陈瑞华:多学科交叉视角下的企业合规
2020年10月19日下午3点10分,北大“法学阶梯”高阶讲座系列之三十讲在北京大学法学院凯原楼B103教室正式开始。本次讲座的主讲人是北京大学法学院教授陈瑞华老师。
本次讲座主题是“多学科交叉视角下的企业合规”,陈老师主要从什么是企业合规、作为公司治理方式的合规、作为风险防控机制的合规、行政监管与合规、刑法与合规、刑事诉讼法与合规等维度,系统阐释了企业合规这一新世纪重大法学前沿课题的交叉学科特性,以下为讲座实录。
一、什么是企业合规
企业合规(Corporate Compliance),从字面意思上理解是指一个企业在经营过程中遵守法律法规,也就是遵纪守法的意思。合规的动词是comply with,意指遵守、遵从,但从合规的发展情况来看,企业需要遵守的对象越来越复杂,早就超越了法律法规,概括起来包括四个方面:一是国家各级立法部门颁布的法律法规,包括法律、行政法规、部门规章、地方性法规等。二是行业惯例,包括行业协会公布的规则、惯例、规章制度、习惯、职业伦理等。三是本企业内部制定的规章制度,四是企业投资所在国的法律和相关国际组织条约。
如今有大量企业到海外经营,参加国际招投标活动,就要遵守国外的法律规定,尤其是必须建立三大专项合规计划,即反商业贿赂合规、大数据合规、出口管制合规,对前往海外投资的企业而言这是最重要的合规领域,我国的中兴通讯公司2017年和2018年两次遭受美国处罚,都是因为违反了美国《出口管制法》。根据美国出口管制法律的规定,只要美国产品作为零部件或原材料被外国制造的产品所使用,并且成份超过一定比例,就可以受到美国法律的约束,中兴公司生产通讯设备所用的芯片大比例来源于美国,所以即便作为在中国深圳的企业,中兴公司也要遵守美国的《出口管制法》,最终因为向伊朗出口商品违反该法而受到长臂管辖,与美国商务部工业安全局等监管部门达成和解协议,在交纳罚款的同时被要求建立合规体系。还有我国的一家国有企业,就因为给一中国企业做代理商,而该中国企业的控股股东是美国公司,即便从未在美国开展业务,美国监管部门也认为这家国有企业受到《反海外腐败法》(FCPA)管辖,这就是长臂管辖,也叫普遍管辖权。
除了投资所在国法律以外,企业还要遵守相关国际公约,因此合规还属于国际经济法的范畴,目前用合规来治理企业的国际组织中最为典型的是世界银行和四大区域银行,世界银行和美洲开发银行、欧洲复兴银行、亚洲开发银行、非洲开发银行这五大国际金融机构签署了联合制裁协议,一家企业只要在其中任一银行被施加剥夺资格一年以上的处罚,就会带来五家银行集体制裁的后果。如今中国有八百余家企业被列入制裁名单,其中湖南建工集团因在考验期内建立的诚信合规体系获得世界银行高度认可,从而顺利被解除了制裁,得以继续参加国际招投标项目。
二、作为公司治理方式的合规
从概念来看,企业合规是指遵守上述四个方面的要求,但是,合规的含义远不止于此。合规还涉及公司治理、公司内部结构等公司法的内容,在公司内部的由董事会、监事会,以及首席执行官(CEO)、首席财务官(CFO)等所组成的治理架构基础上增加了合规治理结构,使公司的内部结构和组织框架发生革命性变化。例如,在董事会之下设立合规管理委员会,增设首席合规官(CCO)等。其中CEO负责管理企业经营,CFO负责财务管理,而CCO则负责风险防控,合规官所拥有的权力被视为第三项权力(the third power),合规官相对独立,具有一票否决的权力,公司的任何重大交易,只要被合规部门一票否决、不予批准,交易就无法进行。因此,合规部门不负责营利,在不为公司创造利润的情况下却掌管着公司的经营业务开展、交易进行,以及对公司客户、第三方、交易伙伴的管理,还在并购活动当中起到最主要的把关作用,负责对被并购企业的尽职调查、客户尽职调查、第三方尽职调查等。
公司治理要解决的是所有权和经营权的关系,最初是指董事会和执行团队的关系,随着企业法理论的发展,公司治理结构越来越复杂,在董事会中还涉及董事会和股东大会的关系,在股东内部涉及大股东和中小股东的关系等等。在企业法视角,合规是指企业为防控合规风险所建立的一套公司治理结构。一个企业面临着各种风险,企业治理体系正是为了防控风险而建立的,有人将这些林林总总的风险分为几十种,将合规风险作为其中之一,如此一来,合规风险的地位就被大大削弱了。事实上,我们可以将企业面临的主要风险分为三大类,在现代公司治理结构当中以下三大风险是并立的。
首先是经营风险,也叫业务风险,是指企业所面临的投资得不到回报、无法营利的风险,其表现方式多种多样,包括市场风险、竞争风险、政治风险等等,今年的疫情导致很多企业难以存续,这也是经营风险的体现。经营风险由CEO团队负责应对,建立起一套极其复杂的经营或业务治理结构,贯彻执行董事会决策,使企业获得营利。
其次是财务风险,财务管理是公司治理中非常重要的组成部分,企业设置了近乎叠床架屋的财务治理机构,从董事会下设立的审计委员会,到首席财务官、财务部、内部审计部门等,都是为了防范财务风险。而财务风险一旦爆发,要么导致效率低下,要么导致贪污腐败、内部舞弊横行,这也将导致企业遭受巨大损失,甚至濒临破产。
