查看原文
其他

虞思明|涉案企业合规整改第三方评估标准研究

The following article is from 博和汉商律师事务所 Author 虞思明

虞思明

上海博和汉商律师事务所高级合伙人、上海市法学会律师法学研究会理事

要目

一、问题的提出二、评估标准概述三、统一评估标准的局限性
四、评估标准的核心——有效性五、合规计划文本层面有效性的细化标准

最高人民检察院近年来在全国范围内开展了企业合规第三方监督机制的试点改革,企业完成合规整改后的成果将交由第三方组织加以评估。这项试点改革大大拓宽了企业因经营性行为引发刑事法律风险的免责范围,给予了涉案企业通过合规整改免责的重生机会,是近年来司法改革中关于企业犯罪最重要的内容之一。面对丰富多变的涉案企业合规实践,若要强行建立一套“一招鲜吃遍天下”的评估标准,是违背事物发展客观规律的。在标准建立过程中,应当采取“宜粗不宜细”和“就低不就高”原则。通过对第三方组织评估工作中会遇到的各类问题进行初步探讨,并针对评估标准进行细化,其中囊括了企业整改措施及其具体运行机制,通过事前预防以及不合规行为发生后的事后管理机制,完善涉案企业合规整改第三方组织评估机制。

一、问题的提出

在企业经营过程中,不可避免会遇到各种各样现实或潜在的法律责任。法律责任体系一般由民商事法律责任、行政法律责任和刑事法律责任三种类型组成。与平等市场主体之间以货币为承载对象的民商事法律责任不同,刑事法律责任体现的是国家对企业的监管和处罚,一旦发生,将直接影响到企业的正常经营,甚至影响到企业负责人的人身自由,是所有法律责任中最严厉的一道红线。

为实现法律效果与社会效果的统一,最高人民检察院近年来在全国范围内开展了企业合规第三方监督机制的试点改革。该项改革试点借鉴了美国在处理公司犯罪时的“暂缓起诉协议”制度,并结合了中国实际特点。当企业因经营性行为触犯了刑法中关于经济犯罪、单位犯罪相关条款时,只要能够建立有效的企业合规制度以预防该类犯罪再次发生,就有很大可能免于刑事法律责任。这项试点改革大大拓宽了企业因经营性行为引发刑事法律风险的免责范围,给予了涉案企业通过合规整改免责的重生机会,是近年来司法改革中关于企业犯罪最重要的内容之一。

二、评估标准概述

涉案企业在检察院审查起诉阶段获得了合规整改的机会,并不意味着必然会获得不起诉处理,其合规整改的成果首先要通过评估来判断是否具备有效性。为确保评估的中立与客观,评估工作由独立于检察机关的第三方组织完成。评估结果将写入第三方组织出具的合规考察报告,作为检察机关将来作出不起诉决定的重要参考依据。可见,对涉案企业合规计划的成果进行评估,是第三方监督评估机制中承上启下的核心环节。

负责评估工作的第三方组织是一个临时性工作小组,其组成人员由第三方管委会从专业人员名录库中随机抽选而成。尽管入选名录库的在册专业人员均为合规方面的专家,但毕竟来自监管部门、高校、企业、律所等不同行业领域,不同的行业背景会造成评估侧重点和标准的不统一。这种不统一不仅会发生在同一个第三方组织内部的各专业人员之间,也会发生在不同的第三方组织相互之间。由此造成的“同案不同评”,影响法律适用的确定性和可预期性,进而阻碍涉案企业合规改革工作的推进。

鉴于此,为第三方组织建立统一的评估标准有着重要意义,统一的评估标准不但避免了评估过程中的意见冲突,有利于维护法律适用的一致性,同时也为第三方组织的专业人员在具体工作中提供了具有可操作性的指引。

三、统一评估标准的局限性

从另一个角度看,一旦评估标准是确定和统一的,就必然具有局限性和滞后性。与无比丰富灵活的涉案企业合规实践相比,即便是设计再周延的评估标准,也无法涵盖涉案企业合规的所有实践。

