陈瑞华:有效合规管理的两种模式

陈瑞华

    摘要:自我国监管部门引入合规监管方式以来,有效合规管理大体形成了两种相对独立的制度模式。其中,日常性合规管理是企业在行政监管部门的指导和监督下,以预防相关合规风险为主要出发点,建立常态化的合规管理体系;合规整改则是企业在行政机关、司法机关的执法压力下,或在国际组织采取制裁措施的情况下,以减轻处罚或者取消制裁为目标,针对业已暴露的违法、违规或犯罪行为,采取有针对性的合规整改措施。在确保企业有效防控合规风险方面,这两种合规管理模式各有其制度结构和公司治理功能,也存在着各自的优劣得失。在企业合规管理体系的建构方面,这两种模式既可以相互转化,也可以相互补充和完善。
    关键词:有效合规管理;日常性合规管理体系;合规整改;制度纠错;体系化犯罪预防
    引言
    从本质上说,企业合规是指一种基于风险防控的公司治理方式。然而,若没有行政机关、司法机关以及国际组织的外部推动,就没有任何企业会自生自发地建立合规管理体系;若不从行政监管、刑事执法或国际组织制裁等方面建立强有力的压力机制和激励机制,企业就不会产生建立合规管理体系的足够动力。自2005年以来,我国企业通常沿着两条道路推进合规管理体系的建设:其一,在行政监管部门的指导和监督下,企业以预防相关合规风险为主要出发点,建立常态化的合规管理体系;其二,在行政机关、司法机关的执法压力下,或者在国际组织采取制裁措施的情况下,涉案企业以追求减轻处罚或者取消制裁为目标,针对业已暴露的违法、违规或者犯罪行为,采取有针对性的合规整改措施。由此,我国初步形成了两种合规管理模式:一是日常性合规管理模式,二是合规整改模式。
    所谓“日常性合规管理模式”,又被称为“面向市场的合规计划”,是指企业在没有违法、违规或者犯罪的情况下,根据常态化的合规风险评估结果,为防范企业潜在的合规风险,开展合规管理体系建设。迄今为止,我国金融监管部门已发布了金融领域的合规指引,国有资产管理部门已发布了中央国有企业合规管理指引,国家发展和改革委员会也会同其他监管部门发布了中国企业海外经营合规指引。这些合规指引为相关企业建立日常性合规管理体系提供了参考、标准和依据。但是,在建设日常性合规管理体系的过程中,很多企业并不具有真正的“合规风险意识”,并不是根据风险评估结果来建立有针对性的合规管理体系,而是将合规理解为“依法依规经营”,将几乎所有可能的合规风险均作为防范对象,倾向于建立一种同时覆盖多种甚至数十种专项合规管理领域的“一揽子合规计划”。这种“大而全”的合规管理体系,可能只是一种纸面上的合规计划,难以切实有效地发挥预防合规风险的作用。
    所谓“合规整改模式”,又被称为“应对危机的合规计划”,是指这样一种治理方式,即企业在面临行政执法调查、刑事追诉或者国际组织制裁的情况下,针对自身在经营模式、管理方式、决策机制等方面存在的漏洞和隐患,进行有针对性的制度修复和错误纠正。目前,我国市场监管部门已对多家网络平台企业展开“反垄断执法行动”,责令这些企业提交反垄断合规整改方案,或要求其作出反垄断合规整改承诺。我国各级检察机关正在进行企业合规不起诉改革探索,对那些符合条件的涉案企业,或责令其提交合规整改方案,或要求其作出合规整改承诺,并设置合规考察期,指派合规监管人,督促企业限期进行合规整改,而且在考察期结束前要进行合规验收,根据验收结果作出是否提起公诉的决定。不仅如此,在世界银行以及其他国际金融机构的监督指导下,那些因违反相关规则而接受国际金融机构制裁的企业,一旦承诺根据世界银行的“诚信合规指南”作出合规整改,就可以重建合规管理体系,若通过了国际金融机构的合规整改验收,企业就有机会被解除制裁,重新获得参与招投标的资格。总之,企业在行政机关、司法机关或国际组织的监督指导下所开展的合规整改活动,最终也促成了合规管理体系的建立。
    但是,相对于国际组织的制裁压力所促成的合规整改而言,我国行政机关和司法机关督导下的合规整改尚处于刚刚起步的阶段,既缺乏具有可操作性的合规指南,也不具备行之有效的验收标准。在合规整改方案的设置上,一些涉案企业要么针对违法犯罪发生的制度原因确立非常具体的纠正措施,没有将这些措施纳入合规管理体系,要么制定空洞宽泛的合规计划,不去顾及排查违法犯罪原因和修复相关制度。行政机关和司法机关一旦接受了这些不合理的合规整改方案,就很容易使合规监管和合规考察流于形式,难以发挥实质性的预防效果。可以说,如何在行政监管领域和刑事执法领域确保合规整改的有效性,已经成为一个亟待解决的实践难题。
    从合规理论发展的角度来看,诸多研究者已对合规管理体系的有效性进行了初步研究,大多重视“合规计划应在预防违法犯罪方面发挥有效作用”,强调不能只建立“纸面上的合规计划”。但是,由于对企业合规管理的规律缺乏深刻认识,且对合规管理的有效性问题缺乏科学的实证研究,因此,很多相关研究都着眼于介绍、分析和评价欧美国家乃至国际组织的合规标准,重点关注我国如何引进这些合规标准。尤其是在日常性合规管理模式和合规整改模式齐头并进的情况下,研究者更缺乏对“两种合规管理模式如何衔接”这一问题的研究,这造成了理论上的混乱,使企业无论是在建构日常性合规管理体系方面,还是在合规整改方面,均缺乏基本的理论指引。
    有鉴于此,本文拟对企业合规管理的两种模式作出初步理论分析。笔者将对日常性合规管理模式和合规整改模式的适用对象、基本功能和制度构造作出比较考察。在综合评估两种模式之优劣得失的基础上,笔者将对两种模式的制度衔接问题作出简要讨论。本文所要论证的基本结论是,日常性合规管理模式和合规整改模式各有其适用范围与制度构造,可以各自发挥独立的功能,但在企业合规管理体系的建构方面,这两种模式既可以相互转化,也可以相互补充和完善。
    一、日常性合规管理模式
    企业之所以要建立日常性合规管理体系,通常出于两方面动机:一是出于增强企业市场竞争能力的考虑,将企业合规治理作为降低企业经营风险、提高企业声誉、获得更多商业交易机会的手段;二是出于应对监管部门的监督、考核和行政指导的考虑,将建立日常性合规管理体系作为达到监管要求和通过监管验收的手段。然而,无论出于何种动机,企业一旦着手建立日常性合规管理体系,就要遵循日常性合规管理模式的规律,按照监管部门的合规指引或合规指南,建立体系化的合规计划。与危机发生后的合规整改相比,日常性合规管理既具有一些特殊的性质、功能和制度结构,也具有一些显而易见的局限性。
    (一)日常性合规管理的性质
    企业对合规管理体系的建立,一般存在两种情况:一是从无到有地搭建一套合规计划;二是在已经初步建立合规管理体系的情况下,基于有效合规的理念,对该体系进行适当的完善和调整。但无论是哪一种情况,企业在没有遭遇行政调查、刑事追诉或国际组织制裁的情况下,所要建立的都是日常性合规管理体系。与危机发生后的合规整改不同,日常性合规管理体系的建立具有以下基本特征:其一,日常性合规管理体系的建立所针对的是潜在的合规风险;其二,不应建立“大而全”的通用合规计划,而应制定针对特定风险领域的专项合规计划;其三,日常性合规管理应覆盖企业决策、经营、财务、人事等管理的诸多环节,形成一种完整的合规治理体系;其四,日常性合规管理体系在预防合规风险、监控违规行为和应对违规事件等方面,应当行之有效,而非流于形式。下文对这四个特征依次作出简要分析。
