| 文章目录 | |
| 一 | “合规”还是“刑事合规”? |
| 二 | 事前“全面合规”还是事后“专项合规”? |
| 三 | 律师开展合规管理体系建设工作的基本思路 |
合规业务在我国正蓬勃兴起。企业合规(corporate compliance)又称合规计划(compliance programs)、合规(compliance),这些概念内涵基本相同,含义较为多元,但基本在两个角度上使用,一是作为企业管理的目标,实现企业“遵守规范”,第二是为企业建立起能够“遵守规范”,控制合规风险的管理体系。
而随着最高人民检察院大力推行的“企业合规制度改革”,近来无论是理论界还是实务界均高频率地出现了“刑事合规”的概念和相应的律师业务。2022年4月19日全国工商联与最高人民检察院等9部委又联合制定了《涉案企业合规建设、评估和审查办法(试行)》(全联厅发〔2022〕13号)更是进一步推动我国企业合规制度改革的落地。但是因为合规“舶来品”的性质及我国企业合规改革尚在探索之中,学者及实际开展合规业务的律师对于如何理解合规,怎么为企业提供合规服务均存在一定程度上的分歧,我们尝试着结合已经和正在开展的企业合规业务经验,以律师开展企业合规业务为视角,就企业合规概念及如何为企业提供合规服务等争议问题进行一番评析,以期能够为理论和实务人士提供些许启发。
一“合规”还是“刑事合规”?
首先,考察“合规”概念的源流,“刑事合规”的概念一定程度上由于我国刑法学者最早引入和对“合规”概念展开讨论,所以“误打误撞”地使用了“刑事合规”的表述。“刑事合规”是德国学者从刑事激励措施角度研究合规时而“独创”的表述,德国学者托马斯·罗什也坦承“在狭义上刑事合规这一概念最初并不存在。”事实上,合规计划的“规”不仅包括刑事法律,还包括行政法规、行业准则、商业伦理等;合规计划的激励措施既包括刑事处罚的从宽,更包括行政处罚甚至民事责任的减免。由于刑法是其他法的保障法,因此刑事处罚从宽的激励措施是终极性的,因此,德国学者才从刑事激励措施的角度称之为“刑事合规”。如果单纯从刑事法的角度看待合规,那么“刑事合规”只是合规的一种表现形式而已。我国法学界最早引入企业合规的是刑法学者,由我国刑法学在学术传承上对德国刑法的偏好,所以“误打误撞”地使用了“刑事合规”的表述。[1]
其次,当前论证我国“刑事合规”概念的规范性文件中使用的也是“企业合规”、“涉案企业合规”等概念,并没有单独区分或限缩合规的概念。无论是2021年4月最高人民检察院下发的《关于开展企业合规改革试点工作的方案》、2021年6月3日最高人民检察院等九个部门的印发《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》、2022年4月19日9部委联合制定的《涉案企业合规建设、评估和审查办法(试行)》均使用的是“企业合规”或是“涉案企业合规”,强调“合规建设”是形成有效合规管理体系的活动。可见目前“大谈特谈”的“刑事合规”的规范依据反而不能体现“刑事合规”这一独立概念。
最后,从律师开展合规业务角度出发,客户的需求通常是整体和复合性的,单独对刑事责任的规避和预防并不足以支撑(刑事)合规业务作为单独的一项律师服务。目前所谓的刑事合规法律服务中诸如一般刑事合规、特定问题刑事合规和预期刑事调查合规服务[2]实际和刑事律师在合规概念兴起之前就已经开展的专项法律咨询、刑事控告等法律服务没有本质区别,甚至针对预期刑事调查提供的所谓“合规”法律服务本身就存在“合规风险”。律师目前为企业开展合规业务中具备一定独立性的业务主要是“合规管理体系建设”,为企业搭建成熟的“合规管理体系”,要求律师系统、全面识别企业活动、产品、服务所产生的合规义务,并评估其对组织产生的影响。[3]这一系统识别、梳理合规义务的过程当然会基于《刑法》及相关司法解释以预防产生刑事责任这一重大合规风险而对企业经营情况进行全面审查。
