Compliance

In Valine:

合规。

Why

公司是否需要设置合规监察官?

2020年1月,法国飞机制造商空中客车 (Airbus SE, EADSY) 就其向全球多国官员行贿以及违反美国违反出口管制规定的行为,与美国、英国和法国检方达成36亿欧元的和解协议。该协议包含多项义务,包括巨额罚款、继续配合调查、完善合规体系等。值得注意的是,在协议中 Airbus 与美国达成一致,同意由一名外部合规监察官来监督其业务的合规遵从情况,监察期为三年。近几年的多个企业合规监察官案例引起了大家对合规监察官这一机制的关注。

合规监察官机制概述

为预防违法违规企业再次触犯法律法规,执法机构除对违法违规企业采取罚款、禁令等措施外,还可能要求其聘请合规监察官,以监督该企业在一定期限内遵守相关法律法规,促使企业提升合规治理水平。在专业领域方面,合规监察官机制被广泛应用于出口管制合规、反商业贿赂合规等多个领域。在地域范围方面,美国、英国、法国等许多国家均设有合规监察官机制。

(一)合规监察官的应用场景

根据应用场景的不同,合规监察官可被划分为广义的监察官、特别合规官、独立公司监察官等不同类型。广义的监察官应用于:

民事及刑事领域当事人协商达成和解协议的情况,且一般由法院批准设立或监督;

商事主体和政府机关(甚至是世界银行等国际组织)之间。

本文着重介绍以下两类监察官:

1、特别合规官(Special Compliance Officer,以下简称“SCO”)/内部特别合规官(Internal Special Compliance Officer,以下简称“ISCO”)。根据《国际武器贸易条例》第 127.10 条的规定,美国国务院政治军事事务局助理秘书长(Assistant Secretary for Political-Military Affairs) 有权对违反《武器出口管制法》和《国际武器贸易条例》的行为处以民事处罚。民事处罚一般包括向美国财政部支付罚款和签署和解协议 (Consent Agreement)。和解协议规定了提升合规建设水平所需的措施[1],例如任命 SCO 或 ISCO,制定全面的审计政策或建立全面的出口跟踪体系;

2、独立公司监察官。美国司法部(Department of Justice,以下简称“DOJ”)以及各联邦检察官办公室在联邦刑事调查中可能与被告签署认罪协议 (Guilty Plea Agreement)、延迟起诉协议 (Deferred Prosecution Agreement) 或不起诉协议 (Non-Prosecution Agreement),并将设立独立公司监察官作为该等协议的条款之一。

(二)监察官的适用条件

就SCO或ISCO的适用而言,美国国防贸易管制理事会(Directorate of Defense Trade Controls,以下简称“DTCC”)尚未发布关于适用标准的成文规定,也未在和解协议中专门说明适用的理由。从本文统计来看,违规数量多的企业更有可能被适用监察官机制,反映出执法机构通常将合规体系的完善程度作为适用监察官机制的重要标准。关于 SCO 或 ISCO 适用标准的具体分析请见下文。

就独立公司监察官而言,DOJ 于2008年发布的 Morford 备忘录[2]规定,应根据特定事项的实际情况判断是否适用独立公司监察官,并规定了在评估是否适用监察官时应考虑的两项因素:其一,需考虑使用监察官可能对公司和公众产生的潜在效益;其二,不应出于惩罚目的设置监察官。DOJ 于 2018 年发布的 Benczkowski 备忘录[3]进一步要求采取成本收益分析,即需证明有必要指派监察官,且相对于潜在成本而言指派监察官能获得明显效益,才能指派监察官。此外,Benczkowski备忘录规定,刑事司在指派监察官前需获得上级部门和助理检察长的同意。

根据 Benczkowski 备忘录的规定,在评估监察官的“潜在效益”时,主要考虑的因素包括:

违规行为是否涉及对公司帐簿和记录的操纵,或利用不健全的合规项目或内部管控体系;

违规行为是否在整个公司内普遍存在,或是否得到高级管理层的批准或协助;

公司在合规项目和内部管控体系方面是否有重要投入或改进;以及

公司是否对合规项目和内部管控体系进行验证,以证明其能够防止或监测类似违规行为。

就监察官适用带来的“潜在成本”而言,不仅应考虑公司需支出的金钱成本,还应考虑监察官的拟定工作范围是否适当,以避免给公司经营造成不必要的负担。

(三)合规监察官的选择和聘任

1、选任程序

就 SCO 或 ISCO 的选任而言,总体包括两种方式:由受监察方自行选择,或由 DTCC 明确指定个人或要求受监察方在指定范围内选择。

就独立公司监察官的选任程序而言,根据 Benczkowski 备忘录的规定,明确选任流程旨在建立公众对流程的信心,并帮助选任资质高度匹配、且不存在或不显示出任何实际或潜在的利益冲突的人员或实体。为实现这些目标,独立公司监察官的选任通常包含候选人提名、初审、推荐、审查和表决等程序,但经常设委员会授权可不遵循该程序的除外。

DOJ 建议监察官人选可为与该案件监管要求契合的会计师、技术专家、科学专家、合规专家等。实际中,监察官主要由律师担任,且经常为退休检察官。在监察期间,如监察官不再符合其要求,政府可更换监察官,监察官也可自行辞职。

2、费用问题

监察官费用由受监察方承担,影响监察官费用的主要因素包括监察期限、业务和和解协议的复杂度、受监察方合规和道德体系现状以及受监察方所在地和所处行业。监察官费用信息是保密的,并且为监察官工作的个人或团队的费用也有所不同,因此难以估算任命成本[4]。但监察官费用一般比较高昂,通常超过3000万美元,有一家公司据称所支付的监察官费用超过1.3亿美元[5]。

监察官在向公司提交预算时,应将上述因素考虑在内。监察官和公司也应就小时费率或固定费用以及费用上限进行协商。另外,为了增加透明度并防止利益冲突,监察官应定期向公司同步已产生或预期产生的费用。

(四)合规监察官的职责与职权

通常情况下,设置监察官有两种途径。一是通过法院命令直接指派监察官,二是通过协议聘用监察官。但不管哪种方式,相关的法院命令、协议中应明确规定监察官、受监察方和政府间的职责和权限,以及监察的目标和范围[6]。

1、专业性

(1)独立性。监察官既独立于受监察方,又独立于政府[7]。为了体现监察官的独立性,监察官在所有监察活动中均应保持公正和客观,避免任何可能损害程序公正性和客观性的行为。同时,检查活动的独立性不会因未来监察项目或其他经济因素而受影响。

独立性还表现在:除合理的费用和支出外,监察官不应接受受监察方的任何有价物;在监察活动终止之日起至少一年内,除了政府同意的监察职务外,监察官不得向受监察方提议或提供任何服务;在监察过程中,监察官不能和受监察方讨论未来可能的工作形式,包括担任监察官角色等[8]。

(2)遵守职业准则。监察官团队的每个成员都应熟悉并遵守相关法律、法规和监察官职业准则的要求,并在出现合规问题时立即提供专业指导[9]。

(3)内部监察。监察官应采取合理措施,确保监察官团队的所有成员遵守相关法律、法规和职业准则的规定[10]。

2、监察计划

监察官为了履行其职责,通常需要了解和解协议中企业的所有不法行为[11]。法院命令或监察官聘用协议通常应要求监察官在监察活动开始之前制定工作计划,该工作计划需与受监察方和政府协商并达成一致。制定监察计划的目的主要在于控制费用、增加透明度,促使各方做好充分准备,而受监察方也能够对监察工作有预期。同时,监察官的职责范围应根据每个案件的具体情况进行调整,以避免对受监察方的运营带来不必要的负担[12]。

监察计划的内容通常包括监察官的任务和目标,拟评估的公司政策和流程描述、拟审查文档清单、拟访谈人员名单、里程碑计划等。

如果由于情况变化而导致监察官对工作计划进行重大更改的,监察官应向政府进行及时披露更改,并在适当的情况向受监察方披露。但是,如果向受监察方披露工作计划会阻碍监察官履行职责,则工作计划中的某些内容只能向政府进行披露[13]。

3、文档审查与人员访谈

通常情况下,为履行法院命令或协议规定的职责,确保监察工作有效、监察建议可行,监察官有权对必要且合理的公司文档进行审查,并对公司人员进行访谈。法院命令或监察官聘用协议中应明确说明受监察方要提供给监察员的信息和文档类型,以及要求受监察方人员接受监察官访谈的情形。

4、出具报告和建议

(1)报告提交。法院命令或监察官聘用协议中应要求监察官向法院或相应行政机构提交书面报告,以阐述调查结论和建议。法院命令或监察官聘用协议应具体说明监察官书面报告的形式和频率;以及受监察方是否以及何时可以收到报告拟稿及最终报告。

(2)反对意见及证据。除非法院命令或监察官聘用协议中另有说明或有其他不当之处,通常情况下,监察官允许受监察方和政府对报告提出反对意见及举证说明。但报告和建议由监察官独立出具,反映监察官的客观结论,受监察方和政府均不得修改监察官的报告[14]。

(3)监察报告的保密性。法院命令或协议应说明监察官报告的保密程度。若监察官报告需保密,政府可以决定其他政府机构或部门是否可以获取该报告。如果可以获取的话,应做好保密措施。如果报告可以公开披露或提供给第三方,则监察官应与政府和受监察方协商披露方式,以防止泄露专有和机密信息[15]。

(4)调查结果和结论的依据。监察官的调查结果和结论应公正、客观,并建立在相关证据的基础上。监察官应陈述所有调查结果和结论的事实依据,并留存足以证明该事实依据的记录[16]。

(5)纠正报告错误和/或不准确性。如果在发布报告后,监察官确定其包含重大错误,则监察官应正式将信息通知给所有收件人。

5.争议解决

对于受法院命令任命的监察官,该任命命令中应具体说明法院将对监察官获取信息过程中产生的任何争议具有管辖权。对于通过监察官聘用协议任命的监察官,协议中应具体说明解决有关监察官获取信息过程中所产生的任何争议的程序,其中应考虑涉及的利害关系,包括政府希望保持调查的秘密性,受监察方希望保护其专有或机密信息[17]。

(五)合规监察官任期及其终止

要求聘任监察官的和解协议中通常包含关于监察官所需资格、选任程序、职责范围、更换等事项的说明以及监察期限。监察期限从几个月到几年不等,主要取决于监察范围,尤其是所发现的问题和所需补救措施的范围。具体来说,需考虑几个方面:违规行为的性质和严重程度;违规行为的普遍性和持续时间;高级管理层的共谋情况;公司历史上出现类似不当行为的情况;公司合规文化;协议约定的补救措施的规模和复杂程度,包括实体或业务单位的规模;补救措施制定和执行的情况。

如果公司未履行协议下的义务要求,则政府可延长监察期。例如,渣打银行于2012年签署了一份为期两年的延迟起诉协议,就违反美国制裁法律向伊朗、利比亚、苏丹等国付款的行为与美国财政部下属外国资产管理办公室达成和解,但该协议约定的监察期限后来被延长四次。如果公司能够展现其受监察事项已充分改善以致不再需要监察官,则监察期也可提前终止。

What

从典型案例看高新技术企业实务操作常见问题

为了鼓励科技型企业的发展,支持企业开展创新和研发活动,《企业所得税法》规定符合条件的高新技术企业可以在三年内减按15%的税率缴纳企业所得税(标准税率为25%)。

为了享受高新技术企业相关优惠,企业需要同时满足《高新技术企业认定管理办法》(下称“《管理办法》”)及《高新技术企业认定管理工作指引》(下称“《工作指引》”)中规定的认定条件,如注册成立一年以上、拥有核心知识产权的所有权、核心技术属于《国家重点支持的高新技术领域》、科技人员占职工总数达到规定比例、研究开发费用占销售收入总额达到规定比例、近一年高新技术产品(服务)收入达到规定比例等。

虽然高新技术企业的认定条件较为严格,但是在实践中,由于政策利好的驱动,不乏一些未能满足条件的企业通过层层美化或者包装,披上了高新技术企业的“外衣”。针对这种情况,很多省市的认定机构在近两年内加强了对高新技术企业认定过程中的审核,且通过复核取消了不符合条件企业的高新技术企业资质。举例而言,在2018和2019年,北京市高新技术企业认定申请迎来寒冬,认定机构不再局限于过往的书面审查,对很多申请企业进行实地核查,揭下了一些“伪高新技术企业”的外衣;广东省对一些高新技术企业进行复核,在2019年4月取消了22家企业的高新技术企业资格。

在目前从严管理高新技术企业的形势下,本文从一则典型案例出发,对高新技术企业实务操作中的几个常见问题进行简要分析。
一、一则典型案例

北京某公司(下称“甲公司”)是一家从事化工类产品研发和生产的企业,2016年通过认定取得高新技术企业证书,并自2016年起享受15%的企业所得税优惠税率。

2019年,甲公司高新技术企业资格期满,申请重新认定。在认定机构对甲公司进行实地核查时,发现甲公司存在以下问题:

甲公司在职职工总数为220人,申报的科技人员人数为25人。但认定机构发现个别科技人员的工作岗位为管理岗(如部门经理、总经理)或者生产岗(如技工);
甲公司虽然设置了研发费用的明细账,但是未按要求单独设置专门的研发费用辅助账,且其在最近三年的研发费用中包含数笔大额的差旅费;
甲公司将全部科技人员的人员人工费用计入研发费用;
甲公司2018年高新技术产品收入占其总收入74%;同时,甲公司拥有2项自主研发的发明专利所有权,相关产品收入占甲公司总收入的28%。

经过实地核查,认定机构认为:

管理岗位和生产岗位的员工不属于科技人员,在剔除这部分员工之后甲公司科技人员占职工总数比例低于10%;
甲公司未设置专门的研发费用辅助核算账目,未建立完整的研发费用内部核算体系。由于甲公司无法证明过去三年几笔大额的差旅费用与研发活动直接相关,在剔除不符合规定的差旅费用以及上述不符合科技人员要求的员工相关人工费用后,甲公司研发费用占比不符合认定条件。
虽然近一年甲公司高新技术产品收入占企业同期总收入的比例超过了60%,但是其主要产品收入占比未达到要求。

最终,甲公司由于研发费用、科技人员和主要产品收入占比不符合高新技术企业认定的条件,因此未能继续享受高新技术企业优惠政策。
二、实务操作常见问题

结合上述典型案例,我们对高新技术企业实务操作中的常见问题进行了简要分析。

问题一:在筛选科技人员时,能否包括管理、生产等岗位的员工?

