【观点】如何评估涉案企业合规整改的有效性?(下)
下篇将重点探讨合规计划文本层面有效性的细化标准
01
计划文本是否具有针对性
2022年4月20日印发的《涉案企业合规建设、评估和审查办法(试行)》第一条就明确指出:涉案企业合规建设,是指涉案企业针对与涉嫌犯罪有密切联系的合规风险,制定专项合规整改计划,完善企业治理结构,健全内部规章制度,形成有效合规管理体系的活动。
可见,合规计划文本是否针对企业所涉嫌的具体罪名,与所涉嫌犯罪有无密切联系是涉案企业合规建设的定义所决定的。在企业经营过程中,合规管理的重点风险领域包括各个方面,例如市场交易领域的商业贿赂、串通投标;安全环保领域的生产责任事故和环境污染;财务税收领域的涉发票类犯罪;知识产权领域的侵犯商业秘密犯罪;数据安全领域的侵犯公民个人信息等。涉案企业所涉的哪个领域的犯罪,就应当针对该领域进行合规整改建设。若建立泛泛而谈的“大而全”式合规计划文本,或者是拿针对此罪名的合规制度来整改企业所涉嫌的彼罪名,都会因不具备针对性而不符合有效性标准。
02
合规计划实施主体的人员组成
任何制度都需要由具体的人员去执行和实施,因此合规计划实施主体的人员组成也是评估合规计划有效性的重要指标。
第一步,对于实施主体的评估,首先应当看涉案企业是否已经成立了专门的合规建设领导小组,领导小组的成立应当有正式的企业制度文件、企业管理层会议纪要等证据支撑,并且在企业办公的公共区域需有领导小组的人员名单公示。
第二步,领导小组的人员组成必须包含企业的实际控制人、主要负责人和直接负责的主管人员。合规计划的实施对企业产生经济效益的作用是间接的,只有企业的实际控制人和主要负责人都加入到合规计划的实施工作中,才能切实保障这项工作的顺利推进。
第三步,考察企业有无聘请外部专业机构或专业人员参与或协助企业的合规整改建设。一般情况下,企业之所以会因经营性行为涉嫌犯罪,正是由于企业自身的合规意识不强和合规建设能力欠缺所导致,企业往往难以通过自己的力量去超越自身的局限性。
所以在此基础上借助外部专业机构或专业人员参与或协助企业合规整改建设,有助于提升涉案企业合规建设的效果,同时也能体现出涉案企业主观上积极追求经营行为合规的决心,因此也将其作为合规评估时的考量因素之一。但在具体评估过程中,对于这个问题不能一概而论,对于经营规模不大、所涉犯罪也相对清晰简单的涉案企业,要结合其合规制度的运行真实情况来评判其有效性,不能仅因为其未聘请外部专业机构或专业人员而否认其合规制度的有效性。
03
合规管理机构设置
企业合规建设领导小组的职责是在全面分析研判企业合规风险的基础上,结合本行业合规建设指引,研究制定专项合规计划和内部规章制度。有了领导小组的风险研判和制度制定,还需要由企业内部具体的合规管理机构来落实。
关于对合规管理机构设置的评估标准,我们建议可以重点关注以下几个方面:考察企业是否已经设立了专设或兼理的合规管理机构、管理人员;考察该机构及其管理人员的设置是否符合企业类型、规模、业务范围、行业特点;考察涉案企业有无根据企业内部的管理层级和部门布局,在各层级和各部门设置对应的合规管理机构;考察企业制度是否足以保障合规管理机构或管理人员独立履行职责,对于涉及重大合规风险的事项行使参与决策的权利;考察合规管理制度的设计是否足够明确、具体,并且附有考核标准,相关合规绩效考评机制的制度设计是否具有可操作性;考察涉案企业是否为合规管理机构的有效运行提供必要的人员、培训、宣传、场所、设备和经费等人力物力保障。
04
合规管理运行机制
