首页 > 动态要闻 > 律所新闻

专业文章 | 企业开展合规工作前需考虑的五个重要问题 更新日期： 2022-08-05 浏览：517

企业合规是公司治理和日常经营管理的重要内容，也越来越被政府和企业关注。当前，无论是央企、国企、民营企业还是初创企业，都逐渐建立起合规意识。合规工作的重要性不言而喻，无论是企业自行开展强化合规管理及合规制度落地的工作，还是聘请外部专业机构协助企业开展合规管理的改进工作，如何建立合规体系并不断完善已经成为企业管理层必须面对的问题。

实践中，很多企业面对“企业合规”怎么开展还是比较陌生。诚然，专业的事情交给专业的人做，企业可以将合规工作交给律师、咨询师等专业机构进行，但外部机构毕竟是“协助和辅导”作用，且合规工作并不是一蹴而就的，需要企业在开展合规工作前应当进行系统性统筹规划和全面布局，如合规工作如何开展，开展哪类合规工作，合规要做到什么程度，合规工作开展的流程如何设定，需要哪些部门参与，企业内部如何协调配合，如何分配资源，如何决策等等，都是需要在开展合规工作前慎重考虑的问题。本文拟结合律师团队的一些项目经验，梳理一些在正式开展合规业务前，企业内部应当去审慎考虑的问题。

某种程度上来说，“合规”已经成为一种价值观正确的体现。但事实上，是不是所有的企业，无论大小、无论规模都应该建立合规管理体系呢？笔者认为，合规意识的培养很重要，无论企业大小，都应当有合规意识。比如笔者的一个客户，是2021年才刚刚成立的初创企业，主要的产品均销售至海外，成立之初目标就是奔着上市去，因此，在企业成立之初就花了大量的时间和资金用于劳动合规以及境内外的税务合规工作。公司认为，尽管现阶段进行劳动和税务的合规工作可能会带来更多成本，但与其以后出现问题或影响上市后再进行整改，不如一开始就按照合规标准要求自己，防范可能存在的合规风险。

由此可见，合规工作的开展以及合规意识的培养无论是对初创企业还是成熟企业都是必须的，任何类型的企业在任何时候进行合规工作都有意义，但这并不意味着所有的企业都应当马上按照最严格的标准进行整体性合规管理体系构建，并不表示所有的企业都应当花费大量的时间精力以及人力物力全部投入到合规工作的开展中去。在目前经济环境增速放缓的背景下，很多企业还是倾向于业务优先。的确，合规是手段，经营才是目的，不能本末倒置，如果合规改进工作无法适应业务开展，成为业务的重要阻碍，那企业的经营也会存在问题。因此，企业可以结合自身的合规义务、业务发展情况以及企业发展阶段，有重点、有规划的开展合规工作。

对于很多企业而言，合规工作并不是重建一套合规管理体系，“拆掉重建”工作量巨大，且可能影响企业目前的生产经营。合规工作更像是“修补”，更需要在目前已经建立的公司治理基础上，将合规管理制度和管控手段融入现有管理体系中。在这个基础上就不难理解，合规管理很难有“模板”，需要根据企业的不同类型、不同规模和不同需求而量身定做企业内部的管理制度以及规范流程。尤其在外部专业机构协助企业构建合规管理体系工作时，一般都会在出具合规改进建议前对企业进行详尽的尽职调查和风险评估，只有在充分了解企业的基础上，才能更好的为企业提供适合的改进措施和合规建议。

开展合规工作前，企业需要考虑的重要问题是，企业的哪些方面负有合规义务，合规工作开展的范围是什么？在国家层面目前已经出台了不少有关“合规义务”的规定，如2022年1月18日，国资委办公厅发布《关于开展中央企业“合规管理强化年”工作的通知》（国资厅发法规[2022]1号）；2022年4月1日，国资委公布了《中央企业合规管理办法（公开征求意见稿）》（简称“《办法》”），《办法》完善并细化了合规管理工作具体事项，并且更加注重合规安排的落地执行；在《个人信息保护法》第58条中，也明确对“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”提出了“建立健全个人信息保护合规制度体系”的合规义务要求；此外，还包括近年来理论和实务届关注和讨论热度较高的“刑事合规”。一系列法律文件和要求出台，让企业也常常迷茫，到底我们要怎么做才能符合法律法规以及监管的合规要求？

对于企业而言，识别自身的合规义务是合规工作开展的前提，部分合规义务具有同质性，比如税务和劳务合规，以及内部的投资管理及合同管理等合规要求；但不同行业面对的很多合规义务是不同的，比如涉案企业需要进行的刑事合规，互联网和大数据企业需要关注的数据合规，又或者拥有大量知识产权的公司更关注知识产权和商业秘密合规，经常出现劳务纠纷的企业更关注用工合规等。

综上，企业应当审视自身合规状况，根据自己的实际情况以及合规工作的预算，选择有目的、有步骤的安排合规改进工作：方式一，可参考ISO37301的标准选择构建整体合规管理体系，将合规工作渗透到日常运营管理的方方面面；方式二，选择先针对公司重要业务或者是针对企业目前风险最高的问题进行专项合规改进，逐步推动整体合规工作的开展，上述两种方式均可帮助企业一定程度上完善合规管理体系。

