【全文】
2023年2月,全面实行股票发行注册制改革正式启动,北京、上海、深圳三家交易所上市公司数量已突破5000家。随着资本市场扩容,监管从严的信号也持续释放,对于广大上市公司来说,将“监管驱动”转化为“内生驱动”,建立以信息披露为核心的、与上市公司实际相适配的证券合规管理机制已非常迫切。
上半年上市公司被立案的实证分析
行政立案大幅上升
本文根据上市公司的公告进行统计,截至2023年7月15日,沪深交易所共有88家上市公司收到立案告知书(含上市公司实控人、控股股东、董监高等“关键少数”被立案的数据,其中1家上市公司半年内被立案2次,总立案数量为89起),整体数量几乎是2022年同期的2倍。
从月度立案数量来看,平均每月被立案的上市公司超过10家,尤其是4月份以来,几乎每个月都保持15家左右的立案速度。从立案类型来看,因行政违法受到证监会立案调查的共计81起,占比91%;上市公司或其“关键少数”因涉嫌违法犯罪受到纪检监察机关立案的数量也不少,共计6起,占比6.7%;公安机关刑事立案2起,占比2.2%,其中,ST浩源因涉嫌违规披露、不披露重要信息罪被公安机关立案。
信息披露违法占比极高
在行政立案事由中,因涉嫌信息披露违法违规被立案的共计61起,占到行政立案数量的75.3%,占比极高。信息披露已经成为上市公司需首要防范及应对的合规风险。其他较为频发的行政违法案由包括短线交易、操纵市场、借用他人账户等。刑事和纪委监察案件的案由多为涉嫌行贿犯罪、涉嫌侵占上市公司利益罪、涉嫌违规披露信息罪等。
相当部分上市公司内部未建立有效的信息披露管理制度
上市公司因涉嫌信息披露违法违规被立案的一个重要原因,是其内部未建立有效的信息披露管理制度。被立案的88家上市公司中,有21家从未建立信息披露管理制度,占比达23.8%;而建立起信息披露制度的67家上市公司中,仅37家在近三年内制定或修订了信息披露管理制度,其余30家长期未作更新,此类公司占比达34%。可以说,缺乏有效的内部制度约束和内部操作指引是此类公司信息披露违法的主要原因之一。
信息披露成为上市公司首要合规风险
信息披露是注册制的灵魂,由核准制向注册制的转变对信息披露的质量、结构及运行逻辑提出更高的要求。然而,监管现状显示,信息披露已经成为上市公司合规风险的导火索。目前我国的信息披露合规体例本质上属于“监管驱动”下的信息披露合规监管,若仍然单纯依靠“监管驱动”下的重典重罚,而不激活上市公司内在动力机制,信息披露违法违规的风险难以从根本上得到缓解。
不少上市公司主观上仍未对合规予以足够重视
上市公司董监高等“关键少数”在公司治理、合规文化的培育和形成方面具有举足轻重的作用。然而,从上半年立案事由和立案对象来看,依然有相当数量的上市公司“关键少数”的合规意识极为淡薄,主观上未对合规管理予以足够重视。
上半年“关键少数”被立案的数量共计35起,占到所有立案数量的39.3%(部分与上市公司同时被立案,部分系单独被立案)。其中,上市公司董监高因短线交易、违规增减持、限制期交易等权益变动违法被立案的较多,共计9起。还应引起重视的是,上半年有5家上市公司的实控人、控股股东因涉嫌操纵证券市场被立案,这通常属于主观恶意较强的证券违法行为。无论是“无知违法”导致的短线交易,还是故意违法产生的操纵市场,均表明上市公司“关键少数”不重视合规,其合规意识和合规能力均亟待加强。
从监管上看,上市公司证券合规尚未上升为法定义务,约束偏软
我国企业建立合规体系和机制,肇始于银行、证券、保险等金融领域,目前立法上对所有的中央企业提出了合规管理要求。在效力层级上,仅《证券公司和证券投资基金管理公司合规管理办法》和《中央企业合规管理办法》为部门规章,其他几项均为规范性文件。目前,我国仅对证券公司、证券投资基金管理公司、保险公司及中央企业提出了刚性合规要求,其他企业参照相关合规管理指引执行。