涉案企业合规管理机构设置人员配备及其配套保障措施都符合要求之后,评估重点应放在合规管理制度运行机制上。合规管理制度的运行是整个评估工作中最难把握的环节,它往往与企业的行业属性、经营模式、所涉罪名的性质等密切相关,在实践中表现出来的面貌也有较大差异,需要第三方组织专业人员注意甄别表象下的本质。
1、 评估涉案企业是否已经建立了全面审查与重点领域、重大事项相结合的合规管理运行机制
该评估标准体现了专项合规制度与通用合规制度之间特殊与一般的关系。通用企业合规制度一般包括合规管理、合规咨询、合规举报管理、合规文化宣传、合规管理委员会议事规则、合规岗位职责分工等;专项合规制度则是针对具体所涉罪名的类别,如反商业贿赂类、涉税类、生态和环境保护类、数据安全类、知识产权类等建立的特别合规制度。通用合规制度体现了涉案企业对自身合规经营的全面审查原则,而专项合规制度体现的是企业对所涉具体罪名相关的重点领域、重大事项的特别审查。重点领域和重大事项的合规制度只有建立在通用合规制度的基础上才有可能顺利实施,因此,在评估时是否建立了全面审查与重点领域、事项相结合的合规管理运行机制是第三方组织的重要考察对象。
2、 是否已经建立内部财务、会计监控体系,并由审计人员定期审计
企业因经营行为不合规而涉及犯罪,即便该罪名与资金调拨并不直接相关,但往往也与财务流程的漏洞和会计监控、审计不严格有一定联系。健全的财务资金制度和严格的会计监控,不仅可以有效杜绝涉及直接与资金流转有关的犯罪行为,还能够降低与企业资金流转有间接联系的其他类型犯罪的发生概率。评估时应结合涉案的具体犯罪行为,考察涉案企业内部财务制度的漏洞是否已经填补完成,会计监控体系是否建立,有无审计人员定期对企业财务情况进行审计的记录和报告等。
3、 除针对企业自身,是否同时也建立了针对供应商或其他商业合作伙伴的合规审查管理制度
企业的经营行为不是孤立的,位于上游的企业需要与客户端产生联系,而在下游的企业则需要与供应商产生联系。上游与下游的划分不是绝对的,一家企业完全可以既是上游客户的供应商,同时也是下游供应商的客户。供应商在招投标过程中的利益输送可能会引发商业贿赂或串通投标等危害市场竞争的罪名,供应商提供的不合格产品可能会引发安全生产责任事故和环境污染类罪名,若供应商提供的产品系与公民信息相关的虚拟数据,还可能因脱敏化不合规导致接收数据产品的企业涉嫌侵犯公民个人信息犯罪。因此,在合规整改的过程中,除了要在企业内部需建立完备的制度文本,对商业伙伴的合规审查制度文本亦是评估工作的对象。评估时要注意搜集涉案企业有无能够能明已向供应商告知包括反商业贿赂声明和数据安全脱敏化处理在内的合规文件,供应商是否签署上述文件并交由涉案企业合规管理机构存档等。
4、 在招录企业员工等劳动人事领域,是否已经引入合规管理机制
员工招录等企业劳动人事领域,表面与单位犯罪距离较远,似乎与涉案企业的合规整没有直接关联。实际上,若在该领域缺乏对未来员工背景的尽职调查合规管理机制,一旦入职员工通过其家属或其他关系人与企业的供应商或客户等商业伙伴之间具有密切联系,极易为将来可能发生的危害市场竞争类犯罪埋下隐患,从而对企业带来巨大的合规风险。因此,在对该领域进行评估时,应重点审查企业是否已经制定了对拟入职员工背景调查的相关流程和制度,是否制定了针对拟入职员工的关于其有义务披露任何可能在入职后影响企业参与公平市场竞争合规经营的书面告知函等。
5、 是否建立了针对员工合规培训的计划安排
