企業(yè)刑事合規(guī)的內部控制路徑研究

| 唐仁志

一、企業(yè)刑事合規(guī)計劃的兩大問題導向

最高人民檢察院印發(fā)第二批《合規(guī)典型案例》之后，加上之前發(fā)布的《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見(試行)》等規(guī)范性文件，以及各地方部門、行業(yè)協(xié)會發(fā)布的企業(yè)合規(guī)指引類文件，可以肯定我國的刑事合規(guī)實踐已經(jīng)具備了一定的經(jīng)驗，同時也預示著企業(yè)構建自身的刑事合規(guī)計劃是未來的一大趨勢。另一方面，由于我國的企業(yè)刑事合規(guī)理論與實踐均處于起步階段，有關經(jīng)驗不足，這也導致了市面上各種類型的企業(yè)合規(guī)管理模板和文件成為企業(yè)構建自身刑事合規(guī)計劃時相互模仿的“規(guī)范模板”。實際上，企業(yè)的規(guī)模、性質、業(yè)務內容等等均存在較大差異，模仿“大而全的刑事合規(guī)計劃”難以有針對性地預防自身法律風險。在刑事合規(guī)的實務問題中，企業(yè)刑事合規(guī)計劃的完整性以及其有效性問題關系到刑事合規(guī)的全過程，故應當作為企業(yè)構建刑事合規(guī)計劃的導向。例如，其一，在案發(fā)前的企業(yè)日常刑事合規(guī)管理中，其刑事法律風險是否得到全面的識別和控制；其二，企業(yè)涉案以后是否適用企業(yè)合規(guī)考察程序，包括案發(fā)前已經(jīng)建立起刑事合規(guī)制度的企業(yè)的考核以及案發(fā)后承諾進行合規(guī)整改；其三，企業(yè)在進行了合規(guī)整改和接受合規(guī)第三方監(jiān)督評估考察中如何保障自身企業(yè)合規(guī)計劃的完整性和有效性；其四，在進入訴訟程序的情況下，企業(yè)刑事合規(guī)如何提出有利于企業(yè)承擔證明責任乃至主張積極的抗辯事由。由此，企業(yè)自身的刑事合規(guī)計劃內容的完整性以及有效性，包括執(zhí)行有效性將作為企業(yè)制定自身刑事合規(guī)計劃的兩大問題導向。

二、文獻綜述與問題提煉

（一）刑事合規(guī)計劃要關注完整性與有效性

1.刑事合規(guī)計劃完整性的標準。企業(yè)構建的刑事合規(guī)計劃完整性的標準關系到刑事合規(guī)計劃的內容范圍。由于實踐中存在大量的簡單模仿一些刑事合規(guī)較為發(fā)達國家的合規(guī)文件、大企業(yè)的合規(guī)管理體系亦或是一些刑事合規(guī)指引文件的問題，故容易陷入紙面模仿的困境中，進而將“大而全”的合規(guī)計劃內容認為是完整的標準。實踐表明，大而全的紙面合規(guī)計劃不僅難以執(zhí)行，還容易徒增管理負擔，甚至是沖擊原有內控的有效性。故此，對于界定刑事合規(guī)計劃的完整性問題，應當回歸其作為預防刑事法律風險管理制度的本質功能上。首先，應當關注企業(yè)刑事合規(guī)計劃是否對企業(yè)刑事法律風險進行了全面的識別與控制，包括風險的全面性以及控制措施的合理性與可執(zhí)行性。例如有研究將刑事法律風險分為企業(yè)內部人員和機構的刑事合規(guī)風險、企業(yè)整體的單位犯罪刑事合規(guī)風險、企業(yè)被害主體的刑事合規(guī)風險三類，并在此基礎上提出了企業(yè)構建刑事合規(guī)計劃的一般路徑：梳理業(yè)務風險、建立應對機制、完善監(jiān)督評價機制。其次，刑事合規(guī)計劃的完整性還強調該計劃與企業(yè)規(guī)模、性質等自身實際情況的適應性。有觀點提出涉案企業(yè)的合規(guī)不能千篇一律，而應當因“人”而異，因“事”而異；同時，有觀點也強調刑事合規(guī)計劃不能無所不包，考慮到制度運行成本等原因，強調刑事合規(guī)計劃應當具備“差異性、針對性”；從國外的經(jīng)驗來看，在英國司法部頒布的《2010年賄賂罪法適用指南》中，賦予“相稱性原則”以根本性的地位，即強調制定的計劃應當與組織面臨的風險, 以及商業(yè)組織經(jīng)營活動的性質、規(guī)模、復雜性相稱。故此，本文將企業(yè)刑事合規(guī)制度的完整性的標準問題主要界定為刑事法律風險的全面性以及該計劃的相稱性。

