内容提要:随着国家治理现代化的深入、健全和支持民营经济发展的深入、疫情防控与复工复产的深入发展以及检察机关参与社会治理的角色转化,企业合规不起诉在我国开始兴起。有效刑事合规基本标准问题成为企业合规不起诉的关注点。确立有效刑事合规基本标准需要考虑企业规模、企业领域、发展阶段等多种因素。有效刑事合规的基本标准应当包括预防机制、识别机制和应对机制三个方面十二项要素。我国中小微企业参与合规,将使企业合规多元化和比例性特征更加鲜明。我国的企业合规将为世界企业合规的实践和标准贡献中国智慧。
关键词:企业合规不起诉;刑事合规;基本标准;中小微企业合规
企业合规已经成为世界趋势,我国部分企业在走出去的过程中遭遇被动合规,如2018年6月,美国商务部与中兴公司达成解除制裁、恢复运营的协议;中兴公司支付10亿美元罚款,另外准备4亿美元交由第三方保管;并且更换管理团队,同时聘请美方认可的合规官。这促使我国参与国际竞争的大型企业开始重视合规,国家有关部门也颁布指引积极引导,如2018年11月国资委发布《中央企业合规管理指引》;2018年12月国家发改委、外交部、商务部等7部门联合发布《企业境外经营合规管理指引》。我国合规元年进行的合规“具有明显的功利主义倾向,其主要目的在于应对欧美国家越来越严格的企业监管,尤其是规避那些针对中国企业的反腐败、反垄断、反洗钱、反金融欺诈、数据隐私保护等领域的调查和惩罚,而采取一种被动迎合西方国家监管机制的姿态。” 但是,国内经营企业的合规问题尚未提上日程。随着国家治理现代化的深入、健全和支持民营经济发展的深入、疫情防控与复工复产的深入发展以及检察机关参与社会治理的角色转化,企业合规的内需开始迅猛增长。2020年,最高人民检察院积极推动,深圳、浙江、江苏、上海等地基层检察机关积极探索,刑事合规不起诉在全国迅速铺开。9月10日,由最高人民检察院检察理论研究所主办,深圳宝安区委区政府、宝安区人民检察院承办的企业刑事合规与司法环境优化研讨会在深圳宝安召开,会议分“企业司法环境的优化”“企业刑事合规管理的推进”“企业犯罪相对不起诉适用机制改革”三个专题进行了为期一天的专题研讨。此次研讨会推动了不起诉制度改革和企业合规管理,有助于为市场主体发展壮大营造良好的法治环境。近期通过对检察机关通过合规参与社会治理的考察发现,目前我国检察机关主要通过检察建议和附条件不起诉两种模式推动企业合规。实践中多采取附条件不起诉与现有认罪认罚制度相融合的方式,即选取有可能建立合规的企业,通过企业认罪认罚,承诺建立合规计划,进而对企业采取不起诉。目前,我国的企业大多没有开展合规建设,检察机关在刑事诉讼中追诉的企业多是因为检察机关推动才开始进行合规计划。因此,目前刑事合规计划有效性的问题还不是已经建立的合规计划是否有效发挥作用的问题,而是拟建立的纸面合规计划的有效性问题,即包括哪些要素、复合什么标准才算有效的问题。此外,在刑事合规本土化考察中发现,我国目前进行刑事合规的多是中小微企业,这与欧美跨国大型企业合规呈现出很多不同。那么,跨国大型企业合规与中小微企业合规的标准是否相同,如何掌握?本文探讨了确立有效刑事合规基本标准的考量因素,在此基础上借鉴域外的经验,结合我国的实际需求探讨了有效刑事合规的基本标准,希望对我国刑事合规的本土化发展有所帮助。“有效合规计划的基本标准”,是指“执法部门在对涉案企业作出是否宽大处理的决定时,对其合规管理体系能否发挥防范、监控和应对违规行为的作用,所采取的评估标准”。有效刑事合规基本标准,是指公安司法机关在对企业以及员工进行立案、侦查、起诉、审判等刑事诉讼行为时,评估企业的合规管理体系能否发挥防范、监控和应对违规行为作用所依据的标准。在确立有效刑事合规基本标准时应当考量多种因素。讨论有效合规的标准首先应当考虑企业的规模。合规是有成本的,不同规模的企业经济承受能力不同。并非所有的企业都要进行合规。不同规模的企业合规的标准也应当有所不同。例如,《联邦组织量刑指南》第8A1.2条的评注指出,有效的合规计划将在一定程度上针对每家公司量身定制,需要考虑的四个因素之一是组织规模。美国并不要求小公司进行合规,但符合一定条件的公司必须合规,如“在纽约证券交易所和纳斯达克上市的公司必须进行合规。” 法国也要求符合一定条件的企业必须建立合规制度。