持社會(huì)秩序，當(dāng)時(shí)的統(tǒng)治者們制定了一系列規(guī)章制度，包括國(guó)家法律法規(guī)、倫理規(guī)范、1

/gb/search/gbDetailed?id=EB58F4DA9034B2A2E05397BE0A0A7D331

/

48行業(yè)自治規(guī)則和承諾等。這些規(guī)章制度是為了約束人們的行為，使人們遵守規(guī)則，維護(hù)社會(huì)穩(wěn)定。其中，“規(guī)”指的是規(guī)矩、規(guī)則，“章”指的是條款、章節(jié)。在漢代，這些規(guī)章制度被稱為“律令”，是一套法律體系。隨著時(shí)代的變遷，“合規(guī)”一詞逐漸演變成了指遵守法律、規(guī)則、條例等規(guī)章制度的意思?，F(xiàn)在，“合規(guī)”通常指企業(yè)、組織或個(gè)人遵守相關(guān)法律法規(guī)、規(guī)章制度和行業(yè)規(guī)范的行為?！肮竞弦?guī)”一詞源于美國(guó)，已有

60

年的歷史。最早的文獻(xiàn)可以追溯到

1962年的

James

R.

Withrow

Jr.的文章《Making

Compliance

Programs

Work》，而

2001年的安然公司破產(chǎn)和安達(dá)信會(huì)計(jì)事務(wù)所解體事件使得“合規(guī)”成了英美法等國(guó)金融證券市場(chǎng)中逐漸成為經(jīng)營(yíng)生態(tài)重塑的重要環(huán)節(jié)?！昂弦?guī)”的詞源本身就具有“服從”的含義，同時(shí)，“規(guī)”這個(gè)字義具有多重含義，不僅包括國(guó)家法律法規(guī)，還包括倫理規(guī)范、行業(yè)自治規(guī)則和承諾等。因此，“合規(guī)”有時(shí)也會(huì)被稱為“組織盡責(zé)”(organizational

due

diligence)。從企業(yè)立場(chǎng)上來(lái)看，合規(guī)更多和“風(fēng)險(xiǎn)管理”(risk

management)、“內(nèi)控體系”(internal

control)聯(lián)系在一起。企業(yè)合規(guī)內(nèi)涵可以從以下兩方面著手。一方面是由

COSO2在

1992

年發(fā)布了《內(nèi)部控制——整體框架》(Internal

Control-Integrated

Framework)，該框架為企業(yè)提供了一個(gè)評(píng)估其內(nèi)部控制質(zhì)量的標(biāo)準(zhǔn)，被廣泛地應(yīng)用于各個(gè)行業(yè)和國(guó)家。COSO

框架包括五大組成要素：控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通以及監(jiān)督。另一方面則是指

PCAOB3所界定的內(nèi)涵，即“由實(shí)體的董事會(huì)、管理層和其他人士執(zhí)行的，用于提供合理的與操作、匯報(bào)和合規(guī)相關(guān)的目標(biāo)實(shí)現(xiàn)的過(guò)程”。對(duì)于外部監(jiān)督者（規(guī)制者、執(zhí)法者、行業(yè)管理者、社會(huì)行動(dòng)者）而言，合規(guī)是“組織采用的，防止違反法律和確保對(duì)外部權(quán)威的服從，由此采取步驟來(lái)發(fā)現(xiàn)違規(guī)的政策和控制系統(tǒng)”4。作為對(duì)法律服從的合規(guī)，通常認(rèn)為由三個(gè)要素組成：2

COSO

是指控制框架委員會(huì)（Committee

of

Sponsoring

Organizations

of

the

Treadway

Commission），它是由五個(gè)專業(yè)組織——美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）、美國(guó)金融經(jīng)理協(xié)會(huì)（FEI）、美國(guó)內(nèi)部審計(jì)師協(xié)會(huì)（IIA）、美國(guó)證券業(yè)協(xié)會(huì)（SIA）和美國(guó)管理會(huì)計(jì)師協(xié)會(huì)（IMA）所組成的聯(lián)合體。3

PCAOB

是美國(guó)公認(rèn)會(huì)計(jì)師事務(wù)所監(jiān)督委員會(huì)（Public

Company

Accounting

Oversight

Board）的縮寫。PCAOB

成立于

2002

年，是一個(gè)非營(yíng)利的、由政府設(shè)立的機(jī)構(gòu)，其主要職責(zé)是監(jiān)管和規(guī)范對(duì)公開(kāi)公司的審計(jì)工作，保護(hù)投資者利益。PCAOB

負(fù)責(zé)制定審計(jì)準(zhǔn)則、審計(jì)標(biāo)準(zhǔn)和相關(guān)法規(guī)，并對(duì)注冊(cè)會(huì)計(jì)師事務(wù)所進(jìn)行監(jiān)管和檢查，確保其執(zhí)行的審計(jì)工作符合法律法規(guī)和行業(yè)標(biāo)準(zhǔn)。此外，PCAOB

還能夠?qū)`反法規(guī)或規(guī)范的審計(jì)師事務(wù)所進(jìn)行處罰和制裁，例如暫?；蛉∠渥?cè)資格，罰款等。PCAOB

的監(jiān)管適用于上市公司及其附屬機(jī)構(gòu)的審計(jì)工作，這些公司必須接受

PCAOB

的審計(jì)程序并遵守其規(guī)定。4

Miriam

Hechler

Baer，Governing

Corporate

Compliance，50

B.C.

L.

Rev.

949，958

(2009).2

/

48一是公司確立發(fā)現(xiàn)和阻止高頻發(fā)生的犯罪行為的內(nèi)部機(jī)制；二是這一機(jī)制應(yīng)當(dāng)持續(xù)完整地運(yùn)作；三是盡管公司可以依據(jù)不同的標(biāo)準(zhǔn)進(jìn)行特殊分工，但應(yīng)當(dāng)采取廣泛的預(yù)防措施。這些通常被更具象地形容為“一套正式行為準(zhǔn)則、一個(gè)合規(guī)部門和官員以及一個(gè)面向員工的熱線電話”2.美國(guó)合規(guī)沿革5。美國(guó)企業(yè)合規(guī)管理的發(fā)展是一個(gè)漸進(jìn)的過(guò)程。最初，合規(guī)被視為一種輕微違規(guī)監(jiān)管處罰的替代工具，要求公司承諾特定行為。隨后，合規(guī)因素成為減輕處罰的考慮因素，然后逐漸成為監(jiān)管部門要求采用的一般機(jī)制。尤其是從美國(guó)國(guó)防部開(kāi)始，出現(xiàn)了在合規(guī)中要求主動(dòng)匯報(bào)和完全配合調(diào)查的義務(wù)。當(dāng)美國(guó)國(guó)防部發(fā)展出對(duì)公司內(nèi)的合規(guī)體系進(jìn)行評(píng)估的制度時(shí)，法律的執(zhí)法方式就又向前躍進(jìn)了一大步。實(shí)踐探索為之后的法定合規(guī)制度塑造了原型。這些法律上的變化，體現(xiàn)了現(xiàn)代經(jīng)濟(jì)規(guī)制的特性，被視為美國(guó)回應(yīng)型法律發(fā)展的典型制度。而回應(yīng)型監(jiān)管(responsive

regulation)，也成了監(jiān)管領(lǐng)域的趨勢(shì)共識(shí)和代表性標(biāo)簽。隨著經(jīng)濟(jì)和社會(huì)規(guī)制針對(duì)組織的處罰的增加，刑事責(zé)任的需求凸顯出來(lái)。組織量刑指南（聯(lián)邦量刑指南的一個(gè)章節(jié)）就是針對(duì)企業(yè)行為的量刑規(guī)定。1984年的《量刑改革法》創(chuàng)立了一個(gè)量刑委員會(huì)，來(lái)制定量刑指南，其中涉及對(duì)組織的緩刑和罰款事項(xiàng)。應(yīng)國(guó)會(huì)的要求，該委員會(huì)在

