今年一月,最高检发布了第四批刑事涉案企业合规典型案例,进一步拓展了刑事合规整改在企业类型、涉及罪名和整改方向的边界,也给刑事合规的必要性和法律实践的完善注入了又一剂强心针。近四年来,随着刑事合规法律制度的研究和实施,对于合规计划的关注重心已经从以“形式合规”为导向的制度内容转移到了如何确保合规制度能够真正落实的“实质合规”之上。其中,无论是对于参与整改的涉案企业、合规律师,还是作为监管者和引导者的第三方机构、检察机关,如何判断合规制度能否顺利落地并在相当长的时间内平稳运行,可以达成整改的效果和风险隔绝的目的,都是相当核心的一个问题。而这个问题的解决,有赖于对于“有效性”这一概念的理解。
一、有效性的标准尚不明确
目前我国并未就刑事合规相关程序和实质问题进行专门立法,与合规整改相关的制度规范散见于多份意见、办法、指南之中,甚至学理研究的对象都更多仰赖于他国和国际组织近两年来所出具的规范。
(一)现有企业合规指引尚显不足
2006年,原银监会现中国银保监会发布了《商业银行合规风险管理指引》,对以银行为主体的金融机构提出了合规制度简历的基本要求;2007年,原保监会现中国银保监会发布了《保险公司合规管理指引》,参照银行合规要求对保险公司提出了规范要求,(本法规被《中国保监会关于印发<保险公司合规管理办法>的通知》所废止)。2008年,以财政部为首,联合证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》,对设立于我国境内的大中型企业提出内部控制要求,并鼓励小企业和其他单位参照执行。2016年,国务院国资委在中国石油、中国移动等五家央企进行合规试点。2018年,国务院国资委制定了《中央企业合规管理指引(试行)》,国家发改委等部委联合制定了《企业境外经营合规管理指引》,以及去年下半年施行的《中小企业合规管理体系有效性评价》。
近20年来,虽然就合规这一主题已经出现了相当数量的规范,然而这些规范制定的主体集中在分管的部委之间,以特定领域为设计对象,具体规范内容亦相对抽象和概括,缺少指导合规实践的具体实施细则。同时,虽然刑事合规整改是单独的一个类别,但由于刑事罪名所涵盖范围的广阔性,即便排除一些几乎不可能涉及合规整改的罪名,其能囊括的公司类型、经营领域仍然相当广泛,小到三十余人的家族企业,大到雄踞一地的实业巨头,最高检第四批指导案例更是将外资企业罗列其中。因此以企业类型或者所处行业为适用对象所制定的相关合规体系规范,对于刑事合规整改的借鉴意义不大;对于合规制度建立后是否能运行,如何设计等问题,上述制度也并未提及,难以适用。
其中,最有借鉴意义的或属《中小企业合规管理体系有效性评价》。该份文件除了在评价方法上采取了文件审阅、问卷调查、访谈调研、飞行检查、 穿行测试、感知测试、模拟运行等多项措辞以外,还根据中小型企业的企业规模设置了独到的管理机构设置形式、风险识别方式、风险应对和持续改进方式以及合规文化建设等多个方面。最值得称道的地方在于该份文件用了与全文等量的笔墨制作了大量附件,以表格和量化的方式制定了较为契合中小型企业的合规评估方案。无论是从其内容的配适性还是考核标准的具体量化性,该份有效性评价文件都有更多关注的价值。
(二)最高检所制定的涉案企业合规评估准则应作为主体