根据《萨宾第二法案》同时符合以下两项条件的企业应建立合规制度:一是用工人数500人以上,或者隶属于总部设在法国且用工人数达到500人的公司集团;二是有关营业收入超过1 亿欧元。此外,不同规模的公司运行结构和机制不同,有效合规的标准也不同。例如,企业合规部的设立通常有三种组织模式:独立模式、复合模式、简单模式。企业合规部具体采取哪一种组织模式,取决于企业的公司结构、经营规模、业务和产品线的运营管理模式,以及政府监管和所在行业所面临的合规风险。如西门子公司被处罚时,40多万员工仅有6名合规监管人员,与其规模是不匹配的,因此,其合规计划被认为是无效的。再如,“即使采用了《联邦组织量刑指南》和保罗提到的要素,即有效计划的七个要素、准则、培训、帮助热线、资源和高级监督,一家拥有100名或更少员工的公司,拥有匿名热线可能是一项挑战,因为每个人都知道每个人是谁,如果有人向帮助热线举报或向直接主管举报,因举报而遭到报复的风险更高,因此拥有匿名热线对公司来说是一项挑战。此外,资源可能是稀缺的,因此对于较小的公司来说,一个有效的道德和合规计划通常在某些方面或形式上具有这些元素,但它看起来与大公司非常不同。”有学者研究了497家标准普尔500公司和100家小型公司公开发布的道德守则,发现标准普尔500指数公司的道德规范通常更长一些,平均为226.7句,而小公司的标准为117.2句。尽管不强制要求所有企业实施合规,但是,通过加强自身规范建设、积极预防犯罪风险的合规精神是值得所有企业吸纳的。不同企业在合规方面努力程度不同、效果不同,应当鼓励企业量力而行,进行不同程度的合规。大型企业的合规最为规范,标准也最高,为中小企业起到引领、示范作用。企业未涉案时“有效合规”通常表现为静态的、存在于纸面上的合规计划,即满足形式要求的合规计划。而企业涉案处理过程中往往考虑的是动态的有效合规计划,即该计划是否发挥了发现犯罪和调查犯罪的作用。企业涉案被处理后,处在暂缓起诉、不起诉或缓刑考验期时,有效合规计划的审查判断将是全面的:既包括静态的纸面的合规计划,也包括动态的合规计划;前者是基础,后者是重点。“纸面上的计划和次优计划一样需要费用的投入,但是,其不能真正发挥应有的作用,而是公司规避法律的一种手段。” 汤普森备忘录明确指出,未被公司人员有效内化并成为公司文化一部分的公司合规计划将被视为无效。纸老虎是不够的。根据美国司法部(DOJ)的指南,合规计划必须“充分设计,以最大限度地防止和发现员工的不当行为” 纸面的合规计划不能作为处罚从宽的依据。例如,“西门子在贿赂案之前也有一个企业合规计划,但完全不称职,未能惩罚行贿的员工,未能对可信的腐败指控进行调查,而是将其掩盖起来。” “当时西门子40万员工中合规人员只有6名,高级管理层没有承诺实施道德行为文化,事实上,情况恰恰相反。在许多情况下,包括董事会在内的西门子高层成员特别纵容这种行为,有些情况下甚至参与贿赂......该组织高层没有明确表示腐败是不可接受的。相反,信息是保持你的销售数字,达到你的销售目标,做你需要做的任何事情,只是不要让我们知道。”每个公司的合规计划都应该是个性化的、动态的。美国司法部和法院不鼓励公司采用一劳永逸的方法来合规,如果他们使用合规措施的检查表来评估道德项目的有效性,就会产生反效果。法院和司法部还认识到合规性措施本质上是“动态的,并且随着业务和市场的变化而发展”。考虑到其业务、行业或文化的变化,公司必须定期评估犯罪行为的风险。因此,法院和机构期望的不仅是合规手册或培训计划,而且还为企业提供了如何最好地促进道德公司文化的广泛自由。例如,美国司法部(DOJ)避开了“公式要求”,以评估道德计划的有效性;检察官改为使用“常识性,务实的方法来评估合规计划,进行与以下三个基本问题有关的询问:公司的合规计划设计得当吗?是否真诚地应用?行得通吗?”企业合规根据其涉及的领域和内容可以分为全面合规、诚信合规和专项合规。全面合规是指,合规覆盖企业各业务领域、各部门、各级子企业和全体员工,贯穿决策、执行、监督各个环节。全面合规也可称作“大合规”。巴塞尔银行监管委员会《合规与银行内部合规部门》、国际标准化组织ISO19600《合规管理体系——指南》《中央企业合规管理指引(试行)》《企业境外经营会合规管理指引》等要求企业进行全面合规。诚信合规是指,以反腐败、反欺诈、反串谋等诚信合规为主要内容的合规。