下载掌阅APP,畅读海量书库
立即打开
完善、有效的刑事合规体系至少要具备两个基本条件:一是能够通过合规体系的运行预防和制止企业的犯罪行为;二是企业合规要融入企业文化,形成企业的合规文化。企业的刑事合规要围绕上述两个基本条件进行搭建。
企业的刑事合规内容可以分为两大类:一类是针对企业普遍面临的刑事合规风险而制定的一般性刑事合规;另一类是针对企业重点领域制定的专项问题合规。
一般性企业刑事合规,是指企业针对普遍存在的刑事合规风险而建立的常态化的刑事合规体系。为了满足上述两个基本条件,一般性企业刑事合规的建立应以合规管理体系为核心,内容应涵盖组织、制度、流程、运行、保障多个环节。如图1-3所示,一般性企业刑事合规的内容应至少涵盖以下几个部分。
图1-3 一般性企业刑事合规涵盖内容
合规组织是企业刑事合规体系建立、运行、改进的载体,从广义上来讲,企业的董事会、合规管理部门、业务部门、职能部门等都应该属于合规组织的组成部分。
1.层级划分
治理层是指企业的领导层,一般指企业的董事会,董事会应该作为企业合规管理体系的最终责任人,通过宏观政策的把控,监督合规政策的实施,避免企业出现刑事法律风险。管理层是指企业的合规管理部门,独立合规部门是合规管理的职能部门,也是整个合规管理体系的核心环节。有条件的企业应该建立专门的合规管理部门,负责组织、协调、监督各业务部门和职能部门开展合规管理的各项工作。执行层是指公司的职能部门和业务部门,主要负责合规管理工作的落实和执行,按照合规要求完善业务管理制度和流程,主动开展合规风险识别和隐患排查,发布合规预警,定期进行合规自查。
2.职责确定
笼统来讲,企业合规组织的职责就是确保企业刑事合规制度的高效运行。但是,由于不同企业的企业性质、行业特点、组织架构等不同,也就导致其合规组织的职责有所区分。比如我国大型国企、央企可以参照国务院国资委颁布的《指引(试行)》对合规组织的职责进行划分,该指引的第二章对中央企业合规组织的职能进行了规定。而其他企业也可以参考《指南》第四章的内容,来确定合规组织的职责。表1-3为不同合规组织常见的合规职责。
表1-3 合规组织常见合规职责
3.组织建立
合规组织的建立主要分为两大部分,一是根据企业组织架构,建立符合企业特点的合规部门;二是明确企业现有部门的合规职责,比如董事会、监事会、总经理、业务部门、职能部门等,要在其原本职能的基础上附加合规职能。企业建立合规组织一定要结合自身内外部条件的实际情况,因地制宜;外部条件包括法律法规的规定、监管机构的要求、行业协会的指导等,内部条件包括企业的经营模式、组织架构、管理流程等。关于如何建立企业合规组织,本书将在第二章进行详细阐述。
企业刑事合规运行的前提,就是结合企业的合规目标、合规义务,建立与之匹配的合规制度。一个完善的刑事合规制度包括基本制度、具体制度、重点领域专项制度、合规管理流程四个要素。
1.基本制度
基本制度可以理解为需要员工遵守的合规行为规范,适用于企业的所有员工和部门。基本制度应涵盖合规目标、合规原则、合规组织、禁止行为、问责机制、奖励和惩罚等内容。比如,我国国务院国资委发布的《指引(试行)》就明确规定,中央企业应该首先建立普遍的合规行为规范,由全体员工共同遵守。
2.具体制度
为了确保基本制度顺利施行而建立的具体制度,是基本制度的扩展。具体制度应该包括合规管理制度、组织制度、运行制度、举报制度、审查制度、保障制度等,具体可以根据企业的合规目标来确定。我国国务院国资委发布的《指引(试行)》第二章也明确规定,由合规管理部门牵头制定具体的合规制度。
3.重点领域专项制度
是指企业根据其所处行业特点、企业性质等情况,针对特定高发风险而制定的重点领域专项合规制度。比如产品质量、劳动用工、财务税收、知识产权、商业贿赂等领域的专项制度。以复星药业为例,仅仅在反腐败制度方面,就有《廉政督察管理制度》《反腐败条例》《廉洁从业管理规定》《工程建设项目廉政管理规定》《反商业贿赂协议》《举报人、证人保护与奖励规定》《举报管理规定》《公务活动中收受的礼金礼品管理办法(试行)》等多部公司制度。