最后还有一种风险就是合规风险,其是指企业在经营过程中由于违反法律法规所带来的受到损失的可能性,合规风险由CCO来负责防控。目前来看合规风险可以分为三大类,一是行政处罚的风险,企业由于经营过程违反行政法规而遭受行政处罚,如污染环境、虚开发票、卫生检疫不合格、侵犯知识产权、违反金融监管法规、违反大数据管理法规等等,受到行政机关的处罚。二是企业因为涉嫌犯罪而被追究刑事责任,刑法分则第三章和第六章有160多个针对企业及其高管的罪名,以相应的行政违法为基础,包括生产销售伪劣商品、走私、危害税收征管、破坏金融管理秩序、污染环境、侵犯公民个人信息等等情形,具备情节严重等条件即可转化为犯罪。三是受到国际组织制裁,如世界银行对湖南建工集团实施的就属于国际组织制裁。
在这三大合规风险的处罚机制中,罚款并不是企业忧虑的主要内容。当然,目前国内的罚款存在数额过小的问题,如此低额的罚款根本不足以对企业形成威慑,反而让企业将罚款纳入经营成本中,并追求违法经营所得的丰厚利润。真正能让企业感到畏惧的是制裁中的“资格剥夺理论”,包括取消上市资格、取消特许经营资格等。例如,美国证监会取消了安达信会计师事务所给上市公司提供审计服务的特许经营资格,意味着该企业在短时间之内就会走向破产。最严厉的资格剥夺处罚是吊销营业执照,这相当于直接宣告企业死刑。当然,资格剥夺的类型还有很多,西门子愿意跟美国达成DPA的原因之一,就是因为即将面临被取消跟美国政府进行交易的资格,而西门子的很多仪器设备都是由美国政府购买的,这一资格被剥夺给西门子造成的损失将达到数百亿美元。湖南建工集团则曾被取消参与由世界银行资助项目的招投标资格。
总之,一个企业最在乎的合规风险并不是行政处罚、刑事责任追究、国际组织制裁本身,而是大量经营资格被剥夺,这会让企业遭受灭顶之灾。不公平的是,剥夺经营资格的处罚竟然是由极少数自然人的违规犯罪行为所造成,大量无辜第三人受到损失,大量员工、股东、投资人、客户都没有实施违法违规行为,难道因为极少数自然人的违规就要惩罚数以万计的无辜者吗?这显然是不合理的,因此通过让企业建立合规体系的方式尽量不惩罚企业,而是严惩负有责任的自然人。
作为一种公司治理方式,合规治理是独立于财务治理、经营治理的第三套治理结构。对此可以从两个方面理解,第一,合规治理与财务治理和经营治理相互独立,绝对不能相互合并,不能把CCO至于CEO的领导之下,也不能将合规与财务审计相提并论,而要保持相对的独立,例如有企业由董事会秘书兼任首席合规官,还有的国有企业由纪委书记兼任首席合规官,这就使合规治理具有了独立性。第二,合规治理体系对经营治理和财务管理活动具有监督控制的权力。首先,合规机构对所有经营业务具有一票否决权,中兴公司现在的经营业务最后都由首席合规官审查,只要不按键交易就不能进行,无论发展客户有多困难,一旦存在违规风险就必须拒绝交易,这就是一票否决机制。其次是合规审计,企业内部有财务审计部门,这是财务治理的一部分,而合规部门从外部引入专家对审计部门再审计被称为“合规审计”,所以合规机构中也需要审计人员的加入,或者从外部聘请审计团队,对公司财务治理状况进行以防范合规风险为目的的审计。
概括来看,合规治理结构由三个板块构成,一是合规管理委员会,合规管理委员会要求设在董事会之下,具有高度的权威性和独立性,董事长和总经理都可以成为委员会成员,但合规委员会主席必须是一个非执行董事,不参与经营和管理;二是CCO,也就是首席合规官;三是公司的合规部。大型企业往往根据不同的专项合规计划设立相应的合规部门,中兴公司的合规部由出口管制合规部、反商业贿赂合规部、数据保护合规部三个部门组成,与大而全的合规体系不同,中兴公司只建立这三项合规计划,涵盖了中兴公司特有的合规风险。西门子公司在与美国司法部和证券交易委员会达成和解协议后开始建立合规,如今已建成五大合规体系,包括反商业贿赂合规、出口管制合规、大数据合规、反洗钱合规、反垄断合规。
三、作为风险防控机制的合规
企业合规的第三层含义是作为一种风险防控机制,合规的建立是为了防控合规风险,所以合规又叫基于风险防控的管理体系,它不要求大而全、一揽子、一劳永逸的合规计划,而是要求根据企业的特定合规风险建立专门性的合规管理体系,也就是建立“专项合规”。上述中兴公司的三大合规管理体系,就是基于三大合规风险所建立的,检察机关推进的合规不起诉改革,在要求企业建立合规时也只能针对合规风险打造专项合规计划。
一般而言,作为风险防控的合规由以下体系构成。一是合规章程,针对特有合规风险建立的合规章程,又叫“合规宪章”。二是合规的组织体系,有一个合规风险就要有相应的合规部门,例如有反腐败合规风险,就要有反商业贿赂反腐败的合规部;有出口管制合规风险就得有出口管制合规部;如果企业在税务方面出现问题,就应该有税收合规部门;存在侵犯商业秘密等知识产权违规风险,就需要设立知识产权保护合规部门。三是合规政策,又叫员工手册。四是合规程序,分为防范、识别、应对三大框架。
首先是合规章程,为了有效地防范风险要制定合规章程,也叫合规宪章、商业行为准则,是一个企业建立合规体系标志性、宪法性的文件,对于国家来说,宪法是治国安邦的总章程,对企业来说,章程是所有规章制度的灵魂。合规章程第一要有合规的理念、价值和目标等内容,比如西门子的合规理念就是要追求廉洁的经营活动,只做合规的业务,“追求廉洁的价值”是西门子合规宪章提出的基本要求;第二要有合规的基本框架,把合规组织体系的框架结构写入;第三要有合规的基本原则,在我国合规无罪抗辩第一案中,雀巢公司就将雀巢合规章程作为书证提交给兰州中院,作为证明已建立合规管理体系的证据,实现了责任的切割。
