本文作者:朱勇辉、王嘉铭
前言:
上市公司在我国过去20年的经济高速发展过程中扮演着核心角色并担当着重要使命,2000年以前,以IPO审批制为主的A股市场,主要为大型的国有企业提供融资服务,在资本市场经济发展初期帮助很多大型国央企解决了资金问题。2000年以后,资本市场转变为核准制与询价制的IPO,无论是券商占主导地位的“通道制”、还是“保荐人制度”,都活跃了资本市场的IPO进程,自2014年之后,IPO速度伴随市场上涨一路飙升,在推动股权融资稳增长的政策导向下,截至2017年IPO的过会率高达79.3%。[1]然而,如此之“疯”的发行数量自2018年以来遭到不断锐减,IPO审核不断收紧,对已上市公司的监管也日渐趋严,2023年2月1日,经过4年试点的股票发行注册制在全市场推开。随之而来的是监管部门对上市公司的穿透式监管,严查违规减持、财务造假、信披违规等涉众性存在的违法违规行为。
对上市公司刑事行政处罚和刑事犯罪的数据统计每年都在统计更新,以2020年至2023年为统计区间,行政处罚的案件及人数均呈不断上涨之势,近四年同期数据为:受到行政处罚上市公司数量增长率为38%,受到行政处罚的上市公司个人数量增长率为10%。而这其中受到行政处罚的当事人,上市公司的董监高合计占比62.12%,[2]成为了高危的风险人群。尤其值得注意的,在近年执法数据中,以行政处罚为开端、刑事判决为终局的案件屡见不鲜,上市公司的合规性风险已经不单单限于行政处罚,而已经升级进入到刑事程序,刑事风险红线的一旦触及,将会对上市公司产生致命性影响,轻则股票发行终止、无法获得新的融资,重则“ST加身”甚至强制退市,而无论何种结果,都不只是对上市公司本身或涉案关联人员的毁灭性打击,也同样包括对公开交易市场中股票持有者的重创。
由此,本文将以上市公司为聚焦点展开刑事风险的现状分析,以近年来的监管、执法数据为依托,抓取上市公司的刑事风险点,并在此基础上提出相应的合规建议及对策指引,意在为上市公司、尤其是民营上市公司在新形势下的平稳运行提供有益之鉴。
上篇:严监严管下的铁腕治理,上市公司该如何应对?
下篇 上市公司刑事合规指引、对策与建议
上市公司作为公众公司,其经营行为受到广泛关注,也直接关系到公司市值与股票价值,而刑事合规是上市公司治理的重要组成部分,直接影响公司的声誉、股价以及持续发展。因此,加强上市公司刑事合规建设至关重要。结合近几年高发刑事案件中所暴露出的上市公司合规问题,主要包括财务造假、违规信息披露、内幕交易、操纵市场、商业贿赂等等。因此,如何提升上市公司的合规管理质效、如何强化合规体系的内部运作机制、以及如何有效控制和避免刑事风险,这些都是上市公司在当前复杂多变的商业环境中应当持续关注的核心话题。
为了实现高质量的合规管理,上市公司需要不断优化合规流程,提高合规团队的专业能力,并借助先进的技术工具来加强内部监控和数据分析。同时,强化合规体系的内部运作机制意味着要构建一个更加紧密、高效的组织架构,确保合规政策能够在各个层级得到有效执行。此外,通过建立健全的风险识别、评估、监控和报告机制,上市公司可以更好地预防和应对潜在的刑事风险,从而保障公司的长期稳健发展。
(一)通过组织体系搭建合规治理路径
如上图,组织体系的搭建是一个公司完整合规体系的基石,尤其对于上市公司而言,构建有效、可行、轻量化的合规组织体系,是保障上市公司治理层面合规化、执行层面合法化的重要前提。具体到组织体系的架构安排和设计上,应当包括以下方面:
1. 设立合规委员会或合规部门
上市公司应设立合规委员会或合规部门,负责全面领导和管理公司的合规工作。合规委员会或合规部门应具备独立性,直接向董事会或高级管理层报告,并拥有足够的权力和资源来执行其职责。就上市公司而言,合规委员会或合规部门应当基于其职责及权力体系的优势地位,通过分析内部环境与合规风险、监督合规制度及内控管理的执行情况,达到对上市公司体系内部的全维度合规监管。
2. 高级管理层
高级管理层应当对合规风险负有第一责任,应确保合规政策得以实施,合规风险得到有效管理,并在必要时向合规委员会报告。高级管理层中的首席合规官或合规负责人是合规管理的关键角色,应当由他们负责领导合规部门,并确保合规工作与业务战略和目标保持一致。近期上市公司的频频暴雷,无论是公司财务造假、还是高管被调查、亦或实控人被留置等负面新闻,无一不指向公司管理层的合规合法问题,高层承诺是一个公司是否想合规、是否真合规的根本体现。
3. 业务部门和其他职能部门
