2023年《最高人民检察院工作报告》明确,自2018年起,检察机关相继发布11项检察政策,明确对企业负责人涉经营类犯罪依法能不捕的不捕、能不诉的不诉、能不判实刑的提出适用缓刑建议。且自2020年启动企业合规改革试点工作以来,共办理相关案件5150件,已有1498家企业整改合格,3051名责任人被依法不起诉[1]。这足以体现最高检在营造法治化营商环境,保障企业家合法权益的工作成果。同期,相关科研机构对企业家相关刑事判决文书的实证调研,也体现了企业家的涉罪处罚情况[2]:
上述数据表明,虽然司法机关针对涉案企业家从宽处罚的政策已经于2018年相继出台,甚至在涉案企业合规试点启动后,亦有诸多涉罪企业家被不予起诉,但刑事判决书呈现的涉罪企业家人数(尤其是民营企业家)依旧呈现增长趋势。
笔者认为,检察机关推动涉案企业合规取得的工作成果,足以体现我国推进企业合规建设,促进企业健康发展的力度与决心。而实务中,虽然有国家政策的积极引导、涉案企业合规改革(事后刑事合规)的制度激励,但受传统营商理念及运营方式的影响,我国企业尤其是民营企业,对合规管理的关注及落实力度相对不足,商业贿赂、数据安全、经营管理等方面的违规行为依旧高发,企业及企业高管、员工涉嫌刑事犯罪的案件总体呈现增长趋势。这亦凸显企业对刑事法律风险的识别与防控能力的不足,说明了企业开展“事前刑事合规”,构建刑事合规制度的必要性。为此,笔者拟根据自身办案经验,总结企业常见的刑事合规问题,并从风险识别与处置的视角提供相应的工作方法与解决路径。
一、企业常见的刑事合规问题
(一)刑事合规管理人员配备不足,各项业务及工作流程缺少必要的“刑事合规”审查环节
部分企业虽然内设了审计、法务等人员,但缺乏兼顾合规管理与刑事法律的合规人员,不足以支持企业开展刑事合规管理的相关工作,导致企业各项工作流程中缺少必要的合规审查环节。例如,在企业的销售、采购以及项目实施等业务流程中,只概括性地规定了流程性的审批以及风险提示,没有在合同签订、项目实施过程中设置必要的合规审查环节。
(二)企业内控及合规监督机制的风险识别、处置能力有限
企业制定的《内部控制手册》、《员工手册》等内控、合规制度偏向于对企业业务、项目流程式的控制,缺乏对相关法律风险,尤其是刑事法律风险的识别与处置能力。
(三)企业内控机构对高管的监督力度有限
在制度设计层面,企业缺乏必要的禁止性行为规定及惩戒措施,未形成有效的监督管理机制与威慑力。企业对高管、员工违规违纪行为,尤其是商业贿赂行为、舞弊等违法行为的监督、发现、调查与处罚力度不足。
在制度执行层面,企业内设的法务部等内控机构隶属管理层,受制于工作职级等现实问题,无法独立行使监督职能,无法对企业高管的经营行为进行有效、实质性的监督。
(四)企业合规文化缺位,员工合规意识薄弱
企业忽视合规文化的塑造与培养,缺乏对员工合规意识与风险识别能力的培训工作,导致企业高管、员工对相关法律法规的认识不足,法律意识淡薄,无法准确识别风险行为,致使违法犯罪行为发生。例如,在商业往来中,企业员工无法准确把握与客户、供应商等主体商业往来的合理限度,从而引发商业贿赂的刑事法律风险。
笔者认为,引发上述问题的根本原因在于,企业对刑事合规的重视程度不足,未能有效地构建刑事合规制度。刑事合规作为企业合规的重要内容之一,其以刑事法律规范为主要合规依据,并以其指导企业合规制度的构建,补充完善工作流程,增强企业管理人员、员工的刑事合规意识,进而识别经营过程中的刑事法律风险,并采取恰当的措施,降低(或规避)相应风险所引发的法律责任。
本文拟从刑事合规风险的识别与处置的视角,简要阐述企业构建刑事合规制度的基本工作方法。其中,风险识别指的是,企业通过构建刑事合规的组织体系与制度体系,以实现合规部门的独立监督,并有效识别企业运营过程中的风险要素。风险处置指的是企业针对已识别风险要素进行法律分析,并制定有效的处置方案。
二、刑事合规风险的识别
(一)风险识别:刑事合规的组织与制度体系
1. 组织、制度体系
