您当前位置:首页兰台资讯专业文章
2021年上市公司合规管理白皮书(三)
发布日期:
2022-03-15



第四部分——上市公司合规管理重点工作

一、建立上市公司合规管理体系

国务院新闻办于2020年10月12日举行政策例行吹风会公开数据,我国上市公司数量已超过4000家,市值约74万亿元,涵盖了国民经济90个行业大类, 上市公司合规管理(以下简称“合规管理”)是指通过上市公司内部决策程序、规章制度、管理流程的有效调整和控制,开展包括风险识别、合规审查、风险应对、责任追究、监督检查、合规报告、制度完善等管理活动,实现上市公司及其董事、监事、高级管理人员、重点管理人员等行为符合并遵守相关法律、法规、规章、规范性文件及监管规定等,避免的合规风险。上市公司应针对上市公司监管要求,依照“体系管理”、“动态管理”、“全面管理”的原则,从组织体系、运行机制、制度体系等多方面建立一套完整的上市公司内部合规体系,有效避免相应的风险。上市公司合规管理体系主要包括组织体系、运行体系和制度体系,三者为相辅相成,组织体系提供了合规管理的实施主体,运行体系建立了合规管理运作的机制,制度体系建立了合规管理的依据。为保证上述合规管理体系能够长效、持续运行,切实保障上市公司和投资者的合法权益,上市公司在搭建合规管理体系时应确保与既有经营管理体系、流程相统筹、相衔接,且随内外部环境变化持续调整和改进合规管理体系。

(一)上市公司合规管理组织体系

上市公司应形成合规管理组织体系,并根据实际情况,明确组织体系内各机构的合规管理职责。一般组织体系分为领导层、管理层和执行层三个层级。

领导层是合规管理组织体系的决策组织,可以是董事会或其下设的专业合规委员会,主要负责批准建立并完善合规管理的组织体系、批准建立并完善合规管理制度体系、批准问题处理方案、批准对相关人员的处罚措施等事项。

管理层主要是合规管理部门,主要负责合规事项的统筹管理,包括向领导层汇报合规治理的情况、向执行层传达合规管理和合规治理的要求、起草完善合规管理制度体系的建议、提出委托处理法案供领导层决策、主导考核执行层合规行为等。管理层是合规管理体系的核心主体。

执行层主要是企业的各个业务运行部门,需要根据合规管理制度和指引规范自身行为、发现不当行为及时报告并根据管理层的处理方案及时纠正不当行为。执行层是合规管理体系的管理组织对象。

通过建立合规管的组织体系,将合规管理从抽象的概念落实到部门行为,从各个组织层级的上传下达实现合规管理信息的充分共享,合规管理问题的及时处理,将某个领域的合规管理纳入管理可控的范畴,形成有效应对的组织结构。

(二)上市公司合规管理运行体系

建立合规管理机制的核心是上市公司根据实际建立合规风险识别、管控、改进和落实的运行体系,上市公司应形成体系化、动态化的长效合规管理运行机制,如下:

2021年上市公司合规管理白皮书(三)


1.合规风险识别和管控机制

风险识别需要企业明确的风险点内容,将全员纳入风险识别主体的范畴,各个部门有不同的合规风险点,需要关注的行为合规内容不同,因此律师需要协助企业建立全员识别风险的有效机制。

在能够有效识别合规风险的前提下,管理层应持续保持合规风险监测。主要是对上市公司股权变动、上市公司重大事项(主要包括上市公司及子公司重大投融资、对外担保、关联交易、同业竞争、信息披露、利润分配等事项)管理、涉及上市公司的具体管理事项(除前述重大项目外的其他管理事项)、重点人员(主要包括上市公司董事、监事、高级管理人员、关键岗位人员)行为、监督机制等(以下合称“上市公司合规管理重点”)是否构成合规风险库中的合规风险进行监测。

在发生或可能发生合规风险时,对应合规风险库进行合规风险识别,确定合规风险是否存在、合规风险发生的原因、合规风险可能产生的影响等。

当能明确识别具体合规风险事件时,则需要及时进行合规风险预警,确保上市公司能对具体合规风险事件及时反应,有效控制合规风险。

2.合规审核和报告机制

合规审核主要是对上市公司合规管理重点进行审核。审核内容包括但不限于具体事项是否符合上市公司、相关部门或单位的权限,具体事项是否履行了必经程序,具体事项的内容是否合规,具体事项依据和内容是否与已有事项内容冲突等。未经合规审核不得实施前述与上市公司相关的具体行为。需注意的是,上市公司的内部规章制度既是合规审核的依据,也是重要的合规审核对象。

