意見領袖丨北京和昶律師事務所
《原則》的作者瑞·達利歐曾說,一個組織最重要的就是建立自己的原則,不管外部環境如何變化,它始終幫助企業保持某種穩定性。這個原則就是企業的價值觀和文化,合規作為現代企業的價值觀,是在運行和糾錯中落實,又在落實中建立和強化的。
1、風險的識別、評估與控制
通過調查問卷發現,企業對風險識別的重要性有所關注。75%的被調查者表示,在“識別風險的基礎上,相應制定合規程序和流程”,這可以說是靜態的合規。但在合規制度的具體運行過程中,“對業務部門開展獨立監督,跟進落實合規程序和流程”的選擇率是32%、“對不合規情況及時、公開處理,監督改進”的選擇率是40%,這組數據說明相關企業對于合規制度的落實還有待提高,這實際上是動態的合規。對于企業而言,識別風險不易,控制風險更難,如何把合規文化和制度落實在每一個業務流程、每一個人,對每個企業而言都是嚴峻的挑戰。
(1)識別風險
識別風險可以說是合規的原點,整個合規體系都是基于此建立的。不同的行業、企業發展的不同階段,可能面臨不同的風險。醫藥行業的商業賄賂、互聯網公司的個人信息保護、平臺公司的內容審查等,都是常見的風險點。“蔣凡事件”對于小公司可能是茶余飯后的談資,對于阿里巴巴這樣的頭部企業,可能就是一次嚴重的公關危機。所以一定要用發展的眼光識別風險。
2020年7月,拼多多APP的商家宜買車汽車旗艦店上線“特斯拉Model3萬人團”團購活動。拼多多每臺車補貼40,000元給購車用戶,以搶購成功的用戶名義在特斯拉官網上下單買車。原價291,800元的Model3標準續航后驅版,只需251,800元。7月21日,特斯拉聲明,未與拼多多或者宜買車合作,并拒絕交付下單車輛,稱違反禁止轉賣條款。8月14日,此事經新浪科技曝光后,迅速沖上微博熱搜。
拼多多作為平臺電商,典型的業務模式是,同時面向買家和賣家。對于買家,拼多多提供商品的展示和選購;對于賣家,拼多多提供平臺服務。這個模式的前提是,買賣雙方都愿意與拼多多合作,這也是所有市場行為必須遵守的自愿原則。但是在“特斯拉團購”事件中,拼多多未經特斯拉同意,單方通過補貼,實際拉低了特斯拉的正常售價,破壞了特斯拉的直銷體系和品牌定位,擾亂了市場。并且拼多多向特斯拉隱瞞了其以用戶的名義下單的事實,某種程度上構成欺騙,背離了市場交易的誠信原則。這實際上是拼多多蹭特斯拉的品牌熱度,提升其市場競爭力,本質上是一種不正當競爭行為。
如果僅從合同本身來看,特斯拉得到了銷售全款,用戶獲得正品的汽車,這可能是拼多多認定這一活動合法的立足點。但是,市場的本質是自愿和誠信,所有違背這一原則的行為都是受市場譴責的行為,也是不能長久的商業策略。合規中的“規”,含義本身就是多重的,并不局限于法,還包括倫理規范和社會責任。合規的最終目的,是引導公司成為“良善公民”。所以,企業對風險的識別,不能僅停留在具體的法律規范,還應上升到商業倫理和社會責任,公司應秉持善意和誠信行事,才是真正的合規。
(2)在發展中識別風險
我們正身處轟轟烈烈的第四次產業革命,新技術的涌現,使得創新成為這個時代的主題。但是,創新是一個艱難的摸索過程,尤其在以利益為先的商業環境中,有時候“創新”本身也是一種需要識別的風險。
以國家將首次代幣發行(ICO)定性為非法金融活動為例。ICO,是一種為加密數字貨幣項目籌措資金的常見方式,資金用于項目方啟動或項目由概念設計向現實轉化。早期參與者可以獲得初始產生的加密數字貨幣作為回報,在項目成功后使用這些代幣或者出售獲利。最初,它只限于少數極客以及投資者范圍,交易平臺目的單純,發展相對健康。早期ICO使得初創企業的融資來源更多樣,其創新性是不可否認的。