2.刑事合規(guī)計劃完整性與證明責任。刑事合規(guī)計劃完整性對于企業(yè)的積極意義集中反映在企業(yè)承擔證明責任的場合。一方面，根據(jù)目前的企業(yè)合規(guī)改革試點經(jīng)驗，涉案企業(yè)已經(jīng)建立起刑事合規(guī)制度的，符合合規(guī)考察適用對象條件便可納入企業(yè)合規(guī)司法改革的程序中，一旦合規(guī)考察獲得通過，企業(yè)便享受了司法的“厚愛”，在此條件下企業(yè)需要證明其構建了完整的刑事合規(guī)計劃。另外，在進入訴訟程序的場合，有觀點認為，基于被告方承擔舉證責任的基礎上，企業(yè)應當證明其存在相對完整的刑事合規(guī)計劃，同時需要協(xié)助控方證明該計劃的有效性。故此，企業(yè)在訴訟過程中也面臨著對刑事合規(guī)計劃完整性的證明問題；另外，在將刑事合規(guī)抗辯作為出罪事由、減輕處罰等積極抗辯事由的場合，企業(yè)也負有對刑事合規(guī)計劃完整性的證明。故此，對于企業(yè)合規(guī)計劃完整性的問題，企業(yè)需要立足于承擔證明責任的高度，科學設計該制度的內容和執(zhí)行程序，并確保在需要時能夠規(guī)范且便捷地提供相應的證明材料。

（二）刑事合規(guī)計劃核心在于有效性

1.刑事合規(guī)制度有效性影響因素。首先，刑事合規(guī)計劃的完整性作為其有效性的前提，關系到刑事合規(guī)計劃內容本身的覆蓋面及其有效性，故在評估有效性之前需要檢視刑事合規(guī)計劃的完整性；其次，刑事合規(guī)執(zhí)行過程中各種因素均影響到該計劃的有效性，這主要涉及到公司管理、人員等各方面。有研究認為諸如高層基調、關鍵力量、組織氛圍等非正式規(guī)范更能影響企業(yè)刑事合規(guī)制度的有效性。故此，從管理的基本立場出發(fā)更能識別刑事合規(guī)計劃的影響因素，并對之進行有效整改。最后，刑事合規(guī)制度的具體執(zhí)行程序也是影響該制度有效性的重要因素，一方面需要保障刑事合規(guī)的獨立性；另一方面又需要一定的監(jiān)督評估機制實現(xiàn)對刑事合規(guī)有效性的再評估，這就需要在具體設計執(zhí)行流程時考慮企業(yè)內控、內部審計等之間的關系，充分發(fā)揮企業(yè)內部監(jiān)督部門之間的信息溝通與評價。

