摘要
在企业合规计划搭建中,建立“风险识别数据库”是最具有实证性的一个要素。为此,企业首先应当明确风险的合规义务来源;其次根据实际情况,从经营管理活动、组织机构设置、利益相关者三个角度构建准确与全面的风险识别数据库框架;然后通过调研访谈、案例梳理、飞行检查等法律风险识别方法确定经营中涉及的具体法律风险事件;最后将上述内容归纳总结建成风险识别数据库。此外,应根据企业经营的变化和外部法律规范以及实践的变化不断调整、完善、修补相关风险识别内容。
关键词:企业合规 刑事合规 行政合规 风险识别 风险库
一、引言
2021年4月,最高人民检察院在开展企业合规改革第一期试点工作的基础上,下发《关于开展企业合规改革试点工作的方案》(以下简称《方案》)正式启动第二期企业合规改革试点工作, 6月3日,最高人民检察院下发《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》,完善企业合规试点工作的配套机制,规定企业合规第三方机制适用对象既包括企业犯罪案件,也应包括企业经营者等个人犯罪案件,由此形成了具有中国特色的“企业合规不起诉”规则。
检察机关主要通过不起诉来发挥合规激励的作用,而行政机关通过行政和解、宽大行政处理等多种方式发挥企业合规的行政监管激励作用。2015年证监会发布《行政和解试点实施办法》,首次在证券和期货领域试行行政和解制度,将涉嫌行政违法的企业提出纠正行为、消除或减轻违法行为后果的方案作为达成行政和解、终止执法程序的前提。随着企业合规实践的逐步开展,有学者提出有必要将以合规为基础的行政和解协议制度、以合规换取宽大行政处理制度从证券期货领域拓展到整个行政监管领域,逐步成为一种普遍的合规实体激励机制。[1]
上述企业合规激励机制的逐步建立,使得“合规创造价值”理念照进现实,因此开展合规建设、构建企业合规计划成为国内企业治理的重要组成部分。
(一) 企业合规计划构建中的风险识别
1. 风险识别是企业合规计划的关键要素
在企业合规计划的构建中,风险识别是关键要素。在国际标准化组织(ISO)最新发布的ISO37301:2021《合规管理体系要求及使用指南》(以下简称《使用指南》)中将“识别合规风险”作为企业制定合规管理程序中的考量因素[2]及管理人员的职责[3]。另外,风险识别亦出现在《企业境外经营合规管理指引》与《中央企业合规管理指引(试行)》中,成为合规管理框架[4]或合规管理运行[5]中的关键要素。甚至有学者提出合规计划体系包括合规风险识别、合规制度建立、合规管理架构、合规运行机制等,而风险识别是合规计划的逻辑起点[6]。
2. 风险识别以合规风险为限
值得注意的是,对企业合规计划构建中的“风险识别”应当做限缩解释,正如上述文件中所强调的,企业合规计划构建中应识别的是“合规风险”。一般而言,企业会面临资金、技术、市场、经营等商业风险,区别于传统商业风险,合规风险是指企业因为经营中存在违法违规乃至犯罪行为,而可能遭受行政监管部门或司法机关刑事追究的风险。[7]商业风险更多属于经济学研究的范畴,需要通过研究投资经营决策来防控,而合规风险是要对企业遇到的法律风险进行防范。例如,通常导致企业进入债务重组阶段的流动性资金风险,即为商业风险,由企业发展战略问题引起;企业因违反境外出口管制规定而被当地政府宣布贸易禁止令,则属于合规风险,因企业行为不符合法律以及相关政策规定而引起。