诚信合规也可称作“小合规”。专项合规是指,企业针对重点业务领域(如市场交易、财税管理、人力资源、安全环保、知识产权、网络安全与信息保护等)、重点管理环节(如制度制定环节、经营决策环节等)、重点人员(如管理人员、重要风险岗位人员、海外人员等)、海外投资经营行为等开展专门的合规风险管理、合规管理评估、合规审计等。也有学者认为,专项合规是指企业针对特定领域的合规风险,为避免企业因为违反相关法律法规而遭受行政处罚、刑事追究以及其他方面的损失,进行的专门性合规。常见的企业专项合规有:反商业贿赂合规、反洗钱合规、反垄断合规、数据保护合规等。不同领域的有效合规标准应当符合该领域的行政监管和相关要求。通常情况下,每个领域企业的性质、业务和合规风险都不相同,执法部门的监管任务也不同。为了企业的健康发展和对其进行有效监管,监管部门应当根据该领域的特点,按照企业的业务、规模以及特有的合规风险,制定有效合规的标准指引。例如数据隐私和安全合规项目的要点清单可以包括以下方面:(1)谁负责数据隐私安全合规;(2)企业采取哪些措施确保数据安全;(3)所有数据主体是否都收到合适的通知并给出必要同意?所有通知和同意文本是否都准确并已更新;(4)是否已向所有的数据保护机关或其他政府机构提交必要申报且获得了相应的必要批准?自上一次提交申报或获得批准相比,目前的相关情况是否发生了变化;(5)企业是否跨国接收或发送位于其他法域之自然人的数据;(6)企业是否开通举报热线或已部署监控技术;(7)企业的营销是否遵守了相关法律;(8)企业是否设计了产品、流程和标准合同来支持和实现员工、客户和产品用户遵守关于数据隐私和安全规定。在世界范围内企业合规经历了一个从无到有、从不成熟到成熟的逐步发展过程。我们今天所谓的“合规管理制度”的含义,来自于美国20世纪60年代早期的探索,后来在美国得到发展,并在英、法、德、意、澳、日等国家得到普及。目前在合规领域美国处于引领地位,但是,其发展也经历了一个从无到有,从不成熟到成熟的过程。根据量刑委员会的公开数据,1996年至2012年之间,联邦地方法院对3435个公司进行了判决。其中只有3次由于在犯罪发生时公司具有有效的道德计划,法院因此降低了公司的罪责评分, 相对于每年被判刑的成千上万的个人而言,公司很少被判刑。“即使公司被判刑,也只有一部分具有道德计划,其中一定比例的道德计划是有效的。这个百分比(0.0873%)令人惊讶地很小。” 2000年以来刑事合规进入快速发展时期。自2000年以来,美国司法部公开披露了283个暂缓起诉协议;美国证券交易委员会(SEC)也在对公司执法中使用了暂缓起诉,自2010年以来已经签订了7个此类协议;在司法部和证券交易委员会自2000年以来签订的290个协议中,超过一半(152个)是在2010年1月1日之后签订的。不同发展阶段企业合规的有效标准也不同。从美国企业刑事合规的发展来看,有效刑事合规的标准也经历了一个从低到高的发展过程。“《联邦量刑指南》制定时,所要求的合规管理程度以制定之前的企业为基准。即使美国企业也很少能够达到要求,因此受到一定程度的非难。其实施以后,从1993年10月1日至2001年9月30日,在符合《联邦量刑指南》第8章规定,有实施合规管理的情节,属于可能降低罚金数额并由量刑委员会查询了详细资料的687个案例中,仅2例获通过。这一现象成为合规管理程序标准过高的证据之一。” 暂缓起诉协议(DPA)和不起诉协议(NPA)通常要求企业实施或改善其合规性工作,这表明企业先前存在的合规性工作还很差。“但客观看来,从20世纪80年代开始得到强调的‘企业的社会责任’以及‘商业伦理’逐渐在各个企业中深入人心,今天的美国企业实施合规管理的水平已经达到一个很高的层次。” 近年来,接受了美国合规改造的企业,其合规不断走向成熟,达到了很高的标准。例如,西门子被认为是合规计划的黄金标准。不同发展阶段企业合规发挥的作用不同。在那些没有建立合规激励机制的国家,所谓有效的合规计划,充其量起到引导企业建立或者完善合规管理体系的作用。而在那些建立了合规激励机制的国家,这些有效合规计划就可以用来评判企业合规计划是否发挥有效预防违法行为的作用,并进而决定是否对企业作出宽大的处理。对于那些刚刚开始合规探索的国家和企业,其合规的意识、能力都比较弱,如果按照成熟国家和成熟企业的标准来看,是不能达标的。