企业境外经营合规管理指引
第一章 总则
第一条 目的及依据
为更好服务企业开展境外经营业务,推动企业持续加强合规管理,根据国家有关
法律法规和政策规定,参考GB/T 35770-2017《合规管理体系指南》及有关国际合规规则,制定本指引。
第二条 适用范围
本指引适用于开展对外贸易、境外投资、对外承包工程等“走出去”相关业务的中国境内企业及其境外子公司、分公司、代表机构等境外分支机构(以下简称“企业”)。
法律法规对企业合规管理另有专门规定的,从其规定。行业监管部门对企业境外经营合规管理另有专门规定的,有关行业企业应当遵守其规定。
第三条 基本概念
本指引所称合规,是指企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求。
第四条 合规管理框架
企业应以倡导合规经营价值观为导向,明确合规管理工作内容,健全合规管理架构,制定合规管理制度,完善合规运行机制,加强合规风险识别、评估与处置,开展合规评审与改进,培育合规文化,形成重视合规经营的企业氛围。
第五条 合规管理原则
(一)独立性原则。企业合规管理应从制度设计、机构设置、岗位安排以及汇报路径等方面保证独立性。合规管理机构及人员承担的其他职责不应与合规职责产生利益冲突。
(二)适用性原则。企业合规管理应从经营范围、组织结构和业务规模等实际出发,兼顾成本与效率,强化合规管理制度的可操作性,提高合规管理的有效性。同时,企业应随着内外部环境的变化持续调整和改进合规管理体系。
(三)全面性原则。企业合规管理应覆盖所有境外业务领域、部门和员工,贯穿决策、执行、监督、反馈等各个环节,体现于决策机制、内部控制、业务流程等各个方面。
第二章 合规管理要求
第六条 对外贸易中的合规要求
企业开展对外货物和服务贸易,应确保经营活动全流程、全方位合规,全面掌握关于贸易管制、质量安全与技术标准、知识产权保护等方面的具体要求,关注业务所涉国家(地区)开展的贸易救济调查,包括反倾销、反补贴、保障措施调查等。
第七条 境外投资中的合规要求
企业开展境外投资,应确保经营活动全流程、全方位合规,全面掌握关于市场准入、贸易管制、国家安全审查、行业监管、外汇管理、反垄断、反洗钱、反恐怖融资等方面的具体要求。
第八条 对外承包工程中的合规要求
企业开展对外承包工程,应确保经营活动全流程、全方位合规,全面掌握关于投标管理、合同管理、项目履约、劳工权利保护、环境保护、连带风险管理、债务管理、捐赠与赞助、反腐败、反贿赂等方面的具体要求。
第九条 境外日常经营中的合规要求
企业开展境外日常经营,应确保经营活动全流程、全方位合规,全面掌握关于劳工权利保护、环境保护、数据和隐私保护、知识产权保护、反腐败、反贿赂、反垄断、反洗钱、反恐怖融资、贸易管制、财务税收等方面的具体要求。
第三章 合规管理架构
第十条 合规治理结构
企业可结合发展需要建立权责清晰的合规治理结构,在决策、管理、执行三个层级上划分相应的合规管理责任。
(一)企业的决策层应以保证企业合规经营为目的,通过原则性顶层设计,解决合规管理工作中的权力配置问题。
(二)企业的高级管理层应分配充足的资源建立、制定、实施、评价、维护和改进合规管理体系。
(三)企业的各执行部门及境外分支机构应及时识别归口管理
领域的合规要求,改进合规管理措施,执行合规管理制度和程序,收集合规风险信息,落实相关工作要求。
第十一条 合规管理机构
企业可根据业务性质、地域范围、监管要求等设置相应的合规管理机构。合规管理机构一般由合规委员会、合规负责人和合规管理部门组成。尚不具备条件设立专门合规管理机构的企业,可由相关部门(如法律事务部门、风险防控部门等)履行合规管理职责,同时明确合规负责人。
(一)合规委员会
企业可结合实际设立合规委员会,作为企业合规管理体系的最高负责机构。合规委员会一般应履行以下合规职责:
1.确认合规管理战略,明确合规管理目标。
2.建立和完善企业合规管理体系,审批合规管理制度、程序和重大合规风险管理方案。
3.听取合规管理工作汇报,指导、监督、评价合规管理工作。
(二)合规负责人
企业可结合实际任命专职的首席合规官,也可由法律事务负责人或风险防控负责人等担任合规负责人。首席合规官或合规负责人是企业合规管理工作具体实施的负责人和日常监督者,不应分管与合规管理相冲突的部门。首席合规官或合规负责人一般应履行以下合规职责:
1.贯彻执行企业决策层对合规管理工作的各项要求,全面负责企业的合规管理工作。
2.协调合规管理与企业各项业务之间的关系,监督合规管理执行情况,及时解决合规管理中出现的重大问题。
3.领导合规管理部门,加强合规管理队伍建设,做好人员选聘培养,监督合规管理部门认真有效地开展工作。