2022年1月,最高人民检察院、司法部、财政部、生态环境部、国务院国资委、税务总局、市场监管总局、全国工商联、中国贸促会发布了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》实施细则》,详细说明了合规整改第三方监管机构的职权范围、职级划分、组织运行、监督启动和实施评价等多个方面,为企业在合规整改方面提供了一定参考价值,但上述规范更多是以第三方监管者为视角,聚焦于企业合规整改在验收方面的要求。同年4月,中华全国工商业联合会,最高检,司法部,财政部,生态环境部,国务院国有资产监督管理委员会,国家税务总局,国家市场监督管理总局,中国国际贸易促进委员会联合发布了《涉案企业合规建设、评估和审查办法(试行)》,为企业合规整改提供了宏观的指引,明确的程序阶段的划分和基础的规范要求,很大程度上解决了合规规范的空白,但就具体实施的方式与企业差异化的处理办法,碍于篇幅该《办法》并未做更深入的讲解。但其对于合规风险的识别、违规行为的惩处、合规制度的构建、财务制度的支持和日常监管应对制度的构建乃至合规文化的规定已经在很大程度上解决了合规整改到底需要“做什么”的方向性问题,只剩更为细化的“怎么做”等待解决。
(三)各国及国际组织所提供的合规规范文本可作适当补充
1. 美国联邦量刑委员会:《组织量刑指南》2010
1991年版的《组织量刑指南》一直被认定是企业合规正式诞生的标志,因为这意味着如果企业能拿出充分的证据证明其在案件发生前已经努力建立意在控制违法行为发生的内部规范体系,那么在量刑裁决的过程中会因为这种努力而减轻甚至免除处罚。这种将事前合规与责任豁免进行深度绑定的规范为企业带来了充分的合规内驱力,虽然我国目前的刑事合规整改集中于事后合规的领域,但亦契合我国《刑法》惩前毖后治病救人的方针。
《组织量刑指南》一直采用要素法来评价合规计划的有效性,最初的版本包括:(1)以防范潜在风险为目的设计合理的合规制度;(2)公司高管对企业合规的内容和执行充分支持;(3)将符合合规要求的道德规范作为企业招聘和晋升的标准之一;(4)定期开展合规培训和教育;(5)定期对合规制度进行自我评估,展开内部监督和处理;(6)注重奖惩情况的平衡;(7)发现违法犯罪行为后采取纠正措施。
然而这种突出要点的有效性标准很快就得到了企业的适应,企业合规快速转变成为照着清单一项项打钩的形式合规,对于企业是否能够具体执行,要素审查正在失去控制力。因此联邦量刑委员会在2004年对有效性七要素进行了修改,强化了组织领导者的作用和责任,并着重强调了企业内部合规文化的建设,这一版本的有效性七要素在2010年又一次被修改,提升了首席合规官的地位,并再次突出合规文化建设的作用性,希望通过自发的认可来弥补约束力的不足。
有效合规七要素的提出本意是为了避免企业走向纸面合规和形式合规的窠臼,然而其强调踩点得分的形式,恰恰鼓励了企业以拥有这一要素为主要目的,而不在意该要素是否发挥实际作用,反而大量促进了企业以纸面合规的形式换取潜在刑期上的减免,最终只能不断提高负责人在制度中的作用,并强调文化建设的重要性,试图通过上下一致来解决这一难题。然而过度强调管理层的权限,却又忽略了高层独断决策可能带来的刑事风险,最终难以两全。
2. 美国司法部刑事部门:《公司合规计划评价》2020
为进一步解决企业合规评估的有效性问题,美国司法部刑事司在原有《组织量刑指南》的基础上发布了更加实质化的《企业合规计划评估指南》。该指南将企业合规的全部工作分为了若干个部分:(1)潜在行为的分析和补救;(2)中高级管理人员;(3)自治和资源;(4)政策与程序;(5)风险评估:(6)培训和交流;(7)机密报告和调查;(8)奖励和纪律措施;(9)持续改进、定期测试和审查;(10)第三方管理;(11)并购。也为了避免重蹈要素化严重的覆辙,评估指南在每一个板块后都列举了检察官在审查时可能遇到的诸多常见问题,以此作为指导具体实践的细则,并将上述问题归纳为三个板块:(1)公司如何处理和再预防违规的行为的发生;(2)由谁来负责全部合规制度的实施,其是否能做到足够独立,(3)合规制度和业务制度之间的紧密程度。