但是,如果一刀切就达不到应有的目的,不仅不能激励这些国家和企业开展合规,反而打击他们的积极性。随着合规制度的建立,有关国家和国际组织都在不断建立和完善合规的标准。1991年美国联邦量刑委员会发布的《联邦组织量刑指南》列出了有效合规计划的七个标准:明确的合规标准和程序,旨在根据可能带来的风险来预防和检测不同业务部门的犯罪行为;高级管理层对合规的知识、承诺、监督和支持;在招聘和晋升中筛选不道德的员工;持续的培训和教育;监视、审核和报告要求以及对计划有效性的定期自我评估;遵守合规的纪律处分和激励措施;发现犯罪行为后采取纠正措施。《联邦组织量刑指南》在美国合规中发挥着重大的作用。其所列的七个标准已成为美国公司、律师以及执法机构进行合规工作的重要参考,暂缓起诉协议应当包括所有要素。任何不包含所有这七个要素的合规项目都可能被认为是不充分的,无论任何单独设计的项目是否有效。这些步骤对于在设法发现和防止犯罪行为方面表现出最低限度的适当努力是必不可少的。此外,美国司法部每年定期发布有效合规计划,为检察机关是否对涉案企业提起刑事指控提供参考标准。2020年6月最新版的《美国司法部刑事处企业合规计划评估》(U.S. Department of Justice, Criminal Division,Evaluation of Corporate Compliance Programs(Updated June 2020)) 认可《司法手册》(Justice Manual)注释所指出的检察官通过三个基本问题来判断合规的有效性,其中每个问题之下又包括若干个不同的具体要素。问题一:企业制订的合规计划是否合理?具体从风险评估、政策和程序、培训和交流、保密报告机构和调查过程、第三方管理、并购等要素判断。问题二:企业是否认真实施了合规计划?换言之,企业是否投入足够的资源并授权有效实施合规计划?具体从中高级管理层的承诺、自主和资源、奖励和惩戒措施等要素判断。问题三:在实践中,企业的合规计划是否起到了作用?具体从持续改进、定期测试和审查、对不当行为的调查、对任何潜在的不当行为的分析和补救等要素判断。2011年3月,英国国务大臣颁布的《反贿赂法指南》(The Bribery Act Guidance)确立了“充分程序”的六项原则,也就是相称程序原则、高层承诺原则、风险评估原则、尽职调查原则、有效沟通原则、监控和评估原则。这六项程序已经成为英国执法机关判断企业是否建立有效合规计划的基本标准。2016年12月,法国通过了《萨宾第二法案》,该法案规定了合规的七项基本内容,即“行为准则;内部预警系统;风险评估;会计控制程序;培训体系;惩处机制;内部控制和评价制度”。《萨宾第二法案》确立的七项合规制度,成为评判企业是否建立有效的反腐败合规计划的标准。此外,在日本、意大利、澳大利亚等国的立法中也规定了有效合规的条件,不同国家的规定大同小异。2014年11月11日第22届亚太经合组织领导人非正式会议发布的《亚太经合组织有效和自愿的企业合规计划基本要素》(APEC General Elements of Effective Voluntary Corporate Compliance Program)提出了企业合规项目的十一个基本要素,即:开展风险评估;管理层的全力支持和参与;制定和遵守书面的公司行为准则;建立合规管理组织架构;提供反腐败培训、教育讲座和持续指导;开展基于风险和详尽记录的尽职调查;审计和内部会计控制;合规机制和报告要求;激励;惩处;定期审查和测试。《世界银行集团诚信合规指南摘要》(Summary of World Bank Group Integrity Compliance Guidelines)规定了十一个方面的合规内容:禁止不当行为;诚信合规责任;合规计划与合规风险评估股;内部政策;商业伙伴政策;内部控制;培训与沟通;激励;报告;不当行为的补救;集体行动。面对不同国家和国际组织不同的合规标准,如何协调?曾在道德资源中心(the Ethics Resource Center)董事会任职的保罗·麦克诺提(Paul McNulty)提出从领导力、风险评估、控制标准、培训和监督五个方面进行协调。