上市公司与拟上市公司合规指引（下）

通常而言，根据企业运营所涉及的不同领域和不同环节，企业合规的重点领域主要包括反商业贿赂与反腐败合规、网络安全与数据保护合规、出口管制和制裁合规、市场准入合规、反洗钱合规、反不正当竞争合规、反垄断合规等方面。为使企业在上述重点领域合规运营，企业应当首先遵守合规的基本原则，并同时遵守其在各个重点领域的具体合规要求。

首先，上市公司和拟上市公司在进入境内外资本市场的时候，应掌握以下合规基本原则：[1]

第一，树立风险意识。企业的管理层及员工应当意识到风险无处不在，尤其是在境外上市中，应当有意识地了解他国规范及处罚措施。此外，为强化合规的风险意识，《中央企业合规管理指引（试行）》第四章要求企业应当建立合规风险识别预警机制，对其经营管理活动中存在的合规风险进行识别与评估，同时对风险发生的可能性、影响程度、潜在后果等进行系统分析。此外，对于典型性、普遍性和可能产生较严重后果的风险，应当应当及时发布预警，以避免造成更大的损失。

第二，培育合规文化。恪守诚信和商业道德及遵守法律法规是良好合规文化的核心，也是合规风险防范的基础和保证，还是企业与客户、供应商、投资人、渠道合作伙伴以及所在社区的关系的基础。根据《企业境外经营合规管理指引》第八章的要求，合规文化应作为企业文化建设的重要内容，这意味合规文化不仅应在企业内部进行传播，企业也应当将合规文化传递至利益相关方。企业决策层和管理层应确立企业合规理念，注重身体力行，践行合法合规、诚信经营的价值观，不断增强员工的合规意识和行为自觉，营造依规办事、按章操作的文化氛围。

第三，建章立制。企业应当制定一套完整的合规政策和合规制度，包括公司指导方针、员工业务行为准则、客户准则、业务合作伙伴准则、业务指引等，涵盖基本合规风险管理、员工风险管理、客户风险管理、商业伙伴风险管理、广告／公关风险管理、反垄断／反不正当竞争行为风险管理、出口管制风险管理、反腐败／反商业贿赂风险管理等方面。并辅助建立文件审批流程、进出口筛查流程、数据记录及管理流程等。

第四，专员负责。企业应当设立由公司“第一把手”直属的专门合规管理机构，如合规委员会，或指定相关部门如法律部、审计部、财务部等的专员负责合规管理。由公司首席诚信和合规官领导各级合规官统筹规划安排合规工作，并负责合规培训、合规行为准则制定、投诉与举报热线、合规调查以及奖惩和纠错的执行。

第五，保持合规制度的开放性和弹性。合规制度依赖于各国的合规政策的调整，因此合规管理机构应当定期跟踪各国合规政策，及时更新相关数据及合规准则。

其次，对上述重点领域的不同合规要求，分述如下：[2]

（1）在反商业贿赂与反腐败领域，合规的核心要求包括企业内部设立反商业贿赂规则和会计制度。反商业贿赂规则禁止个人或企业为了获取不正当优势以取得或保留商业机会，向公职人员行贿。而会计规则则要求企业保存准确的账簿和记录，并设立完善的财务内控制度。

结合反腐败和反商业贿赂合规国际实践，企业反商业贿赂合规制度的关键环节包括：风险识别和风险评估→管理层参与和承诺→合规部门或合规人员设置→反腐败政策制定→一般行为准则和程序制定→第三方调查、内部调查→培训、奖惩和举报→改进等，针对上述内容的分析如下：

其一，风险识别和风险评估。企业的合规管理制度应当与企业的风险相匹配，因此需要企业对自身面临的风险进行充分识别和排序。根据英国政府的建议，有关腐败和贿赂的风险识别和评估需要从多方面进行评估，包括国家风险（如企业或客户是否处于腐败高发领域等）、行业风险（如企业或客户所处行业是否涉及自然资源生产行业、大规模基础设施建设行业等高风险行业）、交易风险（如交易是否涉及政府官员、政府采购等）、合作伙伴风险（如合作伙伴是否使用中间商）及企业内部风险（如企业是否提供反腐败培训）等。如果企业经过评估，发现贿赂和腐败的风险较高，则该企业需要针对风险集中领域采取相应的防控措施。

其二，管理层参与和承诺。管理层的参与首先体现在对反商业贿赂的承诺，并且该承诺应当发布在公开渠道供员工了解和查询（比如发布于公司内网、员工行为手册之上）。管理层应在不同的重要场合（如公司年会、年度业绩报告会等）声明反商业贿赂的重要性，以此传达管理层对反商业贿赂的重视、塑造企业合规文化。

其三，合规部门或合规人员设置。合规团队的设置大体上有两种安排，一种是在法律团队中设置，名称多为法律合规部，也有风险管理部、风险控制部/委员会、内部控制部/委员会。另一种是与法律团队并列，为独立的团队，但最终都向主管法律事务的副总裁汇报。合规部门的设置可以有多种方式，但需要保证合规部门或负责人的独立以及充分的资源支持。