1988

年發(fā)布了草稿，其中并沒(méi)有明確規(guī)定若企業(yè)已采取合規(guī)管理體系就可以減少罰金的機(jī)制，只是建議減少“累犯”的適用。草案提醒法院，在決定量刑的時(shí)候，應(yīng)當(dāng)考慮阻遏的收益，是否會(huì)顯著超過(guò)對(duì)私人經(jīng)營(yíng)活動(dòng)的司法監(jiān)督的明顯成本。1991

年

4

月，聯(lián)邦委員會(huì)制定了新的指南，明確了合規(guī)體系作為量刑處罰的考慮因素——如果存在有效的系統(tǒng)來(lái)阻止和發(fā)現(xiàn)違法行為時(shí)仍然存在違規(guī)，則可以在量刑打分上獲得獎(jiǎng)勵(lì)，從而降低罰金。2004

年的修訂要求合規(guī)應(yīng)推動(dòng)組織文化，鼓勵(lì)倫理行為。指南的出現(xiàn)和不斷改進(jìn)，促成了合規(guī)成為正式的具有激勵(lì)效果的法律制度和普遍的商業(yè)實(shí)踐。有評(píng)價(jià)認(rèn)為指南是精心起草、累年經(jīng)驗(yàn)和專家意見(jiàn)的產(chǎn)品。5

Philip

A.

Wellner，Effective

Compliance

Programs

and

Corporate

Criminal

Prosecutions，27

Cardozo

L.Rev.

497，501

(2005).3

/

48“湯普森備忘錄”是由美國(guó)司法部副部長(zhǎng)撰寫的，明確規(guī)定檢察官在對(duì)組織進(jìn)行調(diào)查、指控和辯訴交易的時(shí)候，應(yīng)當(dāng)考慮

9

個(gè)因素，其中

3

個(gè)涉及有效的公司合規(guī)體系：第一，公司及時(shí)和自愿披露錯(cuò)誤行為，表現(xiàn)出愿意配合調(diào)查其代理人的意愿，如必要，放棄公司的律師—客戶(attorney-client)保密和工作底稿(workproduct

protection)保護(hù)權(quán)利；第二，存在并且充分的公司合規(guī)體系；第三，公司的救濟(jì)行動(dòng)，包括實(shí)施或改進(jìn)有效公司合規(guī)體系的任何努力、更換負(fù)責(zé)的管理層，對(duì)錯(cuò)誤行為人進(jìn)行紀(jì)律處分或者開(kāi)除、支付補(bǔ)償，以及與相關(guān)政府人員合作等

。3.中國(guó)合規(guī)沿革中國(guó)合規(guī)管理體系的構(gòu)建歷史與美國(guó)合規(guī)管理發(fā)展有所不同。中國(guó)的合規(guī)管理起步時(shí)間相對(duì)較晚，并主要表現(xiàn)為自上而下的法律革新。中國(guó)的合規(guī)管理始于20

世紀(jì)

70

年代末，當(dāng)時(shí)三資企業(yè)的建立將歐美跨國(guó)企業(yè)集團(tuán)的合規(guī)管理理念和實(shí)踐引入中國(guó)。中國(guó)的合規(guī)管理發(fā)展歷程大致可以分為萌芽探索時(shí)期、快速發(fā)展時(shí)期以及合規(guī)強(qiáng)化時(shí)期。在合規(guī)萌芽探索時(shí)期，僅有赴國(guó)外上市公司以及外國(guó)資本在華公司關(guān)心合規(guī)問(wèn)題，而合規(guī)概念并未被廣泛接受。直到

2006

年銀保監(jiān)會(huì)公布并實(shí)施了《商業(yè)銀行合規(guī)風(fēng)險(xiǎn)管理指引》以及

2008

年證監(jiān)會(huì)公布與實(shí)施了《證券公司合規(guī)管理試行規(guī)定》中密集強(qiáng)調(diào)“合規(guī)”和“合規(guī)總監(jiān)”之概念，中國(guó)的合規(guī)管理才得到廣泛關(guān)注。2022

年國(guó)資委發(fā)布并實(shí)施了《央企辦法》中提出“首席合規(guī)官”，進(jìn)一步推動(dòng)了中國(guó)法上引入合規(guī)管理制度的發(fā)展。隨著金融市場(chǎng)的不斷發(fā)展和監(jiān)管要求的逐步加強(qiáng)，越來(lái)越多的金融機(jī)構(gòu)、上市公司開(kāi)始重視合規(guī)風(fēng)險(xiǎn)管理，并通過(guò)制定合規(guī)政策、加強(qiáng)內(nèi)部控制、加強(qiáng)監(jiān)督檢查等手段來(lái)確保其經(jīng)營(yíng)活動(dòng)的合法性和合規(guī)性。尤其是兩個(gè)公司治理危機(jī)標(biāo)志性事件的出現(xiàn)，更加促使企業(yè)注重自身經(jīng)營(yíng)、管理合規(guī)性風(fēng)險(xiǎn)審查，層疊地推動(dòng)了一般公司去嚴(yán)肅審視這一機(jī)制。第一個(gè)標(biāo)志性事件發(fā)生于

2007

年并于

2011年受到人們普遍關(guān)注——“中國(guó)概念股”公司在美國(guó)上市之后遭遇到各種信息披露和財(cái)務(wù)欺詐問(wèn)題，這一事件促進(jìn)了域外律所自此開(kāi)始提供合規(guī)引導(dǎo)的服務(wù)。第二個(gè)標(biāo)志性事件是由于“域外長(zhǎng)臂管轄原則”6的確立，使得跨國(guó)公司的經(jīng)營(yíng)6

域外長(zhǎng)臂管轄原則是指一個(gè)國(guó)家的法院可以在其領(lǐng)土之外對(duì)跨國(guó)公司或個(gè)人進(jìn)行司法管轄的原則。它是現(xiàn)代國(guó)際法的一個(gè)重要原則，主要用于解決跨國(guó)公司的國(guó)際商務(wù)糾紛。在這種情況下，一個(gè)國(guó)家可以4

/

48管理風(fēng)險(xiǎn)上升到可能遭受刑事處罰的層面，如中興通訊、華為等案件7，這些事件涉及國(guó)際貿(mào)易、知識(shí)產(chǎn)權(quán)保護(hù)、國(guó)家安全等多個(gè)領(lǐng)域，對(duì)于跨國(guó)公司和國(guó)際經(jīng)濟(jì)發(fā)展都有著重要的影響。這些事件的發(fā)生使得企業(yè)合規(guī)管理成為了時(shí)下學(xué)界和業(yè)界的熱點(diǎn)話題。具有國(guó)外業(yè)務(wù)的公司開(kāi)始購(gòu)買有關(guān)合規(guī)的法律服務(wù)，合規(guī)管理、認(rèn)證成為律師行業(yè)的藍(lán)海。監(jiān)管部門也受到此次事件的重大影響，不斷強(qiáng)調(diào)合規(guī)概念。綜上所述，合規(guī)管理源自于美國(guó)，從不同的部門興起，從最開(kāi)始的分流和不同目標(biāo)，逐步在近年來(lái)合并成干流，并成為多個(gè)法律部門的共享制度。從經(jīng)濟(jì)和社會(huì)規(guī)制中的行為監(jiān)管，到作為刑事制裁的替代手段，再到公司法中的社會(huì)責(zé)任和注意義務(wù)，到最后，形成這一制度的共同目標(biāo)：引導(dǎo)公司成為“良善公民”(good