涉案企业所属的行业千差万别,企业规模也大小不一,更关键的是,这些企业所涉及的案件性质之间本身就存在着本质区别。刑法中关于单位犯罪的罪名多达100多个,涵盖了企业注册成立、正常经营、招投标参与市场竞争、数据处理、安全生产、环境保护、依法纳税、尊重知识产权和他人商业信誉、破产清算在内的企业完整生命周期。有的企业涉及商业贿赂类犯罪,有的企业涉及税务犯罪,还有企业涉及侵犯公民个人信息等数据合规问题。这些案件的共性都是因企业的经营性行为而引发,但相互之间的合规整改计划又因所涉案由罪名不同而具有不同的个性化表现。如何建立一套能够兼顾涉案企业共性与个性的评估标准,成为摆在我们面前的最大难题。

笔者认为,面对丰富多变的涉案企业合规实践,在标准建立过程中,应当采取“宜粗不宜细”和“就低不就高”原则。具体说来,“宜粗不宜细”就是评估标准不应当过于细致和繁琐,过于细致的评估标准表面上似乎操作性较强,但从本质上看,会因文本自身局限性和实践多变性之间的矛盾带来漏洞,同时还会严重束缚第三方组织专业人员的手脚,被条条框框蒙蔽了问题的本质。相对粗放和原则性的评估标准,有助于第三方组织更准确地把握涉案企业合规整改的本质,在应对不同类型案件时也便于灵活处理。

“就低不就高”,是指评估标准只是评价涉案企业合规整改工作的底线,而不是通过第三方组织考核的充分条件。换句话说,达到了评估标准,仅说明涉案企业的合规整改工作取得了通过第三方组织考核的必要条件,至于是否最终能通过考核,还需在此基础上结合案件具体因素作出判断。

四、评估标准的核心——有效性

评估需要建立在一个稳固的核心基础之上,任何对涉案企业合规整改计划制度和运行的具体评估工作,都应围绕着这个核心基础进行,这个核心基础就是合规的有效性。最高人民检察院多次强调,对“真合规”要厚爱,对“假合规”则要严管,所谓“真假合规”之间的区别,就在于合规的有效性。可以说,有效性是评判涉案企业合规整改是否合格的唯一标准,那么,怎样的合规才是有效的合规?

当我们在谈“假合规”时,通常也会同时提到另一个近似概念,即“纸面合规”,字面意义为停留在纸面上但未落到实处的合规,我们似乎经常把“纸面合规”等同于“假合规”。这种认识有一定合理性,但并不完全准确。笔者认为,合规有效性标准包括了文本层面和运行层面的双重内涵。在文本层面上,又包括了文本是否已经建立和该文本是否有效两个子层级。

在评估时,第一步应当首先审查涉案企业是否已经建立了相关合规制度文本,在这个“有或无”问题上,只有在已经建立了相关制度文本的前提下,才有可能去评估该文本是否有效,以及该文本在运行过程中是否顺畅。这个合规制度文本,就是“纸面合规”。可见,“纸面合规”的存在是评估合规有效性的前提和基础,并不等同于“假合规”。

有了文本层面的合规制度远远不够,第三方组织需要去仔细甄别该制度是否具备文本意义上的有效性。有些涉案企业制作的合规文本制度,表面上汗牛充栋面面俱到,但究其内里,却体系混乱内容空洞,完全没有可操作性,这种合规制度显然不符合文本意义上的有效性标准。

在已经建立了一套体系清晰且具备较强操作性的合规文本制度的基础上,第三方组织的工作才是对该文本的运行情况进行评估,评估重点在于考察制度是否真正落实到位。综上,有效性是评估标准的核心,围绕这个核心,又可以衍生出文本层面的合规制度是否建立、该制度是否具备文本意义上的有效性、该制度是否具备运行意义上的有效性三个有递进关系的评估具体工作。由于合规制度运行意义上的有效性需结合企业所属行业具体问题具体分析,笔者将在以下篇幅重点探讨合规计划文本层面有效性的细化标准。