一套有效的合规整改制度,不仅应存在于涉案企业管理层,更应渗透进企业的每一个员工的合规意识中。涉案企业是否建立了针对员工合规培训的计划安排,是评估工作的考察要点。在对员工合规培训计划的具体的评估工作中,应重点考察培训内容是否具有足够的针对性,是否与企业所涉罪名之间存在密切联系;培训的频率是否足够;培训的对象是否能够覆盖企业的全体员工;有无建立对重点环节和重点岗位的员工进行额外的特别合规培训计划;培训的方式能否为员工所接受;培训的授课老师是否具备相应的合规方面资质;对培训的效果是否建立有考核机制;每一次培训是否有员工签到记录和现场录音录像资料等方面。
对员工的合规培训不仅是涉案企业贯彻落实合规整改工作的必要步骤,同时也是体现涉案企业单位意志的重要证明材料。企业作为法律拟制的人格主体,在法律上具有与自然人平等的行为能力和责任能力。但与有血有肉能够通过口头或书面方式直接进行意思表示的自然人相比,企业作为法人的意思表示,并不能等同于企业实控人或主要负责人的意思表示,更加不能等同于企业员工的意思表示。判断一个行为是企业的单位行为还是员工个人行为,关键是看这个行为是否能够代表单位的意志,是否由单位作出,是否体现了单位的利益。而企业单位意志与员工个人意志的分界线,主要通过企业以单位名义对员工所作出的行为来体现。在员工培训方面,涉案企业以单位的名义委托外部或内部合规专业人士对员工进行合规培训,并对培训过程中的各类资料妥善存档保留,将成为企业主观上追求自身经营行为合法合规的重要证据,若将来仍然发生由于员工的不合规行为引发的刑事风险,企业得以通过合规培训相关资料有效地切割单位意志与员工个人意志。
05
是否已经建立具有独立性、
保密性的合规内部举报制度
合规制度存在的目的,是为了避免发生那些与企业守法经营价值取向相悖的不合规的行为。但无论合规制度建设多么完备,并不能百分百地避免不合规行为。企业管理层所需要的,不是一个承诺永远不会发生合规风险的制度,这种承诺是空洞且不负责任的;企业管理层需要的,是一旦发生不合规行为,能够第一时间知晓的渠道,以及如何在现有的合规制度框架下积极介入不合规行为的调查和惩处,从而把坏事变成好事。
一套具有独立性、保密性的合规内部举报制度,正是为了企业的这项需求而产生。通过自上而下的自查、审计固然可以系统性地梳理企业经营中存在的合规风险点,但却不如自下而上的举报更贴近企业经营的真实状态。在企业中,各业务部门的一线员工是对企业经营中合规风险最有发言权和最具备感性认识的群体,他们在工作中发现的不合规现象往往最准确,也最能反映出企业合规管理上的短板。
由于举报人与被举报人一般都是同事关系,如果企业没有一套独立、保密的合规内部举报制度,举报人往往会因为顾虑影响同事关系而放弃举报,导致企业失去了解公司运营中合规漏洞的大好机会。第三方组织在评估时,应关注涉案企业有无建立具有独立性和保密性的合规内部举报制度,考察该制度能否有效保护举报人信息和隐私,所举报信息是否顺畅送达企业合规管理机构,流程设计中是否能有效避免举报信息的外泄和扩散等。
06
合规文化建设
与能够落在纸面上的企业合规制度文本相比,合规文化是一个相对看不见摸不着的东西,它可以是企业管理层深层意识中的一根红线,也可以是整个企业上上下下守法合规的一种价值取向和氛围。尽管合规文化是一个在评估中较难通过量化标准去衡量和考察的指标,但我们仍可以找到以下的一些参照物:
第三方组织在评估时,应考察企业实控人、管理层对于合规优先的价值取向是否有书面承诺及公开宣示。企业实控人和管理层对于合规所持的态度很大程度会影响整个企业的合规文化氛围。公开宣示的途径不必拘泥于形式,可以通过公司纸质文件下发,可以是张贴在公司公共办公区域墙壁上的公告,也可以是企业内部正式的微信工作群中发布的群公告,还可以以企业实控人向全体员工群发电子邮件等形式实现。
评估时还需考察企业是否编写过合规知识手册、合规操作指引等文本文件并发放给全体员工,是否在员工大会和部门例会上进行过合规宣传,是否开展过合规宣传周、合规活动日、合规专题讲座等活动,这部分评估工作所需要的材料支撑可参考企业对员工的合规培训的材料要求。
07
针对不合规行为的管理机制
一套完备的合规制度,除了要实现事前预防的功能,还必须包括对不合规行为发生后的事后管理机制。在具体评估时应关注如下重点:
涉案企业是否定期、不定期开展企业内部自查,评估并及时发现不合规行为隐患。内部自查可以是通过财务审计方式,也可以是合规管理机构独立进行。若邀请第三方组织进行自查,企业需提供与自查相关的全套文件资料,例如决定开展内部自查工作管理层决策的会议纪要、自查步骤和方法、具体自查的工作内容记录、自查结果等。
对于通过内部举报制度获得的不合规行为线索,需要关注涉案企业是否建立成熟的处置预案和流程。涉案企业需提供材料证明合规管理机构已设置了受理内部举报的岗位,该岗位在接到内部举报线索后能够以合适方式处理信息,并根据线索类别与后续的内部调查相衔接。
对于自查或举报发现的不合规隐患,涉案企业有无建立内部调查机制,包括调查团队组成、调查程序、调查措施等。
内部合规调查是企业合规制度的重要组成部分,由企业发起的针对员工不合规行为的调查,本身也是有效切割企业单位意志与员工个人意志的重要依据。与国家机关启动的侦查活动不同,企业内部调查不具备国家强制力作为支撑,在调查过程中也不得以任何方式限制员工的人身自由,所采用的调查措施也不得以任何方式侵犯员工的公民个人信息。因此在评估时首先应重点考察内部调查机制本身是否合规,是否存在前述侵权隐患。其次,应考察调查团队的组成是否合理,通常对于级别较低员工的调查,可以全部由企业内部人士组成调查团队,但涉及到企业高级别员工甚至管理层不合规行为的调查,聘请外部具有独立地位专业人士进入调查团队,会更有利于内部调查的有效推进。
经过企业内部调查,对已经确认为不合规的行为,有无建立相应问责以及内部警示教育机制。所谓问责机制,包含外部问责和内部问责两个层面。若内部调查所发现的该员工不合规行为已经达到违反刑法或者行政法规的程度,应考察企业是否建立了与公安机关或其他行政执法部门之间相对应的线索移送机制;若内部调查的结论仅为一般性不合规行为,未达到犯罪标准,则应考察企业是否建立了针对相关责任人员的辞退、降职、减薪等内部处罚措施。不论是外部问责还是内部问责,涉案企业都需建立内部警示教育机制,将已经发生的不合规行为的调查及处罚情况在将来的员工合规培训向全体员工通报,以达到弘扬合规文化的效果。
对一次不合规行为的调查及处罚,最终目的是为了预防同类型不合规行为将来不再发生。因此评估时还需关注涉案企业在内部调查结案后,是否建立了为预防此类不合规行为再次发生的持续性整改机制,涉案企业需提供相关的材料以证明持续性整改机制已经建立。
本文作者
虞思明 律师
博和汉商律师事务所高级合伙人
华东师范大学法学院兼职研究员
上海律师协会刑事合规委副主任
专业领域:
刑事辩护、企业合规
siming.yu@bhslaw.cn
往期文章
声 明
本公号刊登文章仅代表作者本人观点,如需转载或引用该等文章的任何内容,请注明出处。如您有意向就相关议题进一步探讨交流,欢迎与本所联系。