(三)合规管理部门
企业可结合实际设置专职的合规管理部门,或者由具有合规管理职能的相关部门承担合规管理职责。合规管理部门一般应履行以下合规职责:
1.持续关注我国及业务所涉国家(地区)法律法规、监管要求和国际规则的最新发展,及时提供合规建议。
2.制定企业的合规管理制度和年度合规管理计划,并推动其贯彻落实。
3.审查评价企业规章制度和业务流程的合规性,组织、协调和监督各业务部门对规章制度和业务流程进行梳理和修订。
4.组织或协助业务部门、人事部门开展合规培训,并向员工提供合规咨询。
5.积极主动识别和评估与企业境外经营相关的合规风险,并监管与供应商、代理商、分销商、咨询顾问和承包商等第三方(以下简称“第三方”)相关的合规风险。为新产品和新业务的开发提供必要的合规性审查和测试,识别和评估新业务的拓展、新客户关系的建立以及客户关系发生重大变化等所产生的合规风险,并制定应对措施。
6.实施充分且具有代表性的合规风险评估和测试,查找规章制度和业务流程存在的缺陷,并进行相应的调查。对已发生的合规风险或合规测试发现的合规缺陷,应提出整改意见并监督有关部门进行整改。
7.针对合规举报信息制定调查方案并开展调查。
8.推动将合规责任纳入岗位职责和员工绩效管理流程。建立合规绩效指标,监控和衡量合规绩效,识别改进需求。
9.建立合规报告和记录的台账,制定合规资料管理流程。
10.建立并保持与境内外监管机构日常的工作联系,跟踪和评估监管意见和监管要求的落实情况。
第十二条 合规管理协调
(一)合规管理部门与业务部门分工协作
合规管理需要合规管理部门和业务部门密切配合。境外经营相关业务部门应主动进行日常合规管理工作,识别业务范围内的合规要求,制定并落实业务管理制度和风险防范措施,组织或配合合规管理部门进行合规审查和风险评估,组织或监督违规调查及整改工作。
(二)合规管理部门与其他监督部门分工协作
合规管理部门与其他具有合规管理职能的监督部门(如审计部门、监察部门等)应建立明确的合作和信息交流机制,加强协调配,形成管理合力。企业应根据风险防控需要以及各监督部门的职责分工划分合规管理职责,确保各业务系统合规运营。
(三)企业与外部监管机构沟通协调
企业应积极与境内外监管机构建立沟通渠道,了解监管机构期望的合规流程,制定符合监管机构要求的合规制度,降低在报告义务和行政处罚等方面的风险。
(四)企业与第三方沟通协调
企业与第三方合作时,应做好相关的国别风险研究和项目尽职调查,深入了解第三方合规管理情况。企业应当向重要的第三方传达自身的合规要求和对对方的合规要求,并在商务合同中明确约定。
第四章 合规管理制度
第十三条 合规行为准则
合规行为准则是最重要、最基本的合规制度,是其他合规制度的基础和依据,适用于所有境外经营相关部门和员工,以及代表企业从事境外经营活动的第三方。合规行为准则应规定境外经营活动中必须遵守的基本原则和标准,包括但不限于企业核心价值观、合规目标、合规的内涵、行为准则的适用范围和地位、企业及员工适用的合规行事标准、违规的应对方式和后果等。
第十四条 合规管理办法
企业应在合规行为准则的基础上,针对特定主题或特定风险领域制定具体的合规管理办法,包括但不限于礼品及招待、赞助及捐赠、利益冲突管理、举报管理和内部调查、人力资源管理、税务管理、商业伙伴合规管理等内容。
企业还应针对特定行业或地区的合规要求,结合企业自身的特点和发展需要,制定相应的合规风险管理办法。例如金融业及有关行业的反洗钱及反恐怖融资政策,银行、通信、医疗等行业的数据和隐私保护政策等。
第十五条 合规操作流程
企业可结合境外经营实际,就合规行为准则和管理办法制定相应的合规操作流程,进一步细化标准和要求。也可将具体的标准和要求融入到现有的业务流程当中,便于员工理解和落实,确保各项经营行为合规。
第五章 合规管理运行机制
第十六条 合规培训
企业应将合规培训纳入员工培训计划,培训内容需随企业内外部环境变化进行动态调整。境外经营相关部门和境外分支机构的所有员工,均应接受合规培训,了解并掌握企业的合规管理制度和风险防控要求。决策层和高级管理层应带头接受合规培训,高风险领域、关键岗位员工应接受有针对性的专题合规培训。合规培训应做好记录留存。
第十七条 合规汇报
合规负责人和合规管理部门应享有通畅的合规汇报渠道。合规管理部门应当定期向决策层和高级管理层汇报合规管理情况。汇报内容一般包括但不限于合规风险评估情况,合规培训的组织情况和效果评估,发现的违规行为以及处理情况,违规行为可能给组织带来的合规风险,已识别的合规漏洞或缺陷,建议采取的纠正措施,合规管理工作的整体评价和分析等。