其次是合规组织体系,除了合规委员会、首席合规官、合规部门、合规人员等基本要求以外,尤其需要强调针对专项合规的专门合规组织体系,有几个专项合规就要有几个合规组织。合规组织体系有三条基本要求,一是高度的独立性;二是高度的权威性,具有较高的地位层级才能保证权威性;三是要有足够的外部资源保障,包括人员配备和经费拨冗。美国司法部考察企业是否建立有效合规计划时的重要指标就是合规组织的规模,一个有数万名员工的大型企业如果只有十余位合规人员,一年只拨款百万美元,必然是无效合规。
一个著名案例是中国某银行纽约分行受到美国金融监管制裁的例子,2016年这家银行来了一位客户要存进一笔巨款,根据美国法律,银行要对巨额存款进行反洗钱合规审查,但银行行长为了不让客户流失,想跳过反洗钱合规审查直接给客户办理存款,这项决定遭到纽约分行首席合规官和其下属各个合规官员的强烈反对,认为这会严重违反美国联邦和纽约州的金融监管法律,必须对客户和存款进行合规审查。世界范围内的反洗钱合规主要是审查两大重点,即腐败洗钱和恐怖主义融资,而这些业务如果发生在国内银行,有客户要办理一亿美元的存款业务,任何银行都会将其奉为座上宾,迅速为其办理业务,但是中国某银行纽约分行的这位首席合规官是一名美国女士,由其领导的合规部门具有高度独立性,集体提出抗议。结果纽约分行行长认为合规部门影响业务开展,让合规部集体休假两个月,这些合规官休假后发现该笔存款业务早已办理完毕,严重违反美国反洗钱法律,马上决定集体辞职,行长欣然同意,还不知道风险即将来临。首席合规官立即向纽约金融监管局举报了这家银行的违规行为,纽约州金融监管部门雷厉风行,经过调查,最后同意与纽约分行达成和解协议,但需要处罚1.67亿美元,在中国商业银行海外分支机构被罚款的数额中是比较高的。因此,合规体系不具有足够的独立性、权威性,没有资源保障,其他部门可以随意干涉其工作,就会被认为是无效合规,进而遭受处罚,可见光有一个组织架构是远远不够的。
再次是合规政策,这部分理解起来较为困难。所谓合规政策是指针对专项合规计划,就员工、第三方、被并购方、客户所要遵守的准则、规则而建立的一套规范体系。以中兴公司为例,其制定了出口管制合规政策、反商业贿赂合规政策、数据保护合规政策等三大合规政策。类比来看,合规章程相当于合规的宪法,合规组织体系相当于合规的组织法,合规政策相当于合规的实体法,合规还有三大程序法,这与国家的法律体系十分类似,之所以称其为超越法律的治理,也是因为企业内部的合规等于构建了一个类似于国家法律的体系。
相较于员工手册,合规政策往往比较简略,代表着公司基本的规章制度和规范。员工手册则是写给所有员工遵守的规则,要求更为细化,员工手册将员工需要遵守的规章制度进行汇总,一个合格的员工手册可以让员工不用读法律法规和国际规章,只要熟读合规政策和员工手册,按照其要求操作就足够了,起到了给企业员工说明书的作用,把所有需要掌握的法律法规、规章制度、行业惯例都予以写入,西门子公司光反商业贿赂合规政策就有上百条,写得十分清晰具体,具有高度的可操作性。合规政策和员工手册有两个功能,一是要约束所有相关人员遵守法律法规,必须得有完备的规范文件作为实体法;二是可以作为培训的教材,通过定期培训,强调企业设置的禁止性规范,并且对培训记录、存档、全程电子和书面留痕,这是责任切割的标志,如果通过培训还有员工违法违规,那么责任就是员工个人的,企业得以免责。
这是企业与员工实现责任切割的重要手段,也是企业无罪抗辩的依据所在,因为企业已经尽到培训义务、注意义务和管理责任,为员工划定了行为边界,如果员工在学习规章制度之后仍然实施商业贿赂、污染环境、偷逃税款等行为,企业既不知情也没有参与,那么企业不存在主观罪过,不构成犯罪。合规具有自我监管和责任切割两副面孔,有的企业在完成培训后会要求员工签署合规承诺书,注明“公司建立的合规体系包括以下内容,对此本人知情,已收到公司发放的合规政策、合规员工手册,并接受了公司的合规培训,本人郑重承诺遵守规章制度,绝不做违规犯罪行为,如实施了违规犯罪行为,责任由自己承担”。企业合规本身就有自保的动机,就像航空母舰一样,最重要的中枢指挥系统在最中心最安全的位置,其他部分分为几十个区域,其他区域被攻破后会立即启动隔离程序,防止火灾蔓延、海水浇灌导致功能失灵,最重要的是保证指挥系统的安全。合规就像是企业的隔离带和防火墙,企业员工、客户、第三方违法,通过合规,可以保证企业作为中枢系统的安全,仍然可以继续存活。
最后是合规的三大程序,包括事前、事中、事后三个维度,可以概括为防范、识别、应对三大程序。
一是防范程序,指企业构建合规体系时要搭建一套管理体系,防止发生违规犯罪行为。西门子的合规体系和世界银行的诚信合规体系中都有单独的防范程序,具体而言,可以包括以下几个步骤。
1.定期的合规风险评估。合规风险评估要求与时俱进,随着公司业务的变化和发展而不断更新,每年度都要定期形成合规风险评估报告,发现新的合规风险点。
2.三大合规尽职调查(compliance due diligence),企业在发展三类主体时要做尽调。
首先是发展客户,比如银行在发展重大客户的时候要调查客户的背景、资金来源、违法违规历史、交易情况以及可能存在的洗钱、恐怖主义融资等法律风险,通过尽职调查,律师可以为有关客户的合规风险划出等级,为企业提供是否与有关客户展开商业合作的建议,没有尽职调查报告则说明没有尽到合规管理义务,将受到监管部门的处罚。
