2022年4月2日,最高人民检察院会同全国工商联专门召开会议正式“官宣”----涉案企业合规改革试点在全国检察机关全面推开,这也意味着自2020年3月以来部分省市检察机关试点的“企业犯罪相对不诉适用机制改革”以及“企业合规第三方监督评估机制”改革等两项改革,将同时在全国范围内部署展开。
从最高检发布的《企业合规改革试点典型案例》来看,企业合规需要企业主动提交书面承诺、制定合规计划、每月汇报合规计划实施情况,因此,企业如何将具体的业务场景与法律法规等规范相匹配,做到既合乎规定、又不影响正常经营,这是一个需要跨界思考的问题。
在这个跨界思考与实践的过程中,专业律师如何参与,怎样为企业量身打造一个检察机关和第三方监督评估机构均能验收通过的合规体系,这需要律师将目光来回穿梭于企业经营的具体场景和国家法律法规之间,将两者进行有机结合、无缝对接,实现企业的合规守法与经营发展的双赢共赢。
一、如何制订涉案企业的合规计划
1、制定的原则
《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(以下简称《指导意见》)第十二条对涉案企业合规计划的制定原则作了规定,“第三方组织应当对涉案企业合规计划的可行性、有效性与全面性进行审查,提出修改完善的意见建议,并根据案件具体情况和涉案企业承诺履行的期限,确定合规考察期限。”也就是说,合规计划的制订,要围绕着第三方组织的审查重点即三性“可行性、有效性和全面性”来展开。
可行性,是指企业合规计划的可操作、可施行、可承受,要求涉案企业根据自身实际情况来制订合规计划。
有效性,是针对“纸面合规”而言,指的是合规计划要找准企业管理的痛点和关键点,实施靶向治疗,反对那种不顾实际、复制粘贴式地出台上百页的管理文件,而对企业合规管理无任何实际效用的制度,要求企业制订的合规计划应该是行之有效的合规,而不只是停留在纸面上。
全面性,是指企业合规计划要全领域、各层次的满足企业法律风险的识别、控制和应对。当然,这种全面性在专项合规计划中并不适合,个案的专项合规计划应当围绕“已然”的漏洞和风险展开预防,防止“过度”和“摊大饼”式的合规管理,这里的全面性是针对企业宏观管理而言的,因此,对全面性要避免做过度的理解和要求。
2、合规计划的主要内容
《指导意见》第十一条规定,涉案企业提交的合规计划,主要围绕与企业涉嫌犯罪有密切联系的企业内部治理结构、规章制度、人员管理等方面存在的问题,制定可行的合规管理规范,构建有效的合规组织体系,健全合规风险防范报告机制,弥补企业制度建设和监督管理漏洞,防止再次发生相同或者类似的违法犯罪。
《指导意见》所言的企业刑事合规体系,其要素主要涉及企业内部治理结构、规章制度、人员管理等几个方面。我国目前通行的三大合规管理规范:国资委发布的《中央企业合规管理指引(试行)》,国家发改委、工商联发布的《境外经营合规管理指引》以及国资委发布的《中央企业全面风险管理指引》,该三大合规管理规范规定的合规管理要素远远不止上述《指导意见》的几个要素。2017年12月29日,中华人民共和国国家标准GB/T 35770-2017《合规管理体系指南》发布,该《指南》规定了十二个要素更值得涉案企业在制订合规计划时参考:合规方针、合规组织、合规制度与流程、合规风险管理、合规审查、合规评审、合规审计、合规培训与宣传、违规举报与调查处置、合规管理计划与报告、合规信息管理系统、合规文化。
企业合规计划的制订,就是要从上述合规要素出发,结合企业的实际需求,归纳出一个系统构建的框架。当然,企业合规计划的制订,因企而异,因岗而异,因事项而异,但万变不离其宗,归纳一下,大致有五个方面的内容:
一是组建合规管理机构。合规管理机构一般由合规委员会、合规负责人和合规管理部门组成,人数不多、业务场景不复杂的企业可以由法务或者风控部门兼职履行合规管理职责,同时明确合规负责人;
