构建中国企业境外经营合规管理体系的探索与实践

随着全球政治、经济形势的变化，美国、欧盟政府以及国际组织针对跨境投资、融资、贸易等方面在不断加大合规监管查处和惩罚力度，促使企业在全球业务中不断加强合规管理，使中国企业境外的商业行为符合当地法律的规制，并构建符合投资目的国或贸易供应链各国的监管的合规管理体系，防止受到当地监管法律的处罚。

(一) 美国和欧盟等国家对合规管理的监管  

1. 美国的《反海外腐败法》和其他法规对企业的合规监管越来越严苛

2023年3月，美国检察官宣布，爱立信同意支付2.06亿美元的罚款，并承认违反《反海外腐败法》（《Foreign Corrupt Practices Act》,以下称《FCPA》）的反贿赂条款。这是爱立信自2019年因涉及在吉布提、中国、越南、印度尼西亚和科威特贿赂政府官员以及伪造账簿和记录被美国政府根据《FCPA》进行调查并要求支付1,060,570,432亿美元（向美国司法部支付520,650,432美元刑事罚款，向美国证券交易委员会（SEC）支付539,920,000美元民事罚款）的罚款后，于2022年6月再一次被美国立案调查后的结果。爱立信CEO Börje Ekholm在一份新闻稿中表示，根据最新的处罚和认罪协议，“违规问题现已解决。”2019年末，爱立信被迫与美国司法部达成延期起诉协议（DPA），公司同意“在公司加强文化并建立严格的反腐败、合规和控制计划的同时聘用一名独立的合规监督员，为期三年”。

《FCPA》是1977年12月19日由美国时任总统吉米·卡特签署并立即生效，其出台背景和1972年尼克松“水门事件”以及随后的“洛克希德事件”直接相关。《FCPA》主要内容包括会计账目条款和反贿赂条款。会计账目条款要求企业精准记录账目并确保完整的内部审计制度；反贿赂条款则禁止所规定的主体向外国官员提供、支付、承诺支付或授权支付任何金钱，或提供、赠与、承诺给予或授权给予任何有价值的物项或好处，目的是为了禁止特定个人或实体向外国政府官员进行非法支付以换取商业好处的行为。一旦当事人违法，企业和个人可能面临民事和刑事双重处罚。上述案例对爱立信的罚款就分别包含民事和刑事两部分。

美国反腐败执法机构以美国司法部（DOJ）和证券交易委员会（SEC）为主,其中DOJ有权对于政府、公共机构以及其雇员的腐败贿赂行为进行监管、调查和处罚。而DOJ和SEC均可对于私人商业腐败贿赂进行监管、调查和处罚。前述对爱立信的罚款就分别由DOJ和SEC做出。

之所以说美国对外国公司的合规监管最为严苛，不仅是它罚款数额高、监管调查严格，最致命的是其长臂管辖原则。根据《FCPA》的规定，其适用于三类实体或个人：第一类是全体美国公民、永久居民和其他具有美国国籍的人（不论是否居住在美国），以及所有根据美国法律注册成立的公司、企业或其他组织；第二类是在美国证券交易所交易的美国和外国公司（比如阿里巴巴，腾讯，京东），不论是否在美国注册或有美国国籍；第三类是所有在美国领土范围内直接或间接进行腐败支付的个人或实体。《FCPA》经1998年修订之后，管辖范围进一步扩大，将外国企业或自然人在美国境内实施的违反《FCPA》的行为也被列入该法管辖的范围。最为“凶猛”的是，任何外国人或外国公司的雇员，只要是通过美国的邮件系统进行了通信或使用隶属于美国的国际商业工具进行了腐败支付，不论是电话、邮件还是银行转账，只要和美国发生了联系，美国都具有管辖权^[注1]。基于长臂管辖原则，跨国公司在中国的分支机构也属于其监管范围，美国公开资料显示，有将近20家跨国公司在中国因违反《FCPA》而遭受惩罚。

除了反腐败方面的合规监管外，美国政府还对供应链溯源、所谓的劳工人权问题、上市公司监管与企业评价体系等方面有更为详细的监管规定，也从反腐败蔓延到各个行业领域。

2. 欧盟对合规管理的要求越来越全面和完善

2018年5月25日欧盟出台的《通用数据保护条例》（《General Data Protection Regulation》，以下称《GDPR》）号称是“史上最严个人数据保护立法”。