答:《管理办法》要求高新技术企业的科技人员占企业当年职工总数的比例不低于10%。根据《工作指引》对于科技人员的定义,科技人员是指直接从事研发和相关技术创新活动,以及专门从事上述活动的管理和提供直接技术服务的,累计实际工作时间在183天以上的人员,包括在职、兼职和临时聘用人员。因此,从工作内容来看,科技人员包括两类人员,一种是“直接”从事研发和相关技术创新活动的人员,对于该类人员,理论上并不要求其100%专门从事研发和相关技术创新活动;另一种则为 “专门”从事上述活动的管理和提供直接技术服务的人员。

根据上述有关科技人员的定义,对于企业的管理人员,除非该类人员直接从事研发活动或者专门从事研发和相关技术创新活动的管理,否则一般情况下不应将其归为科技人员。

对于生产岗位的员工是否属于科技人员,根据我们的经验,可以结合其具体工作内容分情况进行处理。对于仅从事生产活动的员工,如生产线上的工人,不应将其归为科技人员;对于专门、直接参与研发活动的生产岗位员工,如专门为研发活动所需样机、样品进行生产的技术工人,则可以归为科技人员;但是对于同时从事生产和研发活动的技工,根据其参与研发活动的程度不同,对此可能存在不同观点或处理结果。根据我们处理以往案件的经验,部分地区的科技主管部门认为,该部分人员属于“直接从事”研发和相关技术创新活动的人员,无论其是否“主要”从事研发工作,均可归为科技人员;也有部分地区的科技主管部门采取偏严口径,认为对于既从事研发又从事生产的技工,只有其“主要”从事的工作为研发时,才能够归为科技人员。

问题二:高新技术企业的认定,对于研发费用的归集有何要求?

高新技术企业认定相关的研发费用,不同于财务会计管理制度和研发费用加计扣除政策下的研发费用。《工作指引》明确规定了符合条件的八类研发费用,即人员人工费用、直接投入费用、折旧费用与长期待摊费用、无形资产摊销费用、设计费用、装备调试费用与试验费用、委托外部研究开发费用和其他费用,企业应该严格按照上述各项费用的定义和范围,进行研发费用的归集。同时,在费用归集过程中,应注意以下事项:

首先,研发费用是企业从事研发活动所产生的符合条件的费用,根据《工作指引》对于研发活动的定义,研发活动是指为获得科学与技术(不包括社会科学、艺术或人文学)新知识,创造性运用科学技术新知识,或实质性改进技术、产品(服务)、工艺而持续进行的具有明确目标的活动。这意味着:

企业生产、销售和其他一般性经营活动所发生的费用或支出,以及产品常规升级或直接应用某项科研成果的费用,不应计入研发费用;
对于生产和研发活动共用的人员、设备、软件、在用建筑物等,企业应采用合理的指标将符合条件的研发费用进行区分和单独归集。

因此,在上文的案例中,虽然研发费用中的“其他费用”类包含了“差旅费”,但是甲公司不应将与研发活动无关的差旅费归集为研发费用。另外,对于同时从事研发活动和其他活动的科技人员的人工费用,甲公司应采用合理的指标(如相关人员的工时等)将这部分人员的人工费用进行分摊,并仅将分摊后和研发活动有关的人工费用归集为研发费用。

其次,《工作指引》要求企业应按照“企业年度研究开发费用结构明细表”设置高新企业认定专用研发费用辅助核算账目,且有配套原始凭证、明细表作为支持文件,并按《工作指引》对符合条件的研发费用进行核算。

再次,企业应当以单个研发活动或者项目为基本单位核算、归集研发费用。对于多个研发项目所共同产生的研发费用,如同时参与数个研发项目的人员人工费用、数个研发项目共用的设备或建筑物的折旧费用等,企业应采取合理的方法,将相关研发费用在不同研发项目之间进行分摊。

问题三:高新技术企业的认定,对于高新技术产品(服务)收入和主要产品(服务)收入有何要求?两者有何区别?

根据《管理办法》,认定为高新技术企业须满足的条件包括:近一年高新技术产品(服务)收入占企业同期总收入的比例不低于60%;同时,企业通过自主研发、受让、受赠、并购等方式,获得对其主要产品(服务)在技术上发挥核心支持作用的知识产权的所有权。

《工作指引》进一步明确,高新技术产品(服务)是指对其发挥核心支持作用的技术属于《国家重点支持的高新技术领域》规定范围的产品(服务);高新技术产品(服务)收入是指企业通过研发和相关技术创新活动,取得的产品(服务)收入与技术性收入的总和。而主要产品(服务),则是指高新技术产品(服务)中,拥有在技术上发挥核心支持作用的知识产权的所有权,且收入之和在企业同期高新技术产品(服务)收入中超过50%的产品(服务)。

根据上述定义,高新技术产品(服务)的外延涵盖了主要产品(服务)。高新技术产品(服务)仅要求对产品(服务)发挥核心支持作用的技术属于《国家重点支持的高新技术领域》规定范围;相比之下,主要产品(服务)不仅有上述要求,还要求企业拥有在技术上发挥核心支持作用的知识产权的所有权。此外,由于高新技术企业认定要求近一年高新技术产品(服务)收入占企业同期总收入的比例不低于60%,而主要产品(服务)收入之和在企业同期高新技术产品(服务)收入中应超过50% ,所以主要产品(服务)收入占高新技术企业同期总收入的比例应超过30%(即60%x50%)。

鉴于此,在上文的案例中,虽然甲公司的高新技术产品收入达到了60%的要求,但是其拥有在技术上发挥核心支持作用的知识产权所有权的主要产品收入仅占总收入的28%,未达到30%的要求,因此甲公司不符合高新技术企业认定的条件。
三、结语

在目前从严管理的形势下,拟享受或者已经享受高新技术企业优惠的企业应当重视与高新技术企业相关的合规风险,谨慎审视自身是否符合各项认定条件。尤其考虑到高新技术企业的认定具有涉及范围广、实务操作性强的特点,企业应尽量避免由于对相关认定条件理解不准确,从而出现被认定机构提出质疑或者提请复核的情况。

金杜律师事务所合规业务部税务团队在高新技术企业合规领域具有丰富的实践经验,不仅为多家企业的高新技术企业认定提供咨询意见和建议,还多次协助企业应对高新技术企业方面的争议解决。如果企业对其高新技术企业资质或相关税收优惠政策的享受有任何疑问,欢迎随时与我们进行交流和沟通,以维护自身合法税收权益、降低相关涉税风险。

内关联交易豁免原则的适用

在转让定价领域,境内关联企业之间发生的交易简称为“内关联交易”,实践中有些企业认为内关联交易不涉及利润的跨境流动,所以其转让定价问题不是税务机关关注的事项。同时,基于《特别纳税调查调整及相互协商程序管理办法》(国家税务总局公告2017年第6号,以下简称“6号公告”)豁免原则的规定,企业通常认为内关联交易的定价政策被税务机关转让定价调查调整的风险相对较小,相较于跨境关联交易而言,集团可以较为自如地在境内关联企业间转移利润。

然而,根据我们对2016年至2019年《中国税务报》、《国际税收》报道的转让定价案例统计,涉及内关联交易案例的数量占全部关联交易案例总数的40%左右,可以说内关联交易也是税务机关关注的重点。为了帮助企业规避针对内关联交易的认知误区,本文将着重对内关联交易转让定价调查的豁免原则进行简要说明分析。
豁免原则的适用条件

根据6号公告第38条“实际税负相同的境内关联方之间的交易,只要该交易没有直接或者间接导致国家总体税收收入的减少,原则上不作特别纳税调整”的规定,内关联交易原则上不做调整需同时具备两个条件,即交易双方实际税负相同和没有直接或间接导致国家总体税收收入的减少。
条件一、交易双方税负相同

通俗地讲,税负是指因税款征收而对纳税人产生的经济负担,用公式来表示,企业税负=企业缴纳的各项税收÷企业增加值×100%。按照国家统计局的核算制度,企业增加值的计算根据行业不同而有所不同[1]。因计算过程繁杂,我们在此不做展开,但需指出的是:首先,税负不等同于税率,税率是税收的征收比例,是形成税负的基础;其次,除了税率的影响,税负的大小还取决于纳税人的盈亏状况、财政补贴、税收返还等影响企业净利润的因素。因此,在判定内关联交易是否会被调整时,不能简单地以交易双方适用的税率加以评判。

我国2008年统一内外资企业所得税税率,除满足特定条件的企业(例如高新技术企业、污染防治企业等)以外均适用25%的企业所得税率,名义上缩小了内关联交易转移利润的空间。但实践中由于税收优惠、财政补贴、关联交易企业间的盈亏差异等因素,造成了企业实际税负的不同。这也是内关联交易转让定价问题备受税务机关关注的原因所在。

实践中,企业在做税收筹划时,倾向于利用交易双方之间的税率差或盈亏差异,通过关联交易定价安排,将利润转移到低税率或亏损企业,从而实现整体降低集团税负水平的目的。典型交易如下例所示:

图1:

J有限公司是某电子集团设在中国境内的生产基地,作为生产企业负责电子产品的组装生产,但并不拥有相关的技术专利或商业秘密,适用25%的企业所得税税率。J有限公司生产的产成品全部销售给境内关联方上海电子有限公司,而该上海公司属于高新技术企业,享受15%的企业所得税优惠税率。因J有限公司近年来连续处于微利状态,引起了税务机关的关注。

税务机关调查发现,虽然J有限公司与上海企业之间的交易属于内关联交易,但交易双方存在税率差。为便于分析,我们假设J有限公司生产的产品在市场上有公开牌价。调查期间同期的历史牌价显示J有限公司以低于市场价格向关联企业上海电子有限公司销售同类产品,将利润更多的留存在上海电子有限公司,以达到适用15%优惠税率的目的。

另外,即使J有限公司与上海电子有限公司适用的税率相同,如果上海电子有限公司有以前年度待弥补亏损,J有限公司以低于市场价格向关联方销售,从而将利润更多的转移至亏损企业,也同样存在交易双方税负不同的问题。
条件二、交易总体税收收入未减少

企业为达到降低集团整体税负的目的,在税收筹划时往往会考虑采取隐性交易或抵消交易的模式安排规避构成关联交易,进而避免税务机关的转让定价调查调整。

隐性关联交易指企业刻意模糊关联主体或关联交易活动,将关联交易“非关联化”,避免向税务机关申报,进而掩盖其中隐含的关联交易税收问题。

例如,处于盈利状态的境内A公司从境内第三方采购原材料后,经过简单加工将半成品销售给境内非关联方B公司,B公司再将半成品生产成产成品最终销售给同样位于境内的A公司的母公司(存在以前年度未弥补亏损)。表面上看,A公司与B公司之间的交易属于非关联交易,B公司与A公司的母公司之间的交易也属于非关联交易。但税务机关从订单流程和货物流程中发现,A公司向B公司销售半成品的价格和数量不是通过市场谈判决定的,而是由其母公司决定。母公司在保证B公司一定获利水平的前提下,通过压低A公司向B公司的销售价格,间接降低了自身的采购成本,将利润从盈利的A公司转移到存在未弥补亏损的母公司。因为母公司有以前年度未弥补的亏损,所以可以起到抵消利润的作用,最终实现少缴税款的目的。

图2:

抵消关联交易指关联交易双方相互负有同种类的给付,将两项给付债务相互冲抵,使其相互在对等额度内消灭。关联企业交易类型较多的情况下容易出现抵消交易,抵消交易能够隐匿关联交易,不容易被税务机关察觉。

例如,境内子公司因使用集团注册的商标而需每年向境内母公司支付特许权使用费200万元,同时子公司向母公司提供市场调查等劳务服务,母公司需要向子公司每年支付劳务费100万元。母子公司决定采取抵消交易的方法,互相免除部分或全部费用的支付。

图3:

不采取抵消交易的情况下,母子公司就上述两项交易(不考虑其他因素)合计应纳企业所得税为每年50万元。

母公司:(200-100)×25%=25(万元)

子公司:100×25%=25(万元)

采取抵消交易的情况下,母子公司就上述两项交易(不考虑其他因素)合计应纳企业所得税为每年25万元。

母公司:100×25%=25(万元)

根据上述计算,税务机关在本案转让定价调查时将抵消交易进行了还原,对母子公司的应纳税所得额进行了相应调整。
内关联股权转让

除隐性交易、抵消交易之外,还有一特殊事项需要企业加以关注——关联企业间无偿或平价股权转让。2016年颁布实施的《关于完善关联申报和同期资料管理有关事项的公告》(国家税务总局公告2016年第42号,以下简称“42号公告”)第4条明确股权投资属于金融资产,关联股权转让属于金融资产转让关联交易范畴。有的企业可能会认为关联企业因无偿或平价转让股权而少缴的税收收入,会在后续发生的股权转让中得以弥补,总体来说并不会造成整体税收收入的减少。但在税务管理实务中,税务机关在衡量是否造成整体税收收入减少时,针对的是被质疑或被调查的交易以及交易主体,不会延伸至其他交易,也不会将时间限度放大到不确定的未来时点。因此,企业在关联股权转让交易定价时需要对无偿或平价转让特别谨慎。

关联股权价值的评估方法包括成本法、市场法和收益法,根据我们的经验,成本法的适用较为常见,但也有案例适用其他方法。在一般情况下,如果按照成本法,税务机关能够接受的股权转让价格的底线为被转让主体净资产价值。然而,净资产价值通常反映的是一个企业资产的历史价值而非市场价值。因此,如果被转让主体拥有长期股权投资,则税务机关有可能会结合其子公司的资产和盈利情况以确定被转让主体的公允价值;如果被转让主体拥有土地、不动产或无形资产,则很可能要求按照这些资产目前的市场价值为基础确认转让价格。此外,如短期内发生再融资,税务机关也可能参照再融资时的价格核定股权转让收入。同时,税务机关也有可能要求提供被转让主体的资产评估报告以确认股权转让价格的合理性。

综上所述,内关联交易转让定价调整的豁免原则有其适用的标准和底线,企业在合理税务筹划时还需考量不同情形下的转让定价问题,避免潜在的税务风险。

[1] 《企业税负究竟怎么算?》,作者:付广军(国家税务总局税科所研究员),网址:http://economy.youth.cn/dtxw/201701/t20170124_9064183.htm?winzoom=1