但梳理基于《刑法》产生的合规义务并非合规体系建设的全部。例如笔者目前在为某生产型企业提供安全生产合规的合规管理体系建设服务,这一安全生产领域的合规管理体系建设当然要求能够防止企业生产经营出现《刑法》第二章、第三章、第六章等如重大责任事故罪、危险作业罪等大致18个罪名的刑事法律风险,但同时也要关注GB/T 33000-2016《企业安全生产标准化基本规范》这一国家标准中体现的对企业安全生产的其他重要合规要求,要努力降低企业出现重大责任事故的概率,避免重大罚款及责令停产停业等严重行政处罚。
同时仅仅将眼光停留在企业可能面临的刑事责任上为企业设计合规管理体系肯定是片面及难以操作的。例如笔者正在进行的安全生产合规管理体系建设工作中,按照相关法律及国家标准要求需要协助企业建立或完善“设备设施规范化运行管理制度”,并重点检查企业是否对设备设施进行规范化管理,是否建立设备设施管理台账。而设备设施管理台账的管理及记录制度完备与否似乎与企业是否会因不合规而遭受刑事追究相去甚远。但这一制度的建立作为生产现场安全管理体系的一环却必不可少,从整体上看当然有助于降低事故发生概率,降低严重合规风险发生的可能性。但是如果只进行所谓的“刑事合规”则可能导致“一叶障目不见泰山”,对律师为企业提供合规管理体系建设服务也缺乏系统性和可操作性的指引。
需要重点说明的是当前讨论得如火如荼的“刑事合规不起诉”的服务,实际仍然属于刑事辩护服务的范畴,辩护律师按照《指导意见》第10条申请“适用企业合规试点以及第三方机制”与申请“适用认罪认罚从宽制度”或提出无罪辩护的意见没有本质区别,都是辩护人为当事人争取无罪、罪轻的辩护手段之一。同时现在的“刑事合规不起诉”所适用的法律依据依然是《刑事诉讼法》第177条第2款的“酌定不起诉”。因此即使是从最狭义的“合规不起诉”角度,也难以论证“刑事合规”概念及作为律师业务的独立性。
二 事前“全面合规”还是事后“专项合规”?
我国目前对于企业合规制度改革及合规的激励机制,主要在于最高人民检察院主导推进改革的“涉案企业合规不起诉制度”,涉案企业如果能够在考察期内建立起有效的合规计划则能够对企业所涉犯罪作出不起诉处理。由此对于律师开展“合规服务,就产生了事前合规,即企业被立案追究刑事责任之前的合规服务;以及事后合规,即企业为实现合规不起诉,在审查起诉阶段有效建立合规计划并通过检察机关或第三方监管机制的验收,从而获得不起诉处理的“合规服务”。
而无论是事前合规还是事后合规,实际都涉及到为企业建立起合规管理体系的内容,而对于事前合规和事后合规的联系和区别以及事后合规如何开展,无论是学界还是律师实际开展合规业务中均存在诸多争议。特别是目前有相当的学者、律师认为事后合规是仅针对避免企业再次犯罪而进行的专项合规,与事前的全面合规是完全不同的业务。我们认为这种理解有失偏颇,也不利于我国合规业务的长远发展。
我们认为准确理解合规业务的“事前”、“事后”以及是“全面”还是“专项”,有赖于以下2个对合规业务开展的认识。
(一)合规管理体系以涉刑事责任的合规风险评估与控制为主导
无论是事前全面的合规管理体系建设,还是事后针对涉案企业的专项合规,实际均是以涉刑事责任的合规风险评估和控制为主导。这也是为何“刑事合规”概念在我国如此有生命力的内在原因。
事后合规就是针对涉刑事案件的企业合规,建立起的合规计划最终要由检察机关评估其有效性,因此事后合规以涉刑事责任的合规风险评估和控制为主导不存在争议。针对事前合规,实际相关规范性标准也强调了以涉刑事责任的合规风险为主导。
IS0 37301:2021《合规管理体系要求及使用指南》(以下简称《37301合规指南》)附录A4.6阐明:“合规风险评估构成了合规管理体系实施的基础,也是分配适当和充足的资源和过程以便对已识别的合规风险进行管理的基础。”