citizen)。這是一個(gè)逐步演化、由分到合的過(guò)程。企業(yè)合規(guī)具有重大意義，不僅能夠避免違反法律規(guī)定而帶來(lái)的罰款和聲譽(yù)損失，還能夠提高企業(yè)的形象和市場(chǎng)競(jìng)爭(zhēng)力，從而實(shí)現(xiàn)可持續(xù)發(fā)展。（二）合規(guī)淵源“合規(guī)規(guī)范”并非法定術(shù)語(yǔ)，國(guó)內(nèi)外標(biāo)準(zhǔn)、指南中并未使用“合規(guī)規(guī)范”作為專用術(shù)語(yǔ)。根據(jù)《央企辦法》第三條：“本辦法所稱合規(guī)，是指企業(yè)經(jīng)營(yíng)管理行為和員工履職行為符合國(guó)家法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準(zhǔn)則和國(guó)際條約、規(guī)則，以及公司章程、相關(guān)規(guī)章制度等要求”可知，企業(yè)合規(guī)實(shí)際上具有兩層含義：第一，用以阻止非法行為，尤其是防止諸如洗錢、內(nèi)幕交易、賄賂、會(huì)計(jì)和銀行欺詐，也包括違反規(guī)制，包括不當(dāng)價(jià)格政策等壟斷行為所引發(fā)的刑事和民事責(zé)任，以及屬于侵權(quán)的如工作場(chǎng)所性騷擾、職業(yè)安全、隱私以及環(huán)境保護(hù)等。在這個(gè)層面上，在沒(méi)有實(shí)際存在的聯(lián)系或活動(dòng)的情況下，向其領(lǐng)土之外的個(gè)人或企業(yè)施加管轄權(quán)。長(zhǎng)臂管轄原則通常適用于以下情況：跨國(guó)公司在該國(guó)家內(nèi)的子公司或分支機(jī)構(gòu)有實(shí)際活動(dòng)；跨國(guó)公司的行為在該國(guó)家內(nèi)產(chǎn)生了后果或影響；跨國(guó)公司與該國(guó)家的民眾或企業(yè)有著商業(yè)上的關(guān)系或者合同關(guān)系。長(zhǎng)臂管轄原則有助于解決跨國(guó)公司在國(guó)際商務(wù)活動(dòng)中可能引起的糾紛，保護(hù)被侵權(quán)方的權(quán)益，并促進(jìn)國(guó)際貿(mào)易的健康發(fā)展。但同時(shí)也要注意，這種管轄權(quán)應(yīng)該在國(guó)際法和相關(guān)國(guó)際協(xié)定的框架下行使，避免濫用和對(duì)其他國(guó)家主權(quán)的侵犯。7

在

2018

年，美國(guó)政府指控中興通訊違反了對(duì)伊朗和朝鮮的貿(mào)易禁令，因此對(duì)該公司實(shí)施了制裁，并暫停了其在美國(guó)的業(yè)務(wù)。后來(lái)，中興通訊同意繳納罰款并達(dá)成和解，以解決此次貿(mào)易爭(zhēng)端。華為也曾遭遇了一些類似的貿(mào)易爭(zhēng)端。在

2019

年，美國(guó)政府指控華為涉嫌違反了對(duì)伊朗和朝鮮的貿(mào)易禁令，以及竊取商業(yè)機(jī)密。美國(guó)政府還通過(guò)行政令禁止美國(guó)企業(yè)向華為出售技術(shù)和設(shè)備。這一事件引發(fā)了國(guó)際上對(duì)于華為在國(guó)際市場(chǎng)上的地位和發(fā)展的廣泛討論和關(guān)注。這些事件涉及到國(guó)際貿(mào)易、知識(shí)產(chǎn)權(quán)保護(hù)、國(guó)家安全等多個(gè)領(lǐng)域，對(duì)于跨國(guó)公司和國(guó)際經(jīng)濟(jì)發(fā)展都有著重要的影響。同時(shí)也反映了在全球化和自由貿(mào)易背景下，國(guó)家間的經(jīng)濟(jì)和政治關(guān)系的復(fù)雜性和敏感性。5

/

48合規(guī)強(qiáng)調(diào)的是減少雇員的非法行為風(fēng)險(xiǎn)，公司由此可以降低所承擔(dān)的上級(jí)(respondent

superior)責(zé)任。第二，合規(guī)體系通常需要趨向具體企業(yè)的內(nèi)部?jī)r(jià)值觀用以填補(bǔ)法律之空白，通常要求雇員還需要遵守除了法律之外的企業(yè)內(nèi)的行為準(zhǔn)則和慣例。屬于商業(yè)倫理規(guī)則或者與社會(huì)責(zé)任相關(guān)的內(nèi)容。這樣的外部與內(nèi)部的兩種區(qū)分，也被學(xué)者形象地稱之為：合規(guī)與正直(integrity)8。具體而言包括：外部合規(guī)規(guī)范內(nèi)部合規(guī)規(guī)范國(guó)際條約、國(guó)際規(guī)則以及國(guó)際組織決定境外設(shè)立的企業(yè)應(yīng)遵循所在地國(guó)家、地區(qū)的法律法規(guī)、監(jiān)管要求、行業(yè)準(zhǔn)則、司法判例、商業(yè)慣例等企業(yè)與第三方之間訂立的合同或協(xié)議企業(yè)對(duì)外自愿性承諾，如環(huán)境承諾、促銷承諾等企業(yè)章程、股東會(huì)決議、董事會(huì)決議、管理層決議等國(guó)內(nèi)法淵源行業(yè)強(qiáng)制性準(zhǔn)則強(qiáng)制性標(biāo)準(zhǔn)行業(yè)自律性準(zhǔn)則企業(yè)依選擇適用的非強(qiáng)制性國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及企業(yè)標(biāo)準(zhǔn)法院判決和行政決定商業(yè)慣例企業(yè)內(nèi)部規(guī)章管理制度//道德準(zhǔn)則由于合規(guī)規(guī)范包括外部規(guī)范與內(nèi)部規(guī)范兩個(gè)面向，從而導(dǎo)致企業(yè)會(huì)因?yàn)樽陨淼慕?jīng)營(yíng)模式、所在地區(qū)、行業(yè)領(lǐng)域以及企業(yè)性質(zhì)不同而有所差異。因此，企業(yè)合規(guī)管理體系構(gòu)建的首要任務(wù)即企業(yè)應(yīng)根據(jù)

ISO

37301:2021

以及《央企辦法》的要求建立、實(shí)施、保持和持續(xù)改進(jìn)合規(guī)管理體系，包括所需要的過(guò)程及其相互作用，同時(shí)企業(yè)的合規(guī)管理體系應(yīng)反映組織的價(jià)值觀、目標(biāo)、戰(zhàn)略和合規(guī)風(fēng)險(xiǎn)，并且應(yīng)考慮組織環(huán)境，尤其是企業(yè)應(yīng)持續(xù)改進(jìn)合規(guī)管理體系的適宜性、充分性和有效性，當(dāng)確定合規(guī)管理體系需要變更時(shí)，組織應(yīng)按計(jì)劃實(shí)施變更，組織應(yīng)考慮：變更的目的及其潛在后果、合規(guī)管理體系設(shè)計(jì)和運(yùn)行的有效性、充足資源的可用性、職責(zé)和權(quán)限的分配或再分配。總而言之，實(shí)施有效的企業(yè)合規(guī)可以幫助企業(yè)降低經(jīng)營(yíng)風(fēng)險(xiǎn)、提高聲譽(yù)和市場(chǎng)競(jìng)爭(zhēng)力、防范違法行為，同時(shí)也有助于增強(qiáng)投資者和消費(fèi)者的信心。因此，合規(guī)規(guī)范是企業(yè)在構(gòu)建合規(guī)體系前必須要厘清的首要前提：第一，企業(yè)應(yīng)盡快收集、梳理可適用于本企業(yè)的所有合規(guī)規(guī)范，并建立完整的合規(guī)規(guī)范庫(kù)，并持續(xù)跟進(jìn)合規(guī)規(guī)范的最新發(fā)展，正確理解合規(guī)規(guī)范的規(guī)定，8

Lynn

Sharp

Paine，Managing

for

Organizational

Integrity，72

Harv.