樊光中:五个维度认清企业合规管理体系

企业合规管理是企业持续健康经营的基石。
食品企业生产经营合规,人民可以吃上安全、放心的食品。
挖矿企业生产经营合规,可以少发生矿难安全事故,少破坏或不破坏生态环境。
家电企业生产经营合规,人民可以用上质量有保障、安全的家电。
药品企业生产经营合规,人民可以有安全、有疗效的放心药品。
建筑施工企业生产经营合规,人民可以住上安全、有质量、节能、绿色的房屋。

合规是一个企业树立好品牌的基本底色,是对客户负责,对社会负责基本特征。

合规是一个企业值得信任的管理硬件。

企业应该建立怎样的合规管理体系,来管理合规风险?笔者想来阐述有关观点和建议,供合规管理决策者、管理者和合规从业人员参考。

合规管理和应对制裁应分开管理
合规研究和合规实践中,有的合规专家和合规人员写文章,基本上是将制裁纳入合规管理范围,以制裁合规来表述文章中有关合规风险管理的观点,以及如何来应对制裁合规风险,笔者个人观点以为:这是对企业合规管理的曲解。
从网上搜索“制裁 合规”,就会有许多的“制裁 合规”相关文章出现。比如:

从美国发布文件内容看,时不时地将制裁与合规连接一起,容易使人觉得:制裁似乎是企业合规管理中一个重要管理内容。
又比如:

如上文章所言:貌似制裁风险是合规风险中的一个重要风险。美国制裁我国的新疆企业,企业要防范这个所谓的“制裁合规风险”,就需要小心谨慎,并将其制裁要求内化为企业的合规要求?甚至可以考虑为了不发生制裁风险,不和在疆企业进行合作和做生意了?美国上述行径严重干涉中国内政,严重违反国际关系基本准则。
将制裁纳入企业合规管理范围,会把好好的企业合规管理愿望和实践推向歧途。

这些所谓制裁合规管理与有关国际组织发布的合规管理体系标准等文件表述的合规管理并不一致,这些制裁合规多与美国全球单边行为有关,并且是将“制裁”装进“合规管理”的筐里,以“合规”之名,行其“制裁”之实。
鉴于此,笔者建议合规管理和应对制裁应分开管理,不能混为一谈,不能将这样的制裁,特别是侵犯国家主权的制裁,纳入合规管理范围,企业为了应对这样的特别风险,应该单独开辟一个新的专门的企业风险管理领域—企业制裁风险管理,专门建立企业应对制裁风险管理体系。这个分开管理建议,笔者认为:将对今后中国和国际层面的合规管理理论与实践健康发展、方向正确具有重要的意义。
2020年7月21日下午,总书记主持召开企业家座谈会并发表重要讲话,座谈会上,对弘扬企业家精神提了5点希望,5点希望也点明了总书记心目中的企业家形象:爱国情怀、勇于创新、诚信守法、社会责任、国际视野。爱国排在了首位,非常突出。
这一段话,为国务院国资委政策法规局局长林庆苗局长的演讲内容《积极探索勇于创新 着力打造具有中国特色的企业合规管理体系》指明了方向。

从合规源于反腐败反贿赂合规认清合规管理
最早,合规的概念仅限于刑事领域。尼克松的“水门事件”后,1977年美国《海外反腐败法案》(FCPA)诞生,FCPA要求企业禁止贿赂外国的政府官员,企业加强合规管理作为减轻、甚至豁免处罚的抗辩理由被司法机关所接受。
1997年OECD经合组织成员国家达成全球反腐败合作公约,即《OECD反对国际商业活动中向海外政府官员行贿行为公约》,并在此基础上颁布了《内控、道德与合规,最佳实践指南》。
2002年美国颁布《萨班斯奥克斯利法案》,强化对上市公司的合规要求。2004年美国的《联邦组织量刑指南》明确公司刑事责任的处罚判断标准,对什么是有效的合规体系有了更明确的要求。
2003年10月31日,第58届联大全体会议审议通过《联合国反腐败公约》。
英国于2010颁布腐败法案(Bribery Act)。
法国于2016颁布反腐败法案(Sapin II)。
以上国际组织的条约和这些国家的反腐败法案,都禁止企业为获得业务而向外国政府官员行贿,并要求企业应该建立有效的内控系统,鼓励企业采取预防与合规措施。以反腐败和企业内部控制为主要内容是欧美跨国公司作为企业合规管理的重点。

从反腐败反贿赂合规到全面合规认清合规管理
2005年4月,巴塞尔银行监管委员会发布了《合规与银行内部合规部门》高级文件,该文件标志着银行业合规风险管理现代管理框架的基本形成。它将合规的概念从单纯的反贪腐反贿赂扩充到对于企业内部或外部所有具有规范效力的规则。巴塞尔会议将“合规”界定为“遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用银行自身业务活动的行为准则”。
国际标准化组织(ISO)在2014年12月15日发表了世界上第一个关于合规管理的国际标准,即ISO19600《合规管理体系指南》。把企业对于交易对象、客户以及整个社会的自愿性选择的承诺纳入合规义务范围中。在规避监管处罚的合规目标之外,增添了企业自主塑造合规正面形象、履行社会责任的自愿选择空间,提高企业合规管理对企业产品服务的信誉、形象、品牌赋能的功能。目前,国际标准化组织制订《合规管理体系要求与使用指南》,将ISO19600《合规管理体系 指南》指导型标准升级为A类认证标准。

从中国企业全面加强合规管理认清合规管理
2015年,国务院国资委认真贯彻落实党中央的决策部署,积极推动国有企业加强合规管理工作,制定下发了《关于全面推进法治央企建设的意见》,明确将合规管理作为法治工作的重要内容。
2016年国资委在中国石油、中国移动、东方电气、招商局集团、中国中铁等5家中央企业开展合规管理的试点,为全面推进合规管理积累了基本经验。
2017年,中国国家质量监督检验检疫总局、中国国家标准化管理委员会推出GB/T35770-2017《合规管理体系 指南》,标志着我国已经完成了对世界先进经验的初步总结(即对《ISO 19600-2014》规则的消化吸收)。同年为了应对国际市场的合规环境,为了规范我国企业的海外经营行为,国务院专门印发了《关于规范企业海外经营行为的若干意见》,明确要求建立健全合规经营制度、体系和流程。
2018年国资委发布实施《中央企业合规管理指引(试行)》,推动企业建立健全合规管理体系。先后三批印发重点领域的合规管理指南,指导企业针对反商业贿赂、出口管制等高风险领域采取有效措施,切实防范违规风险。
与此同时,各省国资委也在结合实际发布相关合规管理指引,北京、四川、江苏、上海等地国资委都在积极推进国有企业合规管理工作,四川省国资委提出“探索试点、全面推开、巩固提升”的总体思路,力争形成务实管用、特色鲜明的国企合规管理模式。北京、江苏等地国资委选择优秀企业作为试点单位,深入推进合规管理,取得积极进展。
在国际、国内的环境形势下,民企也纷纷着力加强合规管理,建立合规管理体系。

从国际国内各机构的文件标准认清合规管理
中兴通讯事件,似乎给公众上了一堂生动的合规管理课,“合规”传遍大江南北。在国家合规标准、部委政策和合规事件的事例驱动下,国内合规管理、企业建立合规管理体系工作逐渐开始热门起来。
不同机构发布的合规管理文件,其对合规标准——合什么规,列表对比如下。

从上表的七个合规管理文件的合规标准内容对比,我们可以发现,合规标准的内容包括法律法规、监管规定、行业准则、自律性组织制定的有关准则,是可以达成共识的。七个文件由七个不同的国内、国际组织发布的合规管理要求,反映了对所管理的对象的合规运行的程度不同,笔者认为,国际标准组织ISO的ISO19600:2014《合规管理体系 指南》和国家标准GB/T 35770-2017/ISO 19600:2014《合规管理体系指南》定义的合规标准内容是最广义的,而其他五个行业主管部门发布的合规管理文件定义的合规标准内容各有些不同。
企业的合规管理不是“是”和“否”的0-1判断,而是代表了企业追求的合规价值标准的高低程度,一家值得尊敬的企业,一定是其追求的合规价值标准程度很高,最大限度的尊重人权和环境,反之,一家人人都谴责的企业,其追求的合规价值标准也许是没有道德底线的,甚至践踏人的生命权的。讨论到这里,其实我们已经很明白,同样是两家企业,若一家企业的合规标准很高,其追求的合规价值也会很高,也将越来越吸引更多的顾客,其也将具备基业长青的基石,另一家企业的合规标准很低,其追求的合规价值也会很低,其服务的顾客将逐步失去,经营将难以持续。

从合规风险的定义认清合规管理
《增广贤文》中,子曰:君子爱财,取之有道。企业生产经营应以合“规”为前提,合规管理是企业其他管理的基本管理内容,合规风险是企业生产经营性风险中的基本风险。
2005年4月29日,巴塞尔银行监管委员会发布《合规与银行内部合规部门》确定,合规风险是指银行因未能遵循法律、监管规定、规则、自律性组织制定的有关准则,以及适用于银行自身业务活动的行为准则(以下统称“合规法律、规则和准则”)而可能遭受法律制裁或监管处罚、重大财务损失或声誉损失的风险。
银监会2006年发布的《商业银行合规风险管理指引》所称合规风险是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。
保监会2016年印发《保险公司合规管理办法》,称合规风险是指保险公司及其保险从业人员因不合规的保险经营管理行为引发法律责任、财务损失或者声誉损失的风险。
证监会2017年发布的《证券公司和证券投资基金管理公司合规管理办法》所称合规风险是指因证券基金经营机构或其工作人员的经营管理或执业行为违反法律法规和准则而使证券基金经营机构被依法追究法律责任、采取监管措施、给予纪律处分、出现财产损失或商业信誉损失的风险。
国家标准化管理委员会2017年发布GB/T 35770-2017/ISO 19600:2014《合规管理体系指南》,合规风险是不确定性对于合规目标的影响,合规风险以组织合规义务的不合规发生的可能性和后果描述。
国务院国资本委2018年印发《中央企业合规管理指引(试行)》,所称合规风险,是指中央企业及其员工因不合规行为,引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。
国家发展改革委、外交部、商务部、人民银行、国资委、外汇局、全国工商联2018年联合发文《企业境外经营合规管理指引》,所称合规风险是指企业或其员工因违规行为遭受法律制裁、监管处罚、重大财产损失或声誉损失以及其他负面影响的可能性。
通过以上五个维度,我们要客观地认清合规管理,守正才能够出新,我们才能够知道:我们应该建立怎样的企业合规管理体系。
(作者系GB/T 35770-2017/ISO 19600:2014《合规管理体系指南》主要起草人、中国贸促会全国企业合规委员会专家委员会专家)

How

叶小忠:如何构建合规管理评估指标体系

2020年10月25日,中国政法大学企业法务研究中心联手赛尼尔法务智库在京举办以“解局与重启:后疫情时代上市公司新治理、新增长”为主题的第十三届中国上市公司法律风险与合规管理高峰论坛,200余名顶级企业法务部门负责人嘉宾亲临现场。本文来源于中国政法大学企业法务研究中心执行主任、赛尼尔法务智库总裁 叶小忠 ,在 “合规管理分论坛” 上,对于合规体系如何评估分享的的几点经验。

合规体系建立完成以后怎么评估它的体系?经过五年的磨损,各家企业都在思考,我们体系建立完以后,开始运行,我们怎么评价?我们搞的这一套指标体系怎么去引导?我们建评估体系的目标到底是什么?

评估目的

国资委的文件里有要求,我们要做什么,要开展这个评估,目标对有效性进行分析,要发现问题,要查找根源。简单来讲其实就是两个问题:

第一,效果评价。就是我们这一套体系花了这么大的人力物力,效果到底怎么样?是不是就是这一套制度,这一套流程,我们上了墙,出了书就可以了?我们需要对这个体系的客观运行效果进行评价,这是第一个评估目的。

第二,工作指引。我们评价一项工作最终的目标还是改进工作,为现有的合规体系的建设提供依据和参考。比如国资委考核我们企业,我们考核下属企业,这是两个最基本的目标。这个评估体系的重启,这个指标体系怎么做?我们这些年做了大量的实践探索。

体系架构

总的来讲是三个方面:第一,体系建设,主要是制度体系的安排和建设。第二,体系执行,建完了以后,我们怎么去执行?第三,运行效果,我们所有指标围绕这几个方面。做了合规体系评估,有效性评估等上百个问题,基本上也是按照这个。我们还有一个指标体系就是关于合规事件否决性的指标体系。这是关于指标体系的架构,包括制度、体系、文化等运行的结果如何。


(合规有效性评估指标体系示例)

创新思路

关于合规体系的建设、合规体系的评估这一块,各家企业都做了很多类似性的工作,大家都不是很陌生。我们这些年也有一些新的考虑,一个合规体系、管理体系到底从哪一个角度去评价,特别是对我们合规体系,除了前面讲的,大家一些常规性的做法以外还有一些新的东西可以给大家提供思考。

第一,结果导向。不管前面讲的三个方面,制度健全、制度执行和运行结果如何,这都是过程,最后效果怎么样,我们重点放在结果。

第二,对合规业务领域或者下属企业差异性评估,这是我们评估方面比较大的问题,我们目前的这一套指标体系都是一刀切。一年收入一千亿的公司跟收入一千万不应该采用一样的考核指标,不同规模,不同性质,处在不同发展阶段的企业,它对合规的要求,它能就接受合规的这些问题都是不太一样的。我们想的对同样的这一套指标体系,不同的企业要有不同的区间值。主业务有一套指标,其他的产业可能有另外一套指标。

第三,体系间引用,一个管理的体系不要单打独斗,我们要有效的借鉴现有公司里面各类的考核评估问题,各种评估体系——保密评估、安全评估、内控评估、风控报告等。评估合规体系的时候,不一定层层做起。本来保密合规有一套评价体系,我们的安全生产不要重新去建立它的专业体系评估体系,可能这一块是需要我们大量的去借鉴业务线条的指标体系。这种方式一个方面是有利于我们的评价结果更客观,另一方面也跟业务口结合的更紧。

第四,第三方评估。合规管理一个非常重要的特点就是独立性,从机构开始到运作到我们评估也是一样,怎么保持它的独立性。我们具体的方法可以尝试第三方评估,我们审计是一样的。