二是宣贯企业核心价值观和合规文化。通过签约承诺书、颁布企业行为文明条例,树立管理风范和榜样、强化企业员工法律培训等措施,尽可能消除道德风险的负面影响,引导员工正确的价值观;
三是建立合规管理制度体系。总纲性制度明确企业合规管理的目标、原则、组织体系,规定合规风险事件应对处理原则等事项。在总纲性制度下,再针对合规风险较高的业务环节制定具体业务的合规管理制度。针对参与业务的合规要求和商业道德标准,还可以制定员工合规行为准则;
四是识别合规风险。通过设置违规举报通道、使用合规管理工具排查,定期进行合规审计和监控、开展合规调查等,对风险进行精准识别;
五是控制合规风险。控制合规风险,需要开展专项合规培训,明确合规风险应对的措施和职责,同时,对风险点进行分权和控权设计,并使不相容岗位和职务之间能够相互监督、相互制约,形成有效的制衡机制。
上述五个方面互相支撑、持续完善,是一个不断循环和提升的闭环过程,能使企业整个的合规管理体系得到不断优化和改进。
二、如何有效落实合规管理
有效落实合规管理,是指合规计划制订之后,涉案企业如何在合规领导层的监督下,使合规计划得到有效执行,使企业合规体系有效运转,从而顺利通过第三方组织指定的合规考察期、获得办案机关的轻缓处理,并不是指第三方组织的监督评估。
有效落实合规计划和管理,需要通过自我评估、合规审查、违规及反舞弊调查等途径,对内部控制的有效性进行持续的监督。下文以我们律师团队办理的一起真实的合规不起诉案件(某家庭装饰公司涉嫌侵犯公民个人信息案)为例,全景式描述一下律师如何为涉案企业搭建合规体系、有效落实合规管理,最终使得企业顺利通过第三方评估,从而获得检察机关的不起诉处理。
1、研究检察建议,制订合规方案
认真研读《检察建议书》后,我们归纳出该公司在公民个人信息保护和法律风险防控方面主要存在的问题:制度执行监管缺位,内控管理存在漏洞;员工法治意识淡薄,守法经营教育不足;渠道开发缺乏研判,经营风险警惕不高等。对此,我们立即对标对点,在合规组织建设、合规文化与合规培训、获客营销渠道内控、数据信息系统内控、财务管理内控、反舞弊内控等方面制订了比较详细的贯彻落实检察建议的行动方案。
2、统一指挥协调,建立合规领导机构
合规计划的落地,必须紧紧依靠公司管理层,取得全体员工的支持,否则有沦为“纸面的合规”之危险,因此,一个强有力的合规领导机构就显得非常必要。于是,我们在公司层面成立了“数据管理合规委员会”,由公司董事长担任合规委员会主任,确保政令畅通、令行禁止。同时,律师团队指定一名有丰富办案经历的资深律师兼职担任公司合规官,具体负责合规计划的落实和执行。
3、梳理法律法规,营造合规文化氛围
我们根据企业的涉案事实,全面梳理了涉及个人信息保护和数据安全方面的法律法规,根据公司实际还制作了《公司基本法》、《员工手册》、《数据合规宣传手册》等文本。我们第一时间召开合规体系建设动员大会,由公司董事长作动员讲话,团队律师带领全体员工学习了与个人信息保护相关的法律法规知识,全体员工认真进行了合规宣誓和承诺,团队制作的宣传标语、宣传海报遍布公司的各个场所,营造了浓厚的合规文化氛围。
4、对照业务场景,精准识别和控制风险
我们紧紧依靠公司管理层、业务端和技术端,在人员访谈、资料查阅等基础上,共同对公司风险点进行扫描,对组织架构及合规管理情况进行分析诊断,梳理已有的法务、合规、内控及风控相关制度,识别、分析与评价企业的业务合规风险,以及重点领域、岗位与人员的合规风险等。在前期工作基础上,搭建自上而下的整体合规风险防控机制,彻底删除公司曾经存在的违法违规数据信息,摒弃缺乏监管的数据系统,重新修改基础制度并设置惩戒措施,将公司营销方式进行重新设计,对每一起营销中对应的个人信息采集工作进行严格把控,做到每个环节合规留痕,确保责任到人、追究有据。
5、进行反查巡察,预防和应对合规事件
我们在公司官网和微信公众号等平台,建立合规举报与反舞弊制度,通过公司员工间、公司上下级间、员工与外部合作第三方间的相互监督,最大化地降低组织内部及相关外部机构之中可能存在的合规风险。在公司管理层的授权下,我们团队指定专业的反舞弊律师,与公司常设合规机构人员共同组队,对公司获客渠道、获客信息、数据库管理、财务管理等进行不定期的抽查反查,发现苗头、坚决查处,杜绝员工在工作中出现违规违纪甚至违法犯罪的可能,将合规事件消灭在萌芽状态。
一个独立的、有效的监督执行机制,作为预防合规风险发生的桥头堡,可以协助管理层对企业合规体系的运行进行持续监督,对潜在的风险行为进行震慑,并持续促进合规体系要素、体系结构、体系运行模式和外部环境关系产生共同作用,实现企业合规体系运行的最佳功能和效果。
三、律师合规业务实操需要权衡的关系
1、专项合规与整体合规
企业合规尤其是刑事合规不起诉的合规整改工作中,往往包含两个方面内容:一个是涉案业务领域的专项合规,另一个则是更高维度的企业整体合规管理。虽然在合规不起诉中,不一定要求企业做全方面的合规体系,但是具体涉案领域的业务连续性依然值得重视,而且企业应当建立更为全面的合规管理体系,在合规整改工作中,除涉案业务、主营业务外,对于新增及其他主要业务模块也要纳入合规建设工作中,以专项合规带动企业做到全面合规,这也是对企业“严管”与“厚爱”的应有之义。
2、合规成本与企业的接受度
检察机关一般会以检察建议形式向企业提出合规整改要求,这既有对企业具体业务的要求,也有宏观合规管理方面的建议,从而决定了律师做合规整改方案时也要考虑两个方面内容,一个是涉案业务领域的专项合规,另一个则是更高维度的企业整体合规管理。但在实践中又会遇到另一个现实问题,那就是企业的付费能力和付费意愿,合规成本的高低其实也决定着企业的合规意愿。
我们在办案实践中遇到的合规不起诉对象往往以中小企业和民营企业居多,如果动辄就进行全方位合规管理体系构建,合规咨询的直接成本,如律师费或咨询费用可能会比较高昂。此外,还要考虑企业在进行合规制度构建中的隐形成本,如因合规流程管控带来的业务效率降低、业务流转速度放缓、审批流程增加、相关文件的存储成本增加、相关岗位的人员配置增加等等细节的支出,这对企业来讲是一个巨大的负担。因此,基于成本控制考虑,结合合规不起诉的需要,对于企业合规整改措施的制订要谨慎,既要在宏观上有一定的高度,防止“治标不治本”,又要在微观上考虑企业合规的合理落地,不能不顾企业在经济成本、人力资源成本等方面的接受能力,而陷入一种“摊大饼”式的自说自话之中。
3、律师法律专业性与企业经营的实际场景
律师在进行合规风险扫描时,根据自身专业性的要求,均习惯要对照法律法规的要求,检索同类型企业的违规、违法事例,以警示企业需要注意的风险。律师往往列举的法律风险点会有成百上千条,但是,对于企业来说,识别所有的法律风险、建立全面的合规管理体系和制度固然重要,但企业更关心的是其主要的业务痛点能否得到针对性的解决,而不是检视所有的有可能的风险进行一一对应式地应对。
在企业合规实践中,最重要的环节是,律师要紧紧依靠企业方的领导者、业务主管、技术人员等角色,共同梳理出企业经营环节的各个流程,识别每一个流程的岗位及职责,针对岗位和职责制作简单便于操作的业务操作流程图,从而切实避免专业律师只会空谈法律法规、不懂企业业务端,只谈法律风险、不提解决企业经营痛点方案的“两张皮”现象。
总而言之,“合规不是最终目标,通过合规促进企业的安全、健康、快速发展才是我们的最终目标”,对于企业而言,不仅仅是涉刑事案件的企业需要建立合规体系,相反,任何一家希望持续经营的企业都应当未雨绸缪,建立合规制度,培养合规文化,万勿等到刑事风险产生以后再来亡羊补牢;对于律师而言,既需要刑事法律思维的专业视角,更需要合规体系构建的企业家思维,万万不能唯我独尊、空谈法律文本,无视企业的实际需求和可接受能力,而应以务实的态度、工匠的精神,把企业的合规大厦建设得既阳春白雪又经久耐用。