五、合规计划文本层面有效性的细化标准

计划文本是否具有针对性

2022年4月20日印发的《涉案企业合规建设、评估和审查办法(试行)》第1条就明确指出:“涉案企业合规建设,是指涉案企业针对与涉嫌犯罪有密切联系的合规风险,制定专项合规整改计划,完善企业治理结构,健全内部规章制度,形成有效合规管理体系的活动。

可见,合规计划文本是否针对企业所涉的具体罪名,与所涉犯罪有无密切联系是涉案企业合规建设的定义所决定的。在企业经营过程中,合规管理的重点风险领域包括各个方面,例如,市场交易领域的商业贿赂、串通投标;安全环保领域的生产责任事故和环境污染;财务税收领域的涉发票类犯罪;知识产权领域的侵犯商业秘密犯罪;数据安全领域的侵犯公民个人信息等。涉案企业所涉的哪个领域的犯罪,就应当针对该领域进行合规整改建设。若建立泛泛而谈的“大而全”式合规计划文本,或者针对此罪名的合规制度来整改企业所涉嫌的彼罪名,都会因不具备针对性而不符合有效性标准。

合规计划实施主体的人员组成

任何制度都需要由具体的人员去执行和实施,因此合规计划实施主体的人员组成也是评估合规计划有效性的重要指标。

第一步,对于实施主体的评估,首先应当看涉案企业是否已经成立了专门的合规建设领导小组,领导小组的成立应当有正式的企业制度文件、企业管理层会议纪要等证据支撑,并且在企业办公的公共区域需有领导小组的人员名单公示。

第二步,领导小组的人员组成必须包含企业的实际控制人、主要负责人和直接负责的主管人员。合规计划的实施对企业产生经济效益的作用是间接的,只有企业的实际控制人和主要负责人都加入合规计划的实施工作中,才能切实保障这项工作的顺利推进。

第三步,考察企业有无聘请外部专业机构或专业人员参与或协助企业的合规整改建设。一般情况下,企业之所以会因经营性行为涉嫌犯罪,正是由于企业自身的合规意识不强和合规建设能力欠缺所导致,企业往往难以通过自己的力量去超越自身的局限性。所以在此基础上借助外部专业机构或专业人员参与或协助企业合规整改建设,有助于提升涉案企业合规建设的效果,同时也能体现出涉案企业主观上积极追求经营行为合规的决心,因此也将其作为合规评估时的考量因素之一。但在具体评估过程中,对于这个问题不能一概而论,对于经营规模不大、所涉犯罪也相对清晰简单的涉案企业,要结合其合规制度的运行真实情况来评判其有效性,不能仅因为其未聘请外部专业机构或专业人员而否认其合规制度的有效性。

合规管理机构设置

企业合规建设领导小组的职责是在全面分析研判企业合规风险的基础上,结合本行业合规建设指引,研究制定专项合规计划和内部规章制度。有了领导小组的风险研判和制度制定,还需要由企业内部具体的合规管理机构来落实。

关于对合规管理机构设置的评估标准,我们建议可以重点关注以下几个方面:考察企业是否已经设立了专设或兼理的合规管理机构、管理人员;考察该机构及其管理人员的设置是否符合企业类型、规模、业务范围、行业特点;考察涉案企业有无根据企业内部的管理层级和部门布局,在各层级和各部门设置对应的合规管理机构;考察企业制度是否足以保障合规管理机构或管理人员独立履行职责,对于涉及重大合规风险的事项行使参与决策的权利;考察合规管理制度的设计是否足够明确、具体,并且附有考核标准,相关合规绩效考评机制的制度设计是否具有可操作性;考察涉案企业是否为合规管理机构的有效运行提供必要的人员、培训、宣传、场所、设备和经费等人力物力保障。