4.合规管理流程
合规管理流程是指通过进一步细化合规制度的标准和要求,将具体的标准融入企业现有的业务流程之中,以确保合规制度的落实和实施。一要明确刑事合规的管理流程,二要规范企业原有的业务流程,确保合规管理流程和业务流程的协调和衔接。
风险管理是定义合规风险、识别合规风险、处置合规风险的管理流程,风险管理的流程如图1-4所示。
图1-4 风险管理的流程
1.确定合规义务
合规风险实际上就是企业违反合规义务而承担法律责任的可能性,要想识别合规风险首先要定义合规风险;而合规义务就是定义合规风险的大前提。企业合规义务一方面主要来自企业所属行业应遵守的外部规定,包括企业所在行业的法律、法规,相关主管机构发布的监管规定、规则、指导等相关规定。另一方面是围绕企业自身的业务流程展开,根据企业内部的业务常用合规义务清单或其余规定、规章等相关内容(合规承诺),涉及业务的研发、销售、投资、人力资源等多个阶段。企业应该结合自身和行业特点不断补充和完善合规义务清单,只有清楚自身的合规义务,才能发现自身潜在的合规风险。
2.识别合规风险
识别合规风险是合规风险管理体系的核心,要求企业发现、收集、整理、归纳各类合规风险,为后续分析、处置合规风险做准备。企业开展合规风险识别,可以通过建立合规风险识别框架、收集合规风险案例、罗列合规风险清单来实现。比如对于销售类的企业,可以根据销售业务流程建立风险识别机制,针对销售、回款、客户回访等不同环节制作《风险评估表》,对不同环节的合规风险、预防措施、负责人职责等内容进行例举。
3.分析合规风险
分析合规风险是企业对其不合规的原因、来源、可能承担的法律后果等情况进行分析的过程。其目的在于,通过风险分析来确定风险的等级,方便企业根据风险等级及时采取不同的风险化解和处置措施,以最大限度地避免法律风险的产生。企业不仅要对合规风险产生的可能性进行分析,最重要的是要对合规风险的影响程度进行分析,比如法律责任的类型、可能带来的损失、后续整改的难度等。
4.处置合规风险
处置合规风险是合规风险管理流程的最根本目的,是企业通过采取一系列措施,从而避免合规风险产生。企业应针对不同的风险类型、风险等级采取不同的处置策略,例如化解风险、转移风险、降低风险损失等。合规风险处置过程中,需要企业制订风险处置计划,合理配置企业资源,明确不同部门的责任,落实奖惩措施。
《指南》《商业银行合规风险管理指引》等明确规定企业应该建立举报机制,举报机制也是企业发现自身合规风险的重要渠道之一。
1.举报主体
企业建立举报机制,举报主体不应该局限在企业内部员工,企业也应该鼓励外部人员对本企业不合规行为进行举报。例如,在反腐合规中,由于员工吃回扣、接受礼品等违规行为隐蔽性强,很难发现,企业可以鼓励其商业合作伙伴对员工的违规行为进行举报。
2.举报渠道
除了常规的电话举报、信件举报,企业可以积极开拓新的举报渠道,比如电子邮件、网站投诉等,有条件的企业也可以考虑建立专门的接受举报部门,负责收集各类举报信息。
3.举报保护
担心打击报复是很多举报者不想举报的重要原因,因此企业要想发挥举报机制的效果,就要建立举报人的保护机制。比如可以采取匿名举报、严惩报复行为等措施保护举报人的合法权益。
4.举报奖励
要想提高举报人的积极性,企业可以设立丰厚的举报奖励,可以是物质奖励,也可以是职位的晋升,形式没有限制,企业可以根据自身情况灵活确定。
《指引(试行)》《商业银行合规风险管理指引》等明确要求企业建立有效的合规问责机制,对违规行为及时开展调查、严肃追究违规人员的责任。对于企业而言,企业性质不同可采取的问责措施也不同。非国有性质的企业可以根据员工的违规情况,作出警告、降职、降薪、调岗、解除劳动合同等惩罚措施;对于国有企业而言,除了可以作出上述常规的处分外,还应该结合《中国共产党纪律处分条例》规定,对党员员工作出警告、严重警告、撤销党内职务、留党察看和开除党籍的处分。