很多企业已经逐渐具备合规意识，但合规本质上是“法律+管理”，首先识别风险，并在此基础上通过采取各类管理手段去处置风险，这是一项专业性非常强的工作，尤其是涉及到刑事合规、劳动合同、知识产权合规、数据合规等专项合规的内容时，企业往往欠缺相关的专业人才，因此大部分企业的合规工作会聘请第三方机构协助进行，比如律所或专业咨询机构等。

诚然，专业的人做专业的事，聘请外部机构协助完成合规工作是不错的选择，但在此也需要提醒企业，聘请外部机构只是“协助”企业，并不是将合规工作以及合规义务“转嫁”给外部机构。笔者团队曾在某项目中向客户提示，数据出境情况下应履行安全影响评估的合规义务，此时该公司的高管提出了疑虑，认为公司不具备履行评估的能力，后续也计划聘请第三方进行评估，希望律师团队能在给公司的书面报告中删掉此条合规义务。事实上，即便公司不具备专业能力去履行合规义务，可以聘请专业机构协助公司完成，但最终合规的义务还是在企业自身，企业才是真正的合规义务承担主体。

建议由企业来主导合规工作，指定内部管理人员作为牵头人负责合规工作的整体开展。尤其是在合规管理体系的构建，以及企业内部的管理制度搭建、流程梳理等工作中，企业应当安排相关岗位的员工甚至是高管全程参与，一方面使得外部机构能够迅速的了解企业现状，及时发现合规风险并为企业提出合规改进措施；另一方面，合规措施的落实不能完全脱离企业现有的管理体系，即便要进行调整，很多措施也是需要企业高管、员工和外部机构一起沟通协商得出最适合的改进方案。

因此，当企业决定进行合规工作时，一定要从上至下传递合规工作开展的重要性，充分尊重专业机构的工作，但切勿认为合规工作仅是外部专业机构的义务，要重视合规义务和合规风险，并与外部机构一起完成合规改进工作。

合规改进工作所需时间长，工作量大，因此，在正式开展前，企业应当考虑以下问题并做好准备：

首先是心态，很多企业还是觉得要业务先行，但合规措施的落地，以及合规义务的履行必然会引起程序的规范化和流程化，会给员工造成“这工作太麻烦”了的直观感受，甚至可能会导致员工不配合或对合规措施的落地具有一定抵触心理；此外，前述已经提到的，部分企业员工可能存在一种心态，即认为合规是外部机构的工作不是公司员工自己的分内事，这样就会本末倒置，导致合规改进工作得不到有效的实施。

其次是成本，合规改进工作的推动需要一定的成本，这个成本不仅仅是聘请外部机构的成本，比如像在数据合规、合同管理、知识产权管理的合规项目中，可能还涉及到企业改造现有信息系统、办公系统或者为更好的进行合规管理采购新系统的情况；此外，还可能有一些隐性成本，比如为履行合规义务和完善管控措施而牺牲的工作效率甚至是企业盈利等，无形中都增加了企业的合规成本。

建议企业在决定进行改进工作之前，考虑清楚为什么要进行合规，合规工作要解决什么问题，需要解决的问题是现在就已经发生了的风险，还是潜在的风险，是需要搭建整体合规管理体系，还是针对某个业务条线、产品或者管理职能进行专项的合规改进，这些问题都可能影响企业的合规成本。

第三是人才，即企业是否具备相关人才。合规工作不是一次性的，而是长期的过程，即便专业机构协助企业构建完成合规管理体系，那也是建立在现有经营环境的基础上的，合规管理重要的PDCA环节需要有人跟进和持续督导，按照合规环境的变化对管理体系进行调整。当然，可以通过持续聘请专业机构的方式协助进行，但从企业内部经营管理的角度而言，在企业内部培养合规人才才是最划算且最有力的方式。

最后是决策机制，合规工作涉及企业管理的方方面面，因此需要企业多个部门的协调配合，以数据合规为例，参与方至少会包括法务部和信息技术部，更不论整体合规体系构建的合规项目，那会涉及企业的各个部门，甚至可能包括多个分子公司。从宏观来看，企业希望能确定每个合规义务负责改进的归口部门，将合规义务与合规改进工作的负责部门或负责人员一一对应，那就涉及部门之间甚至是分子公司之间合规改进工作的责任划分。实践中我们也遇到很多部门之间互相推诿合规义务的情况，这需要企业有完善的议事规则和决策机制才能高效的解决；从微观来说，比如企业某个内部管理制度中的某个处罚条款标准的设置、某个授权审批的流程节点等操作细节都需要企业根据实际情况确定。

因此，建议企业在开展合规工作前，一方面应确定牵头部门或者成立合规工作小组，相关部门派员参与小组，并制定议事规则，议事规则应当包括：什么重要程度的决策由谁来审批或由什么级别的负责人审批，以及合规工作小组内部发生争议，出现部门职责互相推诿的情况，如何确定解决方案等；另一方面，要明确合规工作小组的权责利，比如该合规工作的负责人或负责部门有何种权力调动企业内部的何种资源，有何种权力协调企业内部各方共同推动合规工作，无法完成合规工作的安排将承担何种责任等。