资讯内容

风险的识别、预警和控制

2021-10-30 15:43 浏览:651

【2020中国企业家十大法律风险】

  

ink="">

  《原则》的作者瑞·达利欧曾说,一个组织最重要的就是建立自己的原则,不管外部环境如何变化,它始终帮助企业保持某种稳定性。这个原则就是企业的价值观和文化,合规作为现代企业的价值观,是在运行和纠错中落实,又在落实中建立和强化的。

  1、风险的识别、评估与控制

  通过调查问卷发现,企业对风险识别的重要性有所关注。75%的被调查者表示,在“识别风险的基础上,相应制定合规程序和流程”,这可以说是静态的合规。但在合规制度的具体运行过程中,“对业务部门开展独立监督,跟进落实合规程序和流程”的选择率是32%、“对不合规情况及时、公开处理,监督改进”的选择率是40%,这组数据说明相关企业对于合规制度的落实还有待提高,这实际上是动态的合规。对于企业而言,识别风险不易,控制风险更难,如何把合规文化和制度落实在每一个业务流程、每一个人,对每个企业而言都是严峻的挑战。

  (1)识别风险

  识别风险可以说是合规的原点,整个合规体系都是基于此建立的。不同的行业、企业发展的不同阶段,可能面临不同的风险。医药行业的商业贿赂、互联网公司的个人信息保护、平台公司的内容审查等,都是常见的风险点。“蒋凡事件”对于小公司可能是茶余饭后的谈资,对于阿里巴巴这样的头部企业,可能就是一次严重的公关危机。所以一定要用发展的眼光识别风险。

  2020年7月,拼多多APP的商家宜买车汽车旗舰店上线“特斯拉Model3万人团”团购活动。拼多多每台车补贴40,000元给购车用户,以抢购成功的用户名义在特斯拉官网上下单买车。原价291,800元的Model3标准续航后驱版,只需251,800元。7月21日,特斯拉声明,未与拼多多或者宜买车合作,并拒绝交付下单车辆,称违反禁止转卖条款。8月14日,此事经新浪科技曝光后,迅速冲上微博热搜。

  拼多多作为平台电商,典型的业务模式是,同时面向买家和卖家。对于买家,拼多多提供商品的展示和选购;对于卖家,拼多多提供平台服务。这个模式的前提是,买卖双方都愿意与拼多多合作,这也是所有市场行为必须遵守的自愿原则。但是在“特斯拉团购”事件中,拼多多未经特斯拉同意,单方通过补贴,实际拉低了特斯拉的正常售价,破坏了特斯拉的直销体系和品牌定位,扰乱了市场。并且拼多多向特斯拉隐瞒了其以用户的名义下单的事实,某种程度上构成欺骗,背离了市场交易的诚信原则。这实际上是拼多多蹭特斯拉的品牌热度,提升其市场竞争力,本质上是一种不正当竞争行为。

  如果仅从合同本身来看,特斯拉得到了销售全款,用户获得正品的汽车,这可能是拼多多认定这一活动合法的立足点。但是,市场的本质是自愿和诚信,所有违背这一原则的行为都是受市场谴责的行为,也是不能长久的商业策略。合规中的“规”,含义本身就是多重的,并不局限于法,还包括伦理规范和社会责任。合规的最终目的,是引导公司成为“良善公民”。所以,企业对风险的识别,不能仅停留在具体的法律规范,还应上升到商业伦理和社会责任,公司应秉持善意和诚信行事,才是真正的合规。

  (2)在发展中识别风险

  我们正身处轰轰烈烈的第四次产业革命,新技术的涌现,使得创新成为这个时代的主题。但是,创新是一个艰难的摸索过程,尤其在以利益为先的商业环境中,有时候“创新”本身也是一种需要识别的风险。

  以国家将首次代币发行(ICO)定性为非法金融活动为例。ICO,是一种为加密数字货币项目筹措资金的常见方式,资金用于项目方启动或项目由概念设计向现实转化。早期参与者可以获得初始产生的加密数字货币作为回报,在项目成功后使用这些代币或者出售获利。最初,它只限于少数极客以及投资者范围,交易平台目的单纯,发展相对健康。早期ICO使得初创企业的融资来源更多样,其创新性是不可否认的。

