原标题:如何设计有效的刑事合规计划
郭小明
虽然每个涉案企业的刑事合规计划都应当是结合自身实际而有针对性的,但合规计划作为一种管理活动,在设计刑事合规计划时可以借鉴部分经典的管理工具,以便于涉案企业透彻分析违规原因并制定全面有效、可执行的合规方案。
2021年6月3日,最高人民检察院等九部门联合发布了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(下称《指导意见》),要求合规计划应当主要围绕与企业涉嫌犯罪有密切联系的企业内部治理结构、规章制度、人员管理等方面存在的问题,制定可行的合规管理规范,构建有效的合规组织体系,健全合规风险防范报告机制,弥补企业制度建设和监督管理漏洞,防止再次发生相同或者类似的违法犯罪。从该要求来看,合规计划的制定和实施涉及了企业管理的多个方面——治理结构、规章制度、人员管理、管理规范、组织体系、报告机制等,这是企业的自我革新。
上世纪七八十年代,有管理咨询公司对美国62家大公司和43家获利能力和成长速度较快的模范公司进行调查,并构造了企业发展的经典管理模式模型。该模型主张企业管理必须关注七个方面的要素:战略、结构、制度、方式、人员、技能、共同理念。前三个为硬件要素,后四个为软件要素。只有在这七个要素良好沟通与协调的情况下,企业才能获得成功。
有效的刑事合规计划离不开科学地分析企业涉嫌犯罪的原因。该模型可以用于分析涉案企业的现状以及法律法规要求的应然状态,并发现其中的差距和不足,帮助企业更清晰地识别存在的问题,促使企业的合规改进更具针对性,将企业内部管理的各方面有机联系起来,确保合规改进计划的有效性。以侵害公民个人信息权益类的案件为例,个人信息保护法规定了个人信息处理者的禁止性义务(如第2条)和强行性义务(如第51条),如果个人信息处理者不履行这些义务,就会涉嫌违法违规。涉案企业分析违规原因时,亦可以结合该模型来考虑:一是在战略和共同理念上,是否确立并坚持了“不得侵害自然人的个人信息权益”的要求,是否体现在公司的经营战略及风险偏好中?二是在结构上,是否建立了相应的合规管理组织,是否应当指定个人信息保护负责人,合规管理组织是否具备足够的独立性和专业性?三是在制度上,是否制定了确保个人信息处理活动合规的内部管理制度和操作规程,是否确立了具体业务场景中的行为准则?四是在方式上,是否对个人信息实行分类管理,是否采取了相应的加密、去标识化等安全技术措施,是否制定并组织实施个人信息安全事件应急预案?五是在人员和技能上,是否合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训?
在分析违规原因之后,涉案企业应当对应性地制定合规改进方案,这是刑事合规计划的重中之重。《指导意见》提出,涉案企业提交专项或者多项合规计划。参照全球优秀公司合规管理经验和基于合规管理的方法论,合规改进方案的硬件要素包括合规战略、合规架构及合规制度,软件要素包括合规人员、管理方式、合规技能及合规文化。
树立合规发展战略,明确合规计划目标。法律规范为调整人与人之间关系的行为总则,义务就来源于这种人与人的关系中,因此涉案企业应当首先分析其内外部环境,明确经营管理活动涉及的相关方及其需求和期望,明确合规义务与要求,基于企业的使命、愿景确立合规计划的目标。守法经营,是任何企业都必须遵守的原则,也是长远发展之道。企业必须将合规管理融入到企业发展战略中,以合规作为企业生存和发展的基础,在合法合规中提高企业竞争力。
搭建合规管理架构,健全合规管理组织。企业的合规战略需要通过高效的合规管理组织架构来落实。在刑事合规计划中,企业应以合规战略为导向,加强顶层设计,一方面明确合规负责部门,确保其工作独立性,为其开展工作配备充足的资源,同时也应当明确各职能部门及业务部门的合规管理职责,形成垂直管理监督系统与水平分工协作系统的有机结合。多数实践中,企业会成立由董事会领导的合规管理委员会,主导公司整体合规管理工作,同时与审计、监察、风险管理、内部控制等部门开展合作、形成管理合力,共同推进合规工作开展。
制定合规管理制度,全面落实合规要求。合规管理制度是合规战略的具体化,也是实现合规战略的保证。依据规范的内容不同,合规管理制度可以分为商业行为准则、合规管理办法、重点领域专项合规政策、场景化的合规指引等层级。发布合规制度之后,企业亦需基于公司战略需求和业务发展,并结合外部法律法规变化等,及时修订、更新合规管理制度,以确保合规制度与合规战略的一致性。固有合规风险和剩余合规风险的变化,是企业开展合规管理工作的风向标,因此企业亦应当建立合规风险识别、评估及处置的制度和流程,关注重点领域、重点环节和重点人员,对风险发生的可能性、影响程度、潜在后果、发生原因等进行全面分析,将刑事合规风险管控进行制度化,以便采取有效措施,及时应对处置,切实防范合规风险。
打造专业合规队伍,实现合规人人有责。人员是合规管理的关键,决定刑事合规计划实施成效,因此既要抓好关键少数,增强董事、监事、高级管理人员等的底线思维、规则思维、理性思维和契约思维,也要确保业务谁主管、合规谁负责,提升全体员工的合规意识及能力。企业应当基于业务及管理需求,按照“横向到边、纵向到底”的原则,在各部门、子公司设置专职或兼职的合规人员,负责推动相应单位的合规管理工作。企业亦需对合规人员开展培训,建立岗位素质模型,提升合规人员的专业能力。
完善合规管理方式,优化合规运作机制。合规是合规管理的目标,合规管理是合规的过程。作为一种管理活动,刑事合规计划以防范刑事风险为目的,以企业及员工的行为为管理对象,应当涵盖合规审查、合规培训、合规汇报、合规考核、合规检查、举报管理、违规调查、责任追究等方面的内容。合规战略的实施及刑事合规计划的执行,离不开合规管理的规范化。企业应当优化和健全相应的合规管理机制,通过有效管理,将合规改进方案的各项要素统筹起来,确保全员知规守规、有规必依。
提升组织合规技能,持续改进合规体系。刑事合规计划不应停留于“计划”,具体的实施也不能仅依赖于员工的自觉性,更重要的是企业是否有合理工具确保来监控业务开展、及时发现并制止违规事件及行为。企业应当以合规制度为依据,改造业务系统或实施合规系统以实现合规嵌入业务流程,加强对经营管理行为依法合规情况的实时在线监控和风险分析。企业还应对合规管理工作进行评估评价,发现和纠正合规管理贯彻执行中存在的问题,更新合规风险管理措施,优化合规管理方式,实现合规管理体系的不断完善。
重视合规文化塑造,树立积极正面形象。合规应当成为企业文化的核心价值观、全体员工的共同理念,这也是刑事合规计划的关键要求。良好的合规文化具有导向、约束、凝聚、激励及辐射作用,能够指引和规范企业的行为。企业管理层应作出合规承诺,率先垂范、身体力行,全体员工应认同并切实遵行合规要求。企业需建立制度化、常态化培训机制,确保所有人员理解、遵循企业合规战略及具体要求,践行依法合规、诚信经营的价值观,参与行业合规组织,营造和谐健康的经营环境。
(作者分别为北京市通商(深圳)律师事务所资深合伙人、高级顾问)