有学者按照犯罪行为发生的时间将刑事合规计划的有效性标准分为两个部分:“在犯罪行为发生之前,商业组织要根据所面临的风险、经营业务的性质和范围等因素确定适合其自身的预防贿赂行为的相称程序。在犯罪行为发生后,商业组织首先要对犯罪事项进行处理、惩罚相关人员,并及时、主动向司法机关报告犯罪行为;其次,针对犯罪行为的性质,商业组织要及时调整内部的合规计划,以预防相同罪行再次发生;最后,在司法机关调查过程中,商业组织要积极配合司法机关的调查,并且按照司法机关的要求调整其合规计划的内容。” 还有学者提出有效的合规计划应当包括三个方面:一是,合规防范机制,包括合规风险评估、对合规风险的定期更新、合规尽职调查以及合规培训制度;二是,违规行为识别机制,主要指违规报告制度;三是,合规危机的应对机制,包括内部合规调查、违规行为披露、惩戒。综合不同国家和国际组织的做法,笔者认为有效合规的基本标准应当包括三个方面,即预防机制、识别机制和应对机制;每个标准的判断可以从若干要素进行(见表1)。预防机制是否有效可以从是否建立和实施有效的合规制度、合规管理机构、合规培训、合规文化等具体要素上进行判断。识别机制是否有效可以从是否建立和实施合规风险识别、合规风险评估、合规风险处置、合规审计、合规举报等具体要素上进行判断。应对机制是否有效可以从是否建立和实施有效的内部调查、合规问责与惩戒、持续改进等具体要素上进行判断。1. 合规制度。“企业合规管理制度是企业与员工在生产经营活动中需要共同遵守的行为指引、规范和规定的总称,是企业合规管理的核心内容。合规管理制度相当于企业的‘内部立法’。”“企业合规管理制度的表现形式或内容组成一般包括合规行为准则、制度规范、各项合规专项管理办法、合规管理的工作流程、管理表单等管理制度类文件。”如西门子股份有限公司合规制度包括:《商业行为准则》《内部合规调查行为准则》《商业伙伴合规手册》《供应商和第三方中间人行为准则》《保持商业诚信》《西门子内部合规标准》《全球合规通告》等;中国石油天然气集团公司合规管理制度包括《诚信合规手册》《合规管理办法》等。2.合规组织机构。“企业合规组织是企业实施合规管理以及建设企业合规管理体系的组织载体。建立独立、高效、协调合作的企业合规组织,是企业合规管理体系的重要组成部分,是企业有效进行合规管理、依法治企的组织保障。” 巴塞尔银行监管委员会2005年4月29日《合规与银行内部合规部门》采用的是大合规组织机构,最早提出了建立合规管理部门以及较为完善的企业合规组织架构,并对其合规管理职责作出了具体规定,包括董事会、高级管理层、合规管理人与合规部门。目前企业合规组织主要有三种模式:“第一,独立模式,即企业设立独立的合规部门,统一负责企业的合规管理,常见于重监管行业(如医药、金融等)的企业、大型公司、上市企业等。第二,合并模式,即企业不设立独立的合规部门,由法律部门下设合规分部或者合规专员履行合规管理职责,常见于合规风险较低或者规模较小的企业。” 第三,“混合模式,把法律、合规、内控部门的职责划归统一的合规部进行管理,由合规部兼具组织各业务条线的常规检查与专项检查、提供合规性法律审查与咨询服务、牵头建立内控体系、评估合规政策执行情况、向管理层提出合规建议等。”企业合规部门的设置采取何种模式,取决于企业的组织架构、规模、运营管理模式以及行业监管环境。3. 合规文化。合规文化是企业在合规管理中形成的合规理念、合规目的、合规方针、合规价值观、合规管理体系、合规管理运行等的总和。如果对组织的文化缺乏敏感性,那么无论这个计划多么符合指南中规定的标准,在有效性方面都将达不到标准。“企业合规文化的基本内容包括:(1)合规理念:合规从领导做起;全员主动合规;合规创造价值;全员安全、质量、诚信和连接。(2)合规价值观:诚信与正直;诚实守信;依法合规。(3)合规行为:与外部监管部门有效互动;培训;制定和发放合规手册、签订合规承诺书。(4)合规管理人员荣誉感。”4. 合规培训。合规培训是有效刑事合规的基本要素。合规培训的目的是使公司全员树立合规意识、掌握合规知识、减低企业经营风险。合规培训应当遵循持续性原则、适当性原则、有效性原则、可追溯性原则和重要性原则。针对不同岗位的员工培训内容有所不同。对公司的高级管理层合规培训的重点是合规意识、合规文化、合规制度建设以及有关的政策和法律法规。