  由于现有的监管体系和法律体系无法对该项目进行有效监管,带有强烈投机性的资本迅速卷入,使得ICO很容易偏离其初衷。由于它是为加密数字货币筹资,本身就没有任何实体市值,又没有统一的信息披露标准和程序,高匿名性助长了投机和欺诈,最终,交易平台与产业链演变为一个法定货币之外进行资产转移、融资的违规金融市场,滋长了监管套利、金融犯罪。资金也完全偏离项目本身,真正的创业者无法从中受益,其创新性也在“演化”中荡然无存,给金融市场带来极大的风险和社会安全隐患。后期,ICO已经严重变质,从助力初创企业实现改变市场理想的融资工具,变成骗子们圈钱和非法集资的手段。

  2017年9月,人民银行等七部委明确ICO的本质是未经批准的非法公开融资,正式叫停。2019年下半年,深圳、上海、北京的金融监管机构开始加大力度对此进行集中整治。同年10月,号称全球第一会员制加密货币交易所Biss的大部分工作人员以涉嫌洗钱被警方带走调查,12月交易所发布会员清退及补偿方案,进行合规化整改。

  人民银行原行长周小川在谈到虚拟货币的监管时说:“我们不太喜欢创造可投机的产品,让人有一夜暴富的幻想,如果要考虑数字货币,应该考虑为市场带来快捷、安全、效率。同时应该考虑大局,不能和现有的金融秩序相冲突。”当ICO偏离区块链技术,成为一种投机项目时,它不再能为社会创造新的价值,迟早会被叫停。企业必须意识到,对于新业务,尤其是暂时处于监管空白的新业务,一定要进行充分的前置性评估、识别风险,并在发展过程中进行调整。

  在此次问卷调查中,“对创新性业务设置前置性合规审查”、“对于高风险领域规定强制咨询范围”这两个问题,答卷者的选择率在28%-32%之间,数据虽不甚乐观,但和2019年的数据相较,还是能看到风险意识的提高。

  现代社会瞬息万变,在发展中识别风险,才能在发展中解决问题。

  (3)识别境外投资的风险

  随着我国企业大规模的“走出去”,企业对国际通行规则、商业惯例、法律,甚至是文化宗教、政治等因素可能引发的合规风险,应进行充分的识别、评估和防控。2020年,抖音海外版TikTok拓展海外市场遭遇“冰火两重天”。一方面,TikTok深受东道国市场的欢迎,占有率迅速提升,盈利势头良好;另一方面,它也深陷所在国监管危机,面临强制下架及巨额罚款的严厉惩处。监管风险点集中在:数据安全、儿童隐私、内容合规、知识产权等方面。2020年更是从商业领域、法律制度延伸至地缘政治。

  数据显示,2020年1月,TikTok仅在美国的活跃用户中10-19岁的用户占比就高达37.2%,受众定位偏年轻化。2019年,因违反美国儿童隐私法,美国联邦贸易委员会对TikTok罚款570万美元,原因是涉及非法收集13岁以下儿童的个人信息。同期,TikTok遭到了英国信息专员办公室的调查,原因也是在保护儿童数据方面存在涉嫌违反欧盟《通用数据保护条例》的行为。在印度、印尼等宗教信仰深厚的国家,TikTok不重视对平台所涉宗教内容的审查,招致所在国民众的抵制,称其内容引导青年一代“文化堕落”,直接被所在国通信部门“封杀”。在知识产权方面,TikTok更是面临着平台内容“侵权”与“维权”的两难困境。以上事实说明,TikTok没有充分针对所在国的法律和文化习俗,进行风险识别、评估和防控。

  我们必须吸取的教训是,在拓展境外业务之前,一定要根据所在国的法律、监管要求和文化习俗,进行充分的风险识别和评估,并制定出有针对性的合规计划。本次调研,对于企业涉及境外业务时,是否会“对境外投资提供符合投资所在国法律和监管要求的合规建议”,选择率仅为15%,这值得警醒。TikTok在海外遭遇的困境说明,对境外市场缺乏充分的风险识别和管理,已成为中国企业出海的最大软肋。

  (4)有效控制风险

  识别风险的目的,是有效控制风险,但是对风险有认知无控制的情况并不少见。有医药行业受访者提到,企业有合规制度,也能准确识别风险,但是,企业合规工作的重点没有落脚在管理风险,而是切割责任。这一方面固然存在外部环境的问题,另一方面也反映出企业将“合规”作为挡箭牌,而非一种经营理念的现状。