Bus.

Rev.

106

(1994).6

/

48準(zhǔn)確把握新的合規(guī)規(guī)范對(duì)本企業(yè)的影響，并適時(shí)作出風(fēng)險(xiǎn)評(píng)估；第二，企業(yè)在識(shí)別自身合規(guī)義務(wù)時(shí)既要注意外部規(guī)范義務(wù)的落實(shí)更要注意內(nèi)部規(guī)范、承諾的落實(shí)；第三，定期開(kāi)展企業(yè)內(nèi)部員工的合規(guī)培訓(xùn)，及時(shí)的普法釋法。三、合規(guī)管理體系建設(shè)關(guān)鍵要素解析《央企辦法》的頒布預(yù)示著我國(guó)中央企業(yè)的合規(guī)管理更科學(xué)、規(guī)范。習(xí)近平總書記強(qiáng)調(diào)，守法經(jīng)營(yíng)是任何企業(yè)都必須遵守的一個(gè)大原則，企業(yè)只有依法合規(guī)經(jīng)營(yíng)才能行穩(wěn)致遠(yuǎn)。黨中央明確提出加快建設(shè)世界一流企業(yè)的目標(biāo)，一流的企業(yè)必須要有一流的法治工作為保障。當(dāng)前國(guó)際競(jìng)爭(zhēng)越來(lái)越體現(xiàn)為規(guī)則之爭(zhēng)、法律之爭(zhēng)，在如此的大背景下，無(wú)論是中央企業(yè)還是地方國(guó)企，抑或是私企，無(wú)不面臨著日趨嚴(yán)峻的國(guó)內(nèi)外環(huán)境和風(fēng)險(xiǎn)挑戰(zhàn)，必須加快提升依法合規(guī)經(jīng)營(yíng)管理水平，確保改革發(fā)展各項(xiàng)任務(wù)在法治軌道上穩(wěn)步推進(jìn)。為此，國(guó)資委深入貫徹落實(shí)習(xí)近平法治思想，在總結(jié)中央企業(yè)合規(guī)管理實(shí)踐、借鑒國(guó)際大企業(yè)先進(jìn)做法的基礎(chǔ)上起草了《央企辦法》，經(jīng)由國(guó)資委黨委會(huì)、委務(wù)會(huì)審議通過(guò)后印發(fā)并實(shí)施。此次《央企辦法》的出臺(tái)可謂是對(duì)國(guó)際合規(guī)標(biāo)準(zhǔn)《合規(guī)管理體系要求及使用指南》（ISO

37301:2021）的中國(guó)化轉(zhuǎn)譯，二者均采用

PDCA

管理循環(huán)9的原理，需要企業(yè)不斷對(duì)自身的合規(guī)管理體系及合規(guī)管理工作進(jìn)行持續(xù)優(yōu)化。常見(jiàn)的具體的企業(yè)合規(guī)合理化建議包括：第一，建立完善的規(guī)章制度和內(nèi)部控制體系；第二，加強(qiáng)員工教育和培訓(xùn)，增強(qiáng)員工法律意識(shí)和合規(guī)意識(shí)；第三，完善供應(yīng)商管理，并要求供應(yīng)商遵守企業(yè)合規(guī)要求；第四，對(duì)企業(yè)業(yè)務(wù)進(jìn)行定期風(fēng)險(xiǎn)評(píng)估，及時(shí)采取風(fēng)險(xiǎn)控制措施；第五，與政府部門積極溝通合作，了解最新的法律法規(guī)變化。企業(yè)合規(guī)是企業(yè)管理中的重要環(huán)節(jié)，對(duì)企業(yè)長(zhǎng)期發(fā)展具有戰(zhàn)略性意義，在全球化和市場(chǎng)化的今天，加強(qiáng)合規(guī)建設(shè)已成為企業(yè)必不可少的任務(wù)之一。（一）合規(guī)要求之組織架構(gòu)完善1.解讀：9

PDCA

是全面質(zhì)量管理的思想基礎(chǔ)和方法依據(jù)。PDCA

循環(huán)的含義是將質(zhì)量管理分為四個(gè)階段，即Plan（計(jì)劃）、Do（執(zhí)行）、Check（檢查）和

Act（處理）。在質(zhì)量管理活動(dòng)中，要求把各項(xiàng)工作按照作出計(jì)劃、計(jì)劃實(shí)施、檢查實(shí)施效果，然后將成功的納入標(biāo)準(zhǔn)，不成功的留待下一循環(huán)去解決。這一工作方法是質(zhì)量管理的基本方法，也是企業(yè)管理各項(xiàng)工作的一般規(guī)律。萬(wàn)融：《商品學(xué)概論》，中國(guó)人民大學(xué)出版社，2013。7

/

48ISO

37301:2021

第

5.3

條劃定了合規(guī)管理職能部門的“Roles，responsibilitiesand

authorities”，5.3.1

明確了“Governing

body

and

top

management”的職責(zé)權(quán)限，即“治理機(jī)構(gòu)和最高管理者應(yīng)確保在組織內(nèi)分配和溝通相關(guān)崗位的職責(zé)和權(quán)限”；5.3.2

明確了“Compliance

function”的職權(quán)劃分與監(jiān)督責(zé)任；5.3.3

明確了執(zhí)行人員“Management”的職責(zé)（具體詳見(jiàn)下表）。與此相對(duì)，《央企辦法》對(duì)合規(guī)管理組織架構(gòu)也作了進(jìn)一步調(diào)整與優(yōu)化，明晰了各合規(guī)管理組織的權(quán)責(zé)劃分。此次修訂，《央企辦法》還增加黨委（黨組）負(fù)合規(guī)的領(lǐng)導(dǎo)職責(zé)；明確央企主要負(fù)責(zé)人應(yīng)作為第一責(zé)任人落實(shí)央企合規(guī)管理要求；首次提出央企應(yīng)設(shè)置首席合規(guī)官，并對(duì)其具體合規(guī)管理職責(zé)予以明確；進(jìn)一步明確合規(guī)管理“三道防線”的權(quán)責(zé)劃分，總之，此次修改是對(duì)國(guó)際標(biāo)準(zhǔn)的有效回應(yīng)。2.相關(guān)條款：ISO

37301:2021《央企辦法》5.3

Roles，responsibilities

and

authorities5.3.1

Governing

body

and

top

management第五條

中央企業(yè)合規(guī)管理工作應(yīng)當(dāng)遵循以下原則：The

governing

body

and

top

management

shall

ensure

thatthe

responsibilities

and

authorities

for

relevant

roles

areassigned

and

communicated

within

the

organization.The

governing

body

and

top

management

shall

assign

theresponsibility

and

authority

for：a)

ensuring

that

the

compliance

management

systemconforms

to

the

requirements

of

this

document；b)

reporting

on

the

performance

of

the

compliance（一）堅(jiān)持黨的領(lǐng)導(dǎo)。充分發(fā)揮企業(yè)黨委（黨組）領(lǐng)導(dǎo)作用，落實(shí)全面依法治國(guó)戰(zhàn)略部署有關(guān)要求，把黨的領(lǐng)導(dǎo)貫穿合規(guī)管理全過(guò)程。management

system

to

the

governing

body

and

top

第二章

組織和職責(zé)management.The

governing

body

shall：——ensure

that

top

management

is

measured

against

theachievement

of

compliance

objectives；第七條

中央企業(yè)黨委（黨組）發(fā)揮把方向、管大局、促落實(shí)的領(lǐng)導(dǎo)作用，推動(dòng)合規(guī)要求在本企業(yè)確保最高管理者的管理績(jī)效可以根據(jù)合規(guī)目標(biāo)的實(shí)現(xiàn)程