合规风险的评估主要包括合规风险的“识别”、“分析”和“评价”三个步骤。[4]合规风险的识别以对合规义务的系统性归纳为主。《37301合规指南》在附录A4.5条中建议:“组织宜采取基于风险的方法,即组织宜首先识别出与业务相关的最重要的合规义务,然后关注其他合规义务”,即遵循“帕累托原则”识别合规义务。[5]而何为最重要的合规义务,毫无疑问主要应指基于《刑法》及相关司法解释产生可能导致追究刑事责任的合规义务。
同理,在合规风险的评价中,评估合规风险的高低主要也是着眼于是否会产生刑事责任,以及刑事责任的大小。例如在中国国际贸易促进委员会商业行业分会发布的《合规风险识别、评价与控制指引(征求意见稿)》(T/CCPITCSC XXX—2018)中合规风险评价的一个重要指标就是“对合规风险严重程度的衡量”,该团体标准(征求意见稿)第8.3.2条建议的衡量标准为:“衡量标准因风险的不同而不同、因组织的具体性质和大小而异。常见的衡量标准包括但不限于以下内容:——是否会触发刑事责任;——经济损失大中小的阀值分别是么;——给组织造成名誉损失的可能性大小。”
由此可见,以对合规风险进行识别、分析、评价和控制为基础的合规管理体系之中,重点梳理会产生刑事责任的合规义务,和注重可能会产生的刑事责任的合规风险,是整个合规管理体系建设的重中之重,甚至处于合规服务的核心地位。在此意义上,“刑事合规”的主要思想其实本身也就暗含在合规概念之中,即合规管理体系建设为代表的事前合规工作以产生刑事责任的合规风险评估与控制为主导。
(二)合规体系建设中的“体系化整改”与“针对性整改”的争论并无实际分歧
在合规业务的开展中,对于事前合规与事后合规认为是对立的关系。这种观点在对事后涉案企业合规的具体开展的目的争论表现的尤为明显。针对事后合规的合规计划在合规整改方面的目的和具体内容,我国法学界和实务界目前存在着两种具有竞争性的观点:一是“体系化整改说”;二是“针对性整改说”。前者坚持一种建立合规管理体系的思路,将体系化的合规整改视为发现和预防犯罪再次发生的基本目标。与“体系化整改说”不同,“针对性整改说”则坚持认为,企业合规整改并不是要引入一套完整的合规管理体系,而是要针对犯罪原因作出有针对性的制度纠错和补救。[6]这实际就是合规业务开展的“全面合规”还是“专项合规”之争。
所谓的“针对性整改说”似乎认为企业事前进行的带有日常性质的合规管理体系就是一种大而空,泛泛而谈的制度建设,不具有针对性。而如前所述,单纯着眼于避免刑事责任的合规体系建设反而难以实现对产生刑事责任的合规风险的有效评估和控制。同时按照“体系整改”说进行“全面合规”并不等同于“面面俱到”。合规业务开展实践中,“全面合规风险管理项目应划分为若干专项合规风险管理项目,同步进行。也可以逐个进行各专项合规风险管理项目,有序推进,从点到面,最终完成全面合规风险管理项目。”[7]这也是《37301合规指南》所强调的“帕累托”原则的应有之义。
最新发布的9部委《涉案企业合规建设、评估和审查办法(试行)》第21条也进一步展示出国家针对涉案企业改革的目标:“涉案企业应当以全面合规为目标、专项合规为重点,并根据规模、业务范围、行业特点等因素变化,逐步增设必要的专项合规计划,推动实现全面合规。”
综上所述,无论是事前合规还是事后合规,也不管是全面合规还是专项合规的争议,实际并不存在本质差异,两组概念在合规业务开展上也绝非对立关系。事前合规中的合规管理体系建设看似从概念上大而全,但是律师在为企业搭建合规管理体系上从来都是有所侧重的,会针对企业的具体的活动、产品和服务有针对性的识别合规风险,并建立相应的合规风险评估与控制机制。例如针对销售类企业重点可能放在反腐败、反商业贿赂的合规管理体系搭建上,针对生产类企业则重点放在安全生产的合规管理体系搭建,非重点领域的合规风险,按照《37301合规指南》建议,遵循帕累托原则,逐步增加合规资源的投入,进而达到有效全面控制企业面临的合规风险。