Experience

最高检多部委联合发文出台新举措,督促涉案企业合规管理再进一步

2021年6月3日,广受关注的涉案企业合规考察试点实践迎来重磅文件——《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(下称《指导意见》)。该《指导意见》由最高人民检察院(下称“最高检”)及司法部、财政部、生态环境部、国家税务总局、国家市场监督管理总局等部委联合发布,对中国开展涉案企业合规考察试点工作一年多以来出现的主要问题做出了回应,引起广泛关注。作为国内首批试点检察院的合规独立监管人之一,金杜律师事务所以独立监管人、涉案企业顾问律师等不同身份,深度参与了多地、多个试点案例的办理。本文从实务的角度对《指导意见》进行解读,并阐发我们参与涉案企业合规考察工作的感受与建议,抛砖引玉,以期给大家以启发。
一、《指导意见》的亮点

  1. 最高检与八家单位共同组建第三方机制管委会,形成合规监管合力

《指导意见》规定,最高检及司法部、财政部、生态环境部、国务院国有资产监督管理委员会(下称“国资委”)、国家税务总局、国家市场监督管理总局、全国工商联、中国国际贸易促进委员会八家单位共同组建第三方监督评估机制管理委员会(下称“第三方机制管委会”)。

对涉案企业开展合规考察是一项系统性工作。在这项工作中,检察机关熟悉案件及涉案主体的背景情况,是合规考察程序的发起者,也是最终做出不起诉决定的主体。坚持检察机关的主导地位,对于确保合规考察过程的客观、公正性非常关键,对于确保企业积极配合、开展各项工作也有着重要意义。与此同时,行政机关在涉案企业合规考察制度中也可以发挥重要的支持作用。各行政机关对专项领域的监管规定、违规行为的表现形式及相应的整改要求有着更为深入的理解,由行政机关参与到对涉案企业的合规考察、合规评估及验收等环节并出具意见,有利于发挥各行政机关在专项领域的专业优势,确保企业的合规整改符合外部法律法规的要求。此外,行业协会等组织也可以基于其对行业实践等情况的了解,为合规标准的制订、合规考察的开展贡献重要力量。

根据《指导意见》的内容,依托第三方机制管委会,检察院及各相关主体在涉案企业合规考察工作中保持着密切配合。《指导意见》第七条规定了各成员单位联席会议机制,由最高检、国资委、财政部、全国工商联负责同志担任召集人召开会议。而且,在《指导意见》的发布会上,国务院国资委政策法规局局长林庆苗表示,国资委将指导企业根据评估标准不断完善工作机制,加快建立健全具有中国特色、符合国企实际的合规管理体系,为企业稳健经营、健康发展提供有力支撑保障[1]。
2. 合规考察机制适用的主体范围扩大

2020年3月,最高检启动涉案违法犯罪依法不捕、不诉、不判处实刑的企业合规监管试点工作。试点工作最初针对的主要是涉案的民营企业。

此次,《指导意见》明确将国有企业纳入适用涉案企业合规第三方监督评估机制(下称“合规监督机制”)的范围,规定国资委、财政部负责承担管委会中涉及国有企业的日常工作。对于国有企业而言,国资委此前已于2018年11月2日发布了《中央企业合规管理指引(试行)》,上海市、江苏省、山东省、广东省、天津市、陕西省等各地国资委也陆续出台地方合规指引,激励国企开展合规建设。《指导意见》将国有企业纳入涉案企业合规考察机制的适用范围,将为国企深化合规建设进一步增添动力。

此外,《指导意见》将与企业密切相关的部分自然人也纳入了合规监督机制的适用范围。根据《指导意见》第三条的规定,除单位犯罪案件外,企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件,也可以适用涉案企业合规第三方监督评估机制。将合规监督机制的适用范围扩大到与企业密切相关的自然人,契合了我国目前单位犯罪的特点,同时也有助于尽可能保障企业的正常经营,充分体现了该合规监督机制的中国特色。
3. 明确了涉案企业合规考察机制的启动和运行程序

自2020年3月试点工作开展以来,全国多个检察院踊跃先行先试,深圳、上海、南京、苏州、宁波、岱山等地检察院纷纷出台试行文件,探索涉案企业合规考察机制启动、运行的具体流程。一年多以来,各地检察院在探索过程中也遇到了一系列的问题。特别是,对于涉案企业合规考察机制怎样启动,谁来担任合规考察主体,如何选聘独立第三方独立监管人等问题,很多检察官、律师都感到比较困惑。

此次,《指导意见》针对涉案企业合规考察机制的启动和运行程序,做了进一步的明确规定,包括:

在启动阶段,检察院认为涉企犯罪案件符合第三方机制适用条件的,可以商请本地区第三方机制管委会启动第三方机制。对于决定启动考察的案件,第三方机制管委会选任第三方组织,开展调查、评估、监督和考察。同时,《指导意见》规定,第三方机制管委会负责建立专业人员名录库,成员可以包括律师、注册会计师、税务师(注册税务师)等专业人员。在组成第三方组织时,第三方机制管委会应当根据案件具体情况以及涉案企业类型,从专业人员名录库中分类随机抽取人员。
进入合规考察期后,第三方组织对涉案企业合规计划履行情况进行检查和评估,可以要求涉案企业定期书面报告合规计划的执行情况,同时抄送负责办理案件的人民检察院。第三方组织如果发现涉案企业或其人员尚未被办案机关掌握的犯罪事实或者新实施的犯罪行为,应当中止第三方监督评估程序,并向负责办理案件的人民检察院报告。
合规考察期届满后,第三方组织应当对涉案企业的合规计划完成情况开展检查、评估、考核,制作合规考察书面报告,报送负责选任第三方组织的第三方机制管委会和负责办理案件的人民检察院。检察院应当参考第三方组织合规考察书面报告、涉案企业合规计划、定期书面报告等合规材料,作出批准或者不批准逮捕、起诉或者不起诉、是否变更强制措施等决定,或者提出量刑建议或者检察建议、检察意见。

此外,作为涉案企业合规考察机制有效运行的保障,《指导意见》还规定了对第三方机制管委会和第三方组织的日常监督和巡回检查机制。《指导意见》规定,第三方机制管委会组建巡回检查小组,对相关组织和人员在第三方机制相关工作中的履职情况开展不预先告知的现场抽查和跟踪监督。巡回检查小组成员可以由人大代表、政协委员、人民监督员、退休法官、检察官以及会计审计等相关领域的专家学者担任。
4. 最高检同步公布典型案例

在发布《指导意见》的同时,最高检还发布4个企业合规改革试点典型案例,涉及污染环境罪、虚开增值税专用发票罪、对非国家工作人员行贿罪、串通投标罪等企业容易触及的罪名。

透过这些鲜活的案例,我们可以看出各地检察机关在参与试点的过程中,在法律框架内,充分发挥主观能动性,积极探索企业合规与认罪认罚从宽制度相结合,或者企业合规与相对不起诉相结合等不同模式。在对适用认罪认罚从宽或者相对不起诉的情况下,部分检察机关还综合运用检察意见、检察建议的方式,向相应行政主管部门提出对涉罪企业进行政处罚的意见,对企业提出开展合规建设的建议,以此实现刑行衔接,让企业及涉案人员为违法犯罪付出代价的同时,又可以通过合规建设整改重获新生,将严管厚爱落到实处,取得更好的司法办案效果。这批典型案例的公布,将为后续开展试点工作的检察院探索改革模式提供参考和借鉴。
二、参与涉案企业合规考察工作的感受与建议

自最高检启动企业合规改革试点以来,金杜一直密切关注,并有幸以不同角色参与到各地试点工作中。2020年底,金杜被特邀入选宝安区第一批企业刑事合规独立监控人库,成为国内首批试点检察院的合规独立监管人,还参与多地、多个试点案例的办理。

在以独立监管人身份办理试点案件的过程中,金杜团队通过阅卷、访谈、实地走访等方式深入了解违规行为的发生原因,企业的管控现状及漏洞。在参考、借鉴美国司法部《企业合规方案评价指引》、世界银行《廉政合规指南》等国际先进合规管理经验的基础上,结合国内合规考察期限通常不超6个月,没有时间开展全面合规建设,以及涉案企业多为中小微企业等实际情况,以防范同类犯罪行为再次发生为切口,设计符合中小微企业特点的合规整改方案及验收标准,督导企业落地实施,努力探索具有中国特色的独立监管人工作机制。

目前,我们承办的多件试点案件,已有超过一半接近尾声。伴随着案件的办理,我们也在不断反思、沉淀,并逐渐形成以下感悟。

  1. 有别于传统刑事辩护业务,企业刑事合规考察业务需要既懂刑法、又懂公司治理、合规管理的复合型人才

有别于传统的刑事辩护业务,担任独立监管人办理刑事合规案件的律师不仅需要了解罪与非罪的界限,还需熟悉某一专项领域的法律规定,熟悉公司治理结构,具备搭建企业合规管理体系的相关经验。具备复合能力的专业人士能够更好地督导企业制定能够落地的整改方案,将相应的合规管理措施融入企业的管控流程。

例如,在某试点案件中,涉案企业因未获得人民银行审批,非法从事资金支付结算业务,使用对公账户收取涉案款项,扣除提成后将剩余涉案款项从对公账户转至指定个人账户,涉嫌非法经营罪。在办理该案时,我们发现上千万的涉案款项之所以能轻而易举地通过股东借款、虚假报销等方式转移到法定代表人账户,与公司法定代表人凭借大股东身份,在公司内部搞一言堂,致使公司内部治理结构失灵,公司资产与大股东个人资产混同有密切关系。

如果单纯从非法经营罪的构成要件入手,不仅很容易认为导致犯罪的主要原因是企业在开展业务前没有进行合规性审查,并获得相应审批,还容易忽视涉案违规行为能够发生,涉案款项能够能顺利转出的主要原因是公司内部治理结构失灵。我们曾为诸多大型国企、上市公司搭建大合规管理体系,熟悉公司治理结构,敏锐地注意到问题的症结,并在后续的合规整改过程中,借鉴公司法中大小股东制衡的理论,特别要求该企业建立切实可行的监事制度,明确赋予担任监事的小股东对于公司财务账簿的检查权,使其可以充分行使监督权,有条件发现并制止违规转移公司资金的行为。
2. 自行按照行业标准开展合规建设,更适合中小企业、违规情节轻微的企业

在参与试点工作的过程中,我们关注到很多试点案件涉及中小企业。这些企业人员较少、治理结构简单,要求其聘请专业人员开展合规建设,可能会给这些企业带来比较重的负担。此外,还有一些企业涉嫌的违规行为情节轻微,本身符合相对不起诉的适用条件,检察院往往选择通过检察建议的方式,督导这类企业开展合规建设。我们认为,在上述两类案件中,企业均可以自行开展合规建设,检察院等机构无须要求企业聘请专业人员。

行业合规管理标准能够为上述企业自行开展合规建设提供指导和帮助,同时也可以作为考察企业合规建设情况的参考标准。在我们深度参与某地检察院试点工作的过程中,曾结合该地区特点,为该地区设计行业合规标准。该地区拥有大量物流企业,进出口业务发达。同时,很多中小物流企业违规情况突出。企业在报关、仓储、运输等环节,容易发生违规风险。针对这一情况,我们基于为物流企业提供合规服务的经验,设计了该地区的《物流行业业务流程合规管理规范》(下称《物流行业合规规范》)。该规范在全面梳理物流领域适用的法律法规、规范性文件的基础上,结合物流企业的良好行业实践,为物流企业在业务的重点环节及相关流程工作提供概括参考及合规指导。

《物流行业合规规范》涵盖了海关和进出口业务、运输业务、仓储业务和跨境电商业务四大部分,每一部分中包括业务接洽、合同签订、供应商管理等各个环节所涉及的合规风险点,指导物流企业及其从业人员从“外法” 、 “内规” 两个层面,全面了解
每一项业务所涉及每一环节、每一事项的合规处理方式,培养企业及其从业人员合规意识,为各类型业务办理和发展提供合规指南。
3. 期待更多合规激励措施的出台

本次最高检联合八家单位下发《指导意见》,虽仍停留在刑事合规激励措施的改革探索阶段,但改变了以往检察院唱独角戏的局面,联合多家行政管机关群策群力,使得刑事合规激励措施的落地又往前迈进一步。

此外,我们注意到,部分试点地区在探索刑事激励措施的同时,已同步探索行政激励措施,制定部门行政合规程序,明确适用范围、适用条件、程序、验收考察等具体流程,逐步开展行政合规激励机制适用工作。

我们期待,随着刑事合规试点工作的深化,可以带动更多行政合规激励措施的出台,甚至是在更广泛的层面上,从行业自律及诚信监管的角度同步给予企业激励措施。我们也相信,随着各项改革的不断推进,各项激励措施的陆续出台,企业自主开展合规建设的意愿会逐渐增强。合规也将真正赋能企业,保障企业行稳致远。

[1] https://mp.weixin.qq.com/s/ql6n2FfRQkdEpZQghFrE6Q

【合规参考】Case Study:英国航空个人信息泄露事件及启示

摘要

2018年下半年,英国航空第三方供应商的账户信息被窃取,导致英国航空发生大规模个人信息泄露事件,数十万名英国航空的客户和员工受到影响。2019年7月,英国信息专员办公室(ICO)初步计划对英航处以1.83亿英镑的罚款。2020年10月16日,ICO正式发布处罚通知,认为英国航空未能保护超40万客户的个人信息及财务信息,结合英航的书面陈述材料和新型冠状病毒疫情对其经济状况的影响,最终宣布根据欧盟《通用数据保护条例》对英国航空处以2000万英镑的罚款。

01
一、英国航空信息泄露事件

(一)事件概述

2018年6月22日至9月5日,攻击者通过盗用英国航空(以下简称“英航”)第三方货运服务商的远程登录账号,进入英航内部系统并获得了访问权限,攻击者篡改了英航官网的脚本代码,将英航客户信息从“britishairways.com”网站传输到其所控制的外部第三方域名网站“www.BAways.com”上。遭受长达两个月的网络攻击后,英航才从第三方处获知此次攻击事件的发生。

据调查,恶意攻击者大约访问了429,612个客户的个人信息。包括244,000名旅客的姓名、地址、卡号和CVV码(信用卡安全码);77,000名旅客的卡号和CVV码;108,000名旅客的卡号;英航员工账号和管理员账号的用户名及密码;至少612个英航会员俱乐部的用户名及密码。