    首先,日常性合规管理体系是以防控合规风险为目的的公司治理体系。企业在建立这种合规管理体系时,一般既没有面临迫在眉睫的受到惩罚或制裁的现实危险,也没有陷入违法行为被调查、违规行为被查处、犯罪行为被追诉的困境。但是,由于在决策、经营、财务、人事等各个管理环节存在着制度漏洞,所以,企业内部时而会发生一些不合法或不合规的情况,这尽管没有形成现实的危机,却带来了潜在的合规风险。假如企业不建立日常性合规管理体系,那么,这些潜在风险就有可能转化为一些显在的违法事件,企业被行政机关调查、被司法机关立案乃至被国际组织制裁的可能性将大大增加。不仅如此,无论是行政执法调查、刑事追诉,还是国际组织制裁,最终给企业带来的均不仅是被行政处罚、追究刑事责任的结局,更会导致各种市场准入资格的被剥夺和商业交易资格的丧失,以及由此带来的商业声誉的降低。
    但是,不同企业所面临的具体合规风险存在差异。基于业务类型、公司治理结构、商业模式乃至企业文化的不同,不同的企业可能会在不同领域具有违规、违法乃至犯罪的可能性。例如,那些在海外从事经营业务的企业,更可能在违反出口管制法、实施海外贿赂、违反数据保护法乃至从事洗钱活动等方面具有合规风险。又如,那些在国内从事生产、经营、贸易、投资等活动的民营企业,更有可能在虚开发票、走私、侵犯商业秘密、污染环境、非法经营、串通投标、侵犯个人信息等方面从事违法犯罪活动,并由此具有受到国内监管部门调查或者刑事追诉的风险。再如,那些参与世界银行以及其他国际金融机构的项目招标的国有企业,更有可能实施商业贿赂、欺诈等违规行为,由此受到国际组织作出暂停投标资格的制裁,甚至在不建立诚信合规管理体系的情况下,有可能受到被永久取消投标资格这种最严厉的制裁。
    其次,日常性合规管理体系是为预防特定合规风险而建立起来的,其必须是一种专项合规管理体系。通过风险评估和识别,企业能够发现最容易出现危机的若干风险领域,而后针对在这些领域中可能出现的违规、违法乃至犯罪问题,建立专门化的合规治理体系。“专项合规计划”是指,企业针对特定领域的合规风险,为避免因违反相关法律法规而遭受行政处罚、刑事追究以及其他方面的损失所建立起来的专门性合规管理体系。对于那些从事国际贸易或进出口业务的企业而言,常见的专项合规计划包括反商业贿赂合规计划、诚信合规计划、出口管制合规计划、反洗钱合规计划、数据保护合规计划等。而对于那些单纯从事国内业务的企业而言,常见的专项合规计划主要包括反垄断合规计划、反不正当竞争合规计划、反商业贿赂合规计划、知识产权保护合规计划、反洗钱合规计划、大数据保护合规计划、税收合规计划、证券合规计划、环境保护合规计划等。
    在建立专项合规管理体系方面,企业往往会陷入一种误区:以为“合规就等于依法依规经营”,以为监管部门的合规指引所列举的合规风险都是企业通过合规管理所要防范的对象,并由此建立“大而全”的合规管理体系。其实,监管部门的合规指引作为规范性文件,只是指出企业“可能”会面临的合规风险,而不意味着每个企业“实际”均面临着这些风险。企业通过建立合规管理体系,所要防范的不是一般性的合规风险,而是那些与自身商业模式和经营方式密切相关的结构性合规风险。只有针对这些风险,企业才需要建立特定的专项合规计划。例如,金融机构最需要防范的是洗钱风险,故需要建立反洗钱合规计划;医药企业最需要建立的通常是反商业贿赂合规管理体系;化工企业所要建立的往往是环境保护合规管理体系;网络平台企业所要建立的通常是数据保护合规管理体系。在建立专项合规管理体系时,假如不从防范特定的合规风险入手,那么,企业所建立的可能就是覆盖十几项乃至数十项风险领域的合规计划。这样的合规计划看似十分全面,其针对的是多种企业违法、违规或者犯罪问题,但由于缺乏应有的针对性和可操作性,故往往成为一种流于形式的“规范”,难以有效发挥防范合规风险的作用。
    再次,日常性合规管理应融入公司治理体系之中,成为公司治理结构的有机组成部分。在通常情况下,一个企业针对自身所面临的结构性风险,通常会形成以董事会为核心的决策治理体系、以首席执行官团队为中心的业务治理体系以及以首席财务官团队为首的财务管理体系。
    相比之下,合规管理是独立于决策治理、业务治理和财务管理的管理活动。合规管理由首席合规官团队负主要责任,其以最大限度降低企业合规风险、避免企业遭受损失为主要目标,最终旨在确保企业依法依规经营。为保证合规管理的有效性,企业最高层要作出合规承诺,并承担最终的责任;董事会要成立合规管理委员会,董事长和首席执行官都应成为委员会成员,使合规管理委员会成为最具权威的合规决策机构和监督机构;企业要设立首席合规官,并赋予其与合规管理职务相称的地位和资源;企业要设立合规管理部门,为其配备足够的人员和预算,并确保其具有独立性和权威性;企业要在其分支机构和各部门设立合规执行部门或合规专员,使合规管理能够渗透到企业的生产、经营、财务以及其他业务的流程之中;企业还要确立合规审查制度,使合规部门、首席合规官乃至合规管理委员会拥有否决不合规业务的权威;另外,合规管理应成为企业人事管理的内容,成为对员工进行考核和奖惩的依据。通过这种制度设计,合规管理就不再仅仅是一种针对企业依法依规经营的“外部监督力量”,还会内化为公司治理结构的有机组成部分。
    与危机来临后的合规整改不同,企业在建立日常性合规管理体系时,通常拥有较为宽裕的时间,可以根据企业合规风险的现状,在公司治理结构之中完成对合规管理体系的搭建,实现对合规管理与决策治理、业务治理、财务管理的有机整合。一个企业的合规管理的体系化程度越高,与公司治理结构的结合越紧密,该企业防范合规风险的成功率也就越大。
    最后,在防范合规风险方面,日常性合规管理体系应当发挥有效作用。几乎所有监管部门都强调合规管理的有效性。假如合规管理只是一种纸面上的合规计划,无法起到防范、识别、监控、应对违规事件的作用,那么,这种合规管理将是毫无价值的。日常性合规管理体系的有效性主要体现在事前、事中和事后三个方面:一是在违规行为发生之前,企业合规管理体系可以发挥评估合规风险、预防违规行为的作用;二是对企业经营的每一环节进行实时的合规监控,以便及时发现、识别和报告已经发生的违规事件;三是在违规事件发生后,及时对违规行为加以调查,发现并查处责任人,报告违规事实,以利于企业对合规管理体系作出持续的改进和完善。
    (二)日常性合规管理的制度构造
    相对于传统的外部监管手段而言,合规是企业实行“自我监管”(self-policing)的内部治理体系。合规管理体系的有效运行,意味着企业要将法律、法规、行业规范、规章制度、国际条约所确立的规则内化为规范公司决策、经营、财务、人事等的行为准则。若要有效发挥防控合规风险的作用,日常性合规管理就需要具备一系列基本制度要素,并使之形成完整的制度体系。我们可以通过总结一个国有企业建立日常性合规管理体系的经验,概括出有效的日常性合规管理的制度构造。
    自2014年起,北汽股份有限公司就在国务院国有资产监督管理委员会、北汽集团的指引和德国戴姆勒公司的帮助下,探索既适合本土也符合国际趋势的企业管理体系建设之路。2018年12月,北京市人民政府国有资产监督管理委员会实施《市管企业合规管理工作实施方案》,选定北汽集团等五家企业开展首批合规管理工作试点。经过两年多的探索和建设,北汽股份有限公司初步形成了一套合规管理体系。