有效的事前合规就应当具有有效预防企业犯罪的功能。因此对于事后合规中,在“合规不起诉制度”中所要求搭建的企业合规管理制度与事前的合规体系建设实际是联系在一起的,由于在诉讼程序中用于考察的时间有限,所以事后合规的表现通常是事前合规体系建设的“简略版”是遵循帕累托原则搭建企业合规管理体系的初步成果。
三 律师开展合规管理体系建设工作的基本思路
(一)建设什么?——合规管理体系建设不能简单等同于为企业建章立制、查缺补漏
有论者对相关参考文件中体现的合规管理体系建设的要素做了归纳,认为企业合规管理体系应包括十三个构成要素,即:合规方针、合规组织、合规风险管理、合规制度与流程、合规审查、合规管理评估、合规审计、合规考核与评价、合规宣传与培训、违规管理与问责、合规计划与合规报告、合规管理信息系统以及合规文化。[8]
最新发布的9部委《涉案企业合规建设、评估和审查办法(试行)》第1条也强调:“涉案企业合规建设,是指涉案企业针对与涉嫌犯罪有密切联系的合规风险,制定专项合规整改计划,完善企业治理结构,健全内部规章制度,形成有效合规管理体系的活动。”
《37301合规指南》附件中对“合规管理体系”的具体提示是:“合规管理体系是一个框架,该框架是基本架构、方针、过程和程序的有机组合,其目的是实现预期的合规结果,并发挥作用以预防、发现和应对不合规行为。”《37301合规指南》A4.6提示:“合规风险评估(识别、分析、评价)构成了合规管理体系实施的基础”。
结合上述,我们可以简单的归纳出合规管理体系建设的具体建设内容,即为企业搭建其以合规风险评估为基础,以实现预防、发现、应对合规风险为目的的管理体系框架。其中合规方针、合规组织、合规风险管理制度(主要是合规风险的评估及控制制度)、相应的流程机制等等共同成为合规管理运行的主要内容,而合规管理评估、考核、宣传、信息系统、合规文化等均属于对合规管理保障的主要内容。
因此将合规管理体系建设简单等同于为企业建章立制,在现有制度框架下的差缺补漏有以偏概全之嫌,且属于依然延续着传统被动为企业提供咨询服务的思路去理解合规业务;并考虑企业风险管理的现代视角;没有考虑合规法律服务属于一种主动性法律服务的性质,恐怕难以适应时代的发展和合规业务的内在要求。
(二)如何建设?——搭建必要基础结构、系统梳理合规义务、有效管控合规风险、持续改进形成“PDCA”循环
《37301合规指南》附件A4.4对于合规管理体系的阐释中实际已经指明了合规管理体系建设的基本方法及步骤:“通常,合规管理体系框架具有结构性特征:先建立必要的的基础结构,而在其基础上构建该合规管理体系。该合规管理体系需要通过方针、过程和程序的实施来使其运行,且对其进行维护和持续改进。
合规管理体系包含诸多要素。其中某些要素是为满足预期要求而设计,某些要素用于防止非预期行为而设计,而某些要素用于监视组织的合规绩效或在发生不合规情况时提出警告。
合规管理体系不可避免错误的发生,但有相应的过程对错误做出适当的反应,包括对过程、体系和受影响方的补救。”
同时GB/T 35770—2017《合规管理体系指南》的国家推荐标准也给出了合规管理体系流程图[9],有助于理解上述方法及流程:

简单概述按照上述指引,律师为企业搭建合规管理体系的4个必不可少的规定动作:
1.搭建必要基础结构
合规管理体系服务于企业所设定的合规方针和目标,而如何确立好合规方针目标,以及在企业的多大层面上建立起合规管理体系,需要律师协助企业的管理层“识别内外部问题”和“相关方要求”,即考虑企业商业模式特征、法律和监管环境的变化、所在地区社会、文化、环境背景等以及管理层及其他合规管理体系牵涉的各方利益诉求,综合考虑“在企业多大范围建设”、“建设的目标”是什么等合规管理体系建设的前提问题。