就上市公司的整体合规架构而言,业务部门和其他职能部门是合规管理的重要参与者。他们应负责在其业务范围内执行合规政策,管理合规风险,并配合合规部门进行合规管理工作。每个业务部门和职能部门都应设立兼职合规员,负责本部门的合规工作,并与合规部门保持密切沟通。就不同行业领域的上市公司而言,需就重点防范的行业性合规风险体现在业务部门的合规政策和制度流程中,如医药类上市公司的商业贿赂合规风险,应重点在关键业务部门和关键岗位的内部合规制度、合规流程及政策中予以明确体现。
4. 内部审计和风险管理部门
内部审计和风险管理部门在合规管理中也发挥着重要作用。他们应定期对上市公司的合规管理工作进行审计和评估,确保合规政策得到有效执行,合规风险得到妥善管理。
5. 明确合规职责和权限
合规委员会或合规部门应明确其职责和权限,包括但不限于制定合规政策、监督合规执行情况、处理合规风险和事件、提供合规培训和指导等。同时,应确保合规职责与其他部门职责的明确划分,避免职责重叠或模糊。
(二)通过制度体系建设合规运行路径
制度体系是合规形态得以运行的框架性保障,上市公司应当从以下几个方面入手合规体系下的制度体系建设:
1. 合规纲领性制度
制定合规纲领性文件,如合规宪章、合规政策声明等,明确上市公司的合规理念、目标、原则和要求,为整个合规体系提供指导。对上市公司而言,更应当注重将证券监管层面的外部规定内化为公司内部的纲领性制度,如将外部监管中的关联交易管理、对外担保管理、信息披露规定等及时转化为公司内部提纲挈领的明确制度,以确保“外法内化”的及时性、有效性、可行性。
2. 合规管理制度
在纲领性制度的下设层级,应当结合上市公司自身的经营范围、业务领域及发展需求,建立全面的、适配的合规管理制度,涵盖合规组织、合规风险识别与评估、合规审查、合规培训、合规报告与监测、合规考核与问责等方面,确保上市公司各部门和员工在履行职责时能够遵循合规要求。
如上市公司常见的内幕交易刑事法律问题,公司内部应建立完善的内幕信息管理制度,指定专门部门或人员负责内幕信息的登记及记录工作,确保内幕信息知情范围的可控性及内幕信息本身的安全性。
3. 业务领域的具体合规制度
针对公司各业务领域,如投资、销售、采购、人力资源等,制定相应的合规制度,明确各业务领域的合规标准和要求。这些制度应与上市公司的业务流程和领域及行业特点相结合,确保业务活动在合规框架内进行。
4. 专项合规指引
针对特定合规风险或合规事项,如反腐败及反商业贿赂、反不正当竞争、数据保护等,制定不同的专项合规制度。这些制度应具有针对性和可操作性,为公司应对特定合规挑战提供有力支持。此外,从纵向来看,不同的证券类违法风险点指向不同的公司内部管理层级,如内幕交易、资金占用及股权增减持等方面,大多指向管理层的合规行为及规制,此种专项指引应更偏重于管理层行为的约束与监督。而如违规信息披露行为,则可能贯穿于上市公司内部多个部门,既包括管理层、也包括业务部门或财务部门等,则需要构建“一行为多部门”的专项合规指引。
5. 合规操作指南与流程
在上市公司的制度体系建设中,应当制定合规操作指南和流程,为员工提供具体的合规操作指导。这些指南和流程应涵盖公司日常运营中的各个环节,确保员工在履行职责时能够明确合规要求,并按规定程序进行操作。
6. 合规培训与宣传制度
建立上市公司合规培训与宣传制度,定期组织合规培训和宣传活动,提高员工的合规意识和能力。培训和宣传内容应包括合规政策、合规制度、合规风险案例等,确保员工对合规要求有充分的理解和认识。如,定期对员工进行内幕交易风险防范培训,提高员工对内幕交易的警觉性和自律性。
7. 合规考核与问责制度
建立上市公司的合规考核与问责制度,将合规表现纳入员工绩效考核体系,对违规行为进行严肃处理。通过考核和问责,强化员工的合规责任感,确保合规要求得到有效执行。
(三)运行流程的合规路径
在上市公司合规体系建设中,合规流程的设计至关重要,它应当贯穿事前预防、事中控制和事后处置三个主要阶段,以确保公司的业务活动、内部人员的行为等始终符合法律法规和内部政策的要求。具体如下:
1. 事前预防
事前预防是合规流程的首要环节,旨在通过预先设定的措施来识别和防范潜在的合规风险。包括以下:
(1)合规审查:在业务活动开展之前,对相关的业务计划、合同协议、产品设计等进行合规性审查。审查的重点在于确保这些活动符合法律法规的要求,不含有违法或违规的内容。审查过程应由专业的合规人员或团队负责,并形成书面审查意见,作为业务决策的重要依据。
(2)强制咨询:对于涉及重大合规风险或复杂法律问题的业务活动,应强制要求相关部门或人员在进行决策之前咨询合规部门或外部法律顾问的意见,如此,可以确保决策者或决策部门在充分了解合规风险的基础上做出适当决策。