    在组织体系上,北汽股份有限公司设立“诚信合规委员会”,下设诚信合规办公室,办公室成员由合规部人员兼任,负责牵头处理公司的全部合规业务。在公司下设的各中心,则设立“专业诚信合规委员会”,在公司诚信合规委员会指导下开展合规工作。该公司保证合规部门的权威性和独立性,及时将合规风险和相关事项回报给最高决策者。
    在制度体系上,北汽股份有限公司密切关注反商业贿赂、反垄断、反不正当竞争、规范资产交易、招投标、安全环保、产品质量、劳动用工、财务税收、知识产权、商业伙伴等重点领域的合规问题,并根据公司业务发展对合规重点领域及时进行更新。针对上述合规重点领域,北汽股份有限公司编制并发布了《北京汽车合规手册》,向全体员工介绍合规要求,提示合规风险,并对手册内容定期作出更新,开发了合规筛查系统,以便及时识别和规范重点领域的合规风险。同时,公司还制定了《北京汽车股份有限公司行为准则》,确立了管理人员、员工、派出人员、商业伙伴一体遵守的纲领性文件。
    在合规运行机制上,北汽股份有限公司建立了合规风险识别和评估、合规风险控制、合规监控、合规宣传及培训、合规监督与改进五大运行体系。该公司每年进行综合性合规风险评估和专项风险评估,结合评估结果制定合规指引,指导业务部门开展合规工作。合规风险控制包括合规制度制定完善、合规筛查、重大项目和合同合规审核、合规强制咨询、经营决策合规支持等内容。法律与合规部门对各单位进行合规审查,开展合规审计,通过合规举报管理开展合规监控。合规宣传和培训既包括对内部员工、商业伙伴、第三方开展定期或者专项合规培训,也包括对合规人员的业务培训。公司每年对合规管理情况进行总结,提交年度合规评估报告,实行合规奖励和惩戒制度。总体上,合规风险的识别与评估、审查、监督、培训、持续改进等措施形成了相对封闭的完整体系,这种体系化运行机制既是企业主动预防、识别合规风险的关键制度安排,也是企业不断完善合规制度体系、有效应对和处理合规危机、实现企业自治管理的重要保证。
    这是一个兼顾了我国监管部门的要求和国际惯例的日常性合规管理体系建设的案例。通过观察这一案例,分析监管部门的合规管理指引,并参考有效合规管理的国际标准,我们可以提炼出日常性合规管理体系的基本制度要素。在一定程度上,与国家治理的法律结构相似,企业合规的治理结构通常也包含四项要素:一是作为企业宪章的“合规章程”;二是作为实体规范的合规政策和员工手册;三是作为企业组织规范的合规组织体系;四是作为企业管理程序规范的合规流程。上述四项合规制度要素,在各自发挥其独立功能的基础上,相互结合和补充,形成了一个完整的日常性合规管理体系。
    1. 合规章程
    合规章程又被称为企业的“商业行为准则”,是企业对其合规管理体系加以宣示的规范,是具有最高效力的合规文件。一个合格的合规章程至少应当包括合规理念、合规基本原则以及合规管理体系的基本框架。从功能来看,合规章程既是企业建立合规管理体系的规范依据,也可以在危机爆发时发挥风险防控的作用,及时切割企业与管理人员的法律责任。2015年,雀巢公司就以合规章程为重要证据,阻止了五名员工将刑事责任归于企业的企图,成功地完成了无罪抗辩。
    2. 合规政策与员工手册
    之所以将合规政策与员工手册视为企业合规的“实体规范”,是因为在任何一个专门性合规管理体系中,企业都要将几乎所有的禁止性法律规则写入这两份文件之中,使之成为企业进行自我监管的主要法律依据。在一定程度上,无论是企业员工、管理人员,还是子公司人员,只要遵守了企业发布的员工手册,就等于遵守了企业的合规义务,在遵守员工手册的情况下,假如其行为仍违法、违规,那么,由此产生的法律责任一般应归于企业。同样,无论是客户、第三方商业伙伴,还是被并购的企业,只要遵守了企业的合规政策,那么,由此形成的法律责任也应由企业承担。在一定程度上,员工手册是一种“面向内部”的实体规范,既是对企业员工、管理人员和子公司加以内部监管的依据,也可以在危机发生后成为分割企业责任与内部人员责任的依据。与此同时,合规政策则属于一种“面向外部”的实体规范,既是对客户、第三方商业伙伴和被并购的企业进行合规管理的依据,也可以成为切割企业责任与客户责任、第三方责任和被并购方责任的重要证据。
    在构建日常性合规管理体系的过程中,企业要针对不同的合规领域确立专门性的合规政策和员工手册,并将相关领域的行政法规、部门规章和刑事法律规范加以详尽列举和排列,使之成为内部人员和外部人员一体遵守的行为准则。例如,在出口管制领域,企业要发布出口管制合规政策和员工手册;在反商业贿赂领域,企业要发布反商业贿赂合规政策和员工手册;在数据保护领域,企业要发布数据保护合规政策和员工手册;在反洗钱领域,企业要发布反洗钱合规政策和员工手册。在专门性合规政策中,企业要将相关法律法规所确立的禁止性规则整合进来,使之成为规范外部人员和企业行为的准则;在专门性员工手册中,企业要将法律法规所禁止的事项加以重新阐述,使之成为内部人员从事职务活动时所要遵守的准则。企业在进行合规培训、合规风险评估、合规尽职调查、合规审计、合规奖惩等活动时,都要将对合规政策和员工手册的遵守情况作为基本的评判依据。
    3. 合规组织体系
    建立一个运作良好的合规组织体系,是确保日常性合规管理体系有效发挥作用的必要保障。在一个建立了现代公司治理结构的企业中,合规组织通常包括四个层级:一是董事会下设的合规管理委员会,二是首席合规官,三是企业合规部门,四是企业下属部门或分支机构的合规部门或合规专员。其中,合规管理委员会要由董事长、执行团队负责人担任其成员,对合规管理负有最高责任;首席合规官应具有较高的行政层级;企业应根据专项合规计划的要求,设置对应的合规部门,如出口管制合规部、反商业贿赂合规部、数据保护合规部、反洗钱合规部等;企业在各部门和分支机构中至少要设置专项合规专员,有条件的企业还可以成立专项合规分支机构。
    上述四级合规组织若要有效发挥合规管理的作用,就须遵循以下几项基本原则:一是最高层承诺原则。唯有董事会和执行团队高度重视并参与到合规管理之中,才能将日常性合规管理体系激活,使之成为有效公司治理的组成部分。二是权威性原则。无论是合规管理委员会、首席合规官,还是合规部门,均不仅要具有较高的行政层级,而且应对合规管理拥有决定权,在合规与业务发生冲突时,拥有“合规否决权”。三是独立性原则。企业尽管可以强调所谓的“全员合规”,但必须设置充足的专职合规管理人员,这些人员不得从事与合规管理相冲突的经营、财务等管理活动。而且,四级合规组织还应当上下一体,形成一个垂直领导的管理体系。四是充分资源保障原则。企业应为合规管理配备充足的管理人员,提供足额的经费预算。五是合规嵌入企业经营所有流程原则。不能只由一部分管理人员监管企业的经营活动,相反,合规应当渗透到企业经营管理的所有环节和整个流程,在专职合规管理人员之外,还应在每个部门和分支机构设置必要的兼职合规管理人员,使合规管理人员承担起监督所有员工、监督所有业务及监督管理活动依法依规进行的责任。在必要时,还应将合规转化为企业绩效考核的重要依据,使专职和兼职合规管理人员在企业的人事奖惩方面拥有重要的话语权和影响力。
    4. 合规流程