此外,除存在或可能存在重大合规风险须及时向上级合规管理机构报告外,合规管理部门应当定期向合规管理负责人报告合规管理情况,合规管理负责人应当定期向董事会、合规委员会汇报合规管理情况。

3.合规检查和整改机制

合规检查和整改机制是一种自上而下的监督机制,有利于发现合规审查与合规监测中未发现的合规风险,全面控制公司合规风险。合规检查方式包括合规管理部门对各相关业务执行部门的合规检查,也包括各业务执行部门的自我检查。

合规检查主要也是对上市公司合规管理重点进行检查。上市公司应结合实际检查情况及时制定合规检查报告,明确合规检查范围、内容、计划与方案;合规检查方法及过程;证据情况及查证属实情况;结果分析及依据;责任追究措施及整改建议。

合规管理部门可根据合规检查情况判断是否完善相关资源配置,是否制定或完善相关制度、规范、流程、指引,是否开展专项整改活动。

4.合规举报和监督机制

合规举报和监督机制是一种自下而上的监督机制,有利于引导员工互相约束和监督,及时预警和识别合规风险,促进上市公司合规文化建设。上市公司应通过建立违规举报制度、违规举报和监督流程规范和指引等方式明确举报的渠道、举报的程序、受理举报的主体、举报事项的处理程序和反馈、举报事项处理结果等,形成合规举报和监督机制。

鉴于匿名举报可能为后续调查及监督产生一定困难,上市公司应鼓励实名举报,鼓励提供线索与证据。实名举报可能面临被受打击报复的可能性,因此应确保对举报者提供有力保护措施,包括但不限于对举报人严格保密、对实施打击报复的被举报人予以严厉惩处。

合规管理部门接到违规举报或发现违规事件时,应就举报事项或违规事件,及时开展调查,并根据调查情况制定调查报告。根据调查报告中的责任追究措施及整改建议内容,落实调查结果。

5.合规责任追究机制

对合规责任进行追究,强化违规处置与问责有利于引导员工自觉合规。

为强化违规问责,上市公司应通过建立合规责任追究相关制度、规范等完善违规行为处罚机制,明晰违规责任范围,细化惩处标准,严格违规行为的责任认定与追究程序。根据合规责任追究相关制度规定,结合检查结果或调查结果,对违规部门、单位或人员,按照上市公司有关制度,分别由各相关部门负责追究问责。

6.合规管理绩效考核机制

将合规管理绩效考核评价结果与各部门、员工考核,干部任用、评先选优、薪酬发放直接挂钩,有利于对员工行为形成有效约束与指导,促成员工合规意识的形成,提高员工行为合规的自觉性。因此,上市公司应建立合规管理绩效考核机制,定期或不定期对员工及各部门合规管理绩效情况进行考核。

首先,建立合规管理绩效指标,包括但不限于部门或员工客观行为符合合规义务库中的相关义务情况,合规管理职责的履行情况,对合规管理的支持与配合情况,执行合规制度的情况,不合规事件处置及问责情况;识别合规风险、应对合规风险的能力,以及程序上符合内部规章制度及规范的要求情况。

其次,收集合规管理绩效信息,对收集的合规管理绩效信息进行分类、分析和评价。应就上市公司的合规管理绩效考核评价整体结果在公司内部进行沟通,让全体员工知晓合规管理运行情况及主要问题,以及合规管理绩效考核机制的落实情况。

最后,对合规管理优秀的部门和员工予以嘉奖,对违规部门和有人予以惩戒。对合规义务库、风险库或合规管理流程进行改善。

(三)上市公司合规管理制度体系

完善的合规管理离不开完善的制度体系支撑,管理制度是合规管理体系的工具,通过建立和完善制度,进一步将合规内容落实为上市公司内部管理内容,从上市公司义务落实为员工行为管理,进一步限缩了管理的内容,有效的控制合规风险。

制度体系从不同角度形成网状管理的布局,从合规事项、合规行为和合规人员多个角度建立立体的规范制度体系,避免管理死角产生。

从合规事项角度,相关制度应集中关注上市公司涉及上市公司重大事项的合规控制,包括股权变动合规、上市公司及其子公司重大投融资、对外担保、关联交易、同业竞争、信息披露、利润分配等事项决策流程合规控制措施等;

从合规行为角度,相关制度应确保上市公司独立性,对信息披露和关键人员行为管理建立有效的控制措施;