刑事合规组织体系是指企业从决策层、管理层到执行层关于开展合规工作的责任主体及其职责安排,包括合规管理制度的决策机构、执行机构、合规专业人员及岗位的设置等。从组织结构上看,组织体系有横向监督与纵向衔接两个维度。简要示例如下(仅作示例参考):
一是,纵向衔接。企业高级管理人员及合规负责人应当树立“合规从管理层做起”的合规理念,自觉接受合规监督,确保合规部门在的独立地位。同时,合规部明确合规审查、合规联系人等关键岗位的审查责任、合规责任,并将风险控制流程转变成可供实际操作的工作步骤和管理标准,对关键的审查节点进行必要的风险提示。
二是,横向监督。从企业的管理层至基层员工,每一层级都有对应的合规监管部门、人员以及相对应合规规范。例如:管理层由合规部进行合规监督,并遵守相应的合规义务及要求。而业务部门则需要在合规专员的监督与指导下,执行部门合规细则,以及与其业务相关的反商业贿赂、数据合规等专项合规指引。
2. 制度体系
组织体系的有效执行,需要制度体系予以支撑。制度体系是指企业建立的、由不同层次、不同形式的管理制度、规范组成的制度性、规范化系统。其中,与刑事合规相关的文件规范形式主要有两大类:
(1)刑事合规管理基本制度及工作流程,该类文件内容包括但不限于:《刑事合规风险识别清单》、《企业刑事合规手册》等。
(2)专项合规管理制度和工作流程,文件内容包括但不限于:《企业反商业贿赂合规管理办法》、《企业网络安全与数据合规管理办法》、《企业商业伙伴合规管理办法》等。
(二)刑事合规风险识别的路径与工作方法
1. 合规风险识别清单:风险识别的重要路径
合规风险识别应当遵循全面、有效的基本原则,以“合规风险行为的识别”为基础,进而制定“合规风险识别清单”。该清单的目的在于,以专项模块的形式,向企业高管、员工提示各项高风险行为以及表现形式,在提升其风险识别能力的同时,留存区分单位责任与个人责任的相关材料。
《合规风险清单》应当区分各业务流程的可控、可能存在的风险点,并与合规管理制度建立相应的关联。同时,企业合规的内部培训,应当将《合规风险清单》作为企业合规培训的重要载体,建立常态化开展风险识别机制,落实合规管理主体责任。以笔者总结的某互联网企业合规风险清单为例(部分内容,仅作示例参考):
2. 刑事合规风险识别的工作方法
根据笔者的项目经验,识别刑事法律风险的常规的工作方法有:
(1)运营文件的梳理与调查
运营文件资料是记录企业各项工作的重要载体,也是识别刑事法律风险的重要途径。从表现形式上看,此类业务文件包括但不限于企业主营业务的相关合同文本、供应商及客户名录、业务交易合同、支付凭证、财务账册、甚至是企业员工的日常工作邮件等。例如,通过调查异常的供应商及客户名单及审批流程,可以发现企业相关高管及员工与其是否存在不正当的来往行为,是否存在泄露相关重要信息的可能性。
(2)大数据检索
互联网大数据为企业开展刑事合规的相关工作提供了相对便利的条件,例如,刑事裁判文书包含的大量信息为企业进行大数据分析与案例检索奠定了重要基础。实务中,已有相关企业通过判决文书的检索进行刑事法律风险的识别与排查工作。一般来说,大数据检索的主要对象有二:
一是,政策法规。与行业相关的政策法规,往往包含了违规行为的表现形式,这是企业开展刑事合规的重要依据。通过大数据平台,企业可以跟进、关注行业相关的政策法规,并及时更新企业的合规政策。同时,企业可以将相应的政策法规编写成《行业资讯》,向企业各部门及员工发放,及时组织必要的合规培训。
二是,刑事司法判例。企业可以通过对裁判文书大数据的研究,跟进司法实践最新动态,并以前述统计的文书数据为基础,对数据进行分析和深入研究,提炼更具备针对性,切合实务需求的刑事合规风险点。例如,通过相关文书数据统计、案例研究,可以充分归纳、总结企业及其高管涉嫌刑事犯罪的行为特征、高发风险领域以及行业特征,进而总结刑事法律风险的识别与防控要点。这些风险要点更加契合企业识别相关刑事风险的实践现状,也更加符合企业制定刑事合规策略的需求。此外,企业可以通过大数据检索,以查证公司拟聘任的高管、员工是否存在隐瞒既往违规违法行为,以及合作客户、供应商等外部主体是否存在因关违规行为而被社会关注或者执法机关处罚的情况等,规避不必要的风险因素。