    企业合规是一种旨在因应合规风险的公司治理体系,其主要功能是确保企业依法依规经营,预防企业的违规、违法和犯罪行为。要发挥此功能,企业就要建立合规管理的基本流程,使其能够及时评估、识别、监控、处置潜在的风险和可能发生的违规事件。根据各国的基本经验,从程序上看,合规管理包括三大基本流程体系:一是风险防范体系,也就是预防违规事件发生的管理流程;二是风险监控体系,也就是及时识别、报告合规风险的管理流程;三是违规事件应对体系,也就是在违规事件发生后采取的调查、奖惩和制度修复流程。
    风险防范体系又被称为“事前预防流程”,是企业针对合规风险所采取的风险管理制度,通常由五个要素构成:一是定期的合规风险评估;二是专门的合规尽职调查;三是必要的合规培训;四是充分的合规信息沟通和传达;五是适当的合规文化建设。其中,合规风险评估是风险防范体系的核心要素,是企业通过对业务性质、交易规模、违法违规情况、涉讼情况等诸多方面的审查,检验自身是否存在违规、违法和犯罪可能性的管理活动。合规尽职调查是合规风险评估的一种特殊形式,
    是针对客户、第三方商业伙伴和被并购的企业是否存在违规、违法情况所采取的背景调查活动。合规培训是企业针对全体员工、客户、第三方商业伙伴所进行的定期或专门性的培训教育活动。合规信息沟通和传达是指企业将法律法规、合规建设的进展情况向全体员工、股东、第三方商业伙伴进行宣传、沟通和交流,目的在于促使上述人员了解法律法规的发展和企业合规政策的变化,以做到全员合规。合规文化建设是企业通过日常性合规管理体系的运行形成依法依规经营的习惯和氛围。
    风险监控体系又被称为“事中识别流程”,是指企业对经营活动是否合乎法律法规进行实时监督和控制,对可能发生的违规、违法行为,及时加以识别和发现,以便对违规、违法事件作出及时处置,对合规管理采取进一步改进措施。在一定程度上,风险监控体系犹如企业的二十四小时“雷达预警系统”,其对企业经营的各个环节进行地毯式的扫描和检查,以确保违规、违法行为被纳入企业监管者的视野。通常,风险监控体系由以下几个要素构成:一是实时合规检查,又被称为“合规控制管理”,也就是对企业的所有投资、并购、生产、销售、进出口等业务活动都要进行合规性审查,以确保这些业务活动符合法律法规的要求。二是合规审计,又被称为“独立第三方合规审查”,也就是企业委托外部独立的专业机构对合规管理体系的有效性进行定期或者不定期的审查,既审查合规政策是否在企业内部得到了良好的执行,也审查企业是否发生了违规、违法的情况。三是实时举报机制。对于企业内部发生的任何违规、违法行为,均应建立实时接收投诉的机制,如设置举报电话、电子邮件、专项信箱等。对于员工、客户、第三方商业伙伴以及其他任何人针对企业违规、违法行为提出的投诉,无论是实名投诉,还是匿名投诉,都要进行调查处理,并确保举报人能够得到特殊的保护,不被打击报复。四是合规报告制度。企业应确保首席合规官、合规部门和分支机构的合规专员能够定期或者不定期地就企业合规管理问题提出报告,报告事项既包括企业合规管理的执行情况,也包括企业内部发生的违规、违法乃至犯罪情况。
    违规事件应对体系又被称为“事后合规管理流程”,也就是在违规事件发生后,企业对合规管理所采取的纠正和补救程序。当然,这一体系发挥作用的前提在于,企业虽已发生了违规事件,但还没有陷入被执法调查、刑事追诉或者国际制裁的危机之中。在检验企业合规管理体系有效性时,不是看是否已发生了违规事件,而是要看在发生这些违规事件之后,企业是否采取了适当的应对措施。具体而言,违规事件应对体系至少包括以下三个要素:一是合规内部调查,即企业应自行或者委托外部专业机构对所发生的违规行为进行全面调查,既要查明违规事实,查明负有责任的员工、管理人员、客户、第三方商业伙伴或者被并购的企业,也要揭示企业合规管理的漏洞和隐患。二是惩戒违规人员,即应对负有直接责任的员工、管理人员采取惩罚措施,如调离工作岗位、作出行政处分、送交司法机关处理等,对于负有直接责任的客户和第三方商业伙伴,则应采取责任切割或者终止商业合作等处理措施。三是对合规计划及时作出完善和改进,对存在漏洞的日常性合规管理体系作出必要的补救,对存在隐患的管理环节作出适当纠正,以避免再次发生类似的违规行为。
    (三)日常性合规管理的局限性
    “没有任何合规计划能够阻止违规、违法行为的发生”,这是很多从事合规管理的企业界人士经常发出的感叹。同时,“有效的合规计划,并不意味着企业不发生任何违规、违法或者犯罪行为”,这是一些刑事执法官员经常作出的评论。这些感叹和评论不无道理,但也多多少少包含了对日常性合规管理有效性的失望之情。无论是德国的西门子公司,还是中国的中兴公司,在被美国监管部门和刑事执法机关启动调查程序之前,都已经初步确立了日常性合规管理体系。至于那些接受美国、英国、法国乃至世界银行制裁的诸多跨国企业,更是已建立了看似完整的日常性合规管理体系。然而,为什么这类日常性合规管理体系都未能有效发挥阻止违规、违法乃至犯罪行为发生的作用,甚至形同虚设呢?实际上,这是因为日常性合规管理体系具有一些其自身难以克服的局限性。
    首先,日常性合规管理体系将“可能的违法”或“潜在的违规”作为假想敌,通常并没有经历“血与火的考验”,其在能否成功预防违规事件、违法行为或者犯罪活动方面,缺乏实际的检验和证明。无论是跨国企业,还是中国企业,在建立日常性合规管理体系方面,通常都只是针对若干项合规风险来建立专项合规管理体系。由于企业尚未爆发违规、违法乃至犯罪事件,监管部门、刑事执法部门或者国际组织尚未启动调查或制裁程序,因此,企业对于自身决策、经营、财务、人事等管理环节究竟存在哪些潜在的风险,很难作出准确无误的评估和诊断。尤其是很多中国企业,由于刚刚开始探索建立日常性合规管理体系,所以往往倾向于建立一种“大而全”的合规管理制度。这种合规管理制度看似体系性较强,实际上却难以命中企业中最可能发生的合规风险,更难以通过对合规风险的逐一识别,将预防性措施融入各种合规政策和员工手册。因此,日常性合规管理体系看似兼顾了很多合规风险,看似建立了专项合规计划,看似确立了合规管理的多项流程,但在预防合规风险、监控合规管理以及应对违规、违法事件等方面,难以发挥实质作用。
    其次,企业合规所体现的是一种“大而不能倒”的治理哲学。对于那些长时间“缺乏有效监管”和“野蛮生长”的大型企业而言,一些包含着违法因素的经营方式已经大体形成,一种通过违规行为来获取竞争优势的商业模式已经积重难返,甚至一种为获取高额利润而不惜以身试法的公司文化已经深入骨髓。在没有强大的外部监管压力和激励机制的情况下,指望这类企业通过自身努力来改变这些问题重重的经营方式、商业模式乃至企业文化,是极其困难的。尤其是日常性合规管理体系的运行,其不仅仅意味着一种新型企业管理方式的确立,更意味着公司治理结构的深层次改变,其会带来股东、董事会、监事会、执行团队的权力分配格局的重大变化。对于日常性合规管理体系的有效运行而言,必须赋予合规部门很大的权威性,甚至要对企业的所有业务活动进行优先合规审查,必要时还可以否决那些虽然盈利但存在明显合规风险的业务。假如没有面临深刻的危机,没有面临重大的灾难性后果,那么,仅依靠企业通过“自查自纠”和“自生自发”来进行合规管理体系建设,真的能建立起一种行之有效的违规、违法预防体系吗?