从合规人员角度,相关制度应重点关注上市公司董监高人员、关键岗位人员行为合规的控制措施。

二、规范上市公司合规管理重点领域

(一)上市公司法人治理规范运作

法人治理是指通过一套包括正式或非正式的、内部或外部的制度或机制来协调公司与所有利益相关者之间的利益关系,以保证公司决策的科学化,从而最终维护公司各方利益的一种制度安排。近年来,国内上市公司监管机构致力于持续提高上市公司的法人治理水平,完善公司治理的制度体系,也对国有上市公司的规范运作提出了更加严格、具体的要求。在实践中,部分上市公司由于业务和规模的快速发展,在公司法人治理方面存在不能完全适应监管要求的情况,公司法人治理水平和治理能力需要进一步提高,因公司治理缺陷导致上市公司产生重大损失、受到监管处罚等情况时有发生,成为上市公司合规管理的重点领域。

(二)上市公司经营管理规范运作

上市公司运营过程中的涉及的对外投融资、对外担保、关联交易、募集资金使用、财务管理等方面需要加强内部的合规管理,以避免不规范的操作给上市公司及中小股东的利益带来损失,集中反映在上市公司财务管理不规范、财务造假、重大项目决策、关联交易、对外担保等重大事项决策不规范给上市公司带来了重大的损失,进而对中小投资者产生了巨大影响,因此上市公司经营管理规范运作要在健全决策制度的前提下进一步加强规范管理。

(三)上市公司信息披露规范运作

从近几年监管的规律看,对上市公司信息披露的要求日趋严格,对于信息披露不及时、不准确、不充分的事项一旦发现将采取必要的监管措施,这就要求上市公司建立一整套信息披露的规范,做到“应批尽批”。但是从实践方面看,信息披露问题仍然是上市公司需要规范管理的重灾区,对于何时披露、怎么披露、披露到什么程度、是否需要披露等等许多上市公司仍然不得其法,导致收到交易所和证监会的违规处罚。因此上市公司应进一步全面梳理信息披露的要求、范围,并及时总结违规披露的具体情形,形成上市公司完善的信息披露管理体系。

(四)上市公司重点人员行为规范运作

在上市公司规范运作领域,股票交易限制规定指的是在上市公司重大事项发生之前或披露后的一定时间期限内,为防范内幕交易、操纵市场等违规行为,规则禁止上市公司重点人员买卖股票或实施类似买卖股票行为。上市公司重点人员一般只自然人股东、实际控制人、董监高、党委成员、核心管理人员等等对于特定时期交易规范,比如重大事项或披露后时限内、控股股东、实际控制人承诺的限售期等对于交易的限制;对于特定人员交易规范,比如董监高的短线交易限制、董监高对激励股权减持限制、股东股份锁定承诺遵守等;上市公司应进一步完善公司内部对于短线交易、内幕交易、锁定承诺、减持限制等进行全面的合规管理,相关重点人员除应遵守《公司法》《证券法》等法律法规规定的义务外,上市公司应证监会、证券交易所等主管部门对上市公司相关重点人员的履职行为提出的要求和标准,主要包括重点人员行使表决、决策权、保密义务、对关联方的报告、信息披露等行为的相关规定,建立重点人员的行为规范。

(五)上市公司独立性规范运作

上市公司的独立性包括了资产独立、人员独立、财务独立、机构独立、业务独立五个方面内容,根据《国务院关于进一步提高上市公司质量的意见》(国发〔2020〕14号),“控股股东、实际控制人要履行诚信义务,维护上市公司独立性,切实保障上市公司和投资者的合法权益”。一定程度上,上市公司控股股东、实际控制人维护上市公司独立性是上市公司整体价值实现和维护中小投资者权益的重要基础。同时,实践中上市公司控股股东对上市公司进行管理干预、内部控制的现象较为普遍。对于上市公司控股股东、实际控制人某些行为导致上市公司独立性丧失的问题应作为上市公司规范运作的重点关注领域予以管理。

(六)上市公司其他方面规范运作

上市公司针对其他合规管理事项,采取切实有效的措施进行管理,主要集中在股东承诺的遵守、竞业限制的管理、内幕信息管理、董事会秘书规范履职、中介机构规范从业等等,从严建立上市公司内部的合规管理体系,将其他方面的规范运作内化为上市公司管理的一个方面,切实防范上市公司合规管理的漏洞。

同时对于特殊行业上市公司,如金融行业、医药行业、互联网行业、重污染行业、高危行业的上市公司也要根据行业监管的特点在业务、法人治理、财务管理、重大事项决策等方面建立符合行业监管特色和要求的内部合规管理体系。