(3)风险预警:通过建立风险预警机制,对可能引发合规风险的外部环境变化、内部操作失误等进行实时监测和预警。一旦发现潜在风险,应立即启动应急响应程序,采取相应措施进行防范和化解。
2. 事中控制
事中控制是合规流程的核心环节,旨在确保上市公司的业务活动在执行过程中始终符合公司的合规要求。包括以下:
(1)合规检查:定期对业务活动的执行情况进行合规检查,确保各项活动严格按照法律法规和内部政策的要求进行,同时,检查过程应注重实地调查和证据收集,以形成客观、准确的检查结果。
(2)风险监测:上市公司合规部门应当通过建立风险监测系统,对业务活动中的合规风险进行实时监测和分析,由此可以及时发现和处理潜在的合规问题,防止合规风险的扩大或恶化。
(3)合规报告:上市公司合规部门应当要求各部门定期提交合规报告,汇报本部门的合规工作情况。合规报告的内容应包括业务活动的合规性、合规风险的识别和处理情况、以及人员的遵守及违规、对合规行为的奖励与违规行为的惩戒情况等。合规部门应对这些报告进行汇总和分析,为公司高层提供全面的合规信息。
3. 事后处置
事后处置是合规流程的最后一个环节,旨在对已经发生的违规行为进行处理和纠正。包括以下:
(1)违规举报:建立畅通、公开的举报渠道,鼓励员工、合作伙伴和社会公众对上市公司的违规行为进行举报。对于收到的举报信息,合规部门应进行认真调查核实,并根据调查结果采取相应的处理措施。
(2)合规问责:对于违反法律法规和上市公司内部政策及规定的行为,应依法依规进行严肃处理,并对相关责任人进行问责。问责过程应注重事实清楚、证据确凿、程序公正、处理恰当。
(3)合规考核:上市公司应将合规表现纳入员工的绩效考核体系,对员工的合规行为进行定期评估。通过考核,可以激励员工自觉遵守合规要求,提高公司的整体合规水平。同时,对于在合规工作中表现突出的员工,应给予相应的奖励和激励。
(四)保障机制的合规路径
上市公司合规体系建设,除了完整的制度体系搭建、稳定的组织架构安排之外,其核心生命力亦应当在于对合规体系及制度的运行保障及运行效果。具体包括:
1. 定期或不定期的合规风险评估
为了确保合规体系的有效运行,上市公司需要定期进行合规风险评估,包括对公司的业务流程、管理制度、员工行为等方面进行全面审查,以识别潜在的合规风险。评估结果应为上市公司制定针对性的风险控制措施提供依据,并帮助上市公司优化合规管理策略。此外,当上市公司面临重大变化或突发事件时,也需要进行不定期的合规风险评估,以及时应对新的合规挑战。
2. 穿行测试与随机抽查
穿行测试和随机抽查是检验合规体系运行效果的有效手段。穿行测试是指按照业务流程的实际操作路径,对合规控制点进行逐一检查,以验证合规控制措施是否得到有效执行。随机抽查则是对公司员工、业务部门或合作伙伴的合规行为进行随机检查,以评估合规文化的普及程度和员工对合规要求的遵守情况。这些测试和抽查结果应为公司改进合规管理提供重要参考。
3. 合规培训与持续教育
合规培训与持续教育是确保合规体系持续有效运行的关键环节。上市公司应定期为员工提供合规培训,包括新员工入职培训、在职员工定期复训等,以确保员工充分了解和掌握公司的合规政策和要求,培训内容应涵盖法律法规、行业准则、公司内部制度等方面,并结合实际案例进行分析和讲解。此外,公司还应鼓励员工参加外部合规培训和交流活动,以拓宽视野、提高合规意识和技能。
4. 合规监督与反馈机制
建立有效的合规监督与反馈机制是保障合规体系运行的重要措施。上市公司应设立专门的合规监督机构或人员,对公司的合规管理工作进行定期检查和评估,及时发现和纠正违规行为。同时,上市公司应建立畅通的反馈渠道,鼓励员工、合作伙伴和社会公众对公司本身的合规问题进行举报和建议。对于收到的反馈,上市公司亦应认真调查核实,并及时采取整改措施。
5. 持续改进与优化
上市公司应秉持持续改进与优化的理念,不断完善合规体系。这包括根据法律法规和监管要求的变化及时调整合规政策和制度、根据业务发展和市场变化优化合规管理流程、根据员工反馈和检查结果改进合规培训和宣传方式等。通过持续改进与优化,上市公司可以确保合规体系始终与公司的战略目标保持一致,为公司的长期发展提供有力保障。
注释:
[1]《中国式A股IPO全解析:从发展历程到改革展望》,网页链接:https://mp.weixin.qq.com/s/06JHP7vl_5pYf3P26AVoZA,最后访问时间2024年2月2日。
[2] 《2023年四季度中国A股上市公司刑事行政法律风险观察报告》,网页链接:https://mp.weixin.qq.com/s/4L2NzTpFPi4qb0BNwff2dQ,最后访问时间2024年2月2日。