得到嚴(yán)格遵循和落實(shí)，不斷提升度進(jìn)行測(cè)量；依法合規(guī)經(jīng)營(yíng)管理水平?！猠xercise

oversight

over

top

management

regarding

theoperation

of

the

compliance

management

system.對(duì)最高管理者運(yùn)行合規(guī)管理體系的情況進(jìn)行監(jiān)督。Top

management

shall：央企業(yè)應(yīng)當(dāng)嚴(yán)格遵守黨內(nèi)法規(guī)制度，企業(yè)黨建工作機(jī)構(gòu)在黨委（黨組）領(lǐng)導(dǎo)下，按照有關(guān)規(guī)定履行——allocate

adequate

and

appropriate

resources

to

相應(yīng)職責(zé)，推動(dòng)相關(guān)黨內(nèi)法規(guī)制establish，develop，implement，evaluate，maintain

andimprove

the

compliance

management

system；為建立、開(kāi)發(fā)、實(shí)施、評(píng)估、保持和改進(jìn)合規(guī)管理體系，配置足夠且適宜的資源；——ensure

that

effective

systems

of

timely

reporting

oncompliance

performance

are

in

place；確保建立及時(shí)有效的合規(guī)績(jī)效報(bào)告制度；度有效貫徹落實(shí)。第八條

中央企業(yè)董事會(huì)發(fā)揮定戰(zhàn)略、作決策、防風(fēng)險(xiǎn)作用，主要履行以下職責(zé)：（一）審議批準(zhǔn)合規(guī)管理基本制度、體系建設(shè)方案和年度報(bào)告等。8

/

48——ensure

alignment

between

strategic

and

operationaltargets

and

compliance

obligations；確保戰(zhàn)略和運(yùn)營(yíng)目標(biāo)與合規(guī)義務(wù)相協(xié)同；（二）研究決定合規(guī)管理重大事項(xiàng)。（三）推動(dòng)完善合規(guī)管理體系并對(duì)其有效性進(jìn)行評(píng)價(jià)?！猠stablish

and

maintain

accountability

mechanismsincluding

disciplinary

actions

and

consequences；建立和維護(hù)問(wèn)責(zé)機(jī)制包括紀(jì)律處分和結(jié)果；（四）決定合規(guī)管理部門設(shè)置及——ensure

the

integration

of

compliance

performance

into

職責(zé)。performance

appraisals

of

personnel.確保合規(guī)績(jī)效與人員績(jī)效考核掛鉤。5.3.2

Compliance

function第九條

中央企業(yè)經(jīng)理層發(fā)揮謀經(jīng)營(yíng)、抓落實(shí)、強(qiáng)管理作用，主要履行以下職責(zé)：The

compliance

function

shall

be

responsible

for

theoperation

of

the

compliance

management

system

including

（一）擬訂合規(guī)管理體系建設(shè)方the

following：——facilitating

the

identification

of

compliance

obligations；案，經(jīng)董事會(huì)批準(zhǔn)后組織實(shí)施。（二）擬訂合規(guī)管理基本制度，批準(zhǔn)年度計(jì)劃等，組織制定合規(guī)促進(jìn)識(shí)別合規(guī)義務(wù)；——documenting

the

compliance

risk

assessment

(see

4.6)

管理具體制度。；（三）組織應(yīng)對(duì)重大合規(guī)風(fēng)險(xiǎn)事件。記錄對(duì)合規(guī)風(fēng)險(xiǎn)的評(píng)估(參見(jiàn)

4.6)；——aligning

the

compliance

management

system

with

thecompliance

objectives；使合規(guī)管理體系與合規(guī)目標(biāo)保持一致；——monitoring

and

measuring

compliance

performance；監(jiān)視和測(cè)量合規(guī)績(jī)效；——analysing

and

evaluating

the

performance

of

thecompliance

management

system

to

identify

any

need

forcorrective

action；分析和評(píng)估合規(guī)管理體系的績(jī)效，以決定是否需要采取糾正措施；（四）指導(dǎo)監(jiān)督各部門和所屬單位合規(guī)管理工作。第十二條

中央企業(yè)應(yīng)當(dāng)結(jié)合實(shí)際設(shè)立首席合規(guī)官，不新增領(lǐng)導(dǎo)崗位和職數(shù)，由總法律顧問(wèn)兼任，對(duì)企業(yè)主要負(fù)責(zé)人負(fù)責(zé)，領(lǐng)導(dǎo)合規(guī)管理部門組織開(kāi)展相關(guān)工作，指導(dǎo)所屬單位加強(qiáng)合規(guī)管理?！猠stablishing

a

compliance

reporting

and

documenting

第十三條

中央企業(yè)業(yè)務(wù)及職能system；建立合規(guī)報(bào)告和記錄制度；部門承擔(dān)合規(guī)管理主體責(zé)任，主要履行以下職責(zé)：——ensuring

the

compliance

management

system

isreviewed

at

planned

intervals

(see

9.2

and

9.3)；確保按計(jì)劃的時(shí)間間隔對(duì)合規(guī)管理體系進(jìn)行評(píng)審(參見(jiàn)9.2

和

9.3)；（一）建立健全本部門業(yè)務(wù)合規(guī)管理制度和流程，開(kāi)展合規(guī)風(fēng)險(xiǎn)識(shí)別評(píng)估，編制風(fēng)險(xiǎn)清單和應(yīng)對(duì)——establishing

a

system

for

raising

concerns

and

ensuring

預(yù)案。that

concerns

are

addressed.建立質(zhì)疑以及確保質(zhì)疑得到解決的制度。（二）定期梳理重點(diǎn)崗位合規(guī)風(fēng)險(xiǎn)，將合規(guī)要求納入崗位職責(zé)。（三）負(fù)責(zé)本部門經(jīng)營(yíng)管理行為The

compliance

function

shall

exercise

over-sight

that：——responsibilities

to

achieve

identified

complianceobligations

are

appropriately

allocated

throughout

the

的合規(guī)審查。organization；（四）及時(shí)報(bào)告合規(guī)風(fēng)險(xiǎn)，組織履行已識(shí)別的合規(guī)義務(wù)的職責(zé)在整個(gè)組織內(nèi)得到有效分配；或者配合開(kāi)展應(yīng)對(duì)處置。（五）組織或者配合開(kāi)展違規(guī)問(wèn)題調(diào)查和整改?！猚ompliance

obligations

are

integrated

into

policies

，processes

and

procedures；中央企業(yè)應(yīng)當(dāng)在業(yè)務(wù)及職能部門設(shè)置合規(guī)管理員，由業(yè)務(wù)骨干擔(dān)任，接受合規(guī)管理部門業(yè)務(wù)指導(dǎo)和培訓(xùn)。合規(guī)義務(wù)納入方針、過(guò)程和程序；——all

relevant

personnel

are

trained

as

required；所有相關(guān)人員按要求接受培訓(xùn)；——compliance

performance

indicators

are

established.建立合規(guī)績(jī)效指標(biāo)。第十四條

中央企業(yè)合規(guī)管理部The

compliance

function

shall

provide：9

/

48——personnel

with

access

to

resources

on

compliancepolicies，

processes

and

procedures；門牽頭負(fù)責(zé)本企業(yè)合規(guī)管理工作，主要履行以下職責(zé)：向相關(guān)人員提供與合規(guī)方針、過(guò)程和程序有關(guān)的資源；——advice

to

the

organization

on

compliance-relatedmatters.就合規(guī)相關(guān)事宜向組織提供建議。The

organization

shall

ensure

that

the

compliance

functionis

given

access

to：——senior

decision-makers

and

the

opportunity

tocontribute

early

in

the

decision-making

processes；接觸高級(jí)決策者，并在決策過(guò)程中有早期提出建議的機(jī)會(huì)；（一）組織起草合規(guī)管理基本制度、具體制度、年度計(jì)劃和工作報(bào)告等。（二）負(fù)責(zé)規(guī)章制度、經(jīng)濟(jì)合同、重大決策合規(guī)審查。（三）組織開(kāi)展合規(guī)風(fēng)險(xiǎn)識(shí)別、預(yù)警和應(yīng)對(duì)處置，根據(jù)董事會(huì)授權(quán)開(kāi)展合規(guī)管理體系有效性評(píng)價(jià)?！猘ll