由于現有的監管體系和法律體系無法對該項目進行有效監管,帶有強烈投機性的資本迅速卷入,使得ICO很容易偏離其初衷。由于它是為加密數字貨幣籌資,本身就沒有任何實體市值,又沒有統一的信息披露標準和程序,高匿名性助長了投機和欺詐,最終,交易平臺與產業鏈演變為一個法定貨幣之外進行資產轉移、融資的違規金融市場,滋長了監管套利、金融犯罪。資金也完全偏離項目本身,真正的創業者無法從中受益,其創新性也在“演化”中蕩然無存,給金融市場帶來極大的風險和社會安全隱患。后期,ICO已經嚴重變質,從助力初創企業實現改變市場理想的融資工具,變成騙子們圈錢和非法集資的手段。
2017年9月,人民銀行等七部委明確ICO的本質是未經批準的非法公開融資,正式叫停。2019年下半年,深圳、上海、北京的金融監管機構開始加大力度對此進行集中整治。同年10月,號稱全球第一會員制加密貨幣交易所Biss的大部分工作人員以涉嫌洗錢被警方帶走調查,12月交易所發布會員清退及補償方案,進行合規化整改。
人民銀行原行長周小川在談到虛擬貨幣的監管時說:“我們不太喜歡創造可投機的產品,讓人有一夜暴富的幻想,如果要考慮數字貨幣,應該考慮為市場帶來快捷、安全、效率。同時應該考慮大局,不能和現有的金融秩序相沖突。”當ICO偏離區塊鏈技術,成為一種投機項目時,它不再能為社會創造新的價值,遲早會被叫停。企業必須意識到,對于新業務,尤其是暫時處于監管空白的新業務,一定要進行充分的前置性評估、識別風險,并在發展過程中進行調整。
在此次問卷調查中,“對創新性業務設置前置性合規審查”、“對于高風險領域規定強制咨詢范圍”這兩個問題,答卷者的選擇率在28%-32%之間,數據雖不甚樂觀,但和2019年的數據相較,還是能看到風險意識的提高。
現代社會瞬息萬變,在發展中識別風險,才能在發展中解決問題。
(3)識別境外投資的風險
隨著我國企業大規模的“走出去”,企業對國際通行規則、商業慣例、法律,甚至是文化宗教、政治等因素可能引發的合規風險,應進行充分的識別、評估和防控。2020年,抖音海外版TikTok拓展海外市場遭遇“冰火兩重天”。一方面,TikTok深受東道國市場的歡迎,占有率迅速提升,盈利勢頭良好;另一方面,它也深陷所在國監管危機,面臨強制下架及巨額罰款的嚴厲懲處。監管風險點集中在:數據安全、兒童隱私、內容合規、知識產權等方面。2020年更是從商業領域、法律制度延伸至地緣政治。
數據顯示,2020年1月,TikTok僅在美國的活躍用戶中10-19歲的用戶占比就高達37.2%,受眾定位偏年輕化。2019年,因違反美國兒童隱私法,美國聯邦貿易委員會對TikTok罰款570萬美元,原因是涉及非法收集13歲以下兒童的個人信息。同期,TikTok遭到了英國信息專員辦公室的調查,原因也是在保護兒童數據方面存在涉嫌違反歐盟《通用數據保護條例》的行為。在印度、印尼等宗教信仰深厚的國家,TikTok不重視對平臺所涉宗教內容的審查,招致所在國民眾的抵制,稱其內容引導青年一代“文化墮落”,直接被所在國通信部門“封殺”。在知識產權方面,TikTok更是面臨著平臺內容“侵權”與“維權”的兩難困境。以上事實說明,TikTok沒有充分針對所在國的法律和文化習俗,進行風險識別、評估和防控。
我們必須吸取的教訓是,在拓展境外業務之前,一定要根據所在國的法律、監管要求和文化習俗,進行充分的風險識別和評估,并制定出有針對性的合規計劃。本次調研,對于企業涉及境外業務時,是否會“對境外投資提供符合投資所在國法律和監管要求的合規建議”,選擇率僅為15%,這值得警醒。TikTok在海外遭遇的困境說明,對境外市場缺乏充分的風險識別和管理,已成為中國企業出海的最大軟肋。
(4)有效控制風險
識別風險的目的,是有效控制風險,但是對風險有認知無控制的情況并不少見。有醫藥行業受訪者提到,企業有合規制度,也能準確識別風險,但是,企業合規工作的重點沒有落腳在管理風險,而是切割責任。這一方面固然存在外部環境的問題,另一方面也反映出企業將“合規”作為擋箭牌,而非一種經營理念的現狀。