对于普通员工而言,合规培训主要是与其工作岗位和职责相关的规定、风险以及具体操作规程。合规培训内容和形式应当有利于员工理解和接受。企业应当为各级员工(尤其是从事高风险活动的员工)提供有效培训并做好记录,也可适时为业务伙伴提供培训。5. 合规风险识别。合规风险识别是发现、收集、确认、描述、分类、整理合规风险,对其产生原因、影响范围、潜在后果等进行分析归纳,最终生成企业合规风险清单,为下一步合规风险的分析和评价明确对象和范围的活动。合规风险识别是合规风险管理的首要步骤、前提和基础。进行合规风险识别应遵循全面识别原则、及时识别原则、客观识别原则、统一识别原则。开展合规风险识别,宜遵循以下步骤:构建合规风险识别框架;查找合规风险事件,收集违规案例;编制初步合规风险清单。6.合规风险评估。合规风险评估,是指企业在有效识别合规风险的基础上,运用特定的风险评估方法及工具对合规风险可能产生的危害、损失及造成的影响程度等进行测算,并基于此采取相应的控制措施。“一个公司的合规计划必须依据其风险评估,并且合规计划应围绕着公司的个体风险和特定风险而建立。因此,为了制定一个有效的合规计划,就必须识别并理解行业的系统性风险因素和公司的独特风险因素。这些风险因素可能会与公司发展业务的地理位置、公司和潜在客户类型是政府机构还是国有企业,以及公司用于拓展海外业务的人员类型相关。” 合规风险评估应当重点考虑造成损失的概率、造成损失的大小、合规风险的影响程度等。合规风险评估应遵循全面性原则、公正性原则、准确性原则。7.合规风险处置。“合规风险处置是在完成风险评估之后,选择并执行一种或多种改变风险的措施,包括改变风险事件发生的可能性和/或后果,以及针对合规风险采取相应措施,消除合规风险或者将合规风险控制在企业可承受的范围。包括选择合规风险应对策略、评估合规风险应对现状、制定合规风险应对措施、制定合规风险应对计划、实施合规风险应对措施与计划等环节。” 合规风险处置措施包括规避风险、降低风险、转移风险、接受风险等。8.合规审计。合规审计是对合规管理工作进行全面评价和监督的重要手段,应重点审查合规体系的运行情况、合规程序的执行情况以及对财务控制和其他内控手段的实施情况。合规审计可以保障公司合规制度得以遵守,预防违法违规行为发生。合规审计可分为:全面合规审计与专项合规审计;定期合规审计、临时合规审计和后续合规审计。合规审计应当遵循独立原则、客观原则和公正原则。9.合规调查。内部调查是有效合规计划的重要组成部分。“一次彻底、有效和可信的内部调查对于公司是很重要的,不仅能够使公司充分了解自已所面对的责任和义务,而且监管权力机构展示了公司对于所接到的投诉严肃对待,以及公司希望了解公司内存在的潜在问题。”“在开展调查前首要确定适合的调查人员。很多情况下,调查的质量取决于调查人员的素质。” 轻微问题的调查由公司内部的合规机构或总法律顾问办公室组织调查较为合理;严重违法问题或对企业有重大威胁的问题最好雇佣外部调查者主导调查,因外部调查的结果可信度更高。内部调查主要通过收集查阅文件和谈话进行。调查结束通常要有一个调查报告。10. 合规举报。合规举报是指企业员工以匿名的方式,对企业经营活动中存在的合规风险隐患或已发生的违规问题,根据一定的途径和步骤向合规部门报告的活动。合规举报机制的执行并不是为员工施加进行举报的义务,而是赋予全体员工对所有并不合规行为进行举报的权利,员工享有举报的权利这一点本身就可以对全体员工产生震慑效应,进而形成对全体员工行为的无形约束。有效的合规举报制度通常需要包括以下方面:第一,便捷的举报渠道。例如提供电子邮件、网页、电话热线等多种投诉方式,一周七天、一天24小时。第二,举报奖励制度。“《多德—弗兰克法案》在美国商品期货委员会(CFTC) 新创设了一项举报者计划。该计划允许向那些举报者(指那些向CFTC共享信息和提供协助的人)支付货币性奖励,同时为这些举报者提供‘反报复’保护。”第三,举报保密制度。例如设立匿名热线。此外“对于负责企业举报信息收集及调查处理工作的部门或岗位人员,应确保其工作的保密性和独立性,对上级主管部门或领导垂直负责,业绩考核、职级升迁和工资待遇等由上级部门决定,尽量脱离本级企业的权力制约。”第四,反报复措施。如“公司应该维持一个记录机密的机制,以便其对那些已经提供过举报投诉信息员工的后续就业经历进行回顾,这样就可以明文记录这些员工已经受到保护,并没有招致任何报复。”