其四，公司反腐败与反商业贿赂政策的制定。公司制定的反腐败与反商业贿赂政策，需说明政策制定的目的，声明对腐败和贿赂的零容忍态度，并纳入具体的行为准则、反商业贿赂和反腐败的主要制度。例如，疏通费，礼品，商务宴请和招待，政治献金，社区参与、赞助和慈善事业，使用第三方等，这些是反商业贿赂的关键内容。建议企业可以参照境内外法律法规（如刑法规范、反不正当竞争法及相关规定等）的规定，结合自身实际情况加以制定。

其五，第三方调查。完整的第三方调查应遵循以下四个步骤，即风险评估、第三方调查、采取措施和监督保障。具体而言，风险评估的内容主要包括第三方是否为公职人员以及是否可能与公职人员打交道。而第三方调查主要的关注点在于第三方的股权结构、能力、公共记录资源（腐败记录或不利新闻报道）、商誉（商务引荐）、道德和合规制度等。调查结束后，企业需要对所识别的风险进行标记，并采取相应的应对措施，例如对第三方进行监督以及在合同中加入反腐败条款等。

（2）网络安全与数据保护合规主要涉及个人信息保护方面，即企业在收集个人信息时，应有正当目的，且仅收集一切与数据处理目的相关的必要数据；将收集到的数据进行存储，采用合理技术保证数据的完整性和保密性；同时，企业应当以合法合理和透明的方式来处理个人数据。具体来说，网络安全与数据保护合规的具体实操要求主要包括以下两点。[3]

（3）出口管制和制裁合规即要求企业所有涉及世界上任何国家和地区、其他企业、产品和原材料、终端用途的出口活动，都应当遵守所有适用的有关出口管制的法律、法规和其他规定等要求。

中国企业在进行出口管制与制裁合规的建设时，首先应当开展出口管制与制裁合规体检。出口管制与制裁合规体检可以为企业的制裁合规现状精准画像，从而定制适合自己的制裁合规体系。出口管制与制裁合规体检主要包括企业基本情况摸底、风险评估、企业出口管制与制裁合规体系的有效性评估、制裁合规历史等方面。

此外，在完成出口管制与制裁合规体检后，企业应当对其业务运营中的进行识别、预防与治疗。出口管制与制裁合规体检的目的是为了掌握企业的合规现状，找出薄弱环节对症下药。对于出口管制与制裁风险较高的，宜早搭建或完善自己的制裁合规体系。出口管制与制裁合规体系所应具备的最基本的五要素，即管理层承诺、风险评估、内部控制、测试与审计、培训。

（4）随着“一带一路”倡议的稳步推进，中资企业对外投资的力度不断加大，市场准入合规将成为企业走出去所应关注的重要内容。市场准入合规要求企业在对外国进行投资前，应首先深入了解和遵守目标国关于市场准入和国家安全审查的法律法规和相关政策等要求，例如目标国对于不同行业设置的外资准入门槛等，以免遭受主管机构的处罚并导致巨额损失。其次，企业在对外国投资前，还应了解该外国对外资进入投资行业的规定或相关指南，以对自己的投资有初步的了解与认知。最后，在了解市场准入法律法规以及投资行业的相关合规要求之后，企业在进行投资前，还应明确其具体的投资方式，例如企业可以选择通过直接投资（例如设立公司、合伙企业等）、跨国并购、股权并购的方式进行投资，也可以通过建设-经营-转让 (Build-Operate-Transfer, BOT)、政府和社会资本合作（Public-Private Partnership, PPP）的方式在外国进行投资。[4]

（5）反不正当竞争合规要求企业在处理与竞争对手、供应商、经销商和客户的关系时应当谨慎，不能限制或排除竞争、不能采取诸如固定价格、分割市场、分配客户、联合抵制交易、协议限制产量、串通投标等行为。同时对于已经处于市场主导地位的企业，禁止滥用市场支配地位限制竞争。[5]

应当指出的是，上述内容仅是我们针对关键合规领域所总结的实操要求，除此之外，相关企业仍需要关注反洗钱合规、反垄断合规、知识产权与商业秘密合规等相关合规领域的具体合规要求。

上市公司与拟上市公司是我国经济发展中的关键主体，因此两者的合规经营对于促进我国经济的健康发展至关重要。本部分主要介绍上市公司与拟上市公司在关联交易方面的具体合规要求，以及上市公司的信息披露合规要求。

（1）在上市公司的关联交易方面，合规的核心要求为公司的控股股东、实际控制人、董事、监事、高级管理人员等关联人不得利用其关联关系损害公司利益。通常而言，关联人主要包括关联法人和关联自然人，而关联交易主要是指上市公司或者其控股子公司与上市公司关联人之间发生的可能导致转移资源或者义务的事项。此外，为确保上市公司关联交易合规，上市公司的关联交易应当依照《中华人民共和国证券法》《中华人民共和国公司法》《上市公司信息披露管理办法》《上市公司治理准则》等法律法规及证券交易所发布的规则、指引等规范性文件的有关规定，合法合规进行关联交易、严格履行决策程序和信息披露义务。