(二)调查过程

英航于2018年9月6日向英国监管机构信息专员办公室(以下简称“ICO”)报告了此次信息泄露事件,ICO随即启动调查,要求英航提供相关文件与证据。2019年7月4日ICO发出意向通知书,表示初步计划对英航处以1.83亿英镑的罚款。2019年9月5日至2020年1月31日,英航先后向ICO递交了两份正式书面陈述材料,回答了ICO提出的一系列问题,双方还就延缓做出正式处罚决定达成了一致。

2020年5月,英航应ICO要求就新冠疫情对其财政的影响提供了第三份正式书面陈述材料。英航和ICO一致同意将做出正式处罚的法定期限延长至2020年9月30日,最终ICO结合案件事实和英航提交的书面陈述材料,同时考虑新冠疫情对英航的影响,最终决定罚款金额为2000万英镑。

(三)事件的原因

1.初始攻击

通过英航的远程登录系统可以访问一些英航内部的IT应用,这样经授权的英航用户可以在办公室以外登录和使用这些应用。英航向一家第三方货运服务提供商“Swissport”的员工提供的远程登录账号被攻击者获得,英航无法确认攻击者是如何获得登录账号的,但是英航确认攻击者入侵了与Swissport相关的五个账号,这些账号都没有采取多因素验证策略。在2018年6月22日至9月5日,攻击者能够不断访问英航信息系统而未被发现。

2.突破远程登录系统限制

利用Swissport账号,攻击者可以访问一系列英航的应用,这些应用与Swissport向英航提供的服务有关。但是,攻击者在这以后成功地突破了远程登录系统的限制,访问了其他未授权给Swissport员工的网络。

攻击者成功地将大量工具从外部网络复制进入远程登录系统环境中,然后用这些工具进行网络侦察。

3.提升权限

通过侦察,攻击者获得了一份包含特权域管理员账户用户名和密码的文件,该账户信息在服务器的一个未加密的文件夹中。通过特权域管理员账户,攻击者获得了对相关域的无限制访问权限。

2018年6月26日,攻击者获得了一个数据库系统管理员的用户名和密码。

4.个人信息泄露

利用窃取的用户名和密码,攻击者尝试登录了多个英航服务器,2018年7月26日,攻击者访问了未经加密的日志文件,其中包含了涉及积分兑换交易的支付卡信息。

2018年8月,攻击者成功将支付卡信息从英航网站复制和转移到一个由其控制的网站“BAways.com”,消费者在英航网站输入支付卡信息后,在不影响英航正常预订和支付流程的情况下,一份副本会自动发送给攻击者。

在2018年9月5日,第三方告知英航“britishairways.com”网站上的数据正被传输到“BAways.com”网站上。英航在90分钟内修改了恶意代码,修补了漏洞。二十分钟后,英航阻断了通向“BAways.com”的网页链接。

(四)英航的应对

2018年9月6日,英航向ICO报告了此次事件,履行了告知义务,同时向汇入行、支付系统以及496,636名受影响的客户告知了此次泄露事件,后又通知了另外39,480名受影响的客户。2018年9月5日以后,英航实施了更多的技术措施,包括使用一个名为“Crowdstrike Falcon”的新一代反病毒端点侦测和反应工具。

02
二、法律适用与罚款金额的确定

(一)法律适用

英航信息泄露事件发生在2018年6月22日至9月5日,是在欧盟《通用数据保护条例》(以下简称“GDPR”)生效之后、英国脱欧之前,因此ICO认为对英航信息泄露事件的处理应适用GDPR。GDPR在欧盟范围内创立了“一站式”监管合作机制,由数据控制者(本事件中即指英航)主要营业场所所在地的监管机构作为“主要监管机构”。ICO是英国个人信息保护监管机构,因此ICO作为“主要监管机构”对英航信息泄露事件开展调查,正式的处罚决定通过GDPR合作程序得到了其他欧盟监管机构的批准。

值得注意的是,英国已于2020年1月31日正式“脱欧”,目前欧英关系处于过渡期,双方着手开展贸易谈判。过渡期将在2020年12月31日结束,ICO表示在过渡期内GDPR仍然适用。

ICO认为英航违反了GDPR第五条(1)(f)和第三十二条的规定,ICO指出英航在其信息系统中存储和处理个人信息,包括英航网站中的个人信息的过程中没有采用适当的技术手段和组织措施来确保个人信息的安全,也没有使用合理的技术手段、组织措施来保障个人信息主体的权利,满足个人信息保护的原则。

(二)罚款金额的确定

1.“五步法”

在决定是否罚款以及计算罚款数额时,信息专员参考了GDPR第83(1)和(2)所列事项,并运用了《监管措施政策》中所列的五步法。

第一步:消除任何因数据泄露而获得的经济利益

英航没有因数据泄露直接或间接获得任何经济利益或避免的损失。

第二步:考虑数据泄露的范围和严重程度

ICO根据GDPR第83条的规定,考虑了以下因素:数据泄露的性质、严重程度和持续时间;违法行为是基于故意还是过失;数据控制者或处理者为减轻数据主体遭受的损失而采取的任何措施;数据控制者或处理者的责任轻重程度;数据控制者或处理者此前是否有过任何相关的违法行为;为纠正违法行为和减轻违法行为可能会带来的不利影响,与监管机构的合作程度;受违法行为影响的个人数据的种类;监管机构获知违法行为的方式,尤其是数据控制者或处理者是否主动告知违法行为,以及如果是,则其告知到了何种程度。

根据第二步,ICO认为对英航处以3000万英镑罚款是适当的。

第三步:是否有加重情节

信息专员认为没有任何相关的加重情节,因此没有改变第二步所确定的罚款额。

第四步:增加罚款额,对他人起到告诫作用

考虑到第二步所确定的罚款额,ICO认为没有必要增加罚款额以告诫他人。ICO认为处以更高罚款并不会阻止此类事件的发生。

第五步:减少罚款额,以反映任何减轻因素,包括支付能力(财政困难)

考虑到以下因素,ICO将罚款金额减少20%至2400万英镑:

(1)英航立即采取补救措施减轻数据主体的损失;

(2)英航立即通知受影响的数据主体、其他执法监管机构和信息专员,并在其后全力配合信息专员的调查;

(3)媒体对此次攻击广泛的报道使得其他数据控制者提高对网络攻击风险的认识并意识到采取适当措施保障个人数据安全的必要性;

(4)这次攻击和随后的监管行为对英航的品牌和声誉造成不利影响,这对英航和其他数据控制者产生一定威慑效果。

2.新冠肺炎疫情政策

根据新冠疫情对英航的影响和ICO发布的指南,减免英航400万英镑的罚款。因此,英航应支付的最终罚款额为2000万英镑。

在处罚通知中,ICO就2019年作出的1.83亿英镑的罚款意向也作出了特别说明,其指出在计算最终的处罚金额时并没有将原来的1.83亿英镑作为起点也没有将1.83亿英镑作为考量的因素,最终的处罚金额是根据英航提供的多份正式书面陈述材料独立做出的。

03
三、对航空公司的启示

(一)加强对第三方供应商访问权限的管理

因业务类型的广泛及操作流程的复杂,航空公司通常需要为第三方供应商开放部分系统登录权限。当第三方进入到公司内部系统后有可能接触到内部商业数据和旅客信息,这成为商业信息与旅客信息保护的一个重要风险点。英航此次信息泄露事件的漏洞源头就在于攻击者窃取第三方账户先进入英航内部系统,后进行一系列非法操作。做好对第三方供应商访问权限的管理工作十分必要,建议完整记录其访问记录、浏览日志,当其账号发生过量访问、异常访问状态时应被自动锁定,待航空公司审核确认账号安全后再予以开放权限,同时应当与被授权的第三方签订保密协议,规范有关商业数据及旅客信息保护的权利义务,明确违约责任。

(二)远程登录系统应采取多因素验证策略

在本案件中攻击者通过英航的远程登录系统进入到英航内部网络,而其远程登录系统的验证策略十分简单,仅输入用户名和密码便可通过验证,访问英航系统上特定的应用程序。若英航在设置远程登录验证时使用多因素认证措施,将访问系统的权限设置为能够完成两个或多个步骤的组合(例如,密码加手机短信验证码的组合)才可登录成功,势必大大增强安全防护力度。因此航空公司应在对所有远程登录账号的验证,尤其是第三方供应商远程登录账号的验证上,实施多因素验证策略,最大程度地确保身份核验准确。

(三)提升信息安全态势感知和预警能力

攻击者非法进入系统并进行违法数据迁移长达两个月之久,英航才从第三方得知信息泄露事件的发生,迟缓的漏洞监测和预警速度不仅造成受害群体规模的扩大,并且也成为后期监管机构判定其未采取合理技术手段和组织措施对数据予以保护的事实依据。加强对系统异常状态的日常监测,监控域管理员账户的活动情况,提升公司已有的信息安全态势感知能力也是航空公司数据安全工作升级中举足轻重的环节,以便对系统外侵活动快速反应,在早期阶段控制信息泄露的影响范围,及时修补漏洞,将损失降到最低。

(四)优化敏感信息分级管理

在此次英航事件中,泄露的信息多为英航客户的支付卡信息及CVV码,监管机构认为此类信息属于个人敏感财务信息,其泄露会使英航客户的财产安全风险大大增加,一旦泄露造成后果严重程度更高,因此应当予以更多的关注和保护。同时,攻击者之所以能够成功实施对客户支付卡信息这类密级较高的敏感信息的窃取,是因为攻击者获得了未加密的特权域管理员账户的用户名和密码,为攻击者实施攻击行为提供了便利。信息分级管理是目前航空公司个人信息保护合规中的基础工作,但应注意的是,分级管理工作不应仅止步于简单的信息密级分类,更应当进一步优化不同等级信息的梯级防护策略,对高敏感信息采取包括加密、限制访问、单独存储等严格的技术防护措施,随航空业务类型的扩充和延展对信息分级管理工作与技术防御手段不断深化和迭代。

(五)完善信息泄露事件应急处置方案

在英航案例中,监管机构本欲对英航处以1.83亿英镑金额的罚款,之所以最终的处罚大幅减少为2000万英镑,部分原因在于英航积极提供证据材料及书面陈述材料,与监管机构持续进行有效的意见互通,最终其意见被监管机构所采纳,英航对调查工作的积极配合也被监管机构纳入了定罚考量因素中。为确保航空公司个人信息航空公司安全管理工作齐全完备,除前文所述的日常合规工作外,还应居安思危,制定信息泄露事件处置规则,明确信息泄露事件处置的责任主体和上报流程,以最快的速度补救漏洞、挽回损失,为信息泄露事故的应急处置工作提供切实的预案指引。一旦遭到监管机构调查,应建立内部工作机制积极应对,明确多部门联动的职责,向监管机构主张权利,提供有力证据,进行充分申辩,配合监管机构的调查活动,争取将损失降到最低。

英国航空被处以2000万英镑处罚为全球航空公司敲响了警钟,对日常个人信息保护和信息安全事件应对处置提供了前车之鉴。航空公司处理的个人信息量巨大,应进一步完善个人信息全流程合规工作、提升信息安全防御技术、前瞻性地回应旅客对个人信息权利的关切。积极应对个人信息合规挑战,奋力对标现代航空企业管理水准,让先进的合规管理工作为企业改革发展保驾护航。

穿透式监管:互联网金融请避开这些犯罪红线

编者按:自去年下半年以来,司法机关对借助互联网平台从事金融违法犯罪活动的查处力度不断加大。前不久,互金整治办、央行等部门也相继出台了监管文件,矛头直指资管计划,甚至将部分行为明确定性为“非法金融活动”。在此背景下,相关业务活动将面临怎样的刑事风险,互联网金融从业者又应如何合规开展业务、避免触碰犯罪红线?我们将就此展开讨论,与大家一起进行探讨和交流,相关观点不作为法律专业意见使用。
一、 互联网金融刑事监管进一步铺开

依托云计算、大数据、移动APP等互联网工具,金融服务的普惠性和覆盖性得到大幅提升,各类新型业务模式也层出不穷。与此同时,基于犯罪成本低、查处难度相对较大的原因,借助网络工具、以互联网金融创新为名义从事的金融违法犯罪活动也呈现出高发态势。

(注:以上统计暂只包括上述四项罪名;表中数据均来自我们在“裁判文书网”的检索结果,可能存在不全面、不准确的情况。)

尽管互联网金融业务花样百出,但国家“穿透式监管”贯穿始终。去年6月,最高人民检察院发布《关于办理涉互联网金融犯罪案件有关问题座谈会纪要》强调:“对各种类型互联网金融活动,要深入剖析行为实质并据此判断其性质,……不能机械地被所谓‘互联网金融创新’表象所迷惑。”前不久,互金整治办、央行等部门相继出台了监管文件,矛头直指资管计划,甚至将部分行为明确定性为“非法金融活动”,并要求“根据定性情况移送处置”。由此可以预见,未来一段时间内,官方层面的监管和查处将持续形成高压态势,互联网金融活动的刑事风险有增无减。
二、 互联网金融从业者应避开的五道“红线”

  1. 红线之一:非法集资

实践中,部分网络融资平台以提供信息中介服务为名,实际直接或间接归集资金,甚至自融或变相自融。这种情况下如果同时存在向社会公开宣传、承诺还本付息、向不特定公众吸收资金的情形,则可能涉嫌构成非法吸收公众存款罪(《刑法》第176条)。其常见表现形式通常有如下几类:

融资平台与借款人合谋或者明知借款人存在违规情形,仍为其提供吸收公众存款服务;

融资平台自身或者与借款人合谋,通过拆分融资项目期限、实行债权转让等方式,变相吸收资金;

融资平台将借款需求设计成理财产品出售给投资人,或者先归集资金、再寻找借款对象,使投资人资金进入平台的中间账户以期错配,产生资金池;

融资平台未经许可,向社会公众发行销售各类资产管理产品,包括但不限于“定向委托计划”“定向融资计划”“理财计划”“资产管理计划”“收益权转让”等。

除非法吸收公众存款行为之外,融资平台还有可能涉及集资诈骗行为(《刑法》第192条)。二者在客观上均表现为向社会公众非法募集资金,认定集资诈骗罪的关键在于行为人是否具有非法占有的目的。以非法占有为目的非法集资,或者在非法集资过程中产生了非法占有他人资金的故意,均可能构成集资诈骗罪。根据最高检《关于办理涉互联网金融犯罪案件有关问题座谈会纪要》,犯罪嫌疑人存在以下情形之一的,原则上可以认定具有非法占有目的:

大部分资金未用于生产经营活动,或名义上投入生产经营但又通过各种方式抽逃转移资金的;

