企业刑事合规系列总论篇之(三)——“刑事合规1.0”何以被击溃?
企业刑事合规系列总论篇之(三)——“刑事合规1.0”何以被击溃?
随着企业合规实践的不断深入,“刑事合规”已经成为大部分企业构建合规制度时所考量的重点问题。在我们所接触的企业合规操作中,诸多企业都为其法务部门、内审部门赋予了刑事合规职能;而通过组织专业的合规人才,成立合规部门,再由合规部门开展合规审查、培训教育、反腐败等合规工作,也成为了企业合规实践的流行做法。
相关刑事合规制度的建立,可以保障企业经营管理的合法有序,从而防范刑事法律风险。从宏观的角度看,企业对刑事合规的重视,是市场经济法治化发展相对成熟的重要标志。
然而,值得注意的是,尽管近年来“刑事合规”从概念形成到操作落地,经历了长足的完善过程,但是时至今日,不断出现的企业和企业家涉刑案件,也时刻警示着我们:当下所流行的刑事合规举措,到底能不能帮助企业及高管有效防范刑事风险?
事实上,根据笔者为各类企业提供刑事合规法律服务的经验,当前所流行的刑事合规方案——我们且称其为“刑事合规1.0”,在对企业及高管的保护上,显然是能力不足的。当然,由于国企、民企、外企或者上市公司,基于自身性质的不同,其所施行的刑事合规举措往往有所差别,因此本文将着重分析各类企业在刑事合规实践中所存在的共性问题。
在早期的企业合规管理中,企业更为关注民商法层面或者劳动法层面的法律风险;之后随着反腐败、反舞弊监管趋势的加强,企业开始对诸如商业贿赂、职务侵占等专项性的刑事合规问题有了更多关注。时至今日,对于涉及财务管理、劳动用工、产品质量、投资融资、环境保护、证券交易等刑事责任全体系的合规问题,也开始被逐步纳入刑事合规管理体系中。
然而对于大多数企业来说,由于传统的企业经营管理较少涉及刑事法律制度,相关企业对于刑事法律和刑事风险并没有具象化的认知,甚至对法务部门或者合规部门来说,其对于刑事问题的把握也仍有欠缺。因此,在施行刑事合规方案时,大部分企业都将重心放在刑事风险的识别和研判上;相应的,“罪名解析”成为企业学习刑事法律的重要方法,例如,什么样的交易安排可能被认定为商业贿赂、什么样的融资模式可能被认定为非法吸收公众存款。在明确了具体的风险特征和识别信号后,企业开始将这些判断标准融入到交易决策、合同审查、内部尽调等经营管理环节。
从本质上说,这些合规举措的目的,是为了识别风险信号,尽早发现风险;但是从合规风险的产生规律来看,一方面,企业管理所涉及的事项纷繁复杂,无论管理制度多么细致,都可能因为制度滞后或者执行偏差而产生合规风险;而另一方面,企业的风险偏好也允许一定风险的存在——这就带来了更为现实的问题:如果未能有效发现风险信号,或者如果已经出现风险后果时,应当如何保护企业及高管?
