2023有效合规管理体系构建及热点问题分析白皮书

2023 有效合规管理体系构建及热点问题分析 北京⼤成（深圳）律师事务所 COMPLIANCECLUB 作者：谢烨蔓律师 作者简介 谢烨蔓律师 北京⼤成（深圳）律师事务所的⾼级合伙⼈、董事 ⼤成公司与商业事务部理事 深圳市律师协会数据合规委员会副主任CISP-PIP注册个⼈信息保护专员EXINDPO律师 数据交易合规师 谢烨蔓律师具有近⼗⼆年的律师执业经验，主要从事数据合规与隐私保护、企业合规管理、国资监管与政府公共事务、房地产诉讼、商事诉讼领域和公司综合类法律事务，具有多年服务国企、上市公司的经验。谢烨蔓律师为北京⼤成（深圳）律师事务所⾼级合伙⼈、董事，⼤成公司与商业事务部理事，深圳市律师协会数据合规委员会副主任，⼤成数字化中⼼副秘书⻓。 谢烨蔓律师⻓期担任国企、⼤型知名企业常年法律顾问，在国企对外投资、国有股权转让、国有资产出售或者出租、国企董监⾼责任等领域的合规操作上形成专业指引，同时协助企业进⾏合规体系建设、专项合规等，具有丰富的合规实践经验。其⽬前服务的国企达22家，包括深业集团有限公司、深业鹏基（集团）有限公司、深业南⽅地产（集团）有限公司、深圳市深业基建控股有限公司、中⽯油深圳新能源研究院有限公司、深圳市投控发展有限公司、深圳市天威视讯股份有限公司及控股⼦公司、参股公司、深圳市特⼒（集团）股份有限公司、深圳能源燃⽓投资控股有限公司、深圳市⼈才安居集团有限公司、深圳⺠航凯亚有限公司等，且服务年限均较⻓；其服务的知名⺠企包括顺丰速运有限公司、OPPO⼴东移动通信有限公司、深圳美西西餐饮管理有限公司/喜茶（深圳）企业管理有限责任公司，其中OPPO公司⾃2014年服务⾄今，顺丰公司⾃2018年服务⾄今。 编委会成员 王若菡实习律师 北京⼤成（深圳）律师事务所律师助理 专业领域：国资监管与政府公共事务、公司综合类、数据保护与隐私合规 主要从事国资监管与政府公共事务、⺠商事领域诉讼、公司综合类和数据合规类法律事务，具体包括为国有企业产权变动、对外投资，以及公司综合治理、数据治理、投融资项⽬提供专业的法律服务，并代理与之相关的⺠商事诉讼。同时，其亦负责为常年法律顾问单位提供⽇常法律咨询服务、起草、审查合同⼯作，助 ⼒顾问单位合法合规经营。服务客⼾主要为国有企业和国内知名 ⺠企，包括：深圳市天隆⼴播电视⽹络有限公司、深圳市天宝⼴播电视⽹络有限公司、深圳深汕特别合作区天之孚云计算科技有限公司、⼤悦城控股集团物业服务有限公司深圳分公司、深圳市华鑫汇珠宝有限公司、中⼴电传媒有限公司。 王倩⽂实习律师 北京⼤成（深圳）律师事务所律师助理 专业领域：国资监管与政府公共事务、公司综合类、数据保护与隐私合规 擅⻓企业合同管理、⽇常运营过程中的法律⻛险管理和控制、辅助决策、法律性⽂件起草审查。代表性客⼾包括：深圳市天隆⼴播电视⽹络有限公司、深圳市天威⼴告有限公司。 编委会成员 梅江May ⾃媒体法律⼈ComplianceClub创始⼈ 《合规小⽩的锤炼计划》创始⼈小红书合规领域垂直赛道头部博主 ComplianceClub是⼀个合规与社交相结合的组织，并致⼒打造陪伴Compliance小伙伴深度社交、智识成⻓、⼼灵陪伴的社群。ComplianceClub强调以共创、赋能为⽬的。Club旨在将不同⾏业、不同领域的优秀⼈才聚集起来，通过“学⼈之⻓、补⼰之短”、碰撞⽕花。坚信⽤集体的⼒量帮助每个⼈成⻓，从而得到集体的成⻓。在ComplianceClub，我们寻找的不是单纯的知识，而是认知、启发、⽆穷的可能性。 刘卓欢 某投资公司法务经理ComplianceClub成员企业合规师 专业领域：投融资并购重组；公司治理与商业模式合规；⾦融不良资产投资与处置 法律⾏业从业经验超⼗年，具有近⼋年的律师执业经验。执业期间先后为农业银⾏⼴州分⾏、⼴发银⾏⼴州分⾏、⺠⽣银⾏⼴州分⾏、中国银⾏⼴州分红、⼴东省粤科资产管理股份有限公司、 ⼴东粤科商业保理有限公司等⼤型⾦融国有企业提供过诉讼或⾮诉法律服务。 