合规风险是企业行为不符合法律以及相关政策规定而引起,但是并非所有的法律风险都是合规风险,合规风险应分为行政监管处罚风险、刑事追究风险和国际组织制裁风险。[8]同时,行政风险与刑事风险往往密切相关,刑法上涉及的税务类犯罪、走私类犯罪、食品类犯罪等,最初都是由主管的行政机关负责查处。重视行政处罚向刑事犯罪的转变,能对合规风险有更深刻的认识以帮助构建企业合规计划。例如,当企业面临环保机关的行政处罚时,则应当重新系统性检视企业环保领域的体系管理制度、部门构成与职责分工、环保手续、设备状态与废水废物废气的处理流程是否规范等,防止行政风险向刑事风险转变。
二、风险识别的合规义务来源
风险识别是企业合规计划构建中的关键因素,同时风险识别可以通过“风险识别数据库”的建立成为企业合规建设中最为实证性的要素。建立“风险识别数据库”的前提是建立合规义务库,明确风险识别的合规义务来源。
《使用指南》第3.24条将“合规风险”定义为“因不符合组织合规义务而发生不合规的可能性及其后果”。由此可知,企业合规风险与合规义务总是一体两面的,违反合规义务即形成合规风险,因此识别合规风险的前提需瞄准合规义务。《使用指南》在附录A对企业合规所需遵循的要求从必须遵守和自愿遵守两个维度加以区分:
(1) “组织机构必须遵守的要求”包括法律法规;许可、执照或其他形式的授权;监管机构发布的命令、规则或指南;法院或行政法庭的判决;条约、公约和议定书;
(2) “自愿选择遵守的要求”包括与社会团体或非政府组织达成的协议;与公共部门和客户签订过的协议;组织机构的要求(如方针、程序);自愿原则或规程;自愿性标识或环境承诺;与组织签署合同产生的义务;相关组织和产业的标准。
此外,《企业境外经营合规管理指引》进一步指出合规义务还包括了“商业惯例、道德规范”。[9]
市场环境在变、政策也在变,这些变化要求企业建立好合规义务信息沟通渠道,及时跟踪上述法律、法规、规范和其他合规义务的出台和变化。企业要保持法律风险义务来源的持续更新,确保企业持续合规。参考《使用指南》附录A4.5条的规定,获取相关法律变更和其他合规义务的信息的过程可包括:进入相关监管机构的邮寄名单,专业团体的成员资格,订阅相关的信息服务,参加行业论坛的研讨会、关注监管机构的网站,与监管机构会面,咨询外部律师等。
三、风险识别数据库框架之构建
由上述合规义务来源可知,合规义务范围之广法律专业人士尚不能完全掌握,企业人员更是无从下手。截至2021年初,仅我国现行有效法律就有274部[10],更遑论司法解释、地方性法规、相关组织标准甚至商业惯例。实践中,最好从企业实际情况出发,选择特定角度构建出风险识别数据库的框架。《企业法律风险管理指南》(GB/T 27914-2011)第5.3.2.2条列举了八种不同的角度,以供企业根据自身的情况和需求进行选择或组合。本文将合规风险限定为“行政、刑事责任与国际制裁”,选择“主要经营管理活动”“组织机构设置”“利益相关者”这三个角度构建法律风险识别框架,具体内容及分析如下:
1. 主要经营管理活动
首先,要明确企业主营业务涉外与否。对于从事涉外业务经营的企业,更多面临境外行政处罚、刑事追究及国际制裁的法律风险,因此需关注业务所在国法律、监管部门要求与国家组织的相关规定,而出口管制、反贿赂、数据保护是多数涉外业务企业均会面临的风险领域。例如,某大型通讯设备企业开展的“出口管制合规”“反贿赂合规”“数据保护合规”均是基于“遵守业务所处国家的可使用法律法规”,以此实施重点业务专项治理与关键国别示范治理。
其次,对于不同行业企业主要合规风险亦大相径庭。例如,银行、保险公司、基金公司、证券企业等金融企业,主要合规风险为反洗钱合规风险;医院、医疗企业、建筑企业、房地产企业,主要合规风险是商业贿赂风险;互联网企业、电子商务企业、大数据服务企业,日趋面临数据保护、网络安全管理等方面的合规风险。