企业在此基础上搭建其独立的合规团队、并赋予不同层级合规人员相应职责职责,并提供人、财、物等必要的资源支持,实现搭建合规管理体系的必要基础结构。
2.系统梳理合规义务与评估合规风险
如上所述,合规管理体系建设实施的基础是对合规风险的评估,而合规风险就是“因不符合组织合规义务而发生不合规的可能性及其后果”。[10]可见合规义务是足以贯穿整个合规管理体系建设全流程的核心概念。
对此,《37301合规指南》在附件A4.5进一步阐释:“组织宜将合规义务作为确立、制定、实施、评价、维护和改进其合规管理体系的基础。”可见合规义务对于合规管理体系建设属于重中之重。
同时《37301合规指南》4.5条强调“组织应系统识别其活动、产品、服务所产生的合规义务,并评估其对组织产生的影响。”可见对于合规义务的识别并非简单的查找法律及相关规范性文件,而是形成一种能动、系统化的“合规义务识别机制”。
企业合规管理体系建设的核心目标是建设“基本架构、方针、过程和程序的有机组合”能够有效评估并控制合规风险。只有对合规义务的识别更加全面和准确,并且能够形成持续更新的机制,合规风险的有效评估和接下来对合规风险的控制才具有可操作性。
合规一定程度上可以被认为是“遵守法律”的放大版。系统化的识别合规义务也成为了合规业务作为律师开展的法律业务的本体所在;也是律师与其他中介机构如会计师事务所、企业咨询公司开展企业合规工作的区别及优势所在。
律师基于其长期的法律实践和与监管机构、执法机关打交道的经验,能够更加准确的识别企业的活动、产品、服务所牵涉的合规义务,并能更准确的理解合规义务所可能引发的合规风险。只是公司业务律师、刑事律师为企业开展合规体系建设的优势和工作风格略有不同。公司律师对企业经营更了解和熟悉,对于非诉工作的经验更易迁移,刑事律师则对于企业面临的各种合规风险感知更深,号脉更准,设计的合规管理体系可能更具针对性。
3.有效管控合规风险
在合规管理体系具备相应的基础结构,并且能够全面识别出合规风险之后,就需要完成对合规风险的具体处置,这也是建设合规管理体系的直接目的。
合规风险的应对措施,只能是规避、消除和降低风险,即:(1) 决定停止或退出可能导致风险的活动以规避风险;(2)消除具有负面影响的风险源;(3)消除风险事件发生的可能性;(4)降低风险事件发生的可能后果。
企业合规风险应对具体举措通常包括以下几种类型[11]:
序号 | 合规风险类型 | 内容 |
1 | 资源配置类 | 设立或调整与合规风险应对相关的机构、人员,补充经费或风险准备金等 |
2 | 制度、流程类 | 制定或完善与合规风险应对相关的制度、流程 |
3 | 标准、规范类 | 针对特定合规风险,编写标准、规范等文件,供相关人员使用 |
4 | 技术手段类 | 利用技术手段规避、降低或转移某些合规风险 |
5 | 信息类 | 针对某些合规风险事件发布预警信息 |
6 | 活动类 | 开展某些专项活动,规避、降低或转移某些合规风险 |
7 | 培训类 | 开展合规风险培训与宣传,提高相关人员的合规风险意识与合规风险管理技能 |
其中对于上述标准、规范类、培训类的合规风险,律师在协助企业开展合规风险控制的过程中,实践中往往会存在与企业具体业务操作的分工问题。
以笔者目前正在负责的某企业安全生产合规管理体系建设的项目来看。这一问题格外凸显,按照《安全生产法》及《企业安全生产标准化基本规范》(GB/T 33000-2016)等有关规范性文件及国家标准的要求,企业应编制齐全适用的岗位安全生产和职业卫生操作规程、定期识别安全教育培训需求,制定、实施安全教育培训计划,并保证必要的安全教育培训资源。