2023 版权 北京⼤成（深圳）律师事务所、ComplianceClub保留对本⽩⽪书的所有权利。未经权利⼈书⾯许可，任何⼈不得以任何形式或通过任何⽅式复制或转载本⽩⽪书内容。 如您欲进⼀步了解本⽩⽪书所涉及的内容，您可以通过下列联系⽅式联系我们。 联系⽅式 北京⼤成（深圳）律师事务所⾼级合伙⼈：谢烨蔓律师深圳办公室 电话：+8613760151608 邮箱：yeman.xie@dentons.cn 个⼈介绍：www.dentons.com/zh/yeman-xie微信号:Xiemanzi 小红书名称/账号：谢律talk/925799099 扫码添加好友 ComplianceClub创始⼈：梅江May 目录 一、前言1 二、合规管理词源及其渊源1 （一）合规词源1 （二）合规渊源5 三、合规管理体系建设关键要素解析7 （一）合规要求之组织架构完善7 （二）合规要求之资源支持11 （三）合规要求之运行监督11 （四）合规要求之信息化建设13 （五）合规要求之建立合规体系并持续改进14 （六）合规要求之合规文化氛围形成16 四、不同领域专项指引18 （一）数据安全保护专项18 （二）反商业贿赂专项26 （三）反垄断专项27 （四）劳动用工专项30 （五）知识产权专项33 五、合规典型案例37 （一）事前合规37 （二）事后合规38 六、合规管理体系建设和有效运行的整体优势42 （一）刑事责任方面的激励43 （三）合规不起诉案例简析44 （三）行政责任方面的激励47 （四）行政和解案例简析47 结语48 一、前言 合规管理体系构建是指企业在遵守法律法规、社会道德和商业道德的基础上，通过内部控制和外部审查，证明企业行为符合相关标准的过程。《中央企业合规管理办法》（以下简称《央企办法》）和ISO37301:2021是两个重要参考标准。其中，合规体系认证又称贯标认证是合规管理体系有效性评价的一种，一般而言，在对企业进行合规管理认证时参考的标准为ISO37301:2021或GB/T35770-2022。 《央企办法》是中国政府颁布的关于企业合规管理的指导性文件。该办法主要强调了中央企业必须遵守的法律法规、企业伦理和社会责任等方面的要求。同时，该办法还规定了企业合规管理的组织结构、内部控制、风险评估和监督检查等方面的要求，强化了企业在合规管理方面的责任意识和能力。 ISO37301:2021是国际标准化组织最新发布的企业合规管理标准，旨在帮助组织建立和维护有效的合规管理体系。该标准包含了企业合规管理的基本原则、组织架构、策略规划、资源配置等内容，并提供了一套适用于各种类型和规模组织的实施指南和评估要求。同时GB/T35770-2022等同采用ISO国际标准：ISO37301:2021。1 企业合规认证不仅可以加强企业合规管理的能力和水平，提高企业在市场中的竞争力和信誉度，还可以从根本上保障企业的经营稳定和可持续发展。因此，在实践中，企业应当根据《央企办法》和ISO37301:2021等参考标准，制定相应的合规管理方案，并通过内部控制和外部审查进行自检和认证。这样，企业才能更好地建立起一套有效的合规管理体系，为企业的可持续发展提供坚实的基础和保障。 二、合规管理词源及其渊源 （一）合规词源 1.“合规”词义辨析 “合规”一词的起源可以追溯到汉朝时期。在古代，为了统治国家和维持社会秩序，当时的统治者们制定了一系列规章制度，包括国家法律法规、伦理规范、 1https://std.samr.gov.cn/gb/search/gbDetailed?id=EB58F4DA9034B2A2E05397BE0A0A7D33 行业自治规则和承诺等。这些规章制度是为了约束人们的行为，使人们遵守规则，维护社会稳定。其中，“规”指的是规矩、规则，“章”指的是条款、章节。在汉代，这些规章制度被称为“律令”，是一套法律体系。