    再次,与企业的决策管理、经营管理、财务管理不同的是,合规管理是一种只耗费资源而不创造利润的治理活动。有些企业所标榜的“合规创造价值”,只是一种可遇而不可求的理想。“合规消耗利润”可能才是企业治理的常态。无论是预防违规、违法行为,还是通过增强竞争优势来获得效益,企业合规所能够带来的收益往往要经过较长时间的实践才能显现出来。一个企业在面临竞争压力甚至遇到生存困难的情况下,其最高决策层和管理层对合规管理的重视实难达到很高的程度。日常性合规管理体系的有效运行毕竟需要大量的人力、物力和财力,在一个以盈利为主要价值目标的商业组织中,高成本的投入通常会引起决策部门、经营部门、财务部门的强烈抵制,合规管理的生存空间很难得到较大的拓展。这就是为什么很多跨国企业在遭到监管部门、刑事执法机关或者世界银行的制裁之前,其合规部门不仅没有较高地位,资源投入很少,而且对公司业务的合规审查也缺乏实质审查权的主要原因之所在。
    最后,合规作为企业实行“自我监管”的治理体系,若要得到正常运行,就既需要投入十分昂贵的成本,也需要企业最高层产生合规治理的决心和动力。在没有发生危机的情况下,在没有来自监管部门、执法机关或者国际组织的强大外部压力的情况下,尤其是在没有确立足够强大的合规激励机制的情况下,企业要建立内部合规风险防控体系,对员工、管理人员、子公司、客户、第三方商业伙伴、被并购的企业等启动“叠床架屋”的合规管理活动,是非常困难的。企业越大,发生违规、违法乃至犯罪行为的机率就越高,对企业进行合规治理的成本投入也就越大。日常性合规管理体系所面临的重大挑战在于,如何使企业在合规管理的高成本投入方面,产生较大的积极性和主动性。如果这一问题得不到解决,那么,日常性合规管理体系就可能变成一种形式上的、纸面上的合规规范,难以在防控合规风险方面发挥实质作用。
    二、合规整改模式
    如果说日常性合规管理模式是一种常态化的合规管理模式,那么,合规整改模式就属于一种“危机应对式合规管理模式”。企业之所以要进行合规整改,通常是因为企业涉嫌实施违规、违法或者犯罪行为,面临监管部门的行政调查、司法机关的刑事追诉或国际组织的制裁。在此情况下,合规整改其实是一种有效的激励机制,通过合规整改,企业可以说服行政机关免除或者减轻行政处罚,说服司法机关作出不起诉决定或者其他宽大刑事处理,或者说服国际组织解除制裁,恢复企业的市场准入资格。为达到上述效果,企业会针对自身存在的合规漏洞和制度隐患,采取有针对性的纠错措施和补救措施,建立或完善合规管理制度。相对于日常性合规管理模式而言,合规整改模式具有若干特殊的制度属性,既具有特殊的制度结构,也具有一定的局限性。在以下的讨论中,笔者拟以刑事领域的合规整改为范例,对合规整改的性质和制度构造作出简要分析和评价。
    (一)合规整改的性质
    在刑事领域的合规整改的性质问题上,法律界存在着“纠错性整改说”和“预防性整改说”之间的争论。前者强调,合规整改的目标主要是对涉罪行为加以纠错和对危害后果进行弥补,企业在发现了犯罪原因的前提下,通过对合规管理体系采取必要的补救和修复措施,达到预防犯罪的目的。这种观点强调,若企业动辄就提出那种没有“针对性”的综合合规计划,则其所推出的注定是无效的合规整改方案。“针对性”要求刑事合规计划应当包括两个方面的内容:一是对犯罪原因的分析,包括客观原因分析和主观原因分析,以真正体现企业对自身犯罪行为的认识;二是针对犯罪原因而采取的补救措施,以预防企业再次实施犯罪行为。后者则关注企业在涉罪之前的体系化合规治理机制建设,主张在企业决策、组织架构、权责配置、机制运作等公司治理环节上,建立旨在实现刑事合规全覆盖的预防性合规机制。这种预防性合规整改可以发挥两个作用:其一,不是只在某一涉罪环节采取纠正措施,而是将与犯罪行为有关的内部治理架构、规章制度、经营流程、人事管理等合规模块纳入合规整改范围,从整体上提高企业的合规治理能力;其二,在缺乏具体合规指引的情况下,引入尽职调查、培训、内部调查、举报控告等一系列合规管理要素,建立针对刑事风险的识别、预防、处置等多种合规机制,提高合规管理机制的独立性和有效性。
    上述两种观点各有理论侧重点,分别强调了合规整改的“针对性”和“体系化”这两个重要特征。在合规不起诉改革的初期探索中,针对一些中小微企业的轻微犯罪案件,一些检察机关比较倾向于采取“纠错性合规整改”。但随着改革探索的逐渐深入,对于那些存在复杂治理结构的大型企业,若检察机关仅仅采取“就事论事”的合规整改,就难以发挥有效预防犯罪的作用,因此,引入“体系化的整改措施”变得非常迫切。于是,一些涉案企业就被要求制定旨在改变公司治理体系的合规管理措施。其实,抛开那些流于形式的合规整改案例不谈,涉案企业只要稍微关注合规整改的有效性问题,就需对合规整改的“针对性”和“体系化”进行必要的兼顾和融合。从近期检察机关对大型企业开展合规考察的经验来看,合规整改已经初步具有了特有的制度功能和制度框架。
    首先,合规整改的主要目的不是建立完整的合规管理体系,而是应有效应对由刑事追诉所引发的企业危机。与日常性合规管理体系建设不同的是,合规整改是有效化解企业危机的手段。面对检察机关的追诉活动,涉案企业如果不采取任何有效的应对措施,就可能面临被提起公诉、定罪等后果,由此会导致市场准入资格丧失、商业交易机会减少以及其他灾难性损失。
    为避免出现最不利的结果,涉案企业针对违法犯罪事件所暴露出来的管理漏洞,提出有针对性的制度纠错措施和管理补救措施,消除容易引发违法犯罪事件的制度隐患,避免再次发生类似违法犯罪行为。在合规整改措施的实施过程中,存在着明显的利益考量,即说服检察机关将企业作为合规考察的对象,暂缓作出起诉决定,给予企业完善合规管理体系的机会,并最终作出不起诉的决定。可以说,通过合规整改来换取检察机关的宽大刑事处理,尤其是获得合规出罪的结局,是合规整改的特有目的。
    其次,合规整改所针对的不是企业的潜在合规风险,而是已经暴露的现实危险。在搭建日常性合规管理体系时,企业通常要对合规风险作出评估,遴选出若干项突出的合规风险,然后针对这些风险建立专项合规计划。相反,在危机发生后,企业的违规、违法乃至犯罪行为已经发生,企业要对这些现实的危险作出及时处置,并发现企业出现违法犯罪行为的制度原因。从犯罪学的角度来看,企业的合规整改要经历三项流程:一是分析违法犯罪事件的现象,二是发现违法犯罪事件的发生原因,三是确定有效预防违法犯罪事件的管理措施。这种由“犯罪现象揭示”“犯罪原因分析”和“犯罪预防控制”所组成的整改流程,显示出企业的合规整改所针对的是已经发生的合规风险。当然,很多企业之所以发生违法犯罪事件并非偶然,而往往是小错不断累积的结果。企业在关注违法犯罪事件本身的同时,也要调查自身既往的违规、违法和犯罪事件,并从中发现自身的结构性管理缺陷和疏漏,为合规整改提供进一步的根据。但无论如何,合规整改所要防控的不是企业潜在的合规风险,而是由已经发生的违法犯罪事件和既往的违规行为所暴露的制度缺陷和隐患。