首先，《GDPR》采用属地原则和属人原则将其管辖扩大至欧盟范围以外。根据属地原则，《GDPR》适用于在欧盟境内设有业务机构的组织，只要这些组织在业务机构在欧盟境内的活动中处理个人数据（而不论此类处理行为是否实际发生在欧盟境内）；根据属人原则，《GDPR》适用于“如某一组织虽不在欧盟境内设立业务机构，但却处理欧盟境内个人的个人数据，并且此类处理行为与向欧盟境内个人提供商品或服务相关，无论该等商品或服务是否收费”。因此，根据《GDPR》的规定，只要数据的收集方、数据的提供方（被收集数据的用户）和数据的处理方（比如第三方数据处理机构）有任何一方是欧盟公民或法人，就将受到该法案管辖。这也意味着，任何企业只要在欧盟市场提供商品或服务，或收集欧盟公民的个人数据，都在这部法律的管辖范围。举例而言，如果一家中国在线销售公司的网站上，使用“面向欧洲的特惠产品”、“欧洲区包邮”的字样，或者标注了商品的欧元价格，就可以被视为在欧盟市场提供商品或服务，并受到管辖。

其次，《GDPR》的处罚金额高且对网站经营着要求严苛。《GDPR》规定对违法企业的罚金最高可达2000万欧元（约合1.5亿元人民币）或者其全球营业额的4%，以高者为准。根据DLA Piper 律师事务所最新的《通用数据保护条例》数据违规调查，2022年欧洲出具监管机构针对《GDPR》违规的罚款额达到创纪录的29亿欧元，是2021年的两倍^[注2]。《GDPR》还要求网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录，并获得用户的同意，否则按“未告知记录用户行为”作违法处理。

除了《GDPR》外，欧盟理事会在2022年底批准了《关于扭曲欧盟内部市场的外国政府补贴条例》。该条例预计于2023年年中实施，实施后条例中的制度将成为继经营者集中审查、外商投资审查后，中国公司在欧洲开展经营以及投资活动需应对的一项新挑战。

(二) 以世界银行为代表的国际组织对合规的监管

2019年6月5日，世界银行宣布对中铁建集团（CRCC）及其全资子公司中铁二十三局（CR23）、中国铁路建设集团（国际）有限公司（CRCC International）就格鲁吉亚东西高速走廊改善项目中存在的不当行为实施为期9个月的制裁。该制裁令还拓展到中铁建集团下属730家子公司。根据和解披露的情况，在该公路建设项目的资格预审和招标过程中，上述三家公司编制并提交了中铁二十三局人员和设备虚假陈述信息，以及使用中铁建集团内其他单位业绩的资料。在世界银行的制裁体系中，这些行为被视为世界银行采购指南所定义的欺诈行为^[注3]。

以上案例说明，近年来以世界银行为首的国际组织积极引导与各国政府加强监管力度，我国企业在“走出去”过程中，共同推动着全球企业强化合规管理的发展。紧随世界银行之后，2010年4月，非洲开发银行、亚洲开发银行、欧洲复兴开发银行、世界银行集团、美洲开发银行共同签署的联合执行制裁决议，形成集体执法行动。

世界银行的制裁体系中，适用范围非常广泛，有腐败、欺诈、串通、胁迫、妨碍行为的借款人（包括世行贷款的受益人）、投标人、供应商、承包商及其代理人、分包商、顾问和子顾问、服务提供商，以及上述实体的任何人员都将被列入黑名单，在世行贷款项目中永远或一段时间内不能中标。

同时，从国际组织的制裁措施也可以看出，制裁措施的目的是为了促使和督促被制裁企业建立完善的合规管理体系，依法合规从事经营活动。例如：世界银行的制裁体系设定了以下制裁措施：

1. 附解除条件的取消资格（Debarment with Conditional Release）。指被制裁主体在最低制裁期限里被取消资格，只有当被制裁主体制裁期届满，且采取了有效的措施，建立起有效的合规体系，满足附加的特定要求条件时，方可被移出黑名单，解除制裁。