在此基础之上,《公司合规计划评估指南》经历了2019年和2020年两次修改,将要素和板块进一步融合,归纳为三个核心问题:(1)合规计划是否设计合理,(2)合规计划是否得到认可并加以施用,(3)公司的合规计划在实践过程中有无起到作用。三个基本问题,往下又可以分为风险评估、奖惩机制、定期审查等子标题,更是将原有的百余个问题,扩充到了160多个。相较于2019年版,2020年版将第二点中的表述从“有效运用”,改成了“有足够的资源和权限来保证有效运行”,进一步将有效性的表述落到实处。以制度设计下的合规培训这一小点为例,该指南就专门设计了每次培训应当关注的问题、各不同的岗位应当接受如何差异化的培训、培训的形式、内容以及效果验收等细节,并单独设立了沟通、违规惩处、政策引导等多个独立专题,帮助企业在设计相关培训时提供方向,大大强化了实践性,同时各个环节都设计验收反馈环节,也使得首席合规官可以自下而上地了解不同员工对于合规培训的参与程度和对于公司内部政策的熟稔水平。
强调资源既是该有效性评价的进步和亮点所在,同时也是其在推行上的难点。相较于以事前预防换取事后免责的美国环境,我国的刑事合规整改集中于事后整改,因此全面铺开并非最优选择,然而以核心问题的形式引领合规计划的审查者,并作为企业制定合规计划的方向仍具有相当强的实践价值。
3. 国际标准化组织:《ISO37301合规管理体系标准》
2014年国际标准化组织发布了《ISO19600 合规管理体系指南(2014)》,受到广泛认可,我国于2017年等同采用ISO19600:2014《合规管理体系指南》,制定了GB/T35770-2017《合规管理体系指南》。2021年 4月13日,国际标准化组织发布的《ISO37301 合规管理体系标准》正式实施,从推荐性标准变为可认证性标准,并新增了包括对上下游企业的风险审查、管理层决策过程优化、合规文化、第三方聘任、内部调查检举和处理等多项调整。
ISO37301采用“计划”、“执行”、“检查”、“改进”的四块内容,在划分板块和要素的过程中便天然地解决了合规制度内部的问题,并以企业内部调整作为考察视角,大大强化了制度的可操作性。同时,由于该标准设计时所考虑的标准用途就是作为政府机构监管的依据和作为司法机关对违规企业量刑与监管验收的依据,因此其在设置时不但考虑到了以要素设置的方式保证企业最基础的合规框架完善,同时也以附录形式为组织实施合规管理体系提供了有关方法和措施的建议。就其完整程度来看,具有很强的可借鉴性。然而需要注意的是,正因为ISO37301足够完善,在实践过程中这一标准显得过于苛刻了。ISO37301发布至今已近两年,但获得认证的境内公司屈指可数,如果完全按照ISO37301作为是否符合刑事合规整改的标准,恐怕合规不起诉制度将成为空中楼阁。但不可否认,其按照合规计划的形成到完善的四步分类相当有效,在细节上亦有详尽的指引,可以成为合规有效性评价的重要依据。
二、有效性标准的不同理解
(一)涉案企业的诉求在于通过合规评估考核
由于我国刑事合规整改的特殊性,涉案企业在整改期间具有非常强大的内驱力,对于他们而言,合规整改是否有效将会决定公司和高层管理人员是否涉刑的重大问题,因此对于企业而言非常容易产生一种“先通过考核,其他的以后再说”的心态。而这种内驱力会在通过合规整改考核后不断下降,并会因为合规制度运行所产生的成本而不断加速。因此在考虑有效性标准的时候尤其需要考虑制度的可持续性,将“不合规就会受到处罚”的内心博弈延续到考核以后。
值得借鉴的一种方式是设立企业合规监管保障金。这一设计源自于湖北省黄石市人民检察院联合黄石市司法局制发的《企业合规第三方监管人选任管理办法》,该办法明确规定合规监管考察费用由涉案企业承担,并设置了“企业合规监管保障金”。对于涉案的企业而言,设置合规监管保障金不但可以利用保障金的利息一定比例地覆盖第三方监管人的成本,同时,如果按照双倍余额递减的方法按比例返还,则能够在不拉长考核期的前提下增加企业的成本博弈。以五年可以收回全部保证金为例,企业可以在这段时间内充分适应新设立的合规体系,对于监管者而言,亦是以观后效的良方。
