企业合规程序介绍

作者：北京市信之源律师事务所

　　合规的程序主要包括防范体系、识别体系、应对体系三大体系，被称为合规的三大支柱。

　　防范体系是为防范合规风险的发生而建立的一套程序体系，可由四大要素组成：

　　(1)合规风险评估。具体形式包括定期评估和不定期评估。合规风险评估要求与时俱进，随着公司业务的变化和发展而不断更新，每年度都要定期形成合规风险评估报告，作为建立良好防范体系的证据予以留存。所谓“越是全面越是无效”，风险评估同样要针对合规风险点和重点合规风险领域展开，尤其针对重点风险领域，要进行定期评估。

　　(2)合规尽职调查。合规尽职调查根据调查对象的不同可以分为三大板块，首先是客户尽职调查，例如商业银行要调查大额存款客户的背景和存款来源，防止违反银行业监管法规;其次是第三方尽职调查，由于大多数合规风险来自于商业合作伙伴，开展该项尽职调查的目的是为了防止第三方违规祸及母公司;最后是投资并购相对方尽职调查，这同样是为了避免投资或收购带病企业，防范合规风险。

　　(3)合规报告制度。尤其是针对合规风险点和风险领域，要保证上下沟通顺畅。一方面，要定期由公司内部的合规部门自下而上进行报告，另一方面，合规部门和最高层也要将合规的政策和程序传达至每一位员工。

　　(4)合规培训。可以分为常规培训和有针对性的培训两类。常规培训的对象是不特定人，如一年一度面对全体员工的培训;有针对性的培训是指针对高风险点和高风险领域的部门、员工和上下游第三方的专门培训。合规培训蕴含着责任分担，可以有效切割公司责任、员工责任和第三方责任，以保住母公司为最终目标，及时建立隔离带和防火墙，防止母公司受到牵连。因此，有效的合规培训要求书面记录，还要有所有参加培训人员的签字，必要时还可以录音录像予以存档，为日后应对行政监管调查和刑事调查留存证据。

　　识别体系要求公司的合规计划具有雷达预警的效果，24小时防止违规行为的发生，因而又被称为合规风险的预警系统。识别体系主要包括以下几个要素：

　　(1)定期合规报告制度。合规报告本身兼具预防和识别的双重功能，根据报告内容的不同，对合规进展、风险领域的报告具有预防作用，而针对违规行为的报告则体现识别的功能，这一过程同样要保证信息上下沟通的顺畅。

　　(2)匿名举报制度，即“吹哨人”制度。匿名举报制度有两种模式，一种模式是鼓励企业所有员工、第三方举报违规行为，任何人都可以成为“吹哨人”;另一种模式是建立专门的“吹哨人”制度，由合规部门向各部门、分支机构秘密派驻员工，这些员工只对合规部门负责，成为专门的“吹哨人”。对“吹哨人”要进行高额奖励，也要建立完善的保护体系，保证其人身安全。

　　(3)巡回合规检查制度。大型企业的分支机构数量庞大，而且可能遍及全球，因此需要总部指派合规官进行巡视和调研，发现新的风险点和违规行为，及时督促其加以整改。

　　应对体系是指违规和犯罪行为一旦发生，企业及时应对处理合规引起的危机。应对程序一般包括五个要素：

　　(1)及时进行合规内部调查。企业需要聘请外部律师介入，对违规行为发生的原因、规章制度的漏洞和责任人展开全面调查，向监管部门和调查部门呈交内部调查报告。

　　(2)有效的配合调查。企业尤其要注意避免实施销毁账目、硬盘等阻碍调查的行为，禁止和员工建立攻守同盟，有效的配合调查强调合作的理念，这同时也是合规的前提。

　　(3)及时报告合规体系的漏洞以及合规计划的缺陷和不足。

　　(4)及时奖励发现违规的自然人，并惩戒实施违规行为的自然人，必要时交由司法机关处理。合规的生命就在于交出自然人，放过企业，其所体现的正是市场经济的交换法则。中兴公司无效合规的原因就在于应对体系失效，只有及时惩罚责任人，才能显示企业治理公司的决心，才能消除再次实施违规违法行为的人的基础。

　　(5)建章立制，完善合规体系。只有建立了有效的应对机制，才能真正建立有效的合规程序。

　　综合来看，有效的合规计划构成了相对封闭的完整体系，也被视为公司自我治理的有效方式，大大节省了外部行政监管和行政调查资源。