2. 取消资格（Debarment）。即对被制裁主体取消其在一定期限内参与世行资助项目的资格。

3. 有条件的免于取消资格（Conditional Non-Debarment）。被制裁主体在规定时间内采取改进措施，建立有效的合规体系，或满足附加的特定条件时可以免于取消资格、免于被列入黑名单。

4. 永久或无限期取消资格（Permanent Debarment）。对于世行认为无法满足恢复条件的被制裁主体，可以对其或其控制的企业采取永久或无限期取消资格的处罚。

5. 谴责信（Letter of Reprimand）。对于轻微的违规行为，世行可以发送谴责信加以训诫。

6. 补偿和其他救济（Restitution and other Remedies）。即被制裁方被要求支付赔偿金或采取一些补救措施，补救由于其违法行为而造成的损害。

根据世界银行公示信息，对违法行为的一个基本制裁是“附解除条件的取消资格”，而被制裁主体建立完善内部完整的合规体系与工作流程是达到制裁解除条件的根本条件。

总之，尽管近年来美国和欧盟越来越多地利用合规监管实行贸易保护主义，导致这些法规有如悬在中国企业头上的利剑，使我国众多“走出去”的企业面临的国际执法环境更具挑战和复杂性，但是我们相信中国企业只要能够关注境外合规监管要求，顺应全球合规治理加强的大趋势，按照我国法律和境外经营业务当地国的法律建立境外经营行为的合规管理体系，依法依规开展经营业务，一定不会触碰到“达摩克利斯之剑”，并树立起良好的诚信体系和维护国家形象。

2016年初，国务院国资委印发《关于全面推进法治央企建设的意见》，强调央企要“加快提升合规管理能力”。

2017年5月，中央全面深化改革领导小组在《关于规范企业海外经营行为的若干意见》中指出，要“加强企业海外经营行为合规制度建设”。2017年12月，原国家质监总局、国家标准化管理委员会正式批准、发布GB/T 35770-2017《合规管理体系指南》。

2018年11月，国资委下发了《中央企业合规管理指引（试行）》，明确提出“中央企业应当加快建立健全合规管理体系”。2018年12月，发改委、外交部、商务部、人民银行、国资委、外汇局、全国工商联七部委联合印发《企业境外经营合规管理指引》（以下简称《合规指引》），强调“合规是企业‘走出去’行稳致远的前提，合规管理能力是企业国际竞争力的重要方面”。《合规指引》对于企业对外贸易、境外投资、对外承包工程以及境外日常经营等经济活动的合规提出具体要求。

2019年10月19日，国务院国资委发布《关于加强中央企业内部控制体系建设与监督工作的实施意见》，要求中央企业建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系。

2020年至今，大部分省份均已发布省内《企业合规管理指引（试行）》。

2021年1月，中共中央印发的《法治中国建设规划（2020-2025年）》中着重强调“加强涉外法治工作”，“引导对外经贸合作企业加强合规管理，提高法律风险防范意识”，“讲好中国法治故事”。中国企业已进入全领域、全范围、面向国际的大合规管理时代。

2021年11月18日，国家市场监管总局发布《企业境外反垄断合规指引》（以下简称《指引》），主要目的是为了应对中国企业国际化经营步伐不断加快，境外投资并购和业务活动明显增多，企业反垄断合规风险不断增加的需求。同时，由于各个司法辖区反垄断法律法规非常专业复杂，企业对境外反垄断合规要求了解十分有限。因此，制定《指引》对引导中国企业建立和加强境外反垄断合规管理制度、保障经营者在境外的合法权益具有重要现实意义。

“有效的合规体系”包含两个方面的要求：一是公司要有合规制度、合规组织架构等合规体系的构成要件，建立完善有效的合规管理体系是开展合规管理工作的重要前提和基础；二是确保合规制度在公司经营中得到了有效执行，合规体系建设必须通过从上往下的方式进行，在公司治理结构的框架内进行推动，即通过公司最高层、包括董事会和管理层发出明确声音，并对合规工作给予强有力的、持续的支持。国家发改委相关负责人在《合规指引》答记者问中，总结了境外合规管理经营是需要统筹兼顾的工作，提出了“内外兼顾”“软硬结合”“上下贯通”的原则，为企业开展境外经营活动中合规经营提供的法律指引。根据以上原则，应当从以下几方面入手建立和完善境外经营合规管理体系。

