下载掌阅APP,畅读海量书库
立即打开
制度建设与完善的过程本质上是一种广泛预防的措施,尤其体现在刑事合规制度是“必需品而非选项”发展趋势逐渐确立后;但对企业刑事合规体系的全面搭建或整改往往牵一发而动全身。从客观角度而言,为满足刑事合规的大潮流要求,在现有法务部或内部体系中增设专职或兼职的合规部或人员,乃至形成体系化、系统化的合规培训和企业合规文化,这势必增加企业的成本负担。此外,仅制订过于细致、概括化的纸面刑事合规计划可能会使企业陷入“装点门面”或束手束脚等极端困局,甚至影响企业的正常经营活动。追溯刑事合规制度引入的法律意义,是希望通过刑罚的威慑与激励作用,督促企业主动对经营内部的违法风险与业务做到识别、预防与制止,达到“悬崖勒马”的效果。所以为避免企业家和经营者出现“可为不敢为”的尴尬局面,现代企业一般采纳了刑事合规“客观有效的‘三层级’评价标准”,即搭建个性化“地基”的刑事合规组织架构后,需符合刑事合规基本制度的“静态要求”标准,还要有能达到“动态运行”的配套制度加以保障,此三层要求共同构成了刑事合规体系有效的评价标准,三者关系如表2-3所示。
表2-3 刑事合规制度客观有效“三层级”评价标准
追溯刑事合规制度的基础设计理念之一是将员工个人行为的违规与企业单位行为的责任分割,以期达到“给企业减压,给企业家松绑”的理想效果。刑事合规基本制度的构建不仅包括各类合规组织的协调配合,还需要从实体层面对企业合规文化、合规风险管理等体系进行逐步规范。而进一步贯彻落实则需要从程序层面聚焦企业自身重点领域的专项合规的积极配合、核心流程的有效遵守、标准化文本的准确落实、各业务部门行为指引的持续优化等要素。
在对企业合规基本制度设计方案进行策划时,可以从七个方面考虑,见表2-4。
表2-4 企业合规基本制度的设计方案
在企业刑事合规“必需化”趋势的驱动下,许多企业经营者对企业合规的效用仍旧存疑,企业经营利益的追逐与刑事合规的要求看似“独木桥”的两端,但实质上并非“鱼和熊掌不可得兼”。企业主动选择满足刑事合规的各项要求也并非对政策的无奈屈从,并不意味着放弃扩大市场规模、赚取高额利益;而是相较于眼前短期利益的盲目追逐,更在于长期“放长线,钓大鱼”的发展战略考量。应该将企业刑事合规真正落到实处,而不仅仅是搭建一个“空中楼阁”,徒增企业的成本负担。那么,在企业刑事合规基本制度建立的基础上,为了达到合规体系有效运转的目的,就需要逐步搭建合规配套制度,即保障合规制度的“动态运行”的要求,具体制度包括合规审查与报告、宣传与培训、审计与考核评价、举报与奖励、问责与惩戒等多阶段制度的相互配合。
由于企业所在领域、行业经营范围、盈利模式、运转管理、监管评价部门等的不同,任何一种概括式理论分类都难以涵盖企业从创立到运营的全部刑事风险。因此,除了“放之四海而皆准”可以在一般企业通用的合规制度外,还应以企业自身所在行业与重点领域合规要求为导向,对于重点监管或有特殊要求的领域进行专项合规制度规定。
目前,我国企业涉嫌实施违法犯罪行为的高发地带,主要涉及破坏市场管理秩序和社会管理秩序的经济类犯罪行为,例如,生产、销售伪劣商品,从事商业贿赂,破坏金融管理秩序,危害网络安全和侵犯个人信息等。企业经营者可以聚焦到企业的常见问题和重点领域上,借此剖析企业管理存在的常见合规漏洞,正如中兴公司就针对自身所在行业特有的刑事合规风险,在出口管制、反商业贿赂、数据保护三项专项合规计划的基础上形成三大专项合规管理体系,从而逐步完善其合规部门,打造中国市场品牌。
企业在具体建立体系化的合规计划时不应“泛泛而谈”停留于表面,而是应从核心流程入手。具体核心流程可以对应企业所设计业务的各个阶段,例如,从合规风险识别到筛查、应对,从举报监督、评价到员工合规培训与沟通,从合规专业人员的配置到履行职责的评估监管等大大小小的步骤与流程。一个良好的刑事合规体系,没有什么比构建落到实处的“流程图”更重要,其目的不仅在于阐明法律规则的要求,而且在于对企业核心流程的合规性的精心设计和逐步排查。
除此之外,各企业的合规标准化文本也不应该是“一劳永逸”的,更应该是以个性化、动态化的态度不断优化与改善,还应依据其业务、行业与企业文化的变化及时更新。如果企业仅依据以前制定好的合规措施《检查与评价表》来评估整个合规体系的有效性,则会产生反效果。
企业合规行为指引的核心内容与要求是构建企业自身商业行为的准则,包括企业内部与外部两个方面。从企业内部来看,行为指引多源自公司章程和部门内部的具体自定规章、部门规范。需要企业依据自身经营领域和发展特点来制定,并且需要定期评估与更新。从企业外部来看,行为指引则更多来自各企业所在行业的法律法规。企业内部与外部的行为指引共同构成各部门具体工作手册与行为准则,以确保各部门的具体业务操作在合规的前提下进行。例如,从目前发展势头依然迅猛的互联网领域来看,大多涉及网络安全、数据隐私侵犯等违规问题,那么刑事合规行为指引就可以如表2-5所示来进行规定。
表2-5 互联网数据隐私安全合规行为指引清单