其次是发展第三方时要做尽职调查,任何与企业有商业合作关系的商业伙伴都是第三方,包括上游供货商、中游代理商、下游经销商,以及其他特殊服务提供商,如律师事务所、咨询公司、旅行社、会计师事务所等。这种合规尽职调查的目的首先是对第三方的违规历史、合规意识和合规制度进行全面了解,对第三方的合规风险作出准确识别和评估;其次是针对第三方责任与企业责任进行有效切割,以防范企业自身的合规风险。对于那些合规风险过高、可能使企业承担较大继承责任的第三方,企业应终止合作,避免第三方合规风险转移;而对于那些虽有合规风险,但处于可控制范围内的第三方,企业可作出适当的交易安排,提出恰当的合规治理措施,对第三方提出切实可行的合规整改要求,在第三方的合规管理达到企业要求之后,再启动与第三方的正式合作。
最后是并购前的尽职调查,是指在企业准备实施投资并购活动时,委托律师对被并购的企业所进行的尽职调查活动。这种调查需要对被并购企业的性质、规模、治理结构、经营业务、交易情况、资产负债状况、违法违规历史、商业模式、运营方式等展开全面的调查,以便查明被并购企业是否实施过违法违规的行为,有无可能在并购完成后带来新的法律风险。
企业的违规犯罪行为百分之九十发生在第三方和并购环节。企业对员工完成合规培训之后,直接违规比例大幅度下降,对员工的管理成本会也会降低,真正实施违规行为的基本上都是第三方和被并购企业。其中涉及几个重要概念,即连带责任、严格责任、继承责任,这些原本都是行政法和公司法上的概念,连带责任发生在客户身上,严格责任发生在第三方商业伙伴身上,继承责任发生在被并购企业身上。
连带责任是指客户存在违规犯罪行为,由于公司发展该客户业务的时候没有进行尽职调查和合规管理审查,所以客户构成的违规犯罪由公司承担相应责任。最典型的例子是洗钱犯罪,如果银行没有遵循反洗钱合规的流程,没有承担注意义务,未尽到合规职责,那么客户的洗钱行为就由银行承担连带责任,银行也能够构成洗钱犯罪。
严格责任是由于公司员工的违规犯罪行为而导致企业承担责任。我国2017年修订的《反不正当竞争法》第7条,在公法领域第一次引入严格责任原则。企业的工作人员只要实施了商业贿赂行为,就应当认定为经营者的行为,推定企业承担行政责任,这就是严格责任,也被称为无过错责任。
继承责任是母公司在并购一家企业的过程中,成了被并购企业的控股公司,一旦被并购企业从事违规犯罪活动,则母公司要继承其所有法律责任和风险,由母公司承担相应的行政责任和刑事责任。
建立合规防范体系和开展尽职调查都是为了将这三种责任及时切割,使客户和第三方的违规犯罪行为不再波及到公司,使被并购企业此前从事违规犯罪活动的责任不会被母公司继承,充分发挥合规管理和尽职调查的隔离带、防火墙功能,这是一项横跨合同法、侵权法、行政法、刑法、企业法的综合性合规管理活动。
3.合规培训。如前所述,合规培训的对象包括所有企业员工、第三方以及被并购企业,培训的内容包括三个要点:一是合规政策和员工手册的内容;二是本公司此前的违规行为和违规案例;三是国家法律法规的最新变化以及对合规政策的影响。培训类型可以分为常规培训和有针对性的培训两种,常规培训的对象是不特定人,如一年一度面对全体员工的培训;有针对性的培训是针对高风险点和高风险领域的重点部门、员工和上下游第三方的专项培训。有效的合规培训要求书面记录,还要有所有参加培训人员的签字,进行电子和书面的留痕、存档。
4.建立合规惯例和文化。确保在公司内部实现合规信息畅通,形成合规的惯例和企业文化,从中兴公司网站可以看到,首席合规官每个月都发布告全体员工、股东、投资人的一封信,一直在传达本公司依法经营的合规理念,并且再三强调合规的基本框架结构、基本的政策,以及随时接受对违规行为的举报,同时通报最新的合规事件。中兴公司董事长自述每年花费大量时间投入合规管理,得到最高层的重视是有效合规的重要标志,不仅能使合规体系有效运行,还有利于形成合规的企业文化。
二是识别程序。识别程序又被形象地称为“合规雷达”,意指像雷达系统一样24小时监控整个企业,目的是随时发现合规风险、随时发现违规行为、随时做出相应处理,将违规消灭在萌芽之中,因而又叫预警系统。识别程序包括以下几大要点。
1.合规风险报告制度。合规报告是合规国际标准的要求,这种报告是自下而上的,由基层合规专员报告给总公司的合规部,再由CCO签字报告合规管理委员会,实现合规报告直通董事会。报告内容包括本公司近期以来的最新合规风险、发生的违规事件,说明企业管理体系存在的漏洞和风险防范的不到位之处,以便让最高决策层加强合规管理,弥补制度漏洞,及时完善合规体系,这就是自下而上的合规报告制度。
2.合规巡视制度,这是一种像中纪委巡视组一样自上而下的巡视,由首席合规官和其率领的合规团队定期对公司部门、分公司进行巡视,发现违规事件和风险苗头及时处理,督促相关部门加以整改,同时向合规管理委员会进行报告。尤其是大型企业的分支机构数量庞大,并且可能遍及全球,合规巡视制度是识别程序的必要组成部分,实现了监管方式的创新。
3.合规审计,大量的违规犯罪行为发生在经济领域和财务领域,因为内部审计部门不独立,有时候甚至参与帮助财务造假,此时合规部门根据情况需要可以引入外部专业力量,聘请外部审计团队,对财务审计工作进行再审计,这种再审计就是合规审计,是识别违规犯罪行为的一种手段,有人称合规审计为二次审计,与传统审计工作的功能不同,第一次审计是企业内部的财务管理方式,第二次审计是识别合规风险、发现违规行为的合规治理手段。