levels

of

the

organization；接觸組織的所有層級(jí)；（四）受理職責(zé)范圍內(nèi)的違規(guī)舉報(bào)，提出分類處置意見(jiàn)，組織或者參與對(duì)違規(guī)行為的調(diào)查。（五）組織或者協(xié)助業(yè)務(wù)及職能部門開(kāi)展合規(guī)培訓(xùn)，受理合規(guī)咨詢，推進(jìn)合規(guī)管理信息化建設(shè)。中央企業(yè)應(yīng)當(dāng)配備與經(jīng)營(yíng)規(guī)模、業(yè)務(wù)范圍、風(fēng)險(xiǎn)水平相適應(yīng)的專職合規(guī)管理人員，加強(qiáng)業(yè)務(wù)培訓(xùn)，提升專業(yè)化水平?！猘ll

personnel

，

documented

information

and

dataneeded；接觸所有需要的人員、文件化信息和數(shù)據(jù)；——expert

advice

on

relevant

laws，regulations，codes

andorganizational

standards.就相關(guān)法律、法規(guī)、規(guī)范和組織標(biāo)準(zhǔn)收集專家意見(jiàn)。5.3.3

ManagementManagement

shall

be

responsible

for

compliance

within

itsarea

of

responsibility

by：——cooperatingwith

and

supporting

the

compliancefunction

and

encouraging

personnel

to

do

the

same；配合和支持合規(guī)職能并鼓勵(lì)員工共同參與；——ensuring

that

all

personnel

within

their

control

arecomplying

with

the

organization's

compliance

obligations，policies，processes

and

procedures；確保其管理范圍內(nèi)的所有人員都遵守組織的合規(guī)義務(wù)、方針、過(guò)程和程序；——identifying

and

communicating

compliance

risks

intheir

operations；識(shí)別其運(yùn)營(yíng)中的合規(guī)風(fēng)險(xiǎn)并進(jìn)行溝通；——integrating

compliance

obligations

into

existingbusiness

practices

and

procedures

in

their

areas

ofresponsibility；在其職責(zé)范圍內(nèi)將合規(guī)義務(wù)融入現(xiàn)有的商業(yè)慣例和程序；——attending

and

supporting

compliance

training

activities；參加并協(xié)助合規(guī)培訓(xùn)活動(dòng)；——developing

personnel

awareness

of

complianceobligations

and

directing

them

to

meet

training

andcompetence

requirements；培養(yǎng)員工的合規(guī)意識(shí)，指導(dǎo)他們滿足培訓(xùn)和能力要求；——encouraging

their

personnel

to

raise

complianceconcerns

and

supporting

them

and

precluding

any

form

ofretaliation；鼓勵(lì)并支持員工提出合規(guī)質(zhì)疑，并防止任何形式的報(bào)復(fù)；——actively

participating

in

the

management

andresolution

of

compliance-related

incidents

and

issues

as10

/

48required；根據(jù)要求積極參與合規(guī)相關(guān)事件和問(wèn)題的管理、解決；——ensuring

that，

once

the

need

for

corrective

action

isidentified

，

appropriate

corrective

action

is

recommendedand

implemented.確保一經(jīng)確定需要采取糾正措施時(shí)，適當(dāng)?shù)募m正措施能夠得到推薦并實(shí)施。（二）合規(guī)要求之資源支持1.解讀：ISO

37301:2021

第

7.1

條明確規(guī)定“資源：組織應(yīng)確定并提供建立、實(shí)施、保持和持續(xù)改進(jìn)合規(guī)管理體系所需的資源”。與此對(duì)應(yīng)，《央企辦法》第六條也規(guī)定了中央企業(yè)應(yīng)當(dāng)在機(jī)構(gòu)、人員、經(jīng)費(fèi)、技術(shù)等方面為合規(guī)管理工作提供必要條件。合規(guī)管理體系的建立離不開(kāi)人力、財(cái)力、物力三個(gè)方面的全方位支持，被視為合規(guī)管理體系是否有效的評(píng)價(jià)指標(biāo)之一。雖然

ISO

37301:2021

將這些支持定義為“Resources”，而《辦法》將其定義為“必要條件”，但本所律師認(rèn)為，即便表述不同，其內(nèi)涵均要求企業(yè)為合規(guī)構(gòu)建全方位多維度的資源與條件供給。2.相關(guān)條款：ISO

37301:2021《央企辦法》7.1

Resources第六條

中央企業(yè)應(yīng)當(dāng)在機(jī)構(gòu)、人員、經(jīng)費(fèi)、技術(shù)等方面為合規(guī)管理工作提供必要條件，保障相關(guān)工作有序開(kāi)展。The

organization

shall

determine

and

provide

the

resourcesneeded

for

the

establishment

，

implementation

，maintenance

and

continual

improvement

of

the

compliancemanagement

system.（三）合規(guī)要求之運(yùn)行監(jiān)督1.解讀：ISO

37301:2021

第

A8.3

條規(guī)定了組織人員可提出“合理懷疑：必要時(shí)，應(yīng)逐級(jí)上報(bào)至最高管理層和治理機(jī)構(gòu)，包括相關(guān)委員會(huì)。即使當(dāng)?shù)胤ㄒ?guī)沒(méi)有要求，組織也應(yīng)考慮建立匿名或保密的舉報(bào)機(jī)制，以便組織的人員和代理方進(jìn)行舉報(bào)或?qū)で髴?yīng)對(duì)不合規(guī)行為的指導(dǎo)，且不必?fù)?dān)心遭到報(bào)復(fù)”，隨后，第

A8.4

條對(duì)舉報(bào)后續(xù)過(guò)程的“調(diào)查程序”進(jìn)行了具體規(guī)定，即“有效的合規(guī)管理體系應(yīng)具有良好的運(yùn)作機(jī)制，以及時(shí)、徹底地調(diào)查對(duì)本組織、其人員或有關(guān)第三方不當(dāng)行為的任何指控或懷疑。這包括組織的應(yīng)對(duì)性文件、采取的一切紀(jì)律或補(bǔ)救措施，以及在吸取經(jīng)驗(yàn)教訓(xùn)后對(duì)合規(guī)管理體系的修訂。應(yīng)查明包括管理者、最高管理層和治理11

/

48機(jī)構(gòu)在內(nèi)的不當(dāng)行為的根源、合規(guī)管理體系的漏洞和責(zé)任缺失的原因?？b密的根源分析涉及人員的數(shù)量、水平，以及不合規(guī)的程度、普遍性、嚴(yán)重性、持續(xù)時(shí)間和頻率。組織還應(yīng)確保調(diào)查是公正和獨(dú)立的。且應(yīng)酌情考慮設(shè)立獨(dú)立的委員會(huì)監(jiān)督調(diào)查活動(dòng)，并保證調(diào)查的完整性和獨(dú)立性”。同時(shí)，調(diào)查結(jié)束之后“組織應(yīng)建立調(diào)查報(bào)告機(jī)制，包括報(bào)告調(diào)查結(jié)果的級(jí)別（注：法律有時(shí)會(huì)要求組織報(bào)告不合規(guī)情況。對(duì)此，應(yīng)根據(jù)適用的法規(guī)或其他商定的方式通知監(jiān)管機(jī)構(gòu)）”，然而“即使法律不要求組織報(bào)告不合規(guī)行為，組織也可以考慮主動(dòng)向監(jiān)管機(jī)構(gòu)披露不合規(guī)行為，以減輕不合規(guī)行為的后果”。與此相對(duì)，《央企辦法》第十三條明確央企及職能部門承擔(dān)合規(guī)管理主體責(zé)任并組織或配合開(kāi)展相關(guān)調(diào)查與整改工作，同時(shí)第二十四對(duì)于舉報(bào)機(jī)制作出了更為細(xì)致的規(guī)定，包括設(shè)立違規(guī)舉報(bào)平臺(tái)，公布舉報(bào)電話、郵箱或者信箱的違規(guī)舉報(bào)途徑，還特別提及對(duì)于舉報(bào)人的身份與舉報(bào)事項(xiàng)進(jìn)行保密、對(duì)舉報(bào)屬實(shí)的舉報(bào)人進(jìn)行獎(jiǎng)勵(lì)等激勵(lì)性、保護(hù)性新舉措?！堆肫筠k法》所規(guī)定的這一“舉報(bào)機(jī)制”與