资金使用成本过高,生产经营活动的盈利能力不具有支付全部本息的现实可能性的;

对资金使用的决策极度不负责任或肆意挥霍造成资金缺口较大的;

归还本息主要通过借新还旧来实现的;

其他依照有关司法解释可以认定为非法占有目的的情形。

  1. 红线之二:非法经营

现实中,部分网络平台擅自从事支付结算、传统金融业务发行/代销、信用卡套现等服务,具体形式可能体现为:

未取得支付业务许可经营,为客户非法开立支付账户,提供第三方支付服务。非银行机构从事支付结算业务,应当经中国人民银行批准取得《支付业务许可证》,否则将违反《非法金融机构和非法金融业务活动取缔办法》的有关规定,情节严重的,有可能涉嫌构成非法经营罪(《刑法》第225条)。

未取得资产管理业务牌照或资产管理产品代销牌照,依托互联网发行、销售资产管理产品。互金整治办29号文 以及央行等四部门“资管新规” 一致强调,“资产管理业务作为金融业务,属于特许经营行业,必须纳入金融监管。非金融机构不得发行、销售资产管理产品,国家另有规定的除外。”据此,依托互联网销售资产管理产品,须取得中央金融管理部门颁发的资产管理业务牌照或资产管理产品代销牌照。否则,我们理解,不排除根据《刑法》第二百二十五条第(三)或(四)项将此类行为认定为非法经营罪的可能性。(当然,如果同时存在向社会公开宣传、承诺还本付息、向不特定公众吸收资金的情形,则可能涉及非法集资类犯罪。)

部分信用卡代还平台刷取客户信用卡,收取手续费后将刷卡金返还用户。我们理解,此类行为与两高《关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》第七条规定的POS机刷卡套现行为 存在一定的同质性,以该种手段向信用卡持卡人直接支付现金,情节严重的,亦不排除被认定为非法经营罪的可能性。

  1. 红线之三:背信运用受托财产

此外,对于涉及资管产品业务的互联网平台,即便取得相应金融牌照,也不等于万事大吉。我们理解,央行等四部门发布的“资管新规”彻底落实后,对于挪用托管资金、多层嵌套等违规违法行为,“背信运用受托财产罪”(《刑法》第185条之1) 在司法实践中可能存在进一步适用的空间:

其一,持金融牌照的互联网平台如果在资管业务活动中擅自将托管资金挪用、拆借,或者借助平台自身便利以托管资金与关联方进行不正当交易、利益输送等行为,将有可能被认定为“违背受托义务,擅自运用客户资金或者其他委托、信托的财产”,进而存在构成本罪的风险。

其二,根据“资管新规”的规定,资管产品可以再投资一层资管产品,但所投资的资管产品不得再投资公募基金以外的资管产品。据此初步分析,属于保险公司类、保险资管公司类或基金公司类的互联网平台,将自身资管产品投资于其他机构的资管产品,或者以自身资管产品接受其他机构资管产品的投资后,如果再投资公募基金以外的资管产品,则不排除被认定为“违反国家规定运用资金”(《刑法》第185条之1第二款),进而构成本罪的可能性。

  1. 红线之四:非法传销

此外,还有一些网络平台以普惠金融的名义,通过消费返利、股权激励、资金盘、投资分红等形式发展会员,引诱社会人员在其平台参与违法传销活动,例如:

借助网络购物的形式,以“消费返利”、“动态收益”为诱饵,要求会员(加盟商)缴纳入门费并“拉人头”发展人员加入,并靠发展下线获取提成;

借助产品直销名义,以各种资本项目运作、投资返利分红、股票或者期权等为载体,以资金盘的形式运营,以发展人员的数量作为计酬或者返利依据,引诱相关人员参与并发展下线。

如果相关活动组织者将参加人员按照一定顺序组成层级,直接或者间接以发展人员的数量作为计酬或者返利依据,引诱、胁迫参加者继续发展他人参加,则可能涉嫌构成组织、领导传销活动罪(《刑法》第224条之1)。

  1. 红线之五:洗钱

互联网支付日益成为现代生活不可或缺的行为方式。一方面其高效率、全天候、身份识别手续简易等特点大大提高了交易便捷性,同时其也因数据量庞大、账户注册资料审核存在一定漏洞等因素给司法机关的追查取证带来一定难度。这些特点也恰恰被资金掮客所看中,如果第三方支付平台、网游平台、电商平台不加注意,则容易被犯罪分子利用而沦为其洗钱工具。实践中,交易者从事洗钱活动的形式可能表现为:

通过第三方支付平台,将资金在银行账户和第三方支付平台之间多次转账切换(通常利用多个银行账户或第三方支付账户);

通过网络店铺,利用虚构交易等方式,将其他资金转换为经营收入,或者与经营收入相混合;

通过网络游戏平台(甚至部分为非法赌博游戏),使用资金在线购买游戏点数、道具等物品后转卖套现等。

倘若有证据证明网络平台经营者知道转入资金可能系犯罪所得及其收益,仍然有意帮助或者放纵,为他人提供资金帐户,或者通过转帐等结算方式协助资金转移,甚至协助将资金汇往境外,则平台自身可能涉嫌构成洗钱罪(《刑法》第191条)或掩饰隐瞒犯罪所得、犯罪所得收益罪(《刑法》第312条)。
三、 互联网金融刑事合规之路

“互联网金融的本质仍然是金融,其潜在的风险与传统金融没有区别,甚至还可能因互联网的作用而被放大。” 在“穿透式监管”的透视下,当前各类违法违规活动大部分仍可视为传统违规行为的网络化。

在此背景下,我们认为“侥幸心理”或“绕过监管”均不可取,经营者应认真排查现有业务中可能涉及的法律风险,及时采取应对措施。例如,网贷平台应始终坚持中介身份,投资人资金由第三方机构托管,避免形成资金池。再如,各类平台如果希望从事或维持资管类业务,应

取得相应的业务牌照或代销牌照,否则应及时清理存量业务;倘若只是将资管业务剥离、分立为不同实体的平台,仍然有可能被监管方视为原有平台的组成部分,因而难以成为有效的合规措施。

总而言之,互联网金融从业者应保持对国家政策法规的敏感度,把握金融创新和金融违法犯罪的界限,用“合规”为“经营”保驾护航。

中兴通讯首席法务官申楠:对企业法务工作的几点感受

人生就是一场修行,法务工作尤是如此。

以我个人的经历而言,我在接手中兴通讯的首席法务官职位前做过八年的知识产权工作,对于人们常道的“越老越吃香”的法务岗位,我也尚处于修炼阶段。而职业经历恰好赶上了企业法务职业蓬勃发展的十年,我希望借此机会向行业同仁分享和交流我对于法务职业的修炼感言。

说句实话,企业法务这条路不好走,我的同事们常说法务工作太过操心、催人衰老。毫无疑问,企业法务工作是有苦难言的。不像外部律师的“挽狂澜于既倒”、通过“摆平事”给人留下的深刻印象,内部律师就像“大桥上的栏杆”,不出事的时候你完全无法感知他的存在。企业法务也很难通过假设性的方式和“如果不按我说的做公司将蒙受何等损失”的话术来向同事和领导进行价值展示,这种价值贡献的隐含性着实苦恼着一众法务同事。同时法务的工作性质又决定了它是孤独而细琐的,大多数企业尚不足以配备建制齐全的法律合规部,法务在合同谈判中也多是“一个人在战斗”,而彻夜面对数百页的合同反复地“咬文嚼字”更是法务人的日常,在公司内部法务不是在与业务单位沟通就是在去沟通的路上,这一切都让法务成为了一个“吃辛苦饭”的职业。但抛开这些苦楚,实际上企业法务职业又拥有着巨大的诱惑,尤其是大企业的法务拥有的充沛资源的调动能力,能够与行业最精英的外部律师和咨询顾问切磋学习,有机会从大企业的复杂业务中亲历前沿的法律问题和大型的国际争端解决。这不论是对法律思维的形成还是综合能力的打造都至关重要,这也是为什么众多的法律毕业生选择企业法务作为职业生涯的第一站。

和医生一样,法务工作也高度仰仗经验、能力甚至心态的打磨,企业法务需要不断地精进学习,持续完善自身岗位竞争力并打造职业护城河,才能在这竞争日益激烈的职场中立于不败之地。那么,如何修炼企业法务的内功,在此我也分享几点感受,与诸位共同探讨。

01

企业法务的第一要务就是全面的风险治理

企业是经济组织,雇佣法务人员的目的也很单纯,那就是要“保平安”;而正所谓“食君之禄、担君之忧”,企业法务也应该“想企业主之所想、急企业主之所急”,用专业能力为公司业务保驾护航。在这个意义上企业法务与其他职能部门一样,以护卫舰的身份保护整个舰队的航行安全,从法律风险防控的角度支撑公司业务的健康发展。作为公司经营的“守夜人”,企业法务还要具备大局观、进行全面的风险治理,做公司业务风险的识别者、上报者和推动改进者。

同为法律职业共同体中的一员,企业法务的角色与学者或律师有着先天的不同和独特的魅力,不同于学者对于理论概念的深耕和律师对于具体实务的操作,法务人员具备“鉴赏家”和“管理者”的双重身份,是理论与实践结合点,需要对战场局势进行周密考量,并契合企业的需要进行价值判断。小到特定合同中争议解决方式的选择,大到如企业整体的知识产权布局与战略选择,都是企业法务的独立价值和不可替换的角色。正如已成功转型企业法务的方达创始合伙人周志峰所说,“外部律师决定行业走多快、内部律师决定行业走多远”。企业法务有机会把想法变成现实,通过深度参与具体法律问题的解决,以自己人的身份从企业需求出发制定符合企业实际情况和利益诉求的策略与方案。

企业法务应当做的“全面的风险治理”,是相对于传统意义上的“救火队员”角色,只在企业需要或事态紧急的时候才施以援手、崭露头角。好的企业法务应立志做“保健医生”,秉持“上医治未病”的理念为企业经营的航程打好提前哨和埋伏。即使是训练有素的消防队,平时之功也是更多放在宣贯消防意识和增设防火设施上,而不单纯放在训练爬梯速度或操练消防器具。好的消防队员不应为多少次“死里逃生”而津津乐道,好的企业法务也不应为赢了多少案件而沾沾自喜。事发后的救火顶多算是“重要紧急”,但从时间管理的角度来看,长期业绩规划等“重要不紧急”的事项反而应该占到我们时间的大多数,它能指引我们往哪里去。法务要伴随企业成长,要全面的预防、研判和化解企业经营风险。

02

企业法务需要着力提升“四大能力”

我们常说“专业是立身之本”,对于“靠着辛苦赚钱、难以一夜暴富”的企业法务更是如此。当然,各类非创意型工作都仰仗能力的打磨,所谓的“一万小时定律”也是强调专业技艺的精进。前些年,企业普遍对法务工作没能提起足够的重视,但随着近些年进出口管制、数据保护和反垄断等领域新法频出、执法动作不断的新趋势,合规的到来为法律服务市场带来了新的启发,各家企业也加大了对法务岗位的需求。但行业的快速发展时期实际上也是“去伪存真”的快速洗牌期,只有那些真正洞悉政策导向、全面管控企业风险的资深法务能够在这场洪流中茁壮成长。企业法务的核心竞争力在于能够伴随企业成长,用能力来平衡企业经营效率和风险管理。而法律的职业特点决定了法务人员需要不断学习以打磨自身能力,而优秀的法务需要着力提升“四大能力”:一、判断业务风险的知察能力;二、场景规则对照的尽调能力;三、提出解决方案的筹划能力;四、推动方案落实的闭环能力。

判断业务风险的知察能力是风险管理行业的基础能力,也是企业法务作为经营风险识别者角色的核心能力。它要求基于经验性质的多参与实战和业务,通过众多的案例来喂养出敏锐的嗅觉和绝佳的品味;场景与规则对照的尽调能力是挖掘事项本质和痛点的关键能力,它要求法务从海量的法律法规、判例和证据材料中积极寻找突破口,去伪存真地找出适用法和解决方案;而提出解决方案的筹划能力则是法律合规岗位发挥价值的重要基石,也是一项极其考验功力的能力,它需法务人员拿捏好风险控制与商业自由度之间的平衡关系。所谓筹划是要求在合法合规框架下积极探索降低管理成本或提升商业效益的空间;推动方案落地的闭环能力是最易被忽视但极其重要的一项能力,没有它再好的设想也是空谈。电影《八佰》背后“淞沪会战”即残酷而深刻的体现了这项能力。被寄予厚望的苏嘉与吴福国防工事号称“东方的马其诺防线”,因缺乏质量管理和闭环使得该工事沦为“豆腐渣工程”,无法起到抵御日军进攻的实效,足见方案落地和闭环的重要性。

03

企业法务要勇闯企业治理的深水区

随着近年来各行各业管理理念的现代化转型,人们说治理多过管理。治理与管理的不同在于它的过程性、主动性和双向性。值得注意的是企业界正逐步将法律管理或合规管理加到企业治理的框架中,与其他管理域和管理角色协调配合促进组织效益的最大化。防控法律风险的天职决定法务的工作是孤独的,甚至需经历与业务人员的频频冲突,法务要有自己价值追求和原则坚守,既不要怕“坐冷板凳”也不要担心内部摩擦。长袖善舞的法务人员是能够从老板和业务的角度思考问题的,并清楚的知道如何与风险和平共处。法务在“担君之忧”之余还应有“节君之流”的观念,以有限的资源化解问题和危机,珍惜企业的信任与期待,以行动守护多数人的利益。如果说好的设计不应让用户察觉到它的存在,那么好的法务工作也应当是化风险于无形。现代企业治理对企业主的综合管理能力提出新的要求,行业的发展也拉高了准入门槛和治理难度。我们常说企业治理已进入“深水区”其实也是强调行业风向的变幻莫测,监管双方角色彼此博弈的长期性和企业主对于法务商业思维的要求和期待。

“深水区”的工作难度大家都能喊出来,但只有企业法务有机会实践他的理念和思路,法务人员因为“自己人”属性能够拥有更多的操盘机会。过去企业法务把自己定位为消极的“顾问”,也即纵使法务表达了意见或提示了风险,企业主也“可听可不听”;而“深水区”或现代法务管理要求我们做积极介入、预防和限制的“治理角色”甚至“执法角色”,首席法务官或首席合规官的岗位设置也是强调管理职能上的强化和法务定位观念上的转变。中兴通讯在“深水区”治理方面已颇有成果,高管法律顾问、风险日历和风险地图都是我们在这方面的良好实践,我们还通过“能力内化”来提升法务执业能力的同时降低了对外部律师的不合理依赖。在我们的业务中法务与律师也不再是单纯的委托关系,而是共同解决重大案件、促成大宗交易的合作伙伴,这种职业共同体下的共生关系也因为彼此的切磋与交流变得紧密。