2.刑事合規(guī)計劃與執(zhí)行有效性。刑事合規(guī)計劃貴在執(zhí)行，如何保障計劃得到有效的執(zhí)行，其關鍵在于流程設計具備可操作性，其重點則在于對執(zhí)行的績效進行監(jiān)督和評價。首先，企業(yè)刑事合規(guī)計劃不能與企業(yè)業(yè)務脫節(jié)，而應當立足于業(yè)務支持部門的角色全面嵌入企業(yè)一線的業(yè)務流程管理中。因此，一方面需要將一線業(yè)務的評估和執(zhí)行監(jiān)督納入刑事合規(guī)部門的管理和控制中，另一方面則需要貫徹重要性原則以防止刑事合規(guī)權限濫用后對業(yè)務的制約；其次，企業(yè)刑事合規(guī)應當確保其獨立性，包括部門的權限以及特定的信息溝通渠道等，以保證企業(yè)刑事法律風險能夠及時有效地被高層熟悉并及時作出應對；最后，在確保了刑事合規(guī)計劃的獨立性之后，需要設置相互制約的機制對企業(yè)的刑事合規(guī)績效則予以監(jiān)督評價，進而提升合規(guī)的質量。而這一點在當下已經(jīng)具備了一定的規(guī)范基礎，例如《個人信息保護法》第54條明文規(guī)定“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規(guī)的情況進行合規(guī)審計”。由此，通過內部審計部門對刑事合規(guī)進行審計監(jiān)督具備了規(guī)范基礎與實踐可能。

圖1 內控路徑下刑事合規(guī)計劃框架

三、企業(yè)內部控制視角下的刑事合規(guī)建設

（一）前提性概念：刑事合規(guī)的內控路徑界定

1.刑事合規(guī)的路徑及其分類。刑事合規(guī)的路徑問題，主要是刑事合規(guī)依托何種制度以產(chǎn)生作用力的問題，由于刑事合規(guī)具有國家司法激勵工具與企業(yè)法律風險防控管理兩大屬性，故從性質上可將刑事合規(guī)的路徑分為國家司法路徑以及企業(yè)管理兩大類型。對于國家司法路徑來說主要包括認罪認罰不起訴、檢察建議、量刑減免等等路徑；而對于企業(yè)視角下的刑事合規(guī)研究則較少，且呈現(xiàn)出樣式多樣的合規(guī)建設路徑。例如，有研究依照不合規(guī)的發(fā)生順序，將作為“合規(guī)三大支柱”的事前、事中、事后防控作為分類邏輯，提出了企業(yè)構建刑事合規(guī)計劃總體性框架的基本模型，同時以列舉式的將風險識別、內部調查、合規(guī)履職等作為個別化的措施，形成總體與部分相結合的樣式?？偟膩砜矗@些路徑有的沿著風險識別與控制的邏輯進路，有的立足于合規(guī)整改的過程沿著時間順序設計合規(guī)計劃路徑，但均較少關注到企業(yè)內控。

2.刑事合規(guī)的內控路徑基本內涵與整體框架。刑事合規(guī)的內控路徑便是將刑事合規(guī)建設融入內控建設，依托內部控制的基本要素、基本原則、基本控制流程等對刑事合規(guī)計劃的內容與執(zhí)行程序予以制定；另一方面，特別注意刑事合規(guī)對于內控健全的重要反作用，刑事合規(guī)所要求的履職獨立性、塑造的合規(guī)文化、介入業(yè)務的深度與廣度等等都會對內控目標的調整與提升、內控執(zhí)行效率、財務信息安全等等各方面起到獨特的反作用。故此，刑事合規(guī)的內控路徑的內涵主要有兩個方面的內容，其一是依托內部控制規(guī)則設計刑事合規(guī)的框架、內容與執(zhí)行流程；其二是在刑事合規(guī)建設中建立健全企業(yè)內控。