合规管理运行机制

涉案企业合规管理机构设置人员配备及其配套保障措施都符合要求之后,评估重点应放在合规管理制度运行机制上。合规管理制度的运行是整个评估工作中最难把握的环节,它往往与企业的行业属性、经营模式、所涉罪名的性质等密切相关,在实践中表现出来的面貌也有较大差异,需要第三方组织专业人员注意甄别表象下的本质。

1.评估涉案企业是否已经建立了全面审查与重点领域、重大事项相结合的合规管理运行机制

该评估标准体现了专项合规制度与通用合规制度之间特殊与一般的关系。通用企业合规制度一般包括合规管理、合规咨询、合规举报管理、合规文化宣传、合规管理委员会议事规则、合规岗位职责分工等;专项合规制度则是针对具体所涉罪名的类别,如反商业贿赂类、涉税类、生态和环境保护类、数据安全类、知识产权类等建立的特别合规制度。通用合规制度体现了涉案企业对自身合规经营的全面审查原则,而专项合规制度体现的是企业对所涉具体罪名相关的重点领域、重大事项的特别审查。重点领域和重大事项的合规制度只有建立在通用合规制度的基础上才有可能顺利实施,因此,在评估时是否建立了全面审查与重点领域、事项相结合的合规管理运行机制是第三方组织的重要考察对象。

2.是否已经建立内部财务、会计监控体系,并由审计人员定期审计

企业因经营行为不合规而涉及犯罪,即便该罪名与资金调拨并不直接相关,但往往也与财务流程的漏洞和会计监控、审计不严格有一定联系。健全的财务资金制度和严格的会计监控,不仅可以有效杜绝涉及直接与资金流转有关的犯罪行为,还能够降低与企业资金流转有间接联系的其他类型犯罪的发生概率。评估时应结合涉案的具体犯罪行为,考察涉案企业内部财务制度的漏洞是否已经填补完成、会计监控体系是否建立、有无审计人员定期对企业财务情况进行审计的记录和报告等。

3.除针对企业自身,是否同时也建立了针对供应商或其他商业合作伙伴的合规审查管理制度

企业的经营行为不是孤立的,位于上游的企业需要与客户端产生联系,而在下游的企业则需要与供应商产生联系。上游与下游的划分不是绝对的,一家企业完全可以既是上游客户的供应商,同时也是下游供应商的客户。供应商在招投标过程中的利益输送可能会引发商业贿赂或串通投标等危害市场竞争的罪名,供应商提供的不合格产品可能会引发安全生产责任事故和环境污染类罪名,若供应商提供的产品系与公民信息相关的虚拟数据,还可能因脱敏化不合规导致接收数据产品的企业涉嫌侵犯公民个人信息犯罪。因此,在合规整改的过程中,除了要在企业内部需建立完备的制度文本,对商业伙伴的合规审查制度文本亦是评估工作的对象。评估时要注意搜集涉案企业有无能够能明已向供应商告知包括反商业贿赂声明和数据安全脱敏化处理在内的合规文件,供应商是否签署上述文件并交由涉案企业合规管理机构存档等。

4.在招录企业员工等劳动人事领域,是否已经引入合规管理机制

员工招录等企业劳动人事领域,表面与单位犯罪距离较远,似乎与涉案企业的合规整没有直接关联。实际上,若在该领域缺乏对未来员工背景的尽职调查合规管理机制,一旦入职员工通过其家属或其他关系人与企业的供应商或客户等商业伙伴之间具有密切联系,极易为将来可能发生的危害市场竞争类犯罪埋下隐患,从而对企业带来巨大的合规风险。因此,在对该领域进行评估时,应重点审查企业是否已经制定了对拟入职员工背景调查的相关流程和制度,是否制定了针对拟入职员工的关于其有义务披露任何可能在入职后影响企业参与公平市场竞争合规经营的书面告知函等。