在内容上,近年的《企业境外经营合规管理指引》和《中央企业合规管理办法》规定了较为完整的合规管理体系,涵盖合规管理的组织架构、运行机制、合规评价、合规文化等,合规管理的法律内涵得到了丰富和拓展。但总体而言,现有合规管理的规章及规范性文件仍为框架性规定,较为宏观和抽象,专业化和精细程度较低。
在合规管理体系类型上,我国目前的合规管理体系属于“全面合规体系”,这是一种以管理为导向的合规建设思路,强调遵循“保证企业依法依规经营”的理念。遗憾的是,目前我国尚未建立起上市公司专项证券合规体系。
信息披露监管规则尚未能有效转化为上市公司内部制度
不少上市公司内部陆续建立起信息披露管理制度、关联交易管理制度、对外担保管理制度等,但总的来说,上市公司内部制度的文本质量与执行效果不尽如人意。以关联交易信息披露监管体系为例,截至目前,有2481家上市公司制定并公告了关联交易管理制度,仅占上市公司总数量的48%,超过一半的上市公司还未制定内部关联交易管理制度。一些上市公司即便建立起看似规范的“关联交易管理制度”,但仍因为关联交易而受到监管处罚,公司内部制度形同虚设。而有的上市公司长达十多年未对内部的关联交易管理办法进行修订更新,为其实控人利用内部管理漏洞开展违规关联交易敞开便利之门。
上市公司实控人对信息披露的实质影响尚未得到有效约束
从近年揭露的违法案件看,与控股股东和实际控制人相关的案件往往涉及财务造假、欺诈发行等性质比较严重的违法行为,如金亚科技、康美药业、新绿股份的实际控制人财务造假案。一些社会影响恶劣的案件甚至由“关键少数”参与、指使甚至主导,如“抚顺特钢信息披露违法案”,公司连续八年实施财务造假,虚增利润逾19亿元,最终证监会对抚顺特钢及45名高管作出行政处罚;又如“恒康医疗操纵市场案”,公司实际控制人与市场掮客、操纵团伙形成利益共同体,内外勾结,借市值管理之名行操纵市场之实,合谋“坐庄”炒作公司股票,社会影响极为恶劣。
实控人违法更为深层次的原因,在于缺乏有效的内部合规管理体系对“关键少数”的行为进行约束。针对这些问题,既需要监管直接介入,更需要上市公司内部孕育产生一套与公司实际相适配的证券合规体系,进而将外部的信息披露监管规则转化为可以在上市公司内部顺利运行的合规管理体系。
建议尽快构建以信息披露为核心的上市公司证券合规机制
从监管上将证券合规管理明确为上市公司的“规定动作”
对于上市公司来说,证券合规已成为最普遍、最突出的合规问题。证券合规事项主要包括信息披露、公司治理、股份增减持、内幕交易、操纵市场等,这些合规风险一旦发生或发生后处理不善,则可能造成极为严重的后果,甚至给上市公司带来“灭顶之灾”,其中以信息披露最为典型。
证券行业的合规管理实践可作为上市公司证券合规管理的有益借鉴。2007年,证监会选取了7家证券公司启动合规管理试点;2017年6月,《证券公司和证券投资基金管理公司合规管理办法》和《证券公司合规管理实施指引》发布,标志着证券行业的合规管理体系逐步健全。合规管理实行十多年来,尽管证券市场行情起伏,但券商经营总体平稳,再也没有出现过大的系统性合规风险,刚性合规管理为证券行业的长远发展和稳健运行上了一道“保险”。
基于已有的证券合规实践经验,应当将证券合规管理明确为上市公司的“规定动作”和法定义务。具体可参考证券公司合规路径,由证券监管部门制定相关合规管理办法,在部门规章层面确立上市公司的法定合规义务;此外,由上市公司协会或者证券交易所制定专门的合规指引,从证券合规管理的组织、机制、职责、流程等方面为上市公司提供具有操作性的细则指引。
建立完善自上而下的证券合规组织架构