4.吹哨人制度,即企业内部的违规行为举报制度。企业要构建24小时接收、传达违规举报的相关手段,包括电话、网站、微信公众号等,既要随时接受举报、及时处理违规事件,又要严格保护举报人,不能对其实施打击报复。世界银行制裁湖南建工的时候,有一次暗访,连续拨打10次举报电话,结果只有一次有人接听,如果要举报违规行为但没人接听电话,那么合规举报机制就成为摆设,世界银行马上要求整改,此后再次抽查时拨打10次电话能有7次被接听,这才被认定为合格。美国建立了最为发达的举报人制度,其建立在两个基础上,一是高额罚款,二是高额奖励举报人,重赏之下必有勇夫,举报人冒着被开除的风险,甚至冒着身家性命危险不顾打击报复进行举报,给予举报人的奖金要足以让其后半生衣食无忧,所以美国联邦系统会将罚款金额的三分之一奖励给举报人,有时这一金额可达数千万美金。2019年国务院通过了一个重要规定,即《关于加强和规范事中事后监管的指导意见》,其中首次明确建立吹哨人制度,吹哨人正式进入国务院的文件,只不过没有实施细则,期待后续有更加完善的制度规范。
三是应对程序。应对程序又叫危机处理,是指企业在违规行为发生以后要及时做出合规应对和处理。应对程序包含三大要素,分别是积极配合、有效补救、认真整改。
首先是积极配合,在发生违规行为后,企业要积极配合调查,不能毁灭伪造证据,不能与员工建立攻守同盟。合规体现了一种合作性法律理念而非对抗性理念,一味与监管机关对抗,尤其是在行政监管阶段动辄要求行政复议、申请行政听证、提起行政诉讼,如果有对抗的空间还则罢了,如果根本没有对抗的余地,那么这种进攻的姿态就很容易使自己陷入极为不利的境地,而且丧失了最佳的合作机会,甚至迫使监管机关将案件移送刑事司法机关。这个时候就要理智地采取合作的方式,通过合规合作来换取宽大的处理,避免更大损失。
其次是有效补救,第一要立即赔偿被害人的损失,表现真诚的悔过态度,这是获得合规激励的前提。第二要补交税款,企业在税收方面存在的问题要及时补救,否则也没有进入合规的可能性。第三,积极缴纳罚款,只有主动缴纳相关罚款,才能显示企业补救的诚意,才能获得执法部门的认可。
最后是认真整改,最重要的是要及时开展合规内部调查,整改的具体标准有三。一是调查违规事实,这正是合规内部调查与合规尽职调查的区别所在,合规尽职调查是一种防范体系,合规内部调查则是危机应对机制,一般是由企业聘请外部律师团队对企业的违规行为进行专门调查,提交内部调查报告。当年西门子事件案发后,公司就聘请美国德普律师事务所介入,开展了为期两年的内部调查,最终合规内部调查报告提交美国证交会和司法部之后,促成了和解协议的达成。仅这项内部调查业务,西门子支付了高达8.5亿美元的律师费,如今合规已经成为律师的头号业务,美国律所诉讼业务收入与合规业务收入的比例接近一比五。二是发现违规人员后及时惩戒责任人,并将其予以披露,交由司法机关处理,这也是积极整改的重要标准。三是针对发现的合规漏洞提出补救方案,改进完善合规管理体系。系统性查清整个合规管理体系的漏洞,这本身就是内部调查的重要功能,发现漏洞后,要立即制定整改方案,对合规体系进行有效的修补和完善。
四、行政监管与合规
企业合规具有多学科交叉的特征,合规有遵守法律规则的意思,是公司内部治理结构的一种,还是作为风险防控机制的管理体系。此外,合规也是行政监管问题,合规既是行政法的范畴,又是国家管制的经济法范畴,两者在市场监管法领域具有相同的内涵,除了行政法以外,还涉及到证券监管、环保监管、税务监管、市场秩序监管、金融监管等专门监管领域,在欧美,几乎所有具有行政监管权的部门都有要求企业建立合规体系的权限。
美国对涉嫌行政违法和犯罪的企业,90%以上都是以不处罚或不起诉的方式进行处理,其中刑事司法机关往往会与企业达成DPA(暂缓起诉协议),比如德意志银行、法兰西银行、德国西门子公司、中国中兴公司等大型企业都与美国司法部达成了DPA;行政监管机关则会与企业达成行政和解协议,美国证交会、美国联邦贸易委员会、美国司法部、美国商务部、美国财政部、美国环保署、美国药监局等监管机关都有该项权限,去年引起轰动的案例是Facebook公司因为侵犯用户隐私和数据安全,与美国联邦贸易委员会达成行政和解协议,包含50亿美元的巨额和解金,创造了史无前例的记录,并且Facebook公司还要接受联邦贸易委员会持续长达20年的合规监控,一旦未按照协议约定履行合规建设和定期报告义务,其仍将受到严厉的行政处罚。合规已经进入我国行政监管领域,2015年中国证监会颁布《行政和解试点实施办法》,我国第一次出现行政执法和解,刚刚颁布的《中华人民共和国出口管制法》也为出口经营者建立了合规激励机制。合规作为一种行政监管激励机制,有着以下三个方面的具体内涵。
一是建立有效合规计划的企业,行政监管部门对轻微违规可以不处罚,但这种情况比较少见,因为企业违规动辄构成情节严重。
二是达成行政和解,对已经建立合规体系或有建立合规体系意愿的企业,行政监管部门可以与其达成行政和解,由企业交纳罚款或和解金、重建合规计划,监管机关为此设定一定的考察期限。美国商务部、证交会、财政部等监管机关都与企业签订过以合规为中心的行政和解协议。此处的“行政和解”,既不是指行政复议中的和解,也不是行政诉讼中的和解,而是一种“行政执法和解”。中国证监会《行政和解试点实施办法》规定证监会在调查违规企业的过程中,如果企业有合规意愿,双方可以达成和解协议,和解协议条款有二,一是由企业交纳和解金,二是证监会责令企业在一定期限内建立合规管理体系。作为一种交换,只要企业交纳和解金,证监会就中止行政调查,同时要求在两年时间内加强合规整改,建立一套合规体系,根据企业建立合规计划、实施整改方案的情况决定是否恢复调查程序。这就是运用行政和解制度建立一种附合规条件的行政宽大处理的激励机制。行政和解目前在我国已经产生了两个重大案例,第一个案件是2019年中国证监会与美国高盛公司亚洲分公司达成和解协议,高盛公司交纳1.5亿和解金,并被责令建立合规体系,但没有期限要求。第二个案件是2020年中国证监会与上海司度贸易有限公司等五家企业达成行政和解协议,要求司度公司交纳6.8亿元和解金,创造了行政和解金的最高记录。