很显然,以“风险识别”为重心的合规举措显然没有能力顾及。
例如,在对外贸易中,企业的业务人员擅自决定采用虚假申报的方式走私货物,利润归属公司,最后引发刑事案件时,涉案公司、公司的最高管理层,该如何证明自身已尽监管职责,并未授权或默许业务人员从事违规行为?如果现有的合规制度不能为公司及高管提供充分的无罪证明,那么相关公司及高管就极有可能被追究刑事责任。
因此,尽管“风险识别”是刑事合规中最为重要的举措之一,但是其本身并不具有防范风险、化解风险的功能。因此,定位于“风险识别”的合规管理制度,注定无法在风险发生时为企业及高管提供切实有效的保护方案。
毫无疑问,刑事合规的基准法律是刑事法律。在《刑法》中,立法者对相关罪名、罪状及刑罚进行了释明,从而为企业提供了行为准则。可喜的是,近年来,许多企业在开展内部合规尽调、业务风险或者合同风险审查等合规工作中,都将《刑法》及相关司法解释的规定纳入到了风险审查的准据法律库之中,并通过判断行为和法条内容是否匹配,来分析刑事风险。
但是,结合我们办理的各类公司犯罪和白领犯罪案件,可以发现,仅以法律条文作为合规准据,是远远不够的。
从立法本身来看,刑事立法讲求高度凝练,对犯罪的描述往往过于抽象,甚至刑事立法会刻意使用模糊性的法律语词,这就导致对刑事风险的判断往往无法一目了然。例如,何为“直接负责的主管人员”、 何为“直接责任人员”、何为“明知”或“应当知道”,何为“情节严重”,立法并没有更进一步的细化,这就给企业的风险识别工作带来困难,难以判断相关行为的刑法属性。
更为现实的是,在司法实践中,司法机关对刑法具有较大的解释权,除了典型犯罪行为外,对于边缘性或者非典型性行为是否构成犯罪、构成此罪还是彼罪,则均由司法机关来解释、判断。此时司法机关对行为性质认定的依据,就还要融合司法经验、既有判例、刑事政策以及不同时期、不同地域的侦控习惯等其他刑事要素来综合判断,尤其是对于涉案行为是个人行为还是单位行为、企业及高管对涉案行为是否具有决定、批准、授意、纵容或默许等事实的判断,司法机关具有较大的自由裁量空间,并且可能采用“推定”的法律方法。
因此,在设计刑事合规制度时,不仅需要考虑刑事法律的条文规定,还必须充分了解刑事司法的实践特征、刑事司法惯例及刑事追诉的特点,这样才能让刑事合规制度和刑事司法实践相契合,从而有效发挥合规保障功能,避免不必要的麻烦。
在合规职能的配置上,多数企业倾向于将法务部门或者合规部门作为承担合规职能的首要选择,并且在既有的公司治理制度之外,还设计了专门的合规制度文件。
从企业治理的组织架构上看,企业的管理层级通常由决策层、管理层和执行层三个层级组成,而前述合规策略的重心,是将合规制度和企业的执行层相结合,偏重于通过合规行为规范、员工手册、商业伙伴管理规则等制度文件来实现刑事合规。其初衷在于,如果能保证执行层依法合规,那么自然会避免合规风险,也就不会发生涉及企业或高管的刑事案件。
这种合规策略具有两个特征:一是企业治理架构层级越往下,承担的合规义务越多;二是形成合规管理制度和公司既有治理制度并列而行的态势,两者交集较少。在这种模式下,决策层或者最高管理层较少参与到具体合规事务中,相应的,合规管理更多体现在专项的合规制度文件中,而在其他公司治理制度中,基本无法体现刑事合规的具体内容。
这样的合规方案会带来两个问题:
首先,从合规制度的执行力上看,一方面,企业基于风险偏好或者执行偏差,不可避免的会出现各种类型的合规风险,这种合规策略无法彻底抵御合规风险;另一方面,由于缺乏最高管理层细致化的参与和监管,在执行层落实具体制度时,其效果可能存在偏差,甚至可能出现合规制度无法落地的局面。
其次,从刑事司法实践的角度看,企业所涉及的危机事件,往往都是因具体业务或具体经营活动所引发,而直接实施涉案行为的,往往都是执行层面的员工,而最高管理层通常并未直接参与风险行为。此时,司法机关对公司及高管的关注,就集中在涉案行为能否代表企业,企业及高管是否实施了授权、指挥、暗示等行为,企业及高管对涉案行为是否具有支持或者默许的态度等等。如果此时由于企业的公司治理缺乏刑事合规配置,那么在出现风险时,企业及最高管理层就极易被推定为参与了犯罪行为。
例如,某企业针对环境保护专门制定了合规制度,对基层员工也设定了多项环保合规义务,但是在具体经营活动中,某部门负责人为了节省成本,擅自决定非法处置危险废物,最终造成环境污染事故。在案件侦办中,由于公司治理制度缺乏刑事合规内容,因此,企业及最高管理层难以证明自身已尽到内部监管义务、并未授权或纵容相关犯罪行为。考虑到犯罪所得利益已归属公司,因此司法机关最终也对企业及最高管理层立案侦查。
因此,企业刑事合规的重中之重,其实并不在于设置各类花哨而创新的合规模式,而是要在能够代表企业、代表最高管理层的公司治理中融入刑事合规元素,不仅要将刑事合规制度融入企业执行层,还要将刑事合规制度融入决策层、管理层,最终实现刑事合规和公司治理的融合,为企业提供切实可行的刑事风险防范机制。
The End