如何确保刑事合规计划得以有效实施
郭小明 刘润兴
转自:检察日报
为依法推进企业合规改革试点工作,有效惩治预防企业违法犯罪,服务保障经济社会高质量发展,助力推进国家治理体系和治理能力现代化,2021年6月3日,最高人民检察院举行“依法督促涉案企业合规管理将严管厚爱落到实处”新闻发布会,发布了《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》。企业刑事合规工作应当如何开展,尤其是监管工作如何落到实处,笔者拟结合国外案例,具体分析企业违规之后宜从哪些方面开展合规监管。
典型案例中的合规监管。从全球来看,数据合规领域比较大的处罚案件是美国联邦贸易委员会对Facebook的处罚。除了罚款,Facebook还需要接受长达20年的监管,并按照监管部门的要求进行一系列的行为调整,包括:
建立独立的隐私委员会。Facebook董事会需成立全新的隐私委员会,委员会成员中不得包含Facebook的管理人员和员工。隐私委员会负责管理公司隐私合规风险、任免合规官和第三方评估人员。
接受指定的合规官。合规官负责执行和维护隐私委员会批准的隐私计划。合规官需要详细记录所有的隐私决策,并按季度向第三方评估人和首席执行官提供这些文件。合规官还必须每季度提交有关隐私合规工作情况的报告。
委任具有广泛监督权的第三方评估人。第三方评估人必须得到批准才能任命,将每两年对隐私合规进行一次评估,并且重点关注Facebook的实际执行情况。第三方评估人每年可与隐私委员会召开四次会议,而Facebook管理层和员工除非受邀否则无权参加。
首席执行官在合规上拥有更少的权利,但需承担更大的责任。首席执行官可以听取隐私合规工作的季度报告但不能干预专业人员的工作,且必须按季度提交公司遵守和解协议的证明材料。
刑事合规计划有效性的体现。从Facebook案例可以看出,在对企业的合规监管或者企业刑事合规计划的实施上,不仅仅应当关注“计划”的内容,更应当关注企业是否执行了计划的要求,以及在较长的时间范围内企业执行计划的效果。也就是说,一项刑事合规计划的有效性,应当体现在三个方面:设计的有效性、执行的有效性和结果的有效性。
设计的有效性,是指刑事合规计划要有针对性,基于企业的业务实际而设计,传达明确的信息,在预防和发现违规行为方面发挥作用。(1)管理者应当言行一致,并身体力行参与合规工作;(2)企业应当建立完善的合规管理组织,合规部门在企业组织架构中的地位能够保障其发挥作用,合规人员具备足够的经验及资质,并有充分的资源及自主权确保其有效履行职责;(3)企业确立完备的合规运作机制、合规保障机制,并合理分配资源,定期更新和修正。
执行的有效性,是指刑事合规计划要有执行性,不能停留在纸面,有效的执行必须有高层的支持及各类资源保障,鼓励合规,对违规零容忍。(1)企业应当发布经良好设计的政策和流程,并确保员工正确理解,将合规要求落实到业务流程中,明确审核职责,有效管控风险;(2)基于刑事风险和业务量身定制培训内容,向员工明示企业对违规行为的态度及立场,为员工寻求建议和指导提供畅通的渠道;(3)建立可供匿名举报的机制,由适格人员进行及时、充分地调查,并且评估举报机制运作情况;(4)公平公正公开地及时处罚违规行为,并对合规行为采取多种奖励方式。
结果的有效性,是指企业的刑事合规计划应当有效运作,随着内外部环境发展变化而演进改变,以应对现有的和潜在的刑事风险。(1)企业应当通过检查、检测等方式,发现合规计划的不足并加以改进,形成良好的合规文化;(2)开展独立客观的调查,探究违规原因,向高层汇报相关情况;(3)分析合规管控的缺漏,采取补救措施和追究责任。
因此,在推进涉案企业合规第三方监督评估机制的大背景下,刑事合规计划不仅要关注受侵害法益的修复,更需在管理企业刑事风险、预防刑事犯罪等方面给予更多关注,在设计、执行和结果三个层面均需确保有效性。
推进刑事合规计划的建议。刑事合规实质上是一种治理理念的更新和治理模式的重塑。当前各地的刑事合规试点、探索中均体现出这一理念,比如以避免刑事风险为目的的企业刑事合规计划的制定和贯彻,恰好与最优的犯罪预防和刑法评价机能的具体化、情景化的国家、社会需求相吻合,与刑法对犯罪惩罚的事后性互相弥补。
为确保有效的刑事合规计划得以推进,尤其是确保执行及结果上的有效性,建议在以下方面推进刑事合规试点工作。
一是提供必要的合规公共服务。刑事合规是一种成本支出,更是着眼于长期经营的合规投资。由于企业违法犯罪的情节存在着差异,企业的经营规模、管理方式、内部文化等存在着差异,不同涉案企业能够付出的合规投资也是不同的。从公共管理和服务的角度,对于不同企业的共通需求往往是统一进行处理的。统一提供企业刑事合规的必要资源,可以避免不同涉案企业的重复投入,实现整个社会资源的最大化。比如,检察院、市场监管机构、工商联、司法局等机构可以制定和发布合规指引,如企业不同领域的合规指引、合规风险管理指引、合规检查审计清单等,作为向企业合规管理工作提供切实指导的操作性标准。政府部门也可以推动建立公共的合规管理信息化系统,作为企业开展刑事合规工作的保障措施,便于企业及时获取合规资源,规范内部合规运作机制,并通过主管部门、行业组织及专业智库等,定期组织线上线下交流活动,实现智力成果、最佳实践的共享,节省企业间的重复性投入和成本负担。
二是将厚爱和严管更密切地结合。刑事合规工作应当以社会公共利益最大化为价值导向,保护民营企业,但不是保护对违规负有管理责任及行为责任的人员。只有将违规罪责的责任落实到个人,才能在企业内部树立和坚持正确的合规价值观。从本质上来说,刑事合规也是企业的责任和义务。如果检察机关给予违规企业相应考察期而企业没有建立起有效的刑事合规计划的,那就应当从严、从重地追究违规企业的刑事责任,需要将正向激励和负向激励都规定清楚,让厚爱不被辜负,让法律义务被严管。
三是合理确定刑事合规考察期限。企业的刑事合规计划不是各种各样的制度、文件,而是应当在业务流程中遵循的操作指引、在信息化系统上无法绕过的合规管控。流程嵌入和合规的信息化都需要时间,企业刑事合规计划在设计和执行上是否有效也需要通过结果来验证。短期考察可能只能看到企业刑事合规的设计方案,但这不是真正的、全面的合规管理,应当至少以三年为维度。司法部门及行政部门共同考察企业在三年的经营中是否遵从了普遍的合规要求,以及是否建立了有效的机制来防控违规风险。只有这样,才能确保企业的合规落到实处,才能确保企业的行为本身就是在构建法治化的营商环境。
只有将刑事合规计划不局限于“计划”上,从实质上评估计划执行的质量,才能达到事前预防企业犯罪的效果,才能实现政治效果、法律效果与社会效果的有机统一。
(作者分别为北京市通商(深圳)律师事务所高级合伙人、深圳市鹏城法律合规研究院院长,北京市通商(深圳)律师事务所高级顾问、深圳市鹏城法律合规研究院高级研究员)
发表评论