问责机制除了能够帮助企业惩治违规行为,还有一个更加重要的作用就是帮助企业明晰个人责任和企业责任。实践中,通常情况下很难对企业员工的个人违规行为与企业的单位违规行为进行区分,为了防止企业为员工的违规行为埋单,问责机制需要明晰不同岗位、不同部门的主体责任,明确违规责任的范围和边界,做好违规人员与企业的风险隔离。
企业合规文化是指,企业在合规管理过程中形成的合规理念、合规价值、守法意识等内容的总和。企业合规文化是企业文化的重要组成部分,也是企业合规管理体系的基本要素。我国保监会颁布的《保险公司合规管理办法》以及国务院国资委颁布的《指引(试行)》都明确要求企业在合规建设过程中要推动合规文化建设,培养全体工作人员的合规意识。
企业可以采用多种形式培养企业合规管理文化,比如可以制定合规手册,对合规的意义、内容进行明确说明;也可以在员工入职时要求其签署合规承诺书,让员工自觉遵守自己作出的合规承诺;也可以定期对员工进行合规培训,提升员工履行合规义务的意识和能力。只有采取多种措施为员工塑造“知法、懂法、用法”的文化氛围,才能按照企业的合规要求和目标对外承诺,从根本上减少刑事法律风险的发生。
企业刑事专项问题合规是指,针对企业的专项项目或者重点领域,识别、评估具体项目或者领域中存在的法律风险。具体可以包括合规调查、专项刑事风险评估以及专项刑事风险处置三个环节。企业专项刑事合规的意义在于,针对企业风险高发的专项或者重点领域,通过开展合规调查,使企业了解其自身行为是否构成犯罪以及他人的违规行为会给企业带来何种影响,并通过刑事手段解决纠纷和维护权益。
1.合规调查
合规调查可以分为内部合规调查和外部合规调查。内部合规调查是指企业指派公司法务部门或者合规部门,对企业的项目、重点领域、合作伙伴等进行的专项调查活动。外部合规调查是指企业委派律师事务所等独立的第三方机构对企业可能存在的合规风险进行调查的活动。现在也有很多律师事务所在政府的监管下开展“合规尽职调查”业务,其目的就是帮助企业识别风险、提出完善合规体系建议。
2.专项刑事风险评估
合规调查之后就需要对调查中出现的问题和隐患进行系统的风险评估。现在很多企业在签订重大合同或者作出重大决策时会就有关法律风险问题,委托专门的律师事务所进行风险评估。大多由律师出具专业的法律意见书,对企业专项合规风险进行评估定级,并给出处理意见。
3.专项刑事风险处置
专项刑事风险处置包括一般的专项刑事合规风险处置以及紧急事项合规风险处置。专项刑事风险评估后,会根据合规风险的严重程度、发生概率、紧迫性等来确定风险等级,如果出现紧急的合规风险,则需要企业及时作出应对策略。其中包括核心证据的保全收集、调查讯问的应对、涉嫌罪名的法律分析、诉讼策略的制定等。因此对于企业而言,除了要建立专项刑事风险处置机制,有条件的还可以聘用合规顾问,及时帮助企业处理紧急的合规风险。
由于专项问题合规风险具有紧急性、突发性、处理难度大的特点,所以企业要结合其所处行业的特点、自身的经营模式来确定合规审查的重点领域。常见的合规专项重点领域如图1-5所示,具体如何对重点领域的合规进行审查,本书将在第三章中进行详述。
图1-5 常见的合规专项重点领域
不同于常规事项的规模化、体系化的刑事合规,针对紧急事项的合规处理就需要确保有关突发公共事件预警与应对流程具有及时性、应急性的特征。紧急事项的刑事合规大多分为突发公共事件、自然灾害、不可抗力事件等类型,其旨在关注社会环境的局势、灾害预警与应对,得以有效控制风险与限制损害范围。
在企业内会设置安全委员会、安全委员办事处、各地环境安全保护部等各层级组织或机构,以应对及处理紧急事项,分别负责与履行决策、管理、执行“三层级”的工作(见表1-4)。
企业会面临的突发公共事件包括相邻地区、国家进行生物实验、大规模杀伤性武器实验,大规模流行病、传染性疾病的暴发,突发政府干预,政府禁令,本地区、国家发生战争,企业所在地区、国家遭受恐怖袭击,导致企业无法及时采取有效措施应对,影响正常生产经营等各类情况。
表1-4 企业突发公共事件合规管理——“三层级”职责
