企業刑事合規的幾個基本問題

北京理工大學 李晨睿

2018年以來，企業合規開始被國內各界所知悉。讓人們體會到跨國企業經營中合規制度的重要性。雖然這兩起案件背后有著錯綜復雜的政治、經濟博弈，但這種披著合規法律形式外衣實施打壓的方式還是引起了我國法學界、企業界的高度關注。當前對于刑事合規的定義學界還未達成一致，但從字面來看，刑事合規無外乎“符合刑事法律規定”之意。相較于民事和行政風險而言，刑事犯罪風險更容易成為決定一個企業“生或死”的因素，所以刑事合規是整個合規計劃的核心和關鍵所在。因此，厘清企業刑事合規的一些基本問題，對于促進企業自身發展、繁榮市場經濟具有重要意義。

一、企業刑事合規的內涵和功能

（一）企業刑事合規的內涵

企業刑事合規可以從內外兩方面進行理解：對內而言，需要企業自身優化內部治理機制，防控犯罪行為發生；對外而言，要保證企業運行同法律法規等外部刑事法律規范相一致，從而達到推進企業良性健康發展、實現社會價值的雙重目的。企業合規就其性質而言是一種企業的內部治理方式，換言之，從企業誕生之初合規就已經存在。但真正將合規作為一項專門的制度與外部法律法規相連接，最早是在19世紀的美國。20世紀末，《反腐敗法》和《聯邦組織體量刑指南》的頒布使得美國的企業合規制度成為世界樣板。2014年，國際標準化組織（IOS）發布了《合規管理體系指南》，使合規成為了世界通行的衡量企業規范管理的標準。2018年，隨著一系列部委的指導意見出臺，企業合規在我國逐漸從理論走向實踐。

雖然域內域外對于合規的概念尚未達成一致，但實際上存在一些共性，即企業合規實際上是企業內部經營管理行為同外部規范之間的一種“映射”，使企業經營管理不違背外部規范。當然，此處所講的外部規范是廣義上的，也包括民事行政領域的規范，但毋庸置疑刑事法律規范是企業應當首要關注的。其基本理念在于在刑事合規中吸收刑事法律規范中所體現的預防犯罪的注意義務，從而增強企業整體防控犯罪的能力。因此，企業刑事合規的內涵是一種防控犯罪的治理機制。對內，其能夠規范企業經營行為，降低企業內個人或單位集體犯罪風險，對外，通過符合刑事法律規范的規定從而達到避免承擔刑事責任、保持健康發展的目的。從價值理念上來看，企業刑事合規和刑事立法具有高度的內在一致性，即都有為了預防犯罪的目的。因此對于企業而言，通過刑事合規制度能夠有效避免犯罪風險，為其正常經營“保駕護航”，從而達到企業利益最大化的目標。

（二）企業刑事合規的功能

在具體設計刑事合規機制時，首先要明確該種機制本身所具有的功能。從域外域內經驗來看，主要包括主要功能和附加功能兩種。

主要功能便是降低刑事犯罪的風險。如前所述，企業之所以實施刑事合規，其主要目的就是為了規范公司經營行為，預防犯罪。一套行之有效的刑事合規機制能夠促進企業的管理更加趨于標準合理，從而最大程度減少犯罪的可能性。實踐中企業目前對于民事和行政法律風險的防范相對重視，對于刑事犯罪風險卻關注不夠，特別是一些中小企業為了節省經營成本而直接忽略了刑事合規，這也導致當前不少民營企業家跌入犯罪深淵。民事和行政領域的糾紛尚且可以通過經濟手段解決，而一旦涉及刑事犯罪，企業往往被直接宣判“死刑”。因此，降低刑事犯罪風險是企業合規的主要功能。

附加功能是推動企業形成良好企業文化，承擔社會責任。企業在社會中主要有兩種角色：一是作為生產經營主體，為社會提供商品，促進經濟發展；二是作為組織體提供就業崗位并對企業職工進行管理，保障社會穩定。刑事合規對于企業更好地扮演上述兩種角色都有明顯的積極作用。一方面，刑事合規的目的是降低刑事犯罪風險，從而保障企業穩定運行，實現利益最大化和風險最小化。另一方面，有效的刑事合規有利于在企業內形成良好的文化氛圍，營造知法懂法守法的經營氛圍，承擔預防犯罪、宣傳法治的社會責任。

二、企業刑事合規的基本內容

理論的完善為實際制度的構建提供了支撐，根據美國《聯邦組織體量刑指南》的標準，有效的企業合規應當包括七個標準：A.建立合規政策和標準；B.指定高層人員監督；C.禁止聘用有犯罪前科的高管；D.以培訓等方式向所有員工普及合規政策和標準；E.采取合理措施以實現合規政策和標準；F.設置適當的懲戒機制保障執行；G.設置應對機制以應對犯罪發生。具體到刑事合規領域，要明確其一般內容以實現制度設計的目的。