(3)内部举报
内部举报是企业发现合规风险的重要方法。为此,企业应当保障内部员工、外部客户、供应商都能够正常行使举报、投诉违法违规行为的权利。例如,设立并保障举报渠道(举报与投诉热线、投诉信箱/邮箱等)顺畅,针对反映的问题和线索,及时开展调查。调查证实存在违规行为的,应按照相应规章制度和流程进行处理。
(三)刑事合规风险的处置
企业应当强化合规管理机构、执行机构及相关人员的合规责任意识,完善员工违规行为处罚机制,明晰违规责任范围,细化惩处标准。以上述工作为基础,加强合规管理的信息共享机制,积极倡导企业各业务部门及员工及时汇报合规风险事项。合规部门应当对合规风险进行审查、评估,并制定相关的处置方案。
(一)明确合规风险的类型,制定初步工作方案
企业常见的刑事合规风险主要有三类:
一是,由企业业务经营、企业展业引发的刑事法律风险。此类风险将会导致企业无法正常经营,高管及员工面临刑事法律责任。
二是,企业员工的内部舞弊行为。此类风险将会导致企业的资产、市场经营收入、甚至对企业声誉造成重大负面影响。
三是,由企业客户、供应商违规行为引发的刑事法律风险。此类风险将会导致企业(或企业相关高管、员工)面临共同犯罪的刑事法律责任。
对上述两类合规风险的处置流程,企业的调查目的、工作方式、处置方案均不相同。
(二)资料收集、固定与内部调查
基于对合规风险评估与认定的需要,针对相关风险事件,企业需要收集的资料,并开展基础的内部调查工作。根据笔者的项目经验,常见的资料类型有:业务合同文本、招投标文件、立项报告、申请文件等材料;电子邮件、企业OA等各类工作记录、微信、QQ、短信等聊天记录;财务凭证、账目、发票、收据及各类财会审计材料。
笔者将这一环节的调查重点与调查目标简要列举如下(仅作示例参考):
(三)制定处置方案
当企业掌握相关材料后,应当结合相关法律规定、行业规范等文件,根据材料情况、企业经营状况等多方面因素,制定处置方案。实务中,针对不同类型的合规风险以及不同的事件阶段,企业处置方案的重点亦存在不同。
以企业员工的内部舞弊行为为例,笔者将处置方案的重点内容及方案简要列举如下(仅作示例参考):
(1)分析员工违规行为涉及的相关法律问题,并明确员工违规行为对企业造成负面影响的可能性。例如,员工行为对企业造成的经济损失情况;企业挽回经济损失的可能性分析;企业是否会因员工的违规行为承担相应的法律责任等。
(2)针对员工违规行为的处置方法。常见的处置方法有两种:一是,协商处理。企业在掌握相应证据后,可以考虑与涉案员工进行沟通并达成协议,在不侵害国家和其他社会集体利益的前提下,通过赔偿协议的形式,弥补损失。二是,诉讼与控告。如果协商无果,企业可以根据材料情况选择进行民事诉讼、刑事控告等,以维护企业的合法权益。
(3)合规建议。根据员工违规行为体现的业务漏洞,完善企业业务流程,并制定相应的合规工作要求与合规建议。
四、结语
企业刑事合规的诸多工作方法早已存在于企业日常的运营过程中。而在涉案企业合规的理论研究与检察机关相关政策的鼓励下,企业刑事合规逐渐形成体系化的理论与工作方法,并成为近两年法律行业以及企业关注的热点领域。
实务中,企业刑事合规作为企业合规领域的新兴领域,依旧面临着企业重视程度不足,专业人员欠缺等现实问题。本文仅是笔者依据自身办案经验,基于刑事合规风险的识别与处置视角而梳理的相关工作方法。关于“企业如何有效构建刑事合规制度,并将其作为企业合规制度的有效补充”等相关问题,依旧是需要予以充分关注并进一步系统研究的重要课题。
[1] 《最高人民检察院工作报告》,载于最高人民检察院网站,https://www.spp.gov.cn/gzbg/202303/t20230317_608767.shtml
[2] 表格数据根据北京师范大学中国企业家犯罪研究中心制作的《企业家刑事风险分析报告(2014-2018)》、《企业家刑事风险分析报告(2020)》汇总整理。