在各类公共事件发生后,企业内部合规组织应及时建立突发公共事件总体应急预案;应急预案应当包括针对各类突发公共事件的应急方针、政策、应急组织结构及对应的职责,其中不限于各类应急行动、措施和保障基本要求及相关程序。此外,企业内部合规负责人还应当对此事件专设突发公共事件应急领导小组,统一领导企业突发公共事件应急工作,以避免各部门职责相互冲突,出现“搭便车”、互相掣肘的情况。除了应对突发事件的应急领导小组,为减少和预防意外事件的发生,还应下设生产安全事故应急工作小组,作为日常办事机构。突发公共事件发生后,应立即成立突发公共事件应急指挥部以及其他基本应急行动组,负责具体领域、不同行业的突发事件。各基本小组之间应当明确各自的职责,例如,应当明确突发事件发生后的信息报告内容、流程以及各层级岗位联络人的联系方式。此外,还应在事前、事后建立突发公共事件预警与事故报告机制。明确相关部门和岗位对突发事件的监控职责,并对各种可能发生的突发公共事件进行预警。
在突发事件发生后还应当建立企业内部合规应急响应机制,明确应急响应级别、响应流程、启动条件以及对应的处置措施等。突发事件发生后,应当严格按照先前制定的程序要求,建立全面的灾后恢复与重建机制;各层级应当具体贯彻落实,逐步推进善后处置工作。在相关完整的合规突发事件处置机制完成后,还应对特别重大突发公共事件的起因、性质、影响、责任、经验教训和恢复重建等问题进行调查评估;依据评估结果分析现存问题,以改进和优化后续合规机制。
企业面临的自然灾害所包括的合规事项大多是指发生火灾、雷电、洪水、地震、海啸、泥石流、滑坡,毁坏公司基础设施、生产设备,造成人员伤亡和严重财产损失,导致公司生产经营不能正常开展。
与上述突发公共事件类似,也是由三级部门负责相关任务,“三层级”所负责的具体任务如表1-5所示。
表1-5 企业自然灾害合规管理——“三层级”职责
在灾害应急预案方面,应根据国家法律法规规定,结合企业实际情况,建立健全灾难应急预案,并形成受控文件。相关合规负责人应积极成立应急领导小组、工作小组及专家组,明确各组的具体职责及指挥体系,各小组成员必须事先进行灾难事故处理的培训。建立灾难事故报告机制;通过培训等使灾难应急预案、应急机构及报告机制为全体员工所知晓;广泛开展灾难预防宣传教育活动,让员工掌握避险、互救、自救、减灾、逃生等基本知识和技能。实行特殊岗位资格认证制度,持证上岗。定期及不定期开展应急预案演习,并记录其结果;对灾害危险源进行辨识及即时监控,并记录其结果;安装预防装置,减少和防止灾难事故发生,对上述装置进行经常性维护管理。在灾难发生后,相应的领导小组、指导小组和专家组应及时到达现场进行指挥并行使相应的职能;相关领导接报后应立即到达现场,实施现场处置指挥工作;灾难发生后,应立即启动应急程序,尽可能降低灾难对公司造成的损失。受伤者伤势严重或无法现场处置的,立即拨打“120”急救中心电话。有程序地处理事故,最大限度地减少人员和财产损失,做好事故现场的保护工作,以便在灾后开展恢复工作。
在灾难恢复阶段,应积极建立健全灾难恢复计划,明确在工作过程中受到严重损坏时保证不间断生产和客户服务管理的职责和程序;成立灾难恢复管理小组并进行培训;灾难恢复计划及灾难恢复管理小组应为全体员工所知晓。灾难恢复管理小组应确定恢复目的及相应的理由和依据,查找出组织可能会遇到的各种威胁和故障,并按轻重缓急进行排序。灾难恢复管理小组要制定恢复方案和明确进行恢复工作的组织。灾难恢复管理小组应第一时间通知客户关于灾难的损失情况,并定期报送灾后恢复方案及其进展情况。对于短期内无法恢复生产的,灾难恢复管理小组应组织转厂生产;对于短期内可以恢复生产的,灾难恢复管理小组应及时与客户沟通,并采取大客户优先供货原则。对灾难事故中出现伤亡的人员,按照国家有关规定妥善进行抚恤、安置并做好其亲属的安抚工作。应急状态终止后,应急机构应对事故原因进行调查并对应急救援能力进行评估,灾难恢复管理小组应对灾难恢复能力进行评估,并对相关应急预案和恢复计划进行修订。应急处置结束后,事发单位应立即组织分析评估经济损失,评估本单位应急反应的人力、器材、组织执行系统等是否能满足应急反应的需要等。灾难事故得到控制或消除后,事故单位应采取或继续实施必要措施防止发生次生、衍生事件或重新引发灾难事故。