三是企业建立合规,监管机关就给予宽大的行政处罚。在违规行为情节严重,行政处罚已不可避免的时候,行政和解又没有达成,那么凭借合规也可以得到宽大的处理,降低行政处罚的严厉程度。例如,根据美国证交会(SEC)发布的执法手册,因为建立合规计划而获得合作奖励的企业,有可能被减轻或免除民事罚款。而在美国商务部下设的工业与安全局(BIS)的执法程序中,一个合乎指导规定、运行良好的合规计划,可以成为BIS从轻或者免除行政制裁的重要根据。
五、刑法与合规
企业合规还是一个刑法问题,作为刑法的激励机制,包括以下几种具体类型。
第一,合规无罪抗辩。英国2010年《反贿赂法》首次确立了合规无罪抗辩制度。该法创立了“商业组织预防贿赂失职罪”(failure of commercialorganization to prevent bribery),只要一个商业组织的员工实施了商业贿赂行为,该商业组织即构成该罪。但与此同时,该法也规定只要该商业组织已经按照要求完成合规体系建设,就可以被免除刑事责任,这意味着和自然人可以用正当防卫、紧急避险做无罪抗辩一样,企业一旦符合犯罪构成要件,则可以用合规来作出无罪抗辩,由此,合规成为商业组织的无罪抗辩事由。
2016年兰州中院判决的雀巢公司五名员工侵犯公民个人信息案,被称为中国合规无罪抗辩第一案,五名员工均被定罪,他们上诉的主要理由是所实施的向医务人员提供贿赂收买婴幼儿信息的行为是职务行为,本案应是单位犯罪案件。但雀巢公司最终没有被认定构成犯罪,因为雀巢公司的答辩理由是已尽到合规管理义务,禁止员工侵犯公民个人信息的政策和规范不仅明文被列入包括雀巢公司宪章、公司指示、员工手册等规范性文件之中,而且还被列入员工培训内容之中,这些书证被送交给兰州中院,证明雀巢公司对这些员工的行为不知情,也尽到了管理、监督、教育、培训的责任,那么,对这些员工违背公司规定所实施的犯罪行为,雀巢公司既没有犯罪故意也没有主观过失,当然就不承担法律责任了。
第二,达成暂缓起诉协议或不起诉协议,也就是DPA或NPA。美国1977年《反海外腐败法》(FCPA)将美国企业和在美国开设分支机构的外国公司等与美国有联系的企业都纳入管辖范围,几乎辐射到全球企业,FCPA通过反腐败条款和会计条款对企业合规提出严格要求,我国也有大量企业被处罚。FCPA的主要执法方式即与涉案企业达成DPA或者NPA(不起诉协议),同时要求企业重建合规计划。我国的附条件不起诉,本质上也是一种和解协议。
第三,合规成为一个量刑情节,并且是宽大量刑情节。这被称为“量刑激励”,即法院在对涉嫌犯罪的企业进行定罪后,可以将企业建立有效的合规计划作为一种重要的量刑情节,并以此为依据对企业作出较大幅度的减轻处罚。未来刑法的修改方向,可以把合规作为减轻处罚情节,这对自然人也会具有一定的积极效果,违规责任人也可以得到适当的宽大处理。欧洲大陆法系国家中还有诸如意大利和西班牙,都在刑法体系中明确规定了合规制度,对特定犯罪而言,合规可以作为无罪抗辩事由;对普通犯罪,合规也可以作为减轻处罚情节,得到量刑上的宽大处理。在刑法中引入合规制度已经成为世界性的趋势,其本质就是通过刑法上的宽大处理,为企业建立合规提供激励机制。
法国在2016年通过其反贿赂刑法,即《萨宾第二法案》,正式确立合规制度,而且率先设立强制合规制度。该法规定用工人数达到500人以上、营业收入超过一亿欧元的企业必须建立合规制度,对于未按照规定进行合规建设的企业,法国反腐败局有权对企业处以100万欧元的罚款,并对高管处以20万欧元的罚款,此外,该法还确立了合规制度的基本内容和标准。这种不建立合规体系就构成违法的强制合规制度,走在了世界各国的前列。
六、刑事诉讼法与合规
企业合规还是一个刑事诉讼法问题,合规可以作为刑事诉讼法的激励机制。发源于美国的暂缓起诉协议制度(DPA)和不起诉协议制度(NPA),就是合规在刑事诉讼领域的主要制度表现形式。
DPA和NPA是美国创造的刑事司法制度,是检察机关公诉权的组成部分,当然属于刑事诉讼法的范畴。检察官对于已经提起公诉的案件,可以与涉案企业达成暂缓起诉协议。暂缓起诉协议会记载有关的犯罪事实,需要取得法官的批准。而对于尚未提起公诉的案件,检察官则可以与企业达成不起诉协议。这种协议不需要法官的批准,也一般不需要记录有关犯罪事实,完全由检察官与涉案企业通过协商来达成协议。协议条款主要由两部分构成,一是交纳高额罚款,二是在规定期限内完成合规计划的打造或完善。例如,2008年德国西门子公司因涉嫌商业贿赂而违反FCPA,最终与美国司法部和证交会达成DPA,进行为期三年的合规整改,并需要交纳近8亿美元罚款。此处的罚款不具有罚金的性质,而是目前中国制度体系中尚未出现的,同时也是行政法学界激烈讨论的“检察罚”,这意味着在行政处罚一体化视野下,检察机关也可以做出行政处罚,当案件涉嫌犯罪时,行政机关因为把案件移送给检察机关而无法做出行政处罚,此时由检察机关做出的行政处罚被称为检察罚,由法院做出的行政处罚是法院罚,这与法院所做的刑罚裁判有本质区别。目前至少有10%的行政违法案件都会转化为刑事案件,如果司法机关没有做出行政处罚的权力,只能发出检察建议或司法建议,会显得十分被动并且效率低下。