如圖1，刑事合規(guī)內控路徑下的整體框架援引并修訂了相關內控規(guī)則，大致可以分為以下幾個板塊：其一是基本原則，這一點在參照規(guī)范性文件的基礎上，結合內控與合規(guī)的實踐經(jīng)驗予以援引或修訂；其二是主要內容，按照內部控制基本要素展開設計企業(yè)刑事合規(guī)計劃主要內容；其三是對完善內控的關注，這部分主要刑事合規(guī)計劃在制定和執(zhí)行過程中發(fā)現(xiàn)的內控問題及其完善措施；最后是附則，主要包括一些解釋性的規(guī)定，包括相關術語和概念的界定、爭議的解決等等。

（二）基礎性優(yōu)勢：刑事合規(guī)內控路徑的優(yōu)缺點

1.增強刑事合規(guī)計劃完整性和有效性。首先，就企業(yè)風險范圍言，企業(yè)內控的風險范圍包括刑事合規(guī)的風險范圍，故參照內控風險類型設計風險識別和控制程序能夠確保刑事合規(guī)計劃完整性。雖然有觀點認為要將企業(yè)合規(guī)的風險限制在特定范圍內，即：“企業(yè)合規(guī)所要防控的既不是企業(yè)的經(jīng)營風險和財務風險，也不是一般意義上的法律風險，而是受行政或者刑事處罰的一種合規(guī)風險?！钡牵诩扔泄俜降囊?guī)范性文件中，合規(guī)風險的內容范圍遠大于這種“受處罰的風險”，其還包括重大財務損失和聲譽損失的風險。這一點在國資委2018年發(fā)布《中央企業(yè)合規(guī)管理指引（試行）》的第二條以及上述文件中均有一致性的表述。該指引第二條規(guī)定：“本指引所稱合規(guī)風險，是指中央企業(yè)及其員工因不合規(guī)行為，引發(fā)法律責任、受到相關處罰、造成經(jīng)濟或聲譽損失以及其他負面影響的可能性” 。該指引第三條將合規(guī)風險定義為“因沒有遵循法律、規(guī)則和準則可能遭受法律制裁、監(jiān)管處罰、重大財務損失和聲譽損失的風險” 。由此，合規(guī)風險在內容的范圍上基本涵蓋在《企業(yè)內部控制基本規(guī)范》第三章所規(guī)定的風險范圍中。

其次，刑事合規(guī)計劃有效性問題可以通過審計評估、稽核調查等方式予以監(jiān)督，這進一步解決了刑事合規(guī)部門監(jiān)督考核問題，并督促其提升工作績效；再者，由于企業(yè)內部控制信息披露等等制度相較于刑事合規(guī)更為成熟，故援引企業(yè)內控評價體系與監(jiān)督機制，可以建立包括企業(yè)刑事合規(guī)信息披露制度等，這從縱深上打開了企業(yè)的刑事合規(guī)與其它制度之間的融合，也促使整個企業(yè)之間提升對合作伙伴的審核評估質量。將刑事合規(guī)盡職調查、刑事合規(guī)信息披露等作為企業(yè)管理合作伙伴的重要附隨制度，將開啟全新的企業(yè)權益保護之門。

最后，企業(yè)內部管理制度可以為刑事合規(guī)的執(zhí)行提供程序基礎。在既有的企業(yè)管理中，業(yè)務流程的可操作性和管理效率一直是企業(yè)不斷優(yōu)化的板塊，隨著企業(yè)刑事合規(guī)制度得以設立，企業(yè)只需要在特定的控制節(jié)點上設置刑事合規(guī)風險識別和控制節(jié)點即可。列如，在企業(yè)采購業(yè)務流程中，可以將刑事合規(guī)風險評估節(jié)點設置在業(yè)務提起節(jié)點之后實際履行之前，同時在流程發(fā)起之前設置犯反商業(yè)賄賂等提示，并在流程終止后設置相應的核查節(jié)點。一是對員工起到風險提示義務，二是及時將不法風險與自身進行割離，防止企業(yè)因內部或者外部原因而陷入刑事法律風險之中。