(二)检察机关和第三方监管法的诉求在于消弭再犯可能
2021年6月3日最高人民检察院联合八部委制发的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》规定,涉案企业合规重在防止再次发生相同或者类似的违法犯罪。由于需要对考核和评估的结论负责,检察机构和第三方监管人自然都希望企业能够最大程度上消弭再次面对刑事指控的可能性。但若以此为有效性的评价标准,则可能会给公司带来过重的负担。从企业运行的角度来看,企业本质上是法律拟制的人格,无论企业内部的合规管理制度多么完善,具体的指令和任务都必须要交到个人手上才可能完成,而随着企业体量的不断增加,尤其是分公司或者海外办公室的设立,总部对员工的控制能力势必会有所下降,这是合规制度无法解决的体系性问题。
捷迈邦美是美国一家医疗器械制造公司,该公司于2012年因贿赂海外医疗人员而违反美国《反海外腐败法》,进入了一年半的合规整改考察期。在监管期内,该公司发现其巴西分支机构仍有贿赂行为,便主动向负责的监管机构和司法机关自行披露,被要求延长合规整改考察期。但就在合规验收结束后不久,该公司于2017年又因为海外员工存在贿赂和账目问题而再次违反《反海外腐败法》,只得又进入为期三年的新合规监管期。无独有偶,摩根大通也在解除监管后一年内再次进入新的合规监管期。
因此,对于规模较大的企业而言,犯罪预防并不完全取决于公司层面上是否设计了较为完善的制度以及公司是否具有坚定的合规决心,亦有下属员工等不可控因素的干扰。虽然我国尚未设立三年之久的考核期,但随着合规整改制度的发展,类似的案例不可避免地会发生。同时,是否再犯的观察维度需要横跨企业运营的较长时期,难以成为一个量化的标准,不利于实际操作。
(三)提高合规制度的有效性应充分降低执行阻力
企业设立的核心目的就是盈利性,与自然人犯罪不同,涉案企业几乎不会存在因为经济考量因素以外的犯罪动因。因此,行之有效的合规整改计划,一定会在成本上为企业解决困难。在环境管理领域很长时间都存在类似的问题,污水治理的设备远远高于企业违法后可能面对的罚款,进而导致了企业主动选择通过违法的方式来降低经营压力。如果对于企业来说,相比于遵守法律,上缴罚款是成本更低的选择,那么再精妙的合规制度都将形同虚设。因此合规制度的有效性标准,最核心的就是成本控制,这与税法在计算数额时所考虑的税痛感系出同源。
以最高检第三批合规不起诉指导案例中的第一案上海Z公司、陈某某等人非法获取计算机信息系统数据案的合规整改方案为例,经由律师团队设计,Z公司认真落实合规整改,与E平台达成数据交互合作,通过API数据接口直连,合法合规获取平台数据。合规获取数据不但根除了数据来源这一违法犯罪的核心病灶,更是通过合法获取数据的方式,剪除了维护高额数据爬取团队的成本,从而降低了成本。当合规的选择即是更节约成本的选择时,任何人都不会担心合规制度是否有效。
三、保证合规有效性的多项原则
(一)正确理解全面性,刑事合规整改应当以专项整改为主
美国《公司合规计划评价》2020以及《ISO37301合规管理体系标准》都将全面性作为了合规制度有效性考察的一个基础原则,导致了部分律师和学者提出应当在刑事合规的过程中对尽可能多的罪名进行合规计划。这或许是一种美好的愿景,但在实践的过程中却存在诸多困难。