回过头来看法务职业,也许法律职业自从选择之初就注定是一场职业能力的修行之路,对于企业法务而言也只有努力提升自己才能顺利实现突围和精进。广阔天地、大有作为,相信这条修行之路上每一位法务都能找到自己的价值和一生的追求。

高管合规洞见 | 中兴通讯首席法务官申楠:打造一站式合规管控全景,助力以风险为导向的合规管理体系建设

企业建立以管理为导向的合规管理体系后,需要探索以风险为导向的合规管理体系,通过开展风险评估,深入了解企业经营中存在的合规风险,从而制定相应的合规治理规划。

合规管控点或关键控制点(Key Control Point,以下简称“KCP”)[1]是指依据合规规则,需要在业务流程中采取合规管控措施的关键节点。KCP梳理是以风险为导向的合规体系建设的重要一环,也是风险评估的前置步骤,梳理成果可以有效应用于风险评估中。在业务流程中嵌入KCP有助于系统性防控合规风险,同时也是合规融于业务的体现。对于总部而言,通过梳理业务流程中应嵌入的KCP以及与之相匹配的合规管控要求,可以勾勒出合规管控全景,同时识别出尚未采取合规管控措施的KCP,堵漏建制;对于子公司而言,可以根据总部的合规管控全景,分析和评价其自身业务流程中应嵌入的KCP,并与其已采取的合规管控措施相比较,判断其合规管控的缺失程度和现存合规风险的高低。

1
KCP的基石 – 合规规则体系

外部法律法规和内部合规规则是在业务流程中嵌入KCP的依据,建立合规规则体系也是以风险为导向的合规体系建设的第一步。中兴通讯的业务遍及全球大部分的国家和地区,合规COE(Center of Expertise,专家中心)负责跟踪研究与公司经营密切相关的法律法规,并结合公司风险偏好制定原则性规范。BU(Business Unit,业务单位)合规团队则结合业务实际将原则性规范细化为场景化指引。从法律法规到原则性规范,再到场景化指引,合规管控要求与公司业务实际的结合愈加紧密,对业务单位的指导性也逐步增强。自上而下的合规规则体系是KCP梳理的依据和基石,可用于判断应当嵌入合规管控措施的流程节点以及如何管控该等节点。

合规规则体系应当具备清晰的效力位阶:由不同主体制定的政策、原则性规范和场景化指引等文件在规则体系中自上而下位处不同层级,在效力、修改频次、受众、理解难易程度等方面也存在差异:

图片

1)董事会确定公司风险偏好,明确公司经营中所需遵从的“红线”和合规政策,形成规则金字塔架构的第一级。公司政策在合规规则体系中具有最高效力,需要在相当长一段时间内保持其稳定性。同时,因其整体适用于公司全体员工,内容和形式上应更容易为员工所理解和记忆;

2)合规COE部门基于外部法律法规的要求,并结合公司政策制定本领域的原则性规范,形成“规则金字塔”架构的第二级。原则性规范通常包括合规手册总册和其他基本规范。总册是特定合规领域的纲领性文件,也是合规规则体系中的“根本法”,为了保持严肃性和稳定性,其制定应相对严谨和审慎,修改频次也相对较低。此外,合规COE部门通常还会制定其他基本规范,作为总册的补充或延伸,需要依据外部法律法规的变化而作相应调整;

3)BU合规团队结合实际业务情况,依据原则性规范制定不同业务领域的合规分册和场景化指引,形成“规则金字塔”结构的第三级。贴合业务场景的特性决定了,如果业务场景发生变化,分册和指引也需要作出相应的调整,因此实践中分册和指引的修改频次相对较高。此外,为了降低理解门槛、强化可落地性,公司也鼓励BU合规团队采取场景化案例等易于业务单位理解的形式。

从政策、原则性规范到场景化指引的金字塔式规则体系层层递进且相互援引,为KCP梳理提供了制度依据。

2
KCP的载体 – 合规管控全景

规则体系可以引导合规专业部门判断业务流程中应嵌入KCP的节点,但对于非合规领域的一般员工而言,合规规则用语复杂且篇幅通常较长、理解成本较高。通过梳理KCP及其项下的合规管控措施,可以得到类似于知识卡片的输出物,即对风险点和管控点知识进行结构化和可视化处理,让受众对于与自身业务相关的合规管控知识的理解和记忆更加便捷,使得合规知识与业务的融合、应用成为可能。因此,KCP梳理是对规则体系进行拆解和模块化的过程,旨在促进规则与业务场景的深入融合,进一步降低理解和使用门槛。

全面梳理业务场景中的KCP及合规管控措施,形成合规管控全景图

对于KCP梳理而言,如果没有规则体系作为基础,将难以全面判断哪些业务场景中需要得到合规管控;而如果没有全面梳理、横向拉通各业务领域中涉及的场景,又难以保证KCP的全面性和完整性。相较于子公司而言,总部的业务场景通常更为全面和复杂。因此,中兴通讯以总部的业务场景为经,以总部的合规指引为纬,定位出KCP以及与之相匹配的合规管控要求,形成合规管控全景图,依托内部数字化平台实现可视,并面向公司全员发布。合规管控全景图是由各业务领域KCP及合规管控要求组成的有机整体,是KCP的载体和一站式查询平台。

为使KCP真正嵌入业务、杜绝管控漏洞,需争取实现KCP的IT化、线上管控,将部分人工控制节点逐步转变为系统控制节点。随着IT化管控的实现,后续可通过数据一致性审计核验KCP嵌入和相应管控要求的执行情况,为公司合规治理和资源投入提供客观的决策支撑意见。

3
KCP的应用 – 以风险评估为例

在风险评估过程中,需要识别和分析潜在合规风险,并评价既有合规管控措施的全面性,而KCP梳理在其中可以发挥重要作用。

对于总部而言,在合规建设初期,自上而下快速建立起规则体系,使得合规建设有“规”可依。随着合规体系建设进入新阶段,可以借助KCP的梳理,自下而上地反推当前规则体系中需补充完善之处。例如,经梳理发现某一业务场景存在潜在合规风险且应嵌入KCP,但目前尚未制定与之相匹配的合规规则,则需及时制定相关规则,堵住管控漏洞。因此,KCP也是检验规则体系完整性的试金石。

对于子公司而言,不同子公司需嵌入的KCP类型和数量存在差异。通常而言,业务复杂程度越高,需嵌入的KCP越多。假设总部需在业务流程中100项KCP,而某一业务场景复杂度弱于总部的子公司可能仅需嵌入50项KCP。总之,通过梳理被评估单位的业务场景,可得出其应嵌入的KCP数量。需嵌入的KCP数量越多,通常意味着合规管控的难度越大,需投入的合规资源越多。在此基础上,再通过文档审阅、人员访谈等方式了解被评估单位已有的合规管控措施与KCP之间的差距。二者差距越大,说明合规管控措施缺失程度越高,现存的合规风险越高。

结合公司当前的风险偏好和治理实践,风险评估的终极目标应更聚焦于风险分类管理及相应的治理规划,而非单纯的风险等级和治理优先级划分。在风险评估中应用KCP,有助于更加直观和全面地了解被评估单位合规管控现状,从而对症下药、堵漏建制,争取实现合规管控与业务场景的充分匹配。

当然,KCP的应用场景绝不限于风险评估,它还可被广泛应用于合规咨询、合规检查、审计等其他环节。例如,通过搭建一站式查询平台,公司全员可从实际业务需求出发,根据业务场景快速定位到KCP及其项下的合规管控要求,从而减少合规咨询需求量。又如,合规检查人员可依据KCP制作各业务领域的检查清单,并通过访谈等方式核验KCP项下合规管控要求的执行有效性。如此一来,可依托KCP实现风险评估和合规检查的层层嵌套和递进。

通过将合规指引组件化和微课化,搭建一站式平台

由于规则体系和业务场景均可能不断变化,应当定期维护和更新KCP,推动KCP的不断迭代。同时,后续需通过检查和审计检验KCP的管控情况,以形成合规治理的闭环。

中兴通讯通过梳理KCP并将其应用于风险评估,推动以风险为导向的合规管理体系建设,致力于与合作伙伴一起共建安全、可持续的营商环境,共同实现业务的有质量增长。

注释:
[1] 关键控制点通常是指在业务流程或应用系统中,为降低流程主要风险和实现控制目标而采取的最有影响力的控制活动。

高管合规洞见 | 中兴通讯首席法务官申楠:探索以风险为导向的合规管理体系,助力企业可持续增长

近日,中兴通讯高级副总裁、首席法务官申楠发表署名文章:《探索以风险为导向的合规管理体系,助力企业可持续增长》。


中兴通讯高级副总裁、首席法务官申楠

经济全球化给各国企业带来了更加开放、联系更加紧密的国际市场环境,跨国企业在走出去的过程中,面临着全球市场法律法规遵从,给企业经营带来了一定的风险和挑战。企业建立以管理为导向的合规管理体系后,探索以风险为导向的合规管理体系,是企业将风险治理前置以避免僵化遵从规则,也是企业更好地适应不断变化的外部环境,防范风险、稳健经营并实现可持续增长的重要保障。

2019年,在中兴通讯的每一位员工的全心投入以及不懈努力下,公司的合规体系经历了从理念层面到具体建设层面的重塑,实现战略恢复期到战略发展期的进阶,合规建设稳步开展并取得了一定成效。在出口管制合规领域,中兴通讯加强了合规流程嵌入业务,同时通过完善和扩展GTS和ECCN系统的功能,提升了出口合规自动化水平,进一步完善了出口合规体系,增进了合作伙伴对公司出口合规建设的信任。在反商业贿赂合规领域,中兴通讯持续提升反贿赂合规管理体系有效性,深入做好合规与业务的融合;2019年公司再次入选英国富时社会责任指数系列,其中反腐败合规模块获得了领先业界均值的满分评价。在数据保护合规领域,中兴通讯将数据保护合规要求融入到产品设计、服务交付和管理内控活动中,搭建了符合欧盟GDPR要求的公司级合规规则体系,实施了重点业务专项治理与关键国别示范治理,推动了业务与合规的高度结合与创新落地。与此同时,中兴通讯首次举办近500人规模的企业贸易合规论坛,积极推进合规营商环境共建,传递企业社会责任。

中兴通讯在合规体系建设之初以管理为导向,围绕合规体系建设八要素,将PDCA(Plan-Do-Check-Act计划-执行-核查-处理)循环的模式引入到合规业务工作中,创设了业务与管理的双循环模式,这也构成了公司整个合规管理体系的核心要素,也即合理规则的制定、全面无死角的培训、坚决的执行和有效的稽查。

以管理为导向的合规管理体系,在企业合规建设初期有着非常明显的优势:能够在短期内集中公司整体的力量,自上而下快速地建立体系,保障实施与穿透;这种以后端管理为导向建立的体系,虽然能够较好地保持整体合规动作的一致性,但合规政策在具体实施过程中也存在着僵化、盲目执行、效率低下等弊端,往往不能满足实际业务中灵活多样的场景化需求。随着合规体系建设进入新阶段,迫切地需要我们迅速提升各级单位合规风险识别的底层思维逻辑,在深刻了解经营活动,明确经营风险偏好的基础上对业务过程中的法律合规风险进行实时地监控和防范,推动风险治理前移,探索以风险为导向的合规管理体系,实现合规治理质的提升。

以风险为导向的合规管理体系通过对合规底层思维的理解和掌握,以风险识别为导向,以合规管理为工具,在自上而下的合规体系建设的基础上,进一步推动自下而上规则的场景化、判例化,有效推进合规规则与具体业务的深度融合,形成契合业务实际的合规管理体系。同时推动风险治理前移,业务单位通过对自身经营范围内合规风险的深入了解,结合经营风险偏好的选择,确定在公司合规规则规范体系内的合规经营思路。中兴通讯在实践中逐步探索了风险导向合规体系建设六步法:

1

建立和梳理合规规则体系

合规的本质是对法律法规的遵从,合规规则的制定,一方面是将外部法律法规转换为内部管理规范;另一方面是根据模糊的法律法规要求基于企业风险偏好的管理要求对管理规范进一步细化。因此需要在内部规范中明确哪些是法律法规要求、哪些是企业风险偏好选择、哪些是企业基于模糊的法律法规所做的进一步细化管理。由此也建立以风险为导向合规管理体系的第一步:明确合规规则的出处与遵从基线。

在此基础上,合理的规则体系设定也需要与公司组织架构相匹配,与各级单位的合规能力要求相匹配。在中兴通讯的金字塔三级合规规则架构中,董事会确定公司经营政策,即公司当前经营的风险偏好,明确公司经营中需要遵从的红线,形成规则体系金字塔的第一级;合规专业COE(Center of Expertise,专家中心)基于外部法律法规遵从的要求,并结合公司政策确定本合规领域下的合规手册总册,形成金字塔架构的第二级;BU(Business Unit,业务单位)合规经理结合具体实际业务开展情况,完善合规分册中不同领域的合规指引和要求,形成金字塔结构的第三级。通过推进金字塔三级合规规则体系的建设,有效地将外部的法律法规遵从,结合公司经营的风险偏好转译成内部的合规管理规范,搭建从政策、手册到指引的规则体系,层层递进且相互援引,保证了规则各位阶的一致性。

2

依据规则体系逐级梳理合规管控点

中兴通讯基于金字塔式的合规规则体系,创立了三级管控体系,即源自法律法规的一级管控要素,到手册二级管控领域,再到实际业务流程中的三级管控点。通过嵌入业务的合规管控点梳理,规避了合规手册因为规则的完整性和语言的复杂性所导致的篇幅冗长和易读性不强的问题,同时将合规管理要求转换成业务管理动作。梳理后的合规管控点以业务全景图的方式向全员呈现,让员工知悉自身业务范围内涉及的合规管控点,在这些管控点下需遵循的流程及可能存在的风险。同时通过数字化、IT化将合规管控点嵌入到流程中落地执行,从可能带来合规风险的行为着手进行管控,使得在整体业务流中合规风险处于可收敛状态,且管理成本最低,效率最高。