2.提升刑事合規(guī)計劃清晰性和全面性。依托內控基本要素設計的刑事合規(guī)計劃類型要素清晰且利于設計管理流程。在內部控制五要素中，各個要素之間邏輯相對清晰且內容全面，刑事合規(guī)計劃可以參照該五個要素設計自己的控制內容（如圖1所示）。例如，設計總則一章，內容涵蓋刑事合規(guī)的基本目的以及原則，主要包括高層與員工的合規(guī)承諾等；又如企業(yè)設置企業(yè)刑事合規(guī)內部環(huán)境一章，在其下設置刑事合規(guī)管理部門、人力資源、企業(yè)刑事合規(guī)培訓以及合規(guī)文化塑造等主要內容。特別的，在企業(yè)原有的內控基本要素管理流程中嵌入刑事合規(guī)管理則比重造一份管理系統(tǒng)更為有效，這一方面節(jié)省了公司管理成本，另一方面則有利于促進風險防控與一線業(yè)務的結合，增加刑事合規(guī)的績效產(chǎn)出。

3.警惕“形式合規(guī)”，健全內部控制。以內部控制為引導構建起來的刑事合規(guī)計劃具備較強的管理屬性，強調執(zhí)行效率和監(jiān)督考核，但同時容易陷入盲目執(zhí)行的“形式合規(guī)、紙面合規(guī)”困境，從而缺乏對刑事法律風險的靈活應對，為此要靈活調整刑事合規(guī)計劃。如引用重要性原則的貫徹方法與程序，對刑事合規(guī)計劃予以調整，則有助于增加刑事合規(guī)計劃與業(yè)務管理等企業(yè)要素之間的相稱性。但是，由于重要性原則具有較強的主觀性，因此容易存在因對風險的識別和處理判斷不客觀而漏掉部分重要風險的情況。對該問題的解決可以借鑒風險導向審計中對重要性原則的應用原理予以彌補。在風險導向審計中，評價重要性標準除了要關注錯報的數(shù)額，還要關注錯報的性質；同時，重要性的判斷還關系到審計程序的選擇、審計內容的設計等等。由此，刑事風險的遺漏重要性評估及應對程序也可借鑒此設計予以彌補。例如，在實務中，從定性分析角度，在業(yè)務流程中結合經(jīng)驗數(shù)據(jù)將某一數(shù)額之上的交易單獨劃入特殊的審批程序；從定量角度，將一些特殊交易如關聯(lián)交易等單獨列入合規(guī)審批，以防范可能發(fā)生的合規(guī)風險。

另外，可以充分利用刑事合規(guī)整改健全企業(yè)內控。首先，企業(yè)刑事合規(guī)建設為企業(yè)完善內部控制提供了額外的動力保障。目前在內控失靈方面的研究多將控制的動力局限在企業(yè)內部，很難獲得新的突破。刑事合規(guī)由于具備國家刑法的激勵作用，在將刑事合規(guī)納入內控建設的場合能夠有效提升企業(yè)完善內控的動力。其次，企業(yè)刑事合規(guī)建設的諸多方面與內控完善的路徑相關聯(lián)，前者的建設可以反作用于后者的完善。例如，在一起非法經(jīng)營罪案例中，企業(yè)的合規(guī)整改措施就包括完善公司治理和管理結構，具體如股東的更換、由股東擔任公司監(jiān)事并兼任合規(guī)管理人員，加強法律教育培訓、制定員工手冊等等。