一方面任何刑事合规的制度搭建都需要财力和公司资源倾斜作为保障。以美国《萨班斯-奥克斯利法案》为例,其第404条要求每个上市公司都要将公司内的每一个岗位的职务、职责、风险进行描述,上市公司还要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度,这导致了公司运营的成本激增。该法案颁布后,研究发现上市公司市值在此前后共损失了约1.4万亿美元。此外,据 Telos 最近开展的一项企业合规成本调查显示:每家企业要做到数据合规,平均需要遵守至少13个不同的IT安全或隐私法规,并且每年在合规性活动上要花费高达 350万美元。因此无端增加多项合规计划会大量增加企业的经营成本。另一方面,刑事合规整改的目的性非常明确,无需大面积铺开。对于一家以加工业为主的劳动力密集型企业而言,对于侵犯商业秘密罪名的预防几乎是毫无必要的,同理,从不涉及数据业务或者海外业务的公司也完全没有必要对此采取任何合规计划。
《涉案企业合规建设、评估和审查办法(试行)》中便已经敏锐地注意到了这一问题,将全面性改成了对涉案合规风险的有效识别、控制;《中小企业合规管理体系有效性评价》则吸收了ISO37301的观点,将全面性重新定义为对企业合规制度在建立、实施、运行、维护、持续改进等多方面的综合考量,亦不再是对于合规制度所针对的范围的全面性。
(二)为不同企业制定具有差异化的方案
以《中小企业合规管理体系有效性评价》为例,其明确提出了应当针对不同行业不同企业类型的特点来完善合规整改计划,并充分考虑涉案企业可能面对的合规风险、业务范围以及所处行业的特点。就合规管理部门的设立而言,中型企业势必需要设立合规委员会、合规行政部门等专职部门,而小微企业则完全可以由内部或者外聘的合规专员负责合规管理工作,以降低企业在合规体系下的用人成本。同理,在合规风险识别和应对方面,中小型企业都明确要求具备日常检测程度与业务活动和产品服务相匹配,但对于微型企业而言只需要具备日常监测即可。
另一个相对重要的问题是合规体系和公司实际控制人之间的关系。对于小微企业而言,公司决策往往由企业负责人一人作出,负责人的意志与公司指令高度混同,因此,合规计划的重点在于限制负责人的管理权限。相反大型企业在决策过程上更为复杂,管理权也相对分散,层级更多意味着合规计划需要更多地关注审批流程,合规管理的重点便应当是决策过程的留痕化,确保每一道审批都有据可循,便于企业在定期自查中发现潜在的风险和既有的问题。
(三)确保首席合规官的职权独立性
《中央企业合规管理办法》中明确规定了设置首席合规官的制度要求,并为首席合规官的地位提供了法律背书,从刑事合规整改的角度来看,首席合规官(或其他合规部门第一负责人)的价值就在于摆脱为业绩而牺牲合规的情况。一旦合规官无法获得足够的公司权限,那么企业生产经营的需求势必会凌驾于合规风险防范之上。因此,在运行机制方面,企业可以将合规审查作为必经程序嵌入经营管理流程,重大决策事项的合规审查意见也应当由首席合规官签字,对决策事项的合规性提出明确意见。业务及职能部门、合规管理部门依据职责权限配合首席合规官完善审查标准、流程、重点等,定期对审查情况开展后评估。
在人选任免上亦是如此,目前在司法实践中存在较多外聘的首席合规官,这一方面是源于公司内部往往没有对应经验的员工,另一方面则是并不是从公司内部选拔的合规官相比于任职时间较长的管理层更不会被公司内部的人情世故所累。同时,企业负责人的亲属、直系下属均不可担任首席合规官,以避免经营权限和合规管理的高度混同,导致合规制度形同虚设。
四、结语
企业合规的有效性标准是法律理论和司法实践的双重难题,除了制定原则以及评价模式的诸多选择以外,在实际操作中亦有非常多需要注意的地方。需要合规整改计划的设计者深度掌握刑事合规的理念和模式,并对涉案企业有充分的了解,才能最终剔除企业经营中所积累的犯罪基因,以达成个案的有效。