(一) 重视国内合规监管要求，建立内部合规管理体系

首先，了解我国政府各部门已经出台的合规监管规定是建立合规管理体系的基础。只有了解我国各部门对合规监管的要求，才能建立有效的海外经营合规管理体系。例如，除了七部委联合发布的《合规指引》中对合规管理体系的建立进行了概括性规定，在国家市场监管总局2021年11月发布的《企业境外反垄断合规指引》中为企业建立境外反垄断合规制度和防范风险也提供了制度框架和基本要求，尤其是在合规风险重点部分，概述了多个司法辖区对垄断行为的认定、反垄断调查及应对、企业的合法权利、可能产生的不利后果等内容，既有共性总结，也强调不同要求，为企业了解境外反垄断合规基本要求和应对反垄断调查提供了较为全面的参考^[注4]。

其次，制定合规管理制度是建立企业合规体系最直接的措施。在制定合规制度时，应注意两方面问题：

第一，要结合我国已经出台的合规指南或指引，在合规制度中体现合规部门的设立及治理结构的确定、合规事项的范围以及申请和审批、合规文化的建设等内容，同时应注意不同企业适用的监管要求不同，应针对监管重点领域的监管要求制定专门制度。

第二，要了解企业业务、了解合规要求后，根据企业实际状况和需求制定符合企业实际情况的合规制度。只有了解企业业务和合规要求，才能有针对性地制定合规制度。一般地需要借助外部第三方的专业力量来完成这些工作，对企业现状进行全面调查，充分了解企业当前的业务运行模式和情况，对经常出现合规问题的领域予以特别关注，如第三方管理、娱乐招待费管理、产品服务进出口限制、个人信息保护、网络数据安全、反垄断等，从而为后续的识别和发现合规风险奠定基础，也为合规制度的制定奠定基础。具体关注的领域包括：

1. 第三方聘用。通过第三方协助企业开展国际市场开拓，是我国企业进入新的市场领域或业务领域通常采用的一种方式。聘用的第三方如何存在不合规行为将直接影响我国企业在当地的声誉，并有可能承担第三方不合规的法律风险。

2. 业务采购。对于业务采购的合规方面，合规管理制度应当关注招标项目立项审批流程的复核、审阅；对潜在投标人及审批过程的复核、审阅；对评标小组评审过程的复核、审阅，对招标过程有无违反招标程序的监督检查。

3. 业务投标。对于业务投标的合规方面，合规管理制度应当关注如何避免或识别投标工作人员与招标人或其他竞标方有利害关系；如何受理投标过程中对投标合规性的质疑与举报；对于项目投标有第三方合作伙伴参与、与政府或国际组织有关或者需要对招标人的诚信背景等内容进行合规资格审查的，如何对投标项目的合规风险进行评估、分级，并制定相应的风险管控策略。

4. 业务合同。合规的合规管理制度应当设立合同管理机构，配置工作人员。在现有法律审查的基础上，对拟签订合同增设合规性审查程序，以对法律风险以外的其他合规风险进行预防与控制。

5. 业务招待。业务招待合规是企业合规制度的一项重要内容，业务招待必须符合相关法律法规和其他要求，并遵循以下基本原则：礼品与款待不得成为获得不正当利益的途径；礼品与款待不得是现金或现金等价物；礼品与款待的场合、对象、频率、价值、接受者的职位和社会地位不得造成不道德、不诚实或不恰当的印象；礼品与款待的费用必须合理，且用于合法的业务目的；业务所在国法律和习俗允许等。如果礼品与款待不符合上述原则，如在3个月内出现两次以上向同一接受方提供超出象征性价值的礼品，礼品是现金或现金等价物，款待与正常业务活动的开展没有直接关系，或有任何娱乐成分等高风险事项，应依据审批权限事先经过合规官审核并获得有关人员的批准^[注5]。

总之，合规制度不应是生硬冰冷的，也不应是枯燥乏味的，而应是在充分发现企业业务模式及高风险环节的基础上设置专门和针对性的预防风险的机制，且应随着内部合规需要及外部合规要求保持动态持续更新。