5.是否建立了针对员工合规培训的计划安排

一套有效的合规整改制度,不仅应存在于涉案企业管理层,更应渗透进企业的每一个员工的合规意识中。涉案企业是否建立了针对员工合规培训的计划安排,是评估工作的考察要点。在对员工合规培训计划的具体的评估工作中,应重点考察培训内容是否具有足够的针对性,是否与企业所涉罪名之间存在密切联系;培训的频率是否足够;培训的对象是否能够覆盖企业的全体员工;有无建立对重点环节和重点岗位的员工进行额外的特别合规培训计划;培训的方式能否为员工所接受;培训的授课老师是否具备相应的合规方面资质;对培训的效果是否建立有考核机制;每一次培训是否有员工签到记录和现场录音录像资料等方面。

对员工的合规培训不仅是涉案企业贯彻落实合规整改工作的必要步骤,同时也是体现涉案企业单位意志的重要证明材料。企业作为法律拟制的人格主体,在法律上具有与自然人平等的行为能力和责任能力。但与有血有肉能够通过口头或书面方式直接进行意思表示的自然人相比,企业作为法人的意思表示,并不能等同于企业实控人或主要负责人的意思表示,更加不能等同于企业员工的意思表示。判断一个行为是企业的单位行为还是员工个人行为,关键是看这个行为是否能够代表单位的意志,是否由单位作出,是否体现了单位的利益。而企业单位意志与员工个人意志的分界线,主要通过企业以单位名义对员工的行为来体现。在员工培训方面,涉案企业以单位的名义委托外部或内部合规专业人士对员工进行合规培训,并对培训过程中的各类资料妥善存档保留,将成为企业主观上追求自身经营行为合法合规的重要证据,若将来仍然发生由于员工的不合规行为引发的刑事风险,企业得以通过合规培训相关资料有效地切割单位意志与员工个人意志。

是否已经建立具有独立性、保密性的合规内部举报制度

合规制度存在的目的,是为了避免发生那些与企业守法经营价值取向相悖的不合规的行为。但无论合规制度建设多么完备,都不能百分百地避免不合规行为。企业管理层所需要的,不是一个承诺永远不会发生合规风险的制度,这种承诺是空洞且不负责任的。企业管理层需要的,是一旦发生不合规行为,能够第一时间知晓的渠道,以及如何在现有的合规制度框架下积极介入不合规行为的调查和惩处,从而把坏事变成好事。

一套具有独立性、保密性的合规内部举报制度,正是为了企业的这项需求而产生。通过自上而下的自查、审计固然可以系统性地梳理企业经营中存在的合规风险点,但却不如自下而上的举报更贴近企业经营的真实状态。在企业中,各业务部门的一线员工是对企业经营中合规风险最有发言权和最具备感性认识的群体,他们在工作中发现的不合规现象往往最准确,也最能反映出企业合规管理上的短板。

由于举报人与被举报人一般都是同事关系,如果企业没有一套独立、保密的合规内部举报制度,举报人往往会因为顾虑同事关系而放弃举报,导致企业失去了解公司运营中合规漏洞的大好机会。第三方组织在评估时,应关注涉案企业有无建立具有独立性和保密性的合规内部举报制度,考察该制度能否有效保护举报人信息和隐私,所举报信息是否顺畅送达企业合规管理机构,流程设计中是否能有效避免举报信息的外泄和扩散等。

合规文化建设

与能够落在纸面上的企业合规制度文本相比,合规文化是一个相对看不见摸不着的东西,它可以是企业管理层深层意识中的一根红线,也可以是整个企业上上下下守法合规的一种价值取向和氛围。尽管合规文化是一个在评估中较难通过量化标准去衡量和考察的指标,但我们仍可以找到以下的一些参照物。

第三方组织在评估时,应考察企业实控人、管理层对于合规优先的价值取向是否有书面承诺及公开宣示。企业实控人和管理层对于合规所持的态度很大程度会影响整个企业的合规文化氛围。公开宣示的途径不必拘泥于形式,可以通过公司纸质文件下发,可以是张贴在公司公共办公区域墙壁上的公告,也可以是企业内部正式的微信工作群中发布的群公告,还可以以企业实控人向全体员工群发电子邮件等形式实现。