最后,在明确企业所处行业的基础上,应对企业业务进行具体考察,明确适用的合规义务与存在的合规风险。以直播平台为例,分为电商直播和网络秀场直播[11],两者除均须按照《互联网直播服务管理规定》履行一般直播平台责任外,适用的合规义务不尽相同且会因为业务的开展产生竞合。电商直播若以商品推介、商品售卖为主要业务,须按照《网络直播营销管理办法(试行)》《关于加强网络直播营销活动监管的指导意见》等规定履行义务;若以游戏、表演、生活方式等展示为主的网络秀场直播,则更多依照《网络文化暂行规定》进行文化产品等内容的治理。
2. 组织机构设置
根据组织机构设置识别法律风险,即通过对企业各业务管理职能部门/岗位的业务管理范围和工作职责的梳理,发现各部门内可能存在的法律风险。一方面企业可以结合自身情况将上述各项经营管理活动对应到不同的业务管理部门;另一方面企业可以通过对各业务管理部门、岗位的业务管理范围和工作职责的梳理,发现各机构内潜在的合规风险。
以医药公司为例,国家医疗保障局正逐步建立医药价格和招采信用评级与分级处置机制,药品采集参与资格与医药企业的信用评价相关联,不合规行为会导致医药企业的信用评价降低进而影响企业药品采集参与资格[12],而不合规行为落实到具体部门的合规风险,如:业务部门会面临药品销售合规风险,包括但不限于在医药购销中给予医疗机构、集中采购机构及其工作人员不正当利益;以低于成本或以欺诈、串通投标等方式竞标。采购部门会面临实施垄断协议、滥用市场支配地位;集采断供的合规风险。
为防止企业合规风险的发生并进行责任切割,每个部门的工作职责与规章制度应是清晰且完善的。以市场销售部门刑事风险为例,实践中存在销售经理指使员工非法获取客户信息,涉嫌侵犯公民个人信息与侵犯商业秘密犯罪,此时若公司内部制度缺少这一禁止令,则很难将公司行为与员工个人行为切割,公司很有可能承担未尽合理监管义务的责任。若公司内部有较为规范的刑事合规体系,将单位责任与员工个人责任进行了切割,则可以剔除因员工行为导致的企业刑事风险。[13]
3. 利益相关者
风险识别数据库框架构建的另一角度是利益相关者,即通过对企业利益相关第三方的的梳理,发现与每一利益相关者相关的风险。“利益相关者”通常指与企业有商业合作的企业或个人,包括上游的供应商、供货商,下游的销售商、分销商或代理商,以及其他特殊服务提供商。
在企业的发展过程中,规模越大,法律关系越复杂,面临的合规风险就越多。概括起来,企业因为相关方的违法违规行为所承担法律责任的类型有三种:一是因为鼓励或放任相关方的违法违规行为,因此与相关方构成共同违法或者共同犯罪行为;二是因为相关方以企业名义实施违法违规行为,导致企业因相关方的行为而承担严格责任;三是因为对相关方缺乏有效管理和监控导致企业承担失职责任。
例如,在数据保护方面,大数据公司本身没有泄露客户信息,但是第三方合作伙伴征信公司有信息泄露行为,涉侵犯公民个人信息罪,由此可能导致大数据公司本身涉嫌共同实施违反违规行为,或因管理不善涉拒不履行信息网络安全管理义务罪;在商业贿赂方面,根据普遍管辖权原则,凡是由企业海外商业伙伴所实施的海外贿赂行为,都可能由企业本身承担法律责任;在出口管制方面,与企业有密切商业合作的代理商,涉嫌违反出口管制法律,向贸易禁运国或企业出口商品,由此导致企业本身承担连带责任。
四、确定企业法律风险识别方法
为了有效管理合规风险,企业必须通过收集企业各业务单元、各项重要经营活动、重要业务流程存在的合规风险,并对这些风险进行分析归纳。《风险管理 风险评估技术》(GB/T 27921-2011)附录B中列明了32种风险评估技术,其中23种都可以作为法律风险识别的方法,在具体识别过程中企业可以根据自身状况选择适用。一般情况下,企业常用的识别方法包括:调研访谈法、案例梳理法和飞行检查法。
1. 调研访谈法