ISO

37301:2021

中“報(bào)告疑慮制度”效果類似，均確定了“對(duì)舉報(bào)內(nèi)容、舉報(bào)者保密”“保護(hù)舉報(bào)者免于遭受報(bào)復(fù)”等原則。然而，《央企辦法》對(duì)于后續(xù)的調(diào)查程序與處理并未作出詳盡規(guī)定，而

ISO37301:2021

不僅規(guī)定了調(diào)查程序外而且增加了對(duì)于確認(rèn)情況后的處理措施，即從相關(guān)部門接受舉報(bào)移交責(zé)任追究部門，到對(duì)涉嫌違紀(jì)違法的按照規(guī)定移交紀(jì)檢監(jiān)察等相關(guān)部門或者機(jī)構(gòu)，將舉報(bào)中發(fā)現(xiàn)的問(wèn)題與追責(zé)問(wèn)責(zé)流程銜接起來(lái)，將舉報(bào)渠道與司法處罰機(jī)制相銜接，因此，我國(guó)央企合規(guī)職能部門在處理相關(guān)問(wèn)題時(shí)可參考適用國(guó)際標(biāo)準(zhǔn)。2.相關(guān)條款：ISO

37301:2021《央企辦法》A.8.3

Raising

concerns第十三條

中央企業(yè)業(yè)務(wù)Where

appropriate，escalation

should

be

to

top

management

and

the

及職能部門承擔(dān)合規(guī)管理governing

body，including

relevant

committees.主體責(zé)任，主要履行以下Even

when

not

required

by

local

regulation，organizations

should

職責(zé)：consider

developing

a

whistleblower

mechanism

to

allow

foranonymity

or

confidentiality，whereby

the

organization's

employees

（五）組織或者配合開(kāi)展……and

agents

can

report

or

seek

guidance

of

noncompliance

withoutfear

of

retaliation.For

more

guidance

on

whistleblowing

management

systems

seeISO/DIS

37002.違規(guī)問(wèn)題調(diào)查和整改。第二十四條

中央企業(yè)應(yīng)當(dāng)設(shè)立違規(guī)舉報(bào)平臺(tái)，公12

/

48A.8.4

Investigation

process布舉報(bào)電話、郵箱或者信箱，相關(guān)部門按照職責(zé)權(quán)限受理違規(guī)舉報(bào)，并就舉報(bào)問(wèn)題進(jìn)行調(diào)查和處理，對(duì)造成資產(chǎn)損失或者嚴(yán)重不良后果的，移交責(zé)任追究部門；對(duì)涉嫌違紀(jì)違法的，按照規(guī)定移交紀(jì)檢監(jiān)察等相關(guān)部門或者機(jī)構(gòu)。中央企業(yè)應(yīng)當(dāng)對(duì)舉報(bào)人的身份和舉報(bào)事項(xiàng)嚴(yán)格保密，對(duì)舉報(bào)屬實(shí)的舉報(bào)人可以給予適當(dāng)獎(jiǎng)勵(lì)。任何單位和個(gè)人不得以任何形A

characteristic

of

an

effective

compliance

management

system

is

awell-functioning

mechanism

for

the

timely

and

thoroughinvestigation

of

any

allegations

or

suspicions

of

misconduct

by

theorganization，

its

personnel

or

relevant

third

parties.

This

includesthe

documentation

of

the

organization's

response

，

including

anydisciplinary

or

remediation

measures

taken

，

and

revisions

of

thecompliance

management

system

considering

lessons

learned.An

effective

investigation

mechanism

identifies

the

root

causes

ofmisconduct，vulnerabilities

of

the

compliance

management

systemand

accountability

lapses

，

including

among

managers

，

topmanagement

and

the

governing

body.A

thoughtful

root-causeanalysis

addresses

the

extent

and

pervasiveness

of

thenoncompliance，the

number

and

level

of

the

personnel

involved，andthe

seriousness，duration

and

frequency

of

the

noncompliance.Organizations

should

make

sure

that

the

investigations

are

fair

and

式對(duì)舉報(bào)人進(jìn)行打擊報(bào)independent.They

should

consider

，

when

appropriate

，

creating

復(fù)。independent

committees

to

oversee

the

investigation

and

guaranteetheir

completeness

and

independence.The

organization

should

establish

a

reporting

mechanism

oninvestigations

，

including

the

level

up

to

which

the

findings

ofinvestigations

are

to

be

reported.NOTE

Organizations

are

sometimes

required

by

law

to

reportnoncompliance.

In

such

cases，regulatory

authorities

are

informed

inaccordance

with

the

applicable

regulations，or

as

otherwise

agreed.Even

if

organizations

are

not

required

by

law

to

reportnoncompliance

，

they

can

consider

voluntary

self-disclosure

ofnoncompliance

to

regulatory

authorities

to

mitigate

theconsequences

of

noncompliance.（四）合規(guī)要求之信息化建設(shè)1.解讀：ISO

37301:2021

第

7.5

條規(guī)定了“文件化信息控制：組織應(yīng)控制合規(guī)管理體系和本文件所要求的文件化信息，以確保其一方面，在需要的場(chǎng)所和時(shí)間均可獲得并適用；另一方面，得到充分的保護(hù)（例如：防止泄密、不當(dāng)使用或完整性缺損）”。同時(shí)，還規(guī)定了“為控制文件化信息，適用時(shí)，組織應(yīng)實(shí)施以下活動(dòng)：分發(fā)、訪問(wèn)、檢索和使用；儲(chǔ)存和保護(hù)，包括保持易讀性；變更的控制（例如：版本控制）；保留和處置”。不僅如此，“組織應(yīng)識(shí)別其確定的合規(guī)管理體系策劃和運(yùn)行所需的來(lái)自外部的文件化信息，適當(dāng)時(shí)應(yīng)予以控制”，國(guó)際標(biāo)準(zhǔn)中的文件化信息是組織需要控制和保持的信息及其載體，涉及內(nèi)容非常廣泛。與此相對(duì)，《央企辦法》通過(guò)第一章原則與第六章專章規(guī)定的方式也要求央企建立合規(guī)管理信息化控制系統(tǒng)。三十三條至第三十六條闡述了運(yùn)用信息化手段促進(jìn)制度、財(cái)務(wù)、業(yè)務(wù)等各方面的合規(guī)管理，尤其是將合規(guī)制度、典型案例、合13

/

48規(guī)培訓(xùn)、違規(guī)行為記錄等納入信息系統(tǒng)，與

ISO

37301:2021

對(duì)文件化信息的管理理念不謀而合。當(dāng)前已有普遍共識(shí)，即信息系統(tǒng)處理文件化信息有助于流程清晰、高效管理，防止人為疏漏。同時(shí)，在建立信息系統(tǒng)的同時(shí)，需要遵守我國(guó)《網(wǎng)安法》《數(shù)安法》《個(gè)保法》，以及其他相關(guān)法律法規(guī)等規(guī)定。對(duì)于跨境經(jīng)營(yíng)的中央企業(yè)，則還需遵循歐盟《通用數(shù)據(jù)保護(hù)條例》、美國(guó)《數(shù)據(jù)隱私和保護(hù)法案》等國(guó)際法律法規(guī)。2.相關(guān)條款：ISO