    再次,通过合规整改,企业并非要建立全面的合规管理体系,而是要建立与违法犯罪领域有关的专项合规管理制度。在通常情况下,日常性合规管理体系的建立要围绕经企业评估所确认的若干合规风险领域展开,但相比之下,合规整改所针对的只能是企业已经触及到的违法犯罪领域,而不可能扩展到其他领域。例如,对于企业涉嫌虚开增值税发票的案件,合规整改的目标只能是建立“税收征管合规制度”;对于企业被指控犯有污染环境罪的案件,合规整改只能围绕着“环境保护合规制度”展开;对于企业涉嫌侵犯商业秘密罪的案件,合规整改应主要着眼于“知识产权合规管理制度”的建立;对于企业涉嫌走私犯罪的案件,合规整改的重点应当是完善“反走私合规管理制度”;对于企业涉嫌非法采矿犯罪的案件,合规整改应以“环境资源保护合规管理”的健全为主要目标;对于企业涉嫌犯有单位行贿罪的案件,合规整改要将建立“反商业贿赂合规制度”作为目标。唯有围绕着企业所触及到的违法犯罪领域来建立相对应的合规制度,企业的合规风险才能被准确地揭示出来,合规整改才能准确地针对这些合规风险,发挥纠正制度错误、堵塞管理漏洞、消除隐患的作用,合规整改的有效性才能得到保证。
    最后,合规整改尽管具有预防违法犯罪的目的,但其主要手段是堵塞漏洞,消除制度隐患,实现“去违法化”或“去犯罪化”。预防违法犯罪行为是一切合规管理的终极目标,合规整改作为合规管理的一种模式,当然也要确立这一目标。但是,与日常性合规管理不同,合规整改所要预防的并不是潜在的合规风险,而是现实的违规、违法乃至犯罪危险。要达到这一目标,企业就要通过合规整改,透过违法犯罪事件的表象,发现制度漏洞和管理隐患,找到企业在商业模式和经营方式上的“违法因素”或“犯罪基因”。在此基础上,企业通过采取体系化的纠错、补救和修复措施,堵塞漏洞,消除隐患,在商业模式和经营方式上实现“去犯罪化”。假如与医疗行为作一类比的话,那么,合规整改其实就像在“治疗疾病”的基础上,通过改变生活方式和作息规律,达到“预防疾病再次发生”的效果。相比之下,日常性合规管理体系的建立就像没有明确针对性的“常规体检”。
    (二)合规整改的制度构造
    一个有效的合规整改方案通常包含哪些制度要素呢?在检察机关探索合规不起诉制度改革的过程中,这一问题一度成为困扰改革顺利进行的难题。若不解决这一问题,我们就无法确定检察机关启动合规考察程序的具体标准,合规监管人在合规考察过程中也无法确定合规监管的重点问题,而且,在合规考察结束时的验收听证会上,检察机关更无法设定具有可操作性的评估指标。随着合规不起诉制度改革的逐步推进,特别是随着一些涉嫌重大单位犯罪的大型企业被纳入合规考察的对象,企业所提交的合规整改方案逐渐趋于成熟。通过观察检察机关适用合规考察程序的一个案例,我们不难提炼出合规整改的基本制度要素。
    深圳市某从事境外水果进口的公司(以下简称X公司)委托代理公司报关进口榴莲。2018年,X公司按照代理公司的“指导价”制作虚假采购合同用于报关,报关价格低于实际成本价格。2018年至2019年期间,X公司多次要求以实际成本价进行报关,均被代理公司以行业惯例为由拒绝。这种虚报报关价格的行为一直持续到2019年4月。2019年9月,检察机关在对X公司涉嫌走私普通货物罪一案审查起诉的过程中,认为该公司犯罪情节轻微,具有认罪认罚、补缴税款等情节,故对该公司和相关责任人员作出了不起诉决定。
    从2019年3月开始,在检察机关和海关的指导下,X公司启动了进口业务合规整改工作,主要整改措施包括以下七项:一是对涉案人员采取不同的惩处措施。作出《关于公司海关案件处理通告》,对分管副总裁、子公司总经理、财务中心经理、进口部经理四名责任人给予严重警告处分,取消年度奖金,同时要求其他部门开展自查自纠,以杜绝此类事件再次发生。二是引入外部专业机构协助完善合规体系。聘请律师团队进行进口业务风险评估,找到重点法律风险及相应防范措施,完成公司进口合规手册。聘请知名会计师事务所开展内控体系建设项目,对公司及下属子公司的关联交易进行专项审计。三是建立合规组织体系。在集团层面设立合规管理委员会,将合规部、内控部和审计部作为合规风险管理的三道防线。设立合规部,由各业务部门、分公司、子公司负责人担任兼职合规负责人,各指定一名员工作为本部门、分公司、子公司的兼职合规员。共设立专职和兼职合规人员94人。四是完善合规管理体系,制定了《合规管理制度》《合规手册》《合规管理委员会议事规则》和《进口贸易合规手册》。五是强化申报价格的真实性,采取有针对性的制度补救措施。这些补救措施具体包括:其一,明确定价机制。公司进口部与代理报关公司均应承担如实申报义务,进口部提供给代理报关公司的清关文件均需有清晰的签收手续和完整的留存记录,如发现代理报关公司有篡改文件的行为,立即终止合作并追究其责任。其二,严格内部流程。不同岗位交叉审核,形成流程的闭环管理,并按照海关AEO高级认证的要求,任何申报均需通过公司审核和确认后才能进行。其三,明确责任划分,确保申报价格的完整性,与供应商制定CFR或者CIF条款。其四,规避关联交易风险。聘请外部专业机构进行价格鉴定,向海关申请对关联交易价格作出评估,申请海关作出预裁定。六是加强对代理报关公司的合规管理,严格设定代理报关公司的资格。七是建立与检察机关、海关的沟通交流机制。在检察机关的建议下开展合规整改,向海关提供进口水果采购价格,向海关提交“关企合作”建议,被海关列为“互联网+智慧征管”ERP数据对接试点企业,等等。
    这是一个从事进出口业务的大型企业进行合规整改的案例。通过考察这一案例,同时结合对其他案例的分析,我们可以揭示出涉案企业进行刑事合规整改的基本制度要素:一是认罪认罚,企业承认并停止违法犯罪活动;二是采取必要的补救挽损措施;三是查处相关的责任人;四是评估违法犯罪事实和既往的违规事件;五是发现制度漏洞和管理隐患;六是采取有针对性的制度纠错和补救措施;七是将合规整改措施纳入相应的专项合规管理体系。下文依次对这些制度要素作出简要分析。
    1. 认罪认罚
    根据最高人民检察院和各试点检察机关的改革文件,涉案企业和直接责任人认罪认罚,是对企业适用合规考察程序的前提条件之一。之所以要将企业认罪认罚作为合规整改的制度要素,主要出于两个方面的考虑:其一,企业认罪认罚,承认检察机关指控的犯罪事实,是合规整改具有针对性的保证。在一定程度上,合规整改是企业放弃无罪辩护权、承诺与检察机关保持合作的标志。在认罪认罚的前提下,企业承认自身的违法犯罪事实,能够正视自身的管理漏洞和管理缺陷,从而展开有针对性的纠错和修复活动。其二,企业唯有认罪认罚,才能确保合规整改的有效性。合规整改的根本目的是促使企业有效预防违法犯罪行为的再次发生,要达到这一目的,企业就应真诚地认罪悔罪,发现、报告和披露自身的犯罪原因,积极采取预防犯罪再次发生的措施。正因如此,涉案企业作出合规整改的第一步就应当是,在停止犯罪活动的前提下,承认被指控的犯罪事实,放弃无罪辩护的权利,承诺接受并配合司法机关的调查和追诉活动。