通过结构化的访谈来识别风险。调研访谈的对象需有针对性,一般针对各部门领导及关键岗位员工进行访谈,具体可以结合案例梳理的结果以及调查问卷的内容有针对性的制作访谈提纲,由法律专业人员对访谈内容进行梳理把关,可以发现一些管理层及业务人员所关注的风险点,这些风险点往往对企业而言有较高的现实意义。区别于调查问卷法的问题清单模式,调研访谈法的侧重点在于访谈,建议首先由相关人员主动阐述日常工作的常态以及存在的风险点,再由访谈人员根据已了解的情况有针对性地提问,在此基础上判断是否存在可能的合规风险事件。
企业应当建立必要的制度和流程,运用上述风险识别方法,查找出相关的法律风险事件。在对风险事件进行具体描述时,建议采取“动因”的方式,以招投标为例,风险事件可以描述为串通投标或以非法手段谋取中标等,避免出现模糊不清的语言,如招标文件发售不当等。
2. 案例梳理法
风险识别的前提是找到合规义务,但是找到规范条文并不一定能明确具体违法行为,而对基于规范条文所产生的案例进行梳理,则能识别出可能涉及的具体违法行为。以串通投标罪为例,《刑法》规定串通投标罪是指“投标人相互串通投标报价、损害招标人或者其他投标人利益,情节严重的”,但未明确其具体表现形式,通过案例检索可发现,串通投标行为可具体表现为“投标人通过挂靠两家或两家以上有资质的企业进行投标,甚至所有投标人均为其挂靠单位”“约定同一集团、协会、商会等的投标人按照组织要求协同投标”。
案例梳理法一方面可以用于识别规范条文下的具体合规风险;另一方面可以用于直接识别企业存在的合规风险,即通过收集本企业历史发生的案例信息,与行业内其他企业违规案例,分析本企业可能面临的诉讼、行政处罚风险及其产生原因,整理出法律风险事件与相应具体行为。
3. 飞行检查法
飞行检查方式以往主要用于药品、医疗器械检查与食品监管领域,通常由监管部门实施,并在提升食品安全等方面都取得了较好的效果。[14]飞行检查具有不发通知、不打招呼、不透露检查信息、不听一般性汇报、不安排接待、直奔基层、直插现场的特点,该方法对检查对象、方案等信息事前严格保密,检查组随机组合,可最大程度减少影响检查结果的因素,更加真实地反映企业的实际生产经营情况[15]。而企业合规计划的构建应紧密结合公司真实生产经营情况,因此在构建合规计划时亦可引入飞行检查法,一方面可以直接识别企业实际生产经营中的合规风险点;另一方面,可用于评估合规计划的有效性,相当于对已识别出的合规风险进行复查,以反映实际防控合规风险措施的落实情况。
以银行业为例,2014年银监会发布《中国银监会办公厅关于进一步加强银行业务和员工行为管理的通知》,建议商业银行采取飞行检查方式,调查了解银行员工在其工作场所是否违规保管借条、凭证、合同、印章等物品。在实践中,飞行检查也是银行内控合规工作中的常用方式,例如检查客户经理是否违规保管客户重要物品、是否保管要素空白的信贷资料以及对理财经理是否存在推荐、销售“飞单产品”等,同时对营业场所是否存在非本行员工在网点从事产品宣传、销售等现象开展现场检查。通过全方位开展体检,全面识别合规风险。
五、建立企业风险识别数据库的要素
根据上述分析,构建企业合规计划是国内企业公司治理的重要组成部分,而风险识别是企业合规计划构件中的关键因素,需要识别的风险应当限定引起行政处罚、刑事追究以及国际制裁的“合规风险”中,最终形成风险识别数据库。