如发生性质严重或可能给企业带来重大合规风险的违规行为,合规负责人或合规管理部门应当及时向决策层和高级管理层汇报,提出风险警示,并采取纠正措施。
第十八条 合规考核
合规考核应全面覆盖企业的各项管理工作。合规考核结果应作为企业绩效考核的重要依据,与评优评先、职务任免、职务晋升以及薪酬待遇等挂钩。
境外经营相关部门和境外分支机构可以制定单独的合规绩效考核机制,也可将合规考核标准融入到总体的绩效管理体系中。考核内容包括但不限于按时参加合规培训,严格执行合规管理制度,积极支持和配合合规管理机构工作,及时汇报合规风险等。
第十九条 合规咨询与审核
境外经营相关部门和境外分支机构及其员工在履职过程中遇到合规风险事项,应及时主动寻求合规咨询或审核支持。企业应针对高合规风险领域规定强制合规咨询范围。在涉及重点领域或重要业务环节时,业务部门应主动咨询合规管理部门意见。
合规管理部门应在合理时间内答复或启动合规审核流程。
对于复杂或专业性强且存在重大合规风险的事项,合规管理部门应按照制度规定听取法律顾问、公司律师意见,或委托专业机构召开论证会后再形成审核意见。
第二十条 合规信息举报与调查
企业应根据自身特点和实际情况建立和完善合规信息举报体系。员工、客户和第三方均有权进行举报和投诉,企业应充分保护举报人。
合规管理部门或其他受理举报的监督部门应针对举报信息制定调查方案并开展调查。形成调查结论以后,企业应按照相关管理制度对违规行为进行处理。
第二十一条 合规问责
企业应建立全面有效的合规问责制度,明晰合规责任范围,细化违规惩处标准,严格认定和追究违规行为责任。
第六章 合规风险识别、评估与处置
第二十二条 合规风险
合规风险,是指企业或其员工因违规行为遭受法律制裁、监管处罚、重大财产损失或声誉损失以及其他负面影响的可能性。
第二十三条 合规风险识别
企业应当建立必要的制度和流程,识别新的和变更的合规要求。企业可围绕关键岗位或者核心业务流程,通过合规咨询、审核、考核和违规查处等内部途径识别合规风险,也可通过外部法律顾问咨询、持续跟踪监管机构有关信息、参加行业组织研讨等方式获悉外部监管要求的变化,识别合规风险。
企业境外分支机构可通过聘请法律顾问、梳理行业合规案例等方式动态了解掌握业务所涉国家(地区)政治经济和法律环境的变化,及时采取应对措施,有效识别各类合规风险。
第二十四条 合规风险评估
企业可通过分析违规或可能造成违规的原因、来源、发生的可能性、后果的严重性等进行合规风险评估。
企业可根据企业的规模、目标、市场环境及风险状况确定合规风险评估的标准和合规风险管理的优先级。
企业进行合规风险评估后应形成评估报告,供决策层、高级管理层和业务部门等使用。评估报告内容包括风险评估实施概况、合规风险基本评价、原因机制、可能的损失、处置建议、应对措施等。
第二十五条 合规风险处置
企业应建立健全合规风险应对机制,对识别评估的各类合规风险采取恰当的控制和处置措施。发生重大合规风险时,企业合规管理机构和其他相关部门应协同配合,依法及时采取补救措施,最大程度降低损失。必要时,应及时报告有关监管机构。
第七章 合规评审与改进
第二十六条 合规审计
企业合规管理职能应与内部审计职能分离。企业审计部门应对企业合规管理的执行情况、合规管理体系的适当性和有效性等进行独立审计。审计部门应将合规审计结果告知合规管理部门,合规管理部门也可根据合规风险的识别和评估情况向审计部门提出开展审计工作的建议。
第二十七条 合规管理体系评价
企业应定期对合规管理体系进行系统全面的评价,发现和纠正合规管理贯彻执行中存在的问题,促进合规体系的不断完善。合规管理体系评价可由企业合规管理相关部门组织开展或委托外部专业机构开展。
企业在开展效果评价时,应考虑企业面临的合规要求变化情况,不断调整合规管理目标,更新合规风险管理措施,以满足内外部合规管理要求。
第二十八条 持续改进
企业应根据合规审计和体系评价情况,进入合规风险再识别和合规制度再制定的持续改进阶段,保障合规管理体系全环节的稳健运行。
企业应积极配合监管机构的监督检查,并根据监管要求及时改进合规管理体系,提高合规管理水平。
第八章 合规文化建设
第二十九条 合规文化培育
企业应将合规文化作为企业文化建设的重要内容。企业决策层和高级管理层应确立企业合规理念,注重身体力行。企业应践行依法合规、诚信经营的价值观,不断增强员工的合规意识和行为自觉,营造依规办事、按章操作的文化氛围。
第三十条 合规文化推广
企业应将合规作为企业经营理念和社会责任的重要内容,并将合规文化传递至利益相关方。企业应树立积极正面的合规形象,促进行业合规文化发展,营造和谐健康的境外经营环境。