  2019年下半年国家市场总局下发通知,专项治理医药行业商业贿赂行为。从公布案例看,多家知名药企卷入贿赂风波。扬子江药业,自2014年以来,涉及贿赂案件就高达15起;济川药业,营销费用常年高居营收占比的50%,饱受质疑。一般来说,如此成熟的药企应该具备完备的合规体系,为什么仍然问题频出?显而易见,合规徒具形式,纠错机制形同虚设。商业贿赂一直是药企的高发风险点,但是企业合规状况一直没有质的突破,主要是没有有效控制风险,或者是行业陷入“劣币驱逐良币”的困境,难以走出屡查屡犯的泥潭。

  2020年4月,国家医保局征求《关于建立药品价格和招采信用评价制度指导意见》(以下简称“指导意见稿”)的函在业界流传。这一函件显示,国家医保局将采取措施更加严厉打击和治理医药领域商业贿赂和操纵市场行为,如果受药企委托的经销商出现商业贿赂等违规行为,药企需要负连带责任。之前药企通过代理,可以将风险甩锅给经销商,如果这一指导意见出台,就意味着以往的经销商模式将发生变化,药企、经销商都需要进行变革,做好合规。不能有效控制合规风险的药企,注定被淘汰。

  国家医保局将商业贿赂追责至药企,实际上就是以法规明确生态链上的合规责任。在问卷中,对于“有专门针对第三方(包括供应商、经销商、代理、中介等)的合规管理政策”的问题,选择率只有23%,这说明受访者对于生态链上的合规风险认识不足。该指导意见函虽然只是针对药企,但是这预示了立法的趋势。在任何行业中,重视生态链上的合规,才能有效控制风险,净化行业环境。

  2、风险的内部预警

  风险的产生,是一个长期的过程,合规的有效性,也贯穿在整个过程中。企业内部有一套有效的预警机制,对于企业或任何员工的违规行为能做到及时发现、及时报告,及时奖罚,才能通过制度的实际运行,将纸上的制度变现为现实的奖惩,从而让企业中的每一个人在制度运行中建立真正的合规意识,树立合规文化,这才是合规的最终目的。

  内部举报是企业最重要的预警机制,它肇始于安然丑闻之后,美国通过的《萨班斯法案》致力于解决让知道企业违规行为的人有机会内部举报,从而保证合规部门乃至最高层能对违规违法行为及时识别、调查、处理,将风险控制在损害到来之前。内部举报制度成功的基础在于员工有两点确信:第一,企业反对任何违法行为,充分重视内部举报;第二,任何内部举报人都将得到保护和鼓励。内部人是否敢举报,举报后违规者是否得到惩处,举报人是否得到保护,这都是内部举报要产生实效必须解决的问题。某种程度而言,内部举报也是检验合规是否有效的一面镜子。

  访谈者表示,内部举报制度在现实中很少运用,更谈不上有良好的效果。一方面,“碍于情面”、“惮于威压”、“事不关己高高挂起”的观念比较普遍,造成内部举报的动力不足;更重要的是,从举报的方式、途径、调查到举报后对举报人的保护与激励,以及对被举报人的惩处,整个流程的落实与机制设计的目标存在很大的距离。

  对于高管违规,一般员工无人敢举报;即使是合规人员、内控人员,常常看到问题也是束手无策,一旦问题演变为风险和损失,还要承担责任。调查数据也支持了受访者的观察,对于“设置匿名、有效的违规违法举报通道”,选择率仅为27%,“对举报事项进行调查并公开处理”,选择率更是低至21%,如果要处理内部举报信息,企业必须有一套“明确、完善的内部调查机制和程序”,该问题的选择率也只有34%。如果要保证调查的独立性,“聘请外部专业人士参与内部的合规调查”也是有必要的,该项选择率仅19%,这一组数据不仅反映出企业内部预警机制作用十分有限,且在合规调查方面也有很大的提升空间。

  虽然,在“对违规员工进行公开处罚”以及“合规考核结果与任免、晋升以及待遇等挂钩”等涉及奖惩机制落实的选项中,选择率达到了41%-44%,但把这些数字放在很低的举报机制设置背景下,只能说明奖惩机制的落实更不乐观。

  制度本身是静态而没有生命力的。如果企业不能让合规管理制度通过一件件具体的事件切实运行起来,不能透过每一次对员工的激励与惩处,将合规的理念与价值观传递到企业的每一个个体,合规就难免沦为纸上的制度。