评估时还需考察企业是否编写过合规知识手册、合规操作指引等文本文件并发放给全体员工,是否在员工大会和部门例会上进行过合规宣传,是否开展过合规宣传周、合规活动日、合规专题讲座等活动,这部分评估工作所需要的材料支撑可参考企业对员工的合规培训的材料要求。

针对不合规行为的管理机制

一套完备的合规制度,除了要实现事前预防的功能,还必须包括对不合规行为发生后的事后管理机制。在具体评估时应关注如下重点:

涉案企业是否定期、不定期开展企业内部自查,评估并及时发现不合规行为隐患。内部自查可以是通过财务审计方式,也可以是合规管理机构独立进行。若邀请第三方组织进行自查,企业需提供与自查相关的全套文件资料,例如,决定开展内部自查工作管理层决策的会议纪要、自查步骤和方法、具体自查的工作内容记录、自查结果等。

对于通过内部举报制度获得的不合规行为线索,需要关注涉案企业是否建立成熟的处置预案和流程。涉案企业需提供材料证明合规管理机构已设置了受理内部举报的岗位,该岗位在接到内部举报线索后能够以合适方式处理信息,并根据线索类别与后续的内部调查相衔接。

对于自查或举报发现的不合规隐患,涉案企业有无建立内部调查机制,包括调查团队组成、调查程序、调查措施等。

内部合规调查是企业合规制度的重要组成部分,由企业发起的针对员工不合规行为的调查,本身也是有效切割企业单位意志与员工个人意志的重要依据。与国家机关启动的侦查活动不同,企业内部调查不具备国家强制力作为支撑,在调查过程中也不得以任何方式限制员工的人身自由,所采用的调查措施也不得以任何方式侵犯员工的公民个人信息。因此在评估时首先应重点考察内部调查机制本身是否合规,是否存在前述侵权隐患。其次,应考察调查团队的组成是否合理,通常对于级别较低员工的调查,可以全部由企业内部人士组成调查团队,但涉及企业高级别员工甚至管理层不合规行为的调查,聘请外部具有独立地位专业人士进入调查团队,会更有利于内部调查的有效推进。

经过企业内部调查,对已经确认为不合规的行为,有无建立相应问责以及内部警示教育机制。所谓问责机制,包含外部问责和内部问责两个层面。若内部调查所发现的该员工不合规行为已经达到违反刑法或者行政法规的程度,应考察企业是否建立了与公安机关或其他行政执法部门之间相对应的线索移送机制。若内部调查的结论仅为一般性不合规行为,未达到犯罪标准,则应考察企业是否建立了针对相关责任人员的辞退、降职、减薪等内部处罚措施。不论是外部问责还是内部问责,涉案企业都需建立内部警示教育机制,将已经发生的不合规行为的调查及处罚情况在将来的员工合规培训向全体员工通报,以达到弘扬合规文化的效果。

对一次不合规行为的调查及处罚,最终目的是为了预防同类型不合规行为将来不再发生。因此评估时还需关注涉案企业在内部调查结案后,是否建立了为预防此类不合规行为再次发生的持续性整改机制,涉案企业需提供相关的材料以证明持续性整改机制已经建立。

原文链接

【观点】如何评估涉案企业合规整改的有效性?(上)

【观点】如何评估涉案企业合规整改的有效性?(下)


往期精彩回顾

徐微徨|我国法律帮助制度建设的路径探索

桂芳芳|职业遗产管理人的职责与行权监督——以律所参与遗产管理人为视角

宋普文 杨雯 蓝亭亭|个人信息保护视角下病假管理的合规建议

李帅  魏启宇|大数据时代下消费者隐私权的构建与保护

邹梦宇|基于数据概念的涉数据案件法院裁判思路

张艳艳|单用途预付卡的定义及范围界定刍议



上海市法学会官网

http://www.sls.org.cn



继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存