37301:2021《央企辦法》7.5.3

Control

of

documented

informationDocumented

information

required

by

thecompliance

management

system

and

by

thisdocument

shall

be

controlled

to

ensure：a)

it

is

available，and

suitable

for

use，where第五條

中央企業(yè)合規(guī)管理工作應(yīng)當(dāng)遵循以下原則：（四）堅(jiān)持務(wù)實(shí)高效。建立健全符合企業(yè)實(shí)際的合規(guī)管理體系，突出對(duì)重點(diǎn)領(lǐng)域、關(guān)鍵環(huán)節(jié)和重要人員的管理，充分利用大數(shù)據(jù)等信息化手段，切實(shí)提高管理效能。and

when

it

is

needed；b)

it

is

adequately

protected

(e.g.

from

loss

ofconfidentiality

，

improper

use

，

or

loss

ofintegrity).For

the

control

of

documented

information，the

organization

shall

address

the

followingactivities，as

applicable：——distribution，access，retrieval

and

use；——storage

and

preservation

，

includingpreservation

of

legibility；——control

of

changes

(e.g.

version

control)；——retention

and

disposition.第六章

信息化建設(shè)第三十三條

中央企業(yè)應(yīng)當(dāng)加強(qiáng)合規(guī)管理信息化建設(shè)，結(jié)合實(shí)際將合規(guī)制度、典型案例、合規(guī)培訓(xùn)、違規(guī)行為記錄等納入信息系統(tǒng)。第三十四條

中央企業(yè)應(yīng)當(dāng)定期梳理業(yè)務(wù)流程，查找合規(guī)風(fēng)險(xiǎn)點(diǎn)，運(yùn)用信息化手段將合規(guī)要求和防控措施嵌入流程，針對(duì)關(guān)鍵節(jié)點(diǎn)加強(qiáng)合規(guī)審查，強(qiáng)化過(guò)程管控。第三十五條

中央企業(yè)應(yīng)當(dāng)加強(qiáng)合規(guī)管理信息系統(tǒng)與財(cái)務(wù)、投資、采購(gòu)等其他信息系統(tǒng)的互聯(lián)互通，實(shí)現(xiàn)數(shù)據(jù)共用共享。Documented

information

of

external

origindetermined

by

the

organization

to

benecessary

for

the

planning

and

operation

of

第三十六條

中央企業(yè)應(yīng)當(dāng)利用大數(shù)據(jù)等技the

compliance

management

system

shall

be

術(shù)，加強(qiáng)對(duì)重點(diǎn)領(lǐng)域、關(guān)鍵節(jié)點(diǎn)的實(shí)時(shí)動(dòng)態(tài)監(jiān)identified，as

appropriate，and

controlled.測(cè)，實(shí)現(xiàn)合規(guī)風(fēng)險(xiǎn)即時(shí)預(yù)警、快速處置。（五）合規(guī)要求之建立合規(guī)體系并持續(xù)改進(jìn)1.解讀：ISO

37301:2021

第

4.4

要求建立“合規(guī)管理體系：組織應(yīng)根據(jù)本文件的要求建立、實(shí)施、保持和持續(xù)改進(jìn)合規(guī)管理體系，包括所需的過(guò)程及其相互作用”，“合規(guī)管理體系應(yīng)反映組織的價(jià)值觀、目標(biāo)、戰(zhàn)略和合規(guī)風(fēng)險(xiǎn)，并且應(yīng)考慮組織環(huán)境（參見(jiàn)

4.1）”。第

10.1

對(duì)持續(xù)改進(jìn)作出了具體規(guī)定“組織應(yīng)持續(xù)改進(jìn)合規(guī)管理體系的適宜性、充分性和有效性”，“當(dāng)確定合規(guī)管理體系需要變更時(shí)，組14

/

48織應(yīng)按計(jì)劃實(shí)施變更”，“組織應(yīng)考慮：變更的目的及其潛在后果；合規(guī)管理體系設(shè)計(jì)和運(yùn)行的有效性；充足資源的可用性；職責(zé)和權(quán)限的分配或再分配”。與此相對(duì)，《央企辦法》第三章對(duì)制度建設(shè)提出了具體要求，并要求中央企業(yè)依照制度環(huán)境變化對(duì)其企業(yè)合規(guī)制度進(jìn)行持續(xù)性改進(jìn)。無(wú)論是國(guó)際標(biāo)準(zhǔn)還是國(guó)內(nèi)規(guī)章，均認(rèn)為有效且優(yōu)質(zhì)的合規(guī)管理體系其核心特點(diǎn)表現(xiàn)為實(shí)效性，企業(yè)應(yīng)具備持續(xù)改進(jìn)和發(fā)展的能力?？偠灾?，本質(zhì)上是要求企業(yè)根據(jù)組織環(huán)境的變化，相應(yīng)調(diào)整內(nèi)部規(guī)章制度的建立。2.相關(guān)條款：ISO

37301:2021《央企辦法》第三章

制度建設(shè)4.1

Understanding

the

organization

and

its

contextThe

organization

shall

determine

external

and

internal

issuesthat

are

relevant

to

its

purpose

and

that

affect

its

ability

toachieve

the

intended

result(s)

of

its

compliance

managementsystem.For

this

purpose，

the

organization

shall

consider

a

broadrange

of

issues，

including

but

not

limited

to：——the

business

model，

including

strategy，nature，sizeand

scale

complexity

and

sustainability

of

the

organization'sactivities

and

operations；第十六條

中央企業(yè)應(yīng)當(dāng)建立健全合規(guī)管理制度，根據(jù)適用范圍、效力層級(jí)等，構(gòu)建分級(jí)分類的合規(guī)管理制度體系。第十七條

中央企業(yè)應(yīng)當(dāng)制定合規(guī)管理基本制度，明確總體目標(biāo)、機(jī)構(gòu)職責(zé)、運(yùn)行機(jī)制、考核評(píng)價(jià)、監(jiān)督問(wèn)責(zé)等內(nèi)容。第十八條

中央企業(yè)應(yīng)當(dāng)針對(duì)反壟斷、反商業(yè)賄賂、生態(tài)環(huán)保、安全生產(chǎn)、勞動(dòng)用工、稅務(wù)管理、數(shù)據(jù)保護(hù)等重點(diǎn)領(lǐng)域，以及合規(guī)風(fēng)險(xiǎn)較高的業(yè)務(wù)，制定合規(guī)管理具體制度或者專項(xiàng)指南。商業(yè)模式，包括組織活動(dòng)和運(yùn)營(yíng)的戰(zhàn)略、性質(zhì)、規(guī)模、復(fù)雜性和可持續(xù)性；——the

nature

and

scope

of

business

relations

with

thirdparties；與第三方業(yè)務(wù)合作的性質(zhì)和范圍；——the

legal

and

regulatory

context；法律和法規(guī)要求；第十九條

中央企業(yè)應(yīng)當(dāng)根據(jù)法律法規(guī)、監(jiān)管政策等變化情況，及時(shí)對(duì)規(guī)章制度進(jìn)行修訂完善，對(duì)執(zhí)行落實(shí)情況進(jìn)行檢查?！猼he

economic

situation；經(jīng)濟(jì)環(huán)境；——social，

cultural

and

environmental

contexts；社會(huì)、文化、環(huán)境因素；——internal

structures，policies，processes，procedures

andresources，including

technology；內(nèi)部組織架構(gòu)、方針、過(guò)程、程序和資源包括技術(shù)；——its

compliance

culture.自身的合規(guī)文化。4.4

Compliance

management

systemThe

organization

shall

establish，implement，maintain

andcontinually

improve

a

compliance

management

system

，including

the

processes

needed

and

their

interactions

，

inaccordance

with

the

requirements

of

this

document.The

compliance

management

system

shall

reflect

theorganization's