随着时代的变迁，“合规”一词逐渐演变成了指遵守法律、规则、条例等规章制度的意思。现在，“合规”通常指企业、组织或个人遵守相关法律法规、规章制度和行业规范的行为。“公司合规”一词源于美国，已有60年的历史。最早的文献可以追溯到1962年的JamesR.WithrowJr.的文章《MakingComplianceProgramsWork》，而2001年的安然公司破产和安达信会计事务所解体事件使得“合规”成了英美法等国金融证券市场中逐渐成为经营生态重塑的重要环节。“合规”的词源本身就具有“服从”的含义，同时，“规”这个字义具有多重含义，不仅包括国家法律法规，还包括伦理规范、行业自治规则和承诺等。因此，“合规”有时也会被称为“组织尽责”(organizationalduediligence)。从企业立场上来看，合规更多和“风险管理”(riskmanagement)、“内控体系”(internalcontrol)联系在一起。 企业合规内涵可以从以下两方面着手。一方面是由COSO2在1992年发布了 《内部控制——整体框架》(InternalControl-IntegratedFramework)，该框架为企业提供了一个评估其内部控制质量的标准，被广泛地应用于各个行业和国家。COSO框架包括五大组成要素：控制环境、风险评估、控制活动、信息与沟通以及监督。另一方面则是指PCAOB3所界定的内涵，即“由实体的董事会、管理层和其他人士执行的，用于提供合理的与操作、汇报和合规相关的目标实现的过程”。 对于外部监督者（规制者、执法者、行业管理者、社会行动者）而言，合规是“组织采用的，防止违反法律和确保对外部权威的服从，由此采取步骤来发现违规的政策和控制系统”4。作为对法律服从的合规，通常认为由三个要素组成： 2COSO是指控制框架委员会（CommitteeofSponsoringOrganizationsoftheTreadwayCommission），它是由五个专业组织——美国注册会计师协会（AICPA）、美国金融经理协会（FEI）、美国内部审计师协会（IIA）、美国证券业协会（SIA）和美国管理会计师协会（IMA）所组成的联合体。 3PCAOB是美国公认会计师事务所监督委员会（PublicCompanyAccountingOversightBoard）的缩写。PCAOB成立于2002年，是一个非营利的、由政府设立的机构，其主要职责是监管和规范对公开公司的审计工作，保护投资者利益。PCAOB负责制定审计准则、审计标准和相关法规，并对注册会计师事务所进行监管和检查，确保其执行的审计工作符合法律法规和行业标准。此外，PCAOB还能够对违反法规或规范的审计师事务所进行处罚和制裁，例如暂停或取消其注册资格，罚款等。PCAOB的监管适用于上市公司及其附属机构的审计工作，这些公司必须接受PCAOB的审计程序并遵守其规定。 4MiriamHechlerBaer，GoverningCorporateCompliance，50B.C.L.Rev.949，958(2009). 一是公司确立发现和阻止高频发生的犯罪行为的内部机制；二是这一机制应当持续完整地运作；三是尽管公司可以依据不同的标准进行特殊分工，但应当采取广泛的预防措施。这些通常被更具象地形容为“一套正式行为准则、一个合规部门和官员以及一个面向员工的热线电话”5。 2.美国合规沿革 美国企业合规管理的发展是一个渐进的过程。最初，合规被视为一种轻微违规监管处罚的替代工具，要求公司承诺特定行为。随后，合规因素成为减轻处罚的考虑因素，然后逐渐成为监管部门要求采用的一般机制。尤其是从美国国防部开始，出现了在合规中要求主动汇报和完全配合调查的义务。当美国国防部发展出对公司内的合规体系进行评估的制度时，法律的执法方式就又向前跃进了一大步。实践探索为之后的法定合规制度塑造了原型。这些法律上的变化，体现了现代经济规制的特性，被视为美国回应型法律发展的典型制度。而回应型监管(respons