针对国有控股上市公司,满足国资委关于国有资产监督管理要求的同时,根据证监会对上市公司监管规则明确规范国有控股上市公司各大治理问题同时加强控股股东行为规范管理,切实维护上市公司独立性和国有股东权益。

三、建立上市公司合规管理“五库”


建立了上市公司合规管理的体系,也就搭起了合规管理的框架,框架相当于房屋,而房屋中人的行为才是体系化管理关注的重点。如何让房屋中的“人”,也就是企业员工能够从浩如烟海的法律法规、制度规范中找到行为依据,需要律师为他们提供有效的工具,以便他们能够了解具体的合规要求,拒绝违规行为。

基于此,上市公司构建合规管理“五库”是及其必要的。所谓“五库”即合规依据库、合规义务库、合规风险库、合规制度库、合规指引库,“五库”内容贯穿了合规管理的运行体系,从抽象到具体,从风险识别到行为指引,可以说,有了这“五库”,合规管理这个体系真正有血有肉的落实在企业日常管理中,不再是遥远的概念或法条,而是每一个具体的行为。

2021年上市公司合规管理白皮书(三)


(一)上市公司合规依据库

建立上市公司合规依据库为上市公司提供行为合规的依据。

中国的法律法规、规章制度的范围广泛,规制了方方面面的行为。这就需要将某一合规领域的相关行为规范找到,在此界限之外的法律规章不属于该领域合规管理关注的范畴,避免无端扩大企业合规管理的范围和难度。

合规依据库主要包括上市公司需要遵守的外部依据和内部依据。外部依据包括法律、法规、规章及规范性文件、监管规定、党内法规、相关标准、国际条约、规则、以及行业普遍遵守的职业道德和行为准则,内部依据包括上市公司的章程和规章制度、规范、承诺。需注意的是,承诺主要指上市公司对外自主作出的承诺,包括关于上市公司的承诺和社会责任承诺。

随时间推移,监管机构关注内容变化、国家政策变化,法律、法规、规章及规范性文件、监管规定、监管政策等可能废止或更新,因此,合规依据库并非搭建后即一劳永逸,上市公司应保持定期更新,以便掌握最新的企业行为合规依据。

(二)上市公司合规义务库

建立合规义务库主要是在合规依据的前提下,将上市公司需要切实遵守的合规义务进行归纳整理,明确企业行为合规管理的边界。

在合规管理的制度依据中条款包括概要性条款、程序性条款、权利性条款和义务性条款,合规管理义务库将重点着眼于义务性条款并汇集成库,成为企业管理层、管理机构和人员查询的依据,可以通过合规义务库快速浏览相关规定的具体内容并确定具体要求,为上市公司在该领域的合规管理划定范围,同时为上市公司人员自排合规风险提供依据。

此外,在我国,司法判例及监管案例(违规案例)虽不具备法律效力,但对上市公司合规管理具有重要参考意义。尤其是法律、法规、规章及规范性文件未明确禁止的事项或存有歧义的事项,收集了解司法判例及监管案例,有利于上市公司了解监管逻辑与监管红线,并为合规风险识别后的风险管控及应对提供参考。因此,在搭建上市公司义务库时,将相关义务性条款关联的司法判例及监管案例同时纳入,并与相关义务建立对应关系。合规义务库应与合规依据库保持同步定期更新,以便掌握最新的合规义务。

(三)上市公司合规风险库

合规风险库是企业可能遇到的合规风险的集合。建立合规风险库就是为企业确定在该领域合规管理的对象。

合规风险主要指通过对比合规义务后产生的影响合规目标的不确定性。上市公司合规风险包括上市公司、重点人员(主要包括上市公司董事、监事、高级管理人员、关键岗位人员)及其他与上市公司有所接触的人员因不合规行为引发法律责任、受到相关处罚、造成经济或声誉损失以及其他负面影响的可能性。

以上市公司合规义务库和收集的司法判例及监管案例为基础,梳理上市公司已存在、可能存在或其他上市公司常见的合规风险,并对每一合规风险进行分类,建立上市公司合规风险库。为准确掌握上市公司已存在、可能存在的合规风险,需对上市公司相关事项进行尽职调查、梳理,明确风险点,以便使上市公司合规管理最终落到实处。

上市公司每一次不合规带来的启示,都会成为合规风险库的素材。为确保全面、及时控制风险,应对合规风险库进行动态监测并更新、记录。通过每次更新、记录,上市公司可以动态地、快速地掌握其合规风险管理的重点,并为此建立相应的管控制度。