3

通过风险评估,对规则遵从度和优先级进行排序

结合公司所需要遵从的合规规则及公司各级单位的业务活动情况,在全球范围内展开风险评估,以经营活动为依据,风险为导向,实现合规的分级化管理。即通过各级单位合规风险概率和影响的评估,对业务流程中要求合规管控的遵从度及优先级排序,帮助各级单位实现以风险为导向的合规规则遵从,最终聚焦于具体业务流程中的合规管控点的遵守,同时也为后续检查/抽检提供了方法论支撑。

4

精准性合规培训

在逐级梳理合规管控点及遵从度评估后,将在两个维度快速形成培训课程和培训对象,分别是以业务单位为基础的岗位维度,和合规管控点所对应的一个个流程责任人的场景维度,由此精准性合规培训才成为可能。中兴通讯首创了“1+N”培训模式,1个岗位培训和N个场景化培训。合规适岗的精准化培训,让每一个合规关键岗位人员清楚自身职责并推动落实,合规场景化培训也为员工在具体场景中遇到的问题提供操作指南。

5

开展常态化的检查、抽检

通过各级合规管控点检查项的设立,形成检查清单Checklist,在此基础上构建检查方法论,通过开展业务单位自检、BU合规抽检等不同维度的查漏补缺、效果验证等活动,保证公司合规治理要求及合规管控点的切实执行,并进一步可以及时发现合规规则未覆盖的盲点及流程中存在的堵点,有针对性地对规则进行优化、补强,推动合规体系建设的不断完善。

6

开展独立审计

审计工作是外部法律/标准的企业化认证,将上述第一步、第二步形成的企业标准,在公司范围内开展独立审计工作,并对审计结果进行认证。特别是对于已通过合规检查/抽检、合规建设工作已经相对完善的业务单位,进行独立审计、认证,并通过形成最佳实践的方式在公司内进行大范围宣传,从而对公司其他单位的合规建设形成示范效应。同时将认证后的结果和经营活动强关联,推动业务单位有更大的热情和动机去践行和维护合规体系,并能通过精准化的培训和合规管控点的遵从落地,来进一步了解风险以及提升有效合规体系的管理能力。

此外,审计工作作为合规闭环管理的最后一环,通过完整的审计来识别更加深层的,难以通过单项或多项管控点为主的检查/抽检识别的一线问题,推进整体合规体系的螺旋型上升和动态调整,同时更好地满足企业经营的需求。

六步法的全面实施将后端合规风险管控升级为前端合规风险治理,从业务活动开展的前端避免重大合规经营风险的产生,从根本上改变合规管理疲于风险/危机应对的局面。由此合规管理的价值将不仅仅停留在风险的防范和管控,而是深度结合企业经营,在业务流程中堵漏建制,撬动企业更深层次、更大范围的企业治理,持续维护公司经营安全,提升企业竞争力。

以风险为导向的合规管理体系,侧重于启发各级经营者从风险处思索经营,激发各级经营者的主观能动性,形成其合规经营的底层逻辑和方法论,在经营活动中“知可为,明不可为”,使合规管理切实成为企业经营管理密不可分的部分,更好地指导有限资源下的有效投入,真正助力公司安全前提下的商业可持续。

中兴通讯始终致力于与合作伙伴一起共建以安全为前提的商业可持续的营商环境,共同实现企业的有质量增长,真正践行合规创造价值的终极愿景。

中兴通讯首席法务官申楠致董事、管理人员、员工、供应商以及业务合作伙伴的公开信

恪守商业道德,遵守业务开展所在国的法律法规是中兴通讯在全球合规经营的基本原则。作为深港两地的上市公司,合规经营是中兴通讯的必由之路,也是中兴通讯30多年经营的经验总结。中兴通讯致力于形成高效并有组织的合规运作,将合规制度嵌入到全业务流程,创立合规和业务的融合,致力于实现建立在中兴通讯业务实践基础上的业界一流合规管理体系的目标,使合规成为中兴通讯在商业竞争中的优势。

合规的核心价值在于商业可持续。商业自由度是实现业务量级增长的天然温床,商业可持续则是实现业务的有质增长和成就企业百年老店的前提要件。从当前严监管及企业治理的内外驱动力来说,在商业自由度和商业可持续之间,中兴通讯选择商业可持续。这就决定了中兴通讯所有的规则都以商业可持续作为最优先保障,在安全经营前提下实现管理成本最低和效率最高,以更好地守护中兴通讯客户、合作伙伴、股东、员工及利益相关方的利益。

合规通过与业务与管理的双循环实现规则在具体业务中的落地。合规是企业治理的一部分,合规的内涵及外延很广,包括出口管制、反贿赂、数据保护、海关遵从、劳动用工合规等。中兴通讯加强法律合规专业化团队建设,对重要风险领域进行了细分,并补充专家力量。中兴通讯加大合规资金投入,不断完善出口管制合规体系建设并履行中兴通讯的合规承诺。中兴通讯探索了一套与中兴业务实践相结合的方法,构成了中兴通讯当前整个合规管理体系的核心要素,也即合理规则的制定、全面无死角的培训、坚决的执行和有效稽查。同时中兴通讯也将PDCA循环的模式引入合规业务工作中,创设了业务和管理的双循环模式,从而使得中兴通讯的合规管理成为一套可以被追踪、执行、落地和改进的方法。

三年合规战略,助力合规经营。中兴通讯战略路径分为恢复期、发展期和超越期,中兴通讯坚守合规经营,合规创造价值,秉承“敬畏规则、开放心态、专业做事”。具体说来:
· 恢复期:守护价值,设定公司合规红线,并将合规嵌入业务流程,实现子公司穿透管理;
· 发展期:协同发展,完善合规规则,有效宣贯,营造合规文化,促进执行落地,强化合规稽查,实现闭环管控;
· 超越期:带来增值,树立合规标杆,创建合规品牌,致力于构建与公司业务实践相一致的一流合规管理体系。

迎接5G时代产业链的商业可持续。契约精神是人类社会分工精细化和产业链化得以实现的可能,也是当前全球公司得以汇集百家之长的可能。因此,中兴通讯坚守信用体系,不去损坏产业链中与任一合作伙伴之间的契约关系。中兴通讯追求的不仅仅是自我的商业可持续,也追求客户、供应商等商业伙伴的商业可持续,确保其在与中兴通讯的合作过程中是安全的,双方的商业关系和商业利益可以得到持续性的有效保护。

中兴通讯致力于在安全前提下能够实现商业效率最大化和管理成本最优化,让合规成为员工和合作伙伴的安全带,护航企业的远航。中兴通讯与各合作伙伴携手共创未来,一起赢!

问题一:2018年拒绝令事件之后,中兴通讯在合规体系建设上做了哪些改变?
中兴通讯从合规文化建设、合规资源投入、流程制度建设和专业能力提升四个维度进行了变革或加强。

合规文化建设
进一步明确合规是中兴通讯的战略基石,确定中兴通讯所有的规则都以商业可持续作为最优先保障,在安全经营前提下实现管理成本最低和效率最高;对违规事件秉持零容忍的态度,以更好地守护中兴通讯客户、合作伙伴、股东、员工及利益相关方的利益。董事长和总裁发表全员声明,表达合规建设决心;公司高管作为各自领域合规性的第一责任人签署合规责任状,在各种场合通过内部会议、视频、书面、内部大讲堂等形式进行合规承诺,向全员传递公司建设合规的决心和信心;同时通过持续开展全员合规培训,积极倡导全员监督、内部举报文化以及多方位的外部合作等方式强化合规文化落地。

合规资源投入
中兴通讯继续加大合规资金投入,支持监察团队需求,加强与外部律所及咨询机构顾问的合作,优化GTS(Global Trade System,全球贸易系统)、BPS(Business Partner Screening,商业伙伴扫描系统)、LCM(Legal & Compliance Management system,法律及合规管理系统)等IT工具,加大合规风险评估,推进子公司合规治理等,不断完善合规体系建设并履行中兴通讯的合规承诺。同时中兴通讯对合规领域的人力资源进行了补强,对组织架构进行了优化,建立了在合规管理委员会领导下的穿透式合规管理制度:
加强法律合规COE(Center of Expertise,专家中心)专业化团队建设,对重要风险领域进行了细分,并补充专家力量,设置合理的规则;
扩充专职BU合规团队,通过专职BU合规团队全面覆盖,搭建COE部门与业务部门的桥梁;
在业务部门设置合规POC(Point of Contact,联系人),通过专职BU合规团队与POC相结合的方式实现子公司穿透式合规管理,将合规理念和政策传递到营销、业务一线;
目前中兴通讯法律合规专职人员超过400人,约占中兴通讯员工总数的6‰。业务合规POC约400人。

流程制度建设
中兴通讯对重大合规事项的审议、决策,业务规则的梳理、场景化等方面进行了加强。根据中兴通讯最新人事安排更新合规管理委员会成员,确保中兴通讯高层参与合规决策,业务领导直接对其所管辖业务的合规性负责。将公司级合规制度制定以及其他可能对公司持续经营产生严重影响的重大合规事项的审议与决策纳入合规管理委员会工作界面。中兴通讯更新涉及业务域合规流程和制度,建立了政策->制度->工作指南三级合规规则金字塔体系,将合规检查点内嵌到具体业务流程中;同时通过IT系统的设置,包括不限于LCM、GTS、ECCN(Export Control Classification Number,出口管制分类编码)上线、BPS、Forensics Master(审查大师)等的使用和优化,将合规检查点进行上线IT处理,减少或消除线下人工检查。

专业能力提升
中兴通讯积极与外部顶尖机构,包括Hogan Lovells(霍金路伟律师事务所)、Price WaterhouseCoopers(普华永道会计师事务所)、Deloitte(德勤会计师事务所)等展开广泛合作,协同处理相关合规领域的各项工作开展。同时中兴通讯积极进行能力内化,提升合规规则制定、执行能力,致力于建立符合中兴通讯业务实践相符合的一流合规体系。

问题二:中兴通讯出口管制合规工作的开展情况?
出口管制合规是中兴通讯全体员工的责任,中兴通讯正在采取多项措施提升其出口合规项目,为中兴通讯及业务合作伙伴创造价值。

高层出口管制合规承诺
中兴通讯高层致力于在公司推进全面的出口管制合规。2018年7月26日,李自学董事长和徐子阳总裁向员工发表声明,继续表达了公司高层的出口管制合规决心。与此同时,他们还公布了我们最新的2018年年度出口管制合规政策,并要求员工签署证明以确认其对所有可适用的出口管制的遵守情况。

为出口管制合规增投资源
中兴通讯为出口管制合规领域投入了大量的资源。目前出口管制合规部包括一名首席出口合规官、数名区域出口管制合规总监(任职于中国、欧洲、美洲和中东)以及其他工作于中国和其他国家的总监、经理、主管和支持人员。同时,中兴通讯与外部建立了畅通的沟通渠道并得到了高质量的外部律师团队和咨询团队的广泛支持和指导。中兴通讯计划继续增加该等资源的投入以确保出口管制合规。

发布出口管制分类信息
中兴通讯及其子公司已发布受美国出口管制限制的中兴通讯产品的ECCN,该ECCN列表目前以中文和英文发布在中兴通讯公司网站上。中兴通讯继续与其业务合作伙伴收集ECCN及有关分类信息,以确保公司供应链和分销渠道的出口合规。

更新后的出口合规手册
中兴通讯发布了一份更新且增强后的出口合规手册。手册适用于中兴通讯及其子公司。中兴通讯将继续扩充和更新该手册,并将根据其业务惯例提升出口合规项目。

中兴通讯子公司的出口合规流程
中兴通讯的合规团队,在外部律师和顾问的协助下,已经对中国乃至全球的子公司出口管制流程进行审查和完善。

出口合规培训
中兴通讯及其子公司开展了覆盖全员的出口合规培训,包括全员出口合规意识培训及根据职能进行的有针对性的培训。中兴通讯的合规团队及外聘顾问现正在开发额外的出口合规培训课程,包括线上培训模块。

中兴通讯将继续致力于出口合规,制定和提升其出口合规项目,并与特别合规协调员和监察官进行配合以达成目标。

问题三:中兴通讯反商业贿赂合规工作的开展情况?
中兴通讯始终致力于在全球的商业行为中恪守高标准的道德与诚信;坚决遵守业务所在国适用的反腐败和反贿赂法律,杜绝任何形式的腐败与贿赂。在高层重视和资源的持续投入下,中兴通讯紧密结合业务实际,不断提升与优化反贿赂合规管理体系,定期开展相关业务的风险评估,持续完善风险评估机制,确保公司贿赂风险得到全面、准确的识别与管控。中兴通讯持续优化流程设计,不断加强IT化建设,逐步实现全流程、一体化管控。中兴通讯面向公司全员、关键岗位开发有针对性的反贿赂合规课程,以提高员工的反贿赂合规意识。中兴通讯每年都会定期对反贿赂合规管理体系进行审计和检查,以监督和评估反腐败相关政策的实施。

问题四:中兴通讯数据保护合规工作的开展情况?
中兴通讯遵从全球适用的数据保护法律法规,特别是GDPR(General Data Protection Regulation, 通用数据保护条例), 并将数据保护的要求嵌入各项业务活动的流程中。合规管理委员会是公司数据保护合规的最高管理机构。为了确保有效的落实数据保护各项要求,中兴通讯设置了三道管控防线:业务单位、合规部门、监督单位。根据GDPR的要求,中兴通讯任命了欧洲经济区的数据保护官。中兴通讯引入了数据保护影响评估方法来评估我们的部分产品和服务。在GDPR适用的业务场景中:
初步建立了个人数据字典记录个人数据流;
颁布了一系列数据保护管理规范,覆盖营销、工程服务、IT、供应链、研发、人事等各业务领域,确保全流程有规可依;
建立了个人数据泄露应急响应流程;
建立了数据主体权利响应流程;
建立了数据留存与销毁制度,并逐步嵌入IT流程中;
对适用于GDPR的供应商,规范和优化了其个人数据处理活动的数据保护要求并在管理流程中嵌入了遵从要求。

Reference

  1. 企业规章制度管理与执行合规
  2. 618特辑 | 电商混战,也不可忽视少年的你——未成年人权益保护背景下互联网行业合规要点提示
  3. 网红经济—MCN机构应如何布局法律矩阵
  4. “大文娱”精英律师的思维导图:跨年晚会,至少需要了解这些
  5. 算法治理系列之——智能时代的算法治理