2019年下半年國家市場總局下發通知,專項治理醫藥行業商業賄賂行為。從公布案例看,多家知名藥企卷入賄賂風波。揚子江藥業,自2014年以來,涉及賄賂案件就高達15起;濟川藥業,營銷費用常年高居營收占比的50%,飽受質疑。一般來說,如此成熟的藥企應該具備完備的合規體系,為什么仍然問題頻出?顯而易見,合規徒具形式,糾錯機制形同虛設。商業賄賂一直是藥企的高發風險點,但是企業合規狀況一直沒有質的突破,主要是沒有有效控制風險,或者是行業陷入“劣幣驅逐良幣”的困境,難以走出屢查屢犯的泥潭。
2020年4月,國家醫保局征求《關于建立藥品價格和招采信用評價制度指導意見》(以下簡稱“指導意見稿”)的函在業界流傳。這一函件顯示,國家醫保局將采取措施更加嚴厲打擊和治理醫藥領域商業賄賂和操縱市場行為,如果受藥企委托的經銷商出現商業賄賂等違規行為,藥企需要負連帶責任。之前藥企通過代理,可以將風險甩鍋給經銷商,如果這一指導意見出臺,就意味著以往的經銷商模式將發生變化,藥企、經銷商都需要進行變革,做好合規。不能有效控制合規風險的藥企,注定被淘汰。
國家醫保局將商業賄賂追責至藥企,實際上就是以法規明確生態鏈上的合規責任。在問卷中,對于“有專門針對第三方(包括供應商、經銷商、代理、中介等)的合規管理政策”的問題,選擇率只有23%,這說明受訪者對于生態鏈上的合規風險認識不足。該指導意見函雖然只是針對藥企,但是這預示了立法的趨勢。在任何行業中,重視生態鏈上的合規,才能有效控制風險,凈化行業環境。
2、風險的內部預警
風險的產生,是一個長期的過程,合規的有效性,也貫穿在整個過程中。企業內部有一套有效的預警機制,對于企業或任何員工的違規行為能做到及時發現、及時報告,及時獎罰,才能通過制度的實際運行,將紙上的制度變現為現實的獎懲,從而讓企業中的每一個人在制度運行中建立真正的合規意識,樹立合規文化,這才是合規的最終目的。
內部舉報是企業最重要的預警機制,它肇始于安然丑聞之后,美國通過的《薩班斯法案》致力于解決讓知道企業違規行為的人有機會內部舉報,從而保證合規部門乃至最高層能對違規違法行為及時識別、調查、處理,將風險控制在損害到來之前。內部舉報制度成功的基礎在于員工有兩點確信:第一,企業反對任何違法行為,充分重視內部舉報;第二,任何內部舉報人都將得到保護和鼓勵。內部人是否敢舉報,舉報后違規者是否得到懲處,舉報人是否得到保護,這都是內部舉報要產生實效必須解決的問題。某種程度而言,內部舉報也是檢驗合規是否有效的一面鏡子。
訪談者表示,內部舉報制度在現實中很少運用,更談不上有良好的效果。一方面,“礙于情面”、“憚于威壓”、“事不關己高高掛起”的觀念比較普遍,造成內部舉報的動力不足;更重要的是,從舉報的方式、途徑、調查到舉報后對舉報人的保護與激勵,以及對被舉報人的懲處,整個流程的落實與機制設計的目標存在很大的距離。
對于高管違規,一般員工無人敢舉報;即使是合規人員、內控人員,常常看到問題也是束手無策,一旦問題演變為風險和損失,還要承擔責任。調查數據也支持了受訪者的觀察,對于“設置匿名、有效的違規違法舉報通道”,選擇率僅為27%,“對舉報事項進行調查并公開處理”,選擇率更是低至21%,如果要處理內部舉報信息,企業必須有一套“明確、完善的內部調查機制和程序”,該問題的選擇率也只有34%。如果要保證調查的獨立性,“聘請外部專業人士參與內部的合規調查”也是有必要的,該項選擇率僅19%,這一組數據不僅反映出企業內部預警機制作用十分有限,且在合規調查方面也有很大的提升空間。
雖然,在“對違規員工進行公開處罰”以及“合規考核結果與任免、晉升以及待遇等掛鉤”等涉及獎懲機制落實的選項中,選擇率達到了41%-44%,但把這些數字放在很低的舉報機制設置背景下,只能說明獎懲機制的落實更不樂觀。
制度本身是靜態而沒有生命力的。如果企業不能讓合規管理制度通過一件件具體的事件切實運行起來,不能透過每一次對員工的激勵與懲處,將合規的理念與價值觀傳遞到企業的每一個個體,合規就難免淪為紙上的制度。
3、積極應對行政監管
在中國經濟轉型的過程中,很多領域都面臨新舊更替過程帶來的一定程度的失序,面對這種失序,行政監管的收緊是不可避免的。對企業而言,就意味著更大的風險。