(四)上市公司合规管理制度库

构建上市公司合规管理制度库是推动合规管理的保证。

上市公司合规管理制度库是指导合规管理工作如何开展、运行,相关人员如何合规履职,合规管理效果如何落实等方面的内部制度集合。

为使合规管理体系能够正常运行,上市公司合规管理制度既应与现有的其他管理制度相互衔接和呼应,同时也要自成体系。因此,上市公司合规管理制度库,总体可分为个三层级:

第一层级是纲领性的行为准则,主要明确上市公司的合规目标、合规方针、实现合规的基本原则等内容。行为准则应考虑上市公司的战略规划、合规组织独立和公司治理程度等因素制定,不应局限于上市公司相关内容,是上市公司整体经营合规的准则。

第二层级是合规管理基本制度,主要明确合规管理框架、合规管理组织架构及职责、合规管理运行机制等内容。合规管理基本制度应考虑公司现有管理结构、部门设置及职责、管理路线等因素制定,以免后续执行存在较大冲突。同行为准则,合规管理基本制度也不应局限与上市公司相关的事项合规管理,是上市公司整体经营合规的基本制度。

第三层级是合规管理专项制度。由于上市公司合规管理属于合规管理的一个重要分支,因此,上市公司主要通过专项制度明确涉及上市公司具体事项的合规管理要求与责任等内容。

(五)上市公司合规管理指引库

建立合规管理指引库是合规管控的抓手。

为进一步促使合规管理制度库能够付诸于实践,上市公司应构建合规管理指引库,通过操作指引的形式将合规管理制度中抽象化、不明确的内容予以具体化、可操作化、规范化,明确合规管理的具体措施、具体流程、具体事项中实施的注意事项。

为使合规管理体系能够有效运行,上市公司合规管理指引库既应与合规管理制度库衔接和呼应,同时也要与现有的其他管理制度和规范、管理措施及流程相互衔接和呼应。合规管理指引库总体可分为个两类:

一是基于行为准则和合规管理基本制度制定的一般性合规管理指引。主要将合规管理组织体系与合规管理体系运行体系结合,以合规风险识别和管控、合规审核和报告、合规检查和整改、合规举报和监督、合规责任追究、合规管理考核机制为框架,明确每一机制中各环节流程及各合规管理组织的职责,形成具备操作性的管理路线。以合规审核和报告机制中的审核环节为例,应通过一般性合规管理指引标明合规审核路线,明确审核主体审核时注意事项,明确审核发现存在或可能存在合规风险的处理程序及要求,明确合规审核记录制定要求,明确审核通过及整改后通过标准等内容。

二是基于合规管理专项制度制定的专项合规管理指引。以上市公司角度,主要以上市公司股权变动、上市公司重大项目管理、涉及上市公司的具体管理事项、重点人员行为、监督机制等合规管理重点为核心,结合合规管理体系与合规专项制度要求,明确每一重点中所涉环节流程及合规管理组织的职责,形成具备可行性的管理路线。以同业竞争为例,应通过专项合规管理指引明确同业竞争审核要点及判断标准,明确如何建立同业竞争台账管理,明确同业竞争事项的特殊审核、报告或决策流程,明确同业竞争相关的信息披露报送流程及要求。

综上所述,上市公司应通过构建上述合规依据库、合规义务库、合规风险库、合规制度库、合规指引库等“五库”,化虚以实,将合规依据落到可行性的合规管理实践中。

第五部分——结语

本白皮书通过对近几年上市公司监管违规案例的数据分析和处罚问题分析,尽管在法律要求和监管层监督的前提下,大量上市公司仍然存在信息披露体系建设的不全面,未能建立合规管理事前、事中、事后的动态体系,财务规范化有待进一步加强等问题,上市公司还未能通过全面的合规管理体系建设,有效控制监管风险。

兰台律师事务所韩玲律师团队在辅导众多上市公司建设合规管理体系方面总结了大量的成功经验,归纳总结了上市公司合规管理的体系建设、合规管理的落地方式以及合规管理的重点领域,为上市公司提供了有益的借鉴。在上市公司合规管理体系建设方面形成了一套完整操作的理论体系和落地框架,以期帮助更多的上市公司在合法合规的道路上实现跨越式发展。


上一篇:合规方「程」式 | 合规定义辨析:合规是一种价值选择下一篇:2021年上市公司合规管理白皮书(二)

相关推荐