(二) 关注经营所在地国家合规要求及变化

企业海外运营合规之“规”的范围，不仅包括本国法律、法规和规章、企业章程及内部规章制度，还包括境外相关国家的法律、法规、各类监管规定、区域性组织及国际组织公约、国际条约、规则和行业准则。所以，海外运营合规管理体系和制度的建立，不仅要符合我国对合规管理的监管规定，还要符合海外运营地所在国的监管法规规定和要求，同时要参照世界银行等有关国际组织的合规要求，借鉴国际最佳合规管理实践，对自身合规管理现状、海外业务特点及市场环境进行细致分析，找出现有合规管理工作与有关要求的差距，构建权责分明的合规风险管理组织机构和合规风险管理制度体系，为企业合规风险管控提供法律保障。就国际贸易而言，要全面掌握业务所涉国家（地区）的贸易管制、质量安全与技术标准、知识产权保护、贸易救济等方面的具体要求；就境外投资而言，要掌握投资目的国的市场准入、贸易管制、国家安全审查、行业监管、外汇管理、反垄断、反洗钱、反恐怖融资等方面的具体要求；就对外承包工程而言，要掌握工程所在国关于投标管理、合同管理、项目履约、劳工权利保护、环境保护、连带风险管理、债务管理、捐赠与赞助、反腐败、反贿赂等方面的具体要求；就境外日常经营而言，要掌握关于劳动用工、数据和隐私保护、知识产权、反腐败、反贿赂、反垄断、反洗钱、反恐怖融资、贸易管制、财务税收等方面的具体要求。在经营过程中，需要时刻关注这些外部监管要求及监管重点的变化情况并及时作出应变。合规体系必须具备敏感捕捉风险信号并在风险评估校准方面具有高效且精准处理的能力，才能称之为“有效”。

例如，2023年3月2日，美国司法部副部长Lisa Monaco称美国司法部的国家安全部门将会雇佣25个新的检察官员重点处理制裁规避出口管制和类似的刑事违法活动，并在讲话中将“制裁”称之为在当今时代的新的《FCPA》。类似这种变化需要我国进行境外经营企业密切关注，随时了解这些国家法律法规的变化，以便制定或修改中国企业的合规管理制度，防范合规风险的发生。

(三) 明确决策、管理、执行各层级责任的同时注重与合规体系的融合

中国企业建立境外经营合规管理体系时，要在深入调研的基础上，按照《合规指引》的原则要求，明确决策层、管理层和执行层的不同责任，并上下层级间得到融合。

1. 决策层——确保合规部门参与决策

在我国很多企业中，法律负责人和法律部门在公司决策的过程中往往“人微言轻”，未被纳入公司的真正决策层，需要通过公司业务部门负责人间接向决策层汇报相关情况，如此，极易导致公司的合规风险被遗漏。例如，在中兴公司因违反美国出口管制法律而受到美国政府制裁之前，中兴公司的合规管理部门没有向董事会直线报告的渠道，而业务部门拥有的决策权力可以轻易突破合规管控，使得中兴公司的合规管理部门没有发挥应有的职能。中兴事件暴露了中兴公司合规管理体系的重大缺陷，事后，中兴公司重组了法律及合规管理部，将合规职能从法律部门分离，建立了独立的合规管理部门，并聘请合规专业人士，保证合规部门的独立性。

而合规负责人参与决策的另一种错误极端方式则是，在设立合规部门及合规负责人后，管理层将合规责任一揽子推至合规部门，导致合规部门不仅未真正参与决策，反而成为“背锅”的角色。如前所述，合规体系的建设需要合规部门与业务部门共同建设，甚至有些情况下业务部门的有效介绍、沟通和判断比合规部门所起的作用更大，因此公司的决策层应重视合规部门的同时，还应给予实质性的支持，以发挥其表率作用。

2. 管理层——设置独立的合规部门

《合规指引》明确要求各央企设立合规委员会，承担合规管理的组织领导和统筹协调作用。同时，由法律事务机构或其他相关机构为合规管理牵头部门，组织、协调和监督合规管理工作，并可以由总法律顾问担任合规管理负责人。合规管理牵头部门独立履行职责，不受其他部门和人员的干涉。