因此,目前美国对企业涉嫌犯罪的案件有三种处理方式:在早期检察机关可以与企业达成NPA,在检察机关向法院提出指控后,与企业所达成的是DPA,随后的审判阶段,检察机关还可以与企业达成辩诉交易。而且,即便没有达成辩诉交易,合规也可以成为量刑宽大情节。阿尔斯通前任高级副总裁皮鲁耶齐违反FCPA,阿尔斯通作为法国最大的通讯公司,因在美国设有分公司而受到美国的长臂管辖,皮鲁耶齐最终被判刑,出狱后写了《美国陷阱》一书来揭露美帝国主义的霸权行径。但是我们要注意到,皮鲁耶齐拒绝了通过建立合规换取辩诉交易的机会,导致了最终被判罚收监的结果,阿尔斯通公司也被迫解散,因此从合规视角来看,阿尔斯通就是应对失败的案例。
安达信案也是极为典型的案例,安达信曾是全球五大会计师事务所之首,在安然公司财务丑闻爆发后,安达信事务所开始销毁有关安然公司的大量会计账册,2002年得克萨斯州南区联邦地区检察官办公室经初步调查,认定安达信涉嫌妨碍司法罪,由于安达信拒绝达成DPA、NPA或辩诉交易,被判处罚金50万美元,并被责令五年内不得从事会计业务。尽管该判决后来被联邦最高法院推翻,但在联邦地区检察官向法院起诉的第二天,美国证监会便发出通告,取消安达信从事给上市公司提供审计服务这一主营业务的资格。短短半年时间,这家在全球拥有8.5万名员工,全球营业额达到93.4亿美元的商业帝国轰然倒塌,到2002年年底,2300多家上市公司客户陆续离开安达信,客户流失殆尽,全球分支机构相继被撤销或被收购,雇员仅剩3000人,如今的阿里巴巴总裁张勇,就曾在1995到2002年期间就职于安达信。在合规历史上,安达信事件就是刑事诉讼负面影响的典型体现,一场刑事诉讼毁掉一家大型企业,受波及的员工、员工家属、股东、投资者、第三方合作伙伴等超过20万人,使美国的经济危机雪上加霜,甚至进一步引发了游行示威和金融海啸,当时美国总统小布什在国会演讲中痛彻心扉,提出刑事司法制度和司法政策必须彻底改变。
本案产生了合规领域朗朗上口的两句名言,第一句是“起诉一家企业等于宣告其死刑”,第二句是“应当保护企业,但不得放过自然人”,也就是说,在刑事司法中,应当尽量保护企业,不能轻易起诉,但是要严惩企业内部负有责任的自然人,一定不能放过违法违规责任人。这一理念流传下来产生了合规调查中的反舞弊调查制度,对于涉嫌犯罪的企业,重点是找出自然人责任人,将其绳之以法并进行严厉处罚,而对企业而言就通过不起诉的方式激励其建立合规体系。去年,万达集团因内部腐败问题开除4名武汉区高管,并将贪腐线索移送司法机关,这就是企业进行内部整改,通过交出责任人来保住企业的方式,阿里巴巴、腾讯、百度等大型企业也都因内部严重贪腐问题将集团高级管理人员移送司法机关,背后的原理就是企业合规,通过合规调查建立隔离带和防火墙,阻断违规自然人和企业的联系,实现责任的切割,最终保住企业。
由此,刑事诉讼法出现了针对企业的特别程序,也就是合规不起诉程序,近年来我国受此触动,法学界开始研究这一程序,检察机关也开始积极展开试点。今年最高人民检察院授权深圳宝安区检察院、南山区检察院、上海浦东新区检察院、金山区检察院、山东郯城检察院、张家港市检察院等6家检察院开展合规不起诉改革,除此以外,浙江宁波检察机关开始部署针对企业的合规考察制度,浙江岱山县检察院推行了合规不起诉制度,江苏的南京和无锡两地也在积极开展合规不起诉改革。在保护民营企业的政策导向下,我国检察机关顺应国家治理现代化的总体目标,明确积极参与和促进国家治理、为经济社会发展大局服务的工作理念和任务,开始提起公益诉讼,参与对国家发展过程中出现的违法违规事件的治理,包括民事公益诉讼、行政公益诉讼、刑事附带民事公益诉讼,对实施污染环境、危害食品药品安全、侵犯国有土地资源等的大型企业进行治理,并督促不作为的行政机关及时履职。检察机关还将社会治理型检察建议也作为参与社会治理的手段,要求企业进行整改、消除制度隐患、堵塞管理漏洞,这已经具有了企业合规的雏形。检察机关在国内多地推开的合规不起诉制度,则正式将合规引入公诉。实践中适用合规不起诉制度的案例主要集中在商业贿赂、虚开发票、污染环境等案件,所涉及的都是民营企业最常见的罪名。
在一起试点案例中,一家民营企业由于疫情期间生存困难实施了虚开增值税专用发票的违法行为,案件进入审查起诉阶段以后,检察机关意识到该企业有大量员工,一旦给企业及其负责人定罪量刑,公司将难以为继,进而给经济发展和社会稳定带来影响。于是,检察机关开始关注涉案企业是否有合规整改的意愿,该企业表示愿意整改并接受监管,同时愿意聘请合规律师帮助完成合规计划的打造。合规业务是一项专业性极强的律师业务,而且往往涉及刑行交叉、刑民交叉的内容,需要专业的律师团队介入。有的合规计划试图用上百个政策条文涵盖数十种所谓的刑事法律风险,这种合规计划是不专业的而且是无效。合规的生命是专项合规计划,针对企业面临的合规风险点和重点合规风险领域打造合规计划才是有效的,例如出现税务问题的企业只要完善涉税专项合规计划即可,一个生产医用口罩的企业涉嫌虚开增值税专用发票罪,既没有污染环境,也没有侵犯知识产权,就无需建立这些合规计划。因此合规是基于风险而建立的一套管理和防控体系,对该涉案企业而言,面临的主要风险就是税收问题,因违反国家的税收管理法规而构成虚开发票类犯罪,在律师帮助下建立起税收专项合规计划就能预防类似的犯罪行为和违规行为再次发生。