11. 问责与惩戒。有责必究是一个在组织内部建立和保持道德文化的关键要素。合规的问责与惩戒是指企业对违反企业合规计划的行为人(包括各级管理人员和普通员工)进行的纪律处分,如训诫、警告、降级、降职、调离、解雇、向执法部门报告违法情况、对违规者提起民事诉讼等。12.持续改进。企业的合规风险是时时存在的、动态变化的,因此,面对内部和外部的变化,企业必须在合规风险方面建立持续改进机制并付诸实施。我国《合规管理体系 指南》第3.6条规定,发生以下情形时,宜对合规风险进行周期性再评估:(1)新的活动、产品或服务,或者现有活动、产品或服务发生改变;(2)企业结构或战略发生改变;(3)重大的外部变化,如金融经济环境、市场条件、债务和客户关系;(4)合规义务改变;(5)发生不合规。”在我国企业刑事合规本土化的过程中,应当以三个方面的标准十二项要素为参照,对于不同规模的企业、对于境外经营型企业和境内经营型企业在建立合规标准和评估其合规有效性时要区别对待。这绝不是故意降低标准,而是,考虑实际情况,贯彻比例原则,鼓励更多的企业接受合规的理念,积极进行合规建设。故在刑事合规的初期,对于中小微企业和境内经营型企业,要适当降低合规标准。否则,按照国际标准来要求,都达不到,在刑事诉讼中也就失去了意义。将来随着合规的普及与不断成熟,再提高其有效刑事合规的标准。我国境外经营企业进行合规的主要目的在于走出去参与国际竞争,合规要求“企业及其员工的经营管理行为符合有关法律法规、国际条约、监督规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求”。2018年12月26日国家发改委、外交部、商务部等七部门印发《企业境外经营合规管理指引》第4条:“企业应以倡导合规经营价值观为导向,明确合规管理工作内容,健全合规管理架构,制定合规管理制度,完善合规运行机制,加强合规风险识别、评估与处置,开展合规评审与改进,培育合规文化,形成重视合规经营的企业氛围。”境外经营企业的合规不仅应当遵从国内的标准,还应当遵从国际标准和经营国的标准;不仅要遵守全面合规的标准,也要遵循诚信合规和专项合规的标准。概括说来,境外经营企业的有效刑事合规包括预防机制、识别机制和反应机制三个方面以及所有要素(见表1)。总之,对于境外经营企业来说,其有效刑事合规的标准是最高的。从境内经营企业合规建设的视角来看,可以将我国企业大体分为中央企业、大型企业、中小微企业。目前我国的企业合规建设也在朝着这个方向发展。中央企业担负着经济发展的重任,既要走出去,又要境内经营。其合规建设的任务最重、合规标准最高、合规试点工作开展最早。其他大型企业,不管国企还是民企,应当看齐中央企业,坚持合规高标准。对于中小微企业,特别是民营企业,对“六稳”“六保”发挥着重要的作用,鼓励其积极开展合规,通过合规实现企业健康发展,鼓励其以中央企业合规标准为参照,吸收其精神要义,坚持适宜的合规标准,进行比例性合规。我国的企业合规首先从中央企业开始试点。2016年国务院国资委将中国石油、中国移动、东方电气集团、招商局集团、中国中铁物价企业列为合规试点单位。这五家央企均进行跨行业经营,而且均进行境内外经营,将全面合规与诚信合规有机结合,与国际合规实践无缝接轨。中央企业应当坚持最高的标准,即表1中的三个标准预防机制、识别机制和反应机制及十二项要素。2018年11月2日国资委印发的《中央企业合规管理指引(试行)》,对中国中央企业强制适用,其第2条也有所体现。具体包括“制度规定、风险识别、合规审查、风险应对、责任追究、考核评价、合规培训等有组织、有计划的管理活动。”对于中央企业之外的大型企业在刑事合规有效标准认定上应当坚持接近中央企业的最高标准。由于目前《中央企业合规管理指引(试行)》对于中央企业强制适用,地方国有企业参照适用。这是基于我国企业合规初级阶段的现状。大型企业一是经济实力强;二是对社会影响大,合规的必要性和可能性都非常大。因此,对目前没有进行强制合规的大型企业,在进行刑事诉讼激励时(如非羁押、不起诉等),应当要求企业建立有效的书面合规计划,应当包括表1中的三个标准和十二项要素。将来大型企业普遍建立合规计划以后,在采取刑事诉讼激励措施时考虑的合规是否有效,也应当坚持表1的标准进行审查判断。