合规部门不同于公司法务及公司内控部门。三个部门虽有职能重合的部分，但却在本质上不同。一方面，合规本质上属于公司治理的一部分，合规管理中对于企业规章制度、道德规范的遵守以及对于合规文化的培养，企业法务职能未能全部覆盖；另一方面，内控管理的目的是促进企业的提高经营管理效率，合规管理的目的是有效防范违规风险，内控管理和合规管理目的的差异决定了两者管理事项虽然存在交叉，但侧重点有所不同。

为保证合规部门的有效运作，在设置合规部门时还需要保持合规部门的独立性。一方面，合规部门履行职责不应受其他部门和人员的干涉，不应承担与合规管理相冲突的其他职责；另一方面，为保证合规部门履职尽责，避免合规部门滥用权力，还应设置对合规部门的监管和考核部门。

3. 执行层——配合合规审核流程

企业合规是全方位的工作，监管部门对企业是否合规、是否建立有效合规体系的判断，也是基于对包括所有业务部门员工在内是否遵守合规制度的考察。在执行层方面，需要重视合规审核的意义、树立合规审核意识、认真对待合规审核工作、接受合规管理考核。

(四) 自上而下地培育合规文化，从合规制度与合规文化共同促进合规管理体系的建设

“软硬结合”的原则要求中国企业不仅要制定和完善合规制度这些文字化的直接措施，还要在企业内部自上而下地培养合规文化，使合规文化深入到企业每一个员工。

除外在的制度建设，培养员工的合规意识是从内在驱动确保合规制度不会流于形式的重要保障。很多发达国家的执法机关和政策制定者要求公司植入合规文化，例如在美国证券业务委员会和美国司法部的很多执法文件中，都已将“加强合规文化建设”这一要求作为合规补救措施中的标准要求；经合组织在其《内部控制、道德和合规的最佳实践指南》中规定公司董事会、高级管理层要对公司内部控制、道德与合规项目或反腐败措施提供强有力的、清晰可见的支持与承诺；我国的《合规指引》也已将合规文化培育及文化推广作为构建企业合规管理体系的重要内容。

培育诚信合规的文化对于合规体系在公司的有效运行至关重要，合规文化是连接企业内部各个层级的无形纽带，培养合规文化重在培养每一位员工的合规意识，中国目前除银行业保险业等个别行业外，企业及其人员对“合规”的认知较浅，企业及其员工在无处理重大合规事件的经验感受的情况下，如不加强合规意识的培养的和合规文化的培育，很容易导致合规制度及其执行和考核流于形式，无法抵御重大合规风险的侵袭。在实践中，上下联动的合规文化通常由公司董事长或CEO发布公开的书面声明或者公开信，向外界介绍公司的合规体系建设计划和合规行为准则，对内部可以起到向公司各级管理层和每一位员工传达公司对合规体系的支持和承诺，并告知全体公司员工每个人都需要遵守的公司合规行为准则；对外部可以起到向公司的商业合作伙伴、业主等外部利益相关方传达公司建设合规体系的信息和即将采取的合规标准，同时告知利益相关方在与公司进行商业合作时也需要遵守公司的合规要求。

从最近几年美国针对我国企业的合规事件看，暂且不论美国长臂管辖的合理性，这些事件足以提醒中国企业在处理海外合规问题时，应树立合规意识。在树立合规意识、培养合规文化方面，中国企业的决策层及管理层应起到引领作用，树立“做对的事情”的企业文化，而不仅仅是“以对的方式做事情”。这是因为，后者往往默许甚至鼓励企业员工变通规则以达到商务目的，最终的结果是企业员工将逐步由变通规则演变为违反规则。

海外业务与国际关系以及业务所在国政治经济形势变化关系密切，因此合规体系的建设是一项长期工程且不是一成不变的，中国企业要随时关注国内外合规监管法规，定期评估内外部风险，持续对合规体系进行调整和完善，以适应新的发展形势。合规没有完美的终点，中国企业的海外运营合规管理体系需要与时俱进、持续改善以满足国际业务风险管控的需要，真正实现为企业国际化可持续发展保驾护航的目标。

（本文为国浩跨境投资业务委员会副主任徐文莉在第五届国浩法治论坛上的演讲。）

【 特别声明：本篇文章所阐述和说明的观点仅代表作者本人意见，仅供参考和交流，不代表本所或其律师出具的任何形式之法律意见或建议。】