检察机关给这家企业设置了六个月到一年的考验期,并责令企业聘请专业律师介入。目前深圳市宝安区司法局已经出台《关于企业刑事合规独立监控人选任及管理规定(试行)》,将形成“合规独立监控人名单”,这和破产程序中的破产管理人十分相似,检察机关开始探索律师事务所担任合规监控人,部分试点地区称为合规监管人。被纳入到监管计划的企业在制定合规监管计划之后,经检察院批准聘请律师事务所,在一年监管期内接受其持续监管,每两个月提交一份合规监管进展报告,根据情况要求企业加强整改,推动合规监管计划的实施。最后企业提交一份合规总报告,由检察机关邀请企业、合规监管人、公安、相关行政机关一起举行公开听证会,考察合规计划的完成情况,经过合规听证会讨论,确认合规监管计划顺利实施,企业已经按照要求进行了整改、堵塞了漏洞,造成违法乃至犯罪的制度缺陷被填补,内控机制得到了完善,就正式做出不起诉决定,这就是现行合规不起诉的大致流程。
这一过程也体现出合规不仅是刑事诉讼问题,还涉及公司治理,只有公司的合规治理体系被检察机关验收认定为合格,才会最终做出不起诉的决定,使企业获得无罪的处理结果。上市公司获得无罪处理意味着上市资格得以保留,不会被勒令退市,更不会被处以取消特许经营资格和吊销营业执照这种更严厉的处罚。而民营企业一旦获得无罪处理,企业的负责人也不会因单位犯罪而承担刑事责任,可以继续领导企业进行正常的生产经营活动,这样一来,一家企业就被救活了。
总结来看,企业合规是典型的多学科交叉课题,在国内兴起不过短短数年,如今已风靡法学界。企业合规既是行政法问题,也是经济法问题,存在于经济法中所有涉及行政监管的领域。企业合规还是刑法和刑事诉讼法问题,更是企业法和公司治理问题,甚至还是一个法理学课题。合规被称为“替代法律的公司治理”,从三点可以看出其在法理学上的重大意义。
第一点是“外部监管对跨国大企业来说失灵了”。一般说来,外部监管只对中小型企业能够产生较好效果,当企业发展到上万名员工,几十家分公司,数千个第三方代理商时,工商部门、税务部门、环保部门等政府机构根本无力监管,由此出现外部监管失灵的现象。面对庞大的商业帝国,如西门子公司在全球有超过30万名员工,业务遍及全球200多个国家,每年都有数以千计的企业被其并购,经济活动高度活跃,与其有关联的员工、分公司、代理商、第三方加在一起能达到一百多万;前述安达信会计师事务所破产事件能够辐射数十万人;中国的中兴通讯全球员工超过七万人,拥有上百家分公司,其总部就设在深圳,当地监管部门从外部根本无从实施监管。外部监管失灵的标志是没有产生监管效果,违法违规乃至犯罪行为依然层出不穷、屡禁不止。
第二点,在企业经营过程中,大量的行业本身存在着违规和犯罪行为难以有效控制的现象。企业实施违反食品药品安全管理法律法规行为的时间和地点往往非常隐蔽,通常情况下难以被食品药品安全监管部门察觉;企业实施污染环境行为的时间也经常发生在后半夜,在偏僻处偷偷淹埋固体废物、倾倒废水,对监管和执法构成巨大挑战,企业为了追逐利润绞尽脑汁进行的违法犯罪活动,这在包括欧美国家的全世界范围内都成为一大治理难题。因此,除了面对大型企业的外部监管失灵以外,企业内部违规的方式也是防不胜防。
第三点,美国上世纪六十年代开始出现了一个词——“自我监管”(self-policing),又叫内部治理。60年代美国也面临同样的困境,污染环境、侵犯知识产权等案件层出不穷,违法违规行为大量发生,一开始美国政府没有选择强力介入推进合规,而是由美国各行业协会为了维护产品声誉、维护行业信誉开始建立内控机制。但到了上世纪八十年代末、九十年代初,随着世界范围内金融危机的出现,企业生存面临巨大压力,加之现代大型跨国企业纷纷涌现,行业协会已无力承担管理职责,很多企业在自己国家不敢越雷池半步,但是一到其他国家就开始无所顾忌地实施商业贿赂,使母公司所在国的行业协会无法管理。于是美国司法部在90年代开始介入,建立政府外部压力下的合规机制,后来传播到欧洲和世界各地。因此合规最早是行业协会对企业的管理方式,后来成为政府的监管手段,在法理学意义上,合规是行政监管机关或刑事检察机关采取的一种通过建立合规换取宽大处理的监管激励机制,即企业只要建立合规,就可以给予宽大的行政处罚和宽大的刑事处理,通过这种激励机制,激发企业在内部进行自我监管的动力。
具体而言,一个企业的监管对象主要包括四大类,这也是合规的重要对象。一是员工,全体员工包括企业高管都是合规的监管对象;二是客户,有的客户本身有违规乃至犯罪的传统,企业发展客户时一定要对其进行尽职调查和合规管理,尤其是银行等金融机构,对客户钱款要进行专门的反洗钱调查;三是第三方,包括上游供货商、中游代理商、下游销售商,将具有违法犯罪基因的第三方及时剔除;四是被并购企业,并购是现代企业一项重要的经济活动,对被并购企业也要进行尽职调查和评估,要分级管理,发现存在违法违规隐患的及时结束并购,另外,在与任何企业打交道时都可以在合同中设置合规条款,要求对方企业遵守本企业的合规管理体制,否则可以立即解除合同终止交易,这就使得合规与民法相结合。如此一来,让企业管理好员工、客户、第三方、被并购企业,监管部门只需要建立起一套激励机制,就形成超越法律的治理,这是一种新型的社会治理方式,超越法律、司法机关、监管部门,让企业进行自我整改、自我监控、自我管理。
来源:北京大学法学院招生教学信息平台
推荐阅读