如前文所述,在国际上一般不强制中小微企业进行合规。目前,我国的企业大多没有建立合规制度,中小微企业更是如此。但是,2020年经济发展的新情况让中国的中小微企业(特别是民营企业)迎来了合规的热潮。在后疫情时代,中国经济面临疫情带来的困难,面临复工复产,中小微企业的压力尤其大。许多正常经营的企业为了缓解压力采取了一些违法违规的应急措施,如虚开增值税发票、生产销售伪劣商品等。如果对这些违法中小微企业严格执法,就可能“办了案子,垮了厂子”,这与当前“六稳”“六保”的形势不相符合。在这种情况下,检察机关积极延伸职能,通过合规不起诉引导企业进行合规建设。在合规不起诉的探索过程中,涉案企业没有进行过合规建设,有效的合规更无从谈起。检察机关选取有合规可能性的企业,通过合规不起诉,检察机关引导其建立合规制度。在建立合规制度时,书面的合规计划必不可少,应当坚持基本标准、适当标准。具体来说,应当具备表1中的三个标准预防机制、识别机制和反应机制及其中的部分核心要素;由于处于初级阶段对核心要素的具体要求可以视情况降低。如合规的管理机构只能要求其建立与其规模和经营相适应的机构,比如有1名专门负责合规的人员;不要求建立严格的、复杂的投诉举报机制。再如中小微企业的合规制度也不一定像大公司一样全面;合规培训也不一定像大公司那样密集;培训的对象也不一定像大公司那样细分等等。中小微企业的合规不起诉是我国开展企业合规的一个独特探索,其合规标准和核心要素与跨国公司不同,还有待检察机关和企业通过一段时间的实际运行予以总结。这是中国合规的新现象,也是中国对世界合规的贡献。相信我国中小微企业的合规将给国际企业合规带来新的经验。合规是企业可持续发展的基石,是企业走向世界的通行证。改革开放以来,中国企业迅速成长。一些企业在参与本土市场竞争的过程中,逐渐形成了具有中国特色的思维方式与经营模式。......然而,这些在特定制度和市场环境下形成的思维定势和市场行为方式,在走向国际市场尤其是进入发达国家市场的过程中,却可能成为企业踏入海外门槛的绊脚石。在走出去的过程中遭遇被动合规后,中国企业正在经历从“要我合规”到“我要合规”的转变。如果说2018年是中国企业合规的元年,那么2020年则是中国刑事合规不起诉兴起之年。在检察机关的积极推动下,中国企业,特别是中小企业的合规以超乎想像的速度在中华大地兴起。在企业合规不起诉的探索过程中,有效刑事合规的基本标准成为一个需要解决的问题。合规是有成本的,不同规模企业的有效合规标准应当有所不同。应当根据比例性原则鼓励企业量力而行,进行不同程度的合规。大型企业的合规最为规范,标准也最高,应当为中小企业起到引领、示范作用。不同涉案阶段审查判断有效合规的标准不同。企业未涉案时“有效合规”通常表现为静态的、存在于纸面上的合规计划,即满足形式要求的合规计划。而企业涉案处理过程中往往考虑的是动态的有效合规计划,即该计划是否发挥了发现犯罪和调查犯罪的作用。企业涉案被处理后,处在考验期时,有效合规计划的审查判断既包括静态的纸面的合规计划,也包括动态的合规计划。不同领域企业的有效合规标准不同,应当符合各行业的监管要求。在世界范围内企业合规经历了一个从无到有、从不成熟到成熟的逐步发展过程。不同发展阶段企业合规的标准和发挥的作用不同。处于合规成熟阶段的国家和企业,有效合规的标准比较高,可以用来评判企业合规计划是否发挥有效预防违法行为的作用,并进而决定是否对企业作出宽大的处理。有效刑事合规的基本标准由于中国不同企业的参与,特别是中小微企业的参与,将呈现出多元化和比例性特征。境外经营企业的合规不仅应当遵从国内的标准,还应当遵从国际标准和经营国的标准;不仅要准守全面合规的标准,也要遵循诚信合规和专项合规的标准。总之,对于境外经营企业来说,其有效刑事合规的标准是最高的。对于境内经营企业来说,中央企业应当坚持最高的标准,即三个方面预防机制、识别机制和反应机制及十二项要素;对于中央企业之外的大型企业在刑事合规有效标准认定上应当坚持接近中央企业的最高标准;对于中小微企业合规来说,应当具备预防机制、识别机制和反应机制及其中的部分核心要素,对核心要素的具体要求可以视情况降低。我国的企业合规实践将为世界企业合规的实践和标准的建立贡献中国智慧。注:本文首载于中国刑事法杂志,因篇幅较长,已略去原文注释。