而对于拟上市公司而言，其进行关联交易时的合规要求主要是指拟上市公司应完整披露关联方关系并按重要性原则恰当披露关联交易，关联交易价格应公允，不得存在通过关联交易操纵利润的情形，也不得存在严重影响独立性或者显失公平的关联交易。拟上市公司应参照上市公司相关规定及《企业会计准则——关联方关系及其交易的披露》的规定认定关联方及关联交易。

（2）上市公司在信息披露方面的合规要求主要是指信息披露义务人应当及时依法履行信息披露义务，且其所披露的信息应当真实、准确、完整，简明清晰，通俗易懂，不得有虚假记载、误导性陈述或者重大遗漏。近几年，我国资本市场正在进行的注册制改革，更加强调信息披露的重要性。关于上市公司信息披露的合规要求，应主要把握以下几点：（1）信息披露义务人，包括上市公司及其董事、监事、高级管理人员、股东、实际控制人等重大交易相关人员；（2）信息披露文件包括定期报告、临时报告、招股说明书、募集说明书、上市公告书、收购报告书等。（3）上市公司应制定信息披露事务管理制度，明确应披露的信息，董事、监事和高级管理人员的披露职责等内容。

企业合规经营的关键支柱在于合规体系之搭建。要使合规管理形成企业经营的“防火墙”，保护企业免受因合规风险所带来的严重影响或重大损失，企业应当根据其行业特点和经营管理模式搭建针对性的合规体系。而一个行之有效的合规体系搭建，离不开合理的制度和程序、高层参与、风险评估、尽职调查、培训和沟通、监督和审核六大组成部分。[6]  具体而言：  

第一，企业应制定合理的制度和程序，其作为企业合规体系的核心，是企业所有员工履行职责的基本要求。主要分为以下四方面：（1）企业行为准则，这是企业经营管理和文化建设的纲领性文件，包括企业愿景、使命、核心价值观、合规方针、社会责任等方面；（2）企业合规管理制度，这是企业合规部门进行合规管理的程序性规章制度，包括合规组织制度、合规风险管理流程、合规审查流程、违规举报、调查与处置流程、合规报告程序等方面；（3）职能部门管理规章，企业不同的职能部门涉及到不同的合规规范的执行与遵守，例如，管理、财务、人事行政、法务、内控等部门均有相对应的合规规范；（4）业务合规流程，企业各业务领域涉及不同的合规规范，例如传统的业务合规流程、网络安全合规流程、产品合规流程、跨境电商领域合规等，具备较强的专业性，往往需要企业合规部门与业务部门合作制定和修改相关的业务合规流程。

第二，企业合规运作应有高层的参与，形成较为成熟的合规组织体系。[7]  高层参与能够使企业形成上下连贯的合规组织结构，如公司自上而下设立合规委员会、分支机构和职能部门中的合规部门，合规部门直接向公司合规委员会和首席合规官汇报。这样能够确保企业管理层及时识别合规风险并采取应对措施。

第三，企业应建立合规的防范体系，包括风险评估、尽职调查以及培训与沟通。[8]  防范体系针对可能存在的合规风险采取预防性措施，具体而言：（1）风险评估，即定期或不定期地对企业活动中存在的合规风险进行识别与评估。例如，在投融资或收购项目中，企业需要对该项目进行合规风险评估，评估结果作为决策参考，降低企业风险；（2）尽职调查，即合规部门针对已存在的合规风险进行调查和研究，形成合规风险报告，并研究制定和实施降低风险的措施；（3）培训与沟通，企业需要定期组织培训和沟通，一方面能够确保员工了解最新的法律法规、监管规定、企业内部规章制度等方面内容；另一方面也能够保证企业高层管理者与其它层级员工维持一种稳定的沟通，使企业高层管理者的合规理念与态度能够顺畅传达至企业各层级员工，形成合规文化。

第四，企业应建立合规监控体系，包括监督与审核。[9]  监督是指企业的高层管理者或员工在进行业务活动时，都应在其职责范围内进行可持续的管理与监督，检查每一项业务活动是否存在违规行为。审核是指企业的合规部门与审计部门相互独立地对企业活动中的违规行为进行审查，确保企业的合规体系在全球各地得到了良好的贯彻执行。

在全球化背景下，企业之间的竞争已进入到全球价值链竞争的时代，企业合规在国内和国际环境下的重要性日益突出。随着中国经济的快速发展，企业竞争日益激烈，为创建有序运作的市场环境，中国政府对于企业合规性的审查与监管愈加严格。与此同时，欧美及亚洲等多个国家与地区对企业合规提出更加严格的要求，合规已成为跨国企业、国有企业以及大中小型民营企业运作管理中的核心议题。

前期的合规投入以及合规体系的建立能够使企业在以后的运营中降低潜在的合规风险，并有效处理和应对那些可能对企业造成重大损失的风险事件，助力企业业务的稳步增长及业务运营的行稳致远。上市公司和拟上市公司应留意合规不起诉的发展并搭建一个与其业务性质和经营管理相适应的合规体系。我们希望本文能够引起上市公司与拟上市公司建立合规制度的重视，为公司建立相应的合规体系提供指引。