  3、积极应对行政监管

  在中国经济转型的过程中,很多领域都面临新旧更替过程带来的一定程度的失序,面对这种失序,行政监管的收紧是不可避免的。对企业而言,就意味着更大的风险。

  以数据安全为例。有统计显示,人类迄今为止生成的所有数据中,有90%是在近两年内产生的。也就是说,数据给予人类的价值与意义,在很短的时期内经历了一个颠覆性的认知。从早期互联网野蛮生长、信息随意收集利用,违法信息、不良信息监管缺位,到今天全世界都将网络安全、数据信息安全作为战略部署。各国立法、司法、监管都在急速变化的认知中,迅速跟进、规范。

  对于互联网催生的新事物,在早期人们认识不足、无法准确定性,在监管上就会表现为“无规则”、“无边界”、“无约束”。这种“三无”状态又会刺激探索行为的激进化,引发问题的暴露。当社会对这种问题与风险的认识逐渐清晰,规则与监管必定紧随其后,纷至沓来。针对APP违规收集个人信息的行政监管就是一个典型的例子。从最初的无规则,行业一片乱象,到规则不断完善,行政监管不断收紧,短短几年时间,APP违规收集、使用个人信息的情况得到有效遏制。据报道,2019年网信办、工信部等四部门联合开展APP违法违规收集使用个人信息专项治理工作,共受理网民有效举报信息12,000余条,针对2,300余款APP开展深度评估、问题核查,对用户规模大、问题突出的260款APP,有关部门采取了公开曝光、约谈、下架等处罚措施。

  其实,监管不是目的,整顿才是。所以,企业应该高度重视监管要求,对监管提示的风险做到积极回应,及时跟进整改、汇报整改情况,与监管部门保持良好的沟通。依据监管要求,优化合规管理,将合规风险阻断在行政监管阶段。根据此次问卷调查,我们看到,有超过半数的企业已经做到依据监管要求,不断完善合规管理与流程。但是,在“建立并保持与监管机构的联系,跟踪落实情况”以及“监督、跟进不合规行为的整改”方面,仍然有80%左右的企业还没有建立起相应的意识,而这才是让合规落地最重要的措施。

  在我国,行政监管与刑事执法紧密相连,对于多次行政处罚后不予整改的,就有移交司法作为刑事案件处理的风险。以深圳快播传播淫秽物品牟利案为例,在被公安机关刑事立案之前,深圳网监部门曾因其涉嫌传播淫秽内容视频给予过行政警告处罚,并责令其整改。但快播公司及其管理者没有开展实质性的风险管理、纠偏工作,在主管部门调查期间,还采取了一系列对抗和逃避监管的行为。最终由公安机关介入,以涉嫌非法传播淫秽物品罪立案调查。在外逃110天以后,CEO王欣落网受审。

  这只是一个大家比较熟悉的案件,其实在很多案件进入刑事司法程序之前,都有行政监管的介入,尤其在逃税、拒不履行信息网络安全管理义务罪等罪,法律规定必须经过行政处罚,拒不改正的才能移送司法。有的案件是以情节是否严重,来界分行政处罚和刑事处罚的界限,比如违规披露、不披露重要信息罪、串通招投标罪、侵犯公民个人信息罪等,但是“情节是否严重“是一个主观判断标准,积极应对行政监管要求,就能最大限度地避免事件发展到最严重的程度。需要强调的是,行政是监管,监管的目的是为了帮助企业改善。如果企业不整顿改善,紧跟其后的刑事诉讼就是严厉的处罚。所以,行政监管某种程度上就是刑罚的预警,对此企业应抱有诚意,积极应对,主动改善。

  总而言之,合规体系是建立在风险识别的基础上,以诚信为价值取向,在发展中识别风险,通过企业内部举报预警,外部行政监管积极纠错,在这个过程中将企业的合规理念落实到实处,提升企业治理能力,才是真正的合规。

  注:本文摘自于北京和昶律师事务所与《财富》(中文版)共同发布的“2020中国企业家法律风险报告”。

相关链接:

网络信息内容生态治理下的平台责任和风险

数据保护助力行业和社会发展

【序言】好的公司是通过制度制约人性之恶 而不是以恶制恶

信息时代的数据安全和个人信息保护、

合规是社会和企业的系统工程

个人信息保护应确立产权观念

公司章程:权益平衡、避免内斗

股权配置——维护公司的“人合性”

发展民营经济就是壮大中国经济的基石

新《证券法》背景下上市公司的信息披露责任与风险

互联网金融企业的创新与风险

高利放贷及其衍生的法律风险

建立合规管理体系,培育诚信合规文化

  

推荐阅读