具體而言包括五方面的內容。首先，建立全面調查機制。企業刑事合規要求對經營管理行為和具體的業務項目進行定期的全面調查，一方面使企業上下認識到合規機制的重要性和必要性，另一方面則有利于摸索企業經營業務的法律風險點，從而進一步設置具體的預防機制。其次，建立風險預防機制。事先防范是防控企業犯罪風險中最有效也是成本最低的一種方式，它在企業實施具體經營行為前設置一個前置程序，用于考察該行為是否具有犯罪風險，形成“防患于未然”的企業文化氛圍。再次，建立固定培訓機制。企業合規的落實最終需要內部人員的配合執行，因此對于內部人員的培訓至關重要。值得注意的是，不僅是對高管人員進行合規培訓，更要實現培訓對象的全覆蓋，考慮到法律法規的變更以及企業內部人員變動情況，此種培訓應當具有周期性和固定性。從次，建立重大決策合規參與機制。當前不少海外跨國公司的高管團隊中都有資深律師擔任合規官或相近職務，在企業進行重大決策時參與討論，并就法律方面的事項發表重要意見。這是由于現代企業高管大多商業市場經驗豐富，有決策力和執行力，但其由于缺乏專業的法律知識和系統的法律觀念，在進行商業決斷時難免會受自身知識體系的限制，從而導致產生法律風險的不利后果。最后，建立犯罪應對和回應機制。盡管刑事合規的目的在于降低企業刑事犯罪風險，但絕對消除刑事犯罪也不現實，因此合規計劃不僅僅要預防，在風險真正來臨時更需要合理地面對和處理，盡可能化解。例如，當某企業高管被限制處境、凍結個人賬號等情況出現時，標志著刑事犯罪風險有高概率即將爆發，此時合規機制應當馬上介入，對風險進行整體把握和預測，在條件允許的情況下提出可行的化解方案，即使無法完全消除風險，也能避免進一步擴大。另外，當企業集體或個人涉嫌實施犯罪進入到刑事訴訟程序后，合規機制要結合具體情況進行具體分析，幫助企業設計合理的應訴方案，積極為企業爭取實體上從優、程序上從簡的待遇，將刑事案件對企業的負面影響降到最低。

三、構建有效企業刑事合規的一般方案

合規制度是多學科融合交叉的產物，總體而言是企業管理和法學兩學科的融合交叉所產生的。刑事合規更重要的在于在復雜的經濟法領域內應當如何執行，而并不只是是否要執行的問題，因此設計一套具有可知執行的合規方案更具有現實意義。需要承認的是，由于不同類型企業的經營范圍、組織結構、運營機制均有所不同，合規計劃也往往需要根據企業自身的實際特點進行設置。但基于現代企業管理的基本規律和一般邏輯，也可以從差異中提取一些共性，作為設置合規方案的指引。

首先，定位刑事風險點是基礎。企業要想預防犯罪風險，首先要清楚在經營過程中有可能面臨哪些風險，這就是定位刑事風險點。企業通常會面臨一般和特殊風險兩種：一般風險是指所有企業在經營過程中都有可能面臨的犯罪風險，例如，商業賄賂犯罪、知識產權類犯罪。特殊風險是指企業根據自身經營的特殊性而可能產生的風險，例如，藥品企業可能面臨生產銷售假藥、劣藥的刑事指控。

其次，評估刑事法律風險是起點。通過刑事風險點有了“方向”后，進入到刑事合規的正式階段，要將所有可能發生的零散的刑事風險進行梳理，然后進行逐一分析。借助大數據將分析的結果匯總成章，能夠為后續有效制定合規計劃提供指引。

再次，制定刑事合規計劃是關鍵。刑事合規計劃是企業刑事合規的總綱領，其地位相當于企業的“內部立法”。一般而言，有效的刑事合規計劃應當符合三個基本標準：一是合規防范機制，包括風險評估、定期更新以及完整的培訓制度；二是違規行為識別機制，主要指違規報告制度；三是合規危機的應對機制，包括內部調查、違規行為披露、懲戒等。

最后，執行刑事合規計劃是保障。刑事合規能否最終發生實效，關鍵在于執行。不少企業在設立之初均有預防犯罪的意識，但在實際運行中流于形式，不加落實，最終逐漸被棄用。在建立了具體的刑事合規計劃后，應當加強對執行的重視，完善日常審查和問責機制。同時，將合規作為專項成本列入收支計劃之中，設置專項經費。對于有條件的大企業，適當引入外部監督機制勢在必行。此外，由于執行是一個動態連續的過程，后續的檢測和評估也十分重要，為了達到預設效果，可以引入第三方專業評估機構。