诸如该类内容,律师为企业开展安全生产合规管理体系建设是否需要亲自编写具体的安全生产的操作规程和开展相应的安全生产专业技能的培训,就存在较大争议。我们认为,显然上述内容属于安全生产操作技能、安全技术知识的内容,已经不属于合规的工作。合规属于遵守法律的升级和放大版,合规律师应当发挥其法律专家的作用,重在为企业完成合规义务的系统梳理,合规风险的评估以及提出控制合规风险的具体建议,最多为企业编制《安全生产合规手册》对合规风险进行提示。
而编制《安全生产合规手册》与安全生产合规义务所要求的《岗位安全生产和职业卫生操作规程》完全不同。前者更多的还是体现《安全生产法》全员生产责任制的有关内容,提示生产企业主要负责人、从业人员编制和修改《岗位安全生产和职业卫生操作规程》的时间节点,如“新技术、新材料、新工艺、新设备设施投入使用前”需要对安全生产的操作规程进行针对性修订;对操作规程需要达到的法律标准和国家标准进行提示。律师实际对企业具体的生产技术方法、具体的安全生产操作知识并不具有实际经验和专业背景,具体操作规程中如生产管线搭设的技术方法,工业合成的技术路线改进不应是,也不可能是合规律师的工作。
4.持续改进合规管理体系,形成“PDCA”循环
合规管理体系与其他企业管理体系一样,都要遵循持续改进原则。合规管理体系建设并非识别出合规风险并实施了相应的控制措施就宣告结束。合规管理体系建设在实现合规风险的评估和控制的全过程中要遵循企业管理的“PDCA”循环方法,实现企业合规管理制定(plan)、实施(do)、评价(check)、维护(act)的循环,使得企业对于合规管理的资源投入、组织架构、合规义务的识别、合规风险的评估和控制等内容能够一直保持动态更新,能够让合规管理体系持续运转更新长久实现控制合规风险、降低不合规行为发生概率,使得企业合规管理体系具备旺盛生命力。
结合最新发布的9部委《涉案企业合规建设、评估和审查办法(试行)》第14条:“第三方组织对涉案企业专项合规整改计划和相关合规管理体系有效性的评估,重点包括6项内容”。也能印证上述四个步骤的准确性,具体如下图所示:
合规管理体系建设的4个步骤 | |
(一)对涉案合规风险的有效识别、控制; | 2.系统梳理合规义务与评估合规风险 |
(二)对违规违法行为的及时处置; | 3.有效管控合规风险 |
(三)合规管理机构或者管理人员的合理配置; | 1.搭建必要基础结构 |
(四)合规管理制度机制建立以及人力物力的充分保障; | |
(五)监测、举报、调查、处理机制及合规绩效评价机制的正常运行; | 3.有效管控合规风险 |
(六)持续整改机制和合规文化已经基本形成。 | 4.持续改进合规管理体系,形成“PDCA”循环 |
注释
[1] 李勇:《企业合规需要重塑治理模式》,载《检察日报》2021年10月14日第3版。
[2] 参见阚吉峰:《开展刑事合规业务的思考》,载《中国律师》2021年第5期。
[3] IS0 37301:2021《合规管理体系要求及使用指南》4.5。
[4] IS0 37301:2021《合规管理体系要求及使用指南》第4.6条。
[5] 国际标准中提到的帕累托原则,含义接近于中文语境中的“二八定律”,强调合规管理体系的建设优先着眼于评估和控制可能产生的最严重合规风险等“主要矛盾”。
[6] 参见陈瑞华:《企业有效合规整改的基本思路》,载《政法论坛》2022年第1期。
[7] 郭青红:《企业合规管理体系实务指南》,人民法院出版社2020年版第110页。
[8] 郭青红:《企业合规管理体系实务指南》,人民法院出版社2020年版第36页。
[9] 需要说明的是IS0 37301:2021《合规管理体系要求及使用指南》在前言部分将流程图替换为要素图,但基本内容和精神没变,因此虽然GB/T 35770—2017《合规管理体系指南》等同适用的ISO19600标准已经被替代,但该流程图仍具有说服力。
[10] IS0 37301:2021《合规管理体系要求及使用指南》3.24。
[11] 郭青红:《企业合规管理体系实务指南》,人民法院出版社2020年版第102页。