首先,识别合规风险义务来源,明确企业合规风险来源和合规义务,形成合规义务库;其次,结合企业实际情况,选择“企业主要经营管理活动”“组织机构设置”“利益相关者”三个角度进行切入,对形成的合规义务库进行筛选和优化,剔除无效和重复信息,识别出与企业实际情况相适应的合规风险;然后,筛选出合规义务的基础上,利用调研访谈、案例梳理、飞行检查等法律风险识别方法确定具体的风险事件。最后,以识别出的具体法律风险事件为核心制作企业风险识别数据库,即从“经营管理活动”出发,锁定具体的“引发合规风险的行为”,分析“行为产生原因”、确定“涉及的组织机构、人员”与“涉及的利益相关方”,解释“涉及的法律规范”与“造成的法律后果”,列举“相关案例”,最后形成“法律建议”。
需要注意的是,在建立企业风险识别数据库后之后,企业亦需基于公司战略需求和业务发展,并结合外部法律法规变化等,及时修订、更新合规管理制度,以确保合规制度与合规战略的一致性。
感谢实习生许晓雨对本文作出的贡献。
参见陈瑞华:《论企业合规在行政监管机制中的地位》,载《上海政法学院学报(法治论丛)》2021年第6期,第20页。
ISO37301:2021《合规管理体系要求及使用指南》A.8.2 建立控制措施和程序“在制定支持合规管理的程序时,应考虑到——识别、报告和升级不合规情况的具体安排不合规的风险。”
ISO37301:2021《合规管理体系要求及使用指南》5.3.3“管理人员应负责在其职责范围内的合规性——识别并传达其运营中的合规性风险”
《企业境外经营合规管理指引》第四条 合规管理框架:企业应以倡导合规经营价值观为导向,明确合规管理工作内容,健全合规管理架构,制定合规管理制度,完善合规运行机制,加强合规风险识别、评估与处置,开展合规评审与改进, 培育合规文化,形成重视合规经营的企业氛围。
《中央企业合规管理指引(试行)》第十八条:建立合规风险识别预警机制,全面系统梳理经营管理活动中存在的合规风险,对风险发生的可能性、影响程度、潜在后果等进行系统分析,对于典型性、普遍性和可能产生较严重后果的风险及时发布预警。
李勇:《论企业合规的八大问题》,载“悄悄法律人”公众号,2021年12月8日访问,https://mp.weixin.qq.com/s/c4D5QJJA8SfKOTskNYUw6w。
陈瑞华:《企业合规基本理论》,法律出版社2021年4月第2版,第22页。
同前注1,陈瑞华文,第21页。
《企业境外经营合规管理指引》第三条:“基本概念 本指引所称合规,是指企业及其员工的经营管理行为符合有关法律法规、国际条约、监管规定、行业准则、商业惯例、道德规范和企业依法制定的章程及规章制度等要求。“
《法工委发言人:我国现行有效法律共274件》,载全国人民代表大会网,2021年12月15日访问。
http://www.npc.gov.cn/npc/c30834/202101/9a4eb008bb6f4d848ece1de9f660c44f.shtml依照广电总局《关于加强网络秀场直播和电商直播管理的通知》进行划分。
《国家医疗保障局关于建立医药价格和招采信用评价制度的指导意见医保发〔2020〕34号》:“六、分级处置失信违约行为省级集中采购机构根据医药企业信用评级,分别采取书面提醒告诫、依托集中采购平台向采购方提示风险信息、限制或中止相关药品或医用耗材挂网、限制或中止采购相关药品或医用耗材、披露失信信息等处置措施……”
某知名公司员工侵犯公民个人信息案中,公司提出各项公司政策及文件,其中明确禁止对医务专业人员进行金钱、物质引诱,禁止以非法方式收集消费者个人信息,并举证证明员工已接收合规培训。法院在审理中将公司所指定的各项合规政策及文件作为重要考量之一,该公司最终免予认定为单位犯罪。
参见杨燚:《飞行检查+现场培训落实食品安全两个责任的有效途径》,载《中国食品药品监管》2018年第2期,第67-68页。
参见乌君科:《强力推进飞行检查工作思路探讨》载《中国食品药品监管》2018年第5期,第22-25页。