以數據安全為例。有統計顯示,人類迄今為止生成的所有數據中,有90%是在近兩年內產生的。也就是說,數據給予人類的價值與意義,在很短的時期內經歷了一個顛覆性的認知。從早期互聯網野蠻生長、信息隨意收集利用,違法信息、不良信息監管缺位,到今天全世界都將網絡安全、數據信息安全作為戰略部署。各國立法、司法、監管都在急速變化的認知中,迅速跟進、規范。
對于互聯網催生的新事物,在早期人們認識不足、無法準確定性,在監管上就會表現為“無規則”、“無邊界”、“無約束”。這種“三無”狀態又會刺激探索行為的激進化,引發問題的暴露。當社會對這種問題與風險的認識逐漸清晰,規則與監管必定緊隨其后,紛至沓來。針對APP違規收集個人信息的行政監管就是一個典型的例子。從最初的無規則,行業一片亂象,到規則不斷完善,行政監管不斷收緊,短短幾年時間,APP違規收集、使用個人信息的情況得到有效遏制。據報道,2019年網信辦、工信部等四部門聯合開展APP違法違規收集使用個人信息專項治理工作,共受理網民有效舉報信息12,000余條,針對2,300余款APP開展深度評估、問題核查,對用戶規模大、問題突出的260款APP,有關部門采取了公開曝光、約談、下架等處罰措施。
其實,監管不是目的,整頓才是。所以,企業應該高度重視監管要求,對監管提示的風險做到積極回應,及時跟進整改、匯報整改情況,與監管部門保持良好的溝通。依據監管要求,優化合規管理,將合規風險阻斷在行政監管階段。根據此次問卷調查,我們看到,有超過半數的企業已經做到依據監管要求,不斷完善合規管理與流程。但是,在“建立并保持與監管機構的聯系,跟蹤落實情況”以及“監督、跟進不合規行為的整改”方面,仍然有80%左右的企業還沒有建立起相應的意識,而這才是讓合規落地最重要的措施。
在我國,行政監管與刑事執法緊密相連,對于多次行政處罰后不予整改的,就有移交司法作為刑事案件處理的風險。以深圳快播傳播淫穢物品牟利案為例,在被公安機關刑事立案之前,深圳網監部門曾因其涉嫌傳播淫穢內容視頻給予過行政警告處罰,并責令其整改。但快播公司及其管理者沒有開展實質性的風險管理、糾偏工作,在主管部門調查期間,還采取了一系列對抗和逃避監管的行為。最終由公安機關介入,以涉嫌非法傳播淫穢物品罪立案調查。在外逃110天以后,CEO王欣落網受審。
這只是一個大家比較熟悉的案件,其實在很多案件進入刑事司法程序之前,都有行政監管的介入,尤其在逃稅、拒不履行信息網絡安全管理義務罪等罪,法律規定必須經過行政處罰,拒不改正的才能移送司法。有的案件是以情節是否嚴重,來界分行政處罰和刑事處罰的界限,比如違規披露、不披露重要信息罪、串通招投標罪、侵犯公民個人信息罪等,但是“情節是否嚴重“是一個主觀判斷標準,積極應對行政監管要求,就能最大限度地避免事件發展到最嚴重的程度。需要強調的是,行政是監管,監管的目的是為了幫助企業改善。如果企業不整頓改善,緊跟其后的刑事訴訟就是嚴厲的處罰。所以,行政監管某種程度上就是刑罰的預警,對此企業應抱有誠意,積極應對,主動改善。
總而言之,合規體系是建立在風險識別的基礎上,以誠信為價值取向,在發展中識別風險,通過企業內部舉報預警,外部行政監管積極糾錯,在這個過程中將企業的合規理念落實到實處,提升企業治理能力,才是真正的合規。
注:本文摘自于北京和昶律師事務所與《財富》(中文版)共同發布的“2020中國企業家法律風險報告”。
相關鏈接:
(本文作者介紹:北京和昶律師事務所是一家以刑事辯護和刑事風險防控為主的專業型、研究型律師事務所)
責任編輯:陳鑫
新浪財經意見領袖專欄文章均為作者個人觀點,不代表新浪財經的立場和觀點。
歡迎關注官方微信“意見領袖”,閱讀更多精彩文章。點擊微信界面右上角的+號,選擇“添加朋友”,輸入意見領袖的微信號“kopleader”即可,也可以掃描下方二維碼添加關注。意見領袖將為您提供財經專業領域的專業分析。