四、企業(yè)刑事合規(guī)的內控路徑具體應用展開

（一）基本原則：合理援引內控的基本原則

基本原則作為刑事合規(guī)計劃的基礎性要求，對于合規(guī)價值的彰顯和合規(guī)行為具有重要指引作用。目前，結合《企業(yè)內部控制基本規(guī)范》以及《中央企業(yè)合規(guī)管理指引（試行）》等規(guī)范性文件有關規(guī)定，并結合刑事合規(guī)的特性要求，可以將全面性原則、重要性原則、獨立性原則、適應性原則以及聯(lián)動與制衡作為合規(guī)計劃的基本指導原則。既強調刑事合規(guī)計劃內容的全面覆蓋，也要根據(jù)重要性原則及其相關方法對企業(yè)的法律風險進行評估并進行分級分類預防；既要強調合規(guī)部門和人員權限的獨立性也要注意合規(guī)部門與其它業(yè)務部門的信息溝通和聯(lián)動；同時要結合企業(yè)的實際建立與自身規(guī)模、業(yè)務性質等相適應的刑事合規(guī)計劃。

（二）主要內容：依托內控五要素展開

由于內控五要素在分類上簡潔明了，在內容上基本涵蓋公司管理的全部方面，同時在制度歸類以及執(zhí)行保障措施方面均具備高效性和規(guī)范性的特點。由此，可以結合內控基本要素將刑事合規(guī)計劃的內容分為五大板塊。其一是刑事合規(guī)內部環(huán)境，包括設置地位較高且獨立的刑事合規(guī)部門或崗位，賦予相應職權；獲取從員工到高層的全員合規(guī)承諾，建立合規(guī)文化；加強人力資源建設，培養(yǎng)專業(yè)合規(guī)人才等；制定員工手冊，完善員工合規(guī)教育培訓制度等。其二是刑事法律風險評估，主要包括確定風險控制的目標，刑事法律風險評估方法與策略，完善刑事法律風險報告和應對機制等；其三是刑事法律風險控制活動，包括“不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等” 。尤其重視對信息系統(tǒng)的運用，加強流程節(jié)點審批控制，確保業(yè)務流程清晰可追溯；其四是刑事合規(guī)信息溝通制度，包括明確內部控制相關信息的收集、處理和傳遞程序等。尤其需要確定各部門及人員需要保存各種信息數(shù)據(jù)，包括但不限于經(jīng)營財務數(shù)據(jù)、個人信息、公司制度文件等等；其五是刑事合規(guī)計劃的監(jiān)督和評價機制，企業(yè)需要明確刑事合規(guī)工作的績效考核機制，建立健全內部審計等部門對其的監(jiān)督和評價機制等。

（三）保障與提升：對內部控制的完善

企業(yè)刑事合規(guī)計劃的建設與內控的完善是息息相關的，這就需要充分發(fā)揮刑事合規(guī)的功能以完善內控。首先，通過刑事合規(guī)調查與評估，對企業(yè)內控環(huán)境、風險評估、控制活動、信息與交流以及監(jiān)督機制中存在的缺陷進行積極整改，并對整改后的制度運行情況和績效進行審計或者稽核評價。其次，在控制流程中，應當及時優(yōu)化企業(yè)業(yè)務流程，兼顧效益與風險處置；最后，在涉案的情況下，企業(yè)應當積極配合第三方監(jiān)督評估機構指導意見，及時整改內控缺陷，減輕和彌補違法行為帶來的損害。最后，企業(yè)需要積極調取內控資料文件，用作積極抗辯事由的證明，故此需以此為導向做好日常的文件歸檔管理以及信息數(shù)據(jù)保護工作。

在未來刑事合規(guī)進入立法時代的大趨勢下，企業(yè)構建刑事合規(guī)計劃的作用越來越明顯。雖然以個人信息保護專項合規(guī)、數(shù)據(jù)安全保護專項合規(guī)的實踐已經(jīng)取得了一定的經(jīng)驗，但專項合規(guī)依然需要依托整體合規(guī)的一般性規(guī)定和程序。故此，內控路徑下的企業(yè)刑事合規(guī)計劃依然兼具專項合規(guī)實踐的意義。由此可以說，無論企業(yè)是搞專項合規(guī)計劃還是整體的合規(guī)計劃，內控路徑的刑事合規(guī)均具備內容完整性和執(zhí)行有效性方面的優(yōu)勢，值得實踐參考。