    2. 补救挽损
    在上述案例中,涉案企业采取了补缴税款的措施。这种“补救挽损”行为就是合规整改的第二项制度要素。所谓“补救挽损”,是指涉案企业对犯罪行为所造成的危害后果采取弥补损失、减少危害、恢复原状等修复性措施。从实践效果上看,补救挽损可以分为补交罚款、补缴税款、缴纳违法所得、赔偿被害人损失以及修复环境和社会关系等多种措施。补救挽损的主要目的有二:其一,大幅度减轻或者消除犯罪所带来的社会危害后果,维护国家、社会和被害人的利益;其二,积极修复那些为犯罪所破坏的法益,降低对企业进行刑事责任追究的必要性和紧迫性。在实践中,有些企业积极采取补救挽损措施,或者作出采取补救挽损措施的承诺。在行政机关和司法机关责令涉案企业采取补救挽损措施时,涉案企业至少应采取配合措施,这是企业合规整改的重要步骤。
    3. 查处责任人
    “放过涉嫌犯罪的企业,但要严惩相关责任人”,这是企业在面临法律危机时作出合规整改的基本原则。在上述案例中,涉案企业对相关责任人采取了处罚措施。在实践中,对于责任人,可以根据其违法犯罪情节,具体采取调离工作岗位、解散组织或者团队、免除职务、开除公职甚至送交司法机关立案处理等多种处理方式。之所以要将查处责任人作为合规整改的制度要素,主要理由有两个:其一,查处责任人可以保证对企业采取宽大刑事处理的正当性。这些责任人对于企业所实施的犯罪行为负有不可推卸的责任,而若动辄处罚企业,往往会伤及无辜的员工、股东等关联人员。既然要对作出合规整改的企业采取宽大刑事处理,那么,就必须由那些参与过企业犯罪的组织、筹划、共谋、执行人员来承担相应的刑事责任。其二,唯有及时查处责任人,企业才能成功地进行合规整改。经验表明,在直接实施犯罪行为的责任人还“在其位”的情况下,企业的合规整改往往会流于形式,相关管理制度建设也会形同虚设,而唯有对直接责任人及时作出处罚,企业进行合规整改的诚意和决心才可以得到验证,随后进行的合规制度建设才具有实质性意义。
    4. 评估违法犯罪事件
    在违法犯罪事件发生后,企业要启动合规内部调查程序。这种内部调查又被称为“企业自查”,是指企业在外部法律专家的帮助下,对违法犯罪事件本身进行全面的调查,发现违法犯罪的发生原因,评估违法犯罪事件可能带来的严重后果。在评估违法犯罪事件的同时,还可以对企业既往发生过的类似违法犯罪事件作出连带性调查,发现这些类似违法犯罪事件与本次违法犯罪事件的内在关联性。在上述案例中,企业对其虚报报关价格的事实作出了调查,查明了代理公司和本企业在虚报报关价格、偷逃海关关税方面的作用。
    5. 发现制度漏洞
    在上述案例中,企业经过内部调查,发现走私犯罪发生的主要原因在于,企业没有建立完善的合规组织体系,没有发布反走私合规政策和员工手册,没有对作为第三方商业伙伴的代理公司进行有效的合规管理,
    没有建立确保报关价格真实性的合规审查机制。由于找到了导致犯罪发生的制度原因,所以企业就可以有针对性地采取相关制度纠错和修复措施。根据实践经验来看,对合规漏洞的发现有以下几种主要途径:一是从违法犯罪事件中发现制度漏洞;二是从既往接受行政处罚或刑事执法调查的经历中发现企业的管理隐患;三是通过评估显在的和潜在的合规风险,找到容易引发犯罪的合规风险点和风险领域;四是对企业的商业模式和经营方式加以审查,找到容易导致犯罪行为发生的制度因素。
    6. 确定有针对性的纠错措施
    从犯罪学的角度来说,合规整改就是一种在揭示犯罪原因的前提下加强犯罪控制和犯罪预防的管理活动。要预防相似犯罪行为的再次发生,企业就需要针对制度漏洞采取有“针对性”的制度纠错和修复措施。从上述案例的情况来看,实施制度纠错和修复措施可以从以下几个方面展开:一是建立或者加强合规组织体系建设;二是发布专门性的合规政策和员工手册;三是建立针对第三方商业伙伴的合规管理措施,严格把控代理商的遴选资格、遴选程序和退出机制;四是建立确保报关价格真实性的合规审查机制;五是引入外部专业机构,加强对企业合规管理体系的审计工作,定期评估并修补合规管理体系的缺陷;六是加强与行政监管部门的日常沟通,主动寻求监管部门对企业合规管理体系的实时监控。
    7. 合规体系化建设
    那些有针对性的合规纠错和修复措施,只有被纳入合规管理体系之中,才能发挥长远的犯罪预防作用。首先,企业应从整体治理的视角,发现管理体系中存在的深层次问题。其次,企业应预防那些更为潜在、更为系统的刑事法律风险。为此,企业可以适度引入日常性合规管理的经验,从合规章程、合规政策与员工手册、合规组织体系以及合规流程的角度,将那些有针对性的具体整改措施融入日常性合规管理体系之中,使之从具体的纠错措施转化为公司治理结构的一部分,最终渗透到企业的合规管理机制和合规文化之中。
    在一定程度上,以纠错为目的的合规整改,只是在有针对性地消除企业经营方式和商业模式中的“涉罪因素”,实现企业“去犯罪化”的目的。但是,如果不从源头加以治理,不从预防行政违规、违法行为的角度出发,作出行政监管层面的“违法预防”努力,那么,合规整改就可能流于形式。从这一角度来说,任何一种刑事合规整改,最终都应被纳入“行政监管整改”的轨道,将企业的行政违规、违法行为消除在萌芽状态,从根本上发挥“犯罪预防”的效果。所谓的“合规体系化建设”,其实是指企业在消除犯罪因素的前提下,进一步改进合规管理体系,对行政违规、违法风险进行进一步的预防、监控和应对。企业只有杜绝了行政违规、违法的可能性,才能从根本上消除再次犯罪的可能性。
    (三)合规整改的局限性
    检察机关在探索合规不起诉改革的过程中,一直面临着一种制度设计上的困扰:如何避免企业的合规整改流于形式,使之能够发挥预防犯罪的实质效力?在这方面,实践中出现了两种略显极端的合规整改方式:一种是采取“发现犯罪原因—提出纠错措施”的“点对点”式整改方式,注重对现实合规风险的即时防控;另一种是采取“评估合规风险—确立合规体系”式的体系化整改方式,强调对潜在的和深层的合规风险进行全面防控。
    前一种合规整改模式又被称为“简易整改模式”,适用于那些涉嫌轻微犯罪的中小微企业,检察机关在作出相对不起诉决定的同时,通过发送检察建议,对企业提出相对简单的整改要求。只要企业针对犯罪原因作出有针对性的合规整改,检察机关就可以作出合规整改成功的结论。但是,在预防犯罪方面,这种纠错性合规整改具有两方面明显的局限性:其一,其只关注犯罪事件所暴露出来的制度漏洞和管理缺陷,因此无法从整体治理的视角,解决企业治理结构和管理体系中的根本性问题。其二,其只着眼于解决最表层的合规问题,对于企业深层的和系统性的合规风险,无法加以解决。
