怎么判断企业刑事合规化成功或者有效?是刑事合规制度发挥作用的前提条件之一。如果不能解决这个问题,那么刑事合规的有效性判断便没有标准,也无法进一步根据刑事合规作出有利或者不利的司法裁量。
企业种类很多,经营内容和模式也是千差万别,没有固定的范式。因此,从微观层面,无法给出企业是否刑事合规的统一标准。而只能在较为宏观的层面上,给出企业刑事合规有效判断的基本要素。
一、美国企业合规计划的有效性判断标准
美国司法部于2019年修订了《企业合规体系评估指引》(Evaluation of Corporate Compliance Programs Guidance Document)。该指引要求美国检察官从三个方面去判断企业刑事合规的有效性:一是企业是否制订了合规体系;二是企业是否贯彻落实了合规体系;三是企业合规体系是否发挥了作用。
(一)企业是否妥善制订其合规体系?
企业从制度构建和内控角度是否制订了合规体系,包括规章制度、政策、程序和机制等。美国司法部的合规体系要求包括以下几个方面:
1.风险评估。企业要有风险管控机制,确保能够发现、评估和定义其风险状况,并根据风险种类、级别进行分别处置和预防。还要求风险管控机制具有不断完善和改进的制度安排。
2.合规政策和程序。企业合规政策和程序是指企业为减少和降低风险所制定的政策和程序,为确保企业和员工遵纪守法所制定的政策和程序,以及为确保政策和程序运行所投入的人力和财力。
3.合规培训和沟通。企业针对董事、高级管理人员、相关员工以及代理商或者其他商业伙伴的定期培训和考核。并且,企业要建立传达沟通机制,以确保自己的培训效果能够准确地传达给企业员工。
4.保密的举报机制和调查机制。企业需要构建一套举报机制,确保员工能够以匿名或其他保密形式举报涉嫌违反公司行为准则、公司政策的行为,或者其他违法违规行为。另外,针对举报线索,企业需要构建配套的调查机制。配备必要的人财物,建立调查程序和机制,对调查结果要求有对应的处罚和应对措施。
5.第三方管理。第三方是指企业的合作伙伴和关联机构,如经销商、供货商、交易相对方等等。所谓第三方管理是指对第三方的资质和关联经营内容进行尽职调查,确保符合企业自身的合规体系。企业可以通过培训、审计、法律评估、要求第三方提供年度合规报告,进行持续的合规监督。
6.兼并与并购。要求企业对收购目标进行综合尽职调查。(这个兼并与并购只是企业常见经营活动之一,似乎没有必要单独作为一个考察要素,不知道美国司法部怎么考虑的!)
(二)企业是否认真贯彻落实其合规体系?
1.高中级管理层的承诺。说白了,就是企业的最高管理层需要重视刑事合规这个事情。管理层需要把企业合规文化建设、企业合规体系建设,作为公司的支柱性管理手段。这种重视不仅要体现在言语鼓励和喊口号,还要有正式的成文化的表态,要有一定的行动表达。如管理层需要对合规部门进行实在的支持和帮助,也需要履行合规监管责任,是合规的关键责任人。
2.合规人员的自主权和合规资源。合规人员的自主权是指合规人员是否有这个能力和资历去处理合规工作。合规人员本身有无独立自主的权限,比如直接向董事会、监事会负责,不必受制于管理人员。合规资源是指企业是否有足够的资源(主要是钱)能够应付审计、法律、风险审查等各种合规工作需求。
3.奖惩措施。企业是否有合规的奖励措施和不合规的惩戒措施。企业是否有明确的纪律处分流程。企业是否有效地执行这些奖励和惩戒措施。
(三)企业合规体系是否发挥了作用?