上市公司证券合规事项涉及公司各部门、各层级、各环节。以信息披露事项为例,从上市公司各业务部门和子公司的负责人到上市公司董监高,均对信息披露承担合规义务。因此,在证券合规组织架构上,宜在决策、管理、执行三个层级上建立自上而下的证券合规组织架构。
为保障上市公司内部信息披露合规工作高效、有序开展,应当在董事会下设合规管理委员会,并设立专门的合规管理部作为合规工作牵头部门,在公司各业务单位/子公司建立专职合规团队,实现穿透式合规管理,保障对风险的及时识别和升级。高管层面应设立首席合规官,该职务亦可由其他高管(如董秘)兼任。
在职责分工上,公司董事会有义务履行公司合规经营的责任,应当对公司合规治理和合规管理负总体责任。合规管理委员会和合规管理部负责制定证券合规制度并监督执行。各业务部门合规人员实际上是合规管理真正的完成和实施者,负责识别和排查业务流程中的证券合规风险,发布合规预警;具体落实上级部门的证券合规要求、管理制度和流程;主动开展合规风险识别和隐患排查,组织合规审查;及时向合规管理牵头部门通报风险事项;妥善应对合规风险事件等。
制定完整精确的证券合规规则体系
由于证券监管规则全面且精细,上市公司面临的证券合规风险大多是具体的,是有着明确的监管规则出处的。然而,如前所述,证券监管规则难以转化为上市公司内部制度的原因之一在于规则过于繁杂,以信息披露为例,上市公司的信息披露行为监管规范体系主要包括法律与行政法规、部委规章以及沪深证券交易所发布的自律规则三个层次。现行的证券监管规则是上市公司建立以风险为导向的证券合规管控的依据和载体,对于上市公司来说,证券合规体系建设中的首要工作就是将外部监管规则中的义务性条款分门别类汇集成库,并将如关联交易管理、对外担保管理、股份权益变动管理等高频、易发的证券合规事项的监管规则及时转化为上市公司的内部制度,即“外规内化”工作。
同时,结合上市公司自身的经营、发展需求,构建相适配的三层级规则架构。董事会确定公司经营政策,即公司当前经营的风险偏好和经营红线,以此作为规则第一层级;证券合规管理委员会基于外部证券监管规则确定证券合规总手册,形成规则的第二层级;各专项证券合规结合具体实际业务开展情况,完善合规分册中不同领域的合规内部指引和要求,形成第三层级。
设计有效顺畅的证券合规运行流程
将证券合规管控嵌入业务流程和公司治理是实现风险控制的必由之路。不同的证券合规事项,其识别及应对的方式有所不同,如内幕信息管理、股份增减持合规事项,相关信息的产生、报送、披露过程主要集中于董事会层面,合规管理流程也较为单一,因此,此类证券合规事项尚不构成上市公司的主要合规风险点。
信息披露则不同,信息披露的合规管理复杂很多,信息披露的类型分为强制性披露和自愿性披露,其中强制性披露又细分为定期报告和临时报告;信息披露的主体包含董监高、实控人、收购方、重大交易相关方在内的各类义务主体;信息披露的事项散见于《证券法》《上市公司信息披露管理办法》及证券交易所的上市规则;信息披露的节点又依重大事件的发生过程而有所不同。
定期开展证券合规风险评估与改进
上市公司证券合规管理原则上以风险为导向。证券合规管理委员会下设的各专项证券合规管理部门及各业务单位应当每年定期开展证券合规风险评估,不断更新公司的证券合规风险库。在风险评估过程中,建议聘请具有证券合规经验的第三方中介机构参与其中,采取审阅文档、逐一访谈、问卷调查、数据分析、穿行测试等方式,综合评估上市公司所处的行业、区域、业务规模、交易类型、交易主体等相关因素,尽可能全面、准确地评估实际的证券合规风险,最终形成风险评估报告,提交至董事会。上市公司应当及时、准确地根据外部监管政策变化、实际业务变化和风险变化调整合规管理策略和措施。
同时,上市公司需要对证券合规管理体系设计和执行的有效性开展持续监督,对缺陷和不足项进行自我整改,建立合规绩效考核制度,将合规考核指标作为对负责人、经营管理人员、关键技术人员和员工进行考核的依据。