    后一种合规整改模式又被称为“普通整改模式”,适用于那些涉嫌重大单位犯罪的大型企业,检察机关对其启动合规考察程序,指派合规监管人,设定合规考察期,在考察期结束之前,进行合规整改验收。这种模式尽管注重体系化的合规管理,但一旦操作不当,就会存在一些明显的问题。例如,在合规整改过程中,有些企业过分注重建立“大而全”的合规管理体系,忽略了合规整改的“针对性”,既难以发现企业犯罪的制度成因,也难以提出有效防止企业再次犯罪的解决方案。又如,有些企业过于注重建立“完整的体系”,忽略了导致企业犯罪的特殊制度漏洞,提出的合规组织体系、合规管理体系和合规流程等往往属于“放之四海而皆准”的管理措施,明显不能发挥纠正错误和制度修复的作用。再如,有些企业对于合规整改与日常性合规管理没有作出合理的区分,完全按照日常性合规管理的要求进行合规整改,甚至在有限的合规整改期限内建立多个专项合规管理体系。在短时间内匆匆建立起来的合规管理体系不仅存在“大而无当”和“泛泛而论”的问题,而且对已经暴露出的制度漏洞都无法作出有效的堵塞和修复,使合规整改流于形式。
    要解决上述问题,就需要从整改目标到制度构造,对“简易整改模式”和“普通整改模式”作出适度的调整。任何一种合规整改都是在短时间内开展的,并且都要解决已经由犯罪事件暴露出的合规风险。因此,通过合规整改,既不可能建成日常性合规管理体系,也不可能针对无关的合规风险建立合规管理体系,而只能着眼于与犯罪事件有关的专项合规管理体系建设。假如我们将“针对性”和“体系性”作为两个坐标的话,那么,针对轻微单位犯罪案件的“简易整改模式”应更为注重合规整改的针对性和现实有效性,而适度关注合规整改的体系性,将合规整改措施纳入合规管理体系。与此同时,那些针对重大单位犯罪案件的“普通整改模式”应在保证基本的“针对性”的同时,加强合规整改的“体系性”,注重从合规组织建设、合规政策和员工手册、合规防范体系、合规监控体系和合规应对体系的角度,针对现实的和潜在的合规风险,建立针对深层的和结构性的合规风险的管理体系。
    代结语:两种合规模式的衔接
    通常说来,日常性合规管理模式与合规整改模式各有其适用的对象和空间,可以独立发挥合规治理的作用。当然,两种模式也各有局限性,单靠任何一种模式,企业似乎都无法建立起行之有效的合规管理制度。从企业合规的长远发展角度来看,日常性合规管理侧重于企业常态化的合规管理体系建设,旨在增强企业的商业竞争优势,应对监管部门日益严格的合规监管要求;而合规整改则注重在危机发生后对企业的制度纠错体系和违法犯罪预防体系进行完善,旨在作出兼顾“针对性”和“体系性”的合规改进措施。从有效防控合规风险的角度来看,这两种合规模式可以在以下几个方面进行必要衔接,以便发挥制度合力:其一,通过加强日常性合规管理,减少企业违规、违法行为的发生,避免任意启动合规整改程序;其二,通过危机后的合规整改,推动日常性合规管理体系的完善;其三,两种模式齐头并进,互为补充,从不同角度推动企业的有效合规治理。下面依次作出简要的分析和评论。
    首先,一个企业即使建立了非常完美的日常性合规管理体系,也难以防范一切合规风险,更无法杜绝违法犯罪行为的发生。但经验表明,相对于建立了日常性合规管理体系的企业而言,那些根本不存在合规管理的企业,更容易发生违法犯罪行为。在很大程度上,企业一旦建立了常态化的合规管理体系,其就可以发挥以下几个方面的作用:其一,定期评估潜在的合规风险,并根据合规风险建立相应的专项合规管理体系;其二,通过合规政策、员工手册、尽职调查、合规培训等,对企业员工、管理人员、子公司、客户、第三方商业伙伴和被并购的企业发挥行之有效的违法预防作用;其三,通过合规报告、合规审计、内部举报系统,对企业违法犯罪事件发挥实时监控作用;其四,在违法犯罪行为发生之后,通过有针对性的合规整改,发现合规管理的漏洞,消除合规管理的隐患,推动企业合规管理体系的不断完善。通过上述常态化的合规管理体系建设,企业发生违法犯罪事件的机率将大大降低,相应的合规风险能够得到及时有效的识别、监控、预防,企业自行改进合规管理体系的动力机制也会发挥作用。既然违法犯罪事件发生的可能性大为减少,那么,企业为应对危机而进行合规整改的必要性也就会大为降低。因此,有效的日常性合规管理是减少企业合规整改的必由之路。这与一个人针对身体健康风险,定期进行专门性的身体检查,会明显降低重大疾病爆发的机率,显然是同样的道理。
    其次,危机发生后的有效合规整改,是推动企业完善日常性合规管理体系的制度保证。既然没有任何企业的合规管理体系是完美无缺的,且没有任何企业能够保证完全避免违法犯罪行为的发生,那么,现实的态度就应当是,在发生违法犯罪事件后,企业采取适当的合规整改措施,对原有的合规管理体系作出必要的改进和完善。
    有效的合规整改可以从以下几个方面发挥完善日常性合规管理体系的作用:其一,通过合规整改,识别更多的合规风险点和风险领域,大大弥补原有的“合规风险评估”的局限性。其二,通过合规整改,检察机关督促企业修复制度漏洞,消除管理隐患,改造不合规的商业模式和经营方式,相比于企业对违规、违法事件进行“自查自纠”而言,这更有利于合规管理体系的改进和完善。其三,通过合规整改,企业将在预防犯罪方面迈出坚实的一步,实现在管理方式和经营方式上的“去犯罪化”;但假如要实现深层和长远的风险防控,企业就还需要进行“源头治理”,即从避免企业行政违规的角度,建立行政监管合规管理体系,这是防止企业再次发生犯罪事件的必由之路。不仅如此,一次印象深刻、教训惨重的合规整改,会激发企业全面改进公司治理方式的动力,使企业获得“全面改进治理结构”和“重塑企业合规机制”的机会。经验表明,很多企业都是因为接受了合规整改,才不仅获得了宽大刑事处理的机会,还真正建立了有效的合规管理体系。在这一方面,德国的西门子公司和中国的中兴公司完善专项合规管理体系的经验,就属于典型的例证。
    最后,理想的合规治理应当是企业自动启动合规管理流程,根据企业内部存在的合规风险和已经发生的违规事件,对合规管理体系作出自我完善和改进。企业合规的最高境界应当是避开外部监管,实现企业的“自我监管”。但是,受多重因素的制约,这种理想的合规治理状态通常可遇而不可求。现实的合规治理状态是,企业不仅会经常发生违法犯罪事件,而且还经常出现“合规治理失灵”现象。在此情况下,无论是检察机关,还是监管部门,若能够从外部推动和督促企业作出合规整改,并对作出有效合规整改的企业给予较为宽大的处理,使其免受最严厉的处罚,就会激发企业进行有效合规整改的强大动力。在一定程度上,在违规、违法事件发生后,企业自行启动的自我整改与执法机关外部推动的合规整改二者的最终效果和目标都是一致的。只不过对于那些已经建立了成熟的日常性合规管理体系的企业而言,企业的自我整改就足以解决合规管理体系改进的问题,而那些尚未建立有效的日常性合规管理体系的企业则需要执法机关的外部推动。企业的自我整改与执法机关外部推动的合规整改相互结合,相互补充,共同推动不同企业实现完善合规管理体系的目标。
    陈瑞华,北京大学法学院教授、教育部“长江学者奖励计划”特聘教授。
    来源:《法制与社会发展》2022年第1期(第5-24页)。
相关文章!