1.持续改进、定期测试和审查。企业经营活动会随时改变,如所处的经营环境、客户、适用法律法规以及适用的行业标准都会有所变化,那么合规体系也必要的随之而发生一定的变化。企业合规体系本身需要有自我修正和调整的机制和程序。企业也要定期对合规政策和程序等制度进行测试和审查,发现问题及时调整和改进。
2.不当行为的调查。针对发现的不当行为,企业需要有针对性的调查程序、调查人员、调查范围、调查记录、调查档案管理等等。调查效果如何,是否真正反映了问题的根本原因,是否有效地传递给高层,是否对企业的风险防控发挥了作用。
3.任何相关不当行为的分析和补救。企业是否能够对不当行为进行全面根本原因分析以及进行及时适当补救以解决根本原因的程度。企业合规的有效与否,某种程度上不在于避免不当行为,而在于如何及时有效地解决问题和化解预防同类问题。
二、我国相关合规管理指引的基本要求
我国目前已经在中央企业、银行业、证券业、保险业、企业境外经营领域,陆续出台了合规管理指引、指南或者管理办法。其中,相关合规制度的基本要求和操作要求,大同小异。
以《中央企业合规管理指引》为例,主要内容包括合规管理体系建设的基本原则、合规管理职责、合规管理重点、合规管理运行机制、合规管理保障等方面。
构建合规管理体系的基本原则包括全面覆盖、强化责任、协同联动、客观独立等原则。原则上要求全面覆盖到各业务领域各部门;强化企业主要负责人的合规责任,明确全员的合规责任;要求审计、法务、风控、财务等有关部门的协同连同;要求合规人员的独立性,不受制于职能部门,并严格根据法律法规评价企业及员工行为。
合规管理职责要求明确董事会、监事会、经理层的各自合规管理职责。要求企业设立合规管理委员会,企业相关负责人或总法律顾问担任合规管理负责人,法务机构负责合规事务的牵头协调工作,业务部门负责本部门的日常合规管理工作。
合规管理重点领域主要包括市场交易、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等其他领域。并在此基础上,要求对重点环节和重点人员进行合规管理。
合规管理运行要求企业构建员工行为规范、风险预警机制、风险应对机制、风险评估机制、合规审查及问责机制。
合规管理保障包括企业人财物的投入,合规文化建设、合规培训、合规报告制度等。
三、中美企业合规计划的差异分析
相同点:二者在合规制度和机制构建上,核心要素均是紧紧围绕企业的法律风险。但同时均回避了具体风险的表述,较为概况和宏观。作为合规纲领性的指引,只是为合规划定了较为宽泛的范围,具有一定的指导意义。但不能直接作为具体事务的操作性依据,仍需要根据具体事务进行细化。
侧重点不同:美国企业合规强调企业自主性,偏程序法,强调实效考察。不仅要求企业对重点领域风险的防控,还要求企业认真落实合规制度,最终要有实效性的检测和考察。
中国企业合规体系构建则偏向于强调管理层责任、行政监管色彩更为浓重,偏实体法,强调健全管理制度。但是,在实效性方面,没有检测和考察的方法和抓手,没有明确如何考察一个企业合规制度运行的效果是否达到了预期目标。我们似乎更为自信地认为,只要完成了上述企业合规制度的构建,便自然具有预期效果。
因此,中美在合规体系有效性的考察上存在显著的不同,我们缺少了一个重要的环节,即合规制度的检测和验证。没有经过这个环节,我们不能想当然地认为合规制度建立了,就一定能够发挥作用。因此,对于行政监管部门,或者司法部门来说,无法也不应该仅仅根据合规制度的有无,直接判断企业合规的有效性。事实上,这必然导致无法判断企业合规的有效性。因此,如何检测和验证企业合规制度在企业运行中发挥了作用,是合规体系有效性的根本所在。
最后,值得注意的有二点:
一是刑事合规体系的有效不等于企业零风险。有效刑事合规体系旨在最大化的减少或者降低企业运行的法律风险,而不能做到杜绝法律风险。
二是有效刑事合规的判断要素不能用于具体合规事项的判断。有效刑事合规的判断要素是针对整个刑事合规体系而言的,是考察一套制度的效果。这个不能代替在具体风险项目上的判断标准。比如企业经营模式的合规性判断,是需要